1、Ethereal的使用,ethereal Overview,Etherreal,Etherreal,ethereal安裝,Winpcap的下載安裝 Etherreal下載安裝,winpcap,Download: (當(dāng)前最新的是 3.1beta4 ,正式版本是3.0） http:/winpcap.polito.it/install/default.htm,ethereal,Download： （now release version ：0.10.10 ，support chinese） http:/www. E,ethereal使用指南,User Guide,雙擊啟動(dòng)桌面上ethereal圖 標(biāo)

2、 ，按ctrl+K進(jìn)行 “capture option”的選擇。 選擇 正確的NIC，進(jìn)行報(bào) 文的捕獲。支持 WLan無 線的相關(guān)協(xié)議。,Interface是選擇捕獲接口 Capture packets in promiscuous mode表示是否打開混雜模式，打開即捕獲所有的報(bào)文，一般我們只捕獲到本機(jī)收發(fā)的數(shù)據(jù)報(bào)文，所以關(guān)掉 Limit each packet 表示 限制每個(gè)報(bào)文的大小 Capture files 即捕獲數(shù)據(jù)包的保存的文件名以及保存位置,Capture Options,Ethereal:capture form (nic) driver,capture option確認(rèn)選擇

3、后，點(diǎn)擊ok就開始進(jìn)行抓包 同時(shí)就會(huì)彈出“Ethereal:capture form (nic) driver”，其中(nic)代表本機(jī)的網(wǎng)卡型號(hào)。 同時(shí)該界面會(huì)以協(xié)議的不同統(tǒng)計(jì)捕獲到報(bào)文的百分比 點(diǎn)擊stop即可以停止抓包,在使用“Ethereal:capture form (nic) driver”抓包的同時(shí)，可以通過最小化 or 使用alt+tab的快捷鍵直接切換到 報(bào)文瀏覽的主界面,User Guide,File的下拉菜單,“Open”即打開已存的抓包文件，快捷鍵是crtlQ “Open Recent”即打開先前已察看的抓包文件，類似windows的最近訪問過的文檔 “Merge”字面

4、是合并的意思，其實(shí)是追加的意思，即當(dāng)前捕獲的報(bào)文追加到先前已保存的抓包文件中。 Save和save as即保存 、選擇保存格式。,其中save sa保存為是有個(gè)注意點(diǎn)： 點(diǎn)擊 該展開按鈕即可詳細(xì)選擇保存 路徑 2. File type保存選擇時(shí)注意： 缺省保存為libpcap格式，這個(gè)是linux下的tcpdump格式的文件。只有選擇文件保存格式為sniffer（windowsbase）1.1和2.0都可，ethereal和sniffer才能雙向互相打開對方抓包的文件。否則只有ethereal能打開sniffer的抓包文件。,Sinffer、ethereal可以相互打開對方的文件,File的下

5、拉菜單,Export是輸出的意思 Print 打印 Quit退出,Edit的下拉菜單,Find Packet 就是查詢報(bào)文，快捷鍵是ctrl+F,可以支持不同格式的查找,輸入正確的語句，那么背景為 綠色，語句錯(cuò)誤或缺少背景就為 紅色,Edit的下拉菜單,Find Next是向下查找 Find Preyious是向上查找 Time Reference 字面是時(shí)間參考，使用后明白是 做個(gè)報(bào)文的“時(shí)間戳”，方便大量報(bào)文的查詢,Edit的下拉菜單報(bào)文標(biāo)簽,使用Time Reference標(biāo)簽后，原先time的就變成 “REF”縮寫的標(biāo)記 附注：你可以在多個(gè)報(bào)文間 用時(shí)間戳標(biāo)記，方便 查詢。 通俗點(diǎn)就象

6、書簽一樣。 Mark Packet（toggle）是標(biāo)記報(bào)文 Mark all packets 和 Unamrk all packet即標(biāo)記所有報(bào)文 、取消標(biāo)記所有報(bào)文,Edit的下拉菜單,點(diǎn)擊“preference”進(jìn)行用戶界面的選擇，比如說 報(bào)文察看界面布局的選擇，以及協(xié)議支持的選擇。,View的下拉菜單,Main toolbar 主工具欄 Filter Toolbar 過濾工具欄 Statusbar 狀態(tài)條 Packet list 報(bào)文列表 Packet details 報(bào)文詳解 Packet byte 報(bào)文字節(jié)察看 Time display format 時(shí)間顯示格式（可以顯示年月日時(shí)

7、分秒） Name Resolution 名字解析 Auto scroll in live capture 單看字面真的不好翻譯（自動(dòng)翻卷顯示活動(dòng)的報(bào)文），使用對比一下才獲知：捕獲時(shí)是否跟進(jìn)顯示更新的報(bào)文還是顯示先前的報(bào)文。,View的下拉菜單,Zoom in 字體的放大 Zoom out 字體的縮小 Normal size 標(biāo)準(zhǔn)大小 Resize columns 格式對齊 Collapse all 報(bào)文細(xì)節(jié)內(nèi)容的縮進(jìn) Expand all 報(bào)文細(xì)節(jié)內(nèi)容的展開 Coloring Rules 顏色規(guī)則，即可以對特定的數(shù)據(jù)包定義特定的顏色。 Show packet in new window在新窗口

8、中查看報(bào)文內(nèi)容 Reload 刷新,go的下拉菜單,Back 同樣雙方的上個(gè)報(bào)文 Forward 同樣雙方的下一個(gè)報(bào)文 Go to packet 查找到指定號(hào)碼的報(bào)文 First packet 第一個(gè)報(bào)文 Last packet 最后一個(gè)報(bào)文,capture的下拉菜單,Start 開始捕獲報(bào)文,Interface 接口 捕獲過濾,capture的下拉菜單,capture的Capture filter,捕獲過濾,如果要捕獲特定的報(bào)文，那在抓取packet前就要設(shè)置，決定數(shù)據(jù)包的類型。,FIlter name：任意命名 Filter string： 這里要注意了，這里語法輸 入有點(diǎn)技巧。嘿嘿loo

9、k：。,比如說： a.捕獲 MAC地址為 00:d0:f8:00:00:03 網(wǎng)絡(luò)設(shè)備通信的所有報(bào)文 ether host 00:d0:f8:00:00:03 b.捕獲 IP地址為 網(wǎng)絡(luò)設(shè)備通信的所有報(bào)文 host c.捕獲網(wǎng)絡(luò)web瀏覽的所有報(bào)文 tcp port 80 d.捕獲除了http外的所有通信數(shù)據(jù)報(bào)文 host and not tcp port 80 提示：如果以 默認(rèn)主機(jī)和端口的設(shè)置捕獲 tcp/ip報(bào)文，你將看不到自身的arp報(bào)文。,capture的Capture filter

10、,capture的Capture filter,Filter string 語法輸入的格式,src|dst host ether src|dst host gateway host src|dst net mask |len tcp|udp src|dst port less|greater ip|ether proto ether|ip broadcast|multicast relop ,符號(hào)在Filter string語法中的定義,Equal: eq, = (等于） Not equal: ne, != （不等于） Greater than: gt, （大于） Less Than: lt,

11、 = （大等于） Less than or Equal to: le, = （小等于）,Capture filter的應(yīng)用步驟,Display filters 顯示過濾 可以直接在主界面的filter上選擇,Analyze的下拉菜單,Analyze下的Display filters,正確的語法如下，和“Capture Filter”的語法有所不同： 顯示 以太網(wǎng)地址為 00:d0:f8:00:00:03 設(shè)備通信的所有報(bào)文 eth.addr=00.d0.f8.00.00.03 顯示 IP地址為 網(wǎng)絡(luò)設(shè)備通信的所有報(bào)文 ip.addr= 顯示所有

12、設(shè)備web瀏覽的所有報(bào)文 tcp.port=80 顯示除了http外的所有通信數(shù)據(jù)報(bào)文 ip.addr= & tcp.port!=80,Analyze的下拉菜單,Enable protocols 是否啟用該協(xié)議的解析， 點(diǎn)選該協(xié)議后，相關(guān)的上 層協(xié)議才能顯示出來。,Analyze的下拉菜單,Decode As 用戶定義報(bào)文協(xié)議說明 User Specified Decodes 用戶修改的報(bào)文編譯,Analyze的Decode As,Decode As 用戶定義報(bào)文協(xié)議說明 通過定義后，數(shù)據(jù)包細(xì)節(jié)的窗口解釋：原先是 tcp的解釋，更改就直接顯示ss

13、l格式的報(bào)文了。,Analyze的follow tcp stream,好戲來了（follow tcp stream）,在 瀏覽器中 敲入 同時(shí)ctrlk 開始抓包，嘿嘿 -,嘿嘿，看到你了。在packet detail的窗口里 安祥的躺著 decelopment.html報(bào)文。 小樣，抓到你了。,Analyze的follow tcp stream,在 packet detail 窗口中選擇這個(gè)報(bào)文（ decelopment.html報(bào)文）點(diǎn)擊右鍵 選擇 “ follow tcp stream”,Analyze的follow tcp stream,這就是 follow tcp stream窗口，

14、然后全選 ，在ctrlc， 打開 記事本，ctrlv，另存為 1.html。最后雙擊該文件。后面我什么都不知道了。 這只是 ethereal強(qiáng)大功能其中的一個(gè)小技巧,Statistics 顧名思義 統(tǒng)計(jì) 就是相關(guān)的報(bào)文的統(tǒng)計(jì)信息,Statistics的下拉菜單,Summmary 報(bào)文的詳細(xì)信息 Protocol hierarchy 協(xié)議層 即各協(xié)議層報(bào)文的統(tǒng)計(jì) Conversations 顯示該會(huì)話報(bào)文的信息 （雙方通信的報(bào)文信息） endpoints 分別顯示單方的報(bào)文信息 IO Graphs 報(bào)文通信的心跳圖（翻譯的比較蹩腳）,Statistics的下拉菜單,Summmary 報(bào)文的詳細(xì)信息,Protocol hierarchy 協(xié)議層 即各協(xié)議層報(bào)文的統(tǒng)計(jì),Statistics的下拉菜單,Conversa