实验一 局域网网络协议分析Ethereal(3)

实验一 局域网网络协议分析Ethereal

可以将俘获的帧与网络教材中的ARP、UDP、ICMP、SNMP等协议帧格式进行对照，并分析其中的信息。

4．相关概念

Ethereal是一种具有图形用户界面的网络协议分析仪，可以用于从实际运行的网络或从以前保存的俘获文件中交互地浏览分组数据。Ethereal能够读取libpcap俘获文件，也能够读取用Tcpdump俘获的文件，以及snoop、atmsnoop、LanAlyzer、Sniffer(压缩和非压缩的)、Microsofl Network Monitor、AIX的iptrace、NetXray、Sniffer Pro、Etherpeek、RADC OM的WAN／LAN analvzer、Lucent／Ascend router debug output、HP—UX的nettl、Cisco的安全入侵检测系统以IPLog格式输出的pppd日志文件。它自行决定文件类型，即使使用gzip进行压缩也是如此。

Ethereal的主窗口显示了3个视图(如图2-4所示)。

顶部视图包括网络分组的简要情况列表，用户能够滚动列表并进行选择。在默认情况下，在该窗口的各栏目中分别显示了每个分组的分组序号、分组时间戳、源和目的地址、协议和描述项。通过编辑参数选择(Preferences)可以改变这些项组合。为使这些变化起作用，你需要保存“Preferences"后退出Ethereal，然后再启动。如果你点击一栏的标题，显示将按该栏排序；再次点击标题将按该栏反向排序。该分析仪会尽可能多地反映出协议栈信息，如对IP分组显示IP地址，而对未知分组类型则显示MAC层地址。鼠标右键能用于弹出操作菜单，鼠标中键能用于标记分组。

中间视图包括当前选定的分组的协议树。该树根据上述栈定义协议首部字段，显示它们的值。鼠标右键能用于弹出操作菜单。

底部视图是一个十六进制区，显示了当该分组在线路上传输时分组的情况。在协议树中选择一个字段将在该区域亮选对应的字节。鼠标右键能用于弹出操作菜单。

点击最底部的过滤器(Filter)，将弹出“Display Filter"窗口，通过“Add Expression”能够改变当前过滤器。