ethereal安装指导

第 1 章介绍1.1. 什么是WiresharkWireshark 是网络包分析工具。

网络包分析工具的主要作用是尝试捕获网络包，并尝试显示包的尽可能详细的情况。

你可以把网络包分析工具当成是一种用来测量有什么东西从网线上进出的测量工具，就好像使电工用来测量进入电信的电量的电度表一样。

（当然比那个更高级）过去的此类工具要么是过于昂贵，要么是属于某人私有，或者是二者兼顾。

Wireshark出现以后，这种现状得以改变。

Wireshark可能算得上是今天能使用的最好的开元网络分析软件。

1.1.1. 主要应用下面是Wireshark一些应用的举例：∙网络管理员用来解决网络问题∙网络安全工程师用来检测安全隐患∙开发人员用来测试协议执行情况∙用来学习网络协议除了上面提到的，Wireshark还可以用在其它许多场合。

1.1.2. 特性∙支持UNIX和Windows平台∙在接口实时捕捉包∙能详细显示包的详细协议信息∙可以打开/保存捕捉的包∙可以导入导出其他捕捉程序支持的包数据格式∙可以通过多种方式过滤包∙多种方式查找包∙通过过滤以多种色彩显示包∙创建多种统计分析∙…还有许多不管怎么说，要想真正了解它的强大，您还得使用它才行图 1.1. Wireshark捕捉包并允许您检视其内1.1.3. 捕捉多种网络接口Wireshark 可以捕捉多种网络接口类型的包，哪怕是无线局域网接口。

想了解支持的所有网络接口类型，可以在我们的网站上找到/CaptureSetup/NetworkMedia.1.1.4. 支持多种其它程序捕捉的文件Wireshark可以打开多种网络分析软件捕捉的包，详见???1.1.5. 支持多格式输出Wieshark可以将捕捉文件输出为多种其他捕捉软件支持的格式，详见???1.1.6. 对多种协议解码提供支持可以支持许多协议的解码(在Wireshark中可能被称为解剖)???1.1.7. 开源软件Wireshark是开源软件项目，用GPL协议发行。

实验七网络嗅探【实验目的】1.了解FTP、HTTP等协议明文传输的特性；2.了解局域网内的监听手段；3.掌握Ethereal嗅探器软件的使用方法；4.掌握对嗅探到的数据包进行分析的基本方法，并能够对嗅探到的数据包进行网络状况的判断。

【实验环境】两台以上装有Windows 2000/XP/2003操作系统的计算机。

【实验原理】(1)嗅探原理网络监听是一种常用的被动式网络攻击方法，能帮助入侵者轻易获得用其他方法很难获得的信息，包括用户口令、账号、敏感数据、IP地址、路由信息、TCP套接字号等。

管理员使用网络监听工具可以监视网络的状态、数据流动情况以及网络上传输的信息。

嗅探器（Sniffer）是利用计算机的网络接口截获发往其他计算机的数据报文的一种技术。

它工作在网络的底层，将网络传输的全部数据记录下来。

嗅探器可以帮助网络管理员查找网络漏洞和检测网络性能。

嗅探器可以分析网络的流量，以便找出所关心的网络中潜在的问题。

不同传输介质网络的可监听性是不同的。

一般来说，以太网(共享式网络)被监听的可能性比较高，因为以太网(共享式网络)是一个广播型的网络。

微波和无线网被监听的可能性同样比较高，因为无线电本身是一个广播型的传输媒介，弥散在空中的无线电信号可以被很轻易地截获。

在以太网中，嗅探器通过将以太网卡设置成混杂模式来捕获数据。

因为以太网协议工作方式是将要发送的数据包发往连接在一起的所有主机，包中包含着应该接收数据包主机的正确地址，只有与数据包中目标地址一致的那台主机才能接收。

但是，当主机工作在监听模式下，无论数据包中的目标地址是什么，主机都将接收（当然自己只能监听经过自己网络接口的那些包）。

在Internet上有很多使用以太网协议的局域网，许多主机通过电缆、集线器连在一起，当同一网络中的两台主机通信的时候，源主机将写有目的主机地址的数据包直接发向目的主机。

但这种数据包不能在IP层直接发送，必须从TCP/IP协议的IP层交给网络接口，也就是数据链路层，而网络接口是不会识别IP地址的，因此在网络接口数据包又增加了一部分以太帧头的信息。

ethereal汉化版用法目 录1 Ethereal介绍 51.1 Ethereal为何物？ 51.1.1 Ethereal可以帮人们做什么？ 51.1.2 界面功能 51.1.3 实时的从不同网络介质抓取数据包 6 1.1.4 导入来自其它抓包工具的文件 61.1.5 为其它抓包工具导出文件 61.1.6 丰富的协议解码器 71.1.7 开放源代码软件 71.1.8 Ethereal不能做什么？ 71.2 Ethereal运行平台 71.2.1 Unix 71.2.2 Linux 81.2.3 Microsoft Windows 81.3 那里可以得到ethereal? 81.4 Ethereal的读法 91.5 Ethereal的历史 91.6 Ethereal的设计和维护 91.7 问题报告和获得帮助 91.7.1 Web网站 91.7.2 WIKI 101.7.3 FAQ 101.7.4 邮件列表 101.7.5 问题报告 101.7.6 liunx/unix平台崩溃报告 111.7.7 Windows平台崩溃报告 112 编译和安装ethereal 112.1 介绍 112.2 获得ethereal源代码和应用发布版本 12 2.3 UNIX平台编译ethereal之前准备工作 12 2.4 UNIX平台编译ethereal源代码 132.5 UNIX平台应用版本安装 132.5.1 RedHat 的RPMs方式安装 142.5.2 Debian的安装方式 142.6 解决UNIX下安装失败问题 142.7 Windows下源代码的编译 142.8 Windows下Ethereal安装 142.8.1 安装ethereal 142.8.2 升级ethereal 152.8.3 卸载ethereal 153 用户操作界面 153.1 介绍 153.2 启动ethereal 153.3 ethereal主界面 153.4 “The Menu”主菜单 163.4.1 “File”文件菜单 183.4.2 “Edit”编辑菜单 193.4.3 “View”视图菜单 213.4.4 “GO”跳转菜单 233.4.5 “Capture”抓包菜单 243.4.6 “Analyze”分析菜单 243.4.7 “Statistics”统计报表菜单 263.4.8 “Help”帮助菜单 273.5 “Main”常用工具栏 283.6 “Filter Toolbar”显示过滤器工具栏 303.7 “Packet List”数据包列表窗格 313.8 “Packet Details”数据包信息树窗格 313.9 “Packet Bytes”数据包字节窗格 323.10 “Statusbar”状态栏 324 网络数据包实时抓取 334.1 介绍 334.2 使用Ethereal前的准备工作 334.3 如何开始抓包？ 334.4 “Capture Interfaces”抓包网络接口窗口 344.5 “Capture Options”抓包选项窗口 354.5.1 “Capture”抓包常规框 354.5.2 “Capture File(s)”数据包文件框 364.5.3 “Stop Capture…”停止抓包框 374.5.4 “Display Options”显示选型框 384.5.5 “Name Resolution”名称解析框 384.5.6 “Buttons”按键 394.6 数据包文件和文件模式 394.7 “Link-layer header type”链接层数据头类型 40 4.8 抓包过滤器 404.9 抓包状态信息窗口 424.9.1 停止抓包 424.9.2 重新开始抓取 435 数据包文件导入、导出和打印 435.1 介绍 435.2 “Open”打开数据包文件 435.2.1 “Open Capture File”打开数据包文件窗口 44 5.2.2 支持导入文件格式 455.3 “Save As”存储数据包 455.3.1 输出文件格式 465.4 “Merging”合并数据包文件 475.5 “File Sets”文件系 485.6 “Exporting”导出文件 495.6.1 “Exporting as Plain Text File”导出无格式文件 495.6.2 “Export as PostScript File”导出PS格式文件 505.6.3 “Export as CSV(Comma Seperated Values)File”导出CSV(逗号分割)文件 50 5.6.4 “Export as PSML File”导出PSML格式文件 515.6.5 “Export as PDML File”导出PDML格式文件 515.6.6 “Export selected packet bytes”导出被选择数据包数据 525.7 “Printing”打印数据包 535.8 “Packet Range”数据包范围窗格 556 数据包分析 556.1 如何查看数据包 556.2 显示过滤器 606.3 如何书写显示过滤器表达式 616.3.1 显示过滤器字段 616.3.2 比较操作的数据类型和操作符 626.3.3 组合表达式 626.3.4 显示过滤器常见误解 636.4 “Filter Expression”过滤器表达式窗口 646.5 定义和存储过滤器 656.6 搜索数据包 676.6.1 “Find Packet”搜索数据包窗口 676.6.2 “Find Next”寻找下一个 686.6.3 “Find Previous”寻找上一个 686.7 “GO”跳转 686.7.1 “Go Back”后退 686.7.2 “Go Forward”向前 686.7.3 “Go to Packet”跳转到 686.7.4 “Go to Corresponding Packet”跳转到相关数据包 696.7.5 “Go to First Packet”跳到第一个数据包 696.7.6 “Go to Last Packet”跳到最后一个数据包 696.8 标记数据包 696.9 时间显示格式和时间基准点 706.9.1 时间显示格式 706.9.2 时间基准点 707 高级工具 727.1 介绍 727.2 “Following TCP streams”跟踪TCP数据流 727.2.1 TCP数据流跟踪窗口 737.3 Time Stamps时间标记 747.3.1 Ethereal内部时间格式 747.3.2 数据包文件时间格式 747.3.3 时间正确性 747.4 时区问题 757.4.1 什么是时区？ 757.4.2 为你的计算机设置正确时间 757.4.3 Ethereal和时区 767.5 数据包重组 767.5.1 什么是数据包重组？ 767.5.2 Ethereal如何实现包重组 767.6 名称解析 777.6.1 以太网名称解析(MAC层) 777.6.2 IP名称解析（网络层） 787.6.3 IPX名称解析（网络层） 787.6.4 TCP/UDP端口名称解析（传输层） 787.7 确保数据完整性 787.7.1 Ethereal核对概要 797.7.2 硬件里的概要计算和确认 798 统计 798.1 介绍 798.2 “Summary”统计窗口 808.3 “Protocol Hierrrchy”协议层次统计窗口 81 8.4 “Endpoint”终端统计 828.4.1 Endpoint终端是什么？ 828.4.2 终端统计窗口 838.5 会话统计Conversations 838.5.1 什么是会话 838.5.2 会话窗口 838.6 IO曲线图窗口 858.7 服务响应时间统计 869 Ethereal客户配置 879.1 介绍 879.2 定义数据包颜色 879.3 控制协议解析器 899.3.1 “Enabled Protocols”协议解析开关窗口 89 9.3.2 用户配置解码 909.3.3 查看定义的解码方式 919.4 参数选择 921 Ethereal介绍1.1 Ethereal为何物？Ethereal是开源网络数据包分析软件。

网络协议分析软件EtherealEthereal使用手册使用手册贺思德申浩如2007年7月目录第￥章 网络协议分析软件Ethereal使用手册 ￥.1 网络协议分析概述￥.2 网络协议分析软件Ethereal简介￥.2.1 Ethereal概述1. Ethereal的用户界面简介2. 在网络中部署Ethereal￥.2.2 下载和安装￥.2.3 Ethereal的使用1. Ethereal的主界面2. Ethereal的菜单及其使用￥.2.4 Ethereal过滤器（Filters）的使用1. 捕获过滤规则的书写2. 显示过滤规则的书写第￥章 网络协议分析软件Ethereal本章介绍网络协议分析软件Ethereal ，包括两个方面：1）网络协议分析和网络嗅探的概念和工作原理；2）网络协议分析软件Ethereal 的使用方法。

网络协议数据分析用于捕获真实网络的数据流，通过分析这些数据以确定在网络上发生了什么事情，用于网络安全管理、故障诊断、黑客追踪等。

本章首先介绍网络协议分析的概念及其工作原理，接着详细讲解网络协议分析软件Ethereal 的使用，包括界面介绍、在网络系统中的捕获位置选择、软件安装、过滤器的使用等。

Ethereal 主界面上的各种操作菜单的介绍包括：文件菜单（File ）、编辑菜单（Edit ）、包捕获菜单（Capture ）、分析菜单（Analyze ）、统计菜单（Statistics ）。

还介绍捕获过滤器和显示过滤器的表达式书写等。

学习使用Ethereal ，必须把握以下几点：1）理解和熟悉ICP/IP 网络协议的基础知识。

必须对所监测的网络及其协议有清楚的理解，尤其是网络各层协议的工作过程、协议字段的含义及表现形式。

2）要多阅读分析网络包的捕获实例。

建议读者亲自捕获一些自己的真实网络上的数据包，以这些包为实验材料进行各种功能的练习，这样才能领会Ethereal 每项功能设计的用意所在，提高自己对网络真实数据的分析判读能力。

实验一：Ethereal使用入门一、实验目的熟悉分组嗅探器Ethereal实验环境，学习使用Ethereal捕获数据的方法。

二、实验原理“不闻不若闻之，闻之不若见之，见之不若知之，知之不若行之”-----中国谚语。

一个人对网络协议的理解通常通过以下方法能够得到极大的深化：观察它们的工作过程和使用它们，即观察两个协议实体之间交换的报文序列，钻研协议操作的细节，使协议执行某些操作，观察这些动作及其后果，这能够在仿真环境下或在如因特网这样的真实网络环境下完成。

在Ethereal实验中，我们将采用后一种方法，使用桌面上的计算机在各种情况下运行网络应用程序，在计算机上观察网络协议与在因特网别处执行的协议实体进行交互和交换报文的情况。

因此，你与你的计算机将是这些实际实验的组成部分，在实际动手实验中进行观察学习。

观察在执行协议的实体之间交换的报文的基本工具被称为分组嗅探器（packet sniffer）。

顾名思义，一个分组嗅探器被动地拷贝（嗅探）由你的计算机发送和接收的报文，它也能存储并显示出这些被俘获报文的各个协议字段的内容。

一个分组嗅探器本身是被动的，它观察运行在你计算机上的应用程序和协议收发的报文，但它自己从不发送任何分组。

同样，接收到的分组也不会显式地标注是给分组嗅探器的。

实际上，一个分组嗅探器收到的是运行在你机器上应用程序和协议收发的分组的备份。

图1显示了一个分组嗅探器的结构。

图1的右边是正常的运行在你的计算机上的协议和应用程序（比如FTP client）。

在图中虚线矩形中的分组嗅探器是在你计算机中额外安装的软件，由两部分组成：一部分是分组捕获库（packet capture library），一部分是分组解析器（packet analyzer）。

分组获取库获得了从你主机发出或接收的每一个链路层数据帧的拷贝，更高层协议（HTTP、FTP、TCP、UDP、DNS、IP）传输的信息最终都被封装在链路层帧里，通过物理介质传送出去（如网线）。

特别说明
此资料来自豆丁网(http://www.docin.com/)
您现在所看到的文档是使用下载器所生成的文档
此文档的原件位于

感谢您的支持
抱米花
http://blog.sina.com.cn/lotusbaob

http://www.docin.com/p-56236593.html

Ethereal 使用说明1.工具认识Ethereal 是一款绿色版的网络抓包、报文分析工具，不需要安装，但是要装WinPcap 。

安装过程简单这里就不做说明。

Ethereal:WinPcap:2.报文抓取点击工具栏中最左边的第二个图标 “Show the capture options ”进入界面如下：123三个地方需要设置：①Interface，选择自己电脑的网卡。

②Capture Filter，在里面设置抓取过滤条件，如host 222.111.112.215就是只抓取有这个ip地址参与的报文交互。

其他过滤规则在下文Ethereal使用详细说明中有介绍。

③Display Options，前两个选中，在抓取的过程中可以查看报文信息。

设好了点Start，弹出界面如下，停止抓包点击stop。

3.报文查看Filter内可以输入过滤规则，常用的语句有mms、ip.addr==222.111.112.5等，同时过滤多个规则可以使用&&合并，如下图。

mms是最常用的的过滤规则，直接过滤出mms报文，我们要查看的有用的信息都在mms类报文内。

其他过滤规则在下文Ethereal使用详细说明中有介绍。

4.Ethereal使用详细说明4.1界面菜单介绍本节将逐个介绍Ethereal各菜单项的功能：4.1.1“File”菜单图4-1 “File”拉菜单图4-1 “File”菜单。

其中：“Open”即打开已存的抓包文件；“Open Recent”即打开近期已察看的抓包文件，类似windows的最近访问过的文档；“Merge”字面是合并的意思，其实是追加的意思，即当前捕获的报文追加到先前已保存的抓包文件中。

“Save”和”save as”即保存、选择保存格式。

“File Set”用于Ethereal当前打开的多个文件前后切换，以及各文件的基本属性描述。

“Export”是输出的意思。

“Print”打印。

使用Ethereal工具分析网络协议实验五使用Ethereal工具分析网络协议一、实验目的通过使用Ethereal软件掌握Sniffer（嗅探器）工具的使用方法，实现捕捉网络协议的数据包，以理解TCP/IP协议族中多种协议的数据结构以及多种协议的交互过程。

二、实验内容1．静态路由的配置。

2．路由协议RIP、RIP V2，OSPF。

三、实验环境安装Windows 2000/XP的PC机，在每一台上安装Ethereal软件。

将PC机通过路由器/交换机相连，组成一个局域网。

四、实验指导1、Ethereal 简介Ethereal是一款免费的网络协议分析程序，支持Unix、Windows。

借助这个程序，你既可以直接从网络上抓取数据进行分析，也可以对由其他嗅探器抓取后保存在硬盘上的数据进行分析。

你能交互式地浏览抓取到的数据包，查看每一个数据包的摘要和详细信息。

Ethereal有多种强大的特征，如支持几乎所有的协议、丰富的过滤语言、易于查看TCP会话经重构后的数据流等。

它的主要特点为：•支持Unix系统和Windows系统•可以根据不同的标准进行包过滤•通过过滤来查找所需要的包•根据过滤规则，用不同的颜色来显示不同的包•提供了多种分析和统计工具，实现对信息包的分析2、Ethereal 安装安装软件可以从网站上下载。

3、Ethereal操作指导3.1 Ethereal 操作界面Ethereal软件界面如图上图所示，在这个窗口上，整个界面环境分为三个窗口，最上面的窗口是抓包列表窗口，经过Ethereal软件抓包后的数据包都会列在这个窗口中，同时你可以根据抓包序列号，抓包时间、源、目标、协议等进行包列表的排序，这样你可以很容易的找到你所需要的信息包。

中间的窗口中显示的是抓包列表上所选择的包对应的各层协议说明，其中，协议层次信息以树型的结构进行显示。

最下面的窗口是数据窗口，显示的是上层窗口选中的信息包的具体数据，同时，在中间树型窗口中所选择的某一协议数据域的内容，在数据窗口中会被突出地显示出来。

《Internet网基本技术与应用》实验指导书信息科学与技术分院网络工程与信息安全教研室2010.7目录实验1 Ethereal软件下载、安装以及基本操作 (2)实验2 熟悉Ethereal软件的常用菜单项 (6)实验3设置Ethereal的过滤规则 (9)实验4设置Ethereal的显示过滤规则 (12)实验5设置Ethereal的显示过滤规则 (15)实验6 分析ICMP报文 (17)实验7 分析EtherealⅡ报文 (20)实验8 分析ARP报文格式 (22)实验9 分析FTP协议 (24)实验10 DNS协议分析 (26)实验11 HTTP协议分析 (28)实验12 ethereal使用提高 (30)实验1 Ethereal软件下载、安装以及基本操作实验目的：独立完成Ethereal软件下载、安装，并能够进行基本操作。

实验内容：掌握Ethereal软件的基本操作：1.指定网卡，截获网络上的数据包。

2.保存截获到的数据包列表资料。

3.熟悉各个主要的菜单项。

操作步骤：1.双击启动桌面上ethereal图标，按ctrl+K进行“capture option”的选择。

2.首先选择正确的NIC，进行报文的捕获。

3.对“capture option”各选项的详细介绍：Interface是选择捕获接口；Capture packetsin promiscuous mode表示是否打开混杂模式，打开即捕获所有的报文，一般我们只捕获到本机收发的数据报文，所以关掉；Limit each packet 表示限制每个报文的大小；Capture files 即捕获数据包的保存的文件名以及保存位置。

4.“capture option”确认选择后，点击ok就开始进行抓包；同时就会弹出“Ethereal:capture form (nic) driver”，其中(nic)代表本机的网卡型号。

同时该界面会以协议的不同统计捕获到报文的百分比，点击stop即可以停止抓包。

实验一：Ethereal使用入门一、实验目的熟悉分组嗅探器Ethereal实验环境，学习使用Ethereal捕获数据的方法。

二、实验原理“不闻不若闻之，闻之不若见之，见之不若知之，知之不若行之”-----中国谚语。

一个人对网络协议的理解通常通过以下方法能够得到极大的深化：观察它们的工作过程和使用它们，即观察两个协议实体之间交换的报文序列，钻研协议操作的细节，使协议执行某些操作，观察这些动作及其后果，这能够在仿真环境下或在如因特网这样的真实网络环境下完成。

在Ethereal实验中，我们将采用后一种方法，使用桌面上的计算机在各种情况下运行网络应用程序，在计算机上观察网络协议与在因特网别处执行的协议实体进行交互和交换报文的情况。

因此，你与你的计算机将是这些实际实验的组成部分，在实际动手实验中进行观察学习。

观察在执行协议的实体之间交换的报文的基本工具被称为分组嗅探器（packet sniffer）。

顾名思义，一个分组嗅探器被动地拷贝（嗅探）由你的计算机发送和接收的报文，它也能存储并显示出这些被俘获报文的各个协议字段的内容。

一个分组嗅探器本身是被动的，它观察运行在你计算机上的应用程序和协议收发的报文，但它自己从不发送任何分组。

同样，接收到的分组也不会显式地标注是给分组嗅探器的。

实际上，一个分组嗅探器收到的是运行在你机器上应用程序和协议收发的分组的备份。

图1显示了一个分组嗅探器的结构。

图1的右边是正常的运行在你的计算机上的协议和应用程序（比如FTP client）。

在图中虚线矩形中的分组嗅探器是在你计算机中额外安装的软件，由两部分组成：一部分是分组捕获库（packet capture library），一部分是分组解析器（packet analyzer）。

分组获取库获得了从你主机发出或接收的每一个链路层数据帧的拷贝，更高层协议（HTTP、FTP、TCP、UDP、DNS、IP）传输的信息最终都被封装在链路层帧里，通过物理介质传送出去（如网线）。