内容二数据包捕获与分析 一、实验环境搭建： 1)运行Windows2000/2003Server/XP操作系统的PC一台 2)每台PC具有一块以太网卡，通过双绞线与局域网相连 3)Ethereal程序、WinPcap程序 二、实验目的： 1）学会正确安装和配置网络协议分析仪软件Ethereal。 2）掌握使用Ethereal分析各种网络协议的技能，加深对帧格式、协议格式、协议层次 的理解。 三、实验步骤： Ethereal是一个图形用户接口（GUI）的网络嗅探器，Ethereal和其它图形化的网络嗅探器都使用相同的界面模式，如果能熟练地使用Ethereal，那么其它图形用户界面的嗅探器基本都可以操作。1.Ethereal的安装由于Ethereal需要WinPcap库,所以先安装WinPcap_2_3.exe,再安装Ethereal.exe。2.查看Ethereal的捕获接口 图1-1CaptureInterfaces 打开Ethereal，在菜单Capture下点击Interfaces，选取要抓包的网卡，这里选取地址为172.20.12.47的所在本主机的网卡抓取数据包，接口选择BroadcomNetXtremeGigabitEthernetDriver(Microsoft'sPacketScheduler)如图1-1： 3.设置Ethereal的捕获过滤器在配置完捕获接口以后，我们可以设置相应的捕获数据包的过滤规则，就可以捕获到 我们感兴趣的数据包。首先单击“Edit”选单，然后选择“CaptureFilters...”菜单项， 打开“EditCaptureFilterList”对话框（如图1-2所示）。因为此时还没有添加任何过 滤规则，因而该对话框右侧的列表框是空的。 图1-2Ethereal过滤器配置对话框 在Ethereal中添加过滤器时，需要为该过滤器指定名字及规则。例如，要在主机和间创建过滤器，可以在“Filtername”编辑框内输入过滤规则的名字“1”，在“Filterstring”编辑框内输入过滤规则“host172.20.12.47and172.20.12.48”，然后单击“New”按钮即可，可以捕获到在主机172.20.12.47和172.20.12.48之间传输的数据包，如图1-3所示。 图1-3为Ethereal添加一个过滤器 当所有需要的过滤器都创建好后，单击“Save”按钮保存创建的过滤器，然后单击“Close”按钮来关闭“EditCaptureFilterList”对话框。要将过滤器应用于嗅探过程，需要在截获数据包之前或之后指定过滤器。要为嗅探过程指定过滤器，并开始截获数据包，可以单击“Capture”选单，选择“Start...”选单项，打开“CaptureOptions”对话框，单击该对话框中的“Filter:”按钮，然后选择要使用的过滤器，如图1-4所示。 图1-4为Ethereal指定过滤器 对图1-4中的术语进行如下解释： Interface:这个字段指定在哪个接口进行捕获。这是一个下拉字段，只能从中选择Ethereal识别出来的接口，默认是第一块支持捕获的非loopback接口卡。如果没有接口卡，那么第一个默认就是第一块loopback接口卡。在某些系统中，loopback接口卡不能用来捕获（loopback接口卡在Windows平台是不可用的） IPaddress（IP地址）:所选接口卡的IP地址。如果不能解析出IP地址，则显示"unknown" Link-layerheadertype（链路层头类型）:除非你在极个别的情况下可能用到这个字段，大多数情况下保持默认值。 Buffersize:nmegabyte(s)（缓冲区大小：n兆）:输入捕获时使用的buffer的大小。这是核心buffer的大小，捕获的数据首先保存在这里，直到写入磁盘。如果遇到包丢失的情况，增加这个值可能解决问题。 Capturepacketsinpromiscuousmode（在混杂模式捕获包）:这个选项允许设置是否将网卡设置在混杂模式。如果不指定，Ethereal仅仅捕获那些进入你的计算机的或送出你的计算机的包。(而不是LAN网段上的所有包). Limiteachpackettonbytes（限制每一个包为n字节）:这个字段设置每一个数据包的最大捕获的数据量。有时称作snaplen。如果disable这个选项，默认是65535,对于大多数协议来讲中够了。 注意在“CaptureOptions”对话框中，“Updatelistofpacketsinrealtime”复选框被选中了。这样可以使每个数据包在被截获时就实时显示出来，而不是在嗅探过程结束之后才显示所有截获的数