数据包捕获与分析

的捕获接口

图

1-1 Capture Interfaces

打开

Ethereal

，在菜单

Capture

下点击

Interfaces

，

选取要抓包的网卡，

这里选取

地址为

172.20.12.47

的所在本主机的网卡抓取数据包，接口选择

Broadcom NetXtreme

Gigabit Ethernet Driver (Microsoft's Packet Scheduler)

如图

1-1

：

3.

设置

Ethereal

的捕获过滤器

在配置完捕获接口以后，我们可以设置相应的捕获 数据包的过滤规则，就可以捕获到

我们感兴趣的数据包。首先单击“Edit”选单，然后选择“Capture Filters...”菜单项，

打开“Edit Capture Filter List”对话框（如图

1-2

所示）

。因为此时还没有添加任何过

滤规则，因而该对话框右侧的列表框是空的。

图

1-2

Ethereal

过滤器配置对话框

在

Ethereal

中添加过滤器时，需要为该过滤器指定名字及规则。例如，要在主机

172.20.12.47

和

172. 20.12.48

间创建过滤器，可以在“Filter name”编辑框内输入过滤

规则的名字“

1

”，在“Filter string”编辑框内输入过滤规则“host

172.20.12.47 and

172.20.12.48

”

，

然

后

单

击

按

钮

即

可

，

可

以

获

到

在

主

机

172.20.12.47

和

172.20.12.48

之间传输的数据包，如图

1-3

所示。

图

1-3

为

Ethereal

添加一个过滤器

当所有需要的过滤器都创建好后，单击“Save”按 钮保存创建的过滤器，然后单击

“Close”按钮来关闭“Edit

Capture

Filter

Li st”对话框。要将过滤器应用于嗅探过程，

需要在截获数据包之前或之后指定过滤器。 要为嗅探过程指定过滤器，并开始截获数据包，

可以单击“Capture”选单，选择 “Start...”选单项，打开“Capture Options”对话框，

单击 该对话框中的“Filter:”按钮，然后选择要使用的过滤器，如图

1-4

所示。

图

1-4

为

Ethereal

指定过滤器

对图

1-4

中的术语进行如下解释：

Interface:

这个字段指定在哪个 接口进行捕获。

这是一个下拉字段，

只能从中选择

Ethereal

识别出来的接口，默认是第一块支持捕获的非

loopback

接口卡。如果没有接口卡，那么第

一个默认就是第一块

loopback

接口卡。在某些系统中，

loopback

接口卡不能用来捕获

（

loopback

接口卡在

Wind ows

平台是不可用的）

IP < /p>

address

（

IP

< br>地址）

:

所选接口卡的

IP

地址。

如果不能解析出

IP

地址，

则显示

Link-layer header type

（链路层头类 型）

:

除非你在极个别的情况下可能用到这个

< br>字段，大多数情况下保持默认值。

Buffer size: n megabyte(s)

（缓冲区大小：

n

兆）

:

输入捕获时使用的

buffer

< br>的

大小。这是核心

buffer

的大小，捕获的数据首先保存在这里，直到写入磁盘。如果遇到包丢

失的情况，增加这个 值可能解决问题。

Capture packets in promiscuous mode

（在混杂模式捕获包）

:

这个选项允许设

置是否将网卡设置在混杂模式。如果不指定，

Ethereal

仅仅捕获那些进入你的计算机的或送

出你的计算机的包。

(

而不是

LAN

网段上的所有包

).

Limit each packet to n bytes

（限制每一个包为

n

字 节）

:

这个字段设置每一

个数据包的最 大捕获的数据量。

有时称作

snaplen

。

如果

disable