返回
使用ethereal分析数据包

使用ethereal分析数据包

ID:5558648

大小:1.18 MB

页数:66页

时间:2017-11-16

使用ethereal分析数据包_第1页
使用ethereal分析数据包_第2页
使用ethereal分析数据包_第3页
使用ethereal分析数据包_第4页
使用ethereal分析数据包_第5页
资源描述:

《使用ethereal分析数据包》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、第三章使用Ethereal分析数据包使用Ethereal可以帮助理解计算机网络体系结构的实质,是信息类专业计算机网络必备实验该实验贯穿整个TCP/IP协议层次,可以详细分析数据链路层、网络层、传输层和应用层的数据抓包工具种类EtherealSnifferTcpdump(linux系统自带)Ethereal工具的构成与安装Winpcap.exe是Win32平台上进行包捕获和网络协议分析的开源库,含有很重要的包过滤动态链接库(packet.dll库)和wpcap.dll库,这两个动态链接库都提供有抓包工具必

2、需的应用编程接口API。在安装Ethereal之前,必须要先安装WinPcap,否则抓包无法完成。值得一提的是,0.10.14版本的Ethereal工具已经把WinPcap工具固化在Ethereal的安装程序中,只需要按照提示步骤默认安装即可。安装Interface是选择捕获接口Capturepacketsinpromiscuousmode表示是否打开混杂模式,打开表示捕获所有的报文,一般我们只捕获本机收发的数据报文Limiteachpacket表示限制每个报文的大小Capturefiles即捕获数据包

3、的保存的文件名以及保存位置抓包选择选择抓取数据包的网卡示例(1)NPF拨号适配器;(2)IntelPRO1000MT网卡;(3)VMware虚拟机适配器1;(4)IntelPRO无线网卡;(5)VMware虚拟机适配器2。说明一般PC都带有NPF拨号适配器(很少使用)和某一种有线网卡接口(网卡型号可能有不同)。因为在该PC中安装有虚拟机VMware,VMware会显示出两个虚拟机网卡接口选项,如果没有虚拟机,就无此接口选项。如果某PC(主要是笔记本计算机)装有无线网卡,就会有无线网卡接口选项。读者选择哪

4、个网卡接口进行抓包,是选择无线网卡还是选择有线网卡,可以根据自己PC的具体情况来定。作者的笔记本电脑安装有IntelPRO1000MT网卡,所有数据包都是依靠该网卡来捕获的。开始抓包并统计captureoption确认选择后,点击ok就开始进行抓包同时就会弹出“Ethereal:capturefrom(nic)driver”,其中(nic)代表本机的网卡型号。同时该界面会以协议的不同统计捕获到报文的百分比点击stop即可以停止抓包抓包后显示Ethereal的窗口由三部分构成从上到下分别是(1)各个协议的

5、数据包列表;(2)某一具体协议的各个层次的数据分析;(3)帧的十六进制具体数据展示。说明可以看到,最上面的窗口为数据包的列表,显示的是捕获到的每个数据包的大概信息;中间的窗口是选定的某个数据包的层次结构和协议分析;最下面的窗口是数据包的16进制数据的具体内容,也就是数据包在物理层上传递的数据。File的下拉菜单“Open”即打开已存的抓包文件,快捷键是crtl+Q“OpenRecent”即打开先前已察看的抓包文件,类似windows的最近访问过的文档“Merge”字面是合并的意思,其实是追加的意思,即当

6、前捕获的报文追加到先前已保存的抓包文件中。Save和saveas即保存、选择保存格式。File的下拉菜单Export是输出的意思Print打印Quit退出其中”saveas保存为”注意点:点击该展开按钮即可详细选择保存路径2.Filetype保存选择时注意:缺省保存为libpcap格式,这个是linux下的tcpdump格式的文件。只有选择文件保存格式为sniffer(windows-base)1.1和2.0都可,ethereal和sniffer才能双向互相打开对方抓包的文件。否则只有ethereal能

7、打开sniffer的抓包文件。Sinffer、ethereal可以相互打开对方的文件File的下拉菜单Export是输出的意思Print打印Quit退出Edit的下拉菜单FindPacket就是查询报文,快捷键是ctrl+F可以支持不同格式的查找输入正确的语句,那么背景为绿色,语句错误或缺少背景就为红色Edit的下拉菜单FindNext是向下查找FindPreyious是向上查找TimeReference字面是时间参考,使用后明白是做个报文的“时间戳”,方便大量报文的查询Edit的下拉菜单报文标签使用T

8、imeReference标签后,原先time的就变成“REF”缩写的标记附注:可以在多个报文间用时间戳标记,方便查询。MarkPacket(toggle)是标记报文Markallpackets和Unamrkallpacket即标记所有报文、取消标记所有报文Edit的下拉菜单点击“preference”进行用户界面的选择,比如说报文察看界面布局的选择,以及协议支持的选择。View的下拉菜单Maintoolbar主工具栏FilterToolba

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。