ethereal的使用詳解ppt課件

1、Ethereal的使用 J ethereal OverviewEtherrealEtherrealQ ethereal ethereal安裝安裝WinpcapWinpcap的下載安裝的下載安裝EtherrealEtherreal下載安裝下載安裝winpcapDownload: (當前最新的是當前最新的是 3.1beta4 ,正式版本是正式版本是3.0）mirrors.wiretapped/security/packet-capture/winpcap/winpcap.polito.it/install/default.htmetherealDownload： （now release vers

2、ion ：0.10.10 ，support chinese） Ethereal/distrubution/win32/ ethereal ethereal使用指南使用指南User Guiden雙擊啟動桌面上雙擊啟動桌面上ethereal圖圖n 標標 ，按，按ctrl+K進進行行n “capture option的的選擇。選擇。n選擇選擇 正確的正確的NIC，進行報，進行報n 文的捕獲。支持文的捕獲。支持 WLan無無n n 線的相關(guān)協(xié)議。線的相關(guān)協(xié)議。nInterface是選擇捕獲接口是選擇捕獲接口nCapture packets in promiscuous mode表示是否打表示是否打開混

3、雜模式，打開即捕獲所有開混雜模式，打開即捕獲所有的報文，一般我們只捕獲到本的報文，一般我們只捕獲到本機收發(fā)的數(shù)據(jù)報文，所以關(guān)掉機收發(fā)的數(shù)據(jù)報文，所以關(guān)掉nLimit each packet 表示表示 限制限制每個報文的大小每個報文的大小nCapture files 即捕獲數(shù)據(jù)包的即捕獲數(shù)據(jù)包的保存的文件名以及保存位置保存的文件名以及保存位置Capture OptionsEthereal:capture form (nic) driverncapture option確認選擇后，確認選擇后，點擊點擊ok就開始進行抓包就開始進行抓包n同時就會彈出同時就會彈出“Ethereal:capture fo

4、rm (nic) driver”，其中，其中(nic)代表本機代表本機的網(wǎng)卡型號。的網(wǎng)卡型號。n同時該界面會以協(xié)議的不同統(tǒng)同時該界面會以協(xié)議的不同統(tǒng)計捕獲到報文的百分比計捕獲到報文的百分比n點擊點擊stop即可以停止抓包即可以停止抓包n在使用在使用“Ethereal:capture form (nic) driver抓包的同時，可抓包的同時，可以通過最小化以通過最小化 or 使用使用alt+tab的快捷鍵直接切換到的快捷鍵直接切換到 報文瀏覽報文瀏覽的主界面的主界面User GuideFile的下拉菜單的下拉菜單n“Open即打開已存的抓包文即打開已存的抓包文件，快捷鍵是件，快捷鍵是crtlQ

5、n“Open Recent即打開先前已即打開先前已察看的抓包文件，類似察看的抓包文件，類似windows的最近訪問過的文檔的最近訪問過的文檔n“Merge字面是合并的意思，字面是合并的意思，其實是追加的意思，即當前捕其實是追加的意思，即當前捕獲的報文追加到先前已保存的獲的報文追加到先前已保存的抓包文件中。抓包文件中。nSave和和save as即保存即保存 、選擇、選擇保存格式。保存格式。n其中其中save sa保存為是有個注意保存為是有個注意點：點：n點擊點擊n 該展開按鈕即可詳細選擇該展開按鈕即可詳細選擇保存保存n 途徑途徑n2. File type保存選擇時注意：保存選擇時注意：n 缺省

6、保存為缺省保存為libpcap格式，格式，這個是這個是linux下的下的tcpdump格式格式的文件。只有選擇文件保存格的文件。只有選擇文件保存格式為式為snifferwindowsbase1.1和和2.0都可，都可，ethereal和和sniffer才能雙向互相打開對方才能雙向互相打開對方抓包的文件。否則只有抓包的文件。否則只有ethereal能打開能打開sniffer的抓包的抓包文件。文件。Sinffer、ethereal可以相互打開對方的文件可以相互打開對方的文件File的下拉菜單的下拉菜單nExport是輸出的意思是輸出的意思nPrint 打印打印nQuit退出退出Edit的下拉菜單的

7、下拉菜單nFind Packet 就是查詢報文，就是查詢報文，快捷鍵是快捷鍵是ctrl+Fn可以支持不同格式的查找可以支持不同格式的查找n輸入正確的語句，那么背景為輸入正確的語句，那么背景為 綠色，語句錯誤或缺少背景就為綠色，語句錯誤或缺少背景就為 紅色紅色 Edit的下拉菜單的下拉菜單nFind Next是向下查找是向下查找nFind Preyious是向上查找是向上查找nTime Reference 字面是時間參字面是時間參考，使用后明白是考，使用后明白是 做個報文做個報文的的“時間戳時間戳”，方便大量報文，方便大量報文的查詢的查詢Edit的下拉菜單報文標簽的下拉菜單報文標簽n使用使用Ti

8、me Reference標標簽后，原先簽后，原先time的就變的就變成成 “REF縮寫的標縮寫的標記記n 附注：你可以在多個附注：你可以在多個報文間報文間 n 用時間戳標記，用時間戳標記，方便方便 n 查詢。查詢。n n 通俗點就象書通俗點就象書簽一樣。簽一樣。nMark Packettoggle是標記報文是標記報文nMark all packets 和和 Unamrk all packet即即標記所有報文標記所有報文 、取消、取消標記所有報文標記所有報文Edit的下拉菜單的下拉菜單n點擊點擊“preference進行用進行用戶界面的選戶界面的選擇，比如說擇，比如說 報文察看界報文察看界面布局

9、的選面布局的選擇，以及協(xié)擇，以及協(xié)議支持的選議支持的選擇。擇。View的下拉菜單的下拉菜單nMain toolbar 主工具欄主工具欄nFilter Toolbar 過濾工具欄過濾工具欄nStatusbar 狀態(tài)條狀態(tài)條nPacket list 報文列表報文列表nPacket details 報文詳解報文詳解nPacket byte 報文字節(jié)察看報文字節(jié)察看nTime display format 時間顯示格時間顯示格式可以顯示年月日時分秒）式可以顯示年月日時分秒）nName Resolution 名字解析名字解析nAuto scroll in live capture 單看單看字面真的不好翻

10、譯自動翻卷顯字面真的不好翻譯自動翻卷顯示活動的報文），使用對比一下示活動的報文），使用對比一下才獲知：捕獲時是否跟進顯示更才獲知：捕獲時是否跟進顯示更新的報文還是顯示先前的報文。新的報文還是顯示先前的報文。View的下拉菜單的下拉菜單nZoom in 字體的放大字體的放大nZoom out 字體的縮小字體的縮小nNormal size 標準大小標準大小nResize columns 格式對齊格式對齊nCollapse all 報文細節(jié)內(nèi)容的縮報文細節(jié)內(nèi)容的縮進進nExpand all 報文細節(jié)內(nèi)容的展開報文細節(jié)內(nèi)容的展開nColoring Rules 顏色規(guī)則，即可顏色規(guī)則，即可以對特定的數(shù)據(jù)

11、包定義特定的顏以對特定的數(shù)據(jù)包定義特定的顏色。色。nShow packet in new window在新在新窗口中查看報文內(nèi)容窗口中查看報文內(nèi)容nReload 刷新刷新go的下拉菜單的下拉菜單nBack 同樣雙方的上個報文同樣雙方的上個報文nForward 同樣雙方的下一個報文同樣雙方的下一個報文nGo to packet 查找到指定號碼的查找到指定號碼的報文報文nFirst packet 第一個報文第一個報文nLast packet 最后一個報文最后一個報文capture的下拉菜單的下拉菜單nStart 開始捕獲報文開始捕獲報文Interface 接口接口捕獲過濾捕獲過濾capture的下

12、拉菜單的下拉菜單capture的的Capture filter u捕獲過濾捕獲過濾n如果要捕獲特定的報文，那在抓取如果要捕獲特定的報文，那在抓取packet前就要設(shè)置，決定數(shù)據(jù)包的前就要設(shè)置，決定數(shù)據(jù)包的類型。類型。 FIlter name：任意命名：任意命名 Filter string： 這里要注意了，這里語法這里要注意了，這里語法輸輸 入有點技巧。嘿嘿入有點技巧。嘿嘿look：。：。u比如說：比如說：ua.捕獲捕獲 MAC地址為地址為 00:d0:f8:00:00:03 網(wǎng)絡(luò)設(shè)備通信的所有報文網(wǎng)絡(luò)設(shè)備通信的所有報文u ether host 00:d0:f8:00:00:03ub.捕獲捕獲

13、IP地址為地址為 網(wǎng)絡(luò)設(shè)備通信的所有報文網(wǎng)絡(luò)設(shè)備通信的所有報文u host uc.捕獲網(wǎng)絡(luò)捕獲網(wǎng)絡(luò)web瀏覽的所有報文瀏覽的所有報文u tcp port 80ud.捕獲捕獲除了除了http外的所有通信數(shù)據(jù)報文外的所有通信數(shù)據(jù)報文u host and not tcp port 80u提示：如果以提示：如果以 默認主機和端口的設(shè)置捕獲默認主機和端口的設(shè)置捕獲 tcp/ip報文，你將看報文，你將看不到自身的不到自身的arp報文。報文。capture的的Capture filter capture的的C

14、apture filterFilter string 語法輸入的格式語法輸入的格式src|dst host ether src|dst host gateway host src|dst net mask |len tcp|udp src|dst port less|greater ip|ether proto ether|ip broadcast|multicast relop 符號在符號在Filter string語法中的定義語法中的定義 Equal: eq, = (等于）等于） Not equal: ne, != （不等于）（不等于） Greater than: gt, （大于）（大于）

15、 Less Than: lt, = （大等于）（大等于） Less than or Equal to: le, = （小等于）（小等于）Capture filter的應(yīng)用步驟的應(yīng)用步驟nDisplay filters 顯示過濾顯示過濾n 可以直接在主界面的可以直接在主界面的filter上選上選擇擇Analyze的下拉菜單的下拉菜單Analyze下的下的Display filters正確的語法如下，和正確的語法如下，和“Capture Filter的語法有所不同：的語法有所不同：顯示顯示 以太網(wǎng)地址為以太網(wǎng)地址為 00:d0:f8:00:00:03 設(shè)備通信的所有報文設(shè)備通信的所有報文 eth.

16、addr=00.d0.f8.00.00.03顯示顯示 IP地址為地址為 網(wǎng)絡(luò)設(shè)備通信的所有報文網(wǎng)絡(luò)設(shè)備通信的所有報文 ip.addr=顯示所有設(shè)備顯示所有設(shè)備web瀏覽的所有報文瀏覽的所有報文 tcp.port=80顯示顯示除了除了http外的所有通信數(shù)據(jù)報文外的所有通信數(shù)據(jù)報文 ip.addr= & tcp.port!=80Analyze的下拉菜單的下拉菜單nEnable protocolsn n 是否啟用該協(xié)議的解是否啟用該協(xié)議的解析，析，n n 點選該協(xié)議后，相關(guān)點選該協(xié)議后，相關(guān)的上的上n

17、 n 層協(xié)議才能顯示出來。層協(xié)議才能顯示出來。Analyze的下拉菜單的下拉菜單nDecode As n 用戶定義報文協(xié)議說明用戶定義報文協(xié)議說明nUser Specified Decodesn 用戶修改的報文編譯用戶修改的報文編譯n n Analyze的的Decode AsnDecode As n 用戶定義報文協(xié)議說用戶定義報文協(xié)議說明明n 通過定義后，數(shù)據(jù)包細通過定義后，數(shù)據(jù)包細節(jié)的窗口解釋：原先是節(jié)的窗口解釋：原先是 tcp的解釋，更改就直接顯示的解釋，更改就直接顯示ssl格式的報文了。格式的報文了。n n Analyze的的follow tcp stream好戲來了好戲來了follow

18、 tcp follow tcp streamstream）n在在 瀏覽器中瀏覽器中 敲入敲入 ethereal/decelopment.html n同時同時ctrlk 開始抓包，嘿嘿開始抓包，嘿嘿 -n嘿嘿，看到你了。在嘿嘿，看到你了。在packet detail的窗口里的窗口里 安祥的躺著安祥的躺著 decelopment.html報文。報文。n小樣，抓到你了。小樣，抓到你了。Analyze的的follow tcp streamn在在 packet detail 窗口中選擇這個報文（窗口中選擇這個報文（ decelopment.html報文點報文點擊右鍵擊右鍵 選擇選擇 “ follow tcp stream”Analyze的的follow tcp streamn這就是這就是 follow tcp stream窗口，然后全選窗口，然后全選 ，在，在ctrlc，n翻開翻開 記事本，記事本，ctrlv，另存為，另存為 1.html。最后雙擊該文件。后面我什么。最后雙擊該文件。后面我什么都不知道了。都不知道了。n這只是這只是 ethereal強大功能其中的一個小技巧強大功能其中的一個小技巧nStatistics 顧名思義顧名思義 統(tǒng)計統(tǒng)計n 就是相關(guān)的報文的統(tǒng)計信息就是相關(guān)的報文的統(tǒng)計信息n n