Ethereal是一款免费的网络协议分析程序,支持Unix、Windows。借助这个程序,我们既可以直接从网络上抓取数据进行分析,也可以对由其他嗅探器抓取后保存在硬盘上的数据进行分析。目前,Ethereal能够解析761种协议数据包,选择菜单命令“Help”-“SupportedProtocol”子菜单项可以查看详细信息。
工具/原料
装载Ethereal的计算机
方法/步骤
1、打开网络协议分析软件(Ethereal)
2、选择菜单命令“Cap隋茚粟胫ture”-“Interfaces…”子菜单项。弹出“Ethereal:CaptureInterfaces”对话框撅掏浑锌。此对话框列出了本地计算机中存在的网络适配器。单击“Details”按钮可以查看对应适配器的详细信息。从上图中可以看出,本机可用适配器的IP地址为:10.0.1.94。单击“Capture”按钮可以立即开始捕获网络数据包,单击“Prepare”按钮可以在经过详细设置后开始捕获网络数据包。
3、单击“Prepare”按钮,弹出“Ethereal:CaptureOptions”对话框。此对话框列出了当前可用适配器、本地计算机IP地址、数据捕获缓冲区大小、是否采用混杂模式、捕获数据包最大长度限制、数据捕获过滤规则等配制参数。
4、单击“Start”按钮,网络数据包捕获开始,同时弹出“Ethereal:Capturefrom……”对话框。此对话框列出了已捕获数据包数量的统计信息以及已经花费的时间。如果用户单击“Stop”按钮,捕获进程将被中断,中断后可以对已捕获到的数据进行分析。
5、打开“命令提示符”窗口,使用“Ping”命令测试本机与网关的连通性。在使用“Ping”命令测试本机与网关的连通性时,本地计算机向网关发送4个ICMP数据包,网关也会向本地计算机发送四个应答报文。因此,这8个报文将被网络协议分析软件捕获。
6、单击“Stop”按钮,中断捕获进程。捕获的数倌栗受绽据如下图所示:此窗口显示分为三个部分:数据包列表区、协议树区和十六进制对照区。在列漉胜衲仰表区可以清楚看到8个ICMP数据包。用户点击任何一个区中的元素,另外两个区都会实时刷新显示。第二个窗口:EtherealII表示MAC帧的地址InternetProtocol表示ip地址Transmissioncontrolprotocol表示TCP端口号第三个窗口:是以十六制显示的数据包的具体内容,这是被截获的数据包在物理媒体上传输时的最终形式
7、协议树区中以太网帧结构,是否符合EthernetII帧结构
8、重新开始网络数据包捕获,浏览一些网页之后停止捕获,查看捕获到的数据包,记录以太网数据帧的类型字段的值是什么?对应什么协议。