ethereal汉化版用法.docx
《ethereal汉化版用法.docx》由会员分享,可在线阅读,更多相关《ethereal汉化版用法.docx(52页珍藏版)》请在冰豆网上搜索。
ethereal汉化版用法
ethereal汉化版用法
Ethereal-0.10.14用户手册
UlfLamping,
RichardSharpe,NSComputerSoftwareandServicesP/L
EdWarnicke,
翻译:
VIN
msn:
fy_address@
目 录
1 Ethereal介绍 5
1.1 Ethereal为何物?
5
1.1.1 Ethereal可以帮人们做什么?
5
1.1.2 界面功能 5
1.1.3 实时的从不同网络介质抓取数据包 6
1.1.4 导入来自其它抓包工具的文件 6
1.1.5 为其它抓包工具导出文件 6
1.1.6 丰富的协议解码器 7
1.1.7 开放源代码软件 7
1.1.8 Ethereal不能做什么?
7
1.2 Ethereal运行平台 7
1.2.1 Unix 7
1.2.2 Linux 8
1.2.3 MicrosoftWindows 8
1.3 那里可以得到ethereal?
8
1.4 Ethereal的读法 9
1.5 Ethereal的历史 9
1.6 Ethereal的设计和维护 9
1.7 问题报告和获得帮助 9
1.7.1 Web网站 9
1.7.2 WIKI 10
1.7.3 FAQ 10
1.7.4 邮件列表 10
1.7.5 问题报告 10
1.7.6 liunx/unix平台崩溃报告 11
1.7.7 Windows平台崩溃报告 11
2 编译和安装ethereal 11
2.1 介绍 11
2.2 获得ethereal源代码和应用发布版本 12
2.3 UNIX平台编译ethereal之前准备工作 12
2.4 UNIX平台编译ethereal源代码 13
2.5 UNIX平台应用版本安装 13
2.5.1 RedHat的RPMs方式安装 14
2.5.2 Debian的安装方式 14
2.6 解决UNIX下安装失败问题 14
2.7 Windows下源代码的编译 14
2.8 Windows下Ethereal安装 14
2.8.1 安装ethereal 14
2.8.2 升级ethereal 15
2.8.3 卸载ethereal 15
3 用户操作界面 15
3.1 介绍 15
3.2 启动ethereal 15
3.3 ethereal主界面 15
3.4 “TheMenu”主菜单 16
3.4.1 “File”文件菜单 18
3.4.2 “Edit”编辑菜单 19
3.4.3 “View”视图菜单 21
3.4.4 “GO”跳转菜单 23
3.4.5 “Capture”抓包菜单 24
3.4.6 “Analyze”分析菜单 24
3.4.7 “Statistics”统计报表菜单 26
3.4.8 “Help”帮助菜单 27
3.5 “Main”常用工具栏 28
3.6 “FilterToolbar”显示过滤器工具栏 30
3.7 “PacketList”数据包列表窗格 31
3.8 “PacketDetails”数据包信息树窗格 31
3.9 “PacketBytes”数据包字节窗格 32
3.10 “Statusbar”状态栏 32
4 网络数据包实时抓取 33
4.1 介绍 33
4.2 使用Ethereal前的准备工作 33
4.3 如何开始抓包?
33
4.4 “CaptureInterfaces”抓包网络接口窗口 34
4.5 “CaptureOptions”抓包选项窗口 35
4.5.1 “Capture”抓包常规框 35
4.5.2 “CaptureFile(s)”数据包文件框 36
4.5.3 “StopCapture…”停止抓包框 37
4.5.4 “DisplayOptions”显示选型框 38
4.5.5 “NameResolution”名称解析框 38
4.5.6 “Buttons”按键 39
4.6 数据包文件和文件模式 39
4.7 “Link-layerheadertype”链接层数据头类型 40
4.8 抓包过滤器 40
4.9 抓包状态信息窗口 42
4.9.1 停止抓包 42
4.9.2 重新开始抓取 43
5 数据包文件导入、导出和打印 43
5.1 介绍 43
5.2 “Open”打开数据包文件 43
5.2.1 “OpenCaptureFile”打开数据包文件窗口 44
5.2.2 支持导入文件格式 45
5.3 “SaveAs”存储数据包 45
5.3.1 输出文件格式 46
5.4 “Merging”合并数据包文件 47
5.5 “FileSets”文件系 48
5.6 “Exporting”导出文件 49
5.6.1 “ExportingasPlainTextFile”导出无格式文件 49
5.6.2 “ExportasPostScriptFile”导出PS格式文件 50
5.6.3 “ExportasCSV(CommaSeperatedValues)File”导出CSV(逗号分割)文件 50
5.6.4 “ExportasPSMLFile”导出PSML格式文件 51
5.6.5 “ExportasPDMLFile”导出PDML格式文件 51
5.6.6 “Exportselectedpacketbytes”导出被选择数据包数据 52
5.7 “Printing”打印数据包 53
5.8 “PacketRange”数据包范围窗格 55
6 数据包分析 55
6.1 如何查看数据包 55
6.2 显示过滤器 60
6.3 如何书写显示过滤器表达式 61
6.3.1 显示过滤器字段 61
6.3.2 比较操作的数据类型和操作符 62
6.3.3 组合表达式 62
6.3.4 显示过滤器常见误解 63
6.4 “FilterExpression”过滤器表达式窗口 64
6.5 定义和存储过滤器 65
6.6 搜索数据包 67
6.6.1 “FindPacket”搜索数据包窗口 67
6.6.2 “FindNext”寻找下一个 68
6.6.3 “FindPrevious”寻找上一个 68
6.7 “GO”跳转 68
6.7.1 “GoBack”后退 68
6.7.2 “GoForward”向前 68
6.7.3 “GotoPacket”跳转到 68
6.7.4 “GotoCorrespondingPacket”跳转到相关数据包 69
6.7.5 “GotoFirstPacket”跳到第一个数据包 69
6.7.6 “GotoLastPacket”跳到最后一个数据包 69
6.8 标记数据包 69
6.9 时间显示格式和时间基准点 70
6.9.1 时间显示格式 70
6.9.2 时间基准点 70
7 高级工具 72
7.1 介绍 72
7.2 “FollowingTCPstreams”跟踪TCP数据流 72
7.2.1 TCP数据流跟踪窗口 73
7.3 TimeStamps时间标记 74
7.3.1 Ethereal内部时间格式 74
7.3.2 数据包文件时间格式 74
7.3.3 时间正确性 74
7.4 时区问题 75
7.4.1 什么是时区?
75
7.4.2 为你的计算机设置正确时间 75
7.4.3 Ethereal和时区 76
7.5 数据包重组 76
7.5.1 什么是数据包重组?
76
7.5.2 Ethereal如何实现包重组 76
7.6 名称解析 77
7.6.1 以太网名称解析(MAC层) 77
7.6.2 IP名称解析(网络层) 78
7.6.3 IPX名称解析(网络层) 78
7.6.4 TCP/UDP端口名称解析(传输层) 78
7.7 确保数据完整性 78
7.7.1 Ethereal核对概要 79
7.7.2 硬件里的概要计算和确认 79
8 统计 79
8.1 介绍 79
8.2 “Summary”统计窗口 80
8.3 “ProtocolHierrrchy”协议层次统计窗口 81
8.4 “Endpoint”终端统计 82
8.4.1 Endpoint终端是什么?
82
8.4.2 终端统计窗口 83
8.5 会话统计Conversations 83
8.5.1 什么是会话 83
8.5.2 会话窗口 83
8.6 IO曲线图窗口 85
8.7 服务响应时间统计 86
9 Ethereal客户配置 87
9.1 介绍 87
9.2 定义数据包颜色 87
9.3 控制协议解析器 89
9.3.1 “EnabledProtocols”协议解析开关窗口 89
9.3.2 用户配置解码 90
9.3.3 查看定义的解码方式 91
9.4 参数选择 92
1 Ethereal介绍
1.1 Ethereal为何物?
Ethereal是开源网络数据包分析软件。
数据包分析软件会抓取数据包,并试图逐条详细地显示数据包数据。
你可以认为数据包分析软件是一个用户检查网络数据报文的设备,就像用电压表测量电路电压。
以往数据包分析软件都是非常昂贵的或私有的。
但Ethereal出现以后,这一切都改变了。
Ethereal可能是现在最好的开放源码的数据包分析软件。
1.1.1 Ethereal可以帮人们做什么?
有些人使用ethereal完成以下工作:
&O1548; 网络管理员使用它去充当网络程序故障检修工具
&O1548; 网络安全工程师使用它检查安全软件
&O1548; 开发人员使用它发现协议运行中的bug
&O1548; 很多人使用它监听内网数据
&O1548; 等等
总之,ethereal可以在很多环境里帮助人们。
1.1.2 界面功能
Ethereal操作界面很友善,提供以下功能按键:
&O1548; UNIX和windows下都可以运行
&O1548; 抓取从网络上抓到活动的数据包
&O1548; 真实的显示数据包协议信息
&O1548; 打开和保存被抓取的数据包文件
&O1548; 导入和导出数据包用于和其它抓包软件互动
&O1548; 标准的数据包过滤器
&O1548; 标准的数据包搜索
&O1548; 基于过滤器的数据包彩色显示
&O1548; 创建多种统计报表
&O1548; 等等!
可是你想真正了解它的威力,你必须亲自去使用它!
1.1.3 实时的从不同网络介质抓取数据包
Ethereal可以从网络介质上抓取流过的数据包。
至于网络介质支持的类型,依赖于你使用的操作系统,您可以去这里察看所有被支持的网络介质:
1.1.4 导入来自其它抓包工具的文件
Ethereal可以打开大量其它抓包工具制作的数据包文件,具体支持情况请查看“导入文件格式”
1.1.5 为其它抓包工具导出文件
Ethereal可以将抓取得数据包文件导出,并提供给其它抓包工具使用。
具体支持情况请查看“导出文件格式”。
1.1.6 丰富的协议解码器
Ethereal支持丰富的网络协议解析,具体支持情况请查看“附录B:
协议和协议域”。
1.1.7 开放源代码软件
Ethereal是一个开放源代码软件工程,被GNUGeneralPublicLicence(GPL)发布。
你可以免费的使用ethereal不用考虑软件使用授权问题。
在GPL下有很多的免费开源软件,所以,ethereal加入一个新的协议支持、插件或源代码修改都非常容易。
1.1.8 Ethereal不能做什么?
以下这些功能是ethereal不提供的:
&O1548; Ethereal并不是个IDS入侵监测系统。
当网络上发生某个事情的时候他不会警告你。
当一个网络异常发生的时候,ethereal会帮您描述正在网络发生的问题。
&O1548; Ethereal并不能操作您的网络,它仅仅是一个测量工具。
它不发送数据包或者作其他的主动行动。
1.2 Ethereal运行平台
Ethereal可以运行在很多的UNIX和各种windows平台上运行,它需要一些辅助软件库如:
GTK+,GLib, libpcap,其他一些库。
如果你安装后ethereal无法运行,请可以下在源程序去修正它。
并请将您的使用经历发给:
ethereal-dev@
支持平台如下:
1.2.1 Unix
&S226;AppleMacOSX
&S226;BeOS
&S226;FreeBSD
&S226;HP-UX
&S226;IBMAIX
&S226;NetBSD
&S226;OpenBSD
&S226;SCOUnixWare/OpenUnix
&S226;SGIIrix
&S226;SunSolaris/Intel
&S226;SunSolaris/Sparc
&S226;Tru64UNIX(formerlyDigitalUNIX)
1.2.2 Linux
&S226;DebianGNU/Linux
&S226;GentooLinux
&S226;IBMS/390Linux(RedHat)
&S226;MandrakeLinux
&S226;PLDLinux
&S226;RedHatLinux
&S226;RockLinux
&S226;SlackwareLinux
&S226;SuseLinux
1.2.3 MicrosoftWindows
支持:
&S226;WindowsServer2003/XP/2000/NT4.0
&S226;WindowsMe/98
不支持:
&S226;WindowsCE
&S226;WindowsNT/XPEmbedded
&S226;Windows95isnolongeractivelymaintainedbyWinPcap,butstillmayworkperfectly
没有测试平台:
&S226;WindowsXP64-bitEdition
&S226;WindowsVista(akaLonghorn)
1.3 那里可以得到ethereal?
您可以从下载最新的ethereal版本。
此网站允许您选择多种镜像下载服务器。
每4-8周会发布一个新的ethereal版本。
如果你希望在新版本发布时得到通知,你应该去加入ethereal邮件列表。
“邮件列表”章节有详细地介绍。
1.4 Ethereal的读法
有人把ethereal拆解为:
ethe-real、e-the-real等,你也可以按你喜欢的方式去叫它。
在FQA里给出的是“e-the-real”。
1.5 Ethereal的历史
1997年,GeraldCombs需要一个跟踪网络协议的工具,并想学习更多的网络知识。
他开始开发ethereal。
1998年七月,ethereal推出了0.2.0版本,在那些日子里,补丁、bug报告和鼓励使ethereal走向成功。
不久之后,GilbertRamirez看到了他的潜力,并提供了一个低等级协议分析器给他。
1998年十月,GuyHarris申请加入开发,并提供协议解析器。
1998年底,RichardSharpe加入,并提供TCP/IP框架结构,可以很清晰地看到那些协议被支持,也可以轻松的加入新的协议解析器。
之后,ethereal开始蓬勃发展。
1.6 Ethereal的设计和维护
Ethereal最初是由GeraldCombs设计。
目前它的设计和维护是由EtherealTeam完成。
开放的团队谁都可以修复BUG和提供新功能。
众多的人为Ethereal协议解析器做出了贡献,你可以在“关于Ethereal”里看到众多的提供源代码的人们,或在ethereal作者页也可以看到他们。
你设计将在三个体现出对人们的帮助:
&O1548; 很多人会发现你的设计,并应用它在自己的工作中。
你会发现你帮助了很多人。
&O1548; Ethereal可能会在改善您的设计,或在此之上作更多的上层设计。
&O1548; Ethereal的设计和维护人员会精心的维护您的设计代码,并修改它当API或其他调用变化的时候。
当新版本发布的时候,您的新设计可能就被包含进去了。
1.7 问题报告和获得帮助
如果你对ethereal有一些疑问,或需要帮助,一下这些地方会对你有帮助。
1.7.1 Web网站
在ethereal主站可以找到大量的技术信息。
.
1.7.2 WIKI
在里你可以得到更广泛的帮助信息。
有很都信息是没有被包含在用户手册里的技术细节。
你也可以发表自己的见解,比如你对某一个协议很了解,你可以发表文章。
1.7.3 FAQ
FAQ即常见问题答复。
建议你在提出问题之前,先查阅FAQ很可能找到答案。
网址:
1.7.4 邮件列表
Ethereal提供几种邮件列表:
&O1548; Ethereal通告:
告诉你有新的版本发布,每4-8周发布一次新版本
&O1548; Ethereal用户:
人们使用ethereal时遇到的问题和别人给于地答复
&O1548; Ethereal开发:
如果你想加入ethereal开发,加入此列表
你可以到ethereal网站订阅这些邮件列表。
建议你再提出问题之前搜索邮件列表,如果找到答案,就不用再等待别人答复了!
1.7.5 问题报告
建议:
提出问题报告之前,请先安装最新版本的ethereal测试。
提出问题报告时,建议你提供以下信息,这对解答问题非常有帮助。
&O1548; 您使用的ethereal版本号和使用的相关库如GTK+等,这些信息你可以使用ethereal–v获得
&O1548; 运行平台
&O1548; 详细逐条描述你遇到的问题
&O1548; 如果你得到了一个error/wanning错误提示信息,请拷贝这些信息,并记录。
请不要给出"Igetawarningwhiledoingx"的提示信息,这没什么帮助。
注意:
&O1548; 不要发送大文件(100KB)在邮件中,
&O1548; 为了您的安全也不要发送包含您敏感信息的问题报告。
1.7.6 liunx/unix平台崩溃报告
你可以使用以下命令得到崩溃报告信息
$gdb`whereisethereal|cut-f2-d:
|cut-d''-f2`core>&bt.txt
backtrace
^D
$
Backtrace是一个gdb命令。
输入后没有回显信息。
^D是一个gdb结束命令,输入后你会结束gdb,并在当前目录下形成bt.txt文件。
此文件包含了ethereal崩溃信息。
你应该发送此文件到:
ethereal-dev@
1.7.7 Windows平台崩溃报告
Windows不能产生.pdb文件,应为他太大了。
你只能自己来描述。
2 编译和安装ethereal
2.1 介绍
为了使用ethereal你必须获得:
&O1548; 针对你操作系统的应用程序版本
&O1548; 针对你操作系统的源代码
由于支持的操作系统众多,版本更新也很快,确保你得到的是最新版本。
通常安装步骤为:
&O1548; 下载最新发布版本,应用版本或源代码版本。
&O1548; 编译源代码,产生应用程序,安装必须的各种运行库
&O1548; 安装应用程序
2.2 获得ethereal源代码和应用发布版本
你可以在ethereal网站得到源代码和应用程序两个发布版本。
你可能发现应用程序版本没有真对你的平台的,此时你可能需要下在源代码发布版本,在本地从新编译。
一旦你下在了发布版本,你就可以进行下一步了。
2.3 UNIX平台编译ethereal之前准备工作
你在编译ethereal之前或安装应用发布版本之前。
你应该确认以下软件已经正确安装:
&O1548; GTK+(TheGIMPToolKit) 你可以从www.gtk.org下载
&O1548; Libpcap 你可以从www.tcpdump.org下载
由于你的平台不同,可能需要安装他们的应用版本如RPMs,跟多的时候需要源代码进行编译。
如果你下载了GTK+的源代码,你可以这样安装GTK+:
gzip-dcgtk+-1.2.10.tar.gz|tarxvf-
cdgtk+-1.2.10
./configure
make
makeinstall
如果你使用的是liunx,或者安装了GNUtar。
你也可以使用tarzxvfgtk+-1.2.10.tar.gz。
在很多的UNIX平台上可能使用gunzip-corgzcat比gzip-db更好。
如果你使用windows平台下在文件,文件名可能是gtk+-1_2_8_tar.gz
如果你下载了libpcap的源代码发布版本。
你可以这样来安装:
gzip-dclibpcap-0.8.3.tar.Z|tarxvf-
cdlibpcap_0_8_3
./configure
make
makeinstall
makeinstall-incl
如果使用RetHatlinux6.2以后平台,可以使用RPMs发布版本安装,如下:
cd/mnt/cdrom/RedHat/RPMS
rpm-ivhglib-1.2.6-3.i386.rpm
rpm-ivhglib-devel-1.2.6-3.i386.rpm
rpm-ivhgtk+-1.2.6-7.i386.rpm
rpm-ivhgtk+-devel-1.2.6-7.i386.rpm
rpm-ivhlibpcap-0.4-19.i386.rpm
在Debian系统上安装,使用如下命令:
apt-getinstallethereal
2.4 UNIX平台编译ethereal源代码
按照以下步骤编译Ethereal源代码:
1.拆包
tarzxvfeth
升级会员 