实验二用Ethereal软件工具捕获报文并进行分析

Ethereal

软件下载、安装以及基本操作

操作步骤：

1.

双击启动桌面上

ethereal

图标

，按

ctrl+K

进行“

capture option

”的选择。

2.

首先选择正确的

NIC

，进行报文的捕获。

3.

对

“

capture option

”< /p>

各选项的详细介绍：

Interface

是选择捕获接口；

Capture packets

in promiscuous mode

表示是否打开混杂模式，

打 开即捕获所有的报文，

一般我们只

捕获到本机收发的数据报文， 所以关掉；

Limit each packet

表示限制每 个报文的大

小；

Capture files

即捕获数据包的保存的文件名以及保存位置。

4.

“

capture

option

”

确

认

选

择

后

，

点

击

ok

就

开

始

进

行

抓

包

；

同

时

就

会

弹

出

“< /p>

Ethereal:capture form (nic) driver

”

，

其中

(nic)

代表本机的网卡型号。

同时该界面会

以协议的 不同统计捕获到报文的百分比，点击

stop

即可以停止抓包。

5.

下图 为

Ethereal

截取数据包的页面。

由上而下分別是

截取数据包的列表

以及

封包的

详细资料

，

最下面则是

封包的內容

，

这时是以

16

进制及

ASCII

编码的方式来 表示。

其中在列表这部份，最前面的编号代表收到封包的次序，其次是时间、来源地址、

目的地址，最后则是协议的名称以及关于此封包的摘要信息。

6.

若是想将截获到的数据包列表资 料储存起来，可以执行

[File]

→

[Save]

或

[Save

As]< /p>

将资料储存起来，

存储对话框如下图所示，

这些储存的数据包资料可以在以后执行

[Open]

来加以开 启。

设置

Ethereal

的显示过滤规则

操作步骤：

1.

在抓包完成后，显示过滤器用来找到你所感兴趣的包，依据

1)

协议

2)

是否存在某个域

3)

域值

4)

域值之间的比较

来查找你感兴趣的包。

2.

举个例子，

如果你只想查看使用

tcp

协议的包，

在

ethereal

窗口的工具栏的下方的

Filter

中输入

tcp

， 让后回车，

ethereal

就会只显示

tcp

协议的包，如下图所示：

3.

值比较表达式，可以使用下面的操作符来构造显示过滤器。

a. Equal: eq, == (

等于）

b. Not equal: ne, !=

（不等于）

c. Greater than: gt, >

（大于）

d. Less Than: lt, <

（小于）

e. Greater than or Equal to: ge, >=

（大等于）

f. Less than or Equal to: le, <=

（小等于）

4.

表达式组合，可以使用下面的逻辑操作符将表达式组合。

a. and &&

逻辑与

b. or ||

逻辑或

c. not!

逻辑非

5.

举例抓取

ip

地址是

192.168.2.10

的主机，它所接受或发送的所有

http

报文，那么合适

的显示过滤器是：

=192.168.2.10 and http

。

6.

如果

F ilter

的背景是绿色的，那么证明你设定的

Filter< /p>

合乎规定，如果背景是红色的，

那么说明你设定的

Filter

是

ethereal

不允许的，是不对的。如下图：

7.

所有过滤器都可在

Filter

旁边的

Expression