组网技术与配置 （第3版） 清华大学出版社 ISBN 978-7-302-34697-5

第6章 网络协议分析工具 清华大学出版社 ISBN 978-7-302-34697-5

第6章 网络协议分析工具 6.1 网络协议分析工具概述 6.2 Ethereal的应用界面及参数设置 6.3 应用层网络协议分析 6.4运输层网络协议分析 6.5 网络层网络协议分析 6.6 数据链路层网络协议分析

6.1 网络协议分析工具概述 6.1.1 网络协议分析方法 6.1.2 Ethereal/Wireshark网络协议分析工具 6.1.3 Ethereal/Wireshark在Windows上的安装

6.1.1 网络协议分析方法 网络协议分析已成为网络配置、网络安全、网络管理的重要应用工具 网络协议分析系统可以是一个独立的，配合专业软件的硬件设备，也可以是安装在台式计算机或笔记本计算机上的软件 网络协议分析软件是一类基于被动侦听原理的网络监听程序 TcpDump、WinDump、Sniffer、Ethereal (Wireshark)

6.1.2 Ethereal/Wireshark网络协议分析工具 Wireshar继续开放源代码，任何人都可自由下载，也可共同开发，其主要功能和使用方法都高度秉承Ethereal

6.1.3 Ethereal/Wireshark在Windows上的安装 可以在其官方下载站点www.ethereal.com/download.html下载到ethereal-setup-0.99.0.exe的安装文件 当然也可以从Wireshark的官方网站www.wireshark.org上下载最新版本的wireshark-win32-1.2.8.exe安装文件 Ethereal的安装提供人机对话过程 如果在Windows平台系统还没有安装Winpcap，安装向导会提示安装Winpcap 基于Linux平台下的网络数据包捕获驱动程序是Libpcap

6.2 Ethereal的应用界面及参数设置 6.2.1 Ethereal的用户界面和参数用途 6.2.2 Ethereal的应用方法

6.2.1 Ethereal的用户界面和参数用途 1．Ethereal的主界面 2．Menu Bar（菜单栏） 3．Tool Bar（工具栏） 4．Filter Bar（显示过滤器栏） 5．Packet List Pane（协议跟踪列表框） 6．Packet Details Pane（协议层次框） 7．Packet Bytes Pane（协议代码框） 8．Status Bar（状态栏）

Ethereal捕获到数据包之后的用户主界面

Menu Bar（菜单栏） Ethereal界面菜单栏中每一项的项目名称及其功能描述

Tool Bar（工具栏）和Filter Bar（显示过滤器栏） 当将鼠标移动到工具栏上的每一个图标时，会出现该图标的功能解释信息 在“Filter”之后的文本框里可以输入显示过滤关键词表达式

Packet List Pane（协议跟踪列表框） 在数据包列表里的每一个行表示数据包文件里的一个数据包。如果选中了其中一行，选中的那一行会以蓝色底色高亮显示，例如图中的第1行，此数据包的信息就会显示在“协议层次框”和“协议代码框”里

Packet Details Pane（协议层次框）和Packet Bytes Pane（协议代码框） 此窗格以树结构显示在协议跟踪列表框被选中数据包的协议和字段内容，树可以展开和收起 通常使用哈希方式显示数据包字节。左边显示数据包偏移量，中间使用十六进制显示数据包，右边对应显示ASCII字符或没有适当的显示

Status Bar（状态栏） 状态栏中左边显示上下文信息，右边显示当前数据包信息，标识字母含义如下： P：抓取得数据包数 D：被显示的数据包数 M：被作过标记的数据包数

6.2.2 Ethereal的应用方法 1．数据包捕获 2．Ethereal捕包选项对话框包含的子选项 3．Ethereal捕包选项设置 首先在启动ethereal应用程序之后，点击菜单栏上的“Capture”选项，弹出下拉菜单 选择“Interfaces”选项，弹出Ethereal捕包网络接口对话框 2．Ethereal捕包选项对话框包含的子选项 3．Ethereal捕包选项设置

Capture选项下拉菜单和Ethereal捕包网络接口对话框

Ethereal捕包选项对话框 选择所要捕获数据包的网卡，然后直接点击它后面的“Capture”按钮，Ethereal将会直接进入数据包的捕获状态。可以通过点击“Prepare”按钮，对Ethereal的捕包选项进行一些设置

“Capture”框中各个项目的名称及描述

“Capture files”框中各个项目的名称及描述 “Dispaly Option”框各个项目的名称及描述

“Name Resolution”框各个项目名称及描述 “Stop Capture”框的各个项目名称及描述

Ethereal捕包选项设置 在明白了所有捕包选项的作用之后，就可以自己设定选项，使Ethereal按照所设置的要求进行捕包动作

Ethereal捕包信息对话框 捕包选项设置完以后，点击“Start”按钮，将会弹出数据包捕获信息对话框

6.3应用层网络协议分析 6.3.1 Ethereal协议分析方法 6.3.2 HTTP协议分析 6.3.3 FTP协议分析

6.3.1 Ethereal协议分析方法 Ethereal对捕获到的数据包按照网络协议层次进行解析 这是由于从网卡上捕获的是数据链路层网络协议帧 按照网络协议封装原理，帧封装是网络层协议数据单元分组，依次类推

数据包解析流程 按照自顶向下方法，依次对应用层、运输层、网络层、数据链路层的几种常用网络协议进行实例分析

6.3.2 HTTP协议分析 1．HTTP协议 2．HTTP协议的请求报文 Web应用服务采用的是HTTP协议 HTTP报文有两种：一种是请求报文，另一种报文是响应报文 HTTP协议的传输过程一般情况下可以分为4个步骤 2．HTTP协议的请求报文

HTTP协议的请求报文 报文内容及结构分析如下： 1）请求行 2）首部行 3）实体主体

6.3.3 FTP协议分析 FTP是面向连接的，使用的运输层协议是TCP。采用客户机/服务器（C/S）工作方式 分别通过端口号21和20进行 通过TCP三次握手实例来分析一个完整的FTP会话过程

TCP三次握手，建立控制连接的过程 可以看出，经过TCP的三次握手（图6-17中的14、15、16行），FTP的客户端和服务器端建立起控制连接，客户端使用3714号端口，服务器端使用21号端口来发送控制信息

客户端发送USER命令

服务器返回331号响应报文

客户端发送PASS命令

服务器返回230号响应报文

客户端发送PASV命令

服务器返回227号响应报文

数据连接的TCP三次握手过程中的第35、36、37行

数据连接关闭过程

6.4运输层网络协议分析 6.4.1 TCP协议格式 6.4.2 UDP协议格式

6.4.1 TCP协议格式 通过分析一个Ethereal应用界面给出的具体实例来使读者对TCP报文段的格式有一个更加直观的理解

6.4.2 UDP协议格式 UDP只在IP分组提供的服务上增加了很少的功能。因为UDP是无连接的

6.5 网络层网络协议分析 6.5.1 IPv4协议分析 6.5.2 ARP协议分析 6.5.3 ICMPv4协议分析

6.5.1 IPv4协议分析 一个IP分组由首部和数据两部分组成，首部的固定部分为20字节，首部的可选部分长度是可变的，最长为40字节

8位的区分服务字段 IP数据报标识字段

Flags（标志）字段展开 Reserved bit保留位，目前还没有使用。 DF(Don`t fragment)标识分组是否可以分片。该位置为1时表示不能分片，该位置为0时表示可以分片。这里DF=1表示不能分片。 MF(More fragments)表示是否为最后一个分片。如果DF=0即允许分片的情况下，该位置为1时表示后面还有分片，该位置为0时表示这是最后一个分片。如果DF=1即不允许分片的情况下，该位置为0。这里DF=1，MF=0不允许分片

6.5.2 ARP协议分析 ARP完成从IP地址到MAC地址转换的协议

6.5.3 ICMPv4协议分析 1．ICMP协议 2．ICMP协议格式 1）ICMP回送请求报文 2）ICMP回送应答报文

ICMP回送请求、应答报文 通过ping命令应用来分析ICMP回送请求和应答报文

6.6 数据链路层网络协议分析 6.6.1 捕获的以太网II帧协议 6.6.2 以太网II帧协议格式分析

6.6.1 捕获的以太网II帧协议 这是一个封转ARP报文的以太网帧

6.6.2 以太网II帧协议格式分析 Destination，以太网II协议帧封装的是一个ARP请求报文，是一个广播帧，给出的目的MAC地址为广播地址Broadcast(ff:ff:ff:ff:ff:ff)。 Source，发出ARP请求报文的源主机的MAC地址是：00:16:17:ab:f8:44。 Type，用来标识上一层采用的协议的值为：0x0806，表示该帧封装的是ARP报文。 以太网II协议帧中的数据为ARP请求报文。 以太网II协议帧中的帧校验序列FCS字段内容，由CRC校验生成