使用Ethereal分析数据包
Ethereal -抓包、报文分析工具
Ethereal -抓包、报文分析工具Ethereal 是一种开放源代码的报文分析工具,适用于当前所有较为流行的计算机系统,包括 Unix、Linux 和 Windows 。
主界面如上图,点“抓包配置”按钮,出现抓包配置界面如下图。
在“Interface”中选择网卡,即用来抓包的接口,如果选择错误就不能抓到报文;“Capture packets in promiscuous mode(混杂模式抓包)”是指捕捉所有的报文,如不选中就只捕捉本机的收发报文;如果选中“Limit each packet to xx bytes(限制每个包的大小)”则只捕捉小于该限制的包;抓包时,数据量比较大,解析起来速度慢,可在“Capture Filter(抓包过滤设置“Display Options(显示设置)”中建议选中“Update list of packets in realtime(实时更新抓包列表)”、“Automatic scrolling in live capture(自动滚屏)”和“Hide capture info dialog(隐藏抓包信息对话框)”三项。
抓包配置好就可以点击“Start”开始抓包了。
抓包结束,按“停止”按钮即可停止。
为了快速查看需要的报文,在“Filter”栏中输入过滤条件后按回车键即可对抓到的包进行过滤。
注意“Filter”栏中输入的过滤条件正确则其底色为绿色,错误则其底色为红色。
常用有些报文还可以判断网络的状况,例如输入显示过滤条件tcp.analysis.flags,可以显示丢失、重发等异常情况相关的TCP报文,此类报文的出现频率可以作为评估网络状况的一个标尺。
偶尔出现属于正常现象,完全不出现说明网络状态上佳。
tcp.flags.reset==1。
SYN是TCP建立的第一步,FIN是TCP连接正常关断的标志,RST是TCP连接强制关断的标志。
统计心跳报文有无丢失。
在statistics->conversations里选择UDP,可以看到所有装置的UDP报文统计。
ethereal的使用详解
Statistics的下拉菜单
Statistics 顾名思义 统计 就是相关的报文的统计信息 Summmary 报文的详细信息 Protocol hierarchy 协议层 即各协议层报文的统计 Conversations 显示该会话报文 的信息 (双方通信的报文信息) endpoints 分别显示单方的报文 信息 IO Graphs 报文通信的心跳图 (翻译的比较蹩脚)
Ethereal的使用
Etherreal
ethereal Overview
• Ethereal是一个可以对活动的网络上或磁盘 中捕获数据并进行分析的重要软件。 • 特点:
– 计算机网络调试和数据包嗅探器,可用于故障修 复、分析、软件和协议开发与学习。 – 可以通过过滤器精确地显示数据,输出文件可以 被保存或打印为文本格式。
ether|ip broadcast|multicast
<expr> relop <expr>
符号在Filter string语法中的定义
Equal: eq, == (等于) Not equal: ne, != (不等于)
Greater than: gt, > (大于)
Less Than: lt, < (小于)
这里要注意了,这里语法输 入有点技巧。
capture的Capture filter
• 过滤器通常有三种
– 类型(type)
• 主要包括host(主机)、net(网络号)、 port(端口)。 • 如,host 192.168.0.1指主机地址。Net 192.168.0.0指网络号为 192.168.0.0的网络。Port 23指端口号是23.
Ethereal 分析数据报文
实验二利用网络嗅探工具Ethereal分析数据报文一、实验目的网络世界中,最基本的单元是数据包。
本实验内容作为将来各个实验的基础,培养对网络通讯协议底层的分析和认识,加强对网络的理解。
实验内容主要关注 ICMP、HTTP 包的检验。
1.学习网络嗅探工具 Ethereal 的使用。
2.利用抓包工具Ethereal,抓取ICMP包,完成对ICMP 包的分析工作。
明白 ICMP 包的结构。
结合 TCP/IP 的模型,分析 ICMP 包各层的功能,以及各层通信使用的地址,了解 ICMP 请求和响应包的 ICMP 协议号。
3.利用抓包工具 Ethereal,抓取 HTTP 包。
了解 HTTP 协议请求、响应包类型,结合课本学习知识完成的 HTTP 协议的剖析和掌握。
将来的课程实验中,需要使用该工具进行包分析,判断大多数安全和网络通讯问题。
二、实验环境1. 局域网环境2. Ethereal软件Ethereal 软件介绍Ethereal是一个网络数据包分析软件。
网络数据包分析软件的功能是截取网络数据包,并尽可能显示出最为详细的网络数据包资料。
网络数据包分析软件的功能可想像成"电工技师使用电表来量测电流、电压、电阻"的工作——只是将场景移植到网络上,并将网络线替换成电线。
三、实验任务1. 任务1:Ethereal 软件的基本功能使用2. 任务2:ICMP 数据报文的检测与分析3. 任务3:HTTP 数据报文的检测与分析四、实验步骤首先安装Ethereal和Winpcap。
任务1:Ethereal 软件的基本功能使用一、 打开 Ethereal,其界面如下图:二、在菜单的“capture”选项中设置抓包的相关参数,如下图:三、选择“interfaces”选项,对话框中显示可操作的网络适配器,如下图:四、通过“Prepare”或上级菜单“Option”选项,可以设置抓包模式、过滤器、数据包限制字节、存档文件模式、停止规则和名字解析等参数,如下图:设置完毕,就可以点击“Capture”,开始数据报文的捕获。
使用 Ethereal 软件进行数据抓包
在客户端打开IE浏览器,访问新建网站。单击向导“下一步”,在说明中输入该站的网站名称。
(5)设置虚拟目录
目录作用是在地址栏中除了输入主机名外,还用“/目录名”来进一步指向某个子目录或网页文件。
单击“开始—程序—管理工具—Internet服务管理器”,打开Internet信息服务单元,选中准备新建虚拟目录的网站“默认Web站点”,打开快捷菜单的“新建—虚拟目录”。
3、分析捕获到的典型的数据帧。
实验环境
Windows 2003 server
实验内容(算法、程序、步骤和方法)
1安装配置DNS服务
(1)选择“开始”→“设置”→“控制面板”→“添加/删除程序”→“添加/删除Windows组件”命令→选择“网络服务”选项→请选择“域名服务系统(DNS)”后单击“确定”按钮。
File:如果需要将抓到的包写到文件中,在这里输入文件名称。
Use ring buffer:是否使用循环缓冲。缺省情况下不使用,即一直抓包。注意,循环缓冲只有在写文件的时候才有效。如果使用了循环缓冲,还需要设置文件的数目,文件多大时出现滚动条。
其他的项选择缺省的就可以了。
(3)Ethereal的抓包过滤器
输入:ipconfig /flushdns
捕获HTTP数据包,打开网页访问自己建的网站即可
捕获FTP数据包,打开网页访问自己建的FTP站点即可
数据记录
和计算
DHCP抓包
DNS抓包
HTTP抓包
FTP抓包
结论
(结果)
通过Ethereal软件成功捕获四种数据包
小结
通过这次实验,熟悉并初步掌握了Ethereal软件的使用,该软件分析了网络协议TCP,DHCP,DNS,FTP并成功捕获数据包,使得其更直观的展现在面前。通过本次实验加深了对网络数据包结构的理解和认识,为以后的深入学习打下了基础。虽然这次实验自己做了很长时间,但是感觉自己收获颇丰。
Ethereal 抓包分析
帧结束IP包:rtp.marker == 1
小知识:100Mbps网络,每秒钟最大能转发多少个1266字节的视频IP包? 答案:1万个。 也就是说,此时转发每个视频IP包,需要占用0.1ms的周期(时间片)。
内容
1.Ethereal 工具简介
2.用Ethereal分析 视频流
3.用Ethereal分析 VMP/GMP报文 4.心动不如行动,学习不如实践 5. 视频监控,推荐的Ethereal版本
注:手工增加了“对应帧结尾比较”:
19
修行在个人:
下列目录,有一些现成的报文,可供“懒虫”参考。
\\h3chznt04\多媒体产品线\培训资料\培训地图课程\监控产品\Ethereal 抓包分析
\心动不如行动
20
内容
1. Ethereal 工具简介
参见: \\h3chznt04\多媒体产品线\培训资料\培训地图课程\监控产品\Ethereal 抓包分析 \VMP_GMP的 DLL
15
VMP消息举例:
参见: \\h3chznt04\多媒体产品线\培训资料\培训地图课程\监控产品\Ethereal 抓包分析 \常见VMP_GMP消息 示例\《iVS8000方案视频监控单域业务流程》
监控IMOS平台、MPP V3新产品,推荐使用Ethereal的新版本wireshark。 统一后的江湖,没有江湖。 这个世界清静了。。。
22
有问题吗?
余世维语录: 能自己搞定的事情,不要去问别人。
23
杭州华三通信技术有限公司
16
内容
1.Ethereal 工具简介
2.用Ethereal分析 视频流
网络协议分析工具Ethereal的使用
⽹络协议分析⼯具Ethereal的使⽤⼤学时计算机⽹络课的实验报告,当时提不起兴趣,今天看来还挺有⽤的。
可以学习下怎样抓数据包,然后分析程序的通信协议。
⼀:学习使⽤⽹络协议分析⼯具Ethereal的⽅法,并⽤它来分析⼀些协议。
实验步骤:1.⽤“ipconfig”命令获得本机的MAC地址和缺省路由器的IP地址;(注:缺省路由器即 ”Default Gateway”)命令⾏:Start->Run->CMD->ipconfig /all >C:\Mac.txt(在命令⾏中把ipconfig命令保存在⽂本⽂档⾥⾯备⽤)结果:本机Mac地址:00.09.73.4B.8A.D7 缺省路由器IP:192.168.8.254步骤截图:图1(本机⽹络信息:Mac.txt)2.⽤“arp”命令清空本机的缓存:命令⾏:Start->Run->CMD->arp –d图2(arp命令 –d参数的帮助说明)3.运⾏Ethereal,开始捕获所有属于ARP协议或ICMP协议的,并且源或⽬的MAC地址是本机的包:图3(Capture->Options中关于⽹卡设置和Capture Filter)图4(抓包截图)4.执⾏命令:“ping” 缺省路由器的IP地址:图5(捕获包)图6(ping 过程)⼆:⽤Ethereal观察tracert命令的⼯作过程:1.⽤Ethereal语法内容及参数说明:命令⾏操作步骤:Start->Run->CMD->tracert图1(Tracert命令全部参数的帮助说明)2.运⾏Ethereal, 设定源和⽬的MAC地址是本机的包,捕获tracert命令中⽤到的消息:Tracert使⽤ICMP,相应过滤规则为:ether host 00:09:73:4B:8A:D7 and icmp图3(Capture->Options中关于⽹卡设置和Capture Filter)3.执⾏“tracert -d ” ,捕获包:执⾏命令:tracert -d :图3 (执⾏命令 tracert –d )图4(抓包截图)图5(捕获包)4.Tracert⼯作原理:Tracert使⽤ICMP消息,具体地讲,tracert发出的是Echo Request消息,触发返回的是Time Exceeded消息和Echo Reply消息。
实验二用Ethereal软件工具捕获报文并进行分析
Ethereal软件下载、安装以及基本操作操作步骤:1.双击启动桌面上ethereal图标,按ctrl+K进行“capture option”的选择。
2.首先选择正确的NIC,进行报文的捕获。
3.对“capture option”各选项的详细介绍:Interface是选择捕获接口;Capture packetsin promiscuous mode表示是否打开混杂模式,打开即捕获所有的报文,一般我们只捕获到本机收发的数据报文,所以关掉;Limit each packet 表示限制每个报文的大小;Capture files 即捕获数据包的保存的文件名以及保存位置。
4.“capture option”确认选择后,点击ok就开始进行抓包;同时就会弹出“Ethereal:capture form (nic) driver”,其中(nic)代表本机的网卡型号。
同时该界面会以协议的不同统计捕获到报文的百分比,点击stop即可以停止抓包。
5.下图为Ethereal截取数据包的页面。
由上而下分別是截取数据包的列表以及封包的详细资料,最下面则是封包的內容,这时是以16进制及ASCII编码的方式来表示。
其中在列表这部份,最前面的编号代表收到封包的次序,其次是时间、来源地址、目的地址,最后则是协议的名称以及关于此封包的摘要信息。
6.若是想将截获到的数据包列表资料储存起来,可以执行[File]→[Save]或[Save As]将资料储存起来,存储对话框如下图所示,这些储存的数据包资料可以在以后执行[Open]来加以开启。
设置Ethereal的显示过滤规则操作步骤:1.在抓包完成后,显示过滤器用来找到你所感兴趣的包,依据1)协议2)是否存在某个域3)域值4)域值之间的比较来查找你感兴趣的包。
2.举个例子,如果你只想查看使用tcp协议的包,在ethereal窗口的工具栏的下方的Filter中输入tcp,让后回车,ethereal就会只显示tcp协议的包,如下图所示:3.值比较表达式,可以使用下面的操作符来构造显示过滤器。
使用包嗅探及协议分析软件Ethereal 分析 Ethernet帧.
计算机网络课程实验报告姓名院系自动化学院学号实验地点东校区机房实验时间实验课表现出勤、表现得分实验报告得分实验总分操作结果得分实验目的:1、熟悉并应用Ethereal软件。
2、捕获数据报并且分析报文的结构。
实验内容:1. 在windows中安装Ethereal软件。
2、配置包捕获模式为混杂模式,捕获网络中所有机器的数据包当捕获到一定数量的数据报后,停止捕获,观察捕获到的数据包,并对照解析结果和原始数据包的具体字段(如了解本机网卡地址字段、IP地址字段、端口号等)结果:分析:可以看出此帧为Ethernet V2帧,端口号为9101。
其中,目的MAC地址为:01:00:5e:00:05:02,源MAC地址为:ec:a8:6b:68:ed:d9类型:0x08 00 为IP协议的数据。
数据里面是一个ip数据报。
其中0x45指是IPV4协议的,并且头部长度为20B+5B。
服务类型字段是:0x00,总长度字段是:0x00 56代表都86字节。
标识字段为:0x20 23,分断标识与段偏移量:0x00 00表示可分片,且为最后一片。
生存期字段:0x20,协议字段:0x11,表示数据部分要提交给UDP协议。
头部校验和字段为:0x54 b5 源地址字段为:0x d2 2a 69 92 目的地址字段为:0x e5 00 05 02,其余为数据部分。
3、配置包捕获过滤器,只捕获特定IP地址、特定端口或特定类型的包,然后重新开始捕获上图是捕获的特定的IP地址的包,为210.42.105.189.上图是捕获的特定端口的包,端口号为:9101。
上图为捕获的特定协议的包,为TCP协议的包。
4. (a)捕捉任何主机发出的Ethernet 802.3格式的帧(帧的长度字段<=1500),Ethereal的capture filter 的filter string设置为:ether[12:2] <= 1500分析:从上图的数据可以看出:为Ethernet 802.3 SAP帧,目的MAC地址为:01:80:c2:00:00:00,源MAC地址:00:1a:a1:57:ab:95,长度字段为:0x00 26,为38。
实验报告:用Ethereal捕获并分析TCP数据包
——用Ethereal捕获并分析数据包学院:计算机工程学院专业:计算机科学与技术姓名:张徽学号:2008404010135TCP报文格式分析◆TCP提供一种面向连接的、全双工的、可靠的字节流服务。
◆在一个TCP连接中,仅有两方进行彼此通信。
广播和多播不能用于TCP。
◆TCP的接收端必须丢弃重复的数据。
◆TCP对字节流的内容不作任何解释。
对字节流的解释由TCP连接双方的应用层解释。
◆TCP通过下列方式来提供可靠性:➢应用数据被分割成TCP认为最适合发送的数据块,称为报文段或段。
➢TCP协议中采用自适应的超时及重传策略。
➢TCP可以对收到的数据进行重新排序,将收到的数据以正确的顺序交给应用层。
➢TCP的接收端必须丢弃重复的数据。
➢TCP还能提供流量控制。
TCP数据报的发送过程图TCP数据报的格式●源端口:占16比特(2个字节),分段的端口号;●目的端口:占16比特(2个字节),分段的目的端口号;端口是传输层与应用层的服务接口。
传输层的复用和分用功能都要通过端口才能实现;●序号字段:占4字节。
TCP连接中传送的数据流中的每一个字节都编上一个序号。
序号字段的值则指的是本报文段所发送的数据的第一个字节的序号。
●确认号字段:占4字节,是期望收到对方的下一个报文段的数据的第一个字节的序号。
●数据偏移:占4比特,它指出TCP报文段的数据起始处距离CP报文段的起始处有多远。
“数据偏移”的单位不是字节而是32bit字(4字节为计算单位)。
●保留字段:占6bit,保留为今后使用,但目前应置为0。
●编码位:编码位含义紧急比特URG 当URG=1时,表明紧急指针字段有效。
它告诉系统此报文段中有紧急数据,应尽快传送(相当于高优先级的数据)。
确认比特ACK只有当ACK=1时确认号字段才有效。
当ACK=0时,确认号无效。
推送比特PSH 当PSH=1时,表示请求急迫操作,即分段一到马上就发送应用程序而不等到接收缓冲区满时才发送应用程序。
Ethereal协议分析软件的使用和数据链路层协议分析
系别计算机科学与技术实验室网络工程实验室实验时间2012.2.22 1.实验名称实验一Ethereal的使用、以太网数据分析2. 实验目的(1)掌握嗅探工具Ethereal协议分析软件的使用方法(2)利用Ethereal软件工具截获以太网帧并完成报文分析3. 实验内容(1)Ethereal协议分析软件的使用(2)以太网链路层帧格式分析实验4. 实验环境实验设备和连接图如图所示,一台交换机连接了2 台PC 机,分别命名为PC1、PC2。
每两人一小组,每小组各自独立完成实验。
5. 实验步骤步骤1:按照如图所示连接好设备,配置PC1 和PC2 的IP 地址;(注:实验室中任何一台PC都可以作为模型中的PC1或PC2。
)步骤2:在:PC1 和PC2 上运行Ethereal 截获报文,为了只截获和实验内容有关的报文,将Ethereal 的Captrue Filter 设置为“No Broadcast and no Multicast ”;步骤3:在:PC1 和PC2互相ping对方;步骤4:停止截获报文:将结果保存为MAC-学号,并对按要求对截获的报文进行分析。
步骤5:启动系统中Messenger 服务。
步骤6:PC1和PC2互相发送消息报文。
如以PC1为例:PC1 和PC2 上运行Ethereal 截获报文,然后进入PC1 的Windows 命令行窗口,执行如下命令:net send PC2IP地址Hello(4)回答实验步骤4的问题:[1] 列出截获的一个报文中的各层协议类型,观察这些协议之间的关系。
[2] 在网络课程学习中,Ethernet规定以太网的MAC层的报文格式分为7字节的前导符、1字节的帧首定界、6字节的目的MAC地址、6字节的源MAC地址、2字节的类型、46~1500字节的数据字段和4字节的帧尾校验字段。
分析一个Ethernet 帧,查看这个帧由几部分组成,缺少了哪几部分?为什么?6.实验结论及心得对于Ethernet软件有了一个初步的了解,懂得了数据包的抓取和发送。
实验1-Ethereal的使用和网络协议的层次观察
实验1-Ethereal的使⽤和⽹络协议的层次观察实验1 Ethereal的使⽤和⽹络协议的层次观察⼀、实验⽬的:1、了解⽹络协议的层次结构2、初步掌握Ethereal的使⽤⽅法⼆、实验环境1、Ethereal⽹络分析软件2、实验⽂件“计算机⽹络-实验⽂件.cap”三、实验要求1、能够了解⽹络协议的层次结构2、能够正确掌握Ethereal的使⽤⽅法四、实验内容1、Ethereal介绍Ethereal是⼀个优秀的⽹络数据包分析软件,可以捕获(Capture) 和浏览(Display) ⽹络侦测的内容,还可以定义Filters规则,监视所有在⽹络上被传送的封包,并分析其内容。
Ethereal通常⽤来检查⽹络运作的状况,或是⽤来发现⽹络程序的bugs。
它可以分析的协议有:RTP、IP、ISAKMP、ICMP、SMB、SMB-PIPE、VTP、SNMPv3、Ethernet、GRE、EIGRP、DHCP、IPX、X.25、RSVP等。
2、Ethereal的使⽤启动ethereal后,选择菜单Capature->Options, 定义获取数据包的⽅式。
主要选项有,Interface: 指定在哪个接⼝(⽹卡)上抓包;Limit each packet: 限制每个包的⼤⼩以避免数据过⼤,缺省情况下可不限制;Capture packets in promiscuous mode: 是否打开混杂模式。
如果打开,则抓取共享⽹络上可以探测的所有数据包。
⼀般情况下只需要监听本机收到或者发出的包,可以关闭这个选项。
Filter:设定过滤规则,只抓取满⾜过滤规则的包;File:如果需要将抓到的包写到⽂件中,在这⾥输⼊⽂件名称。
其他的项选择缺省的就可以了。
选择start开始抓包。
选择stop,则停⽌抓包。
3 . 实验⽂件“计算机⽹络-实验⽂件.cap”的获取该实验⽂件的建⽴是在本⼈主机上完成的,运⾏以下命令,期间通过浏览器访问BAIDU,同时使⽤ethereal抓取期间⽹络数据包:ipconfig /release (释放当前IP配置)arp –d (释放当前ARP缓存)ipconfig /flushdns (释放当前DNS缓存)pause (准备开始抓取⽹络数据包)ipconfig /renew (重新配置当前IP配置,本⼈主机需要执⾏DHCP协议)ping -l 2000 -f 219.222.170.254 (不拆分2000字节数据包,发送⾄⽹关)ping -l 2000 219.222.170.254 (发送2000字节数据包⾄⽹关,允许拆分)tracert /doc/323e6c0616fc700abb68fc0c.html (跟踪当前主机到/doc/323e6c0616fc700abb68fc0c.html 的路由)pause4.数据包的分析打开⽂件“计算机⽹络-实验⽂件.cap”,这是⼀个包括204个分组的⽹络通信记录,当前主机IP地址是219.222.170.14 、⽹关地址是219.222.170.254、⽂件中出现的119.75.217.56 是百度公司的IP地址、172.30.0.19是东莞理⼯学院⽹络中⼼提供的Windows Server Update Services (WSUS)。
实验-使用wireshark(Ethereal)分析数据包
Find Preyious是向上查找
Time Reference 字面是时间参 考,使用后明白是 做个报文 的“时间戳”,方便大量报文 的查询
Edit的下拉菜单报文标签
使用Time Reference标
签后,原先time的就变成 “REF”缩写的标记 附注:可以在多个报文间 用时间戳标记,方便 查询。
Ethereal工具的构成与安装
Winpcap.exe是Win32平台上进行包捕获和网络协 议分析的开源库,含有很重要的包过滤动态链接 库(packet.dll库)和wpcap.dll库,这两个动态链接 库都提供有抓包工具必需的应用编程接口API。 在安装Ethereal之前,必须要先安装WinPcap, 否则抓包无法完成。值得一提的是,0.10.14版本 的Ethereal工具已经把WinPcap工具固化在 Ethereal的安装程序中,只需要按照提示步骤默 认安装即可。
Analyze下的Display filters
正确的语法如下,和“Capture Filter”的语法有所不同:
显示 以太网地址为 00:d0:f8:00:00:03 设备通信的所有报文 eth.addr==00.d0.f8.00.00.03
显示 IP地址为 192.168.10.1 网络设备通信的所有报文 ip.addr==192.168.10.1
Mark Packet(toggle) 是标记报文 Mark all packets 和 Unamrk all packet即 标记所有报文 、取消 标记所有报文
Edit的下拉菜单
点击 “preference”
进行用户界 面的选择, 比如说 报文 察看界面布 局的选择, 以及协议支 持的选择。
基于ethereal的抓包分析
“飞秋”抓包分析前期筹备工作。
在接到教员布置的任务之后,我们班找了时间对这个报告工作所要解决的问题进行了归纳,再对实验的过程进行了讨论,然后对报告撰写进行了比较详细的讨论。
也在网上搜集了必要的资源和一些方法。
一.实验名称飞秋聊天和传输文件的抓包分析二.实验目的通过对飞秋聊天和传输文件时的抓包分析,了解飞秋的数据包的结构以及功能。
三.实验过程环境配置:<一>、抓包软件的配置。
一开始我们组选择的是sniffer这个软件来进行抓包和分析,但是在先后下载了几个版本都未能在电脑上面很好的运行,后来查阅资料显示sniffer在win7 64位上面确实存在兼容问题。
于是我们组选择了另外一个抓包软件Ethereal。
相比之下,ethereal的安装和配置就显得流畅得多。
很快就在电脑上运行了起来。
<二>、局域网的组建。
我们组采取的是wifi无线联接。
由一台电脑开启免费热点,然后其他几台电脑输入密码进行连接。
这样,局域网就组建了起来。
经过这几步,抓包相关的配置都已准备齐全,剩下来就是具体的抓包和分析了。
<三>抓包过程:1、运行飞秋。
可以看到飞秋主界面在局域网连接的状况下,打开软件就可以看到提示:有N名好友在线。
可以试着发送一些文件或短消息,检查连接和软件运行状况。
2、打开Ethereal软件,可以看到其全英文的主界面:界面顶部是三栏功能栏,第一栏为所有功能,分别是文件、添加、编辑、运行、捕获、分析、统计,帮助。
第二栏为快捷键,第三栏为抓包过滤选项(此项后面可以用到)。
界面下部分是可视窗口,显示抓到的包和简略的包数据。
3、开始抓包。
点击capture—options。
可以看到抓包界面:界面显示的是珠宝相关的一些操作,我们能用到的主要有红色标明的一些栏目,分别是1网卡选择、2及时显示抓到的数据包、3开始。
首先选择要抓取的网卡,选折好后可以看到挨着那一栏的ipaddress核对是否和飞秋上现实的自己的地址是否相同,检查完就可以开始了。
Ethereal抓包数据分析
上面所示图片是用Wireshark软件进行抓包数据分析的截屏,下面我将选取1号帧作为代表分别分析相应的数据:1、数据帧的相关信息:获取时间为0;源地址为118.123.234.160;目的地址为192.168.1.100;高层协议为UDP;包内信息概况为:源端口为irdmi,目标端口为51820,表示QQ聊天软件与本机网络连接的信息。
2、物理层的数据帧概况从图中可以看出:1号帧,线路上有101字节,实际捕获101字节,捕获时间为2010年10月24日18:14:36,测试时间为1287915276.685846000秒,此包与前一捕获帧的时间间隔为0秒,与前一个显示帧时间间隔为0秒,与第一帧的时间间隔为0秒,帧号为1,帧长为101字节,捕获长度为101字节,此帧没有被标记且没有被忽略,帧内封装的协议结构为UDP数据协议,用不同颜色染色标记的协议名为UDP,染色显示规则字符串为udp。
3、数据链路层以太网帧头部信息此包为以太网协议版本2,源地址为Tp-LinkT_a9:d9:c6 (00:19:e0:a9:d9:c6),说明本机的网络是有TP-Link路由器分出来的,其网卡地址为00:19:e0:a9:d9:c6;目标地址为HewlettP_78:9f:34 (00:25:b3:78:9f:34),说明本机的网卡是Hewlett厂家生产的,网卡地址为00:25:b3:78:9f:34。
帧内封装的上层协议类型为IP,十六进制代码为0800。
4、互联网层IP包头部信息互联网协议IPv4,源地址为118.123.234.160,目标地址为192.168.1.100,IP包头部长度为20字节,差分服务字段为0x00 (DSCP 0x00: Default; ECN: 0x00),表示一个特定的上层协议所分配的重要级别,默认的DSCP值是0,相当于尽力传送,ECN字段被分为ECN-Capable Transport (ECT) bit和CE bit,ECT bit设置为“ 0 ”表明该传输协议将忽略ignore CE bit,CE bit将由路由器设置,设置为0说明对末端节点不挤塞,IP包的总长度为87字节,标志字段为0,标记字段为0x02,没有分片,分片的偏移量为0,生存期为57,当减少为0时,该数据包将被丢弃以保证数据包不会无限制的循环,上层协议为UDP,报头的检验和显示为正确。
使用 Ethereal 软件进行数据抓包
如果上机过程中,想抓取某些特定的数据包时,可以有以下两种方法:
1.在抓包的时候,先定义好抓包过滤器,这样结果就是只抓到设定好的那些类型的数据包;
2.把本机所收到的数据包全部抓下来,然后使用显示过滤器,只让Ethereal显示那些用户想要的那些类型的数据包;
(2)设置网页
单击“开始—程序—管理工具—Internet服务管理器”
在Internet服务器管理单元中选中默认Web服务器
在“属性”对话框中单击“主目录”选项卡,然后指定主目录位置
(3)用Web向导新建一个网站
在D(假设)盘上建立好网页目录及文件
选中“默认Web站点””,右键单击“新建—站点”
单击向导“下一步”,在说明中输入该站的网站名称。
授权给DHCP服务器
建立可用的IP作用域
5.配置Ethereal
(1)启动Ethereal以后,选择菜单Capature->Start就可以了。当不再抓数据包的时候,按一下stop,抓的包就会显示在面板中,并且已经分析好了。
(2)选择菜单Capature->Start时
Interface:指定在哪个接口(网卡)上抓数据包。一般情况下都是单网卡,调整为所有的网卡即可。
2dns客户端的设置dns服务器中创建搜索区4建立正向标准主要区域5新建记录到主要区域内6创建反向标准主要区域7在反向区域内创建记录安装配置web服务器安装iis组件1单击开始设置控制面板添加删除程序选择配置windows单击组件按扭添加iis组件2设置网页单击开始程序管理工具internet服务管理器internet服务器管理单元中选中默认web服务器在属性对话框中单击主目录选项卡然后指定主目录位置3用web向导新建一个网站d假设盘上建立好网页目录及文件选中默认web站点右键单击新建站点单击向导下一步在说明中输入该站的网站名称
常用操作方法和工具介绍-ethreal
第1章常用操作方法和工具介绍1.1 镜像抓包工具现场人员进行故障处理,有时需要抓数据包进行分析。
本节介绍终端的抓包方法,用于指导现场工程师进行操作。
抓包工具很多,有Ethreal,WireShark,Sniffer等。
其中Ethreal和WireShark较为常见。
由于Wireshark 和Ethreal工具为同一产品的不同版本,并且Ethreal使用比较广泛版本比较新。
本节主要介绍Ethreal 的使用方法。
1.1.1 简介在这节,将介绍怎样通过Ethereal截包;怎样通过Ethereal观察包;在Ethereal怎样过滤包;怎样分析媒体包;还有其它功能。
1.1.2 截包我们通过选择“Capture”菜单中的“Start”子菜单或主工具条相对应的项来截包。
弹出“Caputure Options”对话框,如图1.1-1图 1.1-1 抓包开始选项1.1.2.1 截包参数的设定Interface:这项用于指定截包的网卡。
Link-layer header type:指定链路层包的类型,一般使用默认值。
Buffer size(n megabyte(s)):用于定义Ethereal用于截包的缓冲,当缓冲写满后,就将截的数据写道磁盘上。
如果遇到ethereal丢包现象,将该缓冲尽量增大。
Capture packets in promiscuous mode:截包时,Ethereal将网口置于混杂模式。
如果没有配置这项,Ethereal只能截取该PC发送和接收的包(而不是同一LAN上的所有包)。
Limit each packet to n bytes:定义Ethereal截取包的最大数据数,大于这个值的数据包将被丢掉。
默认为65535。
1.1.2.2 截包过滤条件的设定Ethereal 截包过滤条件,通过and 和or,将一系列的primitive 表达式连接在一起,有时可在primitive 表达式前用not。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
Ethereal的窗口由三部分构成
从上到下分别是 • (1) 各个协议的数据包列表; • (2) 某一具体协议的各个层次的数据分析; • (3) 帧的十六进制具体数据展示。
说明
• 可以看到,最上面的窗口为数据包的列表, 显示的是捕获到的每个数据包的大概信息; • 中间的窗口是选定的某个数据包的层次结 构和协议分析; • 最下面的窗口是数据包的16进制数据的具 体内容,也就是数据包在物理层上传递的 数据。
捕获过滤
Capture filter
捕获过滤
如果要捕获特定的报文,那在抓取 packet前就要设置,决定数据包的 类型。
FIlter name:任意命名 Filter string:
Capture filter
比如说: a.捕获 MAC地址为 00:d0:f8:00:00:03 网络设备通信的所有报文 ether host 00:d0:f8:00:00:03 b.捕获 IP地址为 192.168.10.1 网络设备通信的所有报文 host 192.168.10.1 c.捕获网络web浏览的所有报文 tcp port 80 d.捕获192.168.10.1除了http外的所有通信数据报文 host 192.168.10.1 and not tcp port 80
View的下拉菜单
Zoom in 字体的放大 Zoom out 字体的缩小 Normal size 标准大小
Resize columns 格式对齐 Collapse all 报文细节内容的缩 进 Expand all 报文细节内容的展开
Coloring Rules 颜色规则,即可 以对特定的数据包定义特定的颜 色。 Show packet in new window在新 窗口中查看报文内容 Reload 刷新
分析数据包
• No.列标识出Ethereal捕获的数据包的序号, • Time表明在什么时间捕获到该数据包, • Source和Destination标识出数据包的源端 和目的端, • Protocol表明该数据包使用的协议(以该数 据包最上层协议名命名), • Info是在列表中大概列出该数据包的信息。
File的下拉菜单
Export是输出的意思
Print 打印
Quit退出
Edit的下拉菜单
Find Packet 就是查询报文, 快捷键是ctrl+F
可以支持不同格式的查找
输入正确的语句,那么背景为 绿色,语句错误或缺少背景就为 红色
Edit的下拉菜单
Find Next是向下查找
View的下拉菜单
Main toolbar 主工具栏 Filter Toolbar 过滤工具栏 Statusbar 状态条
Packet list 报文列表 Packet details 报文详解 Packet byte 报文字节察看 Time display format 时间显示格 式(可以显示年月日时分秒) Name Resolution 名字解析 Auto scroll in live capture 单看 字面真的不好翻译(自动翻卷显 示活动的报文),使用对比一下 才获知:捕获时是否跟进显示更 新的报文还是显示先前的报文。
层协议才能显示出来。
Analyze的下拉菜单
Decode As 用户定义报文协议说明
User Specified Decodes 用户修改的报文编译
Analyze的Decode As
Decode As 用户定义报文协议说明 通过定义后,数据包细节 的窗口解释:以前是 tcp的 解释,更改就直接显示ssl 格式的报文。
选择抓取数据包的网卡
示例
• • • • • (1) NPF拨号适配器; (2) Intel PRO 1000MT网卡; (3) VMware虚拟机适配器1; (4) Intel PRO无线网卡; (5) VMware虚拟机适配器2。
说明
• 一般PC都带有NPF拨号适配器(很少使用)和某一 种有线网卡接口(网卡型号可能有不同)。因为在 该PC中安装有虚拟机VMware,VMware会显示 出两个虚拟机网卡接口选项,如果没有虚拟机, 就无此接口选项。如果某PC(主要是笔记本计算 机)装有无线网卡,就会有无线网卡接口选项。读 者选择哪个网卡接口进行抓包,是选择无线网卡 还是选择有线网卡,可以根据自己PC的具体情况 来定。作者的笔记本电脑安装有Intel PRO 1000MT网卡,所有数据包都是依靠该网卡来捕 获的。
Filter string 语法格式
[src|dst] host <host> ether [src|dst] host <ehost> gateway host <host> [src|dst] net <net> [{mask <mask>}|{len <len>} [tcp|udp] [src|dst] port <port> less|greater <length> ip|ether proto <protocol>
分析follow tcp stream
TCP报文是面向字节流的,浏览 ,进行 抓包,可以看到 tcp数据流
抓数据包
• 捕获数据包的时间长短要根据具体情况而定。比 如,要分析HTTP协议的数据结构,只需要捕获一 条HTTP数据即可;而要观察浏览器浏览服务器端 网站内容的详细过程,就需要详细地捕获从开始 到结束的整个过程。 • 以网站首页数据量较少的为例, 假如要详细显示客户端和首页数 据的详细交互过程,就需要不停地捕获数据包直 到数据彻底传递完毕。
第三章 使用Ethereal分析数据包
• 使用Ethereal可以帮助理解计算机网络体系 结构的实质,是信息类专业计算机网络必 备实验 • 该实验贯穿整个TCP/IP协议层次,可以详 细分析数据链路层、网络层、传输层和应 用层的数据
抓包工具种类
• Ethereal • Sniffer • Tcpdump(linux系统自带)
ether|ip broadcast|multicast
<expr> relop <expr>
符号在Filter string语法中的定义
Equal: eq, == (等于) Not equal: ne, != (不等于)
Greater than: gt, > (大于)
Less Than: lt, < (小于)
安装
抓包选择
Interface是选择捕获接口 Capture packets in promiscuous mode表示是否打 开混杂模式,打开表示捕获所 有的报文,一般我们只捕获本 机收发的数据报文
Limit each packet 表示 限制 每个报文的大小
Capture files 即捕获数据包的 保存的文件名以及保存位置
go的下拉菜单
Back 同样双方的上个报文 Forward 同样双方的下一个报文
Go to packet 查找到指定号码的 报文
First packet 第一个报文 Last packet 最后一个报文
capture的下拉菜单
Start 开始捕获报文
过滤
Interface 接口
Ethernet帧的首部
• 以太网帧首部一共14个字节,6个字节的目的地址00 11 5d ac e8 00(Cisco_ac:e8:00思科网卡标识符),表明使用 的是Cisco公司的设备,6个字节源地址00 16 17 ab 1e 48, 也就是本主机的网卡地址,2个字节类型字段0800,表明 里面的数据是IP数据报。
File的下拉菜单
Export是输出的意思
Print 打印
Quit退出
Sinffer、ethereal可以相互打开 对方的文件
其中”save as保存为”注意点:
点击 该展开按钮即可详细选择保存 路径 2. File type保存选择时注意: 1.
缺省保存为libpcap格式,这个是 linux下的tcpdump格式的文件。 只有选择文件保存格式为sniffer (windows-base)1.1和2.0都可, ethereal和sniffer才能双向互相打 开对方抓包的文件。否则只有 ethereal能打开sniffer的抓包文件。
File的下拉菜单
“Open”即打开已存的抓包文 件,快捷键是crtl+Q “Open Recent”即打开先前已 察看的抓包文件,类似 windows的最近访问过的文档 “Merge”字面是合并的意思, 其实是追加的意思,即当前捕 获的报文追加到先前已保存的 抓包文件中。 Save和save as即保存 、选择 保存格式。
Ethereal工具的构成与安装
• Winpcap.exe是Win32平台上进行包捕获和网 络协议分析的开源库,含有很重要的包过滤动 态链接库(packet.dll库)和wpcap.dll库,这两 个动态链接库都提供有抓包工具必需的应用编 程接口API。 • 在安装Ethereal之前,必须要先安装 WinPcap,否则抓包无法完成。值得一提的 是,0.10.14版本的Ethereal工具已经把 WinPcap工具固化在Ethereal的安装程序中, 只需要按照提示步骤默认安装即可。
Greater than or Equal to: ge, >= (大等于)
Less than or Equal to: le, <= (小等于)
Capture filter的应用步骤
Analyze的下拉菜单