实验一 Ethereal协议分析软件的使用 下载本文

内容发布更新时间 : 2024/11/19 20:44:53星期一 下面是文章的全部内容请认真阅读。

可以将fddi协议包当作ether的包进行处理和分析。 其他的几个关键字就是指明了监听的包的协议内容。如果没有指定任何协议,则tcpdump将会监听所有协议的信息包。

除了这三种类型的关键字之外,其他重要的关键字如下:gateway, broadcast,less,greater,还有三种逻辑运算,取非运算是 'not ' '! ', 与运算是'and','&&';或运算 是'or' ,'||';

这些关键字可以组合起来构成强大的组合条件来满足人们的需要,下面举几个例子来

1、想要截获所有210.27.48.1 的主机收到的和发出的所有的数据包: #tcpdump host 210.27.48.1

2、想要截获主机210.27.48.1 和主机210.27.48.2 或210.27.48.3的通信,使用命令:(在命令行中适用括号时,一定要

#tcpdump host 210.27.48.1 and \\ (210.27.48.2 or 210.27.48.3 \\) 3、如果想要获取主机210.27.48.1除了和主机210.27.48.2之外所有主机通信的ip包,使用命令:

ip host 210.27.48.1 and ! 210.27.48.2

4、如果想要获取主机210.27.48.1接收或发出的telnet包,使用如下命令: tcp port 23 host 210.27.48.1 5.过滤规则实例

? 捕捉主机10.14.26.53和www服务器www.zju.edu.cn之间的通信(这里主机

10.14.26.53可以是自身,也可以是通过普通HUB(而不是交换机)与本机相连的LAN上的其它主机或路由器,下同),Ethereal的capture filter 的filter string设置为:

host 10.14.26.53 and www.zju.edu.cn

? 捕捉局域网上的所有ARP包,Ethereal的capture filter 的filter string

设置为: arp

? 捕捉局域网上主机10.14.26.53发出或接受的所有ARP包,Ethereal的

capture filter 的filter string设置为:arp host 10.14.26.53 或者等价地设置为:arp and host 10.12.105.27

? 捕捉局域网上主机10.14.26.53发出或接受的所有POP包(即src or dst port

=110),Ethereal的capture filter 的filter string设置为:

tcp port 110 and host 10.14.26.53

或者等价地设置为:tcp and port 110 and host 10.14.26.53 ? 捕捉局域网上主机10.14.26.53发出或接受的所有FTP包(即src or dst port

=21),Ethereal的capture filter 的filter string设置为:

tcp port 21 and host 10.14.26.53

(1). 在主机10.14.26.53上用FTP客户端软件访问FTP server。

(2). 观察并分析10.14.26.53和FTP server之间传输的Ethernet II (即DIX Ethernet v2) 帧结构,IP数据报结构,TCP segment结构。

(3). 观察并分析FTP PDU名称和结构。注意10.14.26.53发出的FTP request PDU中以USER开头、以PASS开头的两个PDU,他们包含了什么信息?对INTERNET的FTP协议的安全性作出评价。

? 捕捉局域网上的所有icmp包,Ethereal的capture filter 的filter string

设置为:icmp

? 捕捉局域网上的所有ethernet broadcast帧,Ethereal的capture filter 的

filter string设置为:ether broadcast

? 捕捉局域网上的所有IP广播包,Ethereal的capture filter 的filter

string设置为:ip broadcast ? 捕捉局域网上的所有ethernet multicast帧,Ethereal的capture filter 的

filter string设置为:ether multicast

? 捕捉局域网上的所有IP广播包,Ethereal的capture filter 的filter

string设置为: ip multicast

? 捕捉局域网上的所有ethernet multicast或broadcast帧,Ethereal的

capture filter 的filter string设置为: ether[0] & 1 != 0 ? 要以MAC address 00:00:11:11:22:22为抓封包条件, Filter string设置为:

ether host 00:00:11:11:22:22

FTP模型与测试分析环境

协议分析器

协议分析器的作用就是监视FTP客户与FTP服务器的协议交互过程,记录并对协议包进行分析; 分析环境的具体参数是:

FTP服务器:MAC地址为 00-00-C0-22-A1-01 IP地址为 201.5.21.1 控制连接端口号为 20 数据连接端口号为 21

FTP客户: MAC地址为 02-60-8C-01-24-28 IP地址为 201.5.21.25 数据连接端口号为 15432 控制连接端口号为 7180 FTP工作模型

FTP控制连接建立过程的协议分析

地址解析ARP协议执行过程

FTP控制连接建立过程

协议包4~6 是FTP 控制连接建立的协议执行过程 协议包4:FTP客户请求建立与FTP服务器控制连接包

FTP控制连接建立的协议包交互过程

FTP用户登录身份验证过程的协议分析

协议包9~16是用户身份的协议执行过程

协议包9:FTP客户发送给FTP服务器的User命令协议包

协议包10:FTP服务器发送给FTP客户对User命令的应答包

协议包12:FTP客户发送给FTP服务器的带有用户名与密码的应答包