1、實(shí)驗(yàn)一：Ethhereaal使用用入門一、背景景知識Etheereaal是目目前廣泛泛使用的的網(wǎng)絡(luò)協(xié)協(xié)議分析析工具(Nettworrk PProttocool AAnallyzeer)，它它能夠?qū)崒?shí)時(shí)地捕捕獲網(wǎng)絡(luò)絡(luò)上的包包，并且且把包中中每個(gè)域域的細(xì)節(jié)節(jié)顯現(xiàn)出出來。EEtheereaal的廣廣為流行行主要有有以下三三個(gè)原因因：(1)它它的功能能非常強(qiáng)強(qiáng)大，隨隨著大家家對Etthereaal的熟熟悉將會會深切感感受到這這一點(diǎn)。(2)它它是開源源、免費(fèi)費(fèi)的軟件件。(3)它它具有非非常詳細(xì)細(xì)的文檔檔。Etthereaal的安安裝文件件和文檔檔可以從從 HYPERLINK / htttp:/wwww.

2、eetheereaal.ccom/下載。二、Etthereaal圖形形界面，如如下圖所所示：第一部分分是菜單單和工具具欄，EEtheereaal提供供的所有有功能都都可以在在這一部部分中找找到。第二部分分是被捕捕獲包的的列表，其其中包含含被捕獲獲包的一一般信息息，如被被捕獲的的時(shí)間、源和目目的IPP地址、所屬的的協(xié)議類類型，以以及包的的類型等等信息。第三部分分顯示第第二部分分已選中中的包的的每個(gè)域域的具體體信息，從從以太網(wǎng)網(wǎng)幀的首首部到該該包中負(fù)負(fù)載內(nèi)容容，都顯顯示得清清清楚楚楚。第四部分分顯示已已選中包包的166進(jìn)制和和ASCCII表表示，幫幫助用戶戶了解一一個(gè)包的的本來樣樣子。三、Etth

3、erreall的基本本用法Etheereaal的最最基本功功能是捕捕獲網(wǎng)絡(luò)絡(luò)包，其其使用方方法很簡簡單，按按如下步步驟即可可：(1)選選擇“CCaptturee”菜單單項(xiàng)中的的 “OOptiion”,這時(shí)會會彈出一一個(gè)對話話框，如如下所示示。這個(gè)個(gè)對話框框中的欄欄目雖然然很多，但但一般只只需配置置其中兩兩項(xiàng)。一一項(xiàng)是 “Caaptuure Fillterr”欄。在這個(gè)個(gè)欄中，可可以輸入入過濾規(guī)規(guī)則，用用于規(guī)定定Ethhereeal捕捕獲包的的種類(注：過過濾規(guī)則則的寫法法將在下下一節(jié)作作專門介介紹)；如果果不輸入入過濾規(guī)規(guī)則，則則Ethhereeal將將捕獲所所有從網(wǎng)網(wǎng)卡發(fā)送送或收到到的包。另

4、外一一項(xiàng)是 “Uppdatte llistt off paackeets in reaal ttimee”選項(xiàng)項(xiàng)，請大大家一定定要選中中這一項(xiàng)項(xiàng)，這樣樣可以使使Ethhereeal在在捕獲包包的同時(shí)時(shí)，實(shí)時(shí)時(shí)地把捕捕獲的包包顯示出出來。(2)在在完成如如上配置置后，點(diǎn)點(diǎn)擊“SStarrt”按按鈕，EEtheereaal便開開始捕獲獲包。四、Ettherreall的過濾濾規(guī)則Etheereaal的過過濾規(guī)則則可以有有兩種形形式：(1)一一個(gè)原語語：一個(gè)個(gè)原語即即一條最最基本的的過濾規(guī)規(guī)則(2)用用 “aand”、“orr”、“nnot”關(guān)關(guān)系去處處運(yùn)算符符，以及及括號組組合起來來的原語語。其中中

5、“annd”的的含義是是它所連連接的兩兩個(gè)原語語必須都都成立；“orr”的含含義是它它所連接接的兩個(gè)個(gè)原語只只要有一一個(gè)成立立即可；“noot”的的含義是是它后面面跟的原原語不成成立；括括號的作作用是對對關(guān)系運(yùn)運(yùn)算順序序作出規(guī)規(guī)定。從上面的的描述可可以看出出，我們們只要掌掌握原語語的寫法法，再用用關(guān)系運(yùn)運(yùn)算符把把它們組組合起來來，就可可以寫出出滿足不不同要求求的過濾濾規(guī)則了了。Ettherreall提供的的原語非非常多，這這里只介介紹最常常用的四四種（在在下面的的敘述中中，“”表表示可選選項(xiàng)，“”表表示必存存在的項(xiàng)項(xiàng)，“”表示示兩者選選擇其中中之一，其其他字符符串則是是關(guān)鍵字字，必須須照寫不不

6、誤）：etheer srcc|dsst hosst 這條原語語用來根根據(jù)以太太網(wǎng)MAAC層的的信息來來進(jìn)行包包過濾。若無可可選項(xiàng)ssrc|dstt，這條條原語用用于捕獲獲源和目目的MAAC地址址之一是是“macc_adddr“的以太太網(wǎng)幀；如果加加上 “srcc”或 “dstt”的限制制，則分分別用于于捕獲源源或目的的MACC地址是是“macc_adddr”的以太太網(wǎng)幀。如：原語語 “ethher hosst 008:000:11B:DD3:DD3:661”的含義義是捕獲獲所有源源或目的的MACC地址是是 “08:00:1B:D3:D3:61”的以太太網(wǎng)幀。原語 “ethher srcc ho

7、ost 08:00:1B:D3:D3:61”的含義義是捕獲獲所有源源MACC地址是是 “08:00:1B:D3:D3:61”的以太太網(wǎng)幀。2)ssrc|dstt hhostt 這條原語語用來根根據(jù)IPP信息進(jìn)進(jìn)行包過過濾。若若無可選選“srcc|dsst”,這條條原語用用于捕獲獲源或目目的IPP地址之之一是“ip_adddr”的包；如果加加上“srcc”或“dstt”的限制制，則分分別用于于捕獲源源或目的的IP地地址是“ip_adddr”的包。例如，原原語“hosst 23 ”的含義義是捕獲獲所有源源或目的的地址是是“2100.300.977.533”的包；原語“dstt

8、 hoost 2100.300.977.533 ”的含義義是捕獲獲所有目目的地址址是“2100.300.977.533”的包3)ttcp|udpp srcc|dsst porrt 這條原語語是用來來根據(jù)傳傳輸層進(jìn)進(jìn)行包過過濾。它它可以用用于捕獲獲傳輸層層協(xié)議是是TCPP或UDDP，源源或目的的端口號號是nuumbeer的包包。可選選項(xiàng)“TCPP”和“UDPP”用于對對傳輸層層協(xié)議進(jìn)進(jìn)行選擇擇，可選選項(xiàng)“srcc”和“dstt”用來對對端口號號是源還還是目的的進(jìn)行選選擇。例如，原原語“tcpp poort 80”的含義義是捕獲獲所有源源或目的的端口號號是800的協(xié)議議的包；原語 “udpp ds

9、st pportt 533”的含義義是捕獲獲所有目目的端口口號是553的UUDP協(xié)協(xié)議的包包。4) aarp|ip|icmmp|uudp|tcpp等這類原語語用于捕捕獲屬于于某種協(xié)協(xié)議類型型的包，協(xié)協(xié)議的類類型可以以是“arpp”、“ip”、“ICMMP”、“UDPP”或“TCPP”等。例如只含含一個(gè)關(guān)關(guān)鍵原語語“ICMMP”的含義義是捕獲獲所有IICMPP協(xié)議的的包。以是介紹紹4種最最常用的的原語寫寫法，下下面通過過舉例說說明如何何把這些些原語組組合起來來，從而而構(gòu)造比比較復(fù)雜雜的過濾濾規(guī)則。例A-1捕捕獲主機(jī)機(jī)1922.1668.00.100發(fā)出或或收到的的，除HHTTPP協(xié)議之之外的網(wǎng)網(wǎng)絡(luò)包。過濾規(guī)則則為：hostt 1992.1168.0.110 aand nott tccp pportt 800(注：HHTTPP協(xié)議通通常使用用TCPP端口號號80)例A-2記記主機(jī)1192.1688