图文教学 ethereal网络协议分析软件(1)

图文教学 ethereal网络协议分析软件(1)

在我们不断地对网络协议进行学习的过程中，应该对网络协议分析软件有所了解。那么这里我们则重点结婚扫的是ethereal网络协议分析软件。ethereal网络协议分析软件可以用来从网络上抓包,并能对包进行分析.下面介绍windows 下面ethereal 的使用方法。

安装

1）安装winpcap,下载地址http://netgroup-serv.polito.it/winpcap/install/Default.htm 2）安装ethereal ,下载地址http://www.ethereal.com/

使用windows 程序,使用很简单.

启动ethereal 以后,选择菜单Capature->Start ,就OK 了.当你不想抓的时候,按一下stop, 抓的包就会显示在面板中,并且已经分析好了.

下面是一个截图:

ethereal网络协议分析软件使用－capture选项

nterface: 指定在哪个接口网卡）上抓包.一般情况下都是单网卡,所以使用缺省的就可以了Limit each packet: 限制每个包的大小,缺省情况不限制

Capture packets in promiscuous mode: 是否打开混杂模式.如果打开,抓取所有的数据包.一般情况下只需要监听本机收到或者发出的包,因此应该关闭这个选项.Filter:过滤器.只抓取满足过滤规则的包可暂时略过） File:如果需要将抓到的包写到文件中,在这里输入文件名称.use ring buffer: 是否使用循环缓冲.缺省情况下不使用,即一直抓包.注意,循环缓冲只有在写文件的时候才有效.如果使用了循环缓冲,还需要设置文件的数目,文件多大时回卷

其他的项选择缺省的就可以了

ethereal的抓包过滤器

抓包过滤器用来抓取感兴趣的包,用在抓包过程中. 抓包过滤器使用的是libcap 过滤器语言,在tcpdump 的手册中有详细的解释,基本结构是: [not] primitive [and|or [not] primitive ...]

个人观点,如果你想抓取某些特定的数据包时,可以有以下两种方法,你可以任选一种, 个人比较偏好第二种方式:

1、在抓包的时候,就先定义好抓包过滤器,这样结果就是只抓到你设定好的那些类型的数 据包;

2、先不管三七二十一,把本机收到或者发出的包一股脑的抓下来,然后使用下节介绍的显 示过滤器,只让Ethereal 显示那些你想要的那些类型的数据包;

etheral网络协议分析软件的显示过滤器重点内容）

在抓包完成以后,显示过滤器可以用来找到你感兴趣的包,可以根据1)协议2)是否存在某个域3)域值4)域值之间的比较来查找你感兴趣的包.

举个例子,如果你只想查看使用tcp 协议的包,在ethereal 窗口的左下角的Filter 中输入tcp, 然后回车,ethereal 就会只显示tcp 协议的包.如下图所示: