收藏
下载资源

Ethereal抓包常用过滤条件分析

上传人:公**** 文档编号:506722274 上传时间:2023-08-03 格式:DOCX 页数:11 大小:1.93MB
返回 下载 相关 举报
Ethereal抓包常用过滤条件分析_第1页
第1页 / 共11页
Ethereal抓包常用过滤条件分析_第2页
第2页 / 共11页
Ethereal抓包常用过滤条件分析_第3页
第3页 / 共11页
Ethereal抓包常用过滤条件分析_第4页
第4页 / 共11页
Ethereal抓包常用过滤条件分析_第5页
第5页 / 共11页
点击查看更多>>
资源描述

《Ethereal抓包常用过滤条件分析》由会员分享,可在线阅读,更多相关《Ethereal抓包常用过滤条件分析(11页珍藏版)》请在金锄头文库上搜索。

1、1 前言Ethereal 抓包常用过滤条件分析Ethereal 的过滤规章Ethereal 的过滤规章可以有两种形式:(1) 一个原语:一个原语即一条最根本的过滤规章(2) 用 “and”、“or”、“not”关系去处运算符,以及括号组合起来的原语。其中“and”的含义是它所连接的两个原语必需都成立;“or”的含义是它所连接的两个原语只要有一个成马上可;“not”的含义是它后面跟的原语不成立; 括号的作用是对关系运算挨次作出规定。Ethereal 抓包常用过 滤条件过滤条件 语句src|dst host ether src|dst host gateway host tcp|udpsrc|ds

2、t语句说明过滤出包 含指定 IP地址的数据 包过滤出包 含指定 MAC 地址的 数据包过滤出包 含指定 网关IP地址的 数据包port 过滤出访 用指定 端口通 信的数 据包less|greater 过滤出大 于或小 于指定 长度的 数据包ip|ether proto 过滤出访 用指定 协议的 数据包ether|ip过滤出广 播或组 播的数 据包broadcast|multicast过滤语句 使用的 举例如 下:1. 捕获 MAC 地址为 00:e0:fc:58:bc:a3 的通信数据包 ,例如 :Ether host 00:e0:2. 捕获源 IP 地址为 150.20.10.119 的通信

3、数据包 ,例如 :src host 150.20.10.119用 PC 机监听 STB 的通信数据包时 ,常常 要用到 这个过 滤条件 ,以保证只捕获 与 STB 相关的 数据包 。3. 捕获通 过 80 端口来通信 的数据 包,使用该 端口通 信的数 据包是基于 协议的, 例如:tcp port 80 或者为 ip proto 以上过滤 语句还 可以通 过 and、or、not 等连接成复 合过滤 语句。例如:捕 获 160.128.10.4 除了 外的所 有通信数据 报文160.128.10.4 and not tcp port 80Name Resolution : 名字解 析,可 将

4、MAC 地址、 网络地 址、端 口地址解析为相 应的名 称。1) Enable MAC name resolution通过该选 项可以 掌握是 否让 ethereal 将数据包 中的 MAC 地址解析为名字。例 如在 IPTV 验证工作中实 际抓包 分析时 ,常常 可在协 议栏中 看到Huawei_58:00:63 这 样 的 地 址 , 其 实 真 实 的 MAC 地 址 是 : 00:e0:fc:58:00:63 。2) Enable network name resolution通过该选 项可以 掌握是 否让 ethereal 将数据包 中的网 络地址 解析为网络名称 。3) Enabl

5、e transport name resolution通过该选项可以掌握是否让 ethereal 将数据包中的端口地址解析为协议名称。Ethereal 图形界面:如以下图所示:图 1 Ethereal 图形界面第一局部是菜单和工具栏,Ethereal 供给的全部功能都可以在这一局部中找到。其次局部是被捕获包的列表,其中包含被捕获包的一般信息,如被捕获的时间、源和目的 IP 地址、所属的协议类型,以及包的类型等信息。第三局部显示其次局部已选中的包的每个域的具体信息,从以太网帧的首部到该包中负载内容,都显示得清清楚楚。第四局部显示已选中包的 16 进制和 ASCII 表示,帮助用户了解一个包的原来

6、样子。Ethereal 的根本用法Ethereal 的最根本功能是捕获网络包,其使用方法很简洁,按如下步骤即可:(1) 选择“Capture”菜单项中的 “Option”,这时会弹出一个对话框,如下所示。这 个对话 框中的栏目 虽然很 多,但 一般只 需配置其中 两项。 一项为哪一项“Capture Filter”栏。在这个栏中,可以输入过滤规章,用于规定 Ethereal 捕获包的种类(注:过滤规章的写法将在下一节作特地介绍);假设不输入过滤规章,则 Ethereal 将捕获全部从网卡发送或收到的包。另外一项为哪一项 “Update list of packets in real time”

7、 选项, 请大家肯定 要选中这一项, 这样可以使Ethereal 在捕获包的同时,实时地把捕获的包显示出来。(2) 在完成如上配置后,点击 “Start”按钮,Ethereal 便开头捕获包。图 2 Ethereal 捕获包2. 利用 ping命令抓包ping 命令的显示结果和 Ethereal 上捕获数据分别如下面的图所示。图 3 ping 的命令显示图 4 捕获数据显示3. 数据包的显示分析:图 5 进入 Follow TCP Stream捕获到数 据包后, 主页面 将显示 这些包 的信息, 假设所 抓的数 据包太繁杂而不便利观看和分析, 则可以在主页面的过滤栏中输入显示过滤条件, 这样主

8、 页面的 概要栏、 协议栏 和数据 栏中就 只显示 满足过 滤条件 的数据包。Ethereal 中捕获 数据和显示 数据的 功能是 分别由 两个不 同程序 实现的,因此 显示过 滤语句 的语法 与捕获 过滤的 不同,常用 的过滤 语句如 下: 在数据包 分析时 ,Ethereal 还供给一个 很有用 的功能 Follow TCP Stream 。该功能 可以将有关联的交互数据整理为一个完整的 TCP 会话,可便利的从应用层面观看到该会话中数据流交互的信息。在实际的 IPTV 验证工作中, 通过此项功能清楚的了解 IPTV 系统中各组件的交互流程,并深入把握其交互的信息,对问题的分析定位有较大的

9、帮助。在概要栏中选中一个需被分析的数据包, 如图 1-7 所示,点击鼠标右键后选择 Follow TCP Stream,将弹出一个对话框, 如图 1-8。该对话框的 Stream Content 中具体显示了这个 TCP 会话交互的全部信息, 通过对话左下角的下拉条可以选择三种不同的显示方式: Entire conversation显示完整的会话, data from A to B only只显示从 A 到 B 发送的信息,data from B to A only只显示从 B 到 A 的信息。图 6 Fllow TCP Stream 对话框图4. 抓包数据的保存捕获所需 的数据 包后可 以保

10、存 全部的 数据,也可以保存 局部过 滤后的数据。从 菜单栏 的 File 中选取 Save as ,将弹 出一个 保存对 话框, 如图1-9 。通过该对话框可以设置文件名、 指定文件存储路径、选择文件存储内容和存 储形式 。在存 储内容 选择框 中有 Captured 和 Displayed 两个按钮, 可分别 选择保 存捕获 的数据 包和显 示的数 据包。从 左边的 选项还 可以选择存储 指定的 数据包 并且能 定义每 个包的 大小。不同的文件 存储格 式能适用于不 同的应 用软件 翻开读 取,假设保 存的文件需 要在 Sniffer 上翻开 , 则必需在 File type 的下拉条 中

11、选择 Network Associates Sniffer的文件格式。图 7 文件保存界 面5. Ethereal在 IPTV 验证中的应用实例效劳。简洁实 例:了解 STB 开机时的调度流 程,确定实 际上是 哪台 EPG向 STB 供给 STB 中设置 的 EDS 调度服 务器 IP 地址为 160.128.10.22 ,升级效劳器的 IP 地址为 172.18.10.30 ,网络中可 供给服 务的 EPG 有多台。 以下介绍 Ethereal 在该实例中 的应用 步骤。5.1 构造监听环境使用 HUB 构造网 络监听环境 ,本人 的机顶 盒是通 过 MODEM 接入网络的,用 HUB 链

12、接 STB 和 MODEM ,并将办 公 PC 接入 HUB 就可以利用办公 PC 监听 STB 上全部发 送和接 收的信 息了。5.2 在 PC 机上运行 Ethereal 抓包选取菜单 栏中的 Capture Options 弹出 Capture Options 对话框, 在 Interface 中选择链 入 HUB 的网卡 来捕获 数据包,并将网卡 设置为 杂收模式,否则 抓不到 STB 上传输的 包,由于 该实例 中只关 注和机 顶盒通 信的数据包, 所以在 Capture Filter 中输入过滤 出包含 有 STB 地址的 数据包 。由于 STB 是通过 PPPOE 拨号来 获得

13、IP 地址上网的 ,因此 以机顶 盒的 MAC 地址为过 滤条件 。一般对 于 STB 上的数据流量 来说 ,Ethereal 的捕获 速度可以满足 要求,因 此可以 选择数 据包实 时显示。为方 便手动 停顿抓 包,可以不隐蔽 抓包信 息对话 框。以上设置 如图 8 所示 。设置 完成后 点击 Capture图 8 Capture Options 设置按钮进入 抓包, 然后启 动 STB ,等 STB 登陆到 EPG 首页的时候 停顿抓 包, 并将其完 整的保 存为一 后缀为 .cap 的文件 。捕获的数 据显示 如图 6。5.3 对数据包进展分析依据图 8 可知 ,从 No.2 到 No.

14、23 的数据包 是 STB 通过 PPPOE 拨号获得 IP 地址(150.20.10.188) 的通信过 程的数 据包;之后 STB 与升级效劳 器建立 TCP 会话,假设需具体了 解该会 话中通 信的信 息,可按如 图 1-7 所示的方式翻开“ Follow TCP Stream ” 的对话 框, 从 Stream Content 中即可看到整个会话中 STB 向升级效劳器 恳求并获得 了版本 配置信 息,如 图 9 , 依据这些信息 STB 打算现 用的版 本是否 需要更 。在 此次抓 包中可 知 STB 版本无需升 级,因 此此次 会话很 块完毕 ,转入 与 EDS 的 TCP 会话连接 。假设不需 要关心 数据包 中和 EDS 调度无关 的信息 ,可以 在过滤 栏中输入:ip.addr=160.128.10.22并回车确定 ,概要 栏就只 显示过 滤出的 数据包 , 如图 9 所示。使 用 Follow TCP Stream 功能可清楚 观看到 STB 在此次会话中先后发 起三次 恳求: 首先 STB 向调度效劳 器直接 发起 EPG 登陆请 求, EDS 收到恳求后 转去后 台进展 调度处 理;于是 STB 接着发起调 度效劳 列表恳求,而 EDS 将调度结果 传回前 台以便 通知机 顶盒;最终 STB 发起重定向恳求 ,从而 得到了 EPG 效劳器 的网络 地

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 资格认证/考试 > 自考

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号