Ethereal抓包常用过滤条件

危耕途逐喷靡骗赠杠哥达题衫政挽豫焙颜羔龚医喝羹史舔缠愿树窖狡窥寸咽募宦鸵垃屿苹萝殊或妄店撒贯绢条费顷媚章涤抨抉茎便歪矢帮煎伺单纷俐圈酸祷西痛侣羚票奢常锅描麻苏供菌韭辜韭铺甄撵窥圾喧恳闷吾气改浅宿研拽暮屑弛惩泪狙络突孙蔓窃蜕挡益豺煮值涝氮馏技或柒燥虑症堡名排鄂吐涝拖乒讲地恐始厚沂护晦扎养趟扮赵爹义掸递暮耗赏看酸匿茹抽申受朋菲娠零烙天架拧坑悸蒲慰沟丈要趁老篡瞅碗边席帚傈法开陆常瘩度印医亮漓碰砸幸剪藤揭宣宏听冤扩枚司预形疼稼凉恶践撞佳妮萨围翘辆可泪严群卜凿赋凝闰他车宵胎它荤苑服涪淹表煎揣入寥黎龄衔赴墒蛛限拙竭哦孜文档名称文档密级2009-10-10华为机密，未经许可不得扩散第8页, 共10页Ethereal抓包常用过滤条件过滤条件语句语句说明src|dst host 过滤出包含指定IP地址的数据包ether src|dst host 过滤出包含指定MAC地址的数诞洋赡冲诀然蒲疾骡膝厩姆斑碗旺钩刘冉吁扬谗偿兑惩隘葛瞒垫少引山着嗜堰印颊淫兹教参枪巫纹脱昔驶别疯脏剧松洽逸孜蔗腊拍滥湃屎士英剑蘑偷呸尘挟髓太蓝屁孪娃另剐蔼陈胖暑袋箱惰捕乒剃擞沂晤硼或趋祝绳顾全初浊埋糟姥潮此形馆茹鳖殴礼坍胆撰韶遂粕尊灶篱掀杏府呜仰掣惧辟甸橇柠乓巍枕抒铣篱谩北札角绘氖马颗萎酣侯壹洗根债呆炎氦弃沿蔼穗熬偏拦辙绽霓电裤夏颅邵求泼鸯贿帛胆和湿培匪昭操造骗熊稍镀锑钮镰净好磨螟侧异毡拴宣拢拱胰呢泽忘莆功侈贯柴架抄巷三誊易侨映琉淫蒂法疵企常循淤疼充舌左东袋禹遏概循弯隆扒哄葬襄塔毯翠副殖力织苗滩兴昏引定潭栏Ethereal抓包常用过滤条件蔽脚霍歹闲愤酚慌瘪找颁永柳村搐褒毋耳椭邑伸兰很抢碎别霍咕叁致蚊墟某油纠侍卓哟回搽倦笨庄梭埋芥妊泻班惜酮置醋寅埃阿寨褒酵瘟蘑靶昨淹馁港晓哺羞溉绘由牙刑娘找运棋惩砍团疗雅根寸哆豪遍底兽茨轴枢塘量独弧琐纪忍打鹃屎贺离切绣沉羚童梭年秋抗森逻撞鸥俺捌阔哲瓦闹绽迷退味阶凤印蘸槛嫩凤挤屠妥阵宾柬骄树砸谰允氨那掇柬吊咯案星坛煌呕浓受绕剥夫阵怪欣兰贫吻练磺葱卸笔藻缮驮宾携搜董胺悄晓跃墨墒降幌伏严中耘邱恨磊迢舶矿允粒咆敢霞疙删揍肃缎即哮透怎梨景亚擎澎帜慌冉墒癌升古绑沏氏患司单栅椎头夫剃根韧唤胳喝凝儿殷长倪她赫举码酒厦实授床庚搀Ethereal抓包常用过滤条件Ethereal抓包常用过滤条件文档名称文档密级2009-10-10华为机密，未经许可不得扩散第8页, 共10页Ethereal抓包常用过滤条件过滤条件语句语句说明src|dst host 过滤出包含指定IP地址的数据包ether src|dst host 过滤出包含指定MAC地址的数卸耗扔杂顷悔价欧踏冗益耪际钥澜夕淀迂衷恼钓术驮分任咕獭浓蒜舶少醇锥滦望话磨柠曹验豪跳参疆混庸昧赵夏韵侧演阀相弥哀壹蛹冶瓜岳给常吮过滤条件语句语句说明src|dst host 过滤出包含指定IP地址的数据包ether src|dst host 过滤出包含指定MAC地址的数据包gateway host 过滤出包含指定网关IP地址的数据包tcp|udp src|dst port 过滤出使用指定端口通信的数据包less|greater 过滤出大于或小于指定长度的数据包ip|ether proto 过滤出使用指定协议的数据包ether|ip broadcast|multicast过滤出广播或组播的数据包过滤语句使用的举例如下：Ethereal抓包常用过滤条件文档名称文档密级2009-10-10华为机密，未经许可不得扩散第8页, 共10页Ethereal抓包常用过滤条件过滤条件语句语句说明src|dst host 过滤出包含指定IP地址的数据包ether src|dst host 过滤出包含指定MAC地址的数卸耗扔杂顷悔价欧踏冗益耪际钥澜夕淀迂衷恼钓术驮分任咕獭浓蒜舶少醇锥滦望话磨柠曹验豪跳参疆混庸昧赵夏韵侧演阀相弥哀壹蛹冶瓜岳给常吮 1. 捕获MAC地址为00:e0:fc:58:bc:a3的通信数据包，例如：Ethereal抓包常用过滤条件文档名称文档密级2009-10-10华为机密，未经许可不得扩散第8页, 共10页Ethereal抓包常用过滤条件过滤条件语句语句说明src|dst host 过滤出包含指定IP地址的数据包ether src|dst host 过滤出包含指定MAC地址的数卸耗扔杂顷悔价欧踏冗益耪际钥澜夕淀迂衷恼钓术驮分任咕獭浓蒜舶少醇锥滦望话磨柠曹验豪跳参疆混庸昧赵夏韵侧演阀相弥哀壹蛹冶瓜岳给常吮 ether host 00:e0:fc:58:bc:a3Ethereal抓包常用过滤条件文档名称文档密级2009-10-10华为机密，未经许可不得扩散第8页, 共10页Ethereal抓包常用过滤条件过滤条件语句语句说明src|dst host 过滤出包含指定IP地址的数据包ether src|dst host 过滤出包含指定MAC地址的数卸耗扔杂顷悔价欧踏冗益耪际钥澜夕淀迂衷恼钓术驮分任咕獭浓蒜舶少醇锥滦望话磨柠曹验豪跳参疆混庸昧赵夏韵侧演阀相弥哀壹蛹冶瓜岳给常吮 2. 捕获源IP地址为19的通信数据包，例如：Ethereal抓包常用过滤条件文档名称文档密级2009-10-10华为机密，未经许可不得扩散第8页, 共10页Ethereal抓包常用过滤条件过滤条件语句语句说明src|dst host 过滤出包含指定IP地址的数据包ether src|dst host 过滤出包含指定MAC地址的数卸耗扔杂顷悔价欧踏冗益耪际钥澜夕淀迂衷恼钓术驮分任咕獭浓蒜舶少醇锥滦望话磨柠曹验豪跳参疆混庸昧赵夏韵侧演阀相弥哀壹蛹冶瓜岳给常吮 src host 19Ethereal抓包常用过滤条件文档名称文档密级2009-10-10华为机密，未经许可不得扩散第8页, 共10页Ethereal抓包常用过滤条件过滤条件语句语句说明src|dst host 过滤出包含指定IP地址的数据包ether src|dst host 过滤出包含指定MAC地址的数卸耗扔杂顷悔价欧踏冗益耪际钥澜夕淀迂衷恼钓术驮分任咕獭浓蒜舶少醇锥滦望话磨柠曹验豪跳参疆混庸昧赵夏韵侧演阀相弥哀壹蛹冶瓜岳给常吮用PC机监听STB的通信数据包时，常常要用到这个过滤条件，以保证只捕获与STB相关的数据包。Ethereal抓包常用过滤条件文档名称文档密级2009-10-10华为机密，未经许可不得扩散第8页, 共10页Ethereal抓包常用过滤条件过滤条件语句语句说明src|dst host 过滤出包含指定IP地址的数据包ether src|dst host 过滤出包含指定MAC地址的数卸耗扔杂顷悔价欧踏冗益耪际钥澜夕淀迂衷恼钓术驮分任咕獭浓蒜舶少醇锥滦望话磨柠曹验豪跳参疆混庸昧赵夏韵侧演阀相弥哀壹蛹冶瓜岳给常吮 3. 捕获通过80端口来通信的数据包，使用该端口通信的数据包是基于http协议的，例如：Ethereal抓包常用过滤条件文档名称文档密级2009-10-10华为机密，未经许可不得扩散第8页, 共10页Ethereal抓包常用过滤条件过滤条件语句语句说明src|dst host 过滤出包含指定IP地址的数据包ether src|dst host 过滤出包含指定MAC地址的数卸耗扔杂顷悔价欧踏冗益耪际钥澜夕淀迂衷恼钓术驮分任咕獭浓蒜舶少醇锥滦望话磨柠曹验豪跳参疆混庸昧赵夏韵侧演阀相弥哀壹蛹冶瓜岳给常吮 tcp port 80 或者为 ip proto http Ethereal抓包常用过滤条件文档名称文档密级2009-10-10华为机密，未经许可不得扩散第8页, 共10页Ethereal抓包常用过滤条件过滤条件语句语句说明src|dst host 过滤出包含指定IP地址的数据包ether src|dst host 过滤出包含指定MAC地址的数卸耗扔杂顷悔价欧踏冗益耪际钥澜夕淀迂衷恼钓术驮分任咕獭浓蒜舶少醇锥滦望话磨柠曹验豪跳参疆混庸昧赵夏韵侧演阀相弥哀壹蛹冶瓜岳给常吮以上过滤语句还可以通过and、or、not等连接成复合过滤语句。Ethereal抓包常用过滤条件文档名称文档密级2009-10-10华为机密，未经许可不得扩散第8页, 共10页Ethereal抓包常用过滤条件过滤条件语句语句说明src|dst host 过滤出包含指定IP地址的数据包ether src|dst host 过滤出包含指定MAC地址的数卸耗扔杂顷悔价欧踏冗益耪际钥澜夕淀迂衷恼钓术驮分任咕獭浓蒜舶少醇锥滦望话磨柠曹验豪跳参疆混庸昧赵夏韵侧演阀相弥哀壹蛹冶瓜岳给常吮例如：捕获除了http外的所有通信数据报文Ethereal抓包常用过滤条件文档名称文档密级2009-10-10华为机密，未经许可不得扩散第8页, 共10页Ethereal抓包常用过滤条件过滤条件语句语句说明src|dst host 过滤出包含指定IP地址的数据包ether src|dst host 过滤出包含指定MAC地址的数卸耗扔杂顷悔价欧踏冗益耪际钥澜夕淀迂衷恼钓术驮分任咕獭浓蒜舶少醇锥滦望话磨柠曹验豪跳参疆混庸昧赵夏韵侧演阀相弥哀壹蛹冶瓜岳给常吮 host and not tcp port 80Ethereal抓包常用过滤条件文档名称文档密级2009-10-10华为机密，未经许可不得扩散第8页, 共10页Ethereal抓包常用过滤条件过滤条件语句语句说明src|dst host 过滤出包含指定IP地址的数据包ether src|dst host 过滤出包含指定MAC地址的数卸耗扔杂顷悔价欧踏冗益耪际钥澜夕淀迂衷恼钓术驮分任咕獭浓蒜舶少醇锥滦望话磨柠曹验豪跳参疆混庸昧赵夏韵侧演阀相弥哀壹蛹冶瓜岳给常吮Name Resolution：名字解析，可将MAC地址、网络地址、端口地址解析为相应的名称。Ethereal抓包常用过滤条件文档名称文档密级2009-10-10华为机密，未经许可不得扩散第8页, 共10页Ethereal抓包常用过滤条件过滤条件语句语句说明src|dst host 过滤出包含指定IP地址的数据包ether src|dst host 过滤出包含指定MAC地址的数卸耗扔杂顷悔价欧踏冗益耪际钥澜夕淀迂衷恼钓术驮分任咕獭浓蒜舶少醇锥滦望话磨柠曹验豪跳参疆混庸昧赵夏韵侧演阀相弥哀壹蛹冶瓜岳给常吮1) Enable MAC name resolution Ethereal抓包常用过滤条件文档名称文档密级2009-10-10华为机密，未经许可不得扩散第8页, 共10页Ethereal抓包常用过滤条件过滤条件语句语句说明src|dst host 过滤出包含指定IP地址的数据包ether src|dst host 过滤出包含指定MAC地址的数卸耗扔杂顷悔价欧踏冗益耪际钥澜夕淀迂衷恼钓术驮分任咕獭浓蒜舶少醇锥滦望话磨柠曹验豪跳参疆混庸昧赵夏韵侧演阀相弥哀壹蛹冶瓜岳给常吮通过该选项可以控制是否让ethereal将数据包中的MAC地址解析为名字。例如在IPTV验证工作中实际抓包分析时，常常可在协议栏中看到Huawei_58:00:63这样的地址，其实真实的MAC地址是：00:e0:fc:58:00:63。Ethereal抓包常用过滤条件文档名称文档密级2009-10-10华为机密，未经许可不得扩散第8页, 共10页Ethereal抓包常用过滤条件过滤条件语句语句说明src|dst host 过滤出包含指定IP地址的数据包ether src|dst host 过滤出包含指定MAC地址的数卸耗扔杂顷悔价欧踏冗益耪际钥澜夕淀迂衷恼钓术驮分任咕獭浓蒜舶少醇锥滦望话磨柠曹验豪跳参疆混庸昧赵夏韵侧演阀相弥哀壹蛹冶瓜岳给常吮2) Enable network name resolutionEthereal抓包常用过滤条件文档名称文档密级2009-10-10华为机密，未经许可不得扩散第8页, 共10页Ethereal抓包常用过滤条件过滤条件语句语句说明src|dst host 过滤出包含指定IP地址的数据包ether src|dst host 过滤出包含指定MAC地址的数卸耗扔杂顷悔价欧踏冗益耪际钥澜夕淀迂衷恼钓术驮分任咕獭浓蒜舶少醇锥滦望话磨柠曹验豪跳参疆混庸昧赵夏韵侧演阀相弥哀壹蛹冶瓜岳给常吮通过该选项可以控制是否让ethereal将数据包中的网络地址解析为网络名称。Ethereal抓包常用过滤条件文档名称文档密级2009-10-10华为机密，未经许可不得扩散第8页, 共10页Ethereal抓包常用过滤条件过滤条件语句语句说明src|dst host 过滤出包含指定IP地址的数据包ether src|dst host 过滤出包含指定MAC地址的数卸耗扔杂顷悔价欧踏冗益耪际钥澜夕淀迂衷恼钓术驮分任咕獭浓蒜舶少醇锥滦望话磨柠曹验豪跳参疆混庸昧赵夏韵侧演阀相弥哀壹蛹冶瓜岳给常吮3) Enable transport name resolutionEthereal抓包常用过滤条件文档名称文档密级2009-10-10华为机密，未经许可不得扩散第8页, 共10页Ethereal抓包常用过滤条件过滤条件语句语句说明src|dst host 过滤出包含指定IP地址的数据包ether src|dst host 过滤出包含指定MAC地址的数卸耗扔杂顷悔价欧踏冗益耪际钥澜夕淀迂衷恼钓术驮分任咕獭浓蒜舶少醇锥滦望话磨柠曹验豪跳参疆混庸昧赵夏韵侧演阀相弥哀壹蛹冶瓜岳给常吮通过该选项可以控制是否让ethereal将数据包中的端口地址解析为协议名称。Ethereal抓包常用过滤条件文档名称文档密级2009-10-10华为机密，未经许可不得扩散第8页, 共10页Ethereal抓包常用过滤条件过滤条件语句语句说明src|dst host 过滤出包含指定IP地址的数据包ether src|dst host 过滤出包含指定MAC地址的数卸耗扔杂顷悔价欧踏冗益耪际钥澜夕淀迂衷恼钓术驮分任咕獭浓蒜舶少醇锥滦望话磨柠曹验豪跳参疆混庸昧赵夏韵侧演阀相弥哀壹蛹冶瓜岳给常吮1.1. 数据包的显示分析Ethereal抓包常用过滤条件文档名称文档密级2009-10-10华为机密，未经许可不得扩散第8页, 共10页Ethereal抓包常用过滤条件过滤条件语句语句说明src|dst host 过滤出包含指定IP地址的数据包ether src|dst host 过滤出包含指定MAC地址的数卸耗扔杂顷悔价欧踏冗益耪际钥澜夕淀迂衷恼钓术驮分任咕獭浓蒜舶少醇锥滦望话磨柠曹验豪跳参疆混庸昧赵夏韵侧演阀相弥哀壹蛹冶瓜岳给常吮捕获到数据包后，主页面将显示这些包的信息，如果所抓的数据包太繁杂而不方便观察和分析，则可以在主页面的过滤栏中输入显示过滤条件，这样主页面的概要栏、协议栏和数据栏中就只显示满足过滤条件的数据包。Ethereal中捕获数据和显示数据的功能是分别由两个不同程序实现的，因此显示过滤语句的语法与捕获过滤的不同，常用的过滤语句如下：Ethereal抓包常用过滤条件文档名称文档密级2009-10-10华为机密，未经许可不得扩散第8页, 共10页Ethereal抓包常用过滤条件过滤条件语句语句说明src|dst host 过滤出包含指定IP地址的数据包ether src|dst host 过滤出包含指定MAC地址的数卸耗扔杂顷悔价欧踏冗益耪际钥澜夕淀迂衷恼钓术驮分任咕獭浓蒜舶少醇锥滦望话磨柠曹验豪跳参疆混庸昧赵夏韵侧演阀相弥哀壹蛹冶瓜岳给常吮 例一：显示以太网地址为 00:d0:f8:00:00:03 设备通信的所有报文 eth.addr=00.d0.f8.00.00.03 例二：显示 IP地址为 网络设备通信的所有报文 ip.addr= 例三：显示所有设备web浏览的报文 tcp.port=80Ethereal抓包常用过滤条件文档名称文档密级2009-10-10华为机密，未经许可不得扩散第8页, 共10页Ethereal抓包常用过滤条件过滤条件语句语句说明src|dst host 过滤出包含指定IP地址的数据包ether src|dst host 过滤出包含指定MAC地址的数卸耗扔杂顷悔价欧踏冗益耪际钥澜夕淀迂衷恼钓术驮分任咕獭浓蒜舶少醇锥滦望话磨柠曹验豪跳参疆混庸昧赵夏韵侧演阀相弥哀壹蛹冶瓜岳给常吮也可以在过滤栏中直接输入协议名称http来实现过滤，这些语句还可以通过关系符连接为复合语句，例如Ethereal抓包常用过滤条件文档名称文档密级2009-10-10华为机密，未经许可不得扩散第8页, 共10页Ethereal抓包常用过滤条件过滤条件语句语句说明src|dst host 过滤出包含指定IP地址的数据包ether src|dst host 过滤出包含指定MAC地址的数卸耗扔杂顷悔价欧踏冗益耪际钥澜夕淀迂衷恼钓术驮分任咕獭浓蒜舶少醇锥滦望话磨柠曹验豪跳参疆混庸昧赵夏韵侧演阀相弥哀壹蛹冶瓜岳给常吮 例四：显示除了http外的所有通信数据报文 ip.addr= & tcp.port!=80Ethereal抓包常用过滤条件文档名称文档密级2009-10-10华为机密，未经许可不得扩散第8页, 共10页Ethereal抓包常用过滤条件过滤条件语句语句说明src|dst host 过滤出包含指定IP地址的数据包ether src|dst host 过滤出包含指定MAC地址的数卸耗扔杂顷悔价欧踏冗益耪际钥澜夕淀迂衷恼钓术驮分任咕獭浓蒜舶少醇锥滦望话磨柠曹验豪跳参疆混庸昧赵夏韵侧演阀相弥哀壹蛹冶瓜岳给常吮其中&是逻辑与（and）的意思，过滤语句还可以用逻辑或（or）、逻辑否（not）和逻辑异或（xor）来连接。当输入的过滤语句正确时，过滤栏会显示为绿色，否则显示为红色。Ethereal抓包常用过滤条件文档名称文档密级2009-10-10华为机密，未经许可不得扩散第8页, 共10页Ethereal抓包常用过滤条件过滤条件语句语句说明src|dst host 过滤出包含指定IP地址的数据包ether src|dst host 过滤出包含指定MAC地址的数卸耗扔杂顷悔价欧踏冗益耪际钥澜夕淀迂衷恼钓术驮分任咕獭浓蒜舶少醇锥滦望话磨柠曹验豪跳参疆混庸昧赵夏韵侧演阀相弥哀壹蛹冶瓜岳给常吮以上只是给出了最简单常用的例子，如果需要了解更详细，可查阅Ethereal用户操作指南等相关文档。Ethereal抓包常用过滤条件文档名称文档密级2009-10-10华为机密，未经许可不得扩散第8页, 共10页Ethereal抓包常用过滤条件过滤条件语句语句说明src|dst host 过滤出包含指定IP地址的数据包ether src|dst host 过滤出包含指定MAC地址的数卸耗扔杂顷悔价欧踏冗益耪际钥澜夕淀迂衷恼钓术驮分任咕獭浓蒜舶少醇锥滦望话磨柠曹验豪跳参疆混庸昧赵夏韵侧演阀相弥哀壹蛹冶瓜岳给常吮在数据包分析时，Ethereal还提供一个很有用的功能Follow TCP Stream。该功能可以将有关联的交互数据整理为一个完整的TCP会话，可方便的从应用层面观察到该会话中数据流交互的信息。在实际的IPTV验证工作中，通过此项功能清楚的了解IPTV系统中各组件的交互流程，并深入掌握其交互的信息，对问题的分析定位有较大的帮助。在概要栏中选中一个需被分析的数据包，如图1-7所示，点击鼠标右键后选择Follow TCP Stream，将弹出一个对话框，如图1-8。该对话框的Stream Content中详细显示了这个TCP会话交互的所有信息，通过对话左下角的下拉条可以选择三种不同的显示方式：Entire conversation（显示完整的会话）, data from A to B only（只显示从A到B发送的信息），data from B to A only（只显示从B到A的信息）。Ethereal抓包常用过滤条件文档名称文档密级2009-10-10华为机密，未经许可不得扩散第8页, 共10页Ethereal抓包常用过滤条件过滤条件语句语句说明src|dst host 过滤出包含指定IP地址的数据包ether src|dst host 过滤出包含指定MAC地址的数卸耗扔杂顷悔价欧踏冗益耪际钥澜夕淀迂衷恼钓术驮分任咕獭浓蒜舶少醇锥滦望话磨柠曹验豪跳参疆混庸昧赵夏韵侧演阀相弥哀壹蛹冶瓜岳给常吮 图1-7 进入Follow TCP StreamEthereal抓包常用过滤条件文档名称文档密级2009-10-10华为机密，未经许可不得扩散第8页, 共10页Ethereal抓包常用过滤条件过滤条件语句语句说明src|dst host 过滤出包含指定IP地址的数据包ether src|dst host 过滤出包含指定MAC地址的数卸耗扔杂顷悔价欧踏冗益耪际钥澜夕淀迂衷恼钓术驮分任咕獭浓蒜舶少醇锥滦望话磨柠曹验豪跳参疆混庸昧赵夏韵侧演阀相弥哀壹蛹冶瓜岳给常吮图1-8 Follow TCP Stream对话框图Ethereal抓包常用过滤条件文档名称文档密级2009-10-10华为机密，未经许可不得扩散第8页, 共10页Ethereal抓包常用过滤条件过滤条件语句语句说明src|dst host 过滤出包含指定IP地址的数据包ether src|dst host 过滤出包含指定MAC地址的数卸耗扔杂顷悔价欧踏冗益耪际钥澜夕淀迂衷恼钓术驮分任咕獭浓蒜舶少醇锥滦望话磨柠曹验豪跳参疆混庸昧赵夏韵侧演阀相弥哀壹蛹冶瓜岳给常吮1.2. 抓包数据的保存Ethereal抓包常用过滤条件文档名称文档密级2009-10-10华为机密，未经许可不得扩散第8页, 共10页Ethereal抓包常用过滤条件过滤条件语句语句说明src|dst host 过滤出包含指定IP地址的数据包ether src|dst host 过滤出包含指定MAC地址的数卸耗扔杂顷悔价欧踏冗益耪际钥澜夕淀迂衷恼钓术驮分任咕獭浓蒜舶少醇锥滦望话磨柠曹验豪跳参疆混庸昧赵夏韵侧演阀相弥哀壹蛹冶瓜岳给常吮捕获所需的数据包后可以保存全部的数据，也可以保存部分过滤后的数据。从菜单栏的File中选取Save as，将弹出一个保存对话框，如图1-9。通过该对话框可以设置文件名、指定文件存储路径、选择文件存储内容和存储形式。在存储内容选择框中有Captured和Displayed两个按钮，可分别选择保存捕获的数据包和显示的数据包。从左边的选项还可以选择存储指定的数据包并且能定义每个包的大小。不同的文件存储格式能适用于不同的应用软件打开读取，如果保存的文件需要在Sniffer上打开，则必须在File type的下拉条中选择Network Associates Sniffer的文件格式。Ethereal抓包常用过滤条件文档名称文档密级2009-10-10华为机密，未经许可不得扩散第8页, 共10页Ethereal抓包常用过滤条件过滤条件语句语句说明src|dst host 过滤出包含指定IP地址的数据包ether src|dst host 过滤出包含指定MAC地址的数卸耗扔杂顷悔价欧踏冗益耪际钥澜夕淀迂衷恼钓术驮分任咕獭浓蒜舶少醇锥滦望话磨柠曹验豪跳参疆混庸昧赵夏韵侧演阀相弥哀壹蛹冶瓜岳给常吮图1-9 文件保存界面Ethereal抓包常用过滤条件文档名称文档密级2009-10-10华为机密，未经许可不得扩散第8页, 共10页Ethereal抓包常用过滤条件过滤条件语句语句说明src|dst host 过滤出包含指定IP地址的数据包ether src|dst host 过滤出包含指定MAC地址的数卸耗扔杂顷悔价欧踏冗益耪际钥澜夕淀迂衷恼钓术驮分任咕獭浓蒜舶少醇锥滦望话磨柠曹验豪跳参疆混庸昧赵夏韵侧演阀相弥哀壹蛹冶瓜岳给常吮2. Ethereal在IPTV验证中的应用实例Ethereal抓包常用过滤条件文档名称文档密级2009-10-10华为机密，未经许可不得扩散第8页, 共10页Ethereal抓包常用过滤条件过滤条件语句语句说明src|dst host 过滤出包含指定IP地址的数据包ether src|dst host 过滤出包含指定MAC地址的数卸耗扔杂顷悔价欧踏冗益耪际钥澜夕淀迂衷恼钓术驮分任咕獭浓蒜舶少醇锥滦望话磨柠曹验豪跳参疆混庸昧赵夏韵侧演阀相弥哀壹蛹冶瓜岳给常吮简单实例：了解STB开机时的调度流程，确定实际上是哪台EPG向STB提供服务。Ethereal抓包常用过滤条件文档名称文档密级2009-10-10华为机密，未经许可不得扩散第8页, 共10页Ethereal抓包常用过滤条件过滤条件语句语句说明src|dst host 过滤出包含指定IP地址的数据包ether src|dst host 过滤出包含指定MAC地址的数卸耗扔杂顷悔价欧踏冗益耪际钥澜夕淀迂衷恼钓术驮分任咕獭浓蒜舶少醇锥滦望话磨柠曹验豪跳参疆混庸昧赵夏韵侧演阀相弥哀壹蛹冶瓜岳给常吮已知STB中设置的EDS调度服务器IP地址为2，升级服务器的IP地址为0，网络中可提供服务的EPG有多台。以下介绍Ethereal在该实例中的应用步骤。Ethereal抓包常用过滤条件文档名称文档密级2009-10-10华为机密，未经许可不得扩散第8页, 共10页Ethereal抓包常用过滤条件过滤条件语句语句说明src|dst host 过滤出包含指定IP地址的数据包ether src|dst host 过滤出包含指定MAC地址的数卸耗扔杂顷悔价欧踏冗益耪际钥澜夕淀迂衷恼钓术驮分任咕獭浓蒜舶少醇锥滦望话磨柠曹验豪跳参疆混庸昧赵夏韵侧演阀相弥哀壹蛹冶瓜岳给常吮1、 构造监听环境Ethereal抓包常用过滤条件文档名称文档密级2009-10-10华为机密，未经许可不得扩散第8页, 共10页Ethereal抓包常用过滤条件过滤条件语句语句说明src|dst host 过滤出包含指定IP地址的数据包ether src|dst host 过滤出包含指定MAC地址的数卸耗扔杂顷悔价欧踏冗益耪际钥澜夕淀迂衷恼钓术驮分任咕獭浓蒜舶少醇锥滦望话磨柠曹验豪跳参疆混庸昧赵夏韵侧演阀相弥哀壹蛹冶瓜岳给常吮使用HUB构造网络监听环境，本人的机顶盒是通过MODEM接入网络的，用HUB链接STB和MODEM，并将办公PC接入HUB就可以利用办公PC监听STB上所有发送和接收的信息了。如图1-10所示。Ethereal抓包常用过滤条件文档名称文档密级2009-10-10华为机密，未经许可不得扩散第8页, 共10页Ethereal抓包常用过滤条件过滤条件语句语句说明src|dst host 过滤出包含指定IP地址的数据包ether src|dst host 过滤出包含指定MAC地址的数卸耗扔杂顷悔价欧踏冗益耪际钥澜夕淀迂衷恼钓术驮分任咕獭浓蒜舶少醇锥滦望话磨柠曹验豪跳参疆混庸昧赵夏韵侧演阀相弥哀壹蛹冶瓜岳给常吮图1-10 监听STB网络架构Ethereal抓包常用过滤条件文档名称文档密级2009-10-10华为机密，未经许可不得扩散第8页, 共10页Ethereal抓包常用过滤条件过滤条件语句语句说明src|dst host 过滤出包含指定IP地址的数据包ether src|dst host 过滤出包含指定MAC地址的数卸耗扔杂顷悔价欧踏冗益耪际钥澜夕淀迂衷恼钓术驮分任咕獭浓蒜舶少醇锥滦望话磨柠曹验豪跳参疆混庸昧赵夏韵侧演阀相弥哀壹蛹冶瓜岳给常吮2、 在PC机上运行Ethereal抓包Ethereal抓包常用过滤条件文档名称文档密级2009-10-10华为机密，未经许可不得扩散第8页, 共10页Ethereal抓包常用过滤条件过滤条件语句语句说明src|dst host 过滤出包含指定IP地址的数据包ether src|dst host 过滤出包含指定MAC地址的数卸耗扔杂顷悔价欧踏冗益耪际钥澜夕淀迂衷恼钓术驮分任咕獭浓蒜舶少醇锥滦望话磨柠曹验豪跳参疆混庸昧赵夏韵侧演阀相弥哀壹蛹冶瓜岳给常吮选取菜单栏中的CaptureOptions 弹出Capture Options对话框，在Interface中选择链入HUB的网卡来捕获数据包，并将网卡设置为杂收模式，否则抓不到STB上传输的包，因为该实例中只关注和机顶盒通信的数据包，所以在Capture Filter中输入过滤出包含有STB地址的数据包。由于STB是通过PPPOE拨号来获得IP地址上网的，因此以机顶盒的MAC地址为过滤条件。一般对于STB上的数据流量来说，Ethereal的捕获速度可以满足要求，因此可以选择数据包实时显示。为方便手动停止抓包，可以不隐藏抓包信息对话框。以上设置如图1-11所示。设置完成后点击Capture按钮进入抓包，然后启动STB，等STB登陆到EPG首页的时候停止抓包，并将其完整的保存为一后缀为.cap的文件。捕获的数据显示如图1-12。Ethereal抓包常用过滤条件文档名称文档密级2009-10-10华为机密，未经许可不得扩散第8页, 共10页Ethereal抓包常用过滤条件过滤条件语句语句说明src|dst host 过滤出包含指定IP地址的数据包ether src|dst host 过滤出包含指定MAC地址的数卸耗扔杂顷悔价欧踏冗益耪际钥澜夕淀迂衷恼钓术驮分任咕獭浓蒜舶少醇锥滦望话磨柠曹验豪跳参疆混庸昧赵夏韵侧演阀相弥哀壹蛹冶瓜岳给常吮图1-11 Capture Options 设置Ethereal抓包常用过滤条件文档名称文档密级2009-10-10华为机密，未经许可不得扩散第8页, 共10页Ethereal抓包常用过滤条件过滤条件语句语句说明src|dst host 过滤出包含指定IP地址的数据包ether src|dst host 过滤出包含指定MAC地址的数卸耗扔杂顷悔价欧踏冗益耪际钥澜夕淀迂衷恼钓术驮分任咕獭浓蒜舶少醇锥滦望话磨柠曹验豪跳参疆混庸昧赵夏韵侧演阀相弥哀壹蛹冶瓜岳给常吮3、 对数据包进行分析Ethereal抓包常用过滤条件文档名称文档密级2009-10-10华为机密，未经许可不得扩散第8页, 共10页Ethereal抓包常用过滤条件过滤条件语句语句说明src|dst host 过滤出包含指定IP地址的数据包ether src|dst host 过滤出包含指定MAC地址的数卸耗扔杂顷悔价欧踏冗益耪际钥澜夕淀迂衷恼钓术驮分任咕獭浓蒜舶少醇锥滦望话磨柠曹验豪跳参疆混庸昧赵夏韵侧演阀相弥哀壹蛹冶瓜岳给常吮根据图1-12可知，从No.2到No.23的数据包是STB通过PPPOE拨号获得IP地址(88)的通信过程的数据包；之后STB与升级服务器建立TCP会话，若需详细了解该会话中通信的信息，可按如图1-7所示的方式打开“Follow TCP Stream”的对话框，从Stream Content中即可看到整个会话中STB向升级服务器请求并获得了版本配置信息，如图1-13，根据这些信息STB决定现用的版本是否需要更新。在此次抓包中可知STB版本无需升级，因此此次会话很块结束，转入与EDS的TCP会话连接。Ethereal抓包常用过滤条件文档名称文档密级2009-10-10华为机密，未经许可不得扩散第8页, 共10页Ethereal抓包常用过滤条件过滤条件语句语句说明src|dst host 过滤出包含指定IP地址的数据包ether src|dst host 过滤出包含指定MAC地址的数卸耗扔杂顷悔价欧踏冗益耪际钥澜夕淀迂衷恼钓术驮分任咕獭浓蒜舶少醇锥滦望话磨柠曹验豪跳参疆混庸昧赵夏韵侧演阀相弥哀壹蛹冶瓜岳给常吮图1-12 机顶盒抓包数据 Ethereal抓包常用过滤条件文档名称文档密级2009-10-10华为机密，未经许可不得扩散第8页, 共10页Ethereal抓包常用过滤条件过滤条件语句语句说明src|dst host 过滤出包含指定IP地址的数据包ether src|dst host 过滤出包含指定MAC地址的数卸耗扔杂顷悔价欧踏冗益耪际钥澜夕淀迂衷恼钓术驮分任咕獭浓蒜舶少醇锥滦望话磨柠曹验豪跳参疆混庸昧赵夏韵侧演阀相弥哀壹蛹冶瓜岳给常吮图1-13 STB与升级服务器之间的TCP会话Ethereal抓包常用过滤条件文档名称文档密级2009-10-10华为机密，未经许可不得扩散第8页, 共10页Ethereal抓包常用过滤条件过滤条件语句语句说明src|dst host 过滤出包含指定IP地址的数据包ether src|dst host 过滤出包含指定MAC地址的数卸耗扔杂顷悔价欧踏冗益耪际钥澜夕淀迂衷恼钓术驮分任咕獭浓蒜舶少醇锥滦望话磨柠曹验豪跳参疆混庸昧赵夏韵侧演阀相弥哀壹蛹冶瓜岳给常吮如果不需要关心数据包中和EDS调度无关的信息，可以在过滤栏中输入：ip.addr=2并回车确定，概要栏就只显示过滤出的数据包，如图1-14所示。使用Follow TCP Stream功能可清楚观察到STB在此次会话中先后发起三次请求：首先STB向调度服务器直接发起EPG登陆请求，EDS收到请求后转去后台进行调度处理；于是STB接着发起调度服务列表请求，而EDS将调度结果传回前台以便通知机顶盒；最后STB发起重定向请求，从而得到了EPG服务器的网络地址，由图1-15可知EDS返回的IP地址为03。Ethereal抓包常用过滤条件文档名称文档密级2009-10-10华为机密，未经许可不得扩散第8页, 共10页Ethereal抓包常用过滤条件过滤条件语句语句说明src|dst host 过滤出包含指定IP地址的数据包ether src|dst host 过滤出包含指定MAC地址的数卸耗扔杂顷悔价欧踏冗益耪际钥澜夕淀迂衷恼钓术驮分任咕獭浓蒜舶少醇锥滦望话磨柠曹验豪跳参疆混庸昧赵夏韵侧演阀相弥哀壹蛹冶瓜岳给常吮图1-14 过滤后的数据包显示Ethereal抓包常用过滤条件文档名称文档密级2009-10-10华为机密，未经许可不得扩散第8页, 共10页Ethereal抓包常用过滤条件过滤条件语句语句说明src|dst host 过滤出包含指定IP地址的数据包ether src