Ethereal抓包常用过滤条件.doc

文档名称文档密级Ethereal抓包常用过滤条件过滤条件语句语句说明src|dst host 过滤出包含指定IP地址的数据包ether src|dst host 过滤出包含指定MAC地址的数据包gateway host 过滤出包含指定网关IP地址的数据包tcp|udp src|dst port 过滤出使用指定端口通信的数据包less|greater 过滤出大于或小于指定长度的数据包ip|ether proto 过滤出使用指定协议的数据包ether|ip broadcast|multicast过滤出广播或组播的数据包过滤语句使用的举例如下： 1. 捕获MAC地址为00:e0:fc:58:bc:a3的通信数据包，例如： ether host 00:e0:fc:58:bc:a3 2. 捕获源IP地址为19的通信数据包，例如： src host 19用PC机监听STB的通信数据包时，常常要用到这个过滤条件，以保证只捕获与STB相关的数据包。 3. 捕获通过80端口来通信的数据包，使用该端口通信的数据包是基于http协议的，例如： tcp port 80 或者为 ip proto http 以上过滤语句还可以通过and、or、not等连接成复合过滤语句。例如：捕获除了http外的所有通信数据报文 host and not tcp port 80Name Resolution：名字解析，可将MAC地址、网络地址、端口地址解析为相应的名称。1) Enable MAC name resolution 通过该选项可以控制是否让ethereal将数据包中的MAC地址解析为名字。例如在IPTV验证工作中实际抓包分析时，常常可在协议栏中看到Huawei_58:00:63这样的地址，其实真实的MAC地址是：00:e0:fc:58:00:63。2) Enable network name resolution通过该选项可以控制是否让ethereal将数据包中的网络地址解析为网络名称。3) Enable transport name resolution通过该选项可以控制是否让ethereal将数据包中的端口地址解析为协议名称。1.1. 数据包的显示分析捕获到数据包后，主页面将显示这些包的信息，如果所抓的数据包太繁杂而不方便观察和分析，则可以在主页面的过滤栏中输入显示过滤条件，这样主页面的概要栏、协议栏和数据栏中就只显示满足过滤条件的数据包。Ethereal中捕获数据和显示数据的功能是分别由两个不同程序实现的，因此显示过滤语句的语法与捕获过滤的不同，常用的过滤语句如下： 例一：显示以太网地址为 00:d0:f8:00:00:03 设备通信的所有报文 eth.addr=00.d0.f8.00.00.03 例二：显示 IP地址为 网络设备通信的所有报文 ip.addr= 例三：显示所有设备web浏览的报文 tcp.port=80也可以在过滤栏中直接输入协议名称http来实现过滤，这些语句还可以通过关系符连接为复合语句，例如 例四：显示除了http外的所有通信数据报文 ip.addr= & tcp.port!=80其中&是逻辑与（and）的意思，过滤语句还可以用逻辑或（or）、逻辑否（not）和逻辑异或（xor）来连接。当输入的过滤语句正确时，过滤栏会显示为绿色，否则显示为红色。以上只是给出了最简单常用的例子，如果需要了解更详细，可查阅Ethereal用户操作指南等相关文档。在数据包分析时，Ethereal还提供一个很有用的功能Follow TCP Stream。该功能可以将有关联的交互数据整理为一个完整的TCP会话，可方便的从应用层面观察到该会话中数据流交互的信息。在实际的IPTV验证工作中，通过此项功能清楚的了解IPTV系统中各组件的交互流程，并深入掌握其交互的信息，对问题的分析定位有较大的帮助。在概要栏中选中一个需被分析的数据包，如图1-7所示，点击鼠标右键后选择Follow TCP Stream，将弹出一个对话框，如图1-8。该对话框的Stream Content中详细显示了这个TCP会话交互的所有信息，通过对话左下角的下拉条可以选择三种不同的显示方式：Entire conversation（显示完整的会话）, data from A to B only（只显示从A到B发送的信息），data from B to A only（只显示从B到A的信息）。 图1-7 进入Follow TCP Stream图1-8 Follow TCP Stream对话框图1.2. 抓包数据的保存捕获所需的数据包后可以保存全部的数据，也可以保存部分过滤后的数据。从菜单栏的File中选取Save as，将弹出一个保存对话框，如图1-9。通过该对话框可以设置文件名、指定文件存储路径、选择文件存储内容和存储形式。在存储内容选择框中有Captured和Displayed两个按钮，可分别选择保存捕获的数据包和显示的数据包。从左边的选项还可以选择存储指定的数据包并且能定义每个包的大小。不同的文件存储格式能适用于不同的应用软件打开读取，如果保存的文件需要在Sniffer上打开，则必须在File type的下拉条中选择Network Associates Sniffer的文件格式。图1-9 文件保存界面2. Ethereal在IPTV验证中的应用实例简单实例：了解STB开机时的调度流程，确定实际上是哪台EPG向STB提供服务。已知STB中设置的EDS调度服务器IP地址为2，升级服务器的IP地址为0，网络中可提供服务的EPG有多台。以下介绍Ethereal在该实例中的应用步骤。1、 构造监听环境使用HUB构造网络监听环境，本人的机顶盒是通过MODEM接入网络的，用HUB链接STB和MODEM，并将办公PC接入HUB就可以利用办公PC监听STB上所有发送和接收的信息了。如图1-10所示。图1-10 监听STB网络架构2、 在PC机上运行Ethereal抓包选取菜单栏中的CaptureOptions 弹出Capture Options对话框，在Interface中选择链入HUB的网卡来捕获数据包，并将网卡设置为杂收模式，否则抓不到STB上传输的包，因为该实例中只关注和机顶盒通信的数据包，所以在Capture Filter中输入过滤出包含有STB地址的数据包。由于STB是通过PPPOE拨号来获得IP地址上网的，因此以机顶盒的MAC地址为过滤条件。一般对于STB上的数据流量来说，Ethereal的捕获速度可以满足要求，因此可以选择数据包实时显示。为方便手动停止抓包，可以不隐藏抓包信息对话框。以上设置如图1-11所示。设置完成后点击Capture按钮进入抓包，然后启动STB，等STB登陆到EPG首页的时候停止抓包，并将其完整的保存为一后缀为.cap的文件。捕获的数据显示如图1-12。图1-11 Capture Options 设置3、 对数据包进行分析根据图1-12可知，从No.2到No.23的数据包是STB通过PPPOE拨号获得IP地址(88)的通信过程的数据包；之后STB与升级服务器建立TCP会话，若需详细了解该会话中通信的信息，可按如图1-7所示的方式打开“Follow TCP Stream”的对话框，从Stream Content中即可看到整个会话中STB向升级服务器请求并获得了版本配置信息，如图1-13，根据这些信息STB决定现用的版本是否需要更新。在此次抓包中可知STB版本无需升级，因此此次会话很块结束，转入与EDS的TCP会话连接。图1-12 机顶盒抓包数据 图1-13 STB与升级服务器之间的TCP会话如果不需要关心数据包中和EDS调度无关的信息，可以在过滤栏中输入：ip.addr=2并回车确定，概要栏就只显示过滤出的数据包，如图1-14所示。使用Follow TCP Stream功能可清楚观察到STB在此次会话中先后发起三次请求：首先STB向调度服务器直接发起EPG登陆请求，EDS收到请求后转去后台进行调度处理；于是STB接着发起调度服务列表请求，而EDS将调度结果传回前台以便通知机顶盒；最后STB发起重定向请求，从而得到了EPG服务器的网络地址，由图1-15可知EDS返回的IP地址为03。图1-14 过滤后的数据包显示从