《ethereal的使用简单的介绍》由会员分享,可在线阅读,更多相关《ethereal的使用简单的介绍(49页珍藏版)》请在金锄头文库上搜索。
1、Ethereal的使用简介 开源网络协议分析器什么是网络协议分析器? (Protocol Analysis and Protocol Analyzer )w网络协议分析是指通过程序分析网络数据包的协议头和尾, 从而了解信息和相关的数据包在产生和传输过程中的行为。 包含该程序的软件和设备就是协议分析器。 w在典型的网络结构中,网络协议和通信采用的是分层式设计 方案。在当前最流行的OSI网络结构参考模型中,同层协议 之间能相互进行通信。协议分析器的主要功 能之一就是分析 各层协议头和尾,如果它通过多层协议头尾和其相关信息来 识别网络通信过程中可能出现的问题时,该协议分析方法称 之为专家分析。众多协
2、议分析 器商家都推出相应产品,诸如 Network General 公司的嗅探器(Sniffer),它专门用于网 络故障诊断和修复。 另外还有一些协议分析器能将多层协议 和数据包从低级数据包编译升级为高级数据包,以便于实时 观察以及了解网络的使用和流量分析。当网络流量观察为用 户的主 要目标时,会采纳此种协议分析器。佳文公司推出的 数据包分析器正是这样一种工具。 什么是网络协议分析器?w协议分析器既能用于合法网络管理也能用于窃取网络信息。 网络运作和维护都可以采用协议分析器:如监视网络流量、 分析数据包、监视网络资源利用、执行网络安全操作规则, 鉴定分析网络数据以及诊断并修复网络问题,等等。w
3、网络协议分析器(Network Protocol Analyzer)还被称为网络 嗅探器(Sniffer)、数据包分析器(Packet Analyzer)、网络嗅 听器(Network Sniffing Tool)、网络分析器(Network Analyzer)等。 wEthereal OverviewwEthereal 下载与安装wUser GuidewEthereal 菜单介绍w参考资料Ethereal:网络协议分析器w开源网络协议分析器:能够记录所有网络分组 并且以人们可读的形式显示的软件w网络协议分析器能够提供所有分组的统计该 要,并且允许用户过滤掉不想要的分组或查找 感兴趣的分组 w
4、能够对常见的网络协议(如 HTTP,SMTP,TCP,UDP,IP和其他协议)的细 节进行分析Overview返回Ethereal:网络协议分析器wEthereal is used by network professionals around the world for troubleshooting, analysis, software and protocol development, and education. wIt has all of the standard features you would expect in a protocol analyzer, and seve
5、ral features not seen in any other product. wIts open source license allows talented experts in the networking community to add enhancements. wIt runs on all popular computing platforms, including Unix, Linux, and Windows.Overview返回Overview利用Ethereal捕捉到的的跟踪记录返回Overview返回Ethereal捕获报文后,可以观察到各层协议细节Ethe
6、real下载与安装Ethereal 下载页面Download Address:http:/ Now后,出现一对话框,点击保存文件命令返回Ethereal下载与安装双击下载后的exe文件,出现安装页面,点击Next按钮返回Ethereal下载与安装返回点击I Agree按钮,出现Choose Components对话框,默认设置即可,直接点击Next按钮Ethereal下载与安装默认设置即可,点击Next按钮即可选择安装位置后,点击Next按钮返回Ethereal下载与安装选择安装WinPcap和Services选项,点击Install,出现Installing对话框返回Ethereal下载与安
7、装安装完成,点击Finish按钮返回 ethereal使用指南User Guiden双击启动桌面上ethereal图标 ,按ctrl+K进行“capture option”的选择。n选择 正确的NIC,进行报文的捕获。支持 WLan无线的相关协议。是否打开混杂模式扑捉数据包限制每个数据包的大小实时更新捕获数据包接口选择返回nInterface是选择捕获接口nCapture packets in promiscuous mode表示是否打 开混杂模式,打开即捕获所有 的报文,一般我们只捕获到本 机收发的数据报文,所以关掉nLimit each packet 表示 限制 每个报文的大小nCaptu
8、re files 即捕获数据包的 保存的文件名以及保存位置Capture Options限制每个数据包的大小实时更新捕获数据包接口选择返回Ethereal:capture from (nic) driverncapture option确认选择后, 点击ok就开始进行抓包n同时就会弹出“Ethereal:capture form (nic) driver”,其中(nic)代 表本机的网卡型号。n同时该界面会以协议的不同统 计捕获到报文的百分比n点击stop即可以停止抓包返回n在使用“Ethereal:capture form (nic) driver”抓包的同时,可以 通过最小化 or 使用a
9、lt+tab的快捷键直接切换到 报文浏览的 主界面User Guide返回Ethereal 菜单介绍w文件File w编辑Edit w视图View w定位Go w捕获Capture w分析Analyze w统计Statistics w帮助Help返回File的下拉菜单n“Open”即打开已存的抓包文 件,快捷键是crtlQn“Open Recent”即打开先前已 察看的抓包文件,类似 windows的最近访问过的文档n“Merge”字面是合并的意思, 是追加的意思,即当前捕获的 报文追加到先前已保存的抓包 文件中。nSave和save as即保存 、选择 保存格式。返回n其中save sa保存
10、为是有个注意 点:File type保存选择时注意:缺省保存为libpcap格式,这个是 linux下的tcpdump格式的文件。 只有选择文件保存格式为sniffer (windowsbase)1.1和2.0都可 ,ethereal和sniffer才能双向互相 打开对方抓包的文件。否则只有 ethereal能打开sniffer的抓包文件 。Sinffer、ethereal可以相 互打开对方的文件返回File的下拉菜单nExport是输出的意思nPrint 打印nQuit退出返回Edit的下拉菜单nFind Packet 就是查询报文, 快捷键是ctrl+Fn可以支持不同格式的查找n输入正确的
11、语句,那么背景为 绿色,语句错误或缺少背景就为 红色 返回Edit的下拉菜单nFind Next是向下查找nFind Preyious是向上查找nTime Reference 字面是时间参 考,实际是 做个报文的“时间 戳”,方便大量报文的查询返回Edit的下拉菜单报 文标签 n使用Time Reference标 签后,原先time的就变成 “REF”缩写的标记附注:你可以在多个报文间 用时间戳标记,方便 查询。 nMark Packet(toggle )是标记报文nMark all packets 和 Unamrk all packet即 标记所有报文 、取消 标记所有报文返回Edit的下拉
12、菜单n点击 “preference” 进行用户界 面的选择, 比如说 报文 察看界面布 局的选择, 以及协议支 持的选择。返回View的下拉菜单nMain toolbar 主工具栏 nFilter Toolbar 过滤工具栏 nStatusbar 状态条nPacket list 报文列表 nPacket details 报文详解 nPacket byte 报文字节察看nTime display format 时间显示格 式(可以显示年月日时分秒) nName Resolution 名字解析 nAuto scroll in live capture 单看 字面真的不好翻译(自动翻卷显 示活动的报
13、文),使用对比一下 才获知:捕获时是否跟进显示更 新的报文还是显示先前的报文。View的下拉菜单nZoom in 字体的放大 nZoom out 字体的缩小 nNormal size 标准大小nResize columns 格式对齐 nCollapse all 报文细节内容的缩 进 nExpand all 报文细节内容的展开nColoring Rules 颜色规则,即可 以对特定的数据包定义特定的颜 色。 nShow packet in new window在新 窗口中查看报文内容 nReload 刷新返回go的下拉菜单nBack 同样双方的上个报文nForward 同样双方的下一个报文nGo
14、 to packet 查找到指定号码的 报文nFirst packet 第一个报文nLast packet 最后一个报文返回capture的下拉菜单nStart 开始捕获报文返回nInterface 接口n捕获过滤capture的下拉菜单返回capture的Capture filter u 捕获过滤n如果要捕获特定的报文,那在抓取 packet前就要设置,决定数据包的 类型。 FIlter name:任意命名 Filter string:输入有技巧的哦!返回比如说: a.捕获 MAC地址为 00:d0:f8:00:00:03 网络设备通信的所有报文ether host 00:d0:f8:00:
15、00:03 b.捕获 IP地址为 192.168.10.1 网络设备通信的所有报文host 192.168.10.1 c.捕获网络web浏览的所有报文tcp port 80 d.捕获192.168.10.1除了http外的所有通信数据报文host 192.168.10.1 and not tcp port 80注意:Ethereal的捕获过滤器的语言以tcpdump所用的语言为基础发展而 来的,要查阅过滤器的其他选项,可以参考:http:/www.tcpdump.orgcapture的Capture Filter返回Filter string 语法输入的格式usrc|dst host ueth
16、er src|dst host ugateway host usrc|dst net mask |len utcp|udp src|dst port uless|greater uip|ether proto uether|ip broadcast|multicastu relop 返回符号在Filter string语法中的定义 Equal: eq, = (等于) Not equal: ne, != (不等于) Greater than: gt, (大于) Less Than: lt, = (大等于) Less than or Equal to: le, = (小等于)返回Capture filte
