Ethereal软件使用说明

Ethereal软件的安装与使用

一、实验目的

学会安装Ethereal软件，熟悉Ethereal，用ethereal来观察网络。了解ethereal工具的使用方法。了解使用ethereal抓包中各个字段的含义。为进一步实验做准备。

二、实验内容

Ethereal是一个开放源码的网络分析系统，也是目前最好的开放源码的网络协议分析器，支持Linux和Windows平台。Ethereal起初由Gerald Combs开发，随后由一个松散的Etheral团队组织进行维护开发。自从1998年发布最早的0.2版本至今，大量的志愿者为Ethereal添加新的协议解析器，如今Ethereal已经支持五百多种协议解析。很难想象如此多的人开发的代码可以很好的融入系统中；并且在系统中加入一个新的协议解析器很简单，一个不了解系统的结构的新手也可以根据留出的接口进行自己的协议开发。这都归功于Ehereal良好的设计结构。事实上由于网络上各种协议种类繁多，各种新的协议层出不穷。一个好的协议分析器必需有很好的可扩展性和结构，这样才能适应网络发展的需要不断加入新的协议解析器。

关于ethereal软件中option选项的说明：如下图所示。

●IP address:选择的网卡所对应的IP地址

●Link-layer header type:数据链路层的协议，在以太网中一

般是Ethernet II

●Buffer size:数据缓存大小设定，默认是1M字节

●Interface:选择采集数据包的网卡

●Capture packets in promiscuous mode:设定在混杂模式下

捕获数据，如果不选中，将只能捕获本机的数据通讯，默认情

况下选中该项 Limit each packet to:设定只捕获数据包的

前多少个字节（从以太网头开始计算），默认是68

●Capture Filter:设定当前的数据包采集过滤器

●File:设定数据包文件的保存位置和保存文件名，默认不保存

●Use multiple files:启用多文件保存，默认不启用

●Next file every:设定每个数据包文件的大小（单位是M，默认

1M），只有启用Use multiple files后此项才可用

●Next file every: 设定每个数据包文件的大小（单位是分钟，默

认1分钟），只有启用Use multiple files后此项才可用

●Ring buffer with:当保存多少个数据包文件后循环缓存，默认是

2个文件，即保存2个数据包文件后丢弃缓存中的数据包，再添加新采集到的数据包

●Stop capture after: 当保存多少个数据包文件后停止捕获，默

认是1个文件

Stop Capture 中

●… after:捕获到多少个数据包后停止捕获，默认不启用，如启用，

默认值是1

●… after:捕获到多少M字节的数据包后停止捕获，默认不启用，

如启用，默认值是1

●… after:捕获多少分钟后停止捕获，默认不启用，如启用，默认

值是1

Display Options

●Update list of packets in real time:实时更新捕获到的数据

包列表信息

●Automatic scrolling in live capture:对捕获到的数据包信息

进行自动滚屏显示

●Hide capture info dialog:隐藏捕获信息对话框

Name Resolution

●Enable MAC name resolution:把MAC地址前3位解析为相应的生

产厂商

●Enable network name resolution:启用网络地址解析，解析

IP,IPX地址对应的主机名

●Enable transport name resolution:启用端口名解析，解析端口

号对应的端口名

三、实验要求

要求抓图（如下图），说明每一个字段的含义。抓包类型至少2个

四、实验步骤

1）首先安装WinPcap_4_0_beta3软件。

2）安装Ethereal

3）熟悉Ethereal

Ethereal软件分析网络

一、实验目的

1、理解以太帧格式

2、理解ARP协议格式和ARP 协议的工作原理

3、理解IP包格式

4、理解TCP协议包格式和工作原理，如TCP建立连接的三次握手机制等。

5、理解UDP协议包格式

6、理解ICMP协议包格式

二、实验内容

使用Ethereal软件抓ARP包，分析ARP包内容，理解ARP协议的原理。

1）以太协议分析

捕获以太数据帧，记录并分析各字段的含义。

2）ARP协议分析

捕获以ARP包，记录并分析各字段的含义。分析ARP解析过程中主机交互过程。

3）IP协议分析

捕获IP包，记录并分析各字段的含义。

4）TCP协议分析

捕获TCP包，记录并分析各字段的含义。分析TCP三次握手过程。5）UDP协议分析

捕获UDP包，记录并分析各字段的含义。

6）ICMP协议分析

从主机A上向主机B发PING检测报文，捕获ICMP请求数据包和应答数据包，记录并分析各字段的含义，并与ICMP数据包格式进行比较；

三、实验要求

1）实验报告中说明以太数据帧和ARP、IP、TCP、UDP、ICMP包各个字段的含义，并说明ARP的工作原理，以及分析TCP建立的工作过程。

2）对捕获过程，进行抓图，并用红色线圈表明捕获要求的包。四、实验步骤

1）安装捕获软件。

2）启动捕获软件。

3）如图所示设定所抓包类型。

4）分析包的内容。