使用 Ethereal 软件进行数据抓包
Ethereal -抓包、报文分析工具
Ethereal -抓包、报文分析工具Ethereal 是一种开放源代码的报文分析工具,适用于当前所有较为流行的计算机系统,包括 Unix、Linux 和 Windows 。
主界面如上图,点“抓包配置”按钮,出现抓包配置界面如下图。
在“Interface”中选择网卡,即用来抓包的接口,如果选择错误就不能抓到报文;“Capture packets in promiscuous mode(混杂模式抓包)”是指捕捉所有的报文,如不选中就只捕捉本机的收发报文;如果选中“Limit each packet to xx bytes(限制每个包的大小)”则只捕捉小于该限制的包;抓包时,数据量比较大,解析起来速度慢,可在“Capture Filter(抓包过滤设置“Display Options(显示设置)”中建议选中“Update list of packets in realtime(实时更新抓包列表)”、“Automatic scrolling in live capture(自动滚屏)”和“Hide capture info dialog(隐藏抓包信息对话框)”三项。
抓包配置好就可以点击“Start”开始抓包了。
抓包结束,按“停止”按钮即可停止。
为了快速查看需要的报文,在“Filter”栏中输入过滤条件后按回车键即可对抓到的包进行过滤。
注意“Filter”栏中输入的过滤条件正确则其底色为绿色,错误则其底色为红色。
常用有些报文还可以判断网络的状况,例如输入显示过滤条件tcp.analysis.flags,可以显示丢失、重发等异常情况相关的TCP报文,此类报文的出现频率可以作为评估网络状况的一个标尺。
偶尔出现属于正常现象,完全不出现说明网络状态上佳。
tcp.flags.reset==1。
SYN是TCP建立的第一步,FIN是TCP连接正常关断的标志,RST是TCP连接强制关断的标志。
统计心跳报文有无丢失。
在statistics->conversations里选择UDP,可以看到所有装置的UDP报文统计。
Ethereal抓包方法2个版本
在W AN2 接一个HUB或者镜像交换机,被镜像口接4200WAN2,镜像口接电脑开始抓包,即可如何使用Ethereal抓包Ethereal是一个抓取网络数据包的工具,这对分析网络问题是很重要的,下文将会简单的介绍下如何使用Ethereal来抓包。
1、在如下链接下载“ethereal-setup-0.99.0.exe”并在电脑上安装。
/distribution/win32/all-versions/ethereal-setup-0.99.0.exe2、如果之前没有安装过winpcap请在下面图上把安装winpcap的勾选上。
3、打开安装好的Ethereal程序,会看到如下图所示界面:图2 Ethereal主界面下面是抓包方法选择菜单“File”的“save”,取一个文件名“某某地方某某路由器WAN口抓包.cap”保存即可以下是另一个版本,界面稍有不同。
4、上图2就是主界面,打开“Capture”->“Options”,界面如下:图3 抓包选项在最上面的Interface中选择电脑真实的网卡(默认下可能会选中回环网卡),选中网卡后,下面会显示网卡的IP地址,如图中是222.77.77.234,如果IP正确,说明网卡已经正确选择。
Capture Filter这一栏是抓包过滤,一般情况下可以不理会,留为空。
Display options就按照我们勾选的来做就行。
好,点击Start。
图4 正在抓包现在已经在抓包,抓包结束,后点击上图中红框的按钮停止抓包。
这样我们就抓到了数据包。
再打开“File”->“Save”,出现下面界面:图5 抓包保存选择好保存路径和文件名(请不要中文)后,点击保存。
这样我们就完成了一次抓包并保存,剩下的就是要去分析数据包中的内容以发现网络故障所在,这里我们就不一一介绍了。
Ethreal抓包工具
Ethereal使用事例
1 抓包主界面
如上:Capture菜单代表抓包菜单。
一般使用Options设置一下抓包参数。
2 抓包参数设置
如上图:从上到下,第一个红色圈处,设置选择网卡。
第二个红色圈处,设置过滤信息,如只抓IP地址为192.168.1.100,则设置为ip.addr==192.168.1.100,通常情况下不作过滤,以获取全部信息。
第三个红色圈处,可选(打勾)可不选(不打勾),不选择,点击“Start”开始抓包后,则显示:
,选择后,单击“Start”开始后,显示:
如上工具栏中,红色圈处,可以停止抓包。
3查看数据包
如上就可以看到各数据包的详细信息,通过在Filter中设置ip.addr==×.×.×.×&&h245等等命令进行分析,如下一个互通中的例子:。
抓包作业
网络抓包实验报告一、实验目的:学习使用网络数据抓包软件Ethereal,对互连网进行数据抓包,巩固对所学知识的理解。
二、实验内容:通过使用抓包工具软件对网络数据进行抓包,观看其结果并进行分析,加深对互连网体系结构的理解。
三、实验工具:Ethereal数据抓包软件四、实验步骤1.下载Ethereal软件在网络搜索引擎上搜索Ethereal软件的相关下载。
并找到较新版本0.99.下载并且保存到指定位置。
2.安装Ethereal软件双击打开下载的文件进行安装。
通过安装提示选择最适合你的配置。
最后完成安装。
3.对Ethereal软件进行设置在使用Ethereal软件进行网络抓包前,我们要对它进行简单的设置。
(1)首先双击打开Ethereal。
点击Edit→Preferences然后在跳出的对话框中选择Capture。
在default interfaces中选择你常用的网卡(如果是笔记本无线上网,请选择无线网卡,一般的都是Broadcom开头的网卡).在Capture packets in promisecuous mode选项中。
把勾去掉。
然后点击APPLY退出(2)点击Capture→options,在跳出的框中选择Capture Filter(3)在跳出的对话框中,Filter name一栏输入一个名字,比如“abc”在下一行输入host 空格加上你要抓包的网络IP(IP获取方式可以是才DOS下ping对方域名得到)然后点击NEW 会发现多出了一个您输入的名字。
点SAVE然后离开4.利用Ethereal对网络进行抓包在都设置好以后,就要开始抓包了。
点击Capture→start就开始抓包了。
此时会显示您已经抓到的包,并且显示是什么类型的。
稍微等一会以后就会有了。
多等一些时间抓到的包就会多。
5.对抓到的数据包进行分析(1)DNS请求报文序号:234Time 50.427507源IP:192.168.1.101目的IP:218.2.135.1Response : Message is a query 请求报文OPCode :Standard Query (0) 标准查询,正向解析 Truncated :Message is not truncated 报文没有被截断Recursion desired :Do query recursively RD=1 请求服务器进行递归解析帧,网络接口层报头这是一个请求报文,详见下面注解Response : Message is a response 这是一个响应报文 OPcode=0 表示标准查询,正向解析 Truncated=0 报文没有被截断 RD=1 请求递归解析RA=1 表示服务器支持递归解析 Rcode=0000 表示没有错误五 试验总结通过这次试验,自己对网络抓包工具Ethereal 从下载到安装的全过程有了比较清晰的认识,培养了自己动手的能力,另外,通过对其的使用,用其来抓取数据包,对以太网的工作原理有了一部的认识,对三次握手建立TCP 连接建立过程有了切实的体会,通过对IP 首部和TCP 首部的分析,是课本上多学的理论知识与实践结合起来,是以前的知识得到深化和巩固,为以后学习新的知识打下基础,也提高了学习的兴趣,收获很大。
实验报告——使用Ethereal进行报文的获取
实验报告——使用Ethereal一、实验目的(1)熟悉Ethereal的工作环境。
(2)掌握使用Ethereal进行报文的捕获。
(3)用所捕获的报文分析网络,巩固自己所学的知识。
二、实验要求1,Ethereal软件的基本功能使用。
2,按照老师所提供的ppt课件和教程进行操作。
3,自己选择过滤条件进行捕获,对所捕获的数据报文的检测与分析。
三、实验环境1,校园局域网环境2,Ethereal软件四、实验步骤网络世界中,最基本的单元是数据包。
这个实验主要是练习Ethereal的使用,在网上抓包,培养对网络通讯协议底层的分析和认识,加强对网络的理解。
(1)这个工具要安装Ethereal。
这个很简单,大家根据安装提示点“下一步”就可以了。
(2)下面是抓包的具体步骤:双击打开Ethereal,出现Ethereal的工作界面,如图1,a.点窗口中的Capture选项中设置抓包的相关参数。
1)选择合适的网卡(网卡=网络适配器)Interface(NIC),Capture packets in promiscuous mode 是所抓包的类型,我们不用混杂选项,所以不打勾。
b.按ctrl+K进行“capture option”的选择。
如图2,start,等一小会点stop停止抓包,如图3现在所显示的图4就是我所抓到的包。
(3)分析我所抓到的包数据报文的源地址:10.3.133.55目的地址:10.3.131.74UDP协议(4)捕获过滤捕获条件A:udpFilter选项为捕获过滤条件,红色是不正确的语句,绿色为正确语句。
相同的为一种颜色。
捕获条件B :ip.addr==10.3.131.12捕获条件C:http五、实验总结通过这次实验,我了解了Ethereal软件的应用。
学会了使用Ethereal进行抓包,分析网络。
在遇到不明白的地方仔细查阅书籍,巩固了自己的知识。
在做视频时下载录制视频软件,录制视频也使我获益匪浅。
实验一:Ethereal的使用
计算机网络实验报告年级:姓名:学号:实验日期:实验名称:Ethereal(wireshark)的使用一、实验目的1、下载安装抓包工具ethereal;熟悉ethereal的操作环境;2、学习使用ethereal(wireshark)的使用方法,会用ethereal工具进行抓包;3、学会分析抓包工具获得的信息,对其进行简单分析和过滤。
二、实验器材1、接入Internet的网络的主机;2、安装抓包工具ethereal(wireshark)软件;和wincap软件;3、截图软件SnagIt。
三、实验内容1、launch ethereal, how to capture the packet by the ethereal? what's type packets youcaptured抓包方法:(1)打开抓包软件wireshark,单击工具栏list the available capture interface,如下图所示。
单击后出现如下图:(2)、单击Start,再打开一个网页(),抓包开始。
(3)网页显示完后,单击上图中的“stop”,抓包结束。
2、start capture packets, try to visit a homepage (), and check the captured packets.(1)、访问:后抓包结果如下图(2)check the captured packets ,过滤拉检测所抓的包。
如下图:3、how to save the captured packets? how to analyse the captured packets(抓包)?(1)、save the captured packets:单击save图标(如下图所示),选择要保存的路径和要报的名字,单击确定即可保存。
4 、can you capture other computer's packets? if can, what types?答:有两种情况;1)广播包时:广播包可以抓到所需要的包;2)非广播包时有以下三种情况可以抓包:a、在交换式的以太网下抓不到别人的非广播包;b、局域网信道是广播信道的可以抓包;c、在广播信道下可以抓到别人的非广播包。
实验二 WireShark(Ethereal)抓包实验
WireShark的安装很简单,安装 过程中会提示安装WinPcap,一切 都按默认设置即可。
10
10
(二)捕获数据包的一般操作
步骤 01 启动Wireshark,显示图2-1所示的主界面。
图2-1 启动Wireshark
11
11
(二)捕获数据包的一般操作
步骤 02
首先设置捕获参数。选择“Capture”(捕获)菜单中的“Options”(选项)命令,打开“Capture Option”(捕获选项)对话框。“Capture Option”对话框显示了多项设置和过滤器,用于确定捕获的数 据通信类型及数量等,如图2-2所示。
即“途经”该网卡但不发往该计算机的数据包)。
13
13
(二)捕获数据包的一般操作
步骤 05 步骤 06
“Capture”设置区的“Capture Filter”栏用来设置是抓包过虑,除非需要过虑特定的数据包,否则一 般情况下可以保持默认设置,即留空。 单击“Start”(开始)按钮即可开始数据包捕获。图2-3所示为开启捕获后的Wireshark的主显示窗 口,主要有五个组Байду номын сангаас部分。
与上一次显示 帧的时间间隔
帧号为6 捕获长度为74字节
与上一次被捕获帧的时间间隔
与参考帧或第1帧的时间间隔 帧长为74字节 帧不会被忽略
帧没有被标记
图2-7 物理层数据帧概况
帧内封装的协 议层次结构 被着色字符串为icmp, icmpv6
19
被着色规则名 称为ICMP
19
(三)ping PDU数据的捕获和分析
菜单和工具命令 协议筛选 数据包列表
数据包首部明细 数据包内容
14 图2-3 开启捕获后的主显示窗口
Ethereal抓包工具使用方法
Ethereal 使用方法一, 使用方法点击Capture 菜单下的Start 。
然后选择相应的参数,点击OK !Capture Options 选择的常见注意事项(每个选项前面的小方块,凹进去表示选中):1, Interface :如果你的计算机安装了多个网卡,注意选择你想抓包的那个网卡。
2, 需要选中的选项:Capture packets in promiscuous mode任何流经这台主机的数据包都将被捕获,如果按钮凸起,则只能捕获从主机发送或者发向该主机的数据包。
Update list of packets in real time是Ethereal 主界面上是否实时地显示抓包变化的选项,当选择了该项时,Ethereal 主界面上将实时地更新抓包列表,若不显示该项,所有的包列表将在抓包过程停止以后一起显示。
Automatic Strolling in live capture选项允许用户在抓包过程中能实时地察看新抓的数据包。
3,注意name resolution的选项不能选,否则抓包,保存,打开等过程会很慢。
“Name resolution”中有三个选项,“Enable MAC name resolution”是否将MAC地址的前三个字节翻译成IETF所规定的厂商前缀。
“Enable network name resolution”用于控制是否将IP地址解析为DNS域名。
“Enable transport name resolution”则用于控制是否将通信端口号转换为协议名称。
4,抓包时可以对所抓的包进行过滤,常用的过滤选项有:sip || mgcp,sip && h225 && h245,ip.addr == 10.11.2.9,udp.port == 1719,tcp.port == 2000等。
5,一般抓包的计算机需要与被抓的目标地址在一个HUB上,如果在一个LAN上,需要做端口镜像。
如何使用Ethereal进行
如何使用Ethereal进行1,先过滤后抓包:首先在Capture Options点击Capture Filter设置过滤规则。
若要实时查看,请勾选Display Options的Update list of packets in real time,然后抓包。
示例:输入host 192.168.1.5 and port 80,仅抓取IP为192.168.1.5,端口为80的包。
2,先抓包后过滤:抓包后,在Filter中输入表达式过滤。
示例:输入ip.src,ip.dst,tcp.srcport,tcp.dstport,tcp.ack,tcp.len,eth等,可与关系表达式配合使用。
如ip.src==192.168.1.5 &&tcp.srcport==80,仅显示源IP为192.168.1.5,源端口为80的包。
Q:如何分析使用Ethereal抓到的包?这里简单以TCP/IP为例(修改网摘),一,数据链路层:1、Destination:目的MAC地址。
(eth.src)2、Source:源MAC地址。
(eth.dst)3、Type:以太网类型(IP0x0800,8表示为以太网)。
(eth.type)二,IP网络层:1、Version=4,表示IP协议的版本号为4.该部分占4个BIT位。
(ip.version)2、Header Length=20 Bytes,表示IP包头的总长度为20个字节。
该部分占4个BIT位,单位为4个字节,因此,一个IP包头的长度最长为“1111”,即15*4=60个字节。
3、Type of Service=00,表示服务类型为0.该部分用二个十六进制值来表示,共占8个BIT.8个BIT的含义是:000前三位不用0表示最小时延,如Telnet服务使用该位0表示吞吐量,如FTP服务使用该位0表示可靠性,如SNMP服务使用该位0表示最小代价0不用4、Total Length=48Bytes,表示该IP包的总长度为48个字节。
实验-使用wireshark(Ethereal)分析数据包
Find Preyious是向上查找
Time Reference 字面是时间参 考,使用后明白是 做个报文 的“时间戳”,方便大量报文 的查询
Edit的下拉菜单报文标签
使用Time Reference标
签后,原先time的就变成 “REF”缩写的标记 附注:可以在多个报文间 用时间戳标记,方便 查询。
Ethereal工具的构成与安装
Winpcap.exe是Win32平台上进行包捕获和网络协 议分析的开源库,含有很重要的包过滤动态链接 库(packet.dll库)和wpcap.dll库,这两个动态链接 库都提供有抓包工具必需的应用编程接口API。 在安装Ethereal之前,必须要先安装WinPcap, 否则抓包无法完成。值得一提的是,0.10.14版本 的Ethereal工具已经把WinPcap工具固化在 Ethereal的安装程序中,只需要按照提示步骤默 认安装即可。
Analyze下的Display filters
正确的语法如下,和“Capture Filter”的语法有所不同:
显示 以太网地址为 00:d0:f8:00:00:03 设备通信的所有报文 eth.addr==00.d0.f8.00.00.03
显示 IP地址为 192.168.10.1 网络设备通信的所有报文 ip.addr==192.168.10.1
Mark Packet(toggle) 是标记报文 Mark all packets 和 Unamrk all packet即 标记所有报文 、取消 标记所有报文
Edit的下拉菜单
点击 “preference”
进行用户界 面的选择, 比如说 报文 察看界面布 局的选择, 以及协议支 持的选择。
Etherreal如何抓包V2.0
先在VGW服务器上安装抓包软件
选择正确的网卡,可以根据IP地址来判断
输入抓包条件,下面表示抓到192.168.0.1间的双向包,你改成VMSVR的地址即可。
然后点一下Start
因时做两个测试,
1、系统重启之后,第一次启动vmsagent进程,从日志上看是注册上了vmsvr
2、在任务管理器里面杀掉vmsagent和winntcp进程后;然后在启动vmsagent,就无法组成上
vmsvr。
分别将上面两种情况的抓包发回。
抓完包后,保存即可
先stop
再Save
把保存的抓包文件发回
当协议端口没有采用标准端口,出现无法正确解码时的处理方法。
比如SMPP的端口中5016,而现网中用的是41011.
在传输层能看到抓包文件中相关端口的情况
点下拉箭头,选择both
再点中右边的协议列表
再按ctrl-f,在弹出的小框中输入smpp,再回车
点OK 退出
显示了正确的解码。
Ethereal抓包数据分析
上面所示图片是用Wireshark软件进行抓包数据分析的截屏,下面我将选取1号帧作为代表分别分析相应的数据:1、数据帧的相关信息:获取时间为0;源地址为118.123.234.160;目的地址为192.168.1.100;高层协议为UDP;包内信息概况为:源端口为irdmi,目标端口为51820,表示QQ聊天软件与本机网络连接的信息。
2、物理层的数据帧概况从图中可以看出:1号帧,线路上有101字节,实际捕获101字节,捕获时间为2010年10月24日18:14:36,测试时间为1287915276.685846000秒,此包与前一捕获帧的时间间隔为0秒,与前一个显示帧时间间隔为0秒,与第一帧的时间间隔为0秒,帧号为1,帧长为101字节,捕获长度为101字节,此帧没有被标记且没有被忽略,帧内封装的协议结构为UDP数据协议,用不同颜色染色标记的协议名为UDP,染色显示规则字符串为udp。
3、数据链路层以太网帧头部信息此包为以太网协议版本2,源地址为Tp-LinkT_a9:d9:c6 (00:19:e0:a9:d9:c6),说明本机的网络是有TP-Link路由器分出来的,其网卡地址为00:19:e0:a9:d9:c6;目标地址为HewlettP_78:9f:34 (00:25:b3:78:9f:34),说明本机的网卡是Hewlett厂家生产的,网卡地址为00:25:b3:78:9f:34。
帧内封装的上层协议类型为IP,十六进制代码为0800。
4、互联网层IP包头部信息互联网协议IPv4,源地址为118.123.234.160,目标地址为192.168.1.100,IP包头部长度为20字节,差分服务字段为0x00 (DSCP 0x00: Default; ECN: 0x00),表示一个特定的上层协议所分配的重要级别,默认的DSCP值是0,相当于尽力传送,ECN字段被分为ECN-Capable Transport (ECT) bit和CE bit,ECT bit设置为“ 0 ”表明该传输协议将忽略ignore CE bit,CE bit将由路由器设置,设置为0说明对末端节点不挤塞,IP包的总长度为87字节,标志字段为0,标记字段为0x02,没有分片,分片的偏移量为0,生存期为57,当减少为0时,该数据包将被丢弃以保证数据包不会无限制的循环,上层协议为UDP,报头的检验和显示为正确。
ethereal抓包基本用法
ethereal抓包基本用法Ethereal抓包的基本使用办法一、确认镜像端口是否做好这里可以使用捕包软件来确认镜像是否安装好。
,如果客户的交换机支持镜像功能,则使用捕包软件。
我这里使用的是ethereal捕包软件。
1.根据提示一步步安装完捕包软件。
2.开始----程序----ethereal----3.进入到ethereal界面4.选择capture,进行捕包。
5.在capture菜单中选择OptionsInterface是自己电脑的网卡,根据自己电脑的实际的通讯的网卡进行选择,并按照上述打沟的情况进行选择打沟。
捕获所有协议的数据包。
选择此项表示会随时更新捕获到的数据包。
设置完之后,点击右下角start按钮,即开始捕包。
以下是捕获的数据包的界面。
捕包一段时间之后,点击界面上stop,即停止捕获数据包。
6.停止捕包之后,就可以回到ethereal的主界面上了,可以看到很多数据。
从上面的数据中可以看出对应的序号,时间,源IP,目的IP,协议类型。
在这里,要确认为镜像端口是否做好,只要在上述数据中能够看到有源IP和目的IP地址,是正反成对出现即可,表示镜像端口镜像成功。
7.在捕获数据选择保存时,选择file---save as,弹出以下界面:根据实际情况,选择路径,填好文件明。
在保存类型的选择时,系统默认为Ethereal/tcpdump(*.cap,*.pcap).注意:如果需要让sniffer进行分析数据包的情况下,在这里要选择NG/NAI Sniffer(*.cap *enc *.trc).其余的选项按照默认的进行。
Windows下使用Wireshark(ethereal)进行抓包分析
Windows下使用Wireshark(ethereal)进行抓包分析说明:由于版权问题,该开源软件的新版本现已更名为Wireshark。
1、下载安装a 从/ 下载Wincap安装;b 从/ 下载安装Windows平台的Ethereal(或从/projects/wireshark/ 下载安装Wireshark),双击安装文件安装即可。
2、使用启动ethereal 以后,选择菜单Capature->Start :选择好接受数据的网卡(Ethereal会自动选择系统中安装的唯一的网卡),再单击“OK”按钮即可开始抓包。
上图中的对话框还可以进行一些设置:l Interface:指定在哪个接口(网卡)上抓包(系统会自动选择一块网卡)。
l Limit each packet:限制每个包的大小,缺省情况不限制。
l Capture packets in promiscuous mode:是否打开混杂模式。
如果打开,抓取所有的数据包。
一般情况下只需要监听本机收到或者发出的包,因此应该关闭这个选项。
l Filter:过滤器。
只抓取满足过滤规则的包。
l File:可输入文件名称将抓到的包写到指定的文件中。
l Use ring buffer:是否使用循环缓冲。
缺省情况下不使用,即一直抓包。
注意,循环缓冲只有在写文件的时候才有效。
如果使用了循环缓冲,还需要设置文件的数目,文件多大时回卷。
l Update list of packets in real time:如果复选框被选中,可以使每个数据包在被截获时就实时显示出来,而不是在嗅探过程结束之后才显示所有截获的数据包。
单击“OK”按钮开始抓包,系统显示出接收的不同数据包的统计信息:单击“Stop”按钮停止抓包后,所抓包的分析结果显示在面板中:3、Ethereal的抓包过滤器抓包过滤器在抓包过程中用来抓取感兴趣的数据包。
它使用的是libcap 过滤器语言,在tcpdump 的手册中有详细的解释,基本结构是:[not] primitive [and|or [not] primitive …]。
实验报告:用Ethereal捕获并分析TCP数据包
——用Ethereal捕获并分析数据包学院:计算机工程学院专业:计算机科学与技术姓名:张徽学号:2008404010135TCP报文格式分析◆TCP提供一种面向连接的、全双工的、可靠的字节流服务。
◆在一个TCP连接中,仅有两方进行彼此通信。
广播和多播不能用于TCP。
◆TCP的接收端必须丢弃重复的数据。
◆TCP对字节流的内容不作任何解释。
对字节流的解释由TCP连接双方的应用层解释。
◆TCP通过下列方式来提供可靠性:应用数据被分割成TCP认为最适合发送的数据块,称为报文段或段。
TCP协议中采用自适应的超时及重传策略。
TCP可以对收到的数据进行重新排序,将收到的数据以正确的顺序交给应用层。
TCP的接收端必须丢弃重复的数据。
TCP还能提供流量控制。
TCP数据报的发送过程图TCP数据报的格式●源端口:占16比特(2个字节),分段的端口号;●目的端口:占16比特(2个字节),分段的目的端口号;端口是传输层与应用层的服务接口。
传输层的复用和分用功能都要通过端口才能实现;●序号字段:占4字节。
TCP连接中传送的数据流中的每一个字节都编上一个序号。
序号字段的值则指的是本报文段所发送的数据的第一个字节的序号。
●确认号字段:占4字节,是期望收到对方的下一个报文段的数据的第一个字节的序号。
●数据偏移:占4比特,它指出TCP报文段的数据起始处距离CP报文段的起始处有多远。
“数据偏移”的单位不是字节而是32bit字(4字节为计算单位)。
●保留字段:占6bit,保留为今后使用,但目前应置为0。
●编码位:编码位含义紧急比特URG 当URG=1时,表明紧急指针字段有效。
它告诉系统此报文段中有紧急数据,应尽快传送(相当于高优先级的数据)。
确认比特ACK只有当ACK=1时确认号字段才有效。
当ACK=0时,确认号无效。
推送比特PSH 当PSH=1时,表示请求急迫操作,即分段一到马上就发送应用程序而不等到接收缓冲区满时才发送应用程序。
复位比特RST(Reset) 当RST=1时,表明TCP连接中出现严重差错(如由于主机崩溃或其他原因),必须释放连接,然后再重新建立运输连接。
计算机网络Ethereal实验报告
计算机网络Ethereal实验报告计算机网络Ethereal实验报告一、实验目的本次实验旨在理解和掌握Ethereal网络抓包工具的使用,通过捕获网络数据包来分析TCP/IP协议的工作原理以及网络通信过程。
实验将利用Ethereal软件对网络流量进行捕获,并对捕获的数据包进行详细分析。
二、实验环境实验设备:两台计算机、一个路由器和一根交叉线软件环境:Windows 操作系统、Ethereal软件三、实验步骤1、安装Ethereal软件。
在实验设备中安装Ethereal软件,并确保其正常运行。
2、连接设备。
将两台实验计算机通过路由器连接,并使用交叉线进行配置。
确保计算机能够互相访问网络。
3、启动Ethereal软件。
打开Ethereal,并选择“Capture”菜单中的“Start Capture”选项。
在“Capture Filter”对话框中,选择“No Filter”以捕获所有数据包。
4、配置网络共享。
在两台实验计算机上配置网络共享,以便进行文件传输和网络通信。
5、进行网络通信。
通过浏览器访问网页、使用FTP传输文件等方式,在两台计算机之间进行网络通信。
同时,注意观察Ethereal软件中的数据包捕获情况。
6、停止捕获。
在完成一定量的网络通信后,选择“Capture”菜单中的“Stop Capture”选项。
在弹出的对话框中,选择“Yes”保存捕获的数据包文件。
7、分析数据包。
在Ethereal软件中选择捕获的数据包文件,并对其进行详细分析。
使用“Packet List”窗口查看数据包列表,并使用“Packet Details”窗口查看每个数据包的详细信息。
分析数据包中的各个层次和协议字段,以深入理解TCP/IP协议的工作原理。
8、进行数据包过滤和分析。
根据实验需要,可以使用Ethereal软件的过滤功能对捕获的数据包进行筛选和分析。
例如,可以过滤出TCP 数据包,并分析它们的序列号、确认号、窗口大小等字段。
实验二 网络抓包及协议分析软件使用说明
实验二网络抓包及协议分析软件使用说明目的及意义: 利用网络协议分析工具Ethereal截获网络中传送的数据包, 通过观察分析, 从而了解和认识(理解)协议的运行机制。
下载与安装: 在Windows下安装Ethereal,可从 下载安装软件, 然后执行安装。
Ethereal 在0.10.12版本后都内置了Winpcap,如没内置的Winpcap, 可先安装Winpcap。
有关Winpcap的详细信息可参考。
一. 实验目的:1. 了解抓包与协议分析软件的简单使用方法。
2. 了解并验证网络上数据包的基本结构。
二. 实验环境1.硬件:PC.配备网卡, 局域网环境。
2. 软件: Windows 2000或者XP操作系统、winpcap、analyzer。
三. 实验内容利用Ethereal软件抓取网络上的数据包, 并作相应分析。
(1)四. 实验范例(2)安装(3)E theral的安装非常简单, 只要按照提示安装即可。
(4)运行(5)双击桌面的Ethereal, 显示“The Ethereal Network Analyzer”的主界面, 菜单的功能是:(6)设置规则●这里有两种方式可以设置规则:●使用interface选择Capture—>interfaces, 将显示该主机的所有网络接口和所有流经的数据包, 单击“Capture”按钮, 及执行捕获。
●如果要修改捕获过程中的参数, 可以单击该接口对应的“Prepare”按钮。
在捕获选项对话框中, 可以进一步设置捕获条件:●Interface——确定所选择的网络接口●Limit each packet to N bytes——指定所捕获包的字节数。
●选择该项是为了节省空间, 只捕获包头, 在包头中已经拥有要分析的信息。
●Capture packet in promiscuous mode——设置成混杂模式。
●在该模式下, 可以记录所有的分组, 包括目的地址非本机的分组。
ethereal抓包工具的使用
《高级网络技术》实验一 ethereal抓包工具的使用课程实验报告课程名称:高级网络技术专业班级:姓名:学号:指导教师:完成时间:2012 年10 月24 日实验一 ethereal抓包工具的使用一、实验目的1.熟悉Ethereal网络抓包工具软件的作用和使用方法;2.通过Ethereal工具软件的帮助,对抓到包进行分析。
二、实验内容学习Ethereal网络抓包工具以及对ARP packet format进行分析。
三、实验设备及工具硬件:安装了网卡的PC机。
软件:PC 机操作系统WinXP,安装了网卡驱动程序,以及ethereal抓包软件四、实验步骤1)安装winpcap和ethereal;2)ARP协议分析由ethereal抓取的包格式和下图一样,首先,对下图所示帧格式进行了解。
如图所示,前14字节是数据链路层所附加的帧头,后28字节是来自网络层的ARP数据包内容。
然后,我们根据所抓取的实际例子来分析协议各个部分,如下图所示。
在这个例子中,编号256的包:物理地址是00:21:86:a2:c6:d3,IP地址是192.168.60.42的主机或路由器,向网络中发送广播,内容是一个ARP协议的request,希望获得IP地址为192.168.60.140的主机的物理地址。
编号为257的包:IP地址为192.168.60.42的主机,收到广播的request后,向广播发送端发送单播reply,告诉对方自己的物理地址为00:1d:ba:18:cb:dc。
256和257号包的详细内容如下所示。
256号包257号包由图可见,前14字节为帧头。
其中,前6字节为目的物理地址,当向网络中发送广播时,目的物理地址为全f;7-12字节为源物理地址;最后两个字节表示帧类型,ox0806表示这是一个ARP数据帧;由于是在以太网中传输,当帧长度不足46字节是,可能在帧尾部添加尾巴(填充位)。
然后,我们来看ARP协议数据内容。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
在客户端打开IE浏览器,访问新建网站。单击向导“下一步”,在说明中输入该站的网站名称。
(5)设置虚拟目录
目录作用是在地址栏中除了输入主机名外,还用“/目录名”来进一步指向某个子目录或网页文件。
单击“开始—程序—管理工具—Internet服务管理器”,打开Internet信息服务单元,选中准备新建虚拟目录的网站“默认Web站点”,打开快捷菜单的“新建—虚拟目录”。
3、分析捕获到的典型的数据帧。
实验环境
Windows 2003 server
实验内容(算法、程序、步骤和方法)
1安装配置DNS服务
(1)选择“开始”→“设置”→“控制面板”→“添加/删除程序”→“添加/删除Windows组件”命令→选择“网络服务”选项→请选择“域名服务系统(DNS)”后单击“确定”按钮。
File:如果需要将抓到的包写到文件中,在这里输入文件名称。
Use ring buffer:是否使用循环缓冲。缺省情况下不使用,即一直抓包。注意,循环缓冲只有在写文件的时候才有效。如果使用了循环缓冲,还需要设置文件的数目,文件多大时出现滚动条。
其他的项选择缺省的就可以了。
(3)Ethereal的抓包过滤器
输入:ipconfig /flushdns
捕获HTTP数据包,打开网页访问自己建的网站即可
捕获FTP数据包,打开网页访问自己建的FTP站点即可
数据记录
和计算
DHCP抓包
DNS抓包
HTTP抓包
FTP抓包
结论
(结果)
通过Ethereal软件成功捕获四种数据包
小结
通过这次实验,熟悉并初步掌握了Ethereal软件的使用,该软件分析了网络协议TCP,DHCP,DNS,FTP并成功捕获数据包,使得其更直观的展现在面前。通过本次实验加深了对网络数据包结构的理解和认识,为以后的深入学习打下了基础。虽然这次实验自己做了很长时间,但是感觉自己收获颇丰。
授权给DHCP服务器
建立可用的IP作用域
5.配置Ethereal
(1)启动Ethereal以后,选择菜单Capature->Start就可以了。当不再抓数据包的时候,按一下stop,抓的包就会显示在面板中,并且已经分析好了。
(2)选择菜单Capature->Start时
Interface:指定在哪个接口(网卡)上抓数据包。一般情况下都是单网卡,调整为所有的网卡即可。
(2)设置网页
单击“开始—程序—管理工具—Internet服务管理器”
在Internet服务器管理单元中选中默认Web服务器
在“属性”对话框中单击“主目录”选项卡,然后指定主目录位置
(3)用Web向导新建一个网站
在D(假设)盘上建立好网页目录及文件
选中“默认Web站点””,右键单击“新建—站点”
单击向导“下一步”,在说明中输入该站的网站名称。
四川大学计算机学院、软件学院
实验报告
学号:_0943041311_姓名:张治专业:计算机科学与技术班级:1第12周
课程名称
计算机网络课程设计
实验课时
2
实验项目
使用Ethereal软件进行数据抓包
实验时间
2011/11/16
实验目的
1、通过网络访问多种类型的资源;
2、使用Ethereal软件捕获各种类型的数据帧;
(2)DNS客户端的设置
(3)在DNS服务器中创建搜索区
(4)建立正向标准主要区域
(5)新建记录到主要区域内
(6)创建反向标准主要区域
(7)在反向区域内创建记录
2安装配置WEB服务器
安装IIS组件
(1)单击“开始—设置—控制面板—添加/删除程序”
选择“配置Windows”,单击“组件”按扭,添加IIS组件
抓包过滤器是用来抓取某种特定的数据包,用在抓包过程中。
如果上机过程中,想抓取某些特定的数据包时,可以有以下两种方法:
1.在抓包的时候,先定义好抓包过滤器,这样结果就是只抓到设定好的那些类型的数据包;
2.把本机所收到的数据包全部抓下来,然后使用显示过滤器,只让Ethereal显示那些用户想要的那些类型的数据包;
3安装配置FTP服务器
实验步骤同Web服务器设置类似:
(1)安装IIS组件
(2)设置Ftp
(3)用Ftp向导新建一个网站
(4)测试新建的网站
(5)设置虚拟目录
4.安装配置Dቤተ መጻሕፍቲ ባይዱCP服务器
(1)DHCP服务器的安装
选择“开始”→“设置”→“控制面板”→“添加/删除程序”→“添加/删除Windows组件”命令→选择“网络服务”后单击“详细信息”按钮→选择“动态主机配置协议(DHCP)”后单击“确定”按钮
Limit each packet:限制每个包的大小,缺省情况不限制
Capture packets in promiscuous mode:是否打开混杂模式。如果打开,抓取所有的数据包。一般情况下只需要监听本机收到或者发出的包,因此应该关闭这个选项。
Filter:过滤器。只抓取满足过滤规则的包(可暂时略过)
(4)ethereal的显示过滤器
在抓包完成以后,显示过滤器可以用来找到用户感兴趣的数据包,可以根据协议、是否存在某个域、域值、域值之间的比较来查找感兴趣的包。
6.用Ethereal进行数据抓包
(1)捕获DHCP数据包:
输入:ipconfig /release然后:ipconfig /renew
(2)捕获DNS数据包
在向导的提示下输入别名,即虚拟目录名,如“my virtual directory”。
在向导的提示下输入网页文件的真实路径。实际路径的文件夹甚至可以在别的主机上,可以通过浏览查找。
除了在客户端打开IE外,也可以直接在当前服务器上查看。输入网址http://localhost/myvirtual directory。
指导老师评议
成绩评定:指导教师签名:
在站点IP地址栏中输入服务器的IP地址和端口值。
输入新站点的主目录路径,可用浏览的方法
设置访问网站方式。若选中允许“浏览”,则访问者可以查看文件目录。
(4)测试新建的网站
单击“开始—程序—管理工具—Internet服务管理器”,打开Internet信息服务单元,选中“默认Web站点”,打开快捷菜单的“停止”,这样先关闭原来的Web网站。