-
使用
Ethereal
分析协议数据包
一、
Ethereal
:网络数据嗅探器软件
Ethereal
是
当
前
较
为
流
< br>行
的
一
种
计
算
机
网
络
调
试
和
数
p>
据
包
嗅
探
软
件
。
Etherea
l
基
本
类
似
于
tcpdump
,
< br>但
Ethereal
还具有设计完美的
GUI
和众多分类信息及过滤选项。用户通过
Ethereal
p>
,同时将网卡插入混合模式,可以
查看到网络中发送的所有通信流量
。
Ethereal
应用于故障修复、分析、软件和协议开发以
及教育领域。它具有用户对协议分析器所期望的所有标
准特征,并具有其它同类产品所不
具备的有关特征。
Ethereal
是一种开发源代码的许可
软件,允许用户向其中添加改进
方案。
Ethereal
适用于当前所有较为流行的计算机系统,包括
Unix
、
Linux
和
Windows
。
Ethereal
主要具有以下特征:
在实时时间内,从现在网络连接处捕获数据,或者从被捕获文件处读取数据;
Ethereal
可以读取从
tcpdump
(
libpcap
)
、
网络通用嗅探器
(被压缩和未被压缩)
、
SnifferTM
专业版
、
Ne
tXrayTM
、
Sun snoop
和
atmsnoop
、
Shomiti/Finisar
测试员、
AIX
的
iptrace
、
Microsoft
的网络监控器、
Novell
的
LANalyzer
、
RADCOM
的
WAN/LAN
分析器、
ISDN4BSD
项目的
HP-UX nettl
和
i4btrace
、
Cisco
安全
IDS iplog
和
pppd
日志
(
pppdump
格式)
、
WildPacket
的
EtherPeek/TokenPeek/AiroPeek
或者可视网络的可视
UpTime
处捕获的文件。此
外
Ethereal
也能从
Lucent/Ascend
WAN
路由器和
Toshiba ISDN
路由器中读取跟踪报告
,
还能从
VMS
的
TCPIP
读取
输出文本和
DBS
Etherwatch
。
从以太网、
FDDI
、
PPP
、令牌环、
IEEE
802.11
、
ATM
上的
IP
和回路接口(至少是某些
系统,不是所有系统都
支持这些类型)上读取实时数据。
通过
GUI
或
TTY
模式
tethereal
程序,可以访问被捕获的网络数据。
通过
editcap
程序的命令行交换机,有计划地编辑或修改被捕获文件。
当前
602
协议可被分割。
输出文件可以被保存或打印为纯文本或
PostScript?
格式。
通过显示过滤器精确显示数据。
显示过滤器也可以选择性地用于高亮区和颜色包摘要信息。
所有或部分被捕获的网络跟踪报告都会保存到磁盘中。
二、用
Ethereal
分析协议数据包
Ethereal
是一个
图形用户接口(
GUI
)的网络嗅探器,能够完成与
Tcpdump
相同的功能,但操作界面要友好
很
多。
Ehtereal
和
Tcpdum
p
都依赖于
pcap
库(
libpcap
),因此两者在许多方面非常相似(如都使用相同的过滤规则
和关键字)
。
Ethereal
和其它图形化的网络嗅探器都使用相同的界面模式,如果能熟练地使用
Ethereal
,那么其它图形
用户界面的嗅探器基本都可以
操作。
Ethereal
的安装
在
网站上可
以下载到最新的
Ethereal
源码包。
下面以
Ethereal 0
.9.9
为例,讲述如何安装
Ethereal
,此处使用的操作系统是
Red Hat
8.0
。
首先下载最新的源码包,并将其解压缩:
# cp 2 /usr/local/src/
# cd /usr/local/src/
# bzip2 -d 2
# tar xvf
同
Tcpdump
一样,在编译
Ethereal
之前应先确定已经安装
pcap
库
p>
(
libpcap
)
,这是编译
Ethereal
时所必需的。
< br>如果该库已经安装,就可以执行下面的命令来编译并安装
Ethereal
:
# cd
ethereal-0.9.9
#
./configure
# make
# make install
设置
Ethereal
的过滤规则
p>
当编译并安装好
Ethereal
后,就可以执行
“
ethereal
”
命令来启动
Et
hereal
。在用
Ethereal
截获数据包之前,应该
为其设置相应的过滤规则,可以只捕获感兴趣的数据包。
Ethereal
使用与
Tcpdump
相似的过滤规则,并且可以很方便
地存储已经设置好的过滤规则
。
要为
Ethereal
配置过滤规则
,
首先单击
“Edi
t”
选单
,
然后选择
< br>“Capture
Filters...”
菜单项,
打开
“Edit
Capture Filter
List”
对话框(如图
p>
1
所示)。
因为此时还没有添加任何过滤规则,因而该对话框右侧的列表
框是空的。
在
Ethereal
中添加过滤器时,需要为该过滤器指定名字及规则。例如,要在主
机
10.1.197.162
和
间
创
建
过
滤器
,
可
以在
“Filter
name”
编
辑框
内
输
入过
滤器
名
字
“sohu”
,
在
“Filter<
/p>
string”
编
辑
框内
输
入
过滤
规
则
“host
10.1.197.162 and
”
,然后单击
“New”
按钮即可,如图
2
所示。
在
Ethereal
中使用的过滤规则和
Tcpdump
几乎完全一致,这是因为两者都基于
< br>pcap
库的缘故。
Ethereal
< br>能够
同时维护很多个过滤器。网络管理员可以根据实际需要选用不同的过滤器,这
在很多情况下是非常有用的。例如,一个
过滤器可能用于截获两个主机间的数据包,而另
一个则可能用于截获
ICMP
包来诊断网络故障。
当
所
有
需
要
的
过
滤
器
都
创
建
好
后
,<
/p>
单
击
“Save”
按
钮
保
存
创
建
的
过
滤
p>
器
,
然
后
单
击
“Close”
按
钮
来
关
闭
p>
“Edit
Capture Filter
List”
对话框。要将过滤器应用于嗅探过程,需要在截获数据包之前或之后指定
过滤器。要为嗅探过
-
-
-
-
-
-
-
-
-
上一篇:形容秋天天空的词语
下一篇:photoscan导入ContextCapture