實(shí)驗(yàn)一ethereal使用詳解

1、EtherealEthereal的使用的使用 J ethereal OverviewEtherealEtherrealQ etherealethereal安裝安裝WinpcapWinpcap的下載安裝的下載安裝EtherrealEtherreal下載安裝下載安裝winpcapDownload: (當(dāng)前最新的是當(dāng)前最新的是 3.1beta4 ,正式版本是正式版本是3.0）http:/ （now release version ：0.10.10 ，support chinese）http:/www. E etherealethereal使用指南使用指南User Guiden雙擊啟動(dòng)桌面上雙擊啟動(dòng)桌

2、面上ethereal圖圖 標(biāo)標(biāo) ，按，按ctrl+K進(jìn)行進(jìn)行 “capture option”的選擇。的選擇。n選擇選擇 正確的正確的NIC，進(jìn)行報(bào)，進(jìn)行報(bào) 文的捕獲。支持文的捕獲。支持 WLan無(wú)無(wú) 線的相關(guān)協(xié)議。線的相關(guān)協(xié)議。nInterface是選擇捕獲接口是選擇捕獲接口nCapture packets in promiscuous mode表示是否打表示是否打開混雜模式，打開即捕獲所有開混雜模式，打開即捕獲所有的報(bào)文，一般我們只捕獲到本的報(bào)文，一般我們只捕獲到本機(jī)收發(fā)的數(shù)據(jù)報(bào)文，所以關(guān)掉機(jī)收發(fā)的數(shù)據(jù)報(bào)文，所以關(guān)掉nLimit each packet 表示表示 限制限制每個(gè)報(bào)文的大小每個(gè)

3、報(bào)文的大小nCapture files 即捕獲數(shù)據(jù)包的即捕獲數(shù)據(jù)包的保存的文件名以及保存位置保存的文件名以及保存位置Capture OptionsEthereal:capture form (nic) driverncapture option確認(rèn)選擇后，確認(rèn)選擇后，點(diǎn)擊點(diǎn)擊ok就開始進(jìn)行抓包就開始進(jìn)行抓包n同時(shí)就會(huì)彈出同時(shí)就會(huì)彈出“Ethereal:capture form (nic) driver”，其中，其中(nic)代代表本機(jī)的網(wǎng)卡型號(hào)。表本機(jī)的網(wǎng)卡型號(hào)。n同時(shí)該界面會(huì)以協(xié)議的不同統(tǒng)同時(shí)該界面會(huì)以協(xié)議的不同統(tǒng)計(jì)捕獲到報(bào)文的百分比計(jì)捕獲到報(bào)文的百分比n點(diǎn)擊點(diǎn)擊stop即可以停止抓包即可以

4、停止抓包n在使用在使用“Ethereal:capture form (nic) driver”抓包的同時(shí)，抓包的同時(shí)，可可以通過(guò)最小化以通過(guò)最小化 or 使用使用alt+tab的快捷鍵的快捷鍵直接切換到直接切換到 報(bào)文瀏覽報(bào)文瀏覽的主界面的主界面User GuideFile的下拉菜單的下拉菜單n“Open”即打開已存的抓包文即打開已存的抓包文件，快捷鍵是件，快捷鍵是crtlQn“Open Recent”即打開先前已即打開先前已察看的抓包文件，類似察看的抓包文件，類似windows的最近訪問(wèn)過(guò)的文檔的最近訪問(wèn)過(guò)的文檔n“Merge”字面是合并的意思，字面是合并的意思，其實(shí)是追加的意思，即當(dāng)前捕其

5、實(shí)是追加的意思，即當(dāng)前捕獲的報(bào)文追加到先前已保存的獲的報(bào)文追加到先前已保存的抓包文件中。抓包文件中。nSave和和save as即保存即保存 、選擇、選擇保存格式。保存格式。n其中其中save sa保存為是有個(gè)注意保存為是有個(gè)注意點(diǎn)：點(diǎn)：點(diǎn)擊點(diǎn)擊 該展開按鈕即可詳細(xì)選擇保存該展開按鈕即可詳細(xì)選擇保存 路徑路徑2. File type保存選擇時(shí)注意：保存選擇時(shí)注意： 缺省保存為缺省保存為libpcap格式，這個(gè)是格式，這個(gè)是linux下的下的tcpdump格式的文件。格式的文件。只有選擇文件保存格式為只有選擇文件保存格式為sniffer（windowsbase）1.1和和2.0都可，都可，eth

6、ereal和和sniffer才能雙向互相打才能雙向互相打開對(duì)方抓包的文件。否則只有開對(duì)方抓包的文件。否則只有ethereal能打開能打開sniffer的抓包文件。的抓包文件。Sinffer、ethereal可以可以相互打開對(duì)方的文件相互打開對(duì)方的文件File的下拉菜單的下拉菜單nExport是輸出的意思是輸出的意思nPrint 打印打印nQuit退出退出Edit的下拉菜單的下拉菜單nFind Packet 就是查詢報(bào)文，就是查詢報(bào)文，快捷鍵是快捷鍵是ctrl+Fn可以支持不同格式的查找可以支持不同格式的查找n輸入正確的語(yǔ)句，那么背景為輸入正確的語(yǔ)句，那么背景為 綠色綠色，語(yǔ)句錯(cuò)誤或缺少背景就為

7、，語(yǔ)句錯(cuò)誤或缺少背景就為 紅色紅色 Edit的下拉菜單的下拉菜單nFind Next是向下查找是向下查找nFind Preyious是向上查找是向上查找nTime Reference 字面是時(shí)間參字面是時(shí)間參考，使用后明白是考，使用后明白是 做個(gè)報(bào)文做個(gè)報(bào)文的的“時(shí)間戳?xí)r間戳”，方便大量報(bào)文，方便大量報(bào)文的查詢的查詢Edit的下拉菜單報(bào)文標(biāo)簽的下拉菜單報(bào)文標(biāo)簽n使用使用Time Reference標(biāo)簽標(biāo)簽后，原先后，原先time的就變成的就變成 “REF”縮寫的標(biāo)記縮寫的標(biāo)記 附注：附注：你可以在多個(gè)報(bào)文間你可以在多個(gè)報(bào)文間 用時(shí)間戳標(biāo)記，方便用時(shí)間戳標(biāo)記，方便 查詢。查詢。 通俗點(diǎn)就象書簽一

8、樣。通俗點(diǎn)就象書簽一樣。nMark Packet（toggle）是標(biāo)記報(bào)文是標(biāo)記報(bào)文nMark all packets 和和 Unamrk all packet即標(biāo)記即標(biāo)記所有報(bào)文所有報(bào)文 、取消標(biāo)記所、取消標(biāo)記所有報(bào)文有報(bào)文Edit的下拉菜單的下拉菜單n點(diǎn)擊點(diǎn)擊“preference”進(jìn)行用戶界進(jìn)行用戶界面的選擇，面的選擇，比如說(shuō)比如說(shuō) 報(bào)文報(bào)文察看界面布察看界面布局的選擇局的選擇，以及協(xié)議支以及協(xié)議支持的選擇。持的選擇。View的下拉菜單的下拉菜單nMain toolbar 主工具欄主工具欄nFilter Toolbar 過(guò)濾工具欄過(guò)濾工具欄nStatusbar 狀態(tài)條狀態(tài)條nPacket

9、 list 報(bào)文列表報(bào)文列表nPacket details 報(bào)文詳解報(bào)文詳解nPacket byte 報(bào)文字節(jié)察看報(bào)文字節(jié)察看nTime display format 時(shí)間顯示格時(shí)間顯示格式（可以顯示年月日時(shí)分秒）式（可以顯示年月日時(shí)分秒）nName Resolution 名字解析名字解析nAuto scroll in live capture 單看單看字面真的不好翻譯（字面真的不好翻譯（自動(dòng)翻卷顯自動(dòng)翻卷顯示活動(dòng)的報(bào)文示活動(dòng)的報(bào)文），使用對(duì)比一下），使用對(duì)比一下才獲知：捕獲時(shí)是否才獲知：捕獲時(shí)是否跟進(jìn)顯示更跟進(jìn)顯示更新的報(bào)文新的報(bào)文還是還是顯示先前的報(bào)文。顯示先前的報(bào)文。View的下拉菜單的

10、下拉菜單nZoom in 字體的放大字體的放大nZoom out 字體的縮小字體的縮小nNormal size 標(biāo)準(zhǔn)大小標(biāo)準(zhǔn)大小nResize columns 格式對(duì)齊格式對(duì)齊nCollapse all 報(bào)文細(xì)節(jié)內(nèi)容的縮報(bào)文細(xì)節(jié)內(nèi)容的縮進(jìn)進(jìn)nExpand all 報(bào)文細(xì)節(jié)內(nèi)容的展開報(bào)文細(xì)節(jié)內(nèi)容的展開nColoring Rules 顏色規(guī)則，即可顏色規(guī)則，即可以對(duì)特定的數(shù)據(jù)包定義特定的顏以對(duì)特定的數(shù)據(jù)包定義特定的顏色。色。nShow packet in new window在新在新窗口中查看報(bào)文內(nèi)容窗口中查看報(bào)文內(nèi)容nReload 刷新刷新go的下拉菜單的下拉菜單nBack 同樣雙方的上個(gè)報(bào)文同

11、樣雙方的上個(gè)報(bào)文nForward 同樣雙方的下一個(gè)報(bào)文同樣雙方的下一個(gè)報(bào)文nGo to packet 查找到指定號(hào)碼的查找到指定號(hào)碼的報(bào)文報(bào)文nFirst packet 第一個(gè)報(bào)文第一個(gè)報(bào)文nLast packet 最后一個(gè)報(bào)文最后一個(gè)報(bào)文capture的下拉菜單的下拉菜單nStart 開始捕獲報(bào)文開始捕獲報(bào)文nInterface 接口接口n捕獲過(guò)濾捕獲過(guò)濾capture的下拉菜單的下拉菜單capture的的Capture filter u 捕獲過(guò)濾捕獲過(guò)濾n如果要捕獲特定的報(bào)文，那在抓取如果要捕獲特定的報(bào)文，那在抓取packet前就要設(shè)置，決定數(shù)據(jù)包的前就要設(shè)置，決定數(shù)據(jù)包的類型。類型。 F

12、Ilter name：任意命名：任意命名 Filter string： 這里要注意了，這里語(yǔ)法輸這里要注意了，這里語(yǔ)法輸 入有點(diǎn)技巧。入有點(diǎn)技巧。比如說(shuō)：比如說(shuō)：a.捕獲捕獲 MAC地址為地址為 00:d0:f8:00:00:03 網(wǎng)絡(luò)設(shè)備通信的所有報(bào)文網(wǎng)絡(luò)設(shè)備通信的所有報(bào)文 ether host 00:d0:f8:00:00:03b.捕獲捕獲 IP地址為地址為 網(wǎng)絡(luò)設(shè)備通信的所有報(bào)文網(wǎng)絡(luò)設(shè)備通信的所有報(bào)文 host c.捕獲網(wǎng)絡(luò)捕獲網(wǎng)絡(luò)web瀏覽的所有報(bào)文瀏覽的所有報(bào)文 tcp port 80d.捕獲捕獲除了除了htt

13、p外的所有通信數(shù)據(jù)報(bào)文外的所有通信數(shù)據(jù)報(bào)文 host and not tcp port 80提示：如果以提示：如果以 默認(rèn)主機(jī)和端口的設(shè)置捕獲默認(rèn)主機(jī)和端口的設(shè)置捕獲 tcp/ip報(bào)文，你將看不到報(bào)文，你將看不到自身的自身的arp報(bào)文報(bào)文。capture的的Capture filterFilter string 語(yǔ)法輸入的格式語(yǔ)法輸入的格式usrc|dst host uether src|dst host ugateway host usrc|dst net mask |len utcp|udp src|dst port uless|greater uip|ether

14、 proto uether|ip broadcast|multicastu relop 符號(hào)在符號(hào)在Filter string語(yǔ)法中的定義語(yǔ)法中的定義 Equal: eq, = (等于）等于） Not equal: ne, != （不等于）（不等于） Greater than: gt, （大于）（大于） Less Than: lt, = （大等于）（大等于） Less than or Equal to: le, = （小等于）（小等于）Capture filter的應(yīng)用步驟的應(yīng)用步驟nDisplay filters 顯示過(guò)濾顯示過(guò)濾 可以直接在主界面的可以直接在主界面的filter上選擇上選擇

15、Analyze的下拉菜單的下拉菜單Analyze下的下的Display filters正確的語(yǔ)法如下，和正確的語(yǔ)法如下，和“Capture Filter”的語(yǔ)法有所不同：的語(yǔ)法有所不同：顯示顯示 以太網(wǎng)地址為以太網(wǎng)地址為 00:d0:f8:00:00:03 設(shè)備通信的所有報(bào)文設(shè)備通信的所有報(bào)文 eth.addr=00.d0.f8.00.00.03顯示顯示 IP地址為地址為 網(wǎng)絡(luò)設(shè)備通信的所有報(bào)文網(wǎng)絡(luò)設(shè)備通信的所有報(bào)文 ip.addr=顯示所有設(shè)備顯示所有設(shè)備web瀏覽的所有報(bào)文瀏覽的所有報(bào)文 tcp.port=80顯示顯示192.168.10.

16、1除了除了http外的所有通信數(shù)據(jù)報(bào)文外的所有通信數(shù)據(jù)報(bào)文 ip.addr= & tcp.port!=80Analyze的下拉菜單的下拉菜單nEnable protocols 是否啟用該協(xié)議的解析，是否啟用該協(xié)議的解析， 點(diǎn)選該協(xié)議后，相關(guān)的上點(diǎn)選該協(xié)議后，相關(guān)的上 層協(xié)議才能顯示出來(lái)。層協(xié)議才能顯示出來(lái)。Analyze的下拉菜單的下拉菜單nDecode As 用戶定義報(bào)文協(xié)議說(shuō)明用戶定義報(bào)文協(xié)議說(shuō)明nUser Specified Decodes 用戶修改的報(bào)文編譯用戶修改的報(bào)文編譯 Analyze的的Decode AsnDecode As 用戶定義報(bào)文協(xié)議說(shuō)明

17、用戶定義報(bào)文協(xié)議說(shuō)明 通過(guò)定義后，數(shù)據(jù)包細(xì)節(jié)通過(guò)定義后，數(shù)據(jù)包細(xì)節(jié)的窗口解釋：原先是的窗口解釋：原先是 tcp的的解釋，更改就直接顯示解釋，更改就直接顯示ssl格式的報(bào)文了。格式的報(bào)文了。 Analyze的的follow tcp stream好戲來(lái)了好戲來(lái)了（follow tcp stream）n在在 瀏覽器中瀏覽器中 敲入敲入 http:/ n同時(shí)同時(shí)ctrlk 開始抓包，嘿嘿開始抓包，嘿嘿 -n嘿嘿，看到你了。在嘿嘿，看到你了。在packet detail的窗口里的窗口里 安祥的躺著安祥的躺著 decelopment.html報(bào)文。報(bào)文。n小樣，抓到你了。小樣，抓到你了。Analyze的的

18、follow tcp streamn在在 packet detail 窗口中選擇這個(gè)報(bào)文窗口中選擇這個(gè)報(bào)文（ decelopment.html報(bào)文）報(bào)文）點(diǎn)點(diǎn)擊右鍵擊右鍵 選擇選擇 “ follow tcp stream”Analyze的的follow tcp streamn這就是這就是 follow tcp stream窗口，然后全選窗口，然后全選 ，在，在ctrlc，n打開打開 記事本，記事本，ctrlv，另存為，另存為 1.html。最后雙擊該文件。后面我什么。最后雙擊該文件。后面我什么都不知道了。都不知道了。這只是這只是 ethereal強(qiáng)大功能其中的一個(gè)小技巧強(qiáng)大功能其中的一個(gè)小技巧nStatistics 顧名思義顧名思義 統(tǒng)計(jì)統(tǒng)計(jì) 就是相關(guān)的報(bào)文的統(tǒng)計(jì)信息就是相關(guān)的報(bào)文的統(tǒng)計(jì)信息 Statistics的下拉菜單的下拉菜單Summmary 報(bào)文的詳細(xì)信息報(bào)文的