實(shí)驗(yàn)一 Ethereal 入門基礎(chǔ)

1、湖北工業(yè)大學(xué) 計(jì)算機(jī)學(xué)院 網(wǎng)絡(luò)協(xié)議分析器Ethereal實(shí)驗(yàn)指導(dǎo)書 實(shí)驗(yàn)一 Ethereal 入門基礎(chǔ)一、實(shí)驗(yàn)?zāi)康暮鸵?了解網(wǎng)絡(luò)協(xié)議分析器Ethereal的基本知識(shí) 掌握Ethereal安裝過(guò)程 掌握使用Ethereal捕捉數(shù)據(jù)包的方法 能對(duì)捕獲到的包簡(jiǎn)單分析二、實(shí)驗(yàn)內(nèi)容安裝Ethereal軟件和相應(yīng)的WinpCap軟件，啟動(dòng)Ethereal并設(shè)置相應(yīng)的選項(xiàng)，捕獲一段記錄。三、實(shí)驗(yàn)設(shè)備PC機(jī)、Ethereal軟件、WinpCap軟件四、背景知識(shí)Ethereal是一個(gè)有名的網(wǎng)絡(luò)端口探測(cè)器，是可以在Linux、Solaris、SGI等各種平臺(tái)運(yùn)行的網(wǎng)絡(luò)監(jiān)聽軟件，它主要是針對(duì)TCP/IP協(xié)議的不安

2、全性對(duì)運(yùn)行該協(xié)議的機(jī)器進(jìn)行監(jiān)聽。其功能相當(dāng)于Windows下的Sniffer，都是在一個(gè)共享的網(wǎng)絡(luò)環(huán)境下對(duì)數(shù)據(jù)包進(jìn)行捕捉和分析，而且還能夠自由地為其增加某些插件以實(shí)現(xiàn)額外功能。Ethernet網(wǎng)絡(luò)監(jiān)測(cè)工具可在實(shí)時(shí)模式或離線模式中用來(lái)捕獲和分析網(wǎng)絡(luò)通信。下面是使用Ethereal 可以完成的幾個(gè)工作：² 網(wǎng)絡(luò)管理員使用它去幫助解決網(wǎng)絡(luò)問題² 網(wǎng)絡(luò)安全工程師用它去測(cè)試安全問題² 開發(fā)人員用它是調(diào)試協(xié)議的實(shí)現(xiàn)過(guò)程² 用它還可以幫助人員深入的學(xué)習(xí)網(wǎng)絡(luò)協(xié)議下面是Ethereal 提供的一些特性：² 支持UNIX 平臺(tái)和Windows 平臺(tái)。²

3、從網(wǎng)絡(luò)接口上捕獲實(shí)時(shí)數(shù)據(jù)包² 以非常詳細(xì)的協(xié)議方式顯示數(shù)據(jù)包² 可以打開或者存貯捕獲的數(shù)據(jù)包² 導(dǎo)入/導(dǎo)出數(shù)據(jù)包，從/到其它的捕獲程序² 按多種方式過(guò)濾數(shù)據(jù)包² 按多種方式查找數(shù)據(jù)包² 根據(jù)過(guò)濾條件，以不同的顏色顯示數(shù)據(jù)包² 可以建立多種統(tǒng)計(jì)數(shù)據(jù)其最常用的功能是被攻擊者用來(lái)檢測(cè)被攻擊電腦通過(guò)23(telnet)和110(pop3)端口進(jìn)行的一些明文傳輸數(shù)據(jù)，以輕松得到用戶的登錄口令和郵件賬號(hào)密碼。對(duì)于網(wǎng)絡(luò)管理員來(lái)說(shuō)，也可以通過(guò)捕包分析，來(lái)確定一些異常的流量和局域網(wǎng)內(nèi)部的非正常用戶與外界的通信，比如說(shuō)對(duì)于現(xiàn)在比較占用網(wǎng)絡(luò)帶寬的

4、諸如Bit Torrent 等P2P應(yīng)用軟件流量，通過(guò)使用該軟件確定這些流量，網(wǎng)絡(luò)管理員就可以使用流量控制(TC)的方法來(lái)規(guī)范、合理的分配帶寬資源，提高網(wǎng)絡(luò)的利用率。五、實(shí)驗(yàn)步驟1、安裝Ethereal和 WinpCap。有的Ethereal中自帶WinpCap就不需要再另外安裝了。實(shí)驗(yàn)室里面一般安裝好了。下載地址：http:/安裝好后，桌面上會(huì)出現(xiàn)“”圖標(biāo)，為Ethereal的桌面快捷方式。2、啟動(dòng)Ethereal，界面如下：圖1 Ethereal啟動(dòng)界面 最初的窗口中沒有數(shù)據(jù)，因?yàn)檫€沒有開始捕獲數(shù)據(jù)包，首先來(lái)認(rèn)識(shí)一下界面。Ethereal主窗口有很多的GUI程序組成：(1) File(文件

5、)：這個(gè)菜單包含：打開文件、合并文件、保存/打印/導(dǎo)出整個(gè)或部分捕獲文件、退出。(2) Edit(編輯)這個(gè)菜單包括：查找包、時(shí)間參照、標(biāo)記一個(gè)或多個(gè)包、設(shè)置參數(shù)、(剪切、復(fù)制、粘貼)。(3) View(查看)：這個(gè)菜單控制捕獲數(shù)據(jù)的顯示，包括：給定特定的一類包標(biāo)以不同的顏色、字體縮放、在一個(gè)新窗口中顯示一個(gè)包、展開&折疊詳細(xì)信息面板的樹狀結(jié)構(gòu)。(4) Go：這個(gè)菜單實(shí)現(xiàn)轉(zhuǎn)到一個(gè)特定包。(5) Capture(捕獲)：這個(gè)菜單實(shí)現(xiàn)開始、停止捕獲，編輯捕獲過(guò)濾條件的功能。(6) Analyze(分析)：這個(gè)菜單包含編輯顯示過(guò)濾、enable(開)或disable(關(guān))協(xié)議解碼器、配置用戶

6、指定的解碼方法、追蹤一個(gè)TCP 流。(7) Statistics(統(tǒng)計(jì))：該菜單完成統(tǒng)計(jì)功能。包括捕獲的包的一個(gè)摘要、基于協(xié)議的包的數(shù)量等樹狀統(tǒng)計(jì)圖等許多功(8) Help(幫助)這個(gè)菜單包含了一些對(duì)用戶有用的信息。比如基本幫助、支持的協(xié)議列表、手冊(cè)頁(yè)、在線訪問到網(wǎng)站等等。3、使用Capture Options對(duì)話框。要想獲得一個(gè)跟蹤記錄，我們首先從Capture(捕獲)菜單中選擇“Capture Options”（捕獲選項(xiàng)）,并用Capture Options對(duì)話框來(lái)指定跟蹤記錄的各個(gè)方面。圖2 Caption Options 選項(xiàng)框（1）Interface（接口）首先要選擇合適的接口，也就

7、是網(wǎng)卡，如何不選擇合適的接口，可能捕獲不到數(shù)據(jù)包。圖2中黃色框1，這個(gè)字段指定在哪個(gè)接口進(jìn)行捕獲。這是一個(gè)下拉字段，只能從中選擇Ethereal 識(shí)別出來(lái)的接口，要想捕獲到數(shù)據(jù)，首先要選擇正確的適配器（網(wǎng)卡），如果一臺(tái)機(jī)器同時(shí)擁有以太網(wǎng)網(wǎng)卡和無(wú)線網(wǎng)絡(luò)網(wǎng)卡，你必須選擇其中一個(gè)進(jìn)行監(jiān)測(cè)。（2）IP address(IP 地址)所選接口卡的IP 地址。如果不能解析出IP 地址，則顯示"unknown"。（3）Link-layer header type(鏈路層頭類型)除非你在極個(gè)別的情況下可能用到這個(gè)字段，大多數(shù)情況下保持默認(rèn)值。（4）Buffer size: n megabyt

8、e(s) (緩沖區(qū)大小：n 兆)輸入捕獲時(shí)使用的buffer 的大小。這是核心buffer 的大小，捕獲的數(shù)據(jù)首先保存在這里，直到寫入磁盤。如果遇到包丟失的情況，增加這個(gè)值可能解決問題。本實(shí)驗(yàn)中保持默認(rèn)值。（5） Capture packets in promiscuous mode (在混雜模式捕獲包，綠色框2)這個(gè)選項(xiàng)允許設(shè)置是否將網(wǎng)卡設(shè)置在混雜模式。如果不指定，Ethereal 僅僅捕獲那些進(jìn)入你的計(jì)算機(jī)的或送出你的計(jì)算機(jī)的包。(而不是LAN 網(wǎng)段上的所有包)。要想把網(wǎng)絡(luò)接口設(shè)置為混雜模式，需要對(duì)這臺(tái)計(jì)算機(jī)具有管理員特權(quán)?？梢赃x。（6）Limit each packet to n byt

9、es (限制每一個(gè)包為n 字節(jié))這個(gè)字段設(shè)置每一個(gè)數(shù)據(jù)包的最大捕獲的數(shù)據(jù)量。有時(shí)稱作snaplen 。如果disable 這個(gè)選項(xiàng)默認(rèn)是65535, 對(duì)于大多數(shù)協(xié)議來(lái)講中夠了。本實(shí)驗(yàn)中保持默認(rèn)值。（7） Capture Filter(捕獲過(guò)濾，藍(lán)色框3)這個(gè)字段指定一個(gè)捕獲過(guò)濾。 “在捕獲時(shí)進(jìn)行過(guò)濾”部分進(jìn)行討論。默認(rèn)是空的，即沒過(guò)過(guò)濾。也可以點(diǎn)擊標(biāo)為Capture Filter 的按鈕, Ethereal 將彈出Capture Filters(捕獲過(guò)濾)對(duì)話框，來(lái)建立或者選擇一個(gè)過(guò)濾。本實(shí)驗(yàn)中保持默認(rèn)值，暫時(shí)不需設(shè)置。（8）Capture File（捕獲文件，紫色框4）可以指定將捕獲的分組直

10、接保存在一個(gè)文件中，而不是在內(nèi)存中。選擇一個(gè)合適的文件夾，將捕獲的信息存入。（9）Use Multiple Files（使用多個(gè)文件，枚紅色框5）使用這個(gè)選項(xiàng)，分組可以被寫入多個(gè)文件。這些控制對(duì)于捕獲較大較長(zhǎng)的跟蹤記錄是很重要的。本實(shí)驗(yàn)中保持默認(rèn)值。（10）Stop Capture（停止捕獲）可以設(shè)定一些停止捕獲的選項(xiàng)，自動(dòng)停止捕獲。本實(shí)驗(yàn)中保持默認(rèn)值。（11）Name Resolution（名字解析，黑色框7）。本實(shí)驗(yàn)中保持默認(rèn)值。（12）Update list of packets in real time （實(shí)時(shí)更新分組列表，紅色框6）每個(gè)新的分組都會(huì)被添加到主窗口中的分組列表中去。勾選

11、。4、開始捕獲數(shù)據(jù)包。上述的各項(xiàng)選擇好后，點(diǎn)擊“start”開始捕獲數(shù)據(jù)包，下圖為捕獲時(shí)的情形。圖2 捕獲數(shù)據(jù)包 這個(gè)窗口概述了被捕捉的各種類型包的量。 5、停止捕獲。大約等一段時(shí)間后（30-60秒），點(diǎn)擊“stop”按鈕，停止捕獲后，會(huì)彈出下面的窗體，顯示了剛才捕獲到的包。協(xié)議樹窗體協(xié)議樹窗體過(guò)濾器工具欄工具欄菜單欄包概況窗體包的16進(jìn)制代碼區(qū)包的ASCII代碼區(qū)捕捉包序號(hào)捕捉時(shí)間目的地址 源地址上層協(xié)議包內(nèi)容提要圖3 網(wǎng)絡(luò)分析器Ethereal主界面上圖中標(biāo)示出了主界面的各個(gè)部分，大家要仔細(xì)觀察，了解捕獲的內(nèi)容。6、完成捕獲。恭喜你！現(xiàn)在，你擁有了剛才在你的電腦通過(guò)網(wǎng)絡(luò)進(jìn)行交換的協(xié)議消息，你已經(jīng)完成了一次成功的協(xié)議數(shù)據(jù)捕獲。六、思考題Q1、你沒有手動(dòng)進(jìn)行網(wǎng)絡(luò)訪問操作，但還是抓到了一些數(shù)據(jù)，請(qǐng)列出你抓到的各種包的協(xié)議名稱，并上網(wǎng)查詢下這些包分別是起什么作用的？各是由誰(shuí)發(fā)出的？ Q2、從你抓到的第一個(gè)包到最后一個(gè)包持續(xù)的時(shí)間是多久？ （默認(rèn) time 列顯示的