ethereal汉化版用法
Ethereal-0.10.14用户手册
Ulf Lamping,
Richard Sharpe, NS Computer Software and Services P/L Ed Warnicke,
翻译:VIN
msn:fy_address@https://www.doczj.com/doc/9a10310659.html,
目录
1 Ethereal介绍 5
1.1 Ethereal为何物? 5
1.1.1 Ethereal可以帮人们做什么? 5
1.1.2 界面功能 5
1.1.3 实时的从不同网络介质抓取数据包 6
1.1.4 导入来自其它抓包工具的文件 6
1.1.5 为其它抓包工具导出文件 6
1.1.6 丰富的协议解码器 7
1.1.7 开放源代码软件 7
1.1.8 Ethereal不能做什么? 7
1.2 Ethereal运行平台 7
1.2.1 Unix 7
1.2.2 Linux 8
1.2.3 Microsoft Windows 8
1.3 那里可以得到ethereal? 8
1.4 Ethereal的读法 9
1.5 Ethereal的历史 9
1.6 Ethereal的设计和维护 9
1.7 问题报告和获得帮助 9
1.7.1 Web网站 9
1.7.2 WIKI 10
1.7.3 FAQ 10
1.7.4 邮件列表 10
1.7.5 问题报告 10
1.7.6 liunx/unix平台崩溃报告 11
1.7.7 Windows平台崩溃报告 11
2 编译和安装ethereal 11
2.1 介绍 11
2.2 获得ethereal源代码和应用发布版本 12
2.3 UNIX平台编译ethereal之前准备工作 12
2.4 UNIX平台编译ethereal源代码 13
2.5 UNIX平台应用版本安装 13
2.5.1 RedHat 的RPMs方式安装 14
2.5.2 Debian的安装方式 14
2.6 解决UNIX下安装失败问题 14
2.7 Windows下源代码的编译 14
2.8 Windows下Ethereal安装 14
2.8.1 安装ethereal 14
2.8.2 升级ethereal 15
2.8.3 卸载ethereal 15
3 用户操作界面 15
3.1 介绍 15
3.2 启动ethereal 15
3.3 ethereal主界面 15
3.4 “The Menu”主菜单 16
3.4.1 “File”文件菜单 18
3.4.2 “Edit”编辑菜单 19
3.4.3 “View”视图菜单 21
3.4.4 “GO”跳转菜单 23
3.4.5 “Capture”抓包菜单 24
3.4.6 “Analyze”分析菜单 24
3.4.7 “Statistics”统计报表菜单 26
3.4.8 “Help”帮助菜单 27
3.5 “Main”常用工具栏 28
3.6 “Filter Toolbar”显示过滤器工具栏 30
3.7 “Packet List”数据包列表窗格 31
3.8 “Packet Details”数据包信息树窗格 31
3.9 “Packet Bytes”数据包字节窗格 32
3.10 “Statusbar”状态栏 32
4 网络数据包实时抓取 33
4.1 介绍 33
4.2 使用Ethereal前的准备工作 33
4.3 如何开始抓包? 33
4.4 “Capture Interfaces”抓包网络接口窗口 34
4.5 “Capture Options”抓包选项窗口 35
4.5.1 “Capture”抓包常规框 35
4.5.2 “Capture File(s)”数据包文件框 36
4.5.3 “Stop Capture…”停止抓包框 37
4.5.4 “Display Options”显示选型框 38
4.5.5 “Name Resolution”名称解析框 38
4.5.6 “Buttons”按键 39
4.6 数据包文件和文件模式 39
4.7 “Link-layer header type”链接层数据头类型 40 4.8 抓包过滤器 40
4.9 抓包状态信息窗口 42
4.9.1 停止抓包 42
4.9.2 重新开始抓取 43
5 数据包文件导入、导出和打印 43
5.1 介绍 43
5.2 “Open”打开数据包文件 43
5.2.1 “Open Capture File”打开数据包文件窗口 44
5.2.2 支持导入文件格式 45
5.3 “Save As”存储数据包 45
5.3.1 输出文件格式 46
5.4 “Merging”合并数据包文件 47
5.5 “File Sets”文件系 48
5.6 “Exporting”导出文件 49
5.6.1 “Exporting as Plain Text File”导出无格式文件 49
5.6.2 “Export as PostScript File”导出PS格式文件 50
5.6.3 “Export as CSV(Comma Seperated Values)File”导出CSV(逗号分割)文件 50 5.6.4 “Export as PSML File”导出PSML格式文件 51
5.6.5 “Export as PDML File”导出PDML格式文件 51
5.6.6 “Export selected packet bytes”导出被选择数据包数据 52
5.7 “Printing”打印数据包 53
5.8 “Packet Range”数据包范围窗格 55
6 数据包分析 55
6.1 如何查看数据包 55
6.2 显示过滤器 60
6.3 如何书写显示过滤器表达式 61
6.3.1 显示过滤器字段 61
6.3.2 比较操作的数据类型和操作符 62
6.3.3 组合表达式 62
6.3.4 显示过滤器常见误解 63
6.4 “Filter Expression”过滤器表达式窗口 64
6.5 定义和存储过滤器 65
6.6 搜索数据包 67
6.6.1 “Find Packet”搜索数据包窗口 67
6.6.2 “Find Next”寻找下一个 68
6.6.3 “Find Previous”寻找上一个 68
6.7 “GO”跳转 68
6.7.1 “Go Back”后退 68
6.7.2 “Go Forward”向前 68
6.7.3 “Go to Packet”跳转到 68
6.7.4 “Go to Corresponding Packet”跳转到相关数据包 69
6.7.5 “Go to First Packet”跳到第一个数据包 69
6.7.6 “Go to Last Packet”跳到最后一个数据包 69
6.8 标记数据包 69
6.9 时间显示格式和时间基准点 70
6.9.1 时间显示格式 70
6.9.2 时间基准点 70
7 高级工具 72
7.1 介绍 72
7.2 “Following TCP streams”跟踪TCP数据流 72 7.2.1 TCP数据流跟踪窗口 73
7.3 Time Stamps时间标记 74
7.3.1 Ethereal内部时间格式 74
7.3.2 数据包文件时间格式 74
7.3.3 时间正确性 74
7.4 时区问题 75
7.4.1 什么是时区? 75
7.4.2 为你的计算机设置正确时间 75
7.4.3 Ethereal和时区 76
7.5 数据包重组 76
7.5.1 什么是数据包重组? 76
7.5.2 Ethereal如何实现包重组 76
7.6 名称解析 77
7.6.1 以太网名称解析(MAC层) 77
7.6.2 IP名称解析(网络层) 78
7.6.3 IPX名称解析(网络层) 78
7.6.4 TCP/UDP端口名称解析(传输层) 78
7.7 确保数据完整性 78
7.7.1 Ethereal核对概要 79
7.7.2 硬件里的概要计算和确认 79
8 统计 79
8.1 介绍 79
8.2 “Summary”统计窗口 80
8.3 “Protocol Hierrrchy”协议层次统计窗口 81 8.4 “Endpoint”终端统计 82
8.4.1 Endpoint终端是什么? 82
8.4.2 终端统计窗口 83
8.5 会话统计Conversations 83
8.5.1 什么是会话 83
8.5.2 会话窗口 83
8.6 IO曲线图窗口 85
8.7 服务响应时间统计 86
9 Ethereal客户配置 87
9.1 介绍 87
9.2 定义数据包颜色 87
9.3 控制协议解析器 89
9.3.1 “Enabled Protocols”协议解析开关窗口 89 9.3.2 用户配置解码 90
9.3.3 查看定义的解码方式 91
9.4 参数选择 92
1 Ethereal介绍
1.1 Ethereal为何物?
Ethereal是开源网络数据包分析软件。数据包分析软件会抓取数据包,并试图逐条详细地显示数据包数据。你可以认为数据包分析软件是一个用户检查网络数据报文的设备,就像用电压表测量电路电压。
以往数据包分析软件都是非常昂贵的或私有的。但Ethereal出现以后,这一切都改变了。Ethereal 可能是现在最好的开放源码的数据包分析软件。
1.1.1 Ethereal可以帮人们做什么?
有些人使用ethereal 完成以下工作:
&O1548; 网络管理员使用它去充当网络程序故障检修工具
&O1548; 网络安全工程师使用它检查安全软件
&O1548; 开发人员使用它发现协议运行中的bug
&O1548; 很多人使用它监听内网数据
&O1548; 等等
总之,ethereal可以在很多环境里帮助人们。
1.1.2 界面功能
Ethereal操作界面很友善,提供以下功能按键:
&O1548; UNIX和windows下都可以运行
&O1548; 抓取从网络上抓到活动的数据包
&O1548; 真实的显示数据包协议信息
&O1548; 打开和保存被抓取的数据包文件
&O1548; 导入和导出数据包用于和其它抓包软件互动
&O1548; 标准的数据包过滤器
&O1548; 标准的数据包搜索
&O1548; 基于过滤器的数据包彩色显示
&O1548; 创建多种统计报表
&O1548; 等等!
可是你想真正了解它的威力,你必须亲自去使用它!
1.1.3 实时的从不同网络介质抓取数据包
Ethereal可以从网络介质上抓取流过的数据包。至于网络介质支持的类型,依赖于你使用的操作系统,您可以去这里察看所有被支持的网络介质:
https://www.doczj.com/doc/9a10310659.html,/media.html
1.1.4 导入来自其它抓包工具的文件
Ethereal可以打开大量其它抓包工具制作的数据包文件,具体支持情况请查看“导入文件格式”
1.1.5 为其它抓包工具导出文件
Ethereal 可以将抓取得数据包文件导出,并提供给其它抓包工具使用。具体支持情况请查看“导出文件格式”。
1.1.6 丰富的协议解码器
Ethereal 支持丰富的网络协议解析,具体支持情况请查看“附录B:协议和协议域”。
1.1.7 开放源代码软件
Ethereal 是一个开放源代码软件工程,被GNU General Public Licence(GPL)发布。你可以免费的使用ethereal 不用考虑软件使用授权问题。在GPL下有很多的免费开源软件,所以,ethereal加入一个新的协议支持、插件或源代码修改都非常容易。
1.1.8 Ethereal不能做什么?
以下这些功能是ethereal不提供的:
&O1548; Ethereal 并不是个IDS入侵监测系统。当网络上发生某个事情的时候他不会警告你。当一个网络异常发生的时候,ethereal会帮您描述正在网络发生的问题。
&O1548; Ethereal并不能操作您的网络,它仅仅是一个测量工具。它不发送数据包或者作其他的主动行动。
1.2 Ethereal运行平台
Ethereal可以运行在很多的UNIX和各种windows平台上运行,它需要一些辅助软件库如:GTK+, GLib, libpcap ,其他一些库。
如果你安装后ethereal无法运行,请可以下在源程序去修正它。并请将您的使用经历发给:ethereal-dev@https://www.doczj.com/doc/9a10310659.html,
支持平台如下:
1.2.1 Unix
&S226; Apple Mac OS X
&S226; BeOS
&S226; FreeBSD
&S226; HP-UX
&S226; IBM AIX
&S226; NetBSD
&S226; OpenBSD
&S226; SCO UnixWare/OpenUnix
&S226; SGI Irix
&S226; Sun Solaris/Intel
&S226; Sun Solaris/Sparc
&S226; Tru64 UNIX (formerly Digital UNIX)
1.2.2 Linux
&S226; Debian GNU/Linux
&S226; Gentoo Linux
&S226; IBM S/390 Linux (Red Hat)
&S226; Mandrake Linux
&S226; PLD Linux
&S226; Red Hat Linux
&S226; Rock Linux
&S226; Slackware Linux
&S226; Suse Linux
1.2.3 Microsoft Windows
支持:
&S226; Windows Server 2003 / XP / 2000 / NT 4.0
&S226; Windows Me / 98
不支持:
&S226; Windows CE
&S226; Windows NT / XP Embedded
&S226; Windows 95 is no longer actively maintained by WinPcap, but still may work perfectly
没有测试平台:
&S226; Windows XP 64-bit Edition
&S226; Windows Vista (aka Longhorn)
1.3 那里可以得到ethereal?
您可以从https://www.doczj.com/doc/9a10310659.html,/download.html下载最新的ethereal版本。此网站允许您选择多种镜像下载服务器。
每4-8周会发布一个新的ethereal版本。
如果你希望在新版本发布时得到通知,你应该去加入ethereal邮件列表。“邮件列表”章节有详细地介绍。
1.4 Ethereal的读法
有人把ethereal拆解为:ethe-real、e-the-real等,你也可以按你喜欢的方式去叫它。在FQA里给出的是“e-the-real”。
1.5 Ethereal的历史
1997年,Gerald Combs需要一个跟踪网络协议的工具,并想学习更多的网络知识。他开始开发ethereal。
1998年七月,ethereal推出了0.2.0版本,在那些日子里,补丁、bug报告和鼓励使ethereal 走向成功。
不久之后,Gilbert Ramirez看到了他的潜力,并提供了一个低等级协议分析器给他。1998年十月,Guy Harris申请加入开发,并提供协议解析器。
1998年底,Richard Sharpe加入,并提供TCP/IP框架结构,可以很清晰地看到那些协议被支持,也可以轻松的加入新的协议解析器。
之后,ethereal开始蓬勃发展。
1.6 Ethereal的设计和维护
Ethereal最初是由Gerald Combs设计。目前它的设计和维护是由Ethereal Team完成。开放的团队谁都可以修复BUG和提供新功能。
众多的人为Ethereal协议解析器做出了贡献,你可以在“关于Ethereal”里看到众多的提供源代码的人们,或在ethereal作者页也可以看到他们。
你设计将在三个体现出对人们的帮助:
&O1548; 很多人会发现你的设计,并应用它在自己的工作中。你会发现你帮助了很多人。&O1548; Ethereal可能会在改善您的设计,或在此之上作更多的上层设计。
&O1548; Ethereal的设计和维护人员会精心的维护您的设计代码,并修改它当API或其他调用变化的时候。当新版本发布的时候,您的新设计可能就被包含进去了。
1.7 问题报告和获得帮助
如果你对ethereal有一些疑问,或需要帮助,一下这些地方会对你有帮助。
1.7.1 Web网站
在ethereal主站可以找到大量的技术信息。https://www.doczj.com/doc/9a10310659.html,.
1.7.2 WIKI
在https://www.doczj.com/doc/9a10310659.html,里你可以得到更广泛的帮助信息。有很都信息是没有被包含在用户手册里的技术细节。
你也可以发表自己的见解,比如你对某一个协议很了解,你可以发表文章。
1.7.3 FAQ
FAQ即常见问题答复。建议你在提出问题之前,先查阅FAQ很可能找到答案。网址:https://www.doczj.com/doc/9a10310659.html,/faq.html.
1.7.4 邮件列表
Ethereal 提供几种邮件列表:
&O1548; Ethereal 通告:告诉你有新的版本发布,每4-8周发布一次新版本
&O1548; Ethereal 用户:人们使用ethereal时遇到的问题和别人给于地答复
&O1548; Ethereal 开发:如果你想加入ethereal开发,加入此列表
你可以到ethereal网站订阅这些邮件列表。建议你再提出问题之前搜索邮件列表,如果找到答案,就不用再等待别人答复了!
1.7.5 问题报告
建议:提出问题报告之前,请先安装最新版本的ethereal测试。
提出问题报告时,建议你提供以下信息,这对解答问题非常有帮助。
&O1548; 您使用的ethereal版本号和使用的相关库如GTK+等,这些信息你可以使用ethereal –v获得
&O1548; 运行平台
&O1548; 详细逐条描述你遇到的问题
&O1548; 如果你得到了一个error/wanning错误提示信息,请拷贝这些信息,并记录。请不要给出"I get a warning while doing x"的提示信息,这没什么帮助。
注意:
&O1548; 不要发送大文件(100KB)在邮件中,
&O1548; 为了您的安全也不要发送包含您敏感信息的问题报告。
1.7.6 liunx/unix平台崩溃报告
你可以使用以下命令得到崩溃报告信息
$ gdb `whereis ethereal | cut -f2 -d: | cut -d' ' -f2` core >& bt.txt backtrace
^D
$
Backtrace是一个gdb命令。输入后没有回显信息。^D是一个gdb结束命令,输入后你会结束gdb,并在当前目录下形成bt.txt文件。此文件包含了ethereal崩溃信息。
你应该发送此文件到: ethereal-dev@https://www.doczj.com/doc/9a10310659.html,
1.7.7 Windows平台崩溃报告
Windows不能产生.pdb文件,应为他太大了。你只能自己来描述。
2 编译和安装ethereal
2.1 介绍
为了使用ethereal你必须获得:
&O1548; 针对你操作系统的应用程序版本
&O1548; 针对你操作系统的源代码
由于支持的操作系统众多,版本更新也很快,确保你得到的是最新版本。
通常安装步骤为:
&O1548; 下载最新发布版本,应用版本或源代码版本。
&O1548; 编译源代码,产生应用程序,安装必须的各种运行库
&O1548; 安装应用程序
2.2 获得ethereal源代码和应用发布版本
你可以在ethereal网站得到源代码和应用程序两个发布版本。你可能发现应用程序版本没有真对你的平台的,此时你可能需要下在源代码发布版本,在本地从新编译。
一旦你下在了发布版本,你就可以进行下一步了。
2.3 UNIX平台编译ethereal之前准备工作
你在编译ethereal之前或安装应用发布版本之前。你应该确认以下软件已经正确安装:&O1548; GTK+ (The GIMP Tool Kit) 你可以从https://www.doczj.com/doc/9a10310659.html,下载
&O1548; Libpcap 你可以从https://www.doczj.com/doc/9a10310659.html,下载
由于你的平台不同,可能需要安装他们的应用版本如RPMs,跟多的时候需要源代码进行编译。
如果你下载了GTK+的源代码,你可以这样安装GTK+:
gzip -dc gtk+-1.2.10.tar.gz | tar xvf -
cd gtk+-1.2.10
./configure
make
make install
如果你使用的是liunx, 或者安装了GNU tar。你也可以使用tar zxvf
gtk+-1.2.10.tar.gz 。
在很多的UNIX平台上可能使用gunzip -c or gzcat比gzip -db更好。
如果你使用windows平台下在文件,文件名可能是gtk+-1_2_8_tar.gz
如果你下载了libpcap的源代码发布版本。你可以这样来安装:
gzip -dc libpcap-0.8.3.tar.Z | tar xvf -
cd libpcap_0_8_3
./configure
make
make install
make install-incl
如果使用RetHat linux 6.2以后平台,可以使用RPMs发布版本安装,如下:
cd /mnt/cdrom/RedHat/RPMS
rpm -ivh glib-1.2.6-3.i386.rpm
rpm -ivh glib-devel-1.2.6-3.i386.rpm
rpm -ivh gtk+-1.2.6-7.i386.rpm
rpm -ivh gtk+-devel-1.2.6-7.i386.rpm
rpm -ivh libpcap-0.4-19.i386.rpm
在Debian系统上安装,使用如下命令:
apt-get install ethereal
2.4 UNIX平台编译ethereal源代码
按照以下步骤编译Ethereal源代码:
1.拆包
tar zxvf ethereal-0.10.14-tar.gz
某些UNIX平台可能需要这样做:
gzip -d ethereal-0.10.14-tar.gz
tar xvf ethereal-0.10.14-tar
2.更改ethereal源代码目录
3.编译前自动配置
./configure
4.编译
make
5.安装
make install
安装完毕后,就可以键入ethereal 开始运行了。
2.5 UNIX平台应用版本安装
通常情况下不同UNIX平台下安装方法都是不同的,例如:AIX,需要使用smit去安装ethereal应用版本,而在Tru64 UNIX下,需要使用setld来安装。
2.5.1 RedHat 的RPMs方式安装
rpm -ivh ethereal-0.10.5-0.2.2.i386.rpm
如果提示没有相关库,请参考:“如果使用RetHat linux 6.2以后平台。。。”
2.5.2 Debian的安装方式
apt-get install ethereal
2.6 解决UNIX下安装失败问题
如果configure命令失败,你需要知道为什么运行失败。你可以查看源代码目录下config.log。最后的几行会对你很有帮助。
如果你的系统中没有GTK+或libpcap,或版本不适合,都会引起configure失败.
另一个常见的问题是在编译过程中出现输出过长问题。这很可能是由于老的sed引起的。你可以下载最新的sed。https://www.doczj.com/doc/9a10310659.html,/GNU/sed.html。
如果你不能确定是什么问题引起了编译失败,你可以发送给ethereal-dev。包含config.log 和你认为有用的信息。
2.7 Windows下源代码的编译
推荐你使用应用发布版本,除非你需要开发。
请到https://www.doczj.com/doc/9a10310659.html,/Development得到信息。
2.8 Windows下Ethereal安装
2.8.1 安装ethereal
首先获得安装包,ethereal-setup-x.y.z.exe x.y.z代表版本号,例如0.10.14。执行此文件即可开始进入通行安装画面。不需要特殊配置,按“next”键即可完成安装。
2.8.2 升级ethereal
如果你加入了ethereal通告邮件列表,你会及时得到ethereal新版本发布信息。升级方法和安装方法一样。
2.8.3 卸载ethereal
在控制面板里,添加删除程序里操作。
3 用户操作界面
3.1 介绍
你已经安装了ethereal,现在可以开始抓包了。接下来的几个章节将介绍:
&O1548; Ethereal用户操作界面
&O1548; 如何抓包
&O1548; 如何查看数据包
&O1548; 如何配置数据包过滤器
&O1548; 等等
3.2 启动ethereal
可以通过命令行启动,或者在windows开始-程序,或桌面快捷方式等。
3.3 ethereal主界面
下图为ethereal用户界面,此图为你抓取数据包之后或导入数据后的情况。
Ethereal 主窗口有很多的GUI程序组成。
1.Menu 主菜单:用于开始各种操作功能
2.Main toolbar 常用工具栏:列出了一些ethereal使用过程中常用的功能按键
3.Filer toolbar 显示过滤器工具栏:用于直接操作和显示过滤器字段
4.Packet list pane 数据包列表窗格:这里显示被抓取数据包列表。点击某个数据包行,他的具体信息将显示是另外两个窗格里。
5.Packet details pane 数据包信息树窗格:显示在数据包列表窗格里被选中数据包的详细信息。
6.Packet bytes pane 数据包字节窗格:显示在数据包列表窗格里被选中的数据包字节信息。在数据包信息树窗格中被点选的高亮部分,此处也会将相对应的字节部分高亮显示。7.Statusbar 状态栏:显示当前程序的状态或被选数据的状态。
注意:主界面可以被客户根据自己的习惯定制。
3.4 “The Menu”主菜单
主菜单如下图所示:
File 文件
打开或合并抓包文件,部分或全部存储、打印、导出抓包文件,退出Ethereal。
Edit 编辑
查询数据包、设置时间基准、标记一个或多个数据包、设置参数选项(目前没有实现剪切、拷贝、粘贴工具)
View 视图
控制被抓取数据包的显示方式,包括:数据包颜色、字体缩放、在新窗口显示数据包、展开和收起数据包描述信息树等等
GO 移动
移动到指定数据包位置,比如:上移一个、下疑一个、到开头、到结尾、到指定的第几个包等。
Capture 抓取
开始、重新开始、停止抓包,抓取过滤器配置。
Analyze 分析
设置显示过滤器,挂接协议解析器,指定解码,跟踪TCP数据流等。
Statistics 统计报表
可以弹出各种统计窗口,例如:被抓取数据包概要窗口,协议层次窗口等。
Help 帮助
包含了基本帮助、支持协议列表,在线帮助关联,本系统常规介绍。
3.4.1 “File”文件菜单
Menu 菜单项目快捷方式描述
Open…
打开… Ctrl+O 打开查找数据包文件对话框,从中选择您要分析的数据包文件。
Open Recent 最近打开文件显示最近打开过的数据包文件,并可以点选打开。
Merge…
合并…打开查找数据包文件对话框,从中选择数据包文件,将其合并到当前打开的数据包文件中。
Close 关闭 Ctrl+W 关闭当前正在分析的数据包文件
---
Save
保存 Ctrl+S 保存当前正在分析的数据包,如果是新的数据包文件,会弹出一个存储位置和文件名的对话框。
如果已经保存过,这个按键是灰色的,不可用的。
不能在抓包过程中保存,必须停止抓包后,才可以保存。
Save As…
另存为… Shift+Ctrl+S 保存当前正在分析的数据包为另一个数据包文件,会弹出一个另存为存储位置和文件名的对话框。
---
File Set >
List Files 文件系 >
文件列表数据包文件系中的文件列表,会弹出文件列表窗口
File Set >
Next Files
文件系 >
下一个文件如果目前打开了数据包文件系中的一个文件,打开文件系中此文件的下一个文件。当目前打开的是文件系中的最后一个或非文件系文件,此按键为灰色,不可用。
File Set >
Previous Files 文件系 >上一个文件如果目前打开了数据包文件系中的一个文件,打开文件系中此文件的上一个文件。当目前打开的是文件系中的第一个或非文件系文件,此按键为灰色,不可用。
---
Exprot >
As “Plain
Text” file…导出 >
普通文本文件…允许您导出数据包文件中的一些或全部包信息到一个ASCII编码的普通文本文件。
Exprot >
As”PostScript”
File…导出 >
.PS文件…允许您导出数据包文件中的一些或全部包信息到一个PostScript文件。Export >
As “CSV”
(Comma Separated Values packet summary )file…导出 >
CSV电子表格文件…允许您导出数据包文件中的一些或全部包信息到一个.CSV文件(Comma Separated Values packet summary:用逗号分割数据包值概要),应用于电子表格。
Export >
As “PSML”
file…导出 >
PSML文件…允许您导出数据包文件中的一些或全部包信息到一个PSML(packet summary markup language:数据包摘要置标语言) XML文件。
Export >
As “PDML”
file…导出 >
PDML文件…允许您导出数据包文件中的一些或全部包信息到一个PDML(packet details markup language:数据包详细信息置标语言) XML文件。
Export >
Selected Packet Bytes…导出 >
数据包被选字节…允许您导出数据包字节窗格中选择的字节,形成一个二进制文件。
---
Print…打印… Ctrl+P 允许您打印数据包文件中的一些或全部包信息。
---
Quit 退出 Ctrl+Q 退出ethereal,如果没有存盘,会有存盘提示窗口。
3.4.2 “Edit”编辑菜单
Menu 菜单项目快捷方式描述
Find Packet…查找数据包... Ctrl+F 弹出一个查找对话框,您可以指定很多的数据包属性和值用于查找您需要的数据包。
Find Next 查找下一个 Ctrl+N 查找符合“查找数据包...”条件的下一个数据包。
Find Previous 查找上一个 Ctrl+B 查找符合“查找数据包...”条件的上一个数据包。---
Time Reference>
Set Time
Reference
(toggle) 时间基准>
设置时间基准(标记) Ctrl+T 将当前选择的数据包上设置时间基准
Time Reference>
Find Next 时间基准>
发现下一个试图发现下一个设置时间基准的数据包
Time Reference>
Find Previous 时间基准>
发现上一个试图发现上一个设置时间基准的数据包
Mark Packet
(toggle) 标记数据包 Ctrl+M 在被选择的数据包上做记号
Mark All Packets 标记所有数据包为数据包文件中的所有数据包做标记
Unmark All Packets 解除所有数据包标记为数据包文件中的所有数据包解除标记Preferences
…选项 Shift+Ctrl+P 弹出选项配置窗口,可以设置各种ethereal控制参数。并可以应用和存储您的配置信息,下次启用ethereal这些配置依然起作用。
3.4.3 “View”视图菜单
Menu 菜单项目快捷方式描述
Main Toolbar 常用工具栏钩选此项,显示或隐藏常用工具栏
Filter Toolbar 过滤器工具栏钩选此项,显示或隐藏过滤器工具栏
Statusbar 状态栏钩选此项,显示或隐藏状态栏
---
Packet List 包列表窗格钩选此项,显示或隐藏包列表窗格
Packet Details 包详细信息窗格钩选此项,显示或隐藏包详细信息窗格
Packet
Bytes 数据包字节窗格钩选此项,显示或隐藏数据包字节窗格
---
Time Display Format >
Date and Time of Day:
1970-01-01 01:02:03.123456 时间显示格式 >
日期和当天时间:1970-01-01 01:02:03.123456 选择日期和时间为ethereal显示格式。Time Display Format >
Time of Day:
01:02:03.123456 时间显示格式 >
当天时间: 01:02:03.123456 选择不显示日期,只显示时间为ethereal显示格式。Time Display Format>
Seconds Since Beginning of Capture:
123.123456 时间显示格式 >
从开始抓包到此包到来的秒数:123.123456 选择从开始抓包到此包到来的秒数为ethereal时间显示格式
Time Display Format>
Seconds Since Previous Packet:
1.123456 时间显示格式 >
与上一个数据包的时间间隔秒数:1.123456 选择与上一个数据包的时间间隔秒数为ethereal时间显示格式
Time Display Format >
Automatic (File Format Precision) 时间显示格式 >
自动(依据文件显示精度) 自动分析数据包文件的时间精度,并按此精度显示。
Time Display Format >
Seconds : 0 时间显示格式 >
秒:0 设置ethereal时间现实精度为1秒。
Time Display Format >
…Seconds :
0….时间显示格式 >
…秒:0….设置ethereal时间现实精度为十分之一、百分之一、千分之一、万分之一秒等
Name Resolution >
Resolve Name 名称解析 >
解析名称此项试图解析数据包的地址信息,使您更容易理解。如主机名,域名,Mac->IP
等的解析。
Name Resolution >
Enable for MAC Layer 名称解析 >
MAC层解析开启对MAC层解析,将MAC地址解析为容易理解的名字显示。例如:
(e.g. 00:09:5b:01:02:03 -> 192.168.0.1).
(e.g. 00:09:5b:01:02:03 -> Netgear_01:02:03). (e.g.00:09:5b:01:02:03 -> homerouter) Name Resolution >
Enable for
Network Layer 名称解析 >
网络层解析利用DNS服务,将IP解析为域名。
(e.g.65.208.228.223 -> https://www.doczj.com/doc/9a10310659.html,)
在IPX网里,可以解析出IPX网名
Name Resolution >
Enable for
Transport Layer 名称解析 >
传输层解析对应用协议的端口做解析,得到服务类型,如
80->http等
Colorize Packet
List 数据包列表颜色显示开启或关闭数据包列表颜色显示
Auto Scroll in Live Capture 实时抓包自动滚动在实时抓包时,当新的数据包到来时,数据包列表自动向上滚动,将最新的数据包显示出来。
---
Zoom In 放大显示 Ctrl++ 增大数据包显示字号
Zoom Out 缩小显示 Ctrl+- 减小数据包显示字号
Normal Size 正常显示 Ctrl+= 缩放到100%的字号
Resize All Columns 重新分配列宽度按照经验重新分配列宽度
---
Expand Substrees 打开子树打开数据包信息树窗格里的被选中的信息描述子树。
Expand All 打开全部子树打开数据包信息树窗格里的全部信息描述子树。
Collapse All 收起全部子树收起数据包信息树窗格里的全部信息描述子树。
---
Coloring
Rules…数据包颜色规则…修改数据包颜色规则。
---
Show Packet in New Windos 在新窗口中显示数据包打开一个新窗口显示数据包,此窗口紧紧包含数据包信息树窗格和字节窗格。
Reload 重新导入 Ctrl+R 允许您重新导入数据包文件
3.4.4 “GO”跳转菜单
Menu 菜单项目快捷方式描述
Back 后退 Alt+Left 向后跳转到浏览历史中最近浏览的数据包,很像IE中的历史页面后退操作。
Forward 前进 Alt+Right 跳转道浏览历史中的下一个浏览的数据包,很像IE中的历史页面前进操作。
Go to
Packet…跳转到… Ctrl+G 弹出窗口输入你想分析的数据包编号,自动定位到此数据包Go to
Corresponding
Packet 跳转到相关通讯包跳转到被选协议数据流,相关通讯的数据包。
如果没有符合的数据包,此按键为灰色不可用。
---
First Packet 开头跳转到数据包文件的第一个数据包
Last Packet 结尾跳转到数据包文件的最后一个数据包
3.4.5 “Capture”抓包菜单
Menu 菜单项目快捷方式描述
Interfaces…网络接口…弹出网络接口信息窗口,展示网络接口的工作状态等。Options…抓包选项 Ctrl+K 弹出抓包选项窗口,你可以设置各种抓包选项,可以开始抓包。Start 开始立刻开始抓包,并引用上次抓包的选项设置
Stop 结束 Ctrl+E 停止正在进行的抓包过程。
Restart 重新开始停止正在进行的抓包过程,并再次开始抓包,且引用相同的设置。Capture Filers…抓包过滤器…弹出窗口,允许您创建和编辑抓包过滤器。
3.4.6 “Analyze”分析菜单
Menu 菜单项目快捷方式描述
Display Filters…显示过滤器…弹出窗口,可以创建和修改显示过滤器。
Apply as Filter >…应用为过滤器>…改变显示过滤器,并立即应用。当前的显示过滤器字串被替换或追加数据包信息树窗格中被选的数据包协议特征。
Prepare a Filter >…准备过滤器>…改变显示过滤器,并不立即应用,做完所有准备
工作后,一起应用。当前的显示过滤器字串被替换或追加数据包信息树窗格中被选的数据包协议特征。
---
Enabled Protocols…使用协议解析器… Shift+Ctrl+R 弹出窗口,钩选协议解析器。Decode As…解码方式…允许用户强制Ethereal将某些数据包按照指定的协议解析。User Specified Decodes…用户指定解码…列出用户指定的解码方式,并可以清除这些解码方式。
---
Follow TCP
Stream 跟作TCP流弹出窗口,显示所选数据包TCP连接的数据流信息。
3.4.7 “Statistics”统计报表菜单
Menu 菜单项目快捷方式描述
Summary 概要显示被抓取数据信息概要
Protocol Hierarchy 协议层次显示协议分层树结构。
Conversations 会话统计显示所有会话 (两个终端之间的数据流) 列表
Endpoints 终端统计显示所有终端 (数据流的to/from端) 列表
IO Graphs IO图表显示用户自定义过滤器的图表
---
Conversation
List 会话列表选在某种协议的会话列表,其实市会话统计窗口中的一部分。
Endpoints
List 终端列表选在某种协议的终端列表,其实是终端统计窗口中的一部分。
Service Response Time 服务相应时间显示某个请求和相应回复之间的时间间隔。
----
ANSI ANSI
GSM GSM
Fax T38
Analysis… Fax T38
分析…
H.225 H.225
MTP3 MTP3
RTP RTP
SCTP SCTP
SIP SIP
VoIP Calls…VoIP Calls…
WAP-WSP… WAP-WSP…
---- ----
BOOTP-DHCP BOOTP-DHCP
Destinations 目的地址
Flow Graph Flow Graph
HTTP HTTP
ISUP
Messages ISUP
信息
ONC-RPC Programs ONC-RPC Programs
Packet Length…数据包大…
Packet Type…数据包类型…
TCP Stream
Graph TCP数据流图
3.4.8 “Help”帮助菜单
Menu 菜单项目快捷方式描述
Contents 基础帮助F1系统的基本概念介绍和FAQ等信息
Supported Protocols 目前支持协议显示此版本支持的协议列表
Manual Pages >…用户指南>…本地安装的以web方式提供的用户指南Ethereal Online…在线帮助...关联到Ethereal网站的各种在线帮助
----
About Ethereal 关于Ethereal 介绍Ethereal版本、安装目录、插件、作者信息。
3.5 “Main”常用工具栏
工具栏
图标 Toolbar
Item 工具栏
按键对应主菜单
位置描述
Interfaces…网络接口… Capture >
Interfaces…弹出网络接口信息窗口,展示网络接口的工作状态等。
Options…抓包
选项… Capture >
Options…弹出抓包选项窗口,你可以设置各种抓包选项,可以开始抓包。
Star t…开始 Capture >
Start 立刻开始抓包,并引用上次抓包的选项设置
Stop 停止 Capture >
Stop 停止正在进行的抓包过程。
Restart 重新开始 Capture >
Restart 停止正在进行的抓包过程,并再次开始抓包,且引用相同的设置。
ethereal 可以用来从网络上抓包,并能对包进行分析。下面介绍windows 下面ethereal 的使用方法 安装 1)安装winpcap,下载地址http://netgroup-serv.polito.it/winpcap/install/Default.htm 2)安装ethereal ,下载地址https://www.doczj.com/doc/9a10310659.html,/ 使用 windows 程序,使用很简单。 启动ethereal 以后,选择菜单Capature->Start ,就OK 了。当你不想抓的时候,按一下stop,抓的包就会显示在面板中,并且已经分析好了。 下面是一个截图: ethereal使用-capture选项
nterface: 指定在哪个接口(网卡)上抓包。一般情况下都是单网卡,所以使用缺省的就可以了Limit each packet: 限制每个包的大小,缺省情况不限制 Capture packets in promiscuous mode: 是否打开混杂模式。如果打开,抓取所有的数据包。一般情况下只需要监听本机收到或者发出的包,因此应该关闭这个选项。Filter:过滤器。只抓取满足过滤规则的包(可暂时略过)File:如果需要将抓到的包写到文件中,在这里输入文件名称。use ring buffer:是否使用循环缓冲。缺省情况下不使用,即一直抓包。注意,循环缓冲只有在写文件的时候才有效。如果使用了循环缓冲,还需要设置文件的数目,文件多大时回卷 其他的项选择缺省的就可以了 ethereal的抓包过滤器 抓包过滤器用来抓取感兴趣的包,用在抓包过程中。抓包过滤器使用的是libcap 过滤器语言,在tcpdump 的手册中有详细的解释,基本结构是:[not] primitive [and|or [not] primitive ...] 个人观点,如果你想抓取某些特定的数据包时,可以有以下两种方法,你可以任选一种,个人比较偏好第二种方式: 1、在抓包的时候,就先定义好抓包过滤器,这样结果就是只抓到你设定好的那些类型的数据包; 2、先不管三七二十一,把本机收到或者发出的包一股脑的抓下来,然后使用下节介绍的显示过滤器,只让Ethereal 显示那些你想要的那些类型的数据包; etheral的显示过滤器(重点内容) 在抓包完成以后,显示过滤器可以用来找到你感兴趣的包,可以根据1)协议2)是否存在某个域3)域值4)域值之间的比较来查找你感兴趣的包。 举个例子,如果你只想查看使用tcp 协议的包,在ethereal 窗口的左下角的Filter 中输入tcp,然后
Ethereal工具的使用方法 1、抓包设置页面 选择以太网卡 设置为实时刷新报文 设置为是否滚动 设置一次抓包长度或抓包时间 设置抓包存储方式 显示过滤 显示过滤语法: mms 只显示MMS报文 iecgoose 只显示goose报文 tcp 只显示tcp报文 udp 只显示udp报文 ip.addr == 172.20.50.164 显示与地址为172.20.50.164的服务器交互的报文 ip.src == 172.20.50.164 显示源地址IP为172.20.50.164的服务器发出的报文 ip.dst == 172.20.50.164 显示与目的地址IP为172.20.50.164的服务器交互的报文 eth.addr == 5a:48:36:30:35:44 显示与MAC地址为5a:48:36:30:35:44的服务器交互的报文 eth.src == 5a:48:36:30:35:44 显示源MAC地址为5a:48:36:30:35:44的服务器发出的报文
eth.dst == 5a:48:36:30:35:44 显示与目的MAC 地址为5a:48:36:30:35:44的服务器交互的报文 抓捕过滤 抓捕过滤语法 Tcp 只抓捕Tcp 报文 Udp 只抓捕Tcp 报文 Host 172.20.50.164 只抓捕IP 地址为172.20.50.164的报文 Ether host 只抓捕MAC 地址为5a:48:36:30:35:44的报文 限制每个包的大小 2、 协议显示 MMS 报文 SNTP 建立以太网通讯时会发ARP 报文ping 报文 SV 、GOOSE 抓包时间 3、 显示信息
实验一使用Ethereal工具分析网络协议 一、实验目的 通过使用Ethereal软件掌握Sniffer(嗅探器)工具的使用方法,实现捕捉网络协议的数据包,以理解TCP/IP协议族中多种协议的数据结构以及多种协议的交互过程。 二、实验环境 安装Windows 2000/XP的PC机,在每一台上安装Ethereal软件。将PC机通过路由器/交换机相连,组成一个局域网。 三、实验内容和步骤 (1)Ethereal 使用说明 1、Ethereal 简介 Ethereal是一款免费的网络协议分析程序,支持Unix、Windows。借助这个程序,你既可以直接从网络上抓取数据进行分析,也可以对由其他嗅探器抓取后保存在硬盘上的数据进行分析。你能交互式地浏览抓取到的数据包,查看每一个数据包的摘要和详细信息。Ethereal有多种强大的特征,如支持几乎所有的协议、丰富的过滤语言、易于查看TCP会话经重构后的数据流等。 它的主要特点为: ?支持Unix系统和Windows系统 ?可以根据不同的标准进行包过滤 ?通过过滤来查找所需要的包 ?根据过滤规则,用不同的颜色来显示不同的包 ?提供了多种分析和统计工具,实现对信息包的分析 2、Ethereal 安装 安装软件可以从https://www.doczj.com/doc/9a10310659.html,网站上下载。
3、Ethereal操作指导 3.1 Ethereal 操作界面 Ethereal软件界面如图上图所示,在这个窗口上,整个界面环境分为三个窗口,最上面的窗口是抓包列表窗口,经过Ethereal软件抓包后的数据包都会列在这个窗口中,同时你可以根据抓包序列号,抓包时间、源地址、目标地址、协议等进行包列表的排序,这样你可以很容易的找到你所需要的信息包。 中间的窗口中显示的是抓包列表上所选择的包对应的各层协议说明,其中,协议层次信息以树型的结构进行显示。 最下面的窗口是数据窗口,显示的是上层窗口选中的信息包的具体数据,同时,在中间树型窗口中所选择的某一协议数据域的内容,在数据窗口中会被突出地显示出来。 3.2 Ethereal 界面菜单 菜单中主要有以下几个部分: File:这个子菜单下的操作与Windows菜单下File下的操作类似,包括了文件的打开,保存、打印以及系统的退出等等。不过这里的文件仅仅指的是抓包文件。Edit:这个子菜单下所包含的操作有:查找某一个特定的帧、跳到某个帧、在一个或更多的帧上打上标记、设置首选项、设置过滤、协议剖析允许/不允许等。在这个菜单下,Windows界面中的一些常用的操作,例如剪切、复制、粘贴等将不再使用。 Capture:在这个菜单下进行开始抓包和停止抓包的操作。
实验一:使用包嗅探及协议分析软件Ethereal 分析 Ethernet帧及应用层FTP协 议的分析 【实验目的】 1、掌握包嗅探及协议分析软件Ethereal的使用。 2、掌握Ethernet帧的构成 3、掌握 FTP协议包的构成 【实验环境】 安装好Windows 2000 Server操作系统+Ethereal的计算机 【实验时间】2节课 【实验重点及难点】 重点学习掌握如何利用Ethereal来分析Ethernet帧。 【实验内容】 1、捕捉任何主机发出的Ethernet 802.3格式的帧和DIX Ethernet V2(即Ethernet II)格式的帧并进行分析。 2、捕捉并分析局域网上的所有ethernet broadcast帧进行分析。 3、捕捉局域网上的所有ethernet multicast帧进行分析。 【实验步骤】 一、Ethereal的安装 Ethereal是一个图形用户接口(GUI)的网络嗅探器,由于Ethereal需要WinPcap库, 所以先安装WinPcap_2_3.exe, 再安装Ethereal.exe。(已装好)二、仔细阅读附件中的Ethereal使用方法和TcpDump的表达式详解,学习 Ethereal的使用。 三、捕捉任何主机发出的Ethernet 802.3格式的帧和DIX Ethernet V2(即Ethernet II)格式的帧并进行分析。 捕捉任何主机发出的Ethernet 802.3格式的帧(帧的长度字段<=1500),Ethereal的capture filter 的filter string设置为:ether[12:2] <= 1500。捕捉任何主机发出的DIX Ethernet V2(即Ethernet II)格式的帧(帧的长度字段>1500, 帧的长度字段实际上是类型字段),Ethereal的capture filter 的filter string设置为:ether[12:2] > 1500。 ①观察并分析帧结构,802.3格式的帧的上一层主要是哪些PDU?是IP、LLC 还是其它哪种?(学校里可能没有,如果没有,注明没有就可以了) ②观察并分析帧结构,Ethernet II的帧的上一层主要是哪些PDU?是IP、LLC 还是其它哪种? 四、捕捉并分析局域网上的所有ethernet broadcast帧,Ethereal的capture filter 的
1.主界面介绍 随着3G的普及,手机数据业务量(如浏览器,彩信等)的日益增长,对手机侧网络包的分析显得越来越重要。 一般来说,手机数据业务的抓包工具为QXDM,在抓LOG指导里面已经有了详细参数的配置介绍(详情见《IP数据包抓取方法.doc》)。但需要注意的是,在将LOG转化为.pcap文件时,必须保证当前电脑里安装有Ethereal软件,否者PCAPGenerator这个工具不会出现。(针对使用Tools->PCAPGenerator转化.isf文件出错的情况,可以做如下尝试:先使用Tools->ISF File Converter将刚刚保存的.isf文件其转化为.dlf文件,然后使用Tools->PCAPGenerator将.dlf 文件转换成.pcap文件)。 这里主要针对抓到IP包后,怎么样使用Ethereal软件对IP包进行分析,以及一些简单的TCP/IP协议介绍。 直接点击打开.pcap文件,可以看到如下图1所示界面。 图1 中间彩色的区域就是IP数据包。从左到右,字段分别是No.,Time,Source,Destination,Protocol以及Info。IP包是按照流经手机网卡的时间顺序排列的,NO.是标示抓到的IP包是该抓包文件中的第几个,Time则是计算的所有包与第一个包之间的间隔时间,单位毫秒ms。Source和Destination字段分别表示IP包的源地址和目的地址。Protocol显示当前IP包的上层协议,如TCP,UDP,如果应用层协议头也在该IP包中,优先显示应用层协议,如RTSP,HTTP等。 注意中间的彩色显示,不同的颜色代表该IP包中包含了不同内容,这是方便我们对IP 包查看。如上面的大红色,表示的是该数据包损坏,可能是只有一半的内容,也可能是指在该包与其他包的序号不连续(指在协议层不连续),中间可能出现丢包的现象。很多时候,Ethereal是用不同颜色来区分上层协议的不同(注意IP包中必须包含上层协议的包头,才能以该应用的颜色进行标示。因为很多数据包比较大,是通过几个IP包进行传输的,那么就只有第一个包是以上层应用的颜色进行标示,后面的显示为协议层颜色)。如下图2中,可以看到DNS是以淡蓝色标示,ICMP是以黑色标示,TCP的同步(SYN&FIN建立TCP连接的三次握手)以深灰色进行标示,而其它的TCP包则以浅灰色标示,HTTP协议使用绿色进
《高级网络技术》 实验一 ethereal抓包工具的使用 课程实验报告 课程名称:高级网络技术 专业班级: 姓名: 学号: 指导教师: 完成时间:2012 年10 月24 日
实验一 ethereal抓包工具的使用 一、实验目的 1.熟悉Ethereal网络抓包工具软件的作用和使用方法; 2.通过Ethereal工具软件的帮助,对抓到包进行分析。 二、实验内容 学习Ethereal网络抓包工具以及对ARP packet format进行分析。 三、实验设备及工具 硬件:安装了网卡的PC机。 软件:PC 机操作系统WinXP,安装了网卡驱动程序,以及ethereal抓包软件 四、实验步骤 1)安装winpcap和ethereal; 2)ARP协议分析 由ethereal抓取的包格式和下图一样,首先,对下图所示帧格式进行了解。如图所示,前14字节是数据链路层所附加的帧头,后28字节是来自网络层的ARP数据包内容。 然后,我们根据所抓取的实际例子来分析协议各个部分,如下图所示。 在这个例子中,编号256的包:物理地址是00:21:86:a2:c6:d3,IP地址是
192.168.60.42的主机或路由器,向网络中发送广播,内容是一个ARP协议的request, 希望获得IP地址为192.168.60.140的主机的物理地址。编号为257的包:IP地址为192.168.60.42的主机,收到广播的request后,向广播发送端发送单播reply,告诉 对方自己的物理地址为00:1d:ba:18:cb:dc。 256和257号包的详细内容如下所示。 256号包 257号包 由图可见,前14字节为帧头。其中,前6字节为目的物理地址,当向网络中发送广播时,目的物理地址为全f;7-12字节为源物理地址;最后两个字节表示帧类型,ox0806表示这是一个ARP数据帧;由于是在以太网中传输,当帧长度不足46字节是,可能在
实验五使用Ethereal工具分析网络 协议 一、实验目的 通过使用Ethereal软件掌握Sniffer(嗅探器)工具的使用方法,实现捕捉网络协议的数据包,以理解TCP/IP协议族中多种协议的数据结构以及多种协议的交互过程。 二、实验内容 1.静态路由的配置。 2.路由协议RIP、RIP V2,OSPF。 三、实验环境 安装Windows 2000/XP的PC机,在每一台上安装Ethereal软件。将PC机通过路由器/交换机相连,组成一个局域网。 四、实验指导 1、Ethereal 简介 Ethereal是一款免费的网络协议分析程序,支持Unix、Windows。借助这个程序,你既可以直接从网络上抓取数据进行分析,也可以对由其他嗅探器抓取后保存在硬盘上的数据进行分析。你能交互式地浏览抓取到的数据包,查看每一个数据包的摘要和详细信息。Ethereal 有多种强大的特征,如支持几乎所有的协议、丰富的过滤语言、易于查看TCP会话经重构后的数据流等。 它的主要特点为: ?支持Unix系统和Windows系统 ?可以根据不同的标准进行包过滤 ?通过过滤来查找所需要的包 ?根据过滤规则,用不同的颜色来显示不同的包 ?提供了多种分析和统计工具,实现对信息包的分析 2、Ethereal 安装 安装软件可以从https://www.doczj.com/doc/9a10310659.html,网站上下载。 3、Ethereal操作指导 3.1 Ethereal 操作界面
Ethereal软件界面如图上图所示,在这个窗口上,整个界面环境分为三个窗口,最上面的窗口是抓包列表窗口,经过Ethereal软件抓包后的数据包都会列在这个窗口中,同时你可以根据抓包序列号,抓包时间、源地址、目标地址、协议等进行包列表的排序,这样你可以很容易的找到你所需要的信息包。 中间的窗口中显示的是抓包列表上所选择的包对应的各层协议说明,其中,协议层次信息以树型的结构进行显示。 最下面的窗口是数据窗口,显示的是上层窗口选中的信息包的具体数据,同时,在中间树型窗口中所选择的某一协议数据域的内容,在数据窗口中会被突出地显示出来。 3.2 Ethereal 界面菜单 菜单中主要有以下几个部分: File:这个子菜单下的操作与Windows菜单下File下的操作类似,包括了文件的打开,保存、打印以及系统的退出等等。不过这里的文件仅仅指的是抓包文件。 Edit:这个子菜单下所包含的操作有:查找某一个特定的帧、跳到某个帧、在一个或更多的帧上打上标记、设置首选项、设置过滤、协议剖析允许/不允许等。在这个菜单下,Windows 界面中的一些常用的操作,例如剪切、复制、粘贴等将不再使用。 Capture:在这个菜单下进行开始抓包和停止抓包的操作。 3.3 相关操作 3.3.1 抓包
Ethereal的安装与基本使用 【背景知识】 1. 网络协议分析实验环境要求 (1)本指导书按照 TCP/IP的层次结构对网络互连中的主要协议进行分析。本章实验的基本思路是使用协议分析工具从网络中截获数据报,对截获的数据报进行分析。通过试验,使学生了解计算机网络中数据传输的基本原理,进一步理解计算机网络协议的层次结构、协议的结构、主要功能和工作原理,以及协议之间是如何相互配合来完成数据通信功能的。 Windows 环境下常用的协议分析工具有:Snifer Pro、Natxray、Iris、Ethereal 以及Windows 2000 自带的网络监视器。本书选用Ethereal 作为协议分析工具。 (2)网络协议图
1、下载并安装网络协议分析器Ethereal 网络协议分析器网络协议分析器 Ethereal 是目前最好的、开放源码的、获得广泛应用的网络协议分析器,支持Linux 和windows 平台。在该系统中加入新的协议解析器十分简单,自从1998年发布最早的Ethereal 0.2版本发布以来,志愿者为Ethereal 添加了大量新的协议解析器,如今Ethereal 已经支持五百多种协议解析。其原因是Ehereal 具有一个良好的可扩展性的设计结构,这样才能适应网络发展的需要不断加入新的协议解析器。本节以Ethereal 0.10.14 版本为依据。 Ethereal 的安装比较简单,按下述网址下载,下载完Ethereal 即可完成安装。 ftp://s@172.23.2.10/软件及工具 (登陆时,无密码。新版本Ethereal已经整合了winpcap,应用比较方便。) 2、了解Ethereal 主窗口 图1 是抓包完成后的Ethereal 的主窗口。过滤栏以上是Ethereal 本身的菜单,过滤 栏以下是抓获的包经过分析后的显示信息。
Ethereal抓包工具使用大全 新太科技股份有限公司 2009年6月
目录 1.ETHEREAL 简介 (3) 2.ETHEREAL基本操作 (3) 3. ETHEREAL几个使用场景 (5) 3.1根据协议过滤 (5) 3.2指定IP和端口进行过滤 (6) 3.3指定某个呼叫的过滤 (10) 3.4把抓到的RTP流存成语音文件 (11) 附录一:常用的DISPLAY FILTER (14) 附录二:ETHEREAL安装说明及重要链接 (15) 附录三:TCPDUMP使用方法 (16) 1.T CPDUMP简介 (16) 2.T CPDUMP安装 (16) 3.T CPDUMP使用示例 (16) 4.T CPDUMP使用方法链接 (16)
1.E thereal简介 E thereal是一个开放源码的网络分析系统,也是是目前最好的开放源码的网络协议分析器,支持Linux和windows平台。事实上,Ethereal本身并不能抓包,它只能用来解析数据包,要抓取数据包,它需要借助于PCap。Pcap在windows下面的实现称作winpcap,这也就是为什么我们在安装前要先安装好winpcap工具。 2.Ethereal基本操作 首先运行Ethereal,出现Ethereal的主界面,如下图所示: 图1 Ethereal主界面 要捕获网络上的数据包,首先进行相关设置,点击Capture->Options出现以下窗口,如图所示:
指定网卡 图2 指定网卡 设置完毕后,点击Start,Etheteal便会开始动态的统计目前所截获的数据包,点击Capture->Stop,即可停止。下图为Ethereal截获数据包后的界面:
利用Ethereal分析TCP数据包一.分析过程: 1.图1 TCP协议图 图2 TCP协议的内容 图3 TCP协议的数据包 2.数据分析 1) 分析:546代表的是Frame的序号,54 bytes代表的是54字节的数据包的长度
2) 分析:其中代表的是MAC地址 字节: 6 6 2 以太网的MAC帧格式 目的地址:00 e0 5c 15 f1 cd(十六进制) 源地址:00 1f d0 b8 da 78(十六进制) 类型:一般类型字段的值是0x0800是,就是宝石上层使用的是IP数据报。如果类型字段分值是0x8137则宝石该帧是由Novell IPX发过来的。
3)分析: 版本:使用的是IP协议版本号为4(即IPv4) 首部长度:20个字节的长度 服务类型(新版本称区分服务):00,这个字段只有在使用区分服务时,才起作用。在一般的情况下都不使用这个字段的。 总长度:40字节,总长度指的是首部和数据之和的长度 标识:d0 34(十六进制)IP软件在存储器中维持一个计时器,每产生一个数据报,计时器就加1,并将此值赋给标志字段。 标志:001(二进制),目前标志只有两位有意义: 标志最低位记为MF(More Fragment)。MF=1表示后面“还有分片”的数据报, MF=0表示这已是若干数据报片中的最后一个。 标志中间的一位记为DF(Don’t Fragment),意思是“不能分片”。只有当DF=0 是才允许分片。 片偏移:0,0000,0000,0000(二进制) 生存时间:80(十进制128s)生存时间表明的是数据报在网络中的寿命,一般以秒作为其单元。 协议:协议字段指出次此数据报携带的数据是使用何种协议,以便使目的主机的IP层知道应将数据部分交给那个处理过程。 首部检验和:5167(二进制:0101,0001,0110,0111)这个字段值检验数据报的首部,但不包括数据部分。 源IP地址:192.168.1.3 目的IP地址:219.133.60.3 4)
用Ethereal分析协议数据包 Ethereal是一个图形用户接口(GUI)的网络嗅探器,能够完成与Tcpdump相同的功能,但操作界面要友好很多。Ehtereal和Tcpdump都依赖于pcap库(libpcap),因此两者在许多方面非常相似(如都使用相同的过滤规则和关键字)。Ethereal和其它图形化的网络嗅探器都使用相同的界面模式,如果能熟练地使用Ethereal,那么其它图形用户界面的嗅探器基本都可以操作。 1. Ethereal的安装 由于Ethereal需要WinPcap库, 所以先安装WinPcap_2_3.exe, 再安装Ethereal.exe。 2. 设置Ethereal的过滤规则 当编译并安装好Ethereal后,就可以执行“ethereal”命令来启动Ethereal。在用Ethereal截获数据包之前,应该为其设置相应的过滤规则,可以只捕获感兴趣的数据包。Ethereal使用与Tcpdump相似的过滤规则(详见下面的“5.过滤规则实例”),并且可以很方便地存储已经设置好的过滤规则。要为Ethereal 配置过滤规则,首先单击“Edit”选单,然后选择“Capture Filters...”菜单项,打开“Edit Capture Filter List”对话框(如图1所示)。因为此时还没有添加任何过滤规则,因而该对话框右侧的列表框是空的。 图1 Ethereal过滤器配置对话框 在Ethereal中添加过滤器时,需要为该过滤器指定名字及规则。例如,要在主
机10.1.197.162和https://www.doczj.com/doc/9a10310659.html,间创建过滤器,可以在“Filter name”编辑框内输入过滤器名字“sohu”,在“Filter string”编辑框内输入过滤规则“host 10.1.197.162 and https://www.doczj.com/doc/9a10310659.html,”,然后单击“New”按钮即可,如图2所示。 图2 为Ethereal添加一个过滤器 在Ethereal中使用的过滤规则和Tcpdump几乎完全一致,这是因为两者都基于pcap库的缘故。Ethereal能够同时维护很多个过滤器。网络管理员可以根据实际需要选用不同的过滤器,这在很多情况下是非常有用的。例如,一个过滤器可能用于截获两个主机间的数据包,而另一个则可能用于截获ICMP包来诊断网络故障。 当所有需要的过滤器都创建好后,单击“Save”按钮保存创建的过滤器,然后单击“Close”按钮来关闭“Edit Capture Filter List”对话框。要将过滤器应用于嗅探过程,需要在截获数据包之前或之后指定过滤器。要为嗅探过程指定过滤器,并开始截获数据包,可以单击“Capture”选单,选择“Start...”选单项,打开“Capture Options”对话框,单击该对话框中的“Filter:”按钮,然后选择要使用的过滤器,如图3所示。
使用Ethereal分析协议数据包 一、Ethereal:网络数据嗅探器软件 Ethereal 是当前较为流行的一种计算机网络调试和数据包嗅探软件。Ethereal 基本类似于tcpdump,但 Ethereal 还具有设计完美的 GUI 和众多分类信息及过滤选项。用户通过 Ethereal,同时将网卡插入混合模式,可以查看到网络中发送的所有通信流量。 Ethereal 应用于故障修复、分析、软件和协议开发以及教育领域。它具有用户对协议分析器所期望的所有标准特征,并具有其它同类产品所不具备的有关特征。Ethereal 是一种开发源代码的许可软件,允许用户向其中添加改进方案。Ethereal 适用于当前所有较为流行的计算机系统,包括 Unix、Linux 和 Windows 。 Ethereal 主要具有以下特征: 在实时时间内,从现在网络连接处捕获数据,或者从被捕获文件处读取数据; Ethereal 可以读取从 tcpdump(libpcap)、网络通用嗅探器(被压缩和未被压缩)、SnifferTM 专业版、NetXrayTM、Sun snoop 和 atmsnoop、Shomiti/Finisar 测试员、AIX 的 iptrace、Microsoft 的网络监控器、Novell 的 LANalyzer、RADCOM 的 WAN/LAN 分析器、 ISDN4BSD 项目的 HP-UX nettl 和 i4btrace、Cisco 安全 IDS iplog 和 pppd 日志( pppdump 格式)、WildPacket 的 EtherPeek/TokenPeek/AiroPeek 或者可视网络的可视 UpTime 处捕获的文件。此外 Ethereal 也能从 Lucent/Ascend WAN 路由器和 Toshiba ISDN 路由器中读取跟踪报告,还能从 VMS 的 TCPIP 读取输出文本和 DBS Etherwatch。 从以太网、FDDI、PPP、令牌环、IEEE 802.11、ATM 上的 IP 和回路接口(至少是某些系统,不是所有系统都支持这些类型)上读取实时数据。 通过 GUI 或 TTY 模式 tethereal 程序,可以访问被捕获的网络数据。 通过 editcap 程序的命令行交换机,有计划地编辑或修改被捕获文件。 当前602协议可被分割。 输出文件可以被保存或打印为纯文本或 PostScript? 格式。 通过显示过滤器精确显示数据。 显示过滤器也可以选择性地用于高亮区和颜色包摘要信息。 所有或部分被捕获的网络跟踪报告都会保存到磁盘中。 二、用Ethereal分析协议数据包
Ethereal使用教程 ethereal 可以用来从网络上抓包,并能对包进行分析。下面介绍windows 下面ether eal 的使用方法 安装 1)安装winpcap,下载地址http://netgroup-serv.polito.it/winpcap/insta ll/Default.htm 2)安装ethereal ,下载地址https://www.doczj.com/doc/9a10310659.html,/ 使用 windows 程序,使用很简单。 启动ethereal 以后,选择菜单Capature->Start ,就OK 了。当你不想抓的时候,按一下stop,抓的包就会显示在面板中,并且已经分析好了。 下面是一个截图: ethereal使用-capture选项
interface: 指定在哪个接口(网卡)上抓包。一般情况下都是单网卡,所以使用缺省的就可以了Limit each packet: 限制每个包的大小,缺省情况不限制。 Capture packets in promiscuous mode: 是否打开混杂模式。如果打开,抓取所有的数据包。一般情况下只需要监听本机收到或者发出的包,因此应该关闭这个选项。Filter:过滤器。只抓取满足过滤规则的包(可暂时略过) File:如果需要将抓到的包写到文件中,在这里输入文件名称。use ring buffer:是否使用循环缓冲。缺省情况下不使用,即一直抓包。注意,循环缓冲只有在写文件的时候才有效。如果使用了循环缓冲,还需要设置文件的数目,文件多大时回卷。其他的项选择缺省的就可以了。 ethereal的抓包过滤器 抓包过滤器用来抓取感兴趣的包,用在抓包过程中。抓包过滤器使用的是libcap 过滤器语言,在tcpdump 的手册中有详细的解释,基本结构是: [not] primitive [and|or [not] primitive ...] 个人观点,如果你想抓取某些特定的数据包时,可以有以下两种方法,你可以任选一种,个人比较偏好第二种方式: 1、在抓包的时候,就先定义好抓包过滤器,这样结果就是只抓到你设定好的那些类型的数据包; 2、先不管三七二十一,把本机收到或者发出的包一股脑的抓下来,然后使用下节介绍的显示过滤器,只让Ethereal 显示那些你想要的那些类型的数据包; etheral的显示过滤器(重点内容)
Ethereal是什么?它是一个图形用户接口(GUI)的网络嗅探器,能够完成与TCPDUMP相同的功能,用来捕获网络数据;但其有TCPDUMP无法相比的友好界面;而且其支持的协议之广和全也是别的嗅探器没有办法相提并论的。 那么你可以试着阅读本文,让此文给我们07年岗前实训带来方便! 1. 简单介绍 Ethereal是一个图形用户接口(GUI)的网络嗅探器,能够完成与TCPDUMP相同的功能,但操作界面要比TCPDUMP友好的多。Ethereal和TCPDUMP都依赖于pcap 库(libcap),因此两者在许多方面非常相似(有相同的数据抓取过滤条件和关键字)。同时Ethereal有与其他图形化网络嗅探器相同的界面模式,实际上如果你能够熟练地使用Ethereal,那么你也同样可以使用其他用户界面的网络嗅探器。 Ethereal也是一个跨平台的开源项目,支持Windows和Linux平台。Ethereal 起初由Gerald Combs开发,随后由一个松散的Ethereal团队组织进行维护开发。它目前所提供的强大协议分析功能完全可以同商业的网络协议分析系统媲美,从1998年发布最早的0.2版本至今,大量的志愿者为Ethereal添加新的协议解析器,如今Ethereal已经支持500多种协议解析。很难想象如此多的人开发的代码是如何很好的融入系统中的;实际上在Ethereal中添加一个新的协议解析器非常简单,笔者曾经就在很短的时间内向Ethereal添加一个协议解析器;其实系统为添加协议解析器留出了接口,而在面向程序员的开发文档中对如何添加协议解析器有很好的说明;其实网络协议种类繁多,随着时间推移,各种新的协议层出不穷,如果不是设计良好的系统,也不可能适应不断发展的网络协议。一句话,Ethereal是一个结构设计良好的系统。 那么可以利用Ethereal来做什么呢?实际上Ethereal可以用来捕获网络的数据包,然后利用其对现有协议的分析能力来帮助工作。 2. 安装Ethereal 正如前面所说Ethereal是一个开源的项目,可以从https://www.doczj.com/doc/9a10310659.html, 下载,你不但可以从这里下载到可执行程序,也可以下载到源程序。当前最新版本是0.99.0版。不过正如我们前面说过的,Ethereal是建立在libcap基础之上,所以在安装Ethereal之前请先安装一个libcap的库,可以从 https://www.doczj.com/doc/9a10310659.html,/下载。 Ethereal比较具有吸引力的地方是可以通过阅读其协议分析器的源代码来了解一些不容易得到的协议的详细情况;当然这是比较费力的途径,如果能够得到协议的文档说明还是不要走这条路。 3. 使用Ethereal来捕获数据包 下面以Windows平台上的Ethereal 0.99.0版本介绍一下如何使用Ethereal。 3.1. 捕获数据初级篇
Ethereal软件的安装与使用 一、实验目的 学会安装Ethereal软件,熟悉Ethereal,用ethereal来观察网络。了解ethereal工具的使用方法。了解使用ethereal抓包中各个字段的含义。为进一步实验做准备。 二、实验内容 Ethereal是一个开放源码的网络分析系统,也是目前最好的开放源码的网络协议分析器,支持Linux和Windows平台。Ethereal起初由Gerald Combs开发,随后由一个松散的Etheral团队组织进行维护开发。自从1998年发布最早的0.2版本至今,大量的志愿者为Ethereal添加新的协议解析器,如今Ethereal已经支持五百多种协议解析。很难想象如此多的人开发的代码可以很好的融入系统中;并且在系统中加入一个新的协议解析器很简单,一个不了解系统的结构的新手也可以根据留出的接口进行自己的协议开发。这都归功于Ehereal良好的设计结构。事实上由于网络上各种协议种类繁多,各种新的协议层出不穷。一个好的协议分析器必需有很好的可扩展性和结构,这样才能适应网络发展的需要不断加入新的协议解析器。 关于ethereal软件中option选项的说明:如下图所示。 ●IP address:选择的网卡所对应的IP地址 ●Link-layer header type:数据链路层的协议,在以太网中一 般是Ethernet II ●Buffer size:数据缓存大小设定,默认是1M字节
●Interface:选择采集数据包的网卡 ●Capture packets in promiscuous mode:设定在混杂模式下 捕获数据,如果不选中,将只能捕获本机的数据通讯,默认情 况下选中该项 Limit each packet to:设定只捕获数据包的 前多少个字节(从以太网头开始计算),默认是68 ●Capture Filter:设定当前的数据包采集过滤器 ●File:设定数据包文件的保存位置和保存文件名,默认不保存 ●Use multiple files:启用多文件保存,默认不启用 ●Next file every:设定每个数据包文件的大小(单位是M,默认 1M),只有启用Use multiple files后此项才可用 ●Next file every: 设定每个数据包文件的大小(单位是分钟,默
1、抓包设置页面 选择以太网卡 设置为实时刷新报文 设置为是否滚动 设置一次抓包长度或抓包时间 设置抓包存储方式 显示过滤 显示过滤语法: mms 只显示MMS报文 iecgoose 只显示goose报文 tcp 只显示tcp报文 udp 只显示udp报文 == 显示与地址为的服务器交互的报文 == 显示源地址IP为的服务器发出的报文 == 显示与目的地址IP为的服务器交互的报文 == 5a:48:36:30:35:44 显示与MAC地址为5a:48:36:30:35:44的服务器交互的报文 == 5a:48:36:30:35:44 显示源MAC地址为5a:48:36:30:35:44的服务器发出的报文 == 5a:48:36:30:35:44 显示与目的MAC地址为5a:48:36:30:35:44的服务器交互的报文
抓捕过滤 抓捕过滤语法 Tcp 只抓捕Tcp 报文 Udp 只抓捕Tcp 报文 Host 只抓捕IP 地址为的报文 Ether host 只抓捕MAC 地址为5a:48:36:30:35:44的报文 限制每个包的大小 2、 协议显示 MMS 报文 SNTP 建立以太网通讯时会发ARP 报文ping 报文 SV 、GOOSE 抓包时间 3、 显示信息
报文序号 抓取该帧报文时刻,PC时间 该帧报文是谁发出的 该帧报文是发给谁的 协议类型--以太网类型码 报文长度 4、过滤机制 关键字段过滤 1)按目的MAC地址过滤 2)按源MAC地址过滤 3)按优先级过滤
4)按VLAN过滤 语法 == 210 5)按以太网类型码过滤 == 0x88b8 6)按APPID过滤 7)按GOOSE控制块过滤 语法:frame[30:9] == 80:07:67:6f:63:62:52:65:66 从该帧报文的第30个字节读取9个字节 8)其他字段的过滤类似不在一一举例 组合过滤 1)找到特征报文的起始点 找到自己关注GOOSE的APPID 根据GOOSE变位时sequencenumber会 变0的特性找到第一帧变位GOOSE 2)标注起始报文
Ethereal 使用方法 一, 使用方法 点击Capture 菜单下的Start 。然后选择相应的参数,点击OK ! Capture Options 选择的常见注意事项(每个选项前面的小方块,凹进去表示选中): 1, Interface :如果你的计算机安装了多个网卡,注意选择你想抓包的那个网卡。 2, 需要选中的选项: Capture packets in promiscuous mode 任何流经这台主机的数据包都将被捕获,如果按钮凸起,则只能捕获从主机发送或者发向该主机的数据包。 Update list of packets in real time 是Ethereal 主界面上是否实时地显示抓包变化的选项,当选择了该项时,Ethereal 主界面上将实
时地更新抓包列表,若不显示该项,所有的包列表将在抓包过程停止以后一起显示。 Automatic Strolling in live capture 选项允许用户在抓包过程中能实时地察看新抓的数据包。 3,注意name resolution的选项不能选,否则抓包,保存,打开等过程会很慢。 “Name resolution”中有三个选项, “Enable MAC name resolution”是否将MAC地址的前三个字节翻译成IETF所规定的厂商前缀。“Enable network name resolution”用于控制是否将IP地址解析为DNS域名。 “Enable transport name resolution”则用于控制是否将通信端口号转换为协议名称。 4,抓包时可以对所抓的包进行过滤,常用的过滤选项有:sip || mgcp,sip && h225 && h245,ip.addr == 10.11.2.9,udp.port == 1719,tcp.port == 2000等。 5,一般抓包的计算机需要与被抓的目标地址在一个HUB上,如果在一个LAN上,需要做端口镜像。运行Ethereal,选择菜单Capture-Start(或快捷键Ctrl+K),按下OK按钮即可进行报文捕捉了。 查看/保存捕捉的报文 当决定结束捕捉时,按下Stop按钮即可,这是Ethereal会对捕捉的报文进行分析,分析后的报文显示在Ethereal主界面上。保存已经捕捉到的报文,选择菜单File-Save(快捷键Ctrl+S)即可, 过滤 捕捉时过滤 我们可能只想捕捉我们关心的报文,如某个IP地址的报文或某个端口的报文,这就需要在捕捉的时候加入过滤器,Ethereal捕捉报文时的过滤语法采用和TcpDump一样的语法。 在Capture对话框中输入过滤的语法,如下图:
Ethereal网址: https://www.doczj.com/doc/9a10310659.html,/ 到Ethereal的站站后,点击download,接着选择要安装的系统平台,如Windows或Linux,然后点击下载链接即可进行下载(例如Main site或Mirror site)。 Ethereal的安装非常简单,只要执行ethereal-setup-x.y.z.exe即可。安装过程如下:
选择预安装的选件,一般选择默认即可
选择欲安装的目录 勾选Install Winpcap 3.1 beta 4,WinPcap是libpcap library的Windows版本。Ethereal可透过WinPcap来劫取网络上的数据包。Install WinPcap,因此在安装Ethereal的过程中也会一并安装WinPcap,不需要再另外安装。
出现这个画面后,接着按Next就可以看到Ethereal的执行画面了。如下图所示: Ethereal的基本操作 欲劫获网络上的数据包,只要指定网卡(Network Interface Cad),接着按Capture即可。
按Capture后,Ethereal会开始统计目前所截获的数据包;如下图所示,欲停止只需按Stop即可。 下图为Ethera截取数据包的页面。由上而下分別是功能表栏、工具栏截取数据包的列表以及封包的详细资料,最下面则是封包的內容,这时是以16进制及ASCII编码的方式来表示。
其中在封包列表这部份,最前面的编号代表收到封包的次序,其次是时间、来源地址、目的地址,最后则是协议的名称以及关于此封包的摘要信息。另外,如果觉得截获的的封包数量太多的話,在抓取封包之前,可用Capture Filter的功能,选择想要过滤的协议即可。 若是想将截获到的数据包列表资料储存起来,可以执行[File]→[Save]或[Save As]将资料储存起来,存储对话框如下图所示:
网络监听工具Ethereal使用说明 1.1 Ethereal简介 Ethereal是一款免费的网络协议分析程序,支持Unix、Windows。借助这个程序,你既可以直接从网络上抓取数据进行分析,也可以对由其他嗅探器抓取后保存在硬盘上的数据进行分析。你能交互式地浏览抓取到的数据包,查看每一个数据包的摘要和详细信息。Ethereal有多种强大的特征,如支持几乎所有的协议、丰富的过滤语言、易于查看TCP会话经重构后的数据流等。 它的主要特点为: ?支持Unix系统和Windows系统 ?在Unix系统上,可以从任何接口进行抓包和重放 ?可以显示通过下列软件抓取的包 ?tcpdump ?Network Associates Sniffer and Sniffer Pro ?NetXray ?Shomiti ?AIX’s iptrace ?RADCOM & RADCOM’s WAN/LAN Analyzer ?Lucent/Ascend access products ?HP-UX’s nettl ?Toshiba’s ISDN routers ?ISDN4BSD i4btrace utility ?Microsoft Network Monitor ?Sun snoop ?将所抓得包保存为以下格式: ?libpcap (tcpdump) ?Sun snoop ?Microsoft Network Monitor ?Network Associates Sniffer ?可以根据不同的标准进行包过滤 ?通过过滤来查找所需要的包 ?根据过滤规则,用不同的颜色来显示不同的包
提供了多种分析和统计工具,实现对信息包的分析 图1-1 Ethereal抓包后直观图 图1是Ethereal软件抓包后的界面图,我们可以根据需要,对所抓得包进行分析。另外, 由于Ethereal软件的源代码是公开的,可以随意获得,因此,人们可以很容易得将新的协议添 加到Ethereal中,比如新的模块,或者直接植入源代码中。 1.2 Ethereal支持的网络协议 Ethereal能对很多协议进行解码,它支持几乎所有的协议,如AARP, AFS, AH, AIM, ARP, ASCEND, ATM, AUTO_RP, BGP, BOOTP, BOOTPARAMS, BROWSER, BXXP, CDP, CGMP, CLNP, CLTP, COPS, COTP, DATA, DDP, DDTP, DEC_STP, DIAMETER, DNS, EIGRP, ESIS, ESP, ETH, FDDI, FR, FRAME, FTP, FTP-DATA, GIOP, GRE, GVRP, H1, H261, HCLNFSD, HSRP, HTTP, ICMP, ICMPV6, ICP, ICQ, IGMP, IGRP, ILMI, IMAP, IP, IPCOMP, IPCP, IPP, IPV6, IPX, IPXMSG, IPXRIP, IPXSAP, IRC, ISAKMP, ISIS, ISIS_CSNP, ISIS_HELLO, ISIS_LSP, ISIS_PSNP, ISL, IUA, KERBEROS, L2TP, LANE, LANMAN, LAPB, LAPBETHER, LAPD, LCP, LDAP, LDP, LLC, LPD, M3UA, MAILSLOT, MALFORMED, MAPI, MIP, MOUNT, MP, MPLS, MSPROXY, NBDGM, NBIPX, NBNS,