以太网协议分析软件.docx
- 文档编号:1969055
- 上传时间:2023-05-02
- 格式:DOCX
- 页数:9
- 大小:22.32KB
以太网协议分析软件.docx
《以太网协议分析软件.docx》由会员分享,可在线阅读,更多相关《以太网协议分析软件.docx(9页珍藏版)》请在冰点文库上搜索。
以太网协议分析软件
竭诚为您提供优质文档/双击可除
以太网协议分析软件
篇一:
网络协议分析工具的使用
实验报告
项目名称:
网络协议分析工具的使用课程名称:
班级:
姓名:
学号:
教师:
信息工程学院计算机系
实验二网络协议分析工具的使用
一、实验目的
1.了解协议分析仪sniffer或wireshark(原为ethereal)的使用方法和基本特点,掌握使用协议分析仪分析协议的方法。
2.了解ping命令的工作过程;
3.了解Ftp协议的工作过程。
二、实验前的准备
1.熟悉ping命令,Ftp协议;
2.了解协议分析仪的功能和工作原理;
3.了解wireshark或sniffer分析仪的使用方法;
4.阅读本实验的阅读文献;
三、实验内容要求
1.学习捕获选项的设置和使用。
2.使用wireshark或sniffer分析仪捕获一段ping命令的数据流,并分析其工作过程。
3.登录ftp:
//,并下载三个大小不同的文件(小于1kb、1kb—1mb、1mb以上),使用分析仪分析其工作过程。
4.设置显示过滤器,以显示所选部分的捕获数据。
5.完成网络监视功能测试;
6.实现数据报文解码分析。
7.保存捕获的数据,分别是text文件和xml文件。
四、现有条件
1.计算机实验室有5个专业实验室,全部具有局域网络特点,并能够上因特网。
2.具有网络协议分析工具wireshark或sniffer软件,并在计算机已经安装。
五、实验报告要求
实验报告是实验工作的全面总结,要用简明的形式将实验结果完整和真实地表达出来。
报告要求简明扼要,工整,分析合理。
图表整齐清楚,曲线和线路图规范,不得徒手描画。
实验报告全部用计算机打印。
实验报告包括分析仪的工作原理与特点介绍、Ftp协议介绍、ping命令介绍、实验过程、主要界面、实验结果分析、实验体会等。
具体应包括以下几项内容:
1.实验名称、专业、班级、姓名、同组者姓名、实验日期、交报告日期。
2.实验目的。
3.简介网络协议分析软件的功能和特点。
4.写出进行捕获网络流量分析,以及利用专家分析系统诊断问题的过程。
5.实时监控网络活动,并收集网络利用率、错误等信息。
6.针对感兴趣的层次协议进行解码分析。
如dlc对应链路层,ip对应网络层,udp对应传
输层,Rtp对应应用层高层协议等。
1.ping命令的介绍
ping命令
在一般情况下还可以通过ping对方让对方返回给你的ttl值大小,粗略的判断目标主机的系统类型是windows系列还是unix/linux系列,一般情况下windows系列的系统返回的ttl值在100-130之间,而unix/linux系列的系统返回的ttl值在240-255之间,当然ttl的值在对方的主机里是可以修改的,ping命令用于确定能否与其他主机交换数据包,通过返回信息判断tcp/ip参数是否设置正确以及能否正常运行。
若测试成功,则显示replyfrom….若测试不成功,则显示requesttimedout.
ping命令的参数详解
-a将目标的机器标识转换为ip地址
-t若使用者不人为中断会不断的ping下去
-ccount要求ping命令连续发送数据包,直到发出并接收到count个请求
-d为使用的套接字打开调试状态
-f是一种快速方式ping。
使得ping输出数据包的速度和数据包从远程主机返回一样快,或者更快,达到每秒100次。
在这种方式下,每个请求用一个句点表示。
对于每一个响应打印一个空格键。
-iseconds在两次数据包发送之间间隔一定的秒数。
不能同-f一起使用。
-n只使用数字方式。
在一般情况下ping会试图把ip地址转换成主机名。
这个选项要求ping打印ip地址而不去查找用符号表示的名字。
如果由于某种原因无法使用本地dns服务器这个选项就很重要了。
-ppattern拥护可以通过这个选项标识16pad字节,把这些字节加入数据包中。
当在网络中诊断与数据有关的错误时这个选项就非常有用。
-q使ping只在开始和结束时打印一些概要信息。
-R把icmpRecoRd-Route选项加入到echo_Request数据包中,要求在数据包中记录路由,这样当数据返回时ping就可以把路由信息打印出来。
每个数据包只能记录9个路由节点。
许多主机忽略或者放弃这个选项。
-r使ping命令旁路掉用于发送数据包的正常路由表。
-spacketsize使用户能够标识出要发送数据的字节数。
缺省是56个字符,再加上8个字节的icmp数据头,共64个icmp数据字节。
-v使ping处于verbose方式。
它要ping命令除了打印echo-Response数据包之外,还打印其它所有返回的icmp数据包。
ping注意:
ping命令通过向计算机发送
icmp回应报文并且监听回应报文的返回,以校验与远程计算机或本地计算机的连接。
对于每个发送报文,ping最多等待1秒,并打印发送和接收把报文的数量。
比较每个接收报文和发送报文,以校验其有效性。
默认情况下,发送四个回应报文,每个报文包含64字节的数据(周期性的大写字母序列)。
可以使用ping实用程序测试计算机名和ip地址。
如果能够成功校验ip地址却不能成功校验计算机名,则说明名称解析存在问题。
这种情况下,要保证在本地hosts文件中或dns
2.Ftp协议的介绍
一般来说,用户联网的首要目的就是实现信息共享,文件传输是信息共享非常重要的一个内容之一。
internet上早期实现传输文件,并不是一件容易的事,我们知道internet是一
个非常复杂的计算机环境,有pc,有工作站,有mac,有大型机,据统计连接在internet上的计算机已有上千万台,而这些计算机可能运行不同的操作系统,有运行unix的服务器,也有运行dos、windows的pc机和运行macos的苹果机等等,而各种操作系统之间的文件交流问题,需要建立一个统一的文件传输协议,这就是所谓的Ftp。
基于不同的操作系统有不同的Ftp应用程序,而所有这些应用程序都遵守同一种协议,这样用户就可以把自己的文件传送给别人,或者从其它的用户环境中获得文件。
文件传送协议Ftp(Filetransferprotocol)是internet文件传送的基础。
通过该协议,用户可以从一个internet主机向另一个internet主机拷贝文件。
文件传输协议(Ftp)使得主机间可以共享文件。
Ftp使用tcp生成一个虚拟连接用于控制信息,然后再生成一个单独的tcp连接用于数据传输。
控制连接使用类似telnet协议在主机间交换命令和消息。
Ftp的主要功能如下:
提供文件的共享(计算机程序/数据);
支持间接使用远程计算机;
使用户不因各类主机文件存储器系统的差异而受影响;
可靠且有效的传输数据。
Ftp,尽管可以直接被终端用户使用,但其应用主要还是通过程序实现。
Ftp控制帧即指telnet交换信息,包含telnet命令和选项。
然而,大多数Ftp控制帧是简单的ascii文本,可以分为Ftp命令或Ftp消息。
Ftp消息是对Ftp命令的响应,它由带有解释文本的应答代码构成。
3.协议分析仪
协议分析仪就是能够捕获网络报文的设备。
协议分析仪的正当用处在于扑捉分析网络的流量,以便找出所关心的网络中潜在的问题。
例如,假设网络的某一段运行得不是很好,报文的发送比较慢,而我们又不知道问题出在什么地方,此时就可以用协议分析仪来作出精确的问题判断。
sniffer程序是一种利用以太网的特性把网络适配卡(nic,一般为以太网卡)置为杂乱(promiscuous)模式状态的工具,一旦网卡设置为这种模式,它就能接收传输在网络上的每一个信息包。
普通的情况下,网卡只接收和自己的地址有关的信息包,即传输到本地主机的信息包。
要使sniffer能接收并处理这种方式的信息,系统需要支持bpF,linux下需要支持socket一packet。
但一般情况下,网络硬件和tcp/ip堆栈不支持接收或者发送与本地计算机无关的数据包,所以,为了绕过标准的tcp/ip堆栈,网卡就必须设置为我们刚开始讲的混杂模式。
一般情况下,要激活这种方式,内核必须支持这种伪设备bpfilter,而且需要root权限来运行这种程序,所以sniffer需要root身份安装,如果只是以本地用户的身份进人了系统,那么不可能唤探到root的密码,因为不能运行sniffer。
基于sniffer这样的模式,可以分析各种信息包并描述出网络的结构和使用的机器,由于它接收任何一个在同一网段上传输的数据包,所以也就存在着捕获密码、各种信息、秘密文档等一些没有加密的信息的可能性。
这成为黑客们常用的扩大战果的方法,用来夺取其他主机的控制权
4.ethereal分析仪的使用方法
interface:
指定在哪个接口(网卡)上抓包。
一般情况下都是单网卡,所以使用缺省的就可以了。
limiteachpacket:
限制每个包的大小,缺省情况不限制。
capturepacketsinpromiscuousmode:
是否打开混杂模式。
如果打开,抓取所有的数据包。
一般情况下只需要监听本机收到或者发出的包,因此应该关闭这个选项。
Filter:
过滤器。
只抓取满足过滤规则的包(可暂时略过)
File:
如果需要将抓到的包写到文件中,在这里输入文件名称。
useringbuffer:
是否使用循环缓冲。
缺省情况下不使用,即一直抓包。
注意,循环缓冲只有在写文件的时候才有效。
如果使用了循环缓冲,还需要设置文件的数目,文件多大时回卷。
其他的项选择缺省的就可以了。
5.ethereal的抓包过滤器
抓包过滤器用来抓取感兴趣的包,用在抓包过程中。
抓包过滤器使用的是libcap过滤器语言,在tcpdump的手册中有详细的解释,基本结构是:
[not]primitive[and|or[not]primitive...]如果你想抓取某些特定的数据包时,可以有以下两种方法,你可以任选一种:
1).在抓包的时候,就先定义好抓包过滤器,这样结果就是只抓到你设定好的那些类型的数据包;2).先不管三七二十一,把本机收到或者发出的包一股脑的抓下来,然后使用下节介绍的显示过滤器,只让ethereal显示那些你想要的那些类型的数据包;
6.etheral的显示过滤器
在抓包完成以后,显示过滤器可以用来找到你感兴趣的包,可以根据1)协议2)是否存在
篇二:
网络协议分析软件的使用网络实验报告
南京理工大学泰州科技学院
实验报告书
课程名称:
《计算机网络》实验题目:
实验八
班级:
11计算机
(2)学号:
姓名:
胡施兢指导教师:
吴许俊
一、实验目的
1.掌握网络协议分析软件的安装与配置方法;2.学习以太网数据链路层帧结构的分析;
3.学会分析数据传输过程,理解tcp/ip协议工作原理。
二、实验内容
1.根据实验要求组建网络;
2.安装配置网络协议分析软件wireshark;3.分析以太网数据链路层帧的结构;
4.以Ftp协议为例,跟踪分析一次完整的数据传输过程。
三、实验步骤
1.安装网络协议分析软件wireshark(前称ethereal)。
图示:
安装抓包插件winpcap4.0.2
图示:
安装wireshark完成
2.配置抓包选项,开始抓包。
3.从windowsxp使用Ftp用户账号和密码登陆Ftp服务器,并进行一次上传或下载文件操作。
4.wireshark停止抓包,配置过滤器,将源ip地址或目的ip地址设为本机ip地址。
(1)将目的ip地址设为本机ip地址
(2)将源ip地址设为本机ip地址
篇三:
以太网数据链路层协议分析
v\:
*{behavior:
url(#default#Vml);}o\:
*{behavior:
url(#default#Vml);}w\:
*{behavior:
url(#default#Vml);}.shape{behavior:
url(#default#Vml);}st1\:
*{behavior:
url(#ieooui)}
相信很多新人在学习协议的时候会遇到很多问题,有些地方可能会总是想不明白(因为我自己也是新人^_^),所以,跟据我自己学习的经历和我在学习中所遇到的问题,我总结了一下列出来。
如果能对大家有所帮助,将是我莫大的荣耀!
关于局域网的起源和发展,这里就不多说,因为很多书上和网上都有详细的说明,我们将直接进入对局域网协议的学习中。
局域网的几种协议,主要包括以太网第二版、ieee802系列、令牌环网和snap等(之所以加个“等”字,是因为我只知道这几种,如果还有其他的,欢迎朋友们给我补充)。
而最为常见的,也就是以太网第二版和ieee802系列,我们也主要去了解这两种(ieee802包括好多种,我们也不一一介绍,只对其中常见做研究)。
一,以太网(V2)
以太网第二版是早期的版本,是由dec、intel和xerox联合首创,简称dix。
帧格式如下图:
:
采用1和0的交替模式,在每个数据包起始处提供5mhz的时钟信号,以充许接收设备锁定进入的位流。
:
数据传输的目标mac地址。
:
数据传输的源mac地址。
型:
标识了帧中所含信息的上层协议。
:
这一帧所带有的数据信息。
(以太网帧的大小是可变的。
每个帧包括一个14字节的报头和一个4字节的帧校验序列域。
这两个域增加了18字节的帧长度。
帧的数据部分可以包括从46
字节到1500字节长的信息(如果传输小于46字节的数据,则网络将对数据部分填充填充位直到长度为46字节)。
因此,以太网帧的最小长度为18+46,或64个字节,最大长度为18+1500,或1518个字节。
)
帧校验序列(Fcs,Framechecksequence)域确保接收到的数据与发送时的数据一样。
当源节点发送数据时,它执行一种称为循环冗余校验(cRc,cyclicalRedundancycheck)的算法。
cRc利用帧中前面所有域的值生成一个惟一的4字节长的数,即Fcs。
当目标节点接收数据帧时,它通过cRc破解Fcs并确定帧的域与它们原有的形式一致。
如果这种比较失败,则接收节点认为帧已经在发送过程中被破坏并要求源节点重发该数据。
系列。
ieee802系列包含比较多的内容,但比较常见的是802.2和802.3。
下面我们就比这两种帧。
1,ieee802.3
为什么我要先把802.3列出来?
因为我个人觉得802.3应该是在802。
2之前出来,只它存在问题,所以才出现了802。
2以解决它的问题,大家是不是觉得有点糊,没关系,请继续看下去。
下面是这个帧的帧格式:
大家有没有发现在这个帧格式跟以太网第二版本的格式非常像?
没错,它们这间改动的比较少,因为802。
3是在以太网V2的基础上开发的,为了适应100m的网络,所以才把8位的前导步信息分成了7字节,并加入了一个sFd的域(为什么说这样分开一下可以支持100m?
我目前还没搞懂。
^8^那位高手有这方面的资料贡献一下啊)。
那前导和sFd到底起什么作用?
我的理解是,前导与soFd相当于跑步竞赛开始时的那句“预备!
跑!
”,前导就是“预备!
”,sFd就是“跑!
”,所以前导让接收设备进入状态,soFd让接收设备开始接收。
而这里所谓比特流硬件时钟同步,是指让设备按当前比特流信号频率同步,以得到精确的接收数据的位置,避免接收出错,与pc里所谓时钟概念是一样的。
再有就是类型字段变成了长度字段,这是因为当初这个协议是由novell开发的,所以它默认就是在就是局域网就是novell网,服务器是netware服务器,跑的是ipx的协议,因此去掉了类型换成了长度。
后来ieee再据此制定802。
3的协议,结果问题也就出来了。
如果我上层用的是ip协议呢?
那怎么办?
别急,有问题就会有方法,ieee802。
2也就由此出现了。
2,ieee802。
2
请看帧格式:
可以看到,种帧的最大区别就在于多了一个llc的域,即逻辑链路控制(llc,logicallinkcontrol)。
该信息用来区别一个网络中的多个客户机。
如果llc和数据信息的总长度不足46字节,数据域还将包括填充位。
长度域并不关心填充位,它仅仅报告逻辑链接控制层信息(llc)加上数据信息的长度。
逻辑链接控制层(llc)信息由三个域组成:
目标服务访问点(dsap,destinationserviceaccesspoint),源服务访问点(ssap,sourceserviceaccesspoint)和一个控制域。
每个域都是1个字节长,llc域总长度为3字节。
一个服务访问点(sap,serviceaccesspoint)标识了使用llc协议的一个节点或内部进程,网络中源节点和目标节点之间的每个进程都有一个惟一sap。
控制域标识了必须被建立llc连接的类型:
无应答方式(无连接)和完全应答方式(面向连接)。
我们在工作中最常见的也就是这三种帧了,下面加入一张网上找到的图片,以加深大家的理解,并做一个小小的总结:
三、用sniffer捕帧。
ok,局域网的基本协议已经讲完,现在该动动手了。
下面是我用sniffer捕的几个帧。
aRp帧:
dns的包:
http的包:
通过上面所捕获的帧,相信大家对网络的分层应该会有一个比较深的理解。
我所展开的是数据链路层的包头。
照上面的帧格式,我们可以看到,有目的地址,有源地址,有类型,从ip开始就属于段了。
姨,不对呀,怎么没有前导和sFd?
当然,这是用来同步的,对协议分析没有意括Fcs,所以去掉了(*8*不是我想的,sniffer捕完后就去掉了的别打我)。
是,不对啊?
没错,眼尖的朋友发现了,哈,都是以太网第二版的帧,看上面字段
type=0800(ip)”.这是怎么回事?
不是说现在都是802。
3的,至少也是802。
2的嘛?
怎么太网V2?
那么打包成何种帧是由哪个决定的?
其实这个问题我当时也糊了,而且很多人也都不是特别的清楚,后来跟我们老师沟通后这么认为:
打包成何种帧一般是由操作系统决定的,在微软的os里边,其默认都会打包成以太网第二版的(可以改),这并不是说网络环境变成10m了,因为现在这个以太网第二版应该也是支持100m的,而在netware环境里面,通常都默认是802。
2或802。
3,具体2还是3,就要看netware版本了,一般来讲,运行低于netware3.12版本的网络的缺省帧类型是802。
3。
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 以太网 协议 分析 软件
![提示](https://static.bingdoc.com/images/bang_tan.gif)