Ethereal使用教程
ethereal 可以用来从网络上抓包,并能对包进行分析。下面介绍windows 下面ether eal 的使用方法
安装
1)安装winpcap,下载地址http://netgroup-serv.polito.it/winpcap/insta ll/Default.htm 2)安装ethereal ,下载地址https://www.doczj.com/doc/8a18450596.html,/
使用
windows 程序,使用很简单。
启动ethereal 以后,选择菜单Capature->Start ,就OK 了。当你不想抓的时候,按一下stop,抓的包就会显示在面板中,并且已经分析好了。
下面是一个截图:
ethereal使用-capture选项
interface: 指定在哪个接口(网卡)上抓包。一般情况下都是单网卡,所以使用缺省的就可以了Limit each packet: 限制每个包的大小,缺省情况不限制。
Capture packets in promiscuous mode: 是否打开混杂模式。如果打开,抓取所有的数据包。一般情况下只需要监听本机收到或者发出的包,因此应该关闭这个选项。Filter:过滤器。只抓取满足过滤规则的包(可暂时略过) File:如果需要将抓到的包写到文件中,在这里输入文件名称。use ring buffer:是否使用循环缓冲。缺省情况下不使用,即一直抓包。注意,循环缓冲只有在写文件的时候才有效。如果使用了循环缓冲,还需要设置文件的数目,文件多大时回卷。其他的项选择缺省的就可以了。
ethereal的抓包过滤器
抓包过滤器用来抓取感兴趣的包,用在抓包过程中。抓包过滤器使用的是libcap 过滤器语言,在tcpdump 的手册中有详细的解释,基本结构是: [not] primitive [and|or [not] primitive ...]
个人观点,如果你想抓取某些特定的数据包时,可以有以下两种方法,你可以任选一种,个人比较偏好第二种方式:
1、在抓包的时候,就先定义好抓包过滤器,这样结果就是只抓到你设定好的那些类型的数据包;
2、先不管三七二十一,把本机收到或者发出的包一股脑的抓下来,然后使用下节介绍的显示过滤器,只让Ethereal 显示那些你想要的那些类型的数据包;
etheral的显示过滤器(重点内容)
在抓包完成以后,显示过滤器可以用来找到你感兴趣的包,可以根据1)协议2)是否存在某个域3)域值4)域值之间的比较来查找你感兴趣的包。
举个例子,如果你只想查看使用tcp 协议的包,在ethereal 窗口的左下角的Filter 中输入tcp,然后回车,ethereal 就会只显示tcp 协议的包。如下图所示:
值比较表达式可以使用下面的操作符来构造显示过滤器自然语言类c 表示举例eq == ip.addr==10.1.10.20 ne != ip.addr!=10.1.10.20 gt > frame.pkt_len>10 lt < frame.pkt_len<10 ge >= frame.pkt_len>=10 le <= frame.pkt_len<=10 表达式组合可以使用下面的逻辑操作符将表达式组合起来自然语言类c 表示举例and && 逻辑与,比如ip.addr=10.1.10.20&&tcp.flag.fin or || 逻辑或,比如ip.addr=10.1.10.20||ip.addr=10.1.10.21 xor ^^ 异或,如tr.dst[0:3] == 0.6.29 xor tr.src[0:3] == not ! 逻辑非,如 !llc
例如:
我想抓取IP 地址是192.168.2.10 的主机,它所接收或发送的所有的HTTP 报文,那么合适的显示Filter (过滤器)就是:
在ethereal 使用协议插件
ethereal 能够支持许多协议,但有些协议需要安装插件以后才能解,比如H.323,以H.323 协议为例,首先下载ethereal 的H.323 插件,下载地址https://www.doczj.com/doc/8a18450596.html,/ 下载完了以后将文件(h323.dll) 解压到ethereal 安装目
录的plugin\0.9.x 目录下面,比如我的是0.9.11 ,然后,需要进行一下设置:
1)启动ethereal
2)菜单Edit->Preference
3)单击Protocols 前面的"+"号,展开Protocols
4)找到Q931 ,并单击
5)确保"Desegment.... TCP segments" 是选中的(即方框被按下去)
6)单击TCP
7)确保"Allow....TCP streams" 是选中的
8)确保没有选中"Check....TCP checksum" 和"Use....sequence numbers"
9)单击TPKT
10)确保"Desegment....TCP segments" 是选中的
11)点击Save,然后点击Apply ,然后点击OK 你也完全可以不断地重新安装新版本winpcap 和ethreal,这样就可以不需在旧的ethreal 的版本中安装新的插件来支持新的协议插件。这也是懒人的一种做法。
Windows7系统封装教程(详细图解) Windows7系统封装教程(详细图解) 一、封装前准备 1、Windows7官方发布的安装光盘(镜像)(这里就不提供给大家了,大家自己想办法) 2、需要预装的各种应用软件,如Office/、Photoshop、Win7优化大师等等,当然,作为对软媒的支持,也加上闪游浏览器和酷点吧。 3、UltraISO和Windows7 AIK。Windows7 AIK简体中文版的下载地址为: download.microsoft./download/6/3/1/631A7F90-E5CE-43AA-AB05-EA82AEAA402A/KB3AIK_.iso 4、WindowsPE光盘(最好是Windows7PE光盘)。Windows7PE光盘可以使用Windows7AIK制作,也可以在以下地址下载: /zh-/files/709d244c-2e5a-11de-a413-0019d11a795f/ 二、安装操作系统和应用程序
1、安装Windows7操作系统。 安装操作系统有4个环节要注意: ①操作系统最好安装在C盘,安装期间(包括后面安装应用程序 和进行封装)最好不要连接到网络。 ②如果在安装操作系统过程中输入序列号,进行封装以后再重新 安装操作系统不会再提示输入序列号。除非要制作成OEM版的封装系统,否则在安装过程中提示输入序列号时,不要输入序列号,直接点―下一步‖继续系统的安装。③为保持封装系统纯净,安装好Windows7操作系统后最好不要安装硬件的驱动。当然,安装驱动程序也不会影响系统的封装。 ④为避免调整优化系统、安装应用软件过程中出现不必要的错误 和产生错误报告文件,第一次进入系统后应当禁用UAC和关闭错误报告。禁用UAC和关闭错误报告的方法如下: ——打开―控制面板‖,点击―系统和安全‖,选择―操作中心‖,点击―安全‖,在展开的详细设置内容中找到并点击―用户帐户控制‖下方的―选择您 UAC级别‖,
ethereal 可以用来从网络上抓包,并能对包进行分析。下面介绍windows 下面ethereal 的使用方法 安装 1)安装winpcap,下载地址http://netgroup-serv.polito.it/winpcap/install/Default.htm 2)安装ethereal ,下载地址https://www.doczj.com/doc/8a18450596.html,/ 使用 windows 程序,使用很简单。 启动ethereal 以后,选择菜单Capature->Start ,就OK 了。当你不想抓的时候,按一下stop,抓的包就会显示在面板中,并且已经分析好了。 下面是一个截图: ethereal使用-capture选项
nterface: 指定在哪个接口(网卡)上抓包。一般情况下都是单网卡,所以使用缺省的就可以了Limit each packet: 限制每个包的大小,缺省情况不限制 Capture packets in promiscuous mode: 是否打开混杂模式。如果打开,抓取所有的数据包。一般情况下只需要监听本机收到或者发出的包,因此应该关闭这个选项。Filter:过滤器。只抓取满足过滤规则的包(可暂时略过)File:如果需要将抓到的包写到文件中,在这里输入文件名称。use ring buffer:是否使用循环缓冲。缺省情况下不使用,即一直抓包。注意,循环缓冲只有在写文件的时候才有效。如果使用了循环缓冲,还需要设置文件的数目,文件多大时回卷 其他的项选择缺省的就可以了 ethereal的抓包过滤器 抓包过滤器用来抓取感兴趣的包,用在抓包过程中。抓包过滤器使用的是libcap 过滤器语言,在tcpdump 的手册中有详细的解释,基本结构是:[not] primitive [and|or [not] primitive ...] 个人观点,如果你想抓取某些特定的数据包时,可以有以下两种方法,你可以任选一种,个人比较偏好第二种方式: 1、在抓包的时候,就先定义好抓包过滤器,这样结果就是只抓到你设定好的那些类型的数据包; 2、先不管三七二十一,把本机收到或者发出的包一股脑的抓下来,然后使用下节介绍的显示过滤器,只让Ethereal 显示那些你想要的那些类型的数据包; etheral的显示过滤器(重点内容) 在抓包完成以后,显示过滤器可以用来找到你感兴趣的包,可以根据1)协议2)是否存在某个域3)域值4)域值之间的比较来查找你感兴趣的包。 举个例子,如果你只想查看使用tcp 协议的包,在ethereal 窗口的左下角的Filter 中输入tcp,然后
Ethereal工具的使用方法 1、抓包设置页面 选择以太网卡 设置为实时刷新报文 设置为是否滚动 设置一次抓包长度或抓包时间 设置抓包存储方式 显示过滤 显示过滤语法: mms 只显示MMS报文 iecgoose 只显示goose报文 tcp 只显示tcp报文 udp 只显示udp报文 ip.addr == 172.20.50.164 显示与地址为172.20.50.164的服务器交互的报文 ip.src == 172.20.50.164 显示源地址IP为172.20.50.164的服务器发出的报文 ip.dst == 172.20.50.164 显示与目的地址IP为172.20.50.164的服务器交互的报文 eth.addr == 5a:48:36:30:35:44 显示与MAC地址为5a:48:36:30:35:44的服务器交互的报文 eth.src == 5a:48:36:30:35:44 显示源MAC地址为5a:48:36:30:35:44的服务器发出的报文
eth.dst == 5a:48:36:30:35:44 显示与目的MAC 地址为5a:48:36:30:35:44的服务器交互的报文 抓捕过滤 抓捕过滤语法 Tcp 只抓捕Tcp 报文 Udp 只抓捕Tcp 报文 Host 172.20.50.164 只抓捕IP 地址为172.20.50.164的报文 Ether host 只抓捕MAC 地址为5a:48:36:30:35:44的报文 限制每个包的大小 2、 协议显示 MMS 报文 SNTP 建立以太网通讯时会发ARP 报文ping 报文 SV 、GOOSE 抓包时间 3、 显示信息
教程架构: 第一篇系统、工具及软件安装 第二篇封装工具选择及实战 第三篇光盘ISO文件制作 下面以封装制作GHOSTXPSP3为例,进行讲解! 第一篇系统、工具及软件安装 一、准备工作 1、操作系统选择:建议采用微软官方的VOL原版 ——为什么要用VOL原版?因为VOL原版适用于任何电脑,而某些品牌机赠送的是OEM版,只能用于对应的品牌电脑,并且还需激活! ——特别说明一下:很多人喜欢说正版,其实所谓的正版是要通过微软官方验证的,但是系统内容却并不一定是原版的。 详情可以参阅帖子: Windows_XP_Service_Pack_3_X86_CD_VOL_CN微软官方原版下 载:
2、系统补丁:主要靠自己平时收集整理,建议到微软官方下载 如果没有,可以使用别人做好的,推荐一个比较好的系统补丁集— —系统之家,每月都有更新! 也可以使用360安全卫士下载,然后收集整理。 3、办公软件:一般来讲,做GHOST封装都会安装OFFICE办公软 件,也建议采用微软原版,不要使用修改版。 Microsoft Office 2003_vol原版下载 Microsoft Office 2003 Service Pack 3下载 2007 office system格式兼容文件下载 4、工具软件:可以根据自己的爱好并结合电脑城装机的实际情况安装部分常用工具软件。这些软件大部分都是共享的免费软件,也建议到相应的官方网站下载,尽量不要使用第三方修改版本! 推荐下载 二、系统安装 1、微软官方原版系统安装过程图解 补充一下:为了封装系统的稳定,建议全新安装,即使用全盘格式化进行安装;同时在安装系统、工具、软件的时候断开外部网络;并
实验一使用Ethereal工具分析网络协议 一、实验目的 通过使用Ethereal软件掌握Sniffer(嗅探器)工具的使用方法,实现捕捉网络协议的数据包,以理解TCP/IP协议族中多种协议的数据结构以及多种协议的交互过程。 二、实验环境 安装Windows 2000/XP的PC机,在每一台上安装Ethereal软件。将PC机通过路由器/交换机相连,组成一个局域网。 三、实验内容和步骤 (1)Ethereal 使用说明 1、Ethereal 简介 Ethereal是一款免费的网络协议分析程序,支持Unix、Windows。借助这个程序,你既可以直接从网络上抓取数据进行分析,也可以对由其他嗅探器抓取后保存在硬盘上的数据进行分析。你能交互式地浏览抓取到的数据包,查看每一个数据包的摘要和详细信息。Ethereal有多种强大的特征,如支持几乎所有的协议、丰富的过滤语言、易于查看TCP会话经重构后的数据流等。 它的主要特点为: ?支持Unix系统和Windows系统 ?可以根据不同的标准进行包过滤 ?通过过滤来查找所需要的包 ?根据过滤规则,用不同的颜色来显示不同的包 ?提供了多种分析和统计工具,实现对信息包的分析 2、Ethereal 安装 安装软件可以从https://www.doczj.com/doc/8a18450596.html,网站上下载。
3、Ethereal操作指导 3.1 Ethereal 操作界面 Ethereal软件界面如图上图所示,在这个窗口上,整个界面环境分为三个窗口,最上面的窗口是抓包列表窗口,经过Ethereal软件抓包后的数据包都会列在这个窗口中,同时你可以根据抓包序列号,抓包时间、源地址、目标地址、协议等进行包列表的排序,这样你可以很容易的找到你所需要的信息包。 中间的窗口中显示的是抓包列表上所选择的包对应的各层协议说明,其中,协议层次信息以树型的结构进行显示。 最下面的窗口是数据窗口,显示的是上层窗口选中的信息包的具体数据,同时,在中间树型窗口中所选择的某一协议数据域的内容,在数据窗口中会被突出地显示出来。 3.2 Ethereal 界面菜单 菜单中主要有以下几个部分: File:这个子菜单下的操作与Windows菜单下File下的操作类似,包括了文件的打开,保存、打印以及系统的退出等等。不过这里的文件仅仅指的是抓包文件。Edit:这个子菜单下所包含的操作有:查找某一个特定的帧、跳到某个帧、在一个或更多的帧上打上标记、设置首选项、设置过滤、协议剖析允许/不允许等。在这个菜单下,Windows界面中的一些常用的操作,例如剪切、复制、粘贴等将不再使用。 Capture:在这个菜单下进行开始抓包和停止抓包的操作。
(一)备份当前操作系统 封装的第一步,其实是备份当前安装好的操作系统。避免我们在之后的步骤中出现问题,以至于还要重新安装操作系统,浪费时间精力。 系统备份想必大家都会。对于WinXP而言,建议使用Ghost备份。推荐使用U盘装机助理中的Easy Image X 执行Ghost备份操作,Easy Image X 具有图形化操作、便于设置压缩率等特点。 提醒大家要注意的是,我们现在是备份系统以备不时之需,而并非封装完毕后制作系统映像,所以压缩率不用调整的过高,以免浪费更多的备份和恢复时间。压缩率建议选择“快速压缩”,体积略大,但备份和恢复速度都很快。设置完毕后,Ghost备份过程自动启动。
2013-1-22 14:15 上传 下载附件(125.39 KB) 稍事等待后,系统备份完毕。 (二)封装前的准备 封装的目的,是为了快速的部署操作系统,减少不必要的重复劳动。所以,我们需要向源系统集成系统补丁、安装常用软件,从而减少每次部署后的重复劳动。 1、集成系统补丁。集成补丁的方法有很多,例如使用Windows Update、使用第三方安全软件、使用第三方补丁包等。这里推荐大家选用IT天空系统补丁安装助理,一次性安装所有重要补丁。
2、安装常用软件。常用软件常用的一般也就几种,大家请根据自己的系统部署范围而决定。
特别提醒 (1)不是所有的软件都能良好适应系统封装部署,特别是某些国产软件; (2)需要激活的软件,部署完毕后一般都需要重新激活; (3)不建议集成安全类软件,某些安全软件会阻挡正常的系统部署进程,甚至导致蓝屏宕机; (4)如果某些软件不适合集成在系统,可以使用首次进桌面静默安装的方法来解决。 3、备份系统。又备份系统?对,备份。补丁安装要20分钟左右,软件也需要逐个安装与调整,所以整体时间一般不少于30分钟。为防止封装时出现未知错误,建议再次备份系统,以备今后的调整操作。这次备份完,我们就可以放心大胆的开始封装操作了。
实验一:使用包嗅探及协议分析软件Ethereal 分析 Ethernet帧及应用层FTP协 议的分析 【实验目的】 1、掌握包嗅探及协议分析软件Ethereal的使用。 2、掌握Ethernet帧的构成 3、掌握 FTP协议包的构成 【实验环境】 安装好Windows 2000 Server操作系统+Ethereal的计算机 【实验时间】2节课 【实验重点及难点】 重点学习掌握如何利用Ethereal来分析Ethernet帧。 【实验内容】 1、捕捉任何主机发出的Ethernet 802.3格式的帧和DIX Ethernet V2(即Ethernet II)格式的帧并进行分析。 2、捕捉并分析局域网上的所有ethernet broadcast帧进行分析。 3、捕捉局域网上的所有ethernet multicast帧进行分析。 【实验步骤】 一、Ethereal的安装 Ethereal是一个图形用户接口(GUI)的网络嗅探器,由于Ethereal需要WinPcap库, 所以先安装WinPcap_2_3.exe, 再安装Ethereal.exe。(已装好)二、仔细阅读附件中的Ethereal使用方法和TcpDump的表达式详解,学习 Ethereal的使用。 三、捕捉任何主机发出的Ethernet 802.3格式的帧和DIX Ethernet V2(即Ethernet II)格式的帧并进行分析。 捕捉任何主机发出的Ethernet 802.3格式的帧(帧的长度字段<=1500),Ethereal的capture filter 的filter string设置为:ether[12:2] <= 1500。捕捉任何主机发出的DIX Ethernet V2(即Ethernet II)格式的帧(帧的长度字段>1500, 帧的长度字段实际上是类型字段),Ethereal的capture filter 的filter string设置为:ether[12:2] > 1500。 ①观察并分析帧结构,802.3格式的帧的上一层主要是哪些PDU?是IP、LLC 还是其它哪种?(学校里可能没有,如果没有,注明没有就可以了) ②观察并分析帧结构,Ethernet II的帧的上一层主要是哪些PDU?是IP、LLC 还是其它哪种? 四、捕捉并分析局域网上的所有ethernet broadcast帧,Ethereal的capture filter 的
1.主界面介绍 随着3G的普及,手机数据业务量(如浏览器,彩信等)的日益增长,对手机侧网络包的分析显得越来越重要。 一般来说,手机数据业务的抓包工具为QXDM,在抓LOG指导里面已经有了详细参数的配置介绍(详情见《IP数据包抓取方法.doc》)。但需要注意的是,在将LOG转化为.pcap文件时,必须保证当前电脑里安装有Ethereal软件,否者PCAPGenerator这个工具不会出现。(针对使用Tools->PCAPGenerator转化.isf文件出错的情况,可以做如下尝试:先使用Tools->ISF File Converter将刚刚保存的.isf文件其转化为.dlf文件,然后使用Tools->PCAPGenerator将.dlf 文件转换成.pcap文件)。 这里主要针对抓到IP包后,怎么样使用Ethereal软件对IP包进行分析,以及一些简单的TCP/IP协议介绍。 直接点击打开.pcap文件,可以看到如下图1所示界面。 图1 中间彩色的区域就是IP数据包。从左到右,字段分别是No.,Time,Source,Destination,Protocol以及Info。IP包是按照流经手机网卡的时间顺序排列的,NO.是标示抓到的IP包是该抓包文件中的第几个,Time则是计算的所有包与第一个包之间的间隔时间,单位毫秒ms。Source和Destination字段分别表示IP包的源地址和目的地址。Protocol显示当前IP包的上层协议,如TCP,UDP,如果应用层协议头也在该IP包中,优先显示应用层协议,如RTSP,HTTP等。 注意中间的彩色显示,不同的颜色代表该IP包中包含了不同内容,这是方便我们对IP 包查看。如上面的大红色,表示的是该数据包损坏,可能是只有一半的内容,也可能是指在该包与其他包的序号不连续(指在协议层不连续),中间可能出现丢包的现象。很多时候,Ethereal是用不同颜色来区分上层协议的不同(注意IP包中必须包含上层协议的包头,才能以该应用的颜色进行标示。因为很多数据包比较大,是通过几个IP包进行传输的,那么就只有第一个包是以上层应用的颜色进行标示,后面的显示为协议层颜色)。如下图2中,可以看到DNS是以淡蓝色标示,ICMP是以黑色标示,TCP的同步(SYN&FIN建立TCP连接的三次握手)以深灰色进行标示,而其它的TCP包则以浅灰色标示,HTTP协议使用绿色进
《高级网络技术》 实验一 ethereal抓包工具的使用 课程实验报告 课程名称:高级网络技术 专业班级: 姓名: 学号: 指导教师: 完成时间:2012 年10 月24 日
实验一 ethereal抓包工具的使用 一、实验目的 1.熟悉Ethereal网络抓包工具软件的作用和使用方法; 2.通过Ethereal工具软件的帮助,对抓到包进行分析。 二、实验内容 学习Ethereal网络抓包工具以及对ARP packet format进行分析。 三、实验设备及工具 硬件:安装了网卡的PC机。 软件:PC 机操作系统WinXP,安装了网卡驱动程序,以及ethereal抓包软件 四、实验步骤 1)安装winpcap和ethereal; 2)ARP协议分析 由ethereal抓取的包格式和下图一样,首先,对下图所示帧格式进行了解。如图所示,前14字节是数据链路层所附加的帧头,后28字节是来自网络层的ARP数据包内容。 然后,我们根据所抓取的实际例子来分析协议各个部分,如下图所示。 在这个例子中,编号256的包:物理地址是00:21:86:a2:c6:d3,IP地址是
192.168.60.42的主机或路由器,向网络中发送广播,内容是一个ARP协议的request, 希望获得IP地址为192.168.60.140的主机的物理地址。编号为257的包:IP地址为192.168.60.42的主机,收到广播的request后,向广播发送端发送单播reply,告诉 对方自己的物理地址为00:1d:ba:18:cb:dc。 256和257号包的详细内容如下所示。 256号包 257号包 由图可见,前14字节为帧头。其中,前6字节为目的物理地址,当向网络中发送广播时,目的物理地址为全f;7-12字节为源物理地址;最后两个字节表示帧类型,ox0806表示这是一个ARP数据帧;由于是在以太网中传输,当帧长度不足46字节是,可能在
ES4完美封装图文教程-虎鲨软件站 作者:S大源于天空,高仿必究 (一)备份当前操作系统 封装的第一步,其实是备份当前安装好的操作系统。避免我们在之后的步骤中出现问题,以至于还要重新安装操作系统,浪费时间精力。 系统备份想必大家都会。对于WinXP而言,建议使用Ghost备份。推荐使用U盘装机助理中的Easy Image X 执行Ghost备份操作,Easy Image X 具有图形化操作、便于设置压缩率等特点。 提醒大家要注意的是,我们现在是备份系统以备不时之需,而并非封装完毕后制作系统映像,所以压缩率不用调整的过高,以免浪费更多的备份和恢复时间。压缩率建议选择“快速压缩”,体积略大,但备份和恢复速度都很快。设置完毕后,Ghost备份过程自动启动。
稍事等待后,系统备份完毕。 (二)封装前的准备 封装的目的,是为了快速的部署操作系统,减少不必要的重复劳动。所以,我们需要向源系统集成系统补丁、安装常用软件,从而减少每次部署后的重复劳动。 1、集成系统补丁。集成补丁的方法有很多,例如使用Windows Update、使用第三方安全软件、使用第三方补丁包等。这里推荐大家选用IT天空系统补丁安装助理,一次性安装所有重要补丁。
2、安装常用软件。常用软件常用的一般也就几种,大家请根据自己的系统部署范围而决定。
特别提醒 (1)不是所有的软件都能良好适应系统封装部署,特别是某些国产软件; (2)需要激活的软件,部署完毕后一般都需要重新激活; (3)不建议集成安全类软件,某些安全软件会阻挡正常的系统部署进程,甚至导致蓝屏宕机; (4)如果某些软件不适合集成在系统,可以使用首次进桌面静默安装的方法来解决。 3、备份系统。又备份系统?对,备份。补丁安装要20分钟左右,软件也需要逐个安装与调整,所以整体时间一般不少于30分钟。为防止封装时出现未知错误,建议再次备份系统,以备今后的调整操作。这次备份完,我们就可以放心大胆的开始封装操作了。 (三)第一阶段封装 Easy Sysprep v4 (ES4)与之前ES3、ES2以及传统封装辅助工具最大的不同,在于其将封装分为了两个阶段。 第一阶段:以完成封装操作为首要目的; 第二阶段:以完成对系统的调整为首要目的。 将封装与调整分开,减少调整操作对封装操作的影响,保障封装成功率。 1、启动ES4
实验五使用Ethereal工具分析网络 协议 一、实验目的 通过使用Ethereal软件掌握Sniffer(嗅探器)工具的使用方法,实现捕捉网络协议的数据包,以理解TCP/IP协议族中多种协议的数据结构以及多种协议的交互过程。 二、实验内容 1.静态路由的配置。 2.路由协议RIP、RIP V2,OSPF。 三、实验环境 安装Windows 2000/XP的PC机,在每一台上安装Ethereal软件。将PC机通过路由器/交换机相连,组成一个局域网。 四、实验指导 1、Ethereal 简介 Ethereal是一款免费的网络协议分析程序,支持Unix、Windows。借助这个程序,你既可以直接从网络上抓取数据进行分析,也可以对由其他嗅探器抓取后保存在硬盘上的数据进行分析。你能交互式地浏览抓取到的数据包,查看每一个数据包的摘要和详细信息。Ethereal 有多种强大的特征,如支持几乎所有的协议、丰富的过滤语言、易于查看TCP会话经重构后的数据流等。 它的主要特点为: ?支持Unix系统和Windows系统 ?可以根据不同的标准进行包过滤 ?通过过滤来查找所需要的包 ?根据过滤规则,用不同的颜色来显示不同的包 ?提供了多种分析和统计工具,实现对信息包的分析 2、Ethereal 安装 安装软件可以从https://www.doczj.com/doc/8a18450596.html,网站上下载。 3、Ethereal操作指导 3.1 Ethereal 操作界面
Ethereal软件界面如图上图所示,在这个窗口上,整个界面环境分为三个窗口,最上面的窗口是抓包列表窗口,经过Ethereal软件抓包后的数据包都会列在这个窗口中,同时你可以根据抓包序列号,抓包时间、源地址、目标地址、协议等进行包列表的排序,这样你可以很容易的找到你所需要的信息包。 中间的窗口中显示的是抓包列表上所选择的包对应的各层协议说明,其中,协议层次信息以树型的结构进行显示。 最下面的窗口是数据窗口,显示的是上层窗口选中的信息包的具体数据,同时,在中间树型窗口中所选择的某一协议数据域的内容,在数据窗口中会被突出地显示出来。 3.2 Ethereal 界面菜单 菜单中主要有以下几个部分: File:这个子菜单下的操作与Windows菜单下File下的操作类似,包括了文件的打开,保存、打印以及系统的退出等等。不过这里的文件仅仅指的是抓包文件。 Edit:这个子菜单下所包含的操作有:查找某一个特定的帧、跳到某个帧、在一个或更多的帧上打上标记、设置首选项、设置过滤、协议剖析允许/不允许等。在这个菜单下,Windows 界面中的一些常用的操作,例如剪切、复制、粘贴等将不再使用。 Capture:在这个菜单下进行开始抓包和停止抓包的操作。 3.3 相关操作 3.3.1 抓包
Ethereal的安装与基本使用 【背景知识】 1. 网络协议分析实验环境要求 (1)本指导书按照 TCP/IP的层次结构对网络互连中的主要协议进行分析。本章实验的基本思路是使用协议分析工具从网络中截获数据报,对截获的数据报进行分析。通过试验,使学生了解计算机网络中数据传输的基本原理,进一步理解计算机网络协议的层次结构、协议的结构、主要功能和工作原理,以及协议之间是如何相互配合来完成数据通信功能的。 Windows 环境下常用的协议分析工具有:Snifer Pro、Natxray、Iris、Ethereal 以及Windows 2000 自带的网络监视器。本书选用Ethereal 作为协议分析工具。 (2)网络协议图
1、下载并安装网络协议分析器Ethereal 网络协议分析器网络协议分析器 Ethereal 是目前最好的、开放源码的、获得广泛应用的网络协议分析器,支持Linux 和windows 平台。在该系统中加入新的协议解析器十分简单,自从1998年发布最早的Ethereal 0.2版本发布以来,志愿者为Ethereal 添加了大量新的协议解析器,如今Ethereal 已经支持五百多种协议解析。其原因是Ehereal 具有一个良好的可扩展性的设计结构,这样才能适应网络发展的需要不断加入新的协议解析器。本节以Ethereal 0.10.14 版本为依据。 Ethereal 的安装比较简单,按下述网址下载,下载完Ethereal 即可完成安装。 ftp://s@172.23.2.10/软件及工具 (登陆时,无密码。新版本Ethereal已经整合了winpcap,应用比较方便。) 2、了解Ethereal 主窗口 图1 是抓包完成后的Ethereal 的主窗口。过滤栏以上是Ethereal 本身的菜单,过滤 栏以下是抓获的包经过分析后的显示信息。
Ethereal抓包工具使用大全 新太科技股份有限公司 2009年6月
目录 1.ETHEREAL 简介 (3) 2.ETHEREAL基本操作 (3) 3. ETHEREAL几个使用场景 (5) 3.1根据协议过滤 (5) 3.2指定IP和端口进行过滤 (6) 3.3指定某个呼叫的过滤 (10) 3.4把抓到的RTP流存成语音文件 (11) 附录一:常用的DISPLAY FILTER (14) 附录二:ETHEREAL安装说明及重要链接 (15) 附录三:TCPDUMP使用方法 (16) 1.T CPDUMP简介 (16) 2.T CPDUMP安装 (16) 3.T CPDUMP使用示例 (16) 4.T CPDUMP使用方法链接 (16)
1.E thereal简介 E thereal是一个开放源码的网络分析系统,也是是目前最好的开放源码的网络协议分析器,支持Linux和windows平台。事实上,Ethereal本身并不能抓包,它只能用来解析数据包,要抓取数据包,它需要借助于PCap。Pcap在windows下面的实现称作winpcap,这也就是为什么我们在安装前要先安装好winpcap工具。 2.Ethereal基本操作 首先运行Ethereal,出现Ethereal的主界面,如下图所示: 图1 Ethereal主界面 要捕获网络上的数据包,首先进行相关设置,点击Capture->Options出现以下窗口,如图所示:
指定网卡 图2 指定网卡 设置完毕后,点击Start,Etheteal便会开始动态的统计目前所截获的数据包,点击Capture->Stop,即可停止。下图为Ethereal截获数据包后的界面:
GHOST系统封装详细图文教程[完整版](适合初学者) 2009-06-28 21:42 教程架构: 第一篇系统、工具及软件安装 第二篇封装工具选择及实战 第三篇光盘ISO文件制作 下面以封装制作GHOSTXPSP3为例,进行讲解! 第一篇系统、工具及软件安装 一、准备工作 1、操作系统选择:建议采用微软官方的VOL原版 ——为什么要用VOL原版?因为VOL原版适用于任何电脑,而某些品牌机赠送的是OEM版,只能用于对应的品牌电脑,并且还需激活! ——特别说明一下:很多人喜欢说正版,其实所谓的正版是要通过微软官方验证的,但是系统内容却并不一定是原版的。 2、系统补丁:主要靠自己平时收集整理,建议到微软官方下载 如果没有,可以使用别人做好的,推荐一个比较好的系统补丁集——系统之家,每月都有更新! 也可以使用360安全卫士下载,然后收集整理。 3、办公软件:一般来讲,做GHOST封装都会安装OFFICE办公软件,也建议采用微软原版,不要使用修改版。 Microsoft Office 2003_vol原版 Microsoft Office 2003 Service Pack 3 2007 office system格式兼容文件 4、工具软件:可以根据自己的爱好并结合电脑城装机的实际情况安装部分常用工具软件。这些软件大部分都是共享的免费软件,也建议到相应的官方网站下载,尽量不要使用第三方修改版本! 二、系统安装 1、微软官方原版系统安装过程图解 补充一下:为了封装系统的稳定,建议全新安装,即使用全盘格式化进行安装;同时在安装系统、工具、软件的时候断开外部网络;并使用
PS/2鼠标操作! 系统安装好后就可以进行系统补丁、工具软件、办公软件的安装——这里讲点窍门:先装工具软件、办公软件,最后装系统补丁。因为很多集成补丁包里面含有WMP、OFFICE、DX、AX补丁,如果先装,可能你的OFFICE 补丁就不是很完整。 2、系统主题屏保安装: 首先进行系统主题破解,这里有适合XPSP2、XPSP3使用的破解程序 然后是安装系统主题 三、系统设置 ——这是一个比较复杂的东西,很多人都有自己的理解,也有自己的爱好。 1、设置任务栏:建议按如下图进行设置 2、任务栏快捷图标建议保留三个(如下图) 3、系统属性设置: A)远程设置——把两个勾都去掉
利用Ethereal分析TCP数据包一.分析过程: 1.图1 TCP协议图 图2 TCP协议的内容 图3 TCP协议的数据包 2.数据分析 1) 分析:546代表的是Frame的序号,54 bytes代表的是54字节的数据包的长度
2) 分析:其中代表的是MAC地址 字节: 6 6 2 以太网的MAC帧格式 目的地址:00 e0 5c 15 f1 cd(十六进制) 源地址:00 1f d0 b8 da 78(十六进制) 类型:一般类型字段的值是0x0800是,就是宝石上层使用的是IP数据报。如果类型字段分值是0x8137则宝石该帧是由Novell IPX发过来的。
3)分析: 版本:使用的是IP协议版本号为4(即IPv4) 首部长度:20个字节的长度 服务类型(新版本称区分服务):00,这个字段只有在使用区分服务时,才起作用。在一般的情况下都不使用这个字段的。 总长度:40字节,总长度指的是首部和数据之和的长度 标识:d0 34(十六进制)IP软件在存储器中维持一个计时器,每产生一个数据报,计时器就加1,并将此值赋给标志字段。 标志:001(二进制),目前标志只有两位有意义: 标志最低位记为MF(More Fragment)。MF=1表示后面“还有分片”的数据报, MF=0表示这已是若干数据报片中的最后一个。 标志中间的一位记为DF(Don’t Fragment),意思是“不能分片”。只有当DF=0 是才允许分片。 片偏移:0,0000,0000,0000(二进制) 生存时间:80(十进制128s)生存时间表明的是数据报在网络中的寿命,一般以秒作为其单元。 协议:协议字段指出次此数据报携带的数据是使用何种协议,以便使目的主机的IP层知道应将数据部分交给那个处理过程。 首部检验和:5167(二进制:0101,0001,0110,0111)这个字段值检验数据报的首部,但不包括数据部分。 源IP地址:192.168.1.3 目的IP地址:219.133.60.3 4)
用Ethereal分析协议数据包 Ethereal是一个图形用户接口(GUI)的网络嗅探器,能够完成与Tcpdump相同的功能,但操作界面要友好很多。Ehtereal和Tcpdump都依赖于pcap库(libpcap),因此两者在许多方面非常相似(如都使用相同的过滤规则和关键字)。Ethereal和其它图形化的网络嗅探器都使用相同的界面模式,如果能熟练地使用Ethereal,那么其它图形用户界面的嗅探器基本都可以操作。 1. Ethereal的安装 由于Ethereal需要WinPcap库, 所以先安装WinPcap_2_3.exe, 再安装Ethereal.exe。 2. 设置Ethereal的过滤规则 当编译并安装好Ethereal后,就可以执行“ethereal”命令来启动Ethereal。在用Ethereal截获数据包之前,应该为其设置相应的过滤规则,可以只捕获感兴趣的数据包。Ethereal使用与Tcpdump相似的过滤规则(详见下面的“5.过滤规则实例”),并且可以很方便地存储已经设置好的过滤规则。要为Ethereal 配置过滤规则,首先单击“Edit”选单,然后选择“Capture Filters...”菜单项,打开“Edit Capture Filter List”对话框(如图1所示)。因为此时还没有添加任何过滤规则,因而该对话框右侧的列表框是空的。 图1 Ethereal过滤器配置对话框 在Ethereal中添加过滤器时,需要为该过滤器指定名字及规则。例如,要在主
机10.1.197.162和https://www.doczj.com/doc/8a18450596.html,间创建过滤器,可以在“Filter name”编辑框内输入过滤器名字“sohu”,在“Filter string”编辑框内输入过滤规则“host 10.1.197.162 and https://www.doczj.com/doc/8a18450596.html,”,然后单击“New”按钮即可,如图2所示。 图2 为Ethereal添加一个过滤器 在Ethereal中使用的过滤规则和Tcpdump几乎完全一致,这是因为两者都基于pcap库的缘故。Ethereal能够同时维护很多个过滤器。网络管理员可以根据实际需要选用不同的过滤器,这在很多情况下是非常有用的。例如,一个过滤器可能用于截获两个主机间的数据包,而另一个则可能用于截获ICMP包来诊断网络故障。 当所有需要的过滤器都创建好后,单击“Save”按钮保存创建的过滤器,然后单击“Close”按钮来关闭“Edit Capture Filter List”对话框。要将过滤器应用于嗅探过程,需要在截获数据包之前或之后指定过滤器。要为嗅探过程指定过滤器,并开始截获数据包,可以单击“Capture”选单,选择“Start...”选单项,打开“Capture Options”对话框,单击该对话框中的“Filter:”按钮,然后选择要使用的过滤器,如图3所示。
使用Ethereal分析协议数据包 一、Ethereal:网络数据嗅探器软件 Ethereal 是当前较为流行的一种计算机网络调试和数据包嗅探软件。Ethereal 基本类似于tcpdump,但 Ethereal 还具有设计完美的 GUI 和众多分类信息及过滤选项。用户通过 Ethereal,同时将网卡插入混合模式,可以查看到网络中发送的所有通信流量。 Ethereal 应用于故障修复、分析、软件和协议开发以及教育领域。它具有用户对协议分析器所期望的所有标准特征,并具有其它同类产品所不具备的有关特征。Ethereal 是一种开发源代码的许可软件,允许用户向其中添加改进方案。Ethereal 适用于当前所有较为流行的计算机系统,包括 Unix、Linux 和 Windows 。 Ethereal 主要具有以下特征: 在实时时间内,从现在网络连接处捕获数据,或者从被捕获文件处读取数据; Ethereal 可以读取从 tcpdump(libpcap)、网络通用嗅探器(被压缩和未被压缩)、SnifferTM 专业版、NetXrayTM、Sun snoop 和 atmsnoop、Shomiti/Finisar 测试员、AIX 的 iptrace、Microsoft 的网络监控器、Novell 的 LANalyzer、RADCOM 的 WAN/LAN 分析器、 ISDN4BSD 项目的 HP-UX nettl 和 i4btrace、Cisco 安全 IDS iplog 和 pppd 日志( pppdump 格式)、WildPacket 的 EtherPeek/TokenPeek/AiroPeek 或者可视网络的可视 UpTime 处捕获的文件。此外 Ethereal 也能从 Lucent/Ascend WAN 路由器和 Toshiba ISDN 路由器中读取跟踪报告,还能从 VMS 的 TCPIP 读取输出文本和 DBS Etherwatch。 从以太网、FDDI、PPP、令牌环、IEEE 802.11、ATM 上的 IP 和回路接口(至少是某些系统,不是所有系统都支持这些类型)上读取实时数据。 通过 GUI 或 TTY 模式 tethereal 程序,可以访问被捕获的网络数据。 通过 editcap 程序的命令行交换机,有计划地编辑或修改被捕获文件。 当前602协议可被分割。 输出文件可以被保存或打印为纯文本或 PostScript? 格式。 通过显示过滤器精确显示数据。 显示过滤器也可以选择性地用于高亮区和颜色包摘要信息。 所有或部分被捕获的网络跟踪报告都会保存到磁盘中。 二、用Ethereal分析协议数据包
使用计算机,最头疼的还是自己的机子系统被摧毁,导致我们需要重新安装,如果手里没有几张系统盘,更是让人很懊恼的事! 一直来是用GHOST来安装系统的,比如箫心的、系统之家的、龙帝国的几款GHOST都非常棒! 如果自己做个GHOST安装盘,里面带上自己的LOGO,是件非常令人愉快和骄傲的事!!!!! 好了,就让柱子带大家一起打造属于我们自己的系统,完成我们的这个不是梦想的梦想! 先来看看我仓促做的系统界面(由于是制作本教程时附带临时做的) 第一步为安装虚拟环境,这个过程在前几天我已经专
门发了相关的内容,详细内容请移至站内链接: 虚拟机【VMware】详细图解[让你在虚拟世界安装系统]https://www.doczj.com/doc/8a18450596.html,/pc/thread-930348-1-1.html 一、系统安装 1、微软官方原版系统安装过程图解 补充一下:为了封装系统的稳定,建议全新安装,即使用全盘格式化进行安装;同时在安装系统、工具、软件的时候断开外部网络;并使用PS/2鼠标操作! 系统安装好后就可以进行系统补丁、工具软件、办公软件的安装——这里讲点窍门:先装工具软件、办公软件,最后装系统补丁。因为很多集成补丁包里面含有WMP、OFFICE、DX、AX补丁,如果先装,可能你的OFFICE 补丁就不是很完整。 2、系统主题屏保安装: 首先进行系统主题破解,这里有适合XPSP2、XPSP3使用的破解程序,然后是安装系统主题 二、系统设置 这是一个比较复杂的东西,很多人都有自己的理解,也有自己的爱好。 1、设置任务栏:建议按如下图进行设置
2、任务栏快捷图标建议保留三个(如下图) 3、系统属性设置: 远程设置——把两个勾都去掉 自动更新设置——关闭自动更新 系统还原设置——关闭系统还原 高级设置: 性能选项——选图示的三项就行了
Ethereal使用教程 ethereal 可以用来从网络上抓包,并能对包进行分析。下面介绍windows 下面ether eal 的使用方法 安装 1)安装winpcap,下载地址http://netgroup-serv.polito.it/winpcap/insta ll/Default.htm 2)安装ethereal ,下载地址https://www.doczj.com/doc/8a18450596.html,/ 使用 windows 程序,使用很简单。 启动ethereal 以后,选择菜单Capature->Start ,就OK 了。当你不想抓的时候,按一下stop,抓的包就会显示在面板中,并且已经分析好了。 下面是一个截图: ethereal使用-capture选项
interface: 指定在哪个接口(网卡)上抓包。一般情况下都是单网卡,所以使用缺省的就可以了Limit each packet: 限制每个包的大小,缺省情况不限制。 Capture packets in promiscuous mode: 是否打开混杂模式。如果打开,抓取所有的数据包。一般情况下只需要监听本机收到或者发出的包,因此应该关闭这个选项。Filter:过滤器。只抓取满足过滤规则的包(可暂时略过) File:如果需要将抓到的包写到文件中,在这里输入文件名称。use ring buffer:是否使用循环缓冲。缺省情况下不使用,即一直抓包。注意,循环缓冲只有在写文件的时候才有效。如果使用了循环缓冲,还需要设置文件的数目,文件多大时回卷。其他的项选择缺省的就可以了。 ethereal的抓包过滤器 抓包过滤器用来抓取感兴趣的包,用在抓包过程中。抓包过滤器使用的是libcap 过滤器语言,在tcpdump 的手册中有详细的解释,基本结构是: [not] primitive [and|or [not] primitive ...] 个人观点,如果你想抓取某些特定的数据包时,可以有以下两种方法,你可以任选一种,个人比较偏好第二种方式: 1、在抓包的时候,就先定义好抓包过滤器,这样结果就是只抓到你设定好的那些类型的数据包; 2、先不管三七二十一,把本机收到或者发出的包一股脑的抓下来,然后使用下节介绍的显示过滤器,只让Ethereal 显示那些你想要的那些类型的数据包; etheral的显示过滤器(重点内容)