2009年2月第33卷第1期Feb援圆园园9栽砸韵孕陨悦粤蕴粤郧砸陨悦哉蕴栽哉砸ALENGINEERING灾燥造援33熏晕燥援1基于Ethereal的网络协议分析淤黄筱燕②渊海南大学信息科学技术学院海南儋州571737冤摘要通过Ethereal捕捉实时网络数据包并根据网络协议分析流程对数据包在TCP/IP各层协议中进行实际袁解包分析让网络研究人员对数据包的认识上升到一个感性的层面为网络协议分析提供技术手段袁袁遥关键词协议分析Ethereal数据包曰曰中图分类号TP393.04NetworkProtocolAnalysisBasedonEtherealHUANGXiaoyan(CollegeofInformationScience&Technology,HainanUniversity,Danzhou,Hainan571737)AbstractReal-timenetworkpacketswerecapturedthroughEthereal,andactuallyunpackedforanalysisaccordingtotheTCP/IPnetworkprotocolanalysisflow,soastoallownetworkresearcherstohaveaperceptualknowledgeaboutthedatapacketsandprovideatechnicalmethodforthenetworkprotocolanalysis.Keywordsprotocolanalysis曰Ethereal曰packet通过技术手段捕获数据包并加以分析追踪数据帧的目的地址用以截获网上的任何帧)其他选项可袁袁袁据包在TCP/IP各层的封装过程对于网络协议的研采用默认设置再单击Start按钮即可实时截获数袁袁究具有重要的意义Ethereal是当前较为流行的据包遥尧遥图形用户接口的抓包软件它以开源免费操作用Ethereal捕捉到的实时网络数据包的部分截袁尧尧界面友好等优点广为世界各地网络研究人员使用图见图1所截获的数据包分别在包列表(Packet袁遥为网络协议分析搭建了一个良好的研究平台List)包细节PacketDetails和包字节(Packet遥尧渊冤Bytes)三栏窗口中显示其中上栏的包列表窗口按遥1捕获实时网络数据截获的时间顺序显示出数据包的基本信息编号院Ethereal适用于当前所有较为流行的计算机系代表收到数据包的次序时间源地址目的地址渊冤尧尧尧尧统包括UnixLinux和Windows它的操作界面美协议名称以及关于此数据包的摘要信息中间栏的袁尧袁曰观友好可以对实时显示捕获的数据包进行统计与包细节窗口以树形显示当前数据包在各协议层的封袁分析帮助网管员了解网络的运行状况网络研究装细节包括首部和数据下栏的包字节窗口则以袁袁袁曰人员研究网络协议对网络性能有一个准确的把十六进制和ASCII码显示被截获数据包的详细内容袁袁握安装完Ethereal后单击Capture下的Options左边一栏显示偏移量中间一栏显示十六进制数遥袁袁菜单打开捕获选项对话框设置好捕捉接口值右边一栏显示解码后相对应的字符控制字符显袁袁袁渊interface和过滤器(capturefilter)设置混杂模示为1个点渊冤袁冤遥式promiscuousmode选项(此选项使得网卡并不检验数渊冤①基金项目华南热带农业大学校基金资助(NO.RND06023)院收稿日期2008-12-16责任编辑/白净E-mail:rngcrngc3@gmail.com院②黄筱燕(1972～)女汉族讲师硕士主要研究方向计算机网络技术与应用网络性能分析袁袁袁袁曰院尧遥-42-万方数据黄筱燕基于Ethereal的网络协议分析图1捕获的实时数据包2网络协议分析当应用层的报文通过TCP/IP网络协议栈到达物数据包是TCP/IP协议通信传输中的数据单位理层传输时各层协议都在数据包上封装一个报袁袁在不同的协议层将根据所采用的协议封装成相应头下面以实际捕捉的编号为24的数据包(图1包列袁遥协议数据单元(PDU)对数据包进行协议分析的过程表窗口选中的数据包)为例自底向上分析各层的网络遥袁就是一条从协议树根结点到某个叶子结点的路径[1]协议[2]袁遥自数据链路层向应用层根据各层协议标识和端口号来2.1数据链路层逐层判断所封装的协议协议分析流程见图2在TCP/IP体系结构中到达局域网数据链路层袁遥袁的数据被封装成MAC帧Frame,最常用的MAC帧是以以太帧渊冤太网V2的标准[2]从图1的包细节窗口中查看MAC帧遥的首部信息用16进制表示为判断网络层协议标志袁院0019b975e20b00e06353f0750800080608350800以太网V2MAC帧格式见图3ARP协议分析IP协议分析