《网络监听工具Ethereal使用说明》由会员分享,可在线阅读,更多相关《网络监听工具Ethereal使用说明(16页珍藏版)》请在金锄头文库上搜索。
1、网络监听工具网络监听工具 Ethereal 使用说明使用说明1.1Ethereal 简介简介Ethereal 是一款免费的网络协议分析程序,支持 Unix、Windows。借助这个程序,你既可以直接从网络上抓取数据进行分析,也可以对由其他嗅探器抓取后保存在硬盘上的数据进行分析。你能交互式地浏览抓取到的数据包,查看每一个数据包的摘要和详细信息。Ethereal 有多种强大的特征,如支持几乎所有的协议、丰富的过滤语言、易于查看 TCP 会话经重构后的数据流等。它的主要特点为:支持 Unix 系统和 Windows 系统在 Unix 系统上,可以从任何接口进行抓包和重放可以显示通过下列软件抓取的包t
2、cpdumpNetwork Associates Sniffer and Sniffer ProNetXrayShomitiAIXs iptraceRADCOM & RADCOMs WAN/LAN AnalyzerLucent/Ascend access productsHP-UXs nettlToshibas ISDN routersISDN4BSD i4btrace utilityMicrosoft Network MonitorSun snoop将所抓得包保存为以下格式:libpcap (tcpdump)Sun snoopMicrosoft Network MonitorNetwork
3、Associates Sniffer可以根据不同的标准进行包过滤通过过滤来查找所需要的包根据过滤规则,用不同的颜色来显示不同的包提供了多种分析和统计工具,实现对信息包的分析图图 1-1 Ethereal 抓包后直观图抓包后直观图图 1 是 Ethereal 软件抓包后的界面图,我们可以根据需要,对所抓得包进行分析。另外,由于 Ethereal 软件的源代码是公开的,可以随意获得,因此,人们可以很容易得将新的协议添加到 Ethereal 中,比如新的模块,或者直接植入源代码中。1.2Ethereal 支持的网络协议支持的网络协议Ethereal能对很多协议进行解码,它支持几乎所有的协议,如AAR
4、P, AFS, AH, AIM, ARP, ASCEND, ATM, AUTO_RP, BGP, BOOTP, BOOTPARAMS, BROWSER, BXXP, CDP, CGMP, CLNP, CLTP, COPS, COTP, DATA, DDP, DDTP, DEC_STP, DIAMETER, DNS, EIGRP, ESIS, ESP, ETH, FDDI, FR, FRAME, FTP, FTP-DATA, GIOP, GRE, GVRP, H1, H261, HCLNFSD, HSRP, HTTP, ICMP, ICMPV6, ICP, ICQ, IGMP, IGRP, IL
5、MI, IMAP, IP, IPCOMP, IPCP, IPP, IPV6, IPX, IPXMSG, IPXRIP, IPXSAP, IRC, ISAKMP, ISIS, ISIS_CSNP, ISIS_HELLO, ISIS_LSP, ISIS_PSNP, ISL, IUA, KERBEROS, L2TP, LANE, LANMAN, LAPB, LAPBETHER, LAPD, LCP, LDAP, LDP, LLC, LPD, M3UA, MAILSLOT, MALFORMED, MAPI, MIP, MOUNT, MP, MPLS, MSPROXY, NBDGM, NBIPX, NB
6、NS, NBP, NBSS, NCP, NETBIOS, NETLOGON, NFS, NLM, NMPI, NNTP, NTP, NULL, OSPF, PIM, POP, PORTMAP, PPP, PPPOED, PPPOES, PPTP, Q2931, Q931, QUAKE, RADIUS, RIP, RIPNG, RLOGIN, RPC, RQUOTA, RSH, RSVP, RTCP, RTMP, RTP, RTSP, RX, SAP, SCTP, SDP, SHORT, SIP, SLL, SMB, SMTP, SMUX, SNA, SNMP, SOCKS, SPX, SRVL
7、OC, SSCOP, STAT, STP, SUAL, SYSLOG, TACACS, TCP, TELNET, TEXT, TFTP, TIME, TNS, TPKT, TR, TRMAC, UDP, V120, VINES, VINES_FRP, VINES_SPP, VLAN, VRRP, VTP, WAP-WSP, WAP-WSP-WTP, WAP-WTLS, WCCP, WHO, WLAN, X.25, X11, XOT, YHOO, YPBIND, YPSERV, YPXFR, ZEBRA等。在Ethereal主菜单的Tools下有一个“DecodeDecode AsAs”选项,可
8、以很容易的将获得的数据包转换为相应的协议1.3Ethereal 操作指导操作指导1.3.1Ethereal 操作界面操作界面Ethereal 软件界面如图 1 所示,在这个窗口上,整个界面环境分为三个窗口,最上面的窗口是抓包列表窗口,经过 Ethereal 软件抓包后的数据包都会列在这个窗口中,同时你可以根据抓包序列号,抓包时间、源地址、目标地址、协议等进行包列表的排序,这样你可以很容易的找到你所需要的信息包。中间的窗口中显示的是抓包列表上所选择的包对应的各层协议说明,其中,协议层次信息以树型的结构进行显示。最下面的窗口是数据窗口,显示的是上层窗口选中的信息包的具体数据,同时,在中间树型窗口中
9、所选择的某一协议数据域的内容,在数据窗口中会被突出地显示出来。在整个界面的左下角,有一个“filter”按钮,单击这个按钮会弹出过滤设置对话框。在这个按钮的右边是一个小文本框,在这里可以填入进行过滤的字符串。同时这个过滤文本框也会显示当前进行过滤的内容,你也可以通过下拉条选择曾经进行过滤的字符串进行抓包过滤。在这个文本框右边,是一个“reset”按钮,单击这个按钮将会显示当前的过滤信息。在整个界面的最右下方,是一个状态栏,在这里将显示的状态例如,软件是否正在进行抓包操作,如果没有在进行抓包,那么它将显示当前读取的文件名,如果你在树型窗口中选择了某个协议,那么这个状态栏中将会显示当前所选择的协议
10、域。1.3.2Ethereal 界面菜单界面菜单Ethereal 的菜单如图 2 所示:图图 2-1 Ethereal 界面菜单界面菜单菜单中主要有以下几个部分:File:这个子菜单下的操作与 Windows 菜单下 File 下的操作类似,包括了文件的打开,保存、打印以及系统的退出等等。不过这里的文件仅仅指的是抓包文件。Edit:这个子菜单下所包含的操作有:查找某一个特定的帧、跳到某个帧、在一个或更多的帧上打上标记、设置首选项、设置过滤、协议剖析允许/不允许等。在这个菜单下,Windows界面中的一些常用的操作,例如剪切、复制、粘贴等将不再使用。Capture:在这个菜单下进行开始抓包和停止
11、抓包的操作。Display:此菜单下可以进行的操作有:修改显示选项、匹配所选择的帧、给不同的帧进行上色、对数据帧进行展开/折叠、在分离的窗口中显示数据包、配置用户定义的解码方式等。Tools:在工具菜单下所提供的操作有:载入插件、跟踪一个 TCP 流、获得所抓包的概要,进行协议等级统计等等。Help:通过 help 子菜单,可以获得 Ethereal 软件的 About 信息以及相应的一些帮助。对于各个子菜单具体的菜单项,这里不作仔细的说明,在下面的操作部分中将会对其中一些重要的功能作详细的说明。1.3.3项关操作说明项关操作说明1.3.3.1抓包抓包步骤:1.点击软件界面上 Capture-
12、Start 键,弹出如图 2-3 所示的“Capture Opetion”抓包选项设置对话框图图 2-2 用用 Ethereal 进行抓包进行抓包图图 2-3 Capture Options 选项设置对话框选项设置对话框2.在弹出的选项设置对话框中进行相应的设置,界面中的按钮,当按下去的时候表示该功能处于有效的状态,凸起的时候则是无效的。“Interface”栏中指示的是抓包进行所在接口,你只能在一个接口上进行抓包,同时,你只能在 Ethereal 已经发现的接口上进行抓包。它有一个下拉菜单,你可以在下拉列表中选择你想要进行抓包的接口。在“Interface”下面是“Promiscuous”模
13、式选择按钮,当按钮按下去的状态时,表示此时抓包是进行在 promiscuous(混杂)模式下,任何流经这台主机的数据包都将被捕获,如果按钮凸起,则只能捕获从主机发送或者发向该主机的数据包。“Filter”栏可以指定特定的规则进行抓包过滤,以获得你想要的那些包。同时你也可以单击 Ethereal 主界面左下角的 filter 按钮,在弹出的过滤对话框中设置过滤字符串。详细的操作和过滤字串说明,请参考 2.3.3.4“过滤设置”一节。“File”一栏中可以指定一个特定的文件,用以保存所抓的包。要注意的是这里不对文件名和格式进行检查,所以在进行保存文件指定的时候一定要小心,以免覆盖其他有用的文件。“
14、Display Options”栏用于定义抓包过程中界面显示的特性。其中,“Update list of packets in a real time”是 Ethereal 主界面上是否实时地显示抓包变化的选项,当选择了该项时,Ethereal 主界面上将实时地更新抓包列表,若不显示该项,所有的包列表将在抓包过程停止以后一起显示。“Automatic Strolling in live capture”选项允许用户在抓包过程中能实时地察看新抓的数据包。“Name resolution”中有三个选项,其中“Enable MAC name resolution”用于选择 Ethereal 是否要将
15、 MAC 地址的前三个字节翻译成 IETF 所规定的厂商前缀。“Enable network name resolution”用于控制是否将 IP 地址解析为 DNS域名。“Enable transport name resolution”则用于控制是否将通信端口号转换为协议名称。此外,界面上还有一个“Capture limits”的设置项,在这里可以对抓包的数量或过程进行控制。根据需要进行设置后,单击键,进行抓包。系统显示如下(图 2-4)抓包过程界面。图 2-4 抓包过程界面3.在抓包过程界面上,有各种协议包的抓包数据统计,单击键停止抓包过程,所有的数据包将在 Ethereal 主界面中显
16、示。1.3.3.2抓包查看抓包查看经过抓包后,所有的数据包就在 Ethereal 的主界面上列出,可以通过界面上的三个窗口查看选定的数据包的具体细节。选择其中的一个数据包,点击右键,将会弹出图 2-5 所示的对话框。对话框上列举了可以对此数据包进行的操作,其中:Follow TCP Stream:允许用户跟踪一个 TCP 连结中的所有的 TCP 数据流,点击该项后,系统出现如图 2-6 所示的界面,数据包将按照顺序排列,同时以 ASCII 码的形式显示,你可以按照需要选择不同的显示格式,如 EBCDIC、HEX Dump、C Arrays 等。通过这个功能,你可以详细的查看一个 TCP 连结的详细内容。在主菜单的 Tools 子菜单下也有这个功能。Decode As:此选项允许用户将数据包根据特定的协议进行解码。这个选项与主菜单 Tools下的“Decode As”选项 一样。Display Filter:此项的功能与 Ethereal 主界面左下角的“Filte
