-
Ethereal
用法
Ulf Lamping,
Richard Sharpe, NS Computer Software
and Services P/L
Ed Warnicke,
翻译:
VIN
msn
:
fy_address@
目
录
1 Ethereal
介绍
5
1.1 Ethereal
为何物?
5
1.1.1
Ethereal
可以帮人们做什么?
5
1.1.2
界面功能
5
1.1.3
实时的从不同网络介质抓取数据包
6
1.1.4
导入来自其它抓包工具的文件
6
1.1.5
为其它抓包工具导出文件
6
1.1.6
丰富的协议解码器
7
1.1.7
开放源代码软件
7
1.1.8
Ethereal
不能做什么?
7
1.2 Ethereal
运行平台
7
1.2.1 Unix 7
1.2.2 Linux 8
1.2.3 Microsoft Windows 8
1.3
那里可以得到
ethereal? 8
1.4 Ethereal
的读法
9
1.5 Ethereal
的历史
9
1.6
Ethereal
的设计和维护
9
1.7
问题报告和获得帮助
9
1.7.1 Web
网站
9
1.7.2 WIKI 10
1.7.3 FAQ 10
1.7.4
邮件列表
10
1.7.5
问题报告
10
1.7.6
liunx/unix
平台崩溃报告
11
1.7.7
Windows
平台崩溃报告
11
2
编译和安装
ethereal
11
2.1
介绍
11
2.2
获得
ethereal
源代码和应用发布版本
12
2.3 UN
IX
平台编译
ethereal
之前准
备工作
12
2.4 UNIX
平台
编译
ethereal
源代码
13
2.5 UNIX
平台应用版本安装
13
2.5.1 RedHat
的
RPMs
方式安装
14
2.5.2
Debian
的安装方式
14
2.6
UNIX
下安装失败问题
14
2.7
Windows
下源代码的编译
14
2.8 Windows
下
Ether
eal
安装
14
2.8.1
安装
ethereal 14
2.8.2
升级
ethereal
15
2.8.3
卸载
ethereal 15
3
用户操作界面
15
3.1
介绍
15
3.2
启动
ethereal 15
3.3
ethereal
主界面
15
3.4
“
The
Menu
”主菜单
16
3.4.1
“
File
”文件菜单
18
3.4.2
“
Ed
it
”编辑菜单
19
3.4.3
“
View
”视图菜单
21
3.4.4
“
GO
”跳转菜单
23
3.4.5
“
Capture
”抓包菜单
24
3.4.6
“
A
nalyze
”分析菜单
24
3.4.7
“
Statistics
”统计报表菜单
26
3.4.8
“
Help
”帮助菜单
27
3.5
“
Main
”常用工具栏
28
3.6
“
Filter
Toolbar
”显示过滤器工具栏
30
3.7
“
Packet
List
”数据包列表窗格
31
3.8
“
Packet
Details
”数据包信息树窗格
31
3.9
“
Packet
Bytes
”数据包字节窗格
32
3.10
“
Statusbar
”状态栏
32
4
网络数据包实时抓取
33
4.1
介绍
33
4.2
使用
Ethereal
前的准备工作
< br> 33
4.3
如何开始抓包?
33
4.4
“
Capture
Interfaces
”抓包网络接口窗口
34
4.5
“
Capture
Options
”抓包选项窗口
35
4.5.1
“
Capture
”抓包常规框
35
4.5.2
“
Capture
File(s)
”数据包文件框
36
4.5.3
“
Stop
Capture
?”停止抓包框
37
4.5.4
“
Display
Options
”显示选型框
38
4.5.5
“
Name
Resolution
”名称解析框
38
4.5.6
“
Buttons
”按键
39
4.6
数据包文件和文件模式
39
4.7
“
Link-layer header
type
”链接层数据头类型
40
4.8
抓包过滤器
40
4.9
抓包状态信息窗口
42
4.9.1
停止抓包
42
4.9.2
重新开始抓取
43
5
数据包文件导入、导出和打印
43
5.1
介绍
43
5.2
“
Open
< br>”打开数据包文件
43
5.2.1
“
Open Capture
File
”打开数据包文件窗口
44
5.2.2
支持导入文件格式
45
5.3
Save
As
”存储数据包
45
5.3.1
输出文件格式
46
5.4
“
Merging
”合并数据包文件
47
5.5
“
File
Sets
”文件系
48
5.6 <
/p>
“
Exporting
”导出文件
49
5.6.1
“
Exporting as Plain Text
File
”导出无格式文件
49
5.6.2
“
Export as
PostScript File
”导出
PS
< br>格式文件
50
5.6.3
“
Export as CSV(Comma
Seperated Values)File
”导出
CSV(
逗号分割
)
文件
50
5.6.4
“
Export as PSML File
< br>”导出
PSML
格式文件
51
5.6.5
“
Export as
PDML File
”导出
PDML
格
式文件
51
5.6.6
“
Export selected packet
bytes
”导出被选择数据包数据
52
5.7
“
Printing
”打印数据包
53
5.8
“
Packet
Range
”数据包范围窗格
55
6
数据包分析
55
6.1
如何查看数据包
55
6.2
显示过滤器
60
6.3
如何书写显示过滤器表达式
61
6.3.1
显示过滤器字段
61
6.3.2
比较操作的数据类型和操作符
62
6.3.3
组合表达式
62
6.3.4
显示过滤器常见误解
63
6.4
“
Filter
Expression
”过滤器表达式窗口
64
6.5
定义和存储过滤器
65
6.6
搜索数据包
67
6.6.1
“
Find
Packet
”搜索数据包窗口
67
6.6.2
“
Find
Next
”寻找下一个
68
6.6.3
“
Find
Previous
”寻找上一个
68
6.7
“
GO
”跳转
68
6.7.1
“
Go
Back
”后退
68
6.7.2
“
Go
Forward
”向前
68
6.7.3
“
Go to
Packet
”跳转到
68
6.7.4
“
Go to
Corresponding
Packet
”跳转到相关数据包
69
6.7.5
“
Go to
First Packet
”跳到第一个数据包
69
6.7.6
“
Go to Last
Packet
”跳到最后一个数据包
69
6.8
标记数据包
69
6.9
时间显示格式和时间基准点
70
6.9.1
时间显示格式
70
6.9.2
时间基准点
70
7
高级工具
72
7.1
介绍
72
7.2
“
Following
TCP streams
”跟踪
TCP
数据流
72
7.2.1
TCP
数据流跟踪窗口
73
7.3
Time Stamps
时间标记
74
7.3.1
Ethereal
内部时间格式
74
7.3.2
数据包文件时间格式
74
7.3.3
时间正确性
74
7.4
时区问题
75
7.4.1
什么是时区?
75
7.4.2
为你的计算机设置正确时间
75
7.4.3 Ethereal
和时区
76
7.5
数据包重组
7.5.1
什么是数据包重组?
76
7.5.2
Ethereal
如何实现包重组
76
7.6
名称解析
77
7.6.1
以太网名称解析
(MAC
层
) 77
7.6.2
IP
名称解析(网络层)
78
7.6.3
IPX
名称解析(网络层)
78
7.6.4
TCP/UDP
端口名称解析(传输层)
78
7.7
确保数据完整性
78
7.7.1
Ethereal
核对概要
79
7.7.2
硬件里的概要计算和确认
79
8
统计
79
8.1
介绍
79
8.2
“
Summary
”统计窗口
80
8.3
“
Protocol
Hierrrchy
”协议层次统计窗口
81
8.4
“
Endpoint
”终端统计
82
8.4.1
Endpoint
终端是什么?
82
8.4.2
终端统计窗口
83
8.5
会话统计
Conversations 83
8.5.1
什么是会话
83
8.5.2
会话窗口
83
8.6 IO
曲线图窗口
85
8.7
服务响应时间统计
86
9 Ethereal
客户配置
87
9.1
介绍
87
9.2
定义数据包颜色
87
9.3
控制协议解析器
89
9.3.1
“
Enabled
Protocols
”协议解析开关窗口
89
9.3.2
用户配置解码
90
9.3.3
查看定义的解码方式
91
9.4
参数选择
92
1 Ethereal
介绍
1.1 Ethereal
为何物?
Ethereal
是开源网络数据包分析软件。数据包分析软件
会抓取数据包,并试图逐条详细地
显示数据包数据。
你可以认为
数据包分析软件是一个用户检查网络数据报文的设备,
就像用
电
压表测量电路电压。
以往数据包分析软件都是非常昂贵的或私
有的。但
Ethereal
出现以后,这一切都改变了。
Ethereal
可能是现在最好的开放源码的数据包分析软件。
1.1.1
Ethereal
可以帮人们做什么?
有些人使用
ethereal
完成以下工作:
&O1548;
网络管理员使用它去充当网络程序故障检修工具
&O1548;
网络安全工程师使用它检查安全软件
&O1548;
开发人员使用它发现协议运行中的
bug
&O1548;
很多人使用它监听内网数据
&O1548;
等等
总之,
ethereal
可以在很多环境里帮助人们
。
界面功能
Ethereal
操作界面很友善,提供以下功能按键:
&O1548; UNIX
和
wind
ows
下都可以运行
&O1548;
抓取从网络上抓到活动的数据包
&O1548;
真实的显示数据包协议信息
&O1548;
打开和保存被抓取的数据包文件
&O1548;
导入和导出数据包用于和其它抓包软件互动
&O1548;
标准的数据包过滤器
&O1548;
标准的数据包搜索
&O1548;
基于过滤器的数据包彩色显示
&O1548;
创建多种统计报表
&O1548;
等等!
可是你想真正了解它的威力,你必须亲自去使用它!
1.1.3
实时的从不同网络介质抓取数据包
E
thereal
可以从网络介质上抓取流过的数据包。至于网络介质支持的类型,依赖于
你使用
的操作系统,您可以去这里察看所有被支持的网络介质:
/
1.1.4
导入来自其它抓包工具的文件
Eth
ereal
可以打开大量其它抓包工具制作的数据包文件,具体支持情况请查看“导入文
件
格式”
1.1.5
为其它抓包工具导出文件
Ethereal
可以将抓取得数据包文件导出,并提供给其
它抓包工具使用。具体支持情况请查
看“导出文件格式”。
1.1.6
丰富的协议解码器
Ethereal
支持丰富的网络协议解析,具体支持情况请
查看“附录
B
:协议和协议域”。
1.1.7
开放源代码软件
Ethereal
是一个开放源代码软件工程,被
GNU General
Public Licence
(
GPL
)发布。你
可以免费的使用
ethereal
不用考虑软件使用授权问题。在
GPL
下有很多的免
费开源软件,
所以,
ethereal
加入一个新的协议支持、插件或源代码修改都非常容易。
1.1.8
Ethereal
不能做什么?
以下
这些功能是
ethereal
不提供的:
&O1548; Ethereal
并不是个
IDS
入侵监测系统。当网络上发生某个事情的时候他不会警告
你。当一个网络异常发生的时候,
ethereal
会帮您描述正在网络发生的问题。
&O1548; Eth
ereal
并不能操作您的网络,它仅仅是一个测量工具。它不发送数据包或者作
其他的主动行动。
1.2
Ethereal
运行平台
Ethe
real
可以运行在很多的
UNIX
和
各种
windows
平台上运行,它需要一些辅助软件库如:<
/p>
GTK+, GLib, libpcap
,其他一些库。
ethereal<
/p>
无法运行,
请可以下在源程序去修正它。
并请将您的使用经历发给:
ethereal-dev@
支持平台如下:
1.2.1 Unix
&S226; Apple Mac
OS X
&S226; BeOS
&S226;
FreeBSD
&S226; HP-UX
&S226;
IBM AIX
&S226; NetBSD
&S226;
OpenBSD
&S226; SCO UnixWare/OpenUnix
&S226; SGI Irix
&S226; Sun
Solaris/Intel
&S226; Sun Solaris/Sparc
&S226; Tru64 UNIX (formerly Digital
UNIX)
1.2.2 Linux
&S226;
Debian GNU/Linux
&S226; Gentoo Linux
&S226; IBM S/390 Linux (Red Hat)
&S226; Mandrake Linux
&S226;
PLD Linux
&S226; Red Hat Linux
&S226; Rock Linux
&S226;
Slackware Linux
&S226; Suse Linux
1.2.3 Microsoft Windows
支持
:
&S226;
Windows Server 2003 / XP / 2000 / NT 4.0
&S226; Windows Me / 98
不支持:
&S226;
Windows CE
&S226; Windows NT / XP
Embedded
&S226; Windows 95 is no longer
actively maintained by WinPcap, but still may work
perfectly
没有测试平台:
&S226; Windows XP 64-bit Edition
&S226; Windows Vista (aka Longhorn)
1.3
那里可以得到
ethereal?
您可以从
/
下载最新的
ethereal
版本。
此
网站允
许您选择多种镜像下载服务器。
每
4-8
周会发布一个新的
ethe
real
版本。
如果你希望在新版本
发布时得到通知,你应该去加入
ethereal
邮件列表。“
邮件列表”章
节有详细地介绍。
1.4 Ethereal
的读法
<
/p>
有人把
ethereal
拆解为:
ethe-real
、
e-the-real
等,你也可以按你喜欢的方式去叫它。
在
FQA
里给出的是“
e-the-
real
”。
1.5
Ethereal
的历史
1997
年,
Gerald Comb
s
需要一个跟踪网络协议的工具,并想学习更多的网络知识。他开始
开发
ethereal
。
1998
年七月,
ethereal
推出了
0.2.0
版本,
在那些日子里,
bug
报告和鼓励使
ethereal
走向成功。
不久之后,
Gilbert Ramirez
< br>看到了他的潜力,并提供了一个低等级协议分析器给他。
1998
年十月,
Guy
Harris
申请加入开发,并提供协议解析器。
1998
年底,
Richard
Sharpe
加入,并提供
TCP/IP<
/p>
框架结构,可以很清晰地看到那些协议被
支持,也可以轻松的加入
新的协议解析器。
之后,
ether
eal
开始蓬勃发展。
1.6
Ethereal
的设计和维护
Et
hereal
最初是由
Gerald
Combs
设计。目前它的设计和维护是由
Ethereal
Team
完成。开
放的团队谁都可以修复
BUG
和提供新功能。
众多的人为
Ethereal
协议解析器做出了贡献,你可以在“关于
Ethereal
”里看到众多的提
供源代
码的人们,或在
ethereal
作者页也可以看到他们。
你设计将在三个体现出对人们的帮助:
&O1548;
很多人会发现你的设计,并应用它在自己的工
作中。你会发现你帮助了很多人。
&O1548; Ethe
real
可能会在改善您的设计,或在此之上作更多的上层设计。
&O1548; Ethereal
的设计和维护人员会精
心的维护您的设计代码,并修改它当
API
或其他
调用变化的时候。当新版本发布的时候,您的新设计可能就被包含进去了。
1.7
问题报告和获得帮助
如果你对
ethereal
有一些疑问,或需
要帮助,一下这些地方会对你有帮助。
1.7.1
Web
网站
在
ethereal
主站可以找到大量的技术信息。
.
1.7.2 WIKI
在
< br>
里你可以得到更广泛的帮助信息。有很都信息是没有被包含
在用户手册里的技术细节。
你也可以发表自己的见解,比如
你对某一个协议很了解,你可以发表文章。
1.7.3
FAQ
FAQ
即常见问题答复。建议你在提出问题之前,先查
阅
FAQ
很可能找到答案。网址:
/<
/p>
.
1.7.4
邮件列表
Ethereal
提供几种邮件列表:
&O1548;
Ethereal
通告:告诉你有新的版本发布,每
4-8<
/p>
周发布一次新版本
&O1548;
Ethereal
用户:人们使用
ethereal
时遇到的问题和别人给于地答复
&O1548; Ethereal
开发:如果你想加入
ethereal
开发,加入此列表
你可以到
ethereal
网站订阅这些邮
件列表。建议你再提出问题之前搜索邮件列表,如果找
到答案,就不用再等待别人答复了
!
1.7.5
问题报告
建议:提出问题报告之前,
请先安装最新版本的
ethereal
测试。
< br>
提出问题报告时,建议你提供以下信息,这对解答问题非常有帮助。
&O1548;
您使用的
ethereal
版本号和使用的相关库如
GTK+
等,这些信息你可以使用
ethereal
–
v
获得
&O1548;
&O1548;
详细逐条描述你遇到的问题
&O1548;
如果你得到了一个
e
rror/wanning
错误提示信息,
请拷贝这些信息,<
/p>
并记录。
请不
要给出
的提示信息,这没什么帮助。
注意:
&O1548;
不要发送大文件
(100KB)
在邮件中,
&O1548;
为了您的安全也不要发送包含您敏感信息的问题报告。
1.7.6
liunx/unix
平台崩溃报告
你可以使用以下命令得到崩溃报告信息
$$ gdb `whereis ethereal | cut -f2 -d: |
cut -d' ' -f2` core >&
backtrace
^D
$$
Backtrace
是一个
gdb
命令。
输入后没有回显信息。
^D
是一个
gd
b
结束命令,
输入后你会结
束
gdb,
并在当前目录下形成
< br>文件。此文件包含了
ethereal
崩溃信息。
你应该发送此文件到
:
ethereal-dev@
1.7.7
Windows
平台崩溃报告
Win
dows
不能产生
.pdb
文件,应为
他太大了。你只能自己来描述。
2
编译和安装
ethereal
2.1
介绍
为了使用
ethereal
你必须获得
:
&O1548;
针对你操作系统的应用程序版本
&O1548;
针对你操作系统的源代码
由于支持的
操作系统众多,版本更新也很快,确保你得到的是最新版本。
通常安装步骤为:
&O1548;
下载最新发布版本,应用版本或源代码版本。
&O1548;
编译源代码,产生应用程序,安装必须的各种运行库
&O1548;
安装应用程序
2.2
获得
ethereal
源代码和应用发布版本
你可以在
ethereal
网站得到源代码和应用程序
两个发布版本。你可能发现应用程序版本没
有真对你的平台的,此时你可能需要下在源代
码发布版本,在本地从新编译。
一旦你下在了发布版本,你就可以进行下一步了。
2.3 UNIX
平台编译
ether
eal
之前准备工作
你在编译
ethereal
之前或安装应用发布版本之前。你应该确认以下软件
已经正确安装:
&O1548; GTK+ (The
GIMP Tool Kit)
你可以从
下载
&O1548; Libpcap
你可以从
下载
由于你的平台不同,可能需要安装他们的应用版本如
RPMs<
/p>
,跟多的时候需要源代码进行编
译。
<
/p>
如果你下载了
的源代码,你可以这样安装
GTK+:
gzip -dc gtk+- | tar xvf -
cd
gtk+-1.2.10
./configure
make
make
install
如果你使用的是
liunx,
或者安装了
GNU
tar
。你也可以使用
tar zxvf
gtk+-
。
在很多的
UNIX
平台上可能使用
gunzip -c or gzcat
比
gzip
-db
更好。
如果你使用
windows
平台下在文件,文件名可能是<
/p>
gtk+-1_2_8_
如果你下载了
libpcap
的源代码发布版本。你可以这样来安装:
gzip -dc .Z | tar xvf -
cd
libpcap_0_8_3
./configure
make
make
install
make install-incl
如果使用
RetHat linux 6.2
< br>以后平台,可以使用
RPMs
发布版本安装,如下:
cd /mnt/cdrom/RedHat/RPMS
rpm -ivh
rpm -ivh
rpm -ivh gtk+-
rpm -ivh
gtk+-
rpm -ivh
在
Debian
系统上安装,使用如下命令:
apt-get install ethereal
2.4
UNIX
平台编译
ethereal
源
代码
按照以下步骤编译
Ethere
al
源代码:
1
.拆包
tar zxvf
某些
UNIX<
/p>
平台可能需要这样做:
gzip -d
tar xvf ethereal-0.10.14-tar
2
.更改
ethereal
源代码目
录
3
.编译前自动配置
./configure
4
.编译
make
5
.安装
make install
安装完毕后,就可以键入
ethereal
开始运行了。
2.5
UNIX
平台应用版本安装
通常情况
下不同
UNIX
平台下安装方法都是不同的,例如:
AIX
,需要使用
smit
去安装
ethereal
应用版本,而在
Tru64 UNIX
下,需要使用
setld
来安装。
2.5.1 RedHat
的
RPMs
方式安装
rpm -ivh
如果提示没有相关库,请参考:“如果使用
RetHat
linux 6.2
以后平台。。。”
的安装方式
apt-get
install ethereal
2.6
解决
UNIX
下安装失败问题
如果
configure
命令失败,你需要知道为什么运行失
败。你可以查看源代码目录下
。最后的几行会对你很有帮助。<
/p>
如果你的系统中没有
GTK+
或
libpcap
,或版本不适合,都会引起
configure
失败
.
另一个常见的问题是在编译过程中出现输出过长问题。
这很可能是由于老的
sed
引起的。
< br>你
可以下载最新的
sed
。
/GNU/
。
如果你不能确定是什么问题引起了编译失败,
你可以发送给
ethereal-dev
。
包含
和你认为有用的信息。
2.7
Windows
下源代码的编译
推荐你使用应用发布版本,除非你需要开发。
请到
/Development
得到信息。
2.8 Windows
下
Ether
eal
安装
2.8.1
安装
ethereal
首先获得安装包,
x.y.z
代
表版本号,
例如
0.10.14
。
执行此
文件即可开始进入通行安装画面。不需要特殊配置,按“
next
”键即可完成安装。
2.8.2
升级
ethereal
如果你加入了
ethereal
通告邮
件列表,
你会及时得到
ethereal
新版本发布信息。
升级方法
和安装方法一样。
卸载
ethereal
在控制面板里,添加删除程序里操作。
3
用户操作界面
3.1
介绍
你已经安装了
ethereal
,现在可以开始抓包了。接下
来的几个章节将介绍:
&O1548;
Ethereal
用户操作界面
&O1548;
如何抓包
&O1548;
如何查看数据包
&O1548;
如何配置数据包过滤器
&O1548;
等等
3.2
启动
ethereal
可以通过命令行启动,或者在
windows
开始
-
程序,或桌面快捷方式等。
3.3 ethereal
主界面
<
/p>
下图为
ethereal
用户界面,此图
为你抓取数据包之后或导入数据后的情况。
Ethereal
主窗口有很多的
G
UI
程序组成。
1
.
Menu
主菜单:用于开始各种操作功能
2
.
Main toolbar
常用工具栏:列出了一些
ethereal
使用过程中常用的功能按键
3
.
Filer toolbar
显示过滤器工具栏:用于直接操作和显示过滤器字段
4
.
Packet list
pane
数据包列表窗格:这里显示被抓取数据包列表。点击某个数据包行,
他的具体信息将显示是另外两个窗格里。
5
.
Packet details
pane
数据包信息树窗格:显示在数据包列表窗格里被选中数据包的详
细信息。
6
.
Packet bytes
pane
数据包字节窗格:显示在数据包列表窗格里被选中的数据包字节信
息。在数据包信息树窗格中被点选的高亮部分,此处也会将相对应的字节部分高亮显示。< p>
7
.
Statusbar
状态栏:
显示当前程序的状态或被选数据的状态。
注意:主界面可以被客户根据自己的习惯定制。
3.4
“
The
Menu
”主菜单
主菜单如下图所示:
File
文件
打开或合并抓包文件,部分或全部存储、打印、导出抓包文件,退出
Ether
eal
。
Edit
编辑
查询数据包、设置时间基准、标
记一个或多个数据包、设置参数选项(目前没有实现剪切、
拷贝、粘贴工具)
View
视图
控制被抓取数据包的显示方式,包括:数据包颜色、字体缩放、在新窗口显示数据包、展
开
和收起数据包描述信息树等等
GO
移动
移动到指定数据包位置,比如:
上移一个、下疑一个、到开头、到结尾、到指定的第几个包
等。
Capture
开始、重新开始、停止抓包,抓取过滤器配置。
Analyze
分析
设置显示过滤器,挂接协议解析器,指定解码,跟踪
TCP
数据流等。
Statistics
统计报表
可以弹出各种统计窗口,例
如:被抓取数据包概要窗口,协议层次窗口等。
Help
帮助
包含了基本帮助、支持协议列表
,在线帮助关联,本系统常规介绍。
3.4.1
“
File
”文件菜单
Menu
菜单项目
快捷方式
描述
Open
?
打开?
Ctrl+O
打开查找数据包文件对话框,从中选择您要分析的数据包文件。
Open Recent
最近打开文件
显示最近打开过的数据包文件,并可以点选打开。
Merge
?
合并?
打开查找数据包文件对话框,从中选择数据包文件,将其合并到当前打开的数据
包文件中
。
Close
关闭
Ctrl+W
关闭当前正在分析的数据包文件
---
Save
保存
Ctrl+S
保存当前正在分
析的数据包,如果是新的数据包文件,会弹出一个存储位置
和文件名的对话框。
如果已经保存过,这个按键是灰色的,不可用的。
不能在抓包过程中保存,必须停止抓包后,才可以保存。
Save As
?
另存为?
Shift+Ctrl+S
保存当前正在分析的数据包为另一个数据包文件,会弹出一
个另
存为存储位置和文件名的对话框。
---
File Set >
List Files
文件系
>
文件列表
数据包文件系中的文件列表,会弹出文件列表窗口
File Set >
Next Files
文件系
>
下一个文件
如果目前打开了数据包
文件系中的一个文件,
打开文件系中此文件的下一个文
件。当目
前打开的是文件系中的最后一个或非文件系文件,此按键为灰色,不可用。
File Set >
Previous Files
文件系
>
上一个文件
如果目前打开了数据
包文件系中的一个文件,打开
文件系中此文件的上一个文件。
当
目前打开的是文件系中的第一个或非文件系文件,
此按键
为灰色
,不可用。
---
Exprot >
As
“
Plain
Text
”
file
?
导出
>
普通文本文件?
允许您导出数据包
文件中的一些或全部包信息到一个
ASCII
文本文件。
Exprot >
As
< br>”
PostScript
”
File
?
导出
>
.PS
文件?
允许您导出数据包文件中的一些或全部包信息到一个
PostScript
文件。
Export >
As
“
CSV
”
(Comma Separated Values packet summary
)file
?
导出
>
CSV
电子表格文件?
允许您导出数据包文件中的一些或全部包信息到一个
.CSV
文件
(
Comma Separated
Values packet summary
:用逗号分割数据包值概要),应用于电
子表
格。
Export >
As
“
PSML
”
file
?
导出
>
PSML
文件?
< br>允许您导出数据包文件中的一些或全部包信息到一个
PSML(packet
summary
markup
language
:数据包摘要置标语言
)
XML
文件。
Export >
As
“
PDML
”
file
?
导出
>
PDML
文件?
< br>允许您导出数据包文件中的一些或全部包信息到一个
PDML(packet
details
markup
language
:数据包详细信息置标语言
)
XML
文件。
Export >
Selected Packet
Bytes
?
导出
>
数据包被选字节?
允许您导出数据
包字节窗格中选择的字节,形成一个二进制文件。
---
Print
?
打印?
Ctrl+P
允许您打印数据包文件中的一些或全部包信息。
---
Quit
退出
Ctrl+Q
退出
ethereal
,如果没有存盘,会有存盘提示窗口。
< br>
3.4.2
“
Edit
”编辑菜单
Menu
菜单项目
快捷方式
描述
Find
Packet
?
查找数据包
... Ctrl+F
性和值用于查找您需要的数据包。
Find Next
查找下一个
Ctrl+N
查找符合“查找数据包
...
< br>”条件的下一个数据包。
Find Previous
查找上一个
Ctrl+B
查找符合
“查找数据包
...
”条件的上一个数据包。
< br>
---
Time Reference>
Set Time
Reference
(toggle)
时间基准
>
设置时间基准
(
标记
) Ctrl+T
将当前选择的数据包上设置时间基准
Time Reference>
Find Next
时间基准
>
发现下一个
试图发现下一个设置时间基准的数据包
Time Reference>
Find
Previous
时间基准
>
发现上一个
试图发现上一个设置时间基准的数据包
Mark Packet
(toggle)
标记数据包
Ctrl+M
在被选择的数据包上做记号
Mark
All Packets
标记所有数据包
为数据包文件中的所有数据包做标记
Unmark All Packets
解除所有数据包标记
为数据包文件中的所有数据包解除标记
Preferences
?
选项
Shift+Ctrl+P
弹
出选项配置窗口,
可以设置各种
ethereal
控制参数。
并可以应用
和存储您的配置信息,下次启
用
ethereal
这些配置依然起作用。
3.4.3
“
View
”视图菜单
Menu
菜单项目
快捷方式
描述
Main Toolbar
常用工具栏
钩选此项,显示或隐藏常用工具栏
Filter Toolbar
过滤器工具栏
钩选此项,显示或隐藏过滤器工具栏
Statusbar
状态栏
钩选此项,显示或隐藏状态栏
---
Packet List
包列表窗格
钩选此项,显示或隐藏包列表窗格
Packet Details
包详细信息窗格
钩选此项,显示或隐藏包详细信息窗格
Packet
Bytes
数据包字节窗格
钩选此项,显示或隐藏数据包字节窗格
---
Time Display Format >
Date and Time of Day:
1970-01-01 01:02:03.123456
时间显示格式
>
日期和当天时间:
1970-01-01
01:02:03.123456
选择日期和时间为
eth
ereal
显示格式。
Time
Display Format >
Time of Day:
01:02:03.123456
时间显示格式
>
当天时间:
01:02:03.123456
选择不显示日期,只显示时间为
ethereal
显示格式。
Time Display Format>
Seconds Since Beginning of Capture:
123.123456
时间显示格式
>
从开始抓包到此包到来的秒数:
123.123456
选择从开始抓包到此包到来的秒数为
ethereal
时间显示格式
Time Display
Format>
Seconds Since Previous Packet:
1.123456
时间显示格式
>
1.123456
选择与上一个数据包的时间间隔秒数为<
/p>
ethereal
时间显示格式
Time Display Format >
Automatic (File Format Precision)
时间显示格式
>
自动
(
依据文件显示精度
)
自动分析数据包文件的时间精度,并按此精度显示。
Time Display Format >
Seconds : 0
时间显示格式
>
秒:
0
设置
ethereal
时间现实精度为
1
秒。
Time Display Format >
?
Seconds :
0
?
.
时间显示格式
>
?秒:
0
?
.
设置
ethereal
时间现实精度为
十分之一、百分之一、千分之一、万分之一秒
等
Name Resolution >
Resolve
Name
名称解析
>
解析名称
此项试图解析数据包的地
址信息,使您更容易理解。如主机名,域名
,Mac->IP
等
的解析。
Name Resolution >
Enable for MAC Layer
名称解析
>
MAC
层解析
开启对
MAC
层解析,将
MAC<
/p>
地址解析为容易理解的名字显示。例如:
(e.g. 00:09:5b:01:02:03 ->
192.168.0.1).
(e.g.
00:09:5b:01:02:03
->
Netgear_01:02:03).
(e.g.00:09:5b:01:02:03
->
homerouter)
Name Resolution
>
Enable for
Network Layer
名称解析
>
网络层解析
利用
< br>DNS
服务,将
IP
解析为域名
。
(e.g.65.208.228.223 ->
)
在
IPX
网里,可以解析出
IPX
网名
Name Resolution >
Enable for
Transport Layer
名称解析
>
传输层解析
对应用协议的端口做解析,得到服务类型,如
80->http
等
Colorize Packet
List
数据包列表颜色显示
开启或关闭数据包列表颜色显示
Auto Scroll in Live Capture
实时抓包自动滚动
在实时抓包时,
当新的数据包到来时,
数据包列表自动向上滚动,将最新的数据包显示出来。
---
Zoom In
放大显示
Ctrl++
增大数据包显示字号
Zoom
Out
缩小显示
Ctrl+-
减小数据包显示字号
Normal
Size
正常显示
Ctrl+=
缩放到
100%
的字号
Resize All Columns
重新分配列宽度
按照经验重新分配列宽度
---
Expand Substrees
打开子树
打开数据包信息树窗格里的被选中的信息描述子树。
Expand All
打开全部子树
打开数据包信息树窗格里的全部信息描述子树。
Collapse All
收起全部子树
收起数据包信息树窗格里的全部信息描述子树。
---
Coloring
Rules
数据包颜色规则?
修改数据包颜色规则。
---
Show
Packet
in
New
Windos
在新窗口中显示数据包
打开一个新
窗口显示数据包,此窗口
紧紧包含数据包信息树窗格和字节窗格。
Reload
重新导入
Ctrl+R
允许您重新导入数据包文件
3.4.4
“
GO
”跳转菜单
Menu
菜单项目
快捷方式
描述
Back
后退
Alt+Left
向后跳转到
浏览历史中最近浏览的数据包,
很像
IE
中的历史页面后退
操作。
Forward
前进
Alt+Right
跳转道浏览历史中的下一个浏览的数据包,
很像
IE
中的历史页面
前进操作。<
/p>
Go to
Packet
?
跳转到?
Ctrl+G
弹出窗口输入你想分析的数据包编号,自动定位到此数据包
Go to
Corresponding
Packet
跳转到相关通讯包
跳转到被选协议数据流,相关通讯的数据包。
如果没有符合的数据包,此按键为灰色不可用。
---
First Packet
开头
跳转到数据包文件的第一个数据包
Last Packet
结尾
跳转到数据包文件的最后一个数据包
3.4.5
“
Capture
”抓包菜单
Menu
菜单项目
快捷方式
描述
Interfaces
?
网络接口?
弹出网络接口信息窗口,展示网络接口的工作状态等。
Options
?
抓包选项
Ctrl+K
弹出抓包选
项窗口,
你可以设置各种抓包选项,
可以开始抓包。
Start
开始
立刻开始抓包,并引用上次抓包的选项设置
Stop
结束
Ctrl+E
停止正在进行的抓包过程。
Restart
重新开始
停止正在进行的抓包过程,并再次开始抓包,且引用相同的设置。
Capture Filers
?
抓包过滤器?
弹出窗口,允许您创建和编辑抓包过滤器。
3.4.6
“
Analyze
”分析菜单
Menu
菜单项目
快捷方式
描述
Display
Filters
?
显示过滤器?
弹出窗口,可以创建和修改显示过滤器。
Apply as Filter
>
?
应用为过滤器
?
< br>改变显示过滤器,并立即应用。当前的显示过滤
器字串被替换或追加数据包信息树
窗格中被选的数据包协议特征。
Prepare a
Filter >
?
准备过滤器
>
?
改变显示过滤器,并不立即应
用,做完所有准备
工作后,
一起应用。
当前的显示过滤器字串被替换或追加数据包信息树窗格中被选的数据包
协议特征。
---
Enabled
Protocols
?
使用协议解析器?
Shift+Ctrl+R
弹出窗口,钩选协议解析器。
Decode As
?
解码方式?
允许用户强制
Ethereal
将某些数据包按照指定的协议解析。
< br>
User Specified
Decodes
?
用户指定解码?
列出用户指定的解
码方式,并可以清除这些
解码方式。
---
Follow TCP
Stream
跟作
TCP
流
弹出窗口,显示所选数据包
TCP
连接
的数据流信息。
3.4.7
“
Statistics
”统计报表菜单
Menu
菜单项目
快捷方式
描述
Summary
概要
显示被抓取数据信息概要
Protocol Hierarchy
协议层次
显示协议分层树结构。
Conversations
会话统计
显示所有会话
(
两个终端之间的数据流
)
列表
Endpoints
终端统计
显示所有终端
(
数据流的
to/from
端
)
列表
IO Graphs
IO
图表
显示用户自定义过滤器的图表
---
Conversation
List
会话列表
选在某种协议的会话列表,其实市会话统计窗口中的一部分。
Endpoints
List
终端列表
选在某种协议的终端列表,其实是终端统计窗口中的一部分。
Service Response Time
服务相应时间
显示某个请求和相应回复之间的时间间隔。
----
ANSI ANSI
GSM GSM
Fax T38
Analysis
?
Fax T38
分析?
H.225 H.225
MTP3 MTP3
RTP RTP
SCTP SCTP
SIP SIP
VoIP Calls
?
VoIP
Calls
?
WAP-
WSP
?
WAP-
WSP
?
---- ----
BOOTP-DHCP BOOTP-DHCP
Destinations
目的地址
Flow Graph Flow Graph
HTTP
HTTP
ISUP
Messages ISUP
信息
ONC-RPC
Programs ONC-RPC Programs
Packet
Length
?
数据包大?
Packet
Type
?
数据包类型?
Graph
TCP
数据流图
3.4.8
“
Help
”帮助菜单
Menu
菜单项目
快捷方式
描述
Contents
基础帮助
F1
系统的基本概念介绍和FAQ等信息
Supported Protocols
目前支持协议
显示此版本支持的协议列表
Manual Pages >
?
用户指南
>
?
本地安装的以web方式提供的用户指南
Ethereal Online
?
在线帮助...
关联到
Ethereal
网站的各种在线帮助
----
About Ethereal
关于
Ethereal
介绍
Ethereal
版本、安装目录、插件、作者信息。
3.5
“
Main
”常用工具栏
工具栏
图标
Toolbar
Item
工具栏
按键
对应主菜单
位置
描述
Interfaces
?
网络接口?
Capture >
Interfaces
?
弹出网络接口信息窗口,展示网络接口的工作状态等。
Options
?
抓包
选项?
Capture >
Options
?
弹出抓包选项窗口,你可以设置各种抓包选项,可以开始抓包。
Start
?
开始
Capture >
Start
立刻开始抓包,并引用上次抓包的选项设置
Stop
停止
Capture >
Stop
停止正在进行的抓包过程。
Restart
重新开始
Capture >
Restart
停止正在进行的抓包过
程,并再次开始抓包,且引用相同的设置。
-----
Open
?
打开?
File >
Open
?
打开查找数据包文件对话框,从中选择您要分析的数据包文件。
Save
As
?
另存为?
File >
Save
As
?
保存
当前正在分析的数据包为另一个数据包文件,
会弹出一个另存为存储位置和
文件名的对话框。
Close
关闭
File >
Close
关闭当前正在分析的数据包文件
Reload
重新导入
View
>
Reload
允许您重新导入数据包文件
Print
?
打印?
File >
Print
?
允许您打印数据包文件中的一些或全部包信息。
----
Find
Pecket
?
查找数据包
... Edit >
Find
Packet
?
弹出一个查找对话框,您可以指定很多的数据包属性和值用于查找您需要的数据
包。
Back
后退
Go >
Go Back <
/p>
向后跳转到浏览历史中最近浏览的数据包,很像
IE
中的历史页面后退操作。
Forward
前进
Go >
Go Forward
IE
中的历史页面前进操作。
Go to
Packet
?
跳转到
?
Go >
Go to
Packet
?
弹出窗口输入你想分析的数据包编号,自动定位到此数据包
Go to
First
Packet
开头
Go >
Go
to
First Packet
跳转到数据包文件的第一个数据包
Go to
Last Packet
结尾
Go >
Go to
Last Packet
跳转到数据包文件的最后一个数据包
----
Colorize
数据包列表颜色显示
View >
Colorize
开启或关闭数据包列表颜色显示
Auto Scroll
In Live
Capture
实时抓包自动滚动
View >
Auto Scroll
In Live
Capture
在实时抓包时,
当新
的数据包到来时,
数据包列表自动向上滚动,
将最新的数据包<
/p>
显示出来。
----
Zoom In
放大显示
View >
Zoom
In
增大数据包显示字号
Zoom Out
缩小显示
View >
Zoom Out
减小数据包显示字号
Normal
Size
正常显示
View >
Normal
Size
缩放到
100%
的字号
Resize
Columns
重新分配列宽度
View >
Resize
Columns
按照经验重新分配列宽度
-----
Capture
Filters
?
抓包过滤器?
Capture >
Capture
Filters
?
弹出窗口,允许您创建和编辑抓包过滤器。
Display
Filters
?
显示过滤器?
Analyze >
Display
Filters
?
弹出窗口,可以创建和修改显示过滤器。
Coloring
Rules
?
数据包颜色规则?
View >
Coloring
Rules
?
Preferences
?
选项?
Edit >
Preferences
?
弹出选项配置窗口,可以设置各种
ethereal
控制参数。并可以应用和存储
您的配置信息,下次启用
et
hereal
这些配置依然起作用。
Some Help
基础
帮助
Help >
Contents
系统的基本概念介绍和FAQ等信息
3.6
“
Filter
Toolbar
”显示过滤器工具栏
此工具栏用于编辑和应用显示过滤器。
在之后文本框里您可以输入显示过滤关键词表达式。
如果输入不完整或错误,
此框背景为红
色;
如果输入了正确的显示过滤关
键词表达式,
此框背景自动变为绿色。
修改显示过滤关键
词表达式后,记得按“
Apply
”应用,这
样此显示过滤关键词表达式才会起作用。
文本框后的
下拉按键,会列出使用过的过滤关键词表达式。
中部的
,会弹出显示过滤关键词表达式的编辑窗口。
清除显示过滤关键词表达式,显示所有数据包,并清空显示过
滤关键词表达式文本框。
注意:对于一个大型数据包文件,应
用后,可能会需要一段时间才能显示结果。
3.7
“
Packet
List
”数据包列表窗格
<
/p>
在数据包列表里的每一个行表示数据包文件里的一个数据包。
如果
你选中了其中一行,
那么
此数据包的信息就会显示在“数据包信
息树窗格”和“数据包字节窗格”里。
Ethereal
的高等级协议解析器得到的信息会覆盖掉低等级协议解析器解析的数据信息。例
如:当一个包含
TCP
,
I
P
的以太网数据包被解析时,以太网解析器解析得到数据
(
以太网地
址
)
;会
被
IP
解析器解析得到数据
(IP
地址
)
覆盖;
TC
P
解析器解析得到的数据将覆盖掉
IP
解析器得到的信息,等等。
有很多
列可以显示,在“编辑
-
选项”里自定义那些列被显示。
一般显示一下列:
&O1548;
No.
数据包显示序号,不可修改
&O1548; Time
可以设置各种时间显示格式和精度;
&O1548; Soure
源地址
&O1548;
Destination
目的地址
&O1548; Protecol
协议
&O1548; Info
信息
在数据行上使用鼠标右健,快捷操作菜单出现。
3.8
“
Packet
Details
”数据包信息树窗格
此窗格以树结构显示在数据包列表窗格被选中数据包的协议和字段内容,树可以展开和收
起。在树或分支上使用鼠标右健,快捷操作菜单出现。
某些协议字段将特殊显示,包括:
Genereted fie
lds
生成字段和
Links
关联。<
/p>
Genereted
fields
生成字段
Ethere
al
根据数据包文件其他数据包的上下文分析出来的信息,
例如
TCP
流中的
SEQ
< br>和
ACK
分析,会在此处多显示一个
[SEQ/ACK analysis]
字段。
Links
关联
Ethereal
分析出此包和数据包文件中其他包有关联,显示蓝色带下划线字段
。双击此字段
可以跳转到关联数据包。
3.9
“
Packet
Bytes
”数据包字节窗格
<
/p>
通常使用哈希方式显示数据包字节。
左边显示数据包偏移量,
中间使用十六进制显示数据包,
右边对应现实
ASCII
字符或没有适当的显示。
点击鼠标右键出现快捷菜单。
<
/p>
遇到数据包碎片时,
Ethereal
会
将其组合成一个大的包,添加一个组合包字节显示页面,
如下图:
3.10
“
Statusbar
”状态栏
一般情况下,左边显示上下文信息,右边显示当前数据包数。例如下图显示,在
Ethereal
开始的时候,没有数据包文件被导入的状态:
例如:
左边
显示数据包文件名,
文件大小,
时间信息,
右边显示在此数据包文件里的数据包
数量。
P
:抓取得数据包数
D
:被显示的数据包数
M
:被作过标记的数据包数
例如:如果在“数据包信息树窗格”中选中了某一个字段,状态栏显示如下:左边显示字段
名称和它的字节数。
4
网络数据包实时抓取
4.1
介绍
抓取网络实时数据是
Ethereal
的主要功能。
Ethereal
抓包引擎拥有以下特征:<
/p>
&O1548;
可以在不同类型网络
环境抓包,如
:Ethernet
,
T
oken Ring
,
ATM
?
&O1548;
多种停止抓包触发器:抓
取数据文件大小,抓取时间,抓取数据包数。
&O1548;
抓包同时,显示数据包解码信息
&O1548;
抓包过滤器,帮助减小抓包文件大小。
&O1548;
在抓取巨量数据包时,
可以生成多个文件;
多个数据包文件回滚存储,
紧紧保留最<
/p>
后
N
(用户指定的文件数)个数据包文件
。
Ethereal
抓包引擎还不具
备的功能:
&O1548;
同时抓
取多个网络接口数据(但是可以开多个
Ethereal
,分别
抓取不同网络接口
的数据,之后将其合并)
&O1548;
根据抓取的数据停止抓取
4.2 <
/p>
使用
Ethereal
前的准备工作
开始安装
Ethereal
抓包之前,以下工作必须确认完成:
&O1548;
需要拥有
Root<
/p>
或管理员权限
&O1548;
选择用于抓包的适当网络接口
&O1548;
在网络里选择正确的抓包位置
&O1548;
等等
如果你在安装过程中遇到什么疑问,请先查阅前面关于
ethereal
安装的介绍。
4.3
如何开始抓包?
以下的方法之一都可
以使
ethereal
开始抓包:
&O1550;
点击“
Capture Interfaces
”弹出查看本地网络接口窗口,点击“
Capture
”键
开始抓此网络接口的数据包
。
&O1550;
点击“
Capture Options
”弹出抓包选项窗口,点击“
Start
”按键开始抓包。
&O1550;
如果你已经在抓包选项里设置完毕,你可以直接点击“
Capture
Start
”立刻开始
抓包。
&O1550;
如果你已
经知道了网络接口的名称,也可以使用命令行模式开始抓包:
ethereal -i eth0
–
k
将开始抓去
< br>eth0
接口的数据包
4.4
“
Capture
Interfaces
”抓包网络接口窗口
< br>在主菜单“
Capture
”—“
Interfaces
”,就会弹出“
Capture In
terfaces
”抓包网络接口
窗口。
注意:
此窗口实时的抓取接口数据状态,
随意比较消耗资源。
为了节省资源建议及时
关闭此窗口。此窗口可以同时显示本地多
个网络接口信息,但不能探测远端网络接口。
Item
项目
描述
Description
描述
操作系统网络接口描述
IP
IP
地址
解析网络接口被分配的第一
个
IP
地址。如果没有
IP
地址(例如
DHCP
服务器不
可用),“
unknown
无地址”被显示。如果一个接
口有多个
IP
地址,紧紧显示第一个
I
P.
Packets
数据包数
<
/p>
从打开窗口开始,被抓取数据包数。如果此接口没有抓到数据包,这此
处显示灰色。
Paskets/s
最好一秒数据包数
最后一秒抓到的数
据包数。如果最后一秒没有找到数据包,
此处显示灰色。
Stop
停止
停止抓包
Capture
抓包
立刻使用最后一次抓包设置开始在此接口抓包。
Prepare
准备
打开此接口抓包选项窗口。
Close
关闭
关闭此窗口。
4.5
“
Capture
Options
”抓包选项窗口
点击
主菜单“
Capture
”—“
Opt
ions
”弹出抓包选项窗口。
如果您不能确定某个选项如何设置,
请使用默认选项设置,
大多数情况下默认选项设置可以
使您的抓包顺利进行。您可以设置以
下这些选项。
4.5.1
“
Capture
”抓包常规框
如下图所示为“
Capture
”抓包常规框:
Item
项目
描述
Interface
网络接口
选择用于抓包的网络接口。
仅仅可以选择
E
thereal
探测到的系统的一
个网络接口。
默认显示第一个非
Loopback
接口,
如果没有,
则显示
Lookback
接口。
某些系
统
Lookb
ack
无法用于抓包。
此处功能和命令行里的
–
i
参数一至。
IP
address IP
地址
被选择接
口的
IP
地址,如果没有显示“
”无地
址。
Link-layer
Header type
链路层数据头类型
除非你在很特殊的
网络里,不然不要更改此选项。默认为
“
ethernet
”以太网。
Buffer size:
n megabyte(s)
缓存尺寸:
MB
< br>抓包时的缓存区大小。抓到的数据包会被存在这里直到它被写入磁盘。(仅仅
wi
ndows
平台支持此选项)
Capture packets in
promiscuous mod
混杂模式抓包
允许设置使用混杂模式
抓包。如果你没有选择混杂模式,
Ethereal
仅仅抓取本
机的进出数据包。
Limit each
packet to
n
bytes
包大小限制
设置抓包大小过滤器。如
果不设置,默认为:
65535
,这对绝大多数协
议都适用。一下是几个建议:
&O1548;
如果你不确定,就使用默认值
&O1548;
如果你不需要所有的数据包,例如你仅仅需要
链路层
IP/TCP
头,你可能需要设置
一个小的长度。
&O1548;
在大流量环境中,可以降低
CPU
和缓存占用率。
&O1548;
抓取的数据包不全,有可能你希望抓的数据包被丢弃。
Capture Filter
抓包过滤器
设置抓包过滤器,紧紧抓
去您需要类型的数据包。默认为空,
抓取所有数据包。
你可以点击“
Capture
Filter
”按键,弹出抓包过滤器设置对话框。
4.5.2
“
Capture
File(s)
”数据包文件框
如下图所示为“
Capture
File(s)
”数据包文件框:
Item
项目
描述
File
文件
设置抓取数据包文件名和路径。
也可以点击
“
Browse
?”
打开本地目录树,
制定
数据包文件存储目录。
Use Multiple
files
多文件方式
取代单文件模式存储,可以设置多文件间存储切换触发器。
Next file
Every n
Megabyte(s)
文件大小
当数据包文件达到设置大小时,开始切换到下一个文件存储。单位
可以使
KB,MB,GB
。
Next file
Every n
Minutes(s)
文件时间间隔
间隔指定的时间(如秒,分钟,小时,天)开始切换到下一个文
件。
Ring buffer with n files
文件环
Stop
capture
after
停止抓包
多文件模式下,当下一个文件为指定停止抓包文件数时,停
止抓包。
4.5.3
“
Stop
Capture
?”停止抓包框
如下图所示:
Item
项目
描述
?
after
N
packet(s) N
个数据包之后
当抓取设定的数据包数之后,停止抓包
?
after
N byte
N
个字节之后
当抓包文件达到设定的
字节数(单位:
byte,KB,MB,GB
)后,停止抓
包。
?
after
N
minute N
时间之后
当持续抓包设定时间长度(单位:秒,分钟,小时,天)后,停止抓
包。
4.5.4
“
Display
Options
”显示选型框
如下图所示:
Item
项目
描述
Update list of
packets
In
real
time
实时更新数据包列表窗格
允许在抓包同时,实时更新数据包列表窗格。如果
不选择此项,
抓包过程中不显示数据包列表,直到停止抓包。
Automatic scrolling in
Live
capture
抓包时数据包列表自动滚动。
抓取最新数据包排在列表最后,并显示出来。
Hide capture info
dialog
抓包信息窗口不显示
抓包时不显示抓包信息窗口。
4.5.5
“
Name
Resolution
”名称解析框
如下图所示:
Item
项目
描述
Enable MAC
Name resolution
链路层名称解析
允许将
MAC
地址翻译成名称,如
IP
地址
Enable network
Name resolution
网络层名称解析
允许将网络地址翻译
成名称,例如
IP
地址翻译为域名。
Enable transport
Name
resolution
传输层名称解析
允许将传输端口翻译
成对应的协议名称。如:
80
端口翻
译
成
http
。
4.5.6
“
Buttons
”按键
Start
:设置完毕后,点击此键开始抓包。而且配置信息被保存。
Cancel
:关闭抓包选项窗口,此次作过的配置不会被保存。。
4.6
数据包文件和文件模式
开始抓包的时候,
libpcap
抓包引擎
开始从网络卡上抓取数据包,
并存储在小型内核缓冲区。
这些数
据被
Ethereal
读取,并将其存储在用户指定的数据包文
件里。
数据包被存储到数据包文件中
Ethereal
提供了多种操作方式。
提示:当你存储一个大数据包文件(例如
100MB
)这样
Ethereal
系统会变得缓慢。如果你
计划抓取大量的网络数据,建议使用多文件模式。这样
Ethereal
会将数据包分别存储在多
个小文件里,
Ether
eal
可以很轻松的工作。
Ethe
real
可以保存这些被割裂的
上下文信息,
< br>Ethereal
可以报告上下文问题(如数据流错误)和保留协议关联信息(如
某
个数据包相位偏移,仅仅提供下一个数据包信息,如动态端口协议)。
Ethereal
紧紧分析
导入文件上下文信息,如果
仅仅导入多文件模式的一个文件,上下文信息可能会被被撕裂。
如果一个建立偏移信息保
存在一个文件里,
你可能在另外一个文件里看到它后续包,
你不
可
能通过另外一个文件得到什么有价值的上下文信息。
“
File
”文件选项
“
Use multiple
file
”多文件模式选项
“
Ring buffer with n
files
”
文件循环选项
Mode
模式
Resulting filename(s)
used
产生的文件名
单文件模式
临时存储
XXXX
唯一数字
单文件模式
X
多文件模式,
连续存储
Foo_0001_,
Foo_0002_,
?
.
X X
多文件模式,
循环存储
Foo_0001_,
Foo_0002_,
?
.
Single temporary file
,单文件临时存储。在抓包的时候临时存储和使用,以后可以存储
为用户指定
的文件名。
Single
named
file.
单文件存储。
抓包产生单一文件。当你希望将数据包文件存储在你指定
的某个目录下某个名称时使用。
Multiple
files,Continuous.
多文件模式,
连续存储。
类似单文件存储,
紧紧是当
“
Next
file
every
?”启动用时,产生下一个文件。
Mutliple
files,ring
buffer.
多文件模式,循环存储。类似于多文件连续存
储模式,直到
文件个数达到“
Ring
buffer
with
n
files
”设定的文件个数,新的数据将开始存储在最早
的文件里,
覆盖老数据,
形成存储环路。
这种模式对小磁盘很有帮助,
并且可以保存最近的
数据。
4.7
“
Link-layer header
type
”链接层数据头类型
在通常
情况下,你不必选择链接层类型。接下来的部分介绍一些例外情况。
< br>如果你需要在某些
BSD
版本里抓取
802.11
设备数据,可能会有“
Ethernet
”或“
802.11
”
选项。“
Ethernet
”将使被抓取数据包拥有以太网
数据包头;“
802.11
”将使数据包拥有
< br>IEEE 802.11
数据包头。如果数据包文件需要被一个不支持
802.11
的应用程序读取,你需
要选择“
802.11
”。
如果你使用
Endace DAG
卡连
接到同步串行线抓起数据,这里可能会提供一个“
PPP over
serial
”或“
Cisco
HDLC
”的选项。请根据串行线上的协议来选择。
如果你使用
Endace DAG
卡连
接到
ATM
网抓取数据,这里可能会提供一个“
RFC 1483
IP-over-
ATM
”或“
Sun raw
ATM
”选项。如果数据流是
RFC 1483 LLC-
encapsulated IP
,
SunATM
,
请选择
“
RFC
1483
IP-over-ATM
”
,
其他时候都选择
“
< br>Sun
raw ATM
”。
如果你抓取以太网数据包,这里可能会提供“
Ethernet
”或“
DOCSIS
”选项。如果你要
抓取
得数据流是由
Cisco
Cable
Modem
Termination
System
向以太网输出的
DOCSIS
数据流,必
须选择“
DOCSIS
”,其他时候选择“
Ethernet
”。
4.8
抓包过滤器
Ethereal
抓包过滤器定义使用了
libpca
p
过滤语言。
在
tcpdump
的帮助文档里有详细说明。
你可以去:
/Ca
ptureFilters
查看过滤器例子。
语法:
[not]
元素
[and | or [not]
元素
?
]
例:
Tcp port 23
and host 10.0.0.5
需要抓取所有进出主机
10.0.0.5
的
telnet
(端
口是
23,
TCP
协议)协议数据包
。此例说明
了
and
语法操作。
例:
Tcp port 23 and not host 10.0.0.5
需要抓取除进出主机
10.0.0.
5
之外的所有
telnet
协议数据包
。
元素介绍:
Primitive
描述
[src|dst]
host
允许设定主
机
IP
或名称过滤器。可以使用前缀操作符
src
或
dst
指定此主
机为源地址还是目的地址。
如果没有指定前缀操作符,
则抓取与
此主机相关的所有
数据包。
Ether
[src|dst]
host
允许设置
以太网主机地址
(
MAC
地址)
过滤器。
可以在
ether
和
host
之间随意包含
sr
c|dst
前缀操作符,指定此主机为源地址还是目的地址。如果没有
< br>指定前缀操作符,则抓取与此主机相关的所有数据包。
Gateway
host
设定以此主机为网关的数据包过滤器。即那些以
太网源或目的地址为
此主机以太网地址
(MAC
地址
)
,而
IP
-
-
-
-
-
-
-
-
-
上一篇:有关于描写天气的四字词语
下一篇:实验二 网络抓包及协议分析实验