Ethereal软件简易教程

Ethereal软件简易教程

准备工作

Ethereal软件的安装

WindowsXP直接双击ethereal-setup-0.99.0.exe安装文件即可,安装选项默认即可。安装包集成了WinPcap软件。安装过程中会提示WinPcap软件的安装。(注意:安装目录不要有中文目录)。windows7/8由于ethereal-setup-0.99.0.exe安装文件中集成的WinPcap软件版本不支持windows7及以上Windows版本系统,安装ethereal软件过程中会提示WinPcap软件安装失败;不必在意,继续操作即是。如果此时打开Ethereal软件进行操作会提示如图1.1所示的错误,及WinPcap软件安装失败造成的。这时,我们可以下载最新版本的WinPcap软件安装到本机即可。下载地址:http://www.winpcap.org/install/default.htm。这样,Ethereal软件即安装成功。Unix/Linux未测试,待添加。


Ethereal软件简易教程_第1张图片
1.1 缺失WinPcap软件支持报错

Ping命令的简单实用

         由于下文将使用“ping”命令,在此仅作简单介绍。

     ping命令一般用于检测网络的联通情况。PING (Packet Internet Groper),即因特网包探索器,用于测试网络连接量的程序。Ping发送一个ICMP(Internet Control Messages Protocol)即因特网信报控制协议;回声请求消息给目的地并报告是否收到所希望的ICMP echo ICMP回声应答)。

         如在windows的“命令提示符”(控制台)窗口测试“www.bing.com”所在站点服务器的访问情况。可以输入:ping www.bing.com。如图1.2所示。

     此时,本地计算机会向“www.bing.com”所在站点服务器终端发送四个ICMP数据包;服务器终端接受到后也会向本地计算机发送四个应答报文。如图1.2所示,传送的字节数为32个字节;时间越小说明访问越快;TTL表示生存时间字段(Time To Live)。详细内容参考计算机网络网络层相关内容。

         在下文中,我们将利用Ethereal软件捕获通过“ping”指令发送的ICMP数据包和相应的MAC帧内容,并且对MAC帧格式进行分析。Ethereal软件简易教程_第2张图片

1.2 ping命令演示截图

注意:“ping”命令更详细的介绍参见:http://baike.baidu.com/view/709.htm

MAC帧分析

Ethereal软件操作步骤

打开Ethereal(网络协议分析软件),运行后的截图如图2.1所示。Ethereal软件简易教程_第3张图片

2.1 Ethereal软件主界面

说明:Ethereal是一款免费的网络协议分析程序,支持UnixWindows。借助这个程序,我们既可以直接从网络上抓取数据进行分析,也可以对由其他嗅探器抓取后保存在硬盘上的数据进行分析。目前,Ethereal能够解析761种协议数据包,选择菜单命令“HelpSupported Protocol”子菜单项可以查看详细信息。

选择菜单命令“Capture->Interfaces…”子菜单项。此时,会弹出“EtherealCapture
Interface
”对话框,如图所示。Ethereal软件简易教程_第4张图片

2.2 本机的网络适配器

说明:在此对话框中显示了本地计算机存在的网络适配器。点击“Details”按钮可以查看对应适配器的详细信息;点击“Prepare”按钮可以在经过详细设置后开始捕获网络数据包(本文选择默认设置);点击“Capture”按钮即开始捕获网络数据包。

如图2.2所示,本地计算机可能会存在多个网络适配器。由于安装了VMware虚拟机软件,会出现一些虚拟网络适配器。捕获数据包时,请采用真正使用的网络适配器。同时,从图中也可以看出本机的IP地址和数据包传输量和传输速度情况。

    ③点击“Prepare”按钮,弹出“EtherealCapture
Option
”对话框,如图2.3所示。Ethereal软件简易教程_第5张图片

2.3 数据包捕获设置对话框

    说明:由于网络数据传输复杂,我们可以通过设置数据包捕获限制可以更快捷地捕获我们想要的数据包。在此对话框列出了当前可用适配器、本地计算机IP地址、数据捕获缓冲区大小、是否采用混杂模式、捕获数据包最大长度限制、数据捕获过滤规则等一系列配制参数。详细设置内容参见:http://wenku.baidu.com/view/1f865022482fb4daa58d4bdb.html

         在本文中,所有的操作均采用默认设置。

点击“Start”按钮,在弹出“EtherealCapture From…”对话框时,开始捕获网络数据包,如图2.4所示。Ethereal软件简易教程_第6张图片

2.4 数据包正在捕获中

         说明:在此对话框中列出了已捕获数据包数量的统计信息以及已经花费的时间。如果用户此时点击“Stop”按钮,捕获进程立即中断,中断后可以对已捕获到的数据进行分析。

         由于我们要捕获的是“ping”命令产生的八个ICMP数据包和对应的MAC帧内容,所以在此步骤中不点击“Stop”。

打开windows的“命令提示符”(控制台)窗口,使用“ping”命令测试本机与远程服务器间的连通性。比如,如图2.5所示,输入:ping j2ee.iliyang.cn。产生八个ICMP数据包让Ethereal软件来捕获。Ethereal软件简易教程_第7张图片

2.5 ping产生八个ICMP数据包

说明:在使用“ping”命令测试本机与远程服务器客户端的连通性时,本地计算机向客户端发送四个ICMP数据包,网关也会向本地计算机发送四个应答报文。因此,这八个报文将被Ethereal软件捕获。八个ICMP数据包传输的32个字节的内容都是相同的。

完成的操作之后,点击“Stop”按钮,中断数据包的捕获。此时,进入Ethereal程序的主界面,捕获的数据内容如图2.6所示。Ethereal软件简易教程_第8张图片

2.6 捕获数据包后Ethereal软件的主界面

说明:主页面显示为三个部分:数据包列表区、协议树区和十六进制对照区。点击数据包列表区中的Protocol项,找到刚刚捕获的ICMP数据包。用户点击任何一个区中的任意元素,另外两个区都会实时刷新显示。

MAC帧格式的分析

         MAC帧格式的分析,主要是对十六进制对照区中MAC帧的分析。

DIX Ethereal V2标准的MAC帧格式如表3.1所示。(单位:字节)

         在使用“命令提示符”(控制台)窗口输入“ipconfig /all”可以查看本地计算机的MAC地址。如图3.1所示,我的测试笔记本的MAC地址为:04-7D-7B-48-4D-793.1 ipconfig/all命令显示Ethereal软件简易教程_第9张图片

Frame7进行MAC帧格式分析

         Frame7的显示截图如图3.2所示。Ethereal软件简易教程_第10张图片

3.2 Frame7的数据包分析截图

         数据包列表区中我们能获取的信息有:

                  本机IPSource):192.168.1.102                
服务器IPDestination):180.149.131.99

            协议:ICMPInternet
Control Message Protocol
Internet控制报文协议

       协议树区中,我们能得到的信息更多,但是我们现在只关注第二个Ethernet II(与MAC帧相关)。我们能得到的信息有:

              目的地址DMCDestination):6c:e8:73:ce:78:64
              源地址SMACSource):04:7d:7b:48:4d:79

               类型(Type):0x0800(即上层使用的是IP数据报)

         十六进制对照区中我们能得到MAC帧如下:6c e8 73 ce 78 64 04 7d 7b48 4d 79 08 00 45 0000 3c 50 ec 00 00 40 01 00 00 c0 a8 01 66 b4 95 83 63 08 00 4d 26 00 01 00 35 61 62 63 64 65 66 67 68 69 6a 6b 6c 6d 6e 6f 70 71 72 73 74 75 76  77 61 62 63 64 65 66 67 68 69

按照中的DIX
Ethereal V2
标准的MAC帧格式,分析如下:

目的地址DMC6c e8 73 ce 78 64 (红色部分)

源地址SMAC04 7d 7b 48 4d 79 (蓝色部分)

类型:0800 (绿色部分)

传输的数据报:(黑色部分),可以知道的是传输的32个字节内容是:                            abcdefghijklmnopqrstuvwabcdefghi (传输的是ASCII表值)

帧检验序列FCS:经分析,如果MAC地址为全0或者全1的话可以看到有FCS,正常收发的数据包,由高层协议负责进行差错控制,数据链路层就不用完成此项任务,因此可以省略FCS字段。上述的分析得到的数据内容和通过在“命令提示符”(控制台)输入的命令获得的内容是吻合的;对于日后将接触的ICQARPDNSHTTP等协议的数据报捕获操作与本文介绍的完全类似,只是细节上的侧重点不同。

本文系初学者个人总结,如遇错误或迷惑之处欢迎指正咨询.

你可能感兴趣的:(Ethereal软件简易教程)