-
实验二
使用包嗅
探及协议分析软件E
th
e
rea
p>
l
分析
Eth
e
r
net
帧
【实验目的】
1
、
掌
p>
握包嗅探及协议分析软件
Ethe
r
e
a
l
的使用。
p>
2
、掌握E
th
e
rn
e
t帧的构成
< br>
【实验环境】
?
安装好W
i
n
dows
2
000
S
erve
r操作系统
+
Ethere<
/p>
al
的计算机
【实验时间】
2
节课
【实验重点及难点】
?
重点学习掌握如何利用
Et
here
al
来分析
E
th
ern
e
t
帧。
【实验内容】
1
、捕捉任何主机发出的
Et
he
r
n
et
80
2.3
格式的帧和
D
I
X
E
thernet <
/p>
V2(
即
Et
h
ernet
?
II)
格式的帧并进行分析。
2、捕捉并分析局域网上的所有
ether
n
et
br
o
a
d
c
a
s<
/p>
t
帧进行分析。
3、捕捉局域网上的所有
eth
e
r
n
e
t
p>
mu
ltic
a
s
t
帧进行分析。
【实验步骤】
一、
< br>E
th
er
e
< br>al
的安装
E
th
erea
l是一个图形用户接口
< br>(G
U
I
)的网络嗅探器
,
由于E
th
e
p>
rea
l需
要
Wi
n
Pcap
库,
所以先安装
Win
P
c
ap
_2_,
再安装<
/p>
Et
h
ereal.
e
xe
。
(
已
装好
)
二、仔细阅读附件中的E
t
here
a
l
使用方法和
TcpDu
m
p
的表达式详解,学习
E
t
h
e
r
e
a
l的使用。
三、
捕捉任何主机发出的E
t
he
r
n
et
8
0
2.3
格式的帧和
DIX
Eth
er
net
V2(
即
E
t
herne
t
?
II)
格式的帧并进行分析。
捕捉任何主机发出的
E
t
her
n
et
8
02.3
格式的帧
(
帧的长度
字段
<=1
5
00
)
,
E
t
here
a
l
的
c
a
pt
u
re
fil
t
er
的f
ilt
e
r
< br>s
tr
in
g设置为
:ether[1
2
:2
]
<=
1
5
00
。
捕捉
任何主机发出的
DI
X
Ethern
e
t
V2(
即
Et
h
er
n
e
t
I
I
)
格式的帧
(
帧
的长度字段
>1500,
帧的长度字段实际上是类型字段)
,
E
t
h
ere
a
l
的
cap
t
u
r
e
p>
f
ilter
的
filter s
t
rin
g设置为
:ethe
r
[12:2] > 150
0。
p>
①观察并分析帧结构,
8
0
2.3
格式的帧的上一层主要是哪些
P
DU?是
IP
、
LLC
?
还是其它哪种
?
(
学校里可能没有
,
如果没有,注明没有
就可以了)
②观察并分析帧结构
,E
th
e
r
n
e
t II
的帧的上一层主要是哪些
PDU
?是
IP
、
LL
C
还是其它哪种?
四、
捕捉并分析局域网上的所有
p>
eth
er
net
broadca
st帧
,Et
h
p>
ere
a
l
的
p>
capt
u
re
filt
e
r
的fi
lt
e
r
strin
g设置为:et
her bro
a
dcast
。
①观察并分析哪些主机在发广播帧,这些帧的高层协议是什么
?
②你的L
A
N的共享网段上连接了多少
台计算机
?1
分钟内有几个广播帧?有
?
否发生广播风暴?
五、
捕捉局域网上的所有
ethe
< br>r
net mu
l
t
i
cas
t帧,
Ethe
real
的
capt
ur
e f
il
ter
的
p>
fi
l
ter
s
trin
g设置为:
ethe
r
mu
lticas
t
①观察
并分析哪些节点在发
multi
c
as
t
帧
,
这些帧的高层协议是什么?
p>
【实验指导材料】
用
E
t
her
eal分析协议数据包
Eth
er
eal
是一个图形用户接口
(GU
I)
的网络嗅探器,能够完成与
Tc
p
dump
相同
的功能,但操作界面要友
好很多。Eh
t
e
rea
l和
Tcp
d
um
p都依赖于
p
c
ap<
/p>
库
(
libpcap
)
,
因此两者在许多方面非常相似
(
如都
使用
相同的过滤规则和关键字)
。
E
thereal
< br>和其它图形化的网络嗅探器都
使用
相同的界面模式
,
如果能熟练地
使用
E
th
e
r
e
a
l
,那么其它图形用户界面的嗅探器基本都可以操作。
1
.
E
t
her
e
al
的安装
?
由于
E
the
r
e
a
l
需要
WinP
c
a
p库
,
所以先安装
WinPcap_2_
e
,
再安装
E
t
here
a
l.
e
xe
。
?
2
< br>.
设置
Ethereal
的过
滤规则
?
当编译并安装好
Et
he
re
al<
/p>
后,就可以执行“
e
th
e
real
”命令来启动
Et
he
r
ea
l
。在用
Et
herea
l
截获数据包之前,应该为其设置相应的过滤规则
,
可
以
只捕获感兴趣的数据包。
Ethere
a
l
使用
与
T
cp
dum
p相似的过滤规则
(
详见下面
的“
5<
/p>
.
过滤规则实例
”
),
并且可以很方便地存储已经设置好的过滤规则。要为
E<
/p>
t
here
a
l
配置过滤规则
,
首先单击“Edit”
选单
,
然后选择“Ca
pt
u
re F
i
lters
.
.
.”菜单项
,
打开“Edi
t
Capture
F
ilte
r
List”对话框
(
如下图所
示)。因为此时还没有添加任何过滤规则,因而该对话框右侧的列表框是空的。
< br>
在
Et
he
real
中添加过滤器时,需要为该过滤器指定名字及规则。例如,
要在主机
p>
10.1.197.162
和间创建过滤器,可以在“F
ilt
e
r
nam
p>
e”编辑框内输
入过滤器名字“sohu”,在“Filter
string”编辑框内输入过滤规则“hos
t
1
0
.1
.
197.1<
/p>
6
2 a
nd ”,然后单击“New”
按钮即可
,
如下图所示。
在
E
t
h
erea
l
中
使用
的过滤规则和Tcp
du
m
p
几乎完全一
致,这是因为
两者都基于pcap库的缘故。
Etherea<
/p>
l
能够同时维护很多个过滤器。
网络管理
员可以根据实际需要选用不同的过滤器,这在很多情况下是非常有用的。例如
,
一个过滤器可能用于截获两个主机间的数据包,而另一个则可能用于截获
I
CMP
包来诊断网络故障。
?
<
/p>
当所有需要的过滤器都创建好后
,
单击“
S
a
ve”
按钮保存创建的过滤器
p>
,
然后单击“Close”按钮来关闭“Edi
t
C
apt
ur
e
Fil
t
er
Li
st”对话框。要将过滤器应用于嗅探过程,需要在截获数据包之前或
之后指定过滤器。要为嗅探过程指定过滤器,并开始截获数据包,
可以单击
“Cap
t
ur
e”选单
,
选择“Start...”选单项
,
打开“Capture Op
t
ions”对话框<
/p>
,
单击该对话框中的“Fi
lt
er:”按钮,然后选择要
使用
的过滤器,如下
图所示。
-
-
-
-
-
-
-
-
-
上一篇:十一种Bypass绕过waf方法(1)(1)
下一篇:Camera 驱动和编程