Ethereal工具

1、Ethereal工具简介本文档通过用Ethereal工具对一些常用的TCP/IP数据包进行分析的过程，简要描述了Ethereal的使用方法，旨在提供一个学习思路和方法，若要对TCP/IP协议有更深层次的了解，还需在实际工作和应用中不断地学习和探索.1Ethereal工具简介Ethereal是一种非常实用的网络协议分析器，支持Linux和windows平台.通过它可以按需抓取网络设备发出的数据包，并能对其进行过滤、解析.2网络环境搭建IntranetUPLINKHubPCWANF200-AWANF200-B如图所示（该图仅是最简单的一个例子），只要将安装有Ethereal的PC与被抓包的设备接在

2、同一个Hub下（注意一定要用Hub哦，Switch是不可以的）就可以了.当然如果你想抓设备WAN口发出的数据包就和WAN口接在同一个Hub下，如果你想抓设备LAN口发出的数据包，就和LAN口接在同一个Hub下.这里有个问题要注意一下，就是Hub有两个口和其它口是不一样的，即UPLINK口和它旁边的那个口，UPLINK口是上行接口，其它子口复用UPLINK口的带宽，当然在抓包的时候，上行的网线也可以接其它子口，对结果没有影响，只是要注意不能同时使用UPLINK口和它旁边的那个口，因为这两个口是同一个口，如果同时使用的话会造成环路.3Ethereal使用方法3.1 启用打开Ethereal后，点击

3、菜单上的"Capture""Options",将弹出如下窗口：Interface：指定在哪个接口（网卡）上抓包Capturepacketsinpromiscuousmode：是否打开混杂模式.如果打开，抓取所有的数据包.要抓非本机的数据包，选由此项.CaptureFilter：过滤器.只抓取满足过滤规则的包（在附录中将简要介绍过滤规则）.File：如果需要将抓到的包写到文件中，在这里输入文件名称3.2显示按以上步骤配置好后，点击”Start”就开始抓包了.抓包界面如下图所示：按“Stop”键可随时停止抓包.Filter一栏是显示过滤器，可以输入一些过滤规

4、则（格式见附件）.当背景为绿色时，表示输入的过滤规则的格式正确，若出现粉红色，则表示输入的格式不正确.4数据的解析Ethereal不会把它直接有些数据所采用的端口号并不是通用的标准的端口号,解析成我们能读懂的语言，因此需要我们手工解析。解析条件：要知道这个数据包是采用什么协议，若采用的是标准的通信协议，则可以解析出来，否则解析不出来。解析步骤：右键所要解析的数据，从下来菜单中选择“DecodeAs”No.TimeSourceDeslinationProtocolInfo10.000000工支，163.5.10192+163.5.11TCP1051>308g.LK5】£q031.

5、7942271TCPMarkPackjetfloggle)S41.7951261TCPTimeRefeirence卜151.80Q134192.168.5,11192.16S.5.1TCP51.S13656192.16B.5.L192.16S.5.11TCPApplya£Filler171.816664192,168.1192,168.5,11TCP81.817528192.16S.5.11TCP1目口目0arlllvir5691.822318i192.

6、168.5.1TCPFollowTCPStreams101.822633192.168,5.11TCP55111.822741192,168.5,1192,163.5.11TCP：DecodeAs.|s121.823951192,168.$,115,1TCP旦Print.56131.S25215192.16B.5.1TCP0ShowPackelinNewWindow141.8256221TCPs在弹出的对tS框中，在Transport界面里选择端口，试情况选择sourcedestination和both。E

7、g若传输过程中目的端口是固定的，则选择“destination",若不确定选什么，就选择“both”。5YNTCPTCP286>50155SYN,ACKJ1.754上，Lyj.lbcS.3.141.79512651.30013461.81365671*81666481.81752891.822318101.822633111.822741121.8239511W1.325215151.826531IS1.S29915171.33Q4S7191,84201.849879>1tanaime2(74byitnerrieftIT,5r(cernerProroctirisini53

8、1oncotApplycurrentsetting,closedialogandreidissettpackets.ACKseq=1ACKseq=5seq-kseq-f5eq=(Bk>seq=JACK5明<1ACK5eq=EALi/l42:1(5.Gseq:点OK之后，就可以把所有包含2869这个端口的包全都解析出来了：'I-riwv画jvviThwwiiiw*m="wrjvnthir-v|r，0pwriea*wim51.30011152.16E.5.1HTTPPOST/Upnp?COITtr01-WANPPPConnlHTTP/1.161,

9、3136：号8.5.L152,166,511TCP239>&eq=lACk=56Bw1n=21071.816664L192.16B.5.11KTTFHTTP/1.1200OKi_»ti«三一,r-iir5常用数据包举例5.1PPPoE通过用帐户（isp提供）拨号获取公网ip地址的协议。大部分家庭用户均采用此方式上网1018pppoewronnusernameHcaplitherealJ口xFite3比ViewQoRaptureAmatvzeStatisticsHelp也平生昌口就a或阳津Eiiter：k口-E其prey节ion©H

10、earApplyeSourceDestimatipmPr玻口InfoA啊叫hlTTE1匚rrg!B0科匚tGvuDiBUGveryInitziuti”"口二.3413963743OS>119563SODL6386328399496399937*02099>79235wsgg>9S995>99631?UZyM304769i22601192,168.1.101Unispher_42:44:6192-168.1,101Unn3pher_42;44;日6Unl£ph*r_42:441E6192,168.1,101192.16S.1.10LUn1spher_4

11、2:44:B6192,165.1,101Unispher_42:44:B6Unispher_42:44192.168.1,101Un1spher_42：44：B6lyzibK.i.iuiUnispher_42:44：86192-16®-1.101Lhni£phEr_42：44；&6192168.1.101unlspher_42：44192,L60.1,101192L6B.l.iaiUni5pher_42:44：86UnisDlier_42:4:S6192,L68.1.101un1spher_42：4401Unisphier_42:44:36W2

12、.16B,1.101Uni5pher_42；44；b：b192l&S.l.iaiUniEpheSM-lsSePPPOEOPPPOEDl-P-'PPPPPPPPPPPPPPPPPFPPPFP='PPPPPPFPPLLPLCPLCPLCPLCPLCPPAPPAPLCPLCPLCPLCPActiveDiscoveryRequest(padr)ActiveDiscoverySession-confirmationconfigurationHequescConFigurationRequestConf1guritionAckConfigurationAct：EchoRequest

13、EchoReplyAjurtienricare-R.equesrAuthenticateNakTerminationRequestTweInatzionRequestT&rffii1n3LtlDHTenniination(PAD!PPPoEOPPPOEDFrame46(60bytesonwire,60bytescaptured)+EthernetII?sre：192163.1.101(00：LS：03：10:03:9c),ost：日mack期亡(肝：怦：开：开：开：讨)详?ActiveDiscovei,yTerainatetPADT)ActiveDi&coveryTermina

14、te(PMJT)显示上面一栏所点省的数据包的卫信息covery以ASCII码方式显示数据包的内容"00IB0310卜口门门乙里038口口加8)00000000orQ00000y.=04g00SSf-311Mab01DODOQQMKIM解析成文本形式|FiltiE.中注加然1Q1B"田pUH.闻ougu以i旧IIIBCtip,!145KB001C27|P1017D823MO从上图可以看到设备PPPoE拨号的全部过程.每一行表示一个数据包.Source是源端，Destination是目的端，,这里就不作详细说明了.我们通常以ip地址的形式表示.从Info一栏基本上就可以看出来数

15、据包的作用是什么平时在测试的时候，如果发现PPPoE拨号不成功，可以抓包参考一下，分析是哪一步出了问题.通常出现问题比较多的就是用户名和密码认证这一步，即"PAPAuthentication-Requset".从这张图上可以看出认证是失败的，因为服务器发送了"Authentication-Nak'如果是成功的话，服务器会发送"Authentication-ACK".点击一下这个报文，在下面的t¥细信息（如下图）中会显示用户名和密码信息，通过检查这个信息可以判断设备是否正确的采用用户的配置进行拨号.品1018pppocwrong

16、usetname.capEthereal点击左侧的“+”，可以将相关内容展开hjoqq0-123QooQD-ooDD-136gb2608o30046.14200262526074486CO236172ODIS0101637303ID00246f6604eQ5213Ju17645M&6&8-538-76C7eOq42Q3-7400170,.,6D-7-B-,(1-.LajesT0#%&a.rc5oft.coni.用户配置的密码FileEditViewSoCaptureAnalyzeStatistic?tlelpauatwtf匕篇x您母国事专电再业凰同2d网口福冈骑邪&am

17、p;Expression.QlearApplyFilter：|notarpandnottepandnotudpandnotstpme.SourceDestinationProtocolInk-JUU.Ji.!_.399496.u.-HX._L_.1_J_01_'liiJ|l1_=FJ-丁.Unisrher_42：44：B6PPPLCP，1_riL-LU-lVHILrULkUlProtocol:PassiwordAuthentteatIonProtocol(0xc023)npppPasswordAuthenticationprotocolCode:Authentic

18、ate-Request(0x01)Identifier：:0x01Length：36匚Data(32bytes)qPeerIDlength:23bytesPaer-ID(23bytes)qPassword1ength:7bytesPassword_H111=|*-41U-l_<_H1JR.'-P!.EchoRequest.399937Unispher_42:44:8601PPPLCPEdhoReply.4020990LUmspher_42：44：86PPPPAPAjuthenticats-iRequest.579235Unipher_4

19、2044:8601PPPPAPAuthenticate-Nak.579299Unispher.42:44:8601PPPLCPTerminationReauest一5。8M5192.168.1.IO1Linisphar_42：44:S6PPPLCPTerminationRequest-599&51UtnlspheS:44:8601PPPLCPTmlnAtb.-'nAck.60299101Unisi：her_42：44:86PPPLCPTerminationAck1甲"J1三三1P1

20、017D136M05.2DHCP母1018-upnpfailunder1inksysafterchatigcIandhcpIease.c.EileEditViewGoRaptureAnalyzeStatisticstlelp修修以e?0*a国全学中春生i>|®Qd我巳四也*圆Eilter.|udp.ptft=BExpre?sioft.QlearApplyNo,aTimeSourceDesrinationTotocoInfo762928.637872192.168.1,10125S.25.255.255DHCPDHCPRequest-TransactionWD>.57639

21、2B.54H7455DHCPDHC=NAK-TraniiCtUn10Qx576928.60195OrD.Q-O253,W5$,255.25匚OKPdhcpDiscover-TransactionrDOe西明支g,655T$gig?.16a,1.1255.255.255.?55ohcpdhcporfer-TransActionidQxe764-7929.6581710.00.Q55DHCP口HCPDiscover-TransactionID口ne,1，1511U«111HI11fl11n11n11JLWIT765

22、3930.658006O.D.O.O255.255255.255OKPDHCPRequest-TranwactlonIDQse765430,661047192.168.l.l55DHCPDHC?ack-Transact;qhTDOxe7g?6991.0736B21192,153.1.1DHCPDHCPRequfiSC-IraniacricnIDDxS79;7991,08175019?,168,1,1192.168.1,51OHCPOKP帆K二Transa«iQnioQ曜wkidy_h产ril_TF-csuijr'fiib-.u.

23、w.u_u,y_ur?Clientmacaddress:197,168,1.101(Q0：13：O3:lQ：03:9c)ServerhostnamenotgivengpptfinirenptgivenMagiccookie：(ok)Option53:dhcpMessageType-dhgpofferOption51二IPAddressLeaseTime，2minut曰5ptlqn54:SarygT工dgntifMerL92,LOption1：SubnetMask255,255,255.0Option3:Router19?,168,1,10104II1rI1OO3333D400TODO7B|bQ

24、ptiQn6:DomainN刖gjervgrClJO04cOaB01DL0603ca芯me23caC5ac2fff014000000000DO000000OD00000000000000015000OO0000DO00000000000000(M0000OO|P9419D:110M0在FNter一栏中输入过滤条件“udp.port=68"，可以将DHCP报文过滤出来.从报文可以看出：第一步设备发出DHCPRequest（此时发出的Request请求是DHCP租约将要到期时发送的）时，收到了服务器的DHCPNAK消息，原因是DHCP服务器的IP地址池发生了改变（当Router的DHCP

25、Client表里没有该设备，也会发NAK消息）.通常一个设备连接到网络并申请IP地址的完整流程是从DHCPDiscover开始到服务器发送DHCPACK结束.在租约到期之前,DHCPClient端（如PC）会发出DHCPRequest请求续约（就是上图中的第一步）.租约可以从DHCPOffer中看到，如图在中间一栏中蓝色的那一行，可以看出此时的租约是2minutes.当续约时收到DHCPNAK消息,Client端就会重新申请，就是上图中所示的例子.附录A：Ethereal过滤规则1 CaptureFilternotprimitiveand|ornotprimitive.x为可选内容；a|b选a

26、或b；<x>x为必选；xyz为关键字，不可改变，必选；primitive可以为以下短语：src|dsthost<host>尖括号里的是一个主机IP或主机名字；用src、dst来设定这是目的地址或源地址，如果都不选则全部包括e.g.host显示所有IP地址为“”的数据包，包括发出和到达.ethersrc|dsthost<ehost>尖括号里的是一个MAC地址，用src、dst来设定这是目的地址或源地址，如果都不选则全部包括.e.g.etherhost08:00:08:15:ca:fe显示所有MAC地址为“08:00:

27、08:15:ca:fe”的数据包，包括发出和达到tcp|udpsrc|dstport<port>tcp|udp是选择抓取的协议类型，<port>指定端口.需要注意的是，tcp|udp必需在src|dst之前.e.g.udpport68显示所有端口号为68的udp数据包，即http数据包.2 DisplayFilter2.1 操作符eq,=Equalne,!=NotEqualgt,>GreaterThanIt,<LessThange,>=GreaterthanorEqualtole,<=LessthanorEqualto2.2 常见关键词frameipethudptcphttp2.3 逻辑操作and,&&LogicalANDor,|LogicalORnot,!LogicalNOT举例：ip.srceq1