Ethereal使用说明.doc

Ethereal使用说明1.工具认识Ethereal是一款绿色版的网络抓包、报文分析工具，不需要安装，但是要装WinPcap。安装过程简单这里就不做说明。Ethereal: WinPcap: 2.报文抓取点击工具栏中最左边的第二个图标 “Show the capture options”进入界面如下：132 三个地方需要设置：Interface，选择自己电脑的网卡。Capture Filter，在里面设置抓取过滤条件，如host 15就是只抓取有这个ip地址参与的报文交互。其他过滤规则在下文Ethereal使用详细说明中有介绍。Display Options，前两个选中，在抓取的过程中可以查看报文信息。设好了点Start，弹出界面如下，停止抓包点击stop。3.报文查看Filter内可以输入过滤规则，常用的语句有mms、ip.addr=等，同时过滤多个规则可以使用&合并，如下图。mms是最常用的的过滤规则，直接过滤出mms报文，我们要查看的有用的信息都在mms类报文内。其他过滤规则在下文Ethereal使用详细说明中有介绍。4.Ethereal使用详细说明4.1界面菜单介绍本节将逐个介绍Ethereal各菜单项的功能：4.1.1“File”菜单图4-1 “File”拉菜单图4-1 “File”菜单。其中：“Open”即打开已存的抓包文件；“Open Recent”即打开近期已察看的抓包文件，类似windows的最近访问过的文档；“Merge”字面是合并的意思，其实是追加的意思，即当前捕获的报文追加到先前已保存的抓包文件中。“Save”和”save as”即保存 、选择保存格式。“File Set”用于Ethereal当前打开的多个文件前后切换，以及各文件的基本属性描述。“Export”是输出的意思。“Print” 打印。“Quit”退出。4.1.2“Edit”菜单图4-2 “Edit”下拉菜单图4-2“Edit”菜单。其中：“Find Packet” 用于查询报文，可以支持不同格式的查找，输入正确的语句，那么背景为 绿色，语句错误或缺少背景就为 红色，具体的过滤语法格式在下面会做说明。图4-3 “Find Packet”操作界面“Find Next”是向下查找“Find Preyious”是向上查找“Time Reference”字面是时间参考，实际用于做报文的“时间戳”，方便大量报文的查询。使用Time Reference标签后，原先time的就变成 “REF”缩写的标记。可以在多个报文间用时间戳标记，方便查询。就像书签一样。图4-4使用“Time Reference”后出现的时间戳“REF”“Mark Packet（toggle）”是标记报文“Mark all packets”和“Unamrk all packet”即标记所有报文 、取消标记所有报文“preference”用于用户界面的选择，比如说 报文察看界面布局的选择，以及协议支持的选择。 第 11 页4.1.3“View”菜单图4-5“View”下拉菜单图4-5 “View”下拉菜单，其中：“Main toolbar”是主工具栏。“Filter Toolbar” 过滤工具栏。“Statusbar”状态条。“Packet list” 报文列表。“Packet details” 报文详解。“Packet byte” 报文字节察看。“Time display format”时间显示格式（可以显示年月日时分秒）。“Name Resolution”名字解析。“Auto scroll in live capture”捕获时是否跟进显示更新的报文还是显示先前的报文。“Zoom in”字体的放大。“Zoom out”字体的缩小。“Normal size”标准大小。“Resize columns”格式对齐。“Expand all”报文细节内容的展开。“Collapse all”报文细节内容的缩进。“Coloring Rules” 颜色规则，即可以对特定的数据包定义特定的颜色。“Show packet in new window”在新窗口中查看报文内容。“Reload”刷新。4.1.4“Go”菜单图4-6“Go”下拉菜单图4-6下拉菜单中：“Back”同样Source和Destination的上个报文。“Forward”同样Source和Destination的下一个报文。“Go to packet”查找到指定号码的报文。“First packet”第一个报文。“Last packet”最后一个报文。4.1.5“Capture”菜单图4-7“Capture”下拉菜单“Capture”下拉菜单包括了与报文抓捕相关选项，分别介绍。 Interface选项“Interface”运行界面如图3-1，用于显示Ethereal运行机的各个网卡报文收发情况，单击“Capture”按钮，即开始捕获所选网卡的收发数据。 Option选项Option选项的运行界面如图3-2所示。Capture 框内的 Interface 选项用于选择待抓捕报文的网卡，当计算机具有多个活动网卡时，需要选择其中一个用来发送或接收分组的网络接口，下方的IP address会对应显示所选网卡所设置的IP地址；Limit each packet：限制每个包的大小，缺省情况不限制。Capture packets in promiscuous mode：是否打开混杂模式。假如打开，抓取任何的数据包。一般情况下只需要监听本机收到或发出的包，因此应该关闭这个选项。Capture Filter用于设置抓捕过滤规则，如果要捕获特定的报文，那在抓包前就要对应设置过滤规则，决定数据包的类型。设置过滤规则有两种途径：选择capture filter，进入图4-8所示界面，手工创建的模板，也可以直接在 capture options的capture filter的输入框中直接输入规则。捕获过滤的语法输入在4.2节做详细说明。File：假如需要将抓到的包写到文档中，在这里输入文档名称。use ring buffer：是否使用循环缓冲。缺省情况下不使用，即一直抓包。注意，循环缓冲只有在写文档的时候才有效。假如使用了循环缓冲，还需要配置文档的数目，文档多大时回卷。其他的项选择缺省的就能够了。设置完成后单击“Start”开始报文抓捕。图4-8 Capture Filter界面 Start选项选择Start，即开始报文抓捕，正常运行报文抓捕界面如下：但需要注意：Start选项执行的前提是已经进行了抓捕设置（主要是选择了待监视网卡），否则执行Start会弹出出错提示。 Stop和Restart选项Stop选项停止正在进行的抓捕；Restart选项再次执行和上次相同设置的抓捕。 Capture Filters选项Capture Filterde用来设置抓捕过滤原则。4.1.6“Analyze”菜单Analyze菜单中包括了很重要的显示过滤器功能Display Filters，这部分功能在4.3节做详细介绍。Enabled Protocols选项用来选择是否启用该协议的解析，点选该协议后，相关的上层协议才能显示出来。其它功能使用较少，不作介绍4.1.7“Statistics”菜单Statistics 顾名思义，就是捕获报文的统计信息。4.1.8“Help”菜单Help包含了帮助信息，同时也可以查看支持的协议。4.2 Ethereal的抓包过滤器抓包过滤器（Filter String）语法输入格式如下： src | dst host ether src | dst host gateway host src | dst net mask | len tcp | udp src | dst port Less | greater Ip | ether proto Ether | ip broadcast | multicast举例常用过滤规则如下：1捕获 MAC地址为 00:d0:f8:00:00:03 网络设备通信的所有收发报文 ether host 00:d0:f8:00:00:032捕获 IP地址为 网络设备通信的所有收发报文 host 3捕获端口为80（网络web浏览）的所有收发报文 tcp port 804捕获除了http外的所有通信数据报文 host and not tcp port 804.3 Ehtereal的显示过滤器在抓包完成以后，显示过滤器能够用来找到您感兴趣的包，能够根据设定规则来查找您感兴趣的包。举个例子，假如您只想查看使用http协议的包，在ethereal 窗口的左下角的Filter 中输入http，回车确认，ethereal 就会只显示http 协议的包。如下图所示：图4-9 Ethereal显示过滤“Display Filter”的语法和“Capture Filter”的语法有所不同：常用的显示过滤器输入如下： 显示 以太网MAC地址为 00:d0:f8:00:00:03 设备通信的所有报文： eth.addr=00.d0.f8.00.00.03 显示 IP地址为 网络设备通信的所有报文： ip.addr= 显示所有设备web浏览的所有报文： tcp.port=80 显示除了http外的所有通信数据报文： ip.addr= & tcp.port!=80使用小技巧：只有在Filter的背景颜色是绿色时，才证明设定的Filter是合乎规则的；如果显示为红色，则说明设定的Filter是不符合规范的，须修改。4.4 Ethereal抓包文件的存储Ethereal抓包文件的存储有两种方法，对于短时捕获报文，直接通过File-Save/Save As存储，下图对“Save” 和“Save As”界面需要注意的地方进行了标识。图4-10 “Save”和“Save As”标识说明在某些情况下需要长时间抓捕报文，这时可以通过预先设置报文的存储路径及名称、存储文件的数目以及文件多大时存储结束、进而转入下一文件存储。下面图示说明.图4-11 多文件存储标识说明要进行多文件存储监视，首先要选中Capture File(s)框内的Use multiple files开关按钮，进入多文件存储监视状态。接下来设置相关参数：Next file every用来设定单个存储文件的大小（K / M / G）；Next file every用来设定单个存储文件对应最长的监视时间（sec / min / hour / day ），（注意这两个选项后需要选择数据单位），该两项至少选中一项，用作单个存储文件的存储结束判据。Ring buffer with设定循环存储的最大文件数，当存储子文件数目达到该设定值后，新生成的文件将覆盖最初的文件。Stop capture after设定存储结束判据，当存储子文件数目达到该设定值后，抓捕结束。实际应用可以根据个人需求，选择循环存储或抓捕一段时间结束。图4-11设置的参数表示：文件存储在C:根目录下，子文件名以Control扩展（例如：Control_00001_20080430094732），单个存储子文件在大小达到20M或抓捕时间达到