Ethereal使用说明资料.docx
《Ethereal使用说明资料.docx》由会员分享,可在线阅读,更多相关《Ethereal使用说明资料.docx(14页珍藏版)》请在冰豆网上搜索。
Ethereal使用说明资料
Ethereal使用说明
1.工具认识
Ethereal是一款绿色版的网络抓包、报文分析工具,不需要安装,但是要装WinPcap。
安装过程简单这里就不做说明。
Ethereal:
WinPcap:
2.报文抓取
点击工具栏中最左边的第二个图标“Showthecaptureoptions”
进入界面如下:
1
3
2
三个地方需要设置:
①Interface,选择自己电脑的网卡。
②CaptureFilter,在里面设置抓取过滤条件,如host222.111.112.215就是只抓取有这个ip地址参与的报文交互。
其他过滤规则在下文Ethereal使用详细说明中有介绍。
③DisplayOptions,前两个选中,在抓取的过程中可以查看报文信息。
设好了点Start,弹出界面如下,停止抓包点击stop。
3.报文查看
Filter内可以输入过滤规则,常用的语句有mms、ip.addr==222.111.112.5等,同时过滤多个规则可以使用&&合并,如下图。
mms是最常用的的过滤规则,直接过滤出mms报文,我们要查看的有用的信息都在mms类报文内。
其他过滤规则在下文Ethereal使用详细说明中有介绍。
4.Ethereal使用详细说明
4.1界面菜单介绍
本节将逐个介绍Ethereal各菜单项的功能:
4.1.1“File”菜单
图4-1“File”拉菜单
图4-1“File”菜单。
其中:
“Open”即打开已存的抓包文件;
“OpenRecent”即打开近期已察看的抓包文件,类似windows的最近访问过的文档;
“Merge”字面是合并的意思,其实是追加的意思,即当前捕获的报文追加到先前已保存的抓包文件中。
“Save”和”saveas”即保存、选择保存格式。
“FileSet”用于Ethereal当前打开的多个文件前后切换,以及各文件的基本属性描述。
“Export”是输出的意思。
“Print”打印。
“Quit”退出。
4.1.2“Edit”菜单
图4-2“Edit”下拉菜单
图4-2“Edit”菜单。
其中:
“FindPacket”用于查询报文,可以支持不同格式的查找,输入正确的语句,那么背景为绿色,语句错误或缺少背景就为红色,具体的过滤语法格式在下面会做说明。
图4-3“FindPacket”操作界面
“FindNext”是向下查找
“FindPreyious”是向上查找
“TimeReference”字面是时间参考,实际用于做报文的“时间戳”,方便大量报文的查询。
使用TimeReference标签后,原先time的就变成“REF”缩写的标记。
可以在多个报文间用时间戳标记,方便查询。
就像书签一样。
图4-4使用“TimeReference”后出现的时间戳“REF”
“MarkPacket(toggle)”是标记报文
“Markallpackets”和“Unamrkallpacket”即标记所有报文、取消标记所有报文
“preference”用于用户界面的选择,比如说报文察看界面布局的选择,以及协议支持的选择。
4.1.3“View”菜单
图4-5“View”下拉菜单
图4-5“View”下拉菜单,其中:
“Maintoolbar”是主工具栏。
“FilterToolbar”过滤工具栏。
“Statusbar”状态条。
“Packetlist”报文列表。
“Packetdetails”报文详解。
“Packetbyte”报文字节察看。
“Timedisplayformat”时间显示格式(可以显示年月日时分秒)。
“NameResolution”名字解析。
“Autoscrollinlivecapture”捕获时是否跟进显示更新的报文还是显示先前的报文。
“Zoomin”字体的放大。
“Zoomout”字体的缩小。
“Normalsize”标准大小。
“Resizecolumns”格式对齐。
“Expandall”报文细节内容的展开。
“Collapseall”报文细节内容的缩进。
“ColoringRules”颜色规则,即可以对特定的数据包定义特定的颜色。
“Showpacketinnewwindow”在新窗口中查看报文内容。
“Reload”刷新。
4.1.4“Go”菜单
图4-6“Go”下拉菜单
图4-6下拉菜单中:
“Back”同样Source和Destination的上个报文。
“Forward”同样Source和Destination的下一个报文。
“Gotopacket”查找到指定号码的报文。
“Firstpacket”第一个报文。
“Lastpacket”最后一个报文。
4.1.5“Capture”菜单
图4-7“Capture”下拉菜单
“Capture”下拉菜单包括了与报文抓捕相关选项,分别介绍。
4.1.5.1Interface选项
“Interface”运行界面如图3-1,用于显示Ethereal运行机的各个网卡报文收发情况,单击“Capture”按钮,即开始捕获所选网卡的收发数据。
4.1.5.2Option选项
Option选项的运行界面如图3-2所示。
Capture框内的Interface选项用于选择待抓捕报文的网卡,当计算机具有多个活动网卡时,需要选择其中一个用来发送或接收分组的网络接口,下方的IPaddress会对应显示所选网卡所设置的IP地址;
Limiteachpacket:
限制每个包的大小,缺省情况不限制。
Capturepacketsinpromiscuousmode:
是否打开混杂模式。
假如打开,抓取任何的数据包。
一般情况下只需要监听本机收到或发出的包,因此应该关闭这个选项。
CaptureFilter用于设置抓捕过滤规则,如果要捕获特定的报文,那在抓包前就要对应设置过滤规则,决定数据包的类型。
设置过滤规则有两种途径:
选择capturefilter,进入图4-8所示界面,手工创建的模板,也可以直接在captureoptions的capturefilter的输入框中直接输入规则。
捕获过滤的语法输入在4.2节做详细说明。
File:
假如需要将抓到的包写到文档中,在这里输入文档名称。
useringbuffer:
是否使用循环缓冲。
缺省情况下不使用,即一直抓包。
注意,循环缓冲只有在写文档的时候才有效。
假如使用了循环缓冲,还需要配置文档的数目,文档多大时回卷。
其他的项选择缺省的就能够了。
设置完成后单击“Start”开始报文抓捕。
图4-8CaptureFilter界面
4.1.5.3Start选项
选择Start,即开始报文抓捕,正常运行报文抓捕界面如下:
但需要注意:
Start选项执行的前提是已经进行了抓捕设置(主要是选择了待监视网卡),否则执行Start会弹出出错提示。
4.1.5.4Stop和Restart选项
Stop选项停止正在进行的抓捕;Restart选项再次执行和上次相同设置的抓捕。
4.1.5.5CaptureFilters选项
CaptureFilterde用来设置抓捕过滤原则。
4.1.6“Analyze”菜单
Analyze菜单中包括了很重要的显示过滤器功能DisplayFilters,这部分功能在4.3节做详细介绍。
EnabledProtocols选项用来选择是否启用该协议的解析,点选该协议后,相关的上层协议才能显示出来。
其它功能使用较少,不作介绍
4.1.7“Statistics”菜单
Statistics顾名思义,就是捕获报文的统计信息。
4.1.8“Help”菜单
Help包含了帮助信息,同时也可以查看支持的协议。
4.2Ethereal的抓包过滤器
抓包过滤器(FilterString)语法输入格式如下:
[src|dst]host
ether[src|dst]host
gatewayhost
[src|dst]net[{mask}|{len}
[tcp|udp][src|dst]port
Less|greater
Ip|etherproto
Ether|ipbroadcast|multicast
举例常用过滤规则如下:
1.捕获MAC地址为00:
d0:
f8:
00:
00:
03网络设备通信的所有收发报文
etherhost00:
d0:
f8:
00:
00:
03
2.捕获IP地址为192.168.10.1网络设备通信的所有收发报文
host192.168.10.1
3.捕获端口为80(网络web浏览)的所有收发报文
tcpport80
4.捕获192.168.10.1除了http外的所有通信数据报文
host192.168.10.1andnottcpport80
4.3Ehtereal的显示过滤器
在抓包完成以后,显示过滤器能够用来找到您感兴趣的包,能够根据设定规则来查找您感兴趣的包。
举个例子,假如您只想查看使用http协议的包,在ethereal窗口的左下角的Filter中输入http,回车确认,ethereal就会只显示http协议的包。
如下图所示:
图4-9Ethereal显示过滤
“DisplayFilter”的语法和“CaptureFilter”的语法有所不同:
常用的显示过滤器输入如下:
Ø显示以太网MAC地址为00:
d0:
f8:
00:
00:
03设备通信的所有报文:
eth.addr==00.d0.f8.00.00.03
Ø显示IP地址为192.168.10.1网络设备通信的所有报文 :
ip.addr==192.168.10.1
Ø显示所有设备web浏览的所有报文:
tcp.port==80
Ø显示192.168.10.1除了http外的所有通信数据报文:
ip.addr==192.168.10.1&&tcp.port!
=80
使用小技巧:
只有在Filter的背景颜色是绿色时,才证明设定的Filter是合乎规则的;如果显示为红色,则说明设定的Filter是不符合规范的,须修改。
4.4Ethereal抓包文件的存储
Ethereal抓包文件的存储有两种方法,对于短时捕获报文,直接通过File->Save/SaveAs存储,下图对“Save”和“SaveAs”界面需要注意的地方进行了标识。
图4-10“Save”和“SaveAs”标识说明
在某些情况下需要长时间抓捕报文,这时可以通过预先设置报文的存储路径及名称、存储文件的数目以及文件多大时存储结束、进而转入下一文件存储。
下面图示说明.
图4-11多文件存储标识说明
要进行多文件存储监视,首先要选中CaptureFile(s)框内的Usemultiplefiles开关按钮,进入多文件存储监视状态。
接下来设置相关参数:
Nextfileevery用来设定单个存储文件的大小(K/M/G);Nextfileevery用来设定单个存储文件对应最长的监视时间(sec/min/hour/day),(注意这两个选项后需要选择数据单位),该两项至少选中一项,用作单个存储文件的存储结束判据。
Ringbufferwith设定循环存储的最大文件数,当存储子文件数目达到该设定值后,新生成的文件将覆盖最初的文件。
Stopcaptureafter设定存储结束判据,当存储子文件数目达到该设定值后,抓捕结束。
实际应用可以根据个人需求,选择循环存储或抓捕一段时间结束。
图4-11设置的参数表示:
文件存储在C:
\根目录下,子文件名以Control扩展(例如:
Control_00001_20080430094732),单个存储子文件在大小达到20M或抓捕时间达到5分钟后结束,转入下一子文件存储,当存储子文件数达到200个时,抓捕结束。
5.注意事项
1.交换机工作在MAC层,对于点对点的报文,如UDP报文点对点、TCP报文等报文中指定了目标MAC地址,如果该MAC地址对应的装置工作正常,交换机能记录该MAC所接的端口,所以发送时只会向该端口发送。
这样,在交换机的其它网口监视不到这些报文。
如果需要监视这些报文,需要使用hub连接,hub工作在物理层,所以接收到的报文直接向所有端口发送;也可设置交换机的镜像功能,将需要监视的端口的报文镜像到监视的计算机连接的端口上。
升级会员 