《1、ethreal使用-入门6319.docx》由会员分享,可在线阅读,更多相关《1、ethreal使用-入门6319.docx(5页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、实验一:Ethereal使用入门一、背景知知识Etherreal是目目前广泛使使用的网络络协议分析析工具(NNetwoork PProtoocol Anallyzerr),它能能够实时地地捕获网络络上的包,并并且把包中中每个域的的细节显现现出来。EEthereall的广为流流行主要有有以下三个个原因:(1)它的的功能非常常强大,随随着大家对对Etheereall的熟悉将将会深切感感受到这一一点。(2)它是是开源、免免费的软件件。(3)它具具有非常详细的的文档。EEthereall的安装文文件和文档档可以从hhttp:/wwww.etthereeal.ccom/下下载。二、Ethhereall图
2、形界面面,如下图图所示:第一部分是是菜单和工工具栏,EEthereall提供的所所有功能都都可以在这这一部分中中找到。第二部分是是被捕获包包的列表,其其中包含被被捕获包的的一般信息息,如被捕捕获的时间间、源和目目的IP地地址、所属属的协议类类型,以及及包的类型型等信息。第三部分显显示第二部部分已选中中的包的每每个域的具具体信息,从从以太网帧帧的首部到到该包中负负载内容,都都显示得清清清楚楚。第四部分显显示已选中中包的166进制和AASCIII表示,帮帮助用户了了解一个包包的本来样样子。三、Ethhereaal的基本本用法Etherreal的的最基本功功能是捕获获网络包,其其使用方法法很简单,按
3、按如下步骤骤即可:(1)选择择“Cappturee”菜单项项中的 “Option”,这时会弹出一个对话框,如下所示。这个对话框中的栏目虽然很多,但一般只需配置其中两项。一项是 “Capture Filter”栏。在这个栏中,可以输入过滤规则,用于规定Ethereal捕获包的种类(注:过滤规则的写法将在下一节作专门介绍);如果不输入过滤规则,则Ethereal将捕获所有从网卡发送或收到的包。另外一项是 “Update list of packets in real time”选项,请大家一定要选中这一项,这样可以使Ethereal在捕获包的同时,实时地把捕获的包显示出来。(2)在完完成如上配配置
4、后,点点击“SStartt”按钮,EEtherreal便便开始捕获获包。四、Ethhereaal的过滤滤规则Etherreal的的过滤规则则可以有两两种形式:(1)一个个原语:一一个原语即即一条最基基本的过滤滤规则(2)用 “andd”、“oor”、“nnot”关关系去处运运算符,以以及括号组组合起来的的原语。其其中“annd”的含含义是它所所连接的两两个原语必必须都成立立;“orr”的含义义是它所连连接的两个个原语只要要有一个成成立即可;“nott”的含义义是它后面面跟的原语语不成立;括号的作作用是对关关系运算顺顺序作出规规定。从上面的描描述可以看看出,我们们只要掌握握原语的写写法,再用用关
5、系运算算符把它们们组合起来来,就可以以写出满足足不同要求求的过滤规规则了。EEtherreal提提供的原语语非常多,这这里只介绍绍最常用的的四种(在在下面的叙叙述中,“”表示示可选项,“”表示示必存在的的项,“”表示两两者选择其其中之一,其其他字符串串则是关键键字,必须须照写不误误):1) etherr srrc|dsst hhost 这条原语用用来根据以以太网MAAC层的信信息来进行行包过滤。若若无可选项项src|dst,这这条原语用用于捕获源源和目的MMAC地址址之一是“mac_addrr“的以太网网帧;如果果加上 “src”或 “dst”的限制,则则分别用于于捕获源或或目的MAAC地址是
6、是“mac_addrr”的以太网网帧。如:原语 “etheer hoost 008:000:1B:D3:DD3:611”的含义是是捕获所有有源或目的的MAC地地址是 “08:000:1BB:D3:D3:661”的以太网网帧。原语语 “etheer srrc hoost 008:000:1B:D3:DD3:611”的含义是是捕获所有有源MACC地址是 “08:000:1BB:D3:D3:661”的以太网网帧。2)srrc|dsst hhost 这条原语用用来根据IIP信息进进行包过滤滤。若无可可选“src|dst”,这条原原语用于捕捕获源或目目的IP地地址之一是是“ip_aaddr”的包;如如果
7、加上“src”或“dst”的限制,则则分别用于于捕获源或或目的IPP地址是“ip_aaddr”的包。例如,原语语“hostt 2100.30.97.553 ”的含义是是捕获所有有源或目的的地址是“210.30.997.533”的包;原原语“dst hostt 2100.30.97.553 ”的含义是是捕获所有有目的地址址是“210.30.997.533”的包3)tccp|uddp src|dst porrt 这条原语是是用来根据据传输层进进行包过滤滤。它可以以用于捕获获传输层协协议是TCCP或UDDP,源或或目的端口口号是nuumberr的包。可可选项“TCP”和“UDP”用于对传输输层协议进
8、进行选择,可可选项“src”和“dst”用来对端端口号是源源还是目的的进行选择择。例如,原语语“tcp portt 80”的含义是是捕获所有有源或目的的端口号是是80的协协议的包;原语 “udp dst portt 53”的含义是是捕获所有有目的端口口号是533的UDPP协议的包包。4) arrp|ipp|icmmp|uddp|tccp等这类原语用用于捕获属属于某种协协议类型的的包,协议议的类型可可以是“arp”、“ip”、“ICMPP”、“UDP”或“TCP”等。例如只含一一个关键原原语“ICMPP”的含义是是捕获所有有ICMPP协议的包包。以是介绍44种最常用用的原语写写法,下面面通过举例
9、例说明如何何把这些原原语组合起起来,从而而构造比较较复杂的过过滤规则。例A-11捕获主主机1922.1688.0.110发出或或收到的,除除HTTPP协议之外外的网络包包。过滤规则为为:host 192.168.0.100 andd nott tcpp porrt 800(注:HTTTP协议议通常使用用TCP端端口号800)例A-22记主机机192.168.0.100为A,捕捕获A与主主机1922.1688.0.220或A与与主机1992.1668.0.30之间间的网络包包。过滤规则为为:host 192.168.0.100 andd (hoost 1192.1168.00.20 or hhost 192.168.0.300)