网络实验指导书(抓包).doc

《网基本技术与应用》
实验指导书
信息科学与技术分院
网络工程与信息安全教研室

目录
实验1 Ethereal软件下载、安装以及基本操作 2
实验2 熟悉Ethereal软件的常用菜单项 6
实验3设置Ethereal的过滤规则 9
实验4设置Ethereal的显示过滤规则 12
实验5设置Ethereal的显示过滤规则 15
实验6 分析ICMP报文 17
实验7 分析EtherealⅡ报文 20
实验8 分析ARP报文格式 22
实验9 分析FTP协议 24
实验10 DNS协议分析 26
实验11 HTTP协议分析 28
实验12 ethereal使用提高 30
实验1 Ethereal软件下载、安装以及基本操作
实验目的:独立完成Ethereal软件下载、安装,并能够进行基本操作。
实验内容:
掌握Ethereal软件的基本操作:
指定网卡,截获网络上的数据包。
保存截获到的数据包列表资料。
熟悉各个主要的菜单项。
操作步骤:
双击启动桌面上ethereal图标,按ctrl+K进行“capture option”的选择。
首先选择正确的NIC,进行报文的捕获。
对“capture option”各选项的详细介绍:Interface是选择捕获接口;Capture packets in promiscuous mode表示是否打开混杂模式,打开即捕获所有的报文,一般我们只捕获到本机收发的数据报文,所以关掉;Limit each packet 表示限制每个报文的大小;Capture files 即捕获数据包的保存的文件名以及保存位置。
“capture option”确认选择后,点击ok就开始进行抓包;同时就会弹出“Ethereal:capture form (nic) driver”,其中(nic)代表本机的网卡型号。同时该界面会以协议的不同统计捕获到报文的百分比,点击stop即可以停止抓包。
下图为Ethereal截取数据包的页面。由上而下分別是截取数据包的列表以及封包的详细资料,最下面则是封包的內容,这时是以16进制及ASCII编码的方式来表示。其中在列表这部份,最前面的编号代表收到封包的次序,其次是时间、来源地址、目的地址,最后则是协议的名称以及关于此封包的摘要信息。
若是想将截获到的数据包列表资料储存起来,可以执行[File]→[Save]或[Save As]将资料储存起来,存储对话框如下图所示,这些储存的数据包资料可以在以后执行[Open]来加以开启。
思考题:如果觉得截获的的封包数量太多的話,你要怎么做?
实验2 熟悉Ethereal软件的常用菜单项
实验目的:独立完成Ethereal软件下载、安装,并能够进行基本操作。
实验内容:熟悉各个常用的菜单项。
操作步骤:
简介File的下拉菜单:“Open”即打开已存的抓包文件,快捷键是crtl+Q;“Open Recent”即打开先前已察看的抓包文件,类似windows的最近访问过的文档;“Merge”字面是合并的意思,其实是追加的意思,即当前捕获的报文追加到先前已保存的抓包文件中;Export是输出的意思;Print 打印;Quit退出;Save和save as即保存、选择保存格式。
注:其中save as保存为是有个注意点,File type保存选择时注意:缺省保存为libpcap格式,这个是linux下的tcpdump格式的文件。只有选择文件保存格式为sniffer(windows-base),ethereal和sniffer才能双向互相打开对方抓包的文件。否则只有ethereal能打开sniffer的抓包文件。
简介Edit的下拉菜单:Find Packet 就是查询报文,快捷键是ctrl+F;可以支持不同格式的查找;输入正确的语句,那么背景为绿色,语句错误或缺少背景就为红色;Find Next是向下查找;Find Preyious是向上查找;Time Reference做个报文的“时间戳
”,方便大量报文的查询;Mark Packet(toggle)是标记报文;Mark all packets 和 Unamrk all packet即标记所有报文、取消标记所有报文
注:点击“preference”进行用户界面的选择,比如说报文察看界面布局的选择,以及协议支持的选择。
简介View的下拉菜单:Main toolbar 主工具栏;Filter Toolbar 过滤工具栏;Statusbar 状态条;Packet list 报文列表;Packet details 报文详解;Packet byte 报文字节察看;Time display forma