ethereal中文手冊

1、ethereal漢化版用法 Ethereal用戶手冊Ulf Lamping,Richard Sharpe, NS Computer Software and Services P/LEd Warnicke,翻譯：VIN msn：目 錄1Ethereal介紹51.1Ethereal為何物？5Ethereal可以幫人們做什么？51.1.2界面功能51.1.3實時的從不同網(wǎng)絡介質抓取數(shù)據(jù)包61.1.4導入來自其它抓包工具的文件61.1.5為其它抓包工具導出文件61.1.6豐富的協(xié)議解碼器71.1.7開放源代碼軟件71.1.8Ethereal不能做什么？71.2Ethereal運行平臺71.2.1Un

2、ix71.2.2Linux81.2.3Microsoft Windows81.3那里可以得到ethereal?81.4Ethereal的讀法91.5Ethereal的歷史91.6Ethereal的設計和維護91.7問題報告和獲得幫助91.7.1Web網(wǎng)站91.7.2WIKI101.7.3FAQ101.7.4郵件列表101.7.5問題報告101.7.6liunx/unix平臺崩潰報告111.7.7Windows平臺崩潰報告112編譯和安裝ethereal112.1介紹112.2獲得ethereal源代碼和應用發(fā)布版本122.3UNIX平臺編譯ethereal之前準備工作122.4UNIX平臺編譯

3、ethereal源代碼132.5UNIX平臺應用版本安裝132.5.1RedHat 的RPMs方式安裝142.5.2Debian的安裝方式142.6解決UNIX下安裝失敗問題142.7Windows下源代碼的編譯142.8Windows下Ethereal安裝142.8.1安裝ethereal142.8.2升級ethereal152.8.3卸載ethereal153用戶操作界面153.1介紹153.2啟動ethereal153.3ethereal主界面153.4“The Menu”主菜單163.4.1“File”文件菜單183.4.2“Edit”編輯菜單193.4.3“View”視圖菜單213.

4、4.4“GO”跳轉菜單233.4.5“Capture”抓包菜單243.4.6“Analyze”分析菜單243.4.7“Statistics”統(tǒng)計報表菜單263.4.8“Help”幫助菜單273.5“Main”常用工具欄283.6“Filter Toolbar”顯示過濾器工具欄303.7“Packet List”數(shù)據(jù)包列表窗格313.8“Packet Details”數(shù)據(jù)包信息樹窗格313.9“Packet Bytes”數(shù)據(jù)包字節(jié)窗格323.10“Statusbar”狀態(tài)欄324網(wǎng)絡數(shù)據(jù)包實時抓取334.1介紹334.2使用Ethereal前的準備工作334.3如何開始抓包？334.4“Capt

5、ure Interfaces”抓包網(wǎng)絡接口窗口344.5“Capture Options”抓包選項窗口354.5.1“Capture”抓包常規(guī)框354.5.2“Capture File(s)”數(shù)據(jù)包文件框364.5.3“Stop Capture”停止抓包框374.5.4“Display Options”顯示選型框384.5.5“Name Resolution”名稱解析框384.5.6“Buttons”按鍵394.6數(shù)據(jù)包文件和文件模式394.7“Link-layer header type”鏈接層數(shù)據(jù)頭類型404.8抓包過濾器404.9抓包狀態(tài)信息窗口424.9.1停止抓包424.9.2重新開

6、始抓取435數(shù)據(jù)包文件導入、導出和打印435.1介紹435.2“Open”打開數(shù)據(jù)包文件435.2.1“Open Capture File”打開數(shù)據(jù)包文件窗口445.2.2支持導入文件格式455.3“Save As”存儲數(shù)據(jù)包455.3.1輸出文件格式465.4“Merging”合并數(shù)據(jù)包文件475.5“File Sets”文件系485.6“Exporting”導出文件495.6.1“Exporting as Plain Text File”導出無格式文件495.6.2“Export as PostScript File”導出PS格式文件505.6.3“Export as CSV(Comma

7、Seperated Values)File”導出CSV(逗號分割)文件505.6.4“Export as PSML File”導出PSML格式文件515.6.5“Export as PDML File”導出PDML格式文件515.6.6“Export selected packet bytes”導出被選擇數(shù)據(jù)包數(shù)據(jù)525.7“Printing”打印數(shù)據(jù)包535.8“Packet Range”數(shù)據(jù)包范圍窗格556數(shù)據(jù)包分析556.1如何查看數(shù)據(jù)包556.2顯示過濾器606.3如何書寫顯示過濾器表達式616.3.1顯示過濾器字段616.3.2比較操作的數(shù)據(jù)類型和操作符626.3.3組合表達式626

8、.3.4顯示過濾器常見誤解636.4“Filter Expression”過濾器表達式窗口646.5定義和存儲過濾器656.6搜索數(shù)據(jù)包676.6.1“Find Packet”搜索數(shù)據(jù)包窗口676.6.2“Find Next”尋找下一個686.6.3“Find Previous”尋找上一個686.7“GO”跳轉686.7.1“Go Back”后退686.7.2“Go Forward”向前686.7.3“Go to Packet”跳轉到686.7.4“Go to Corresponding Packet”跳轉到相關數(shù)據(jù)包696.7.5“Go to First Packet”跳到第一個數(shù)據(jù)包696

9、.7.6“Go to Last Packet”跳到最后一個數(shù)據(jù)包696.8標記數(shù)據(jù)包696.9時間顯示格式和時間基準點706.9.1時間顯示格式706.9.2時間基準點707高級工具727.1介紹727.2“Following TCP streams”跟蹤TCP數(shù)據(jù)流727.2.1TCP數(shù)據(jù)流跟蹤窗口737.3Time Stamps時間標記747.3.1Ethereal內部時間格式747.3.2數(shù)據(jù)包文件時間格式747.3.3時間正確性747.4時區(qū)問題757.4.1什么是時區(qū)？757.4.2為你的計算機設置正確時間757.4.3Ethereal和時區(qū)767.5數(shù)據(jù)包重組767.5.1什么是數(shù)

10、據(jù)包重組？767.5.2Ethereal如何實現(xiàn)包重組767.6名稱解析777.6.1以太網(wǎng)名稱解析(MAC層)777.6.2IP名稱解析（網(wǎng)絡層）787.6.3IPX名稱解析（網(wǎng)絡層）787.6.4TCP/UDP端口名稱解析（傳輸層）787.7確保數(shù)據(jù)完整性787.7.1Ethereal核對概要797.7.2硬件里的概要計算和確認798統(tǒng)計798.1介紹798.2“Summary”統(tǒng)計窗口808.3“Protocol Hierrrchy”協(xié)議層次統(tǒng)計窗口818.4“Endpoint”終端統(tǒng)計828.4.1Endpoint終端是什么？828.4.2終端統(tǒng)計窗口838.5會話統(tǒng)計Conversa

11、tions838.5.1什么是會話838.5.2會話窗口838.6IO曲線圖窗口858.7服務響應時間統(tǒng)計869Ethereal客戶配置879.1介紹879.2定義數(shù)據(jù)包顏色879.3控制協(xié)議解析器899.3.1“Enabled Protocols”協(xié)議解析開關窗口899.3.2用戶配置解碼909.3.3查看定義的解碼方式919.4參數(shù)選擇921Ethereal介紹1.1Ethereal為何物？Ethereal是開源網(wǎng)絡數(shù)據(jù)包分析軟件。數(shù)據(jù)包分析軟件會抓取數(shù)據(jù)包，并試圖逐條詳細地顯示數(shù)據(jù)包數(shù)據(jù)。你可以認為數(shù)據(jù)包分析軟件是一個用戶檢查網(wǎng)絡數(shù)據(jù)報文的設備，就像用電壓表測量電路電壓。以往數(shù)據(jù)包分析軟

12、件都是非常昂貴的或私有的。但Ethereal出現(xiàn)以后，這一切都改變了。Ethereal 可能是現(xiàn)在最好的開放源碼的數(shù)據(jù)包分析軟件。Ethereal可以幫人們做什么？有些人使用ethereal 完成以下工作：&O1548;網(wǎng)絡管理員使用它去充當網(wǎng)絡程序故障檢修工具&O1548;網(wǎng)絡安全工程師使用它檢查安全軟件&O1548;開發(fā)人員使用它發(fā)現(xiàn)協(xié)議運行中的bug&O1548;很多人使用它監(jiān)聽內網(wǎng)數(shù)據(jù)&O1548;等等總之，ethereal可以在很多環(huán)境里幫助人們。界面功能Ethereal操作界面很友善，提供以下功能按鍵：&O1548;UNIX和windows下都可以運行&O1548;抓取從網(wǎng)絡上抓到

13、活動的數(shù)據(jù)包&O1548;真實的顯示數(shù)據(jù)包協(xié)議信息&O1548;打開和保存被抓取的數(shù)據(jù)包文件&O1548;導入和導出數(shù)據(jù)包用于和其它抓包軟件互動&O1548;標準的數(shù)據(jù)包過濾器&O1548;標準的數(shù)據(jù)包搜索&O1548;基于過濾器的數(shù)據(jù)包彩色顯示&O1548;創(chuàng)建多種統(tǒng)計報表&O1548;等等！可是你想真正了解它的威力，你必須親自去使用它！實時的從不同網(wǎng)絡介質抓取數(shù)據(jù)包Ethereal可以從網(wǎng)絡介質上抓取流過的數(shù)據(jù)包。至于網(wǎng)絡介質支持的類型，依賴于你使用的操作系統(tǒng)，您可以去這里察看所有被支持的網(wǎng)絡介質：導入來自其它抓包工具的文件Ethereal可以打開大量其它抓包工具制作的數(shù)據(jù)包文件，具體支持

14、情況請查看“導入文件格式”為其它抓包工具導出文件Ethereal 可以將抓取得數(shù)據(jù)包文件導出，并提供給其它抓包工具使用。具體支持情況請查看“導出文件格式”。豐富的協(xié)議解碼器Ethereal 支持豐富的網(wǎng)絡協(xié)議解析，具體支持情況請查看“附錄B：協(xié)議和協(xié)議域”。開放源代碼軟件Ethereal 是一個開放源代碼軟件工程，被GNU General Public Licence（GPL）發(fā)布。你可以免費的使用ethereal 不用考慮軟件使用授權問題。在GPL下有很多的免費開源軟件，所以，ethereal加入一個新的協(xié)議支持、插件或源代碼修改都非常容易。Ethereal不能做什么？以下這些功能是ethe

15、real不提供的：&O1548;Ethereal 并不是個IDS入侵監(jiān)測系統(tǒng)。當網(wǎng)絡上發(fā)生某個事情的時候他不會警告你。當一個網(wǎng)絡異常發(fā)生的時候，ethereal會幫您描述正在網(wǎng)絡發(fā)生的問題。&O1548;Ethereal并不能操作您的網(wǎng)絡，它僅僅是一個測量工具。它不發(fā)送數(shù)據(jù)包或者作其他的主動行動。1.2Ethereal運行平臺Ethereal可以運行在很多的UNIX和各種windows平臺上運行，它需要一些輔助軟件庫如：GTK+, GLib, libpcap ，其他一些庫。如果你安裝后ethereal無法運行，請可以下在源程序去修正它。并請將您的使用經(jīng)歷發(fā)給：支持平臺如下：Unix&S226;

16、 Apple Mac OS X&S226; BeOS&S226; FreeBSD&S226; HP-UX&S226; IBM AIX&S226; NetBSD&S226; OpenBSD&S226; SCO UnixWare/OpenUnix&S226; SGI Irix&S226; Sun Solaris/Intel&S226; Sun Solaris/Sparc&S226; Tru64 UNIX (formerly Digital UNIX)Linux&S226; Debian GNU/Linux&S226; Gentoo Linux&S226; IBM S/390 Linux (Red

17、Hat)&S226; Mandrake Linux&S226; PLD Linux&S226; Red Hat Linux&S226; Rock Linux&S226; Slackware Linux&S226; Suse LinuxMicrosoft Windows支持:&S226; Windows Server 2003 / XP / 2000 / NT 4.0&S226; Windows Me / 98不支持：&S226; Windows CE&S226; Windows NT / XP Embedded&S226; Windows 95 is no longer actively ma

18、intained by WinPcap, but still may work perfectly沒有測試平臺：&S226; Windows XP 64-bit Edition&S226; Windows Vista (aka Longhorn)1.3那里可以得到ethereal?您可以從 下載最新的ethereal版本。此網(wǎng)站允許您選擇多種鏡像下載服務器。每4-8周會發(fā)布一個新的ethereal版本。如果你希望在新版本發(fā)布時得到通知，你應該去加入ethereal郵件列表?！班]件列表”章節(jié)有詳細地介紹。1.4Ethereal的讀法有人把ethereal拆解為：ethe-real、e-the-r

19、eal等，你也可以按你喜歡的方式去叫它。在FQA里給出的是“e-the-real”。1.5Ethereal的歷史1997年，Gerald Combs需要一個跟蹤網(wǎng)絡協(xié)議的工具，并想學習更多的網(wǎng)絡知識。他開始開發(fā)ethereal。1998年七月，ethereal推出了版本，在那些日子里，補丁、bug報告和鼓勵使ethereal走向成功。不久之后，Gilbert Ramirez看到了他的潛力，并提供了一個低等級協(xié)議分析器給他。1998年十月，Guy Harris申請加入開發(fā)，并提供協(xié)議解析器。1998年底，Richard Sharpe加入，并提供TCP/IP框架結構，可以很清晰地看到那些協(xié)議被支持

20、，也可以輕松的加入新的協(xié)議解析器。之后，ethereal開始蓬勃發(fā)展。1.6Ethereal的設計和維護Ethereal最初是由Gerald Combs設計。目前它的設計和維護是由Ethereal Team完成。開放的團隊誰都可以修復BUG和提供新功能。眾多的人為Ethereal協(xié)議解析器做出了貢獻，你可以在“關于Ethereal”里看到眾多的提供源代碼的人們，或在ethereal作者頁也可以看到他們。你設計將在三個體現(xiàn)出對人們的幫助：&O1548;很多人會發(fā)現(xiàn)你的設計，并應用它在自己的工作中。你會發(fā)現(xiàn)你幫助了很多人。&O1548;Ethereal可能會在改善您的設計，或在此之上作更多的上層設

21、計。&O1548;Ethereal的設計和維護人員會精心的維護您的設計代碼，并修改它當API或其他調用變化的時候。當新版本發(fā)布的時候，您的新設計可能就被包含進去了。1.7問題報告和獲得幫助如果你對ethereal有一些疑問，或需要幫助，一下這些地方會對你有幫助。Web網(wǎng)站在ethereal主站可以找到大量的技術信息。.WIKI在里你可以得到更廣泛的幫助信息。有很都信息是沒有被包含在用戶手冊里的技術細節(jié)。你也可以發(fā)表自己的見解，比如你對某一個協(xié)議很了解，你可以發(fā)表文章。FAQFAQ即常見問題答復。建議你在提出問題之前，先查閱FAQ很可能找到答案。網(wǎng)址：.郵件列表Ethereal 提供幾種郵件列表

22、：&O1548;Ethereal 通告：告訴你有新的版本發(fā)布，每4-8周發(fā)布一次新版本&O1548;Ethereal 用戶：人們使用ethereal時遇到的問題和別人給于地答復&O1548;Ethereal 開發(fā)：如果你想加入ethereal開發(fā)，加入此列表你可以到ethereal網(wǎng)站訂閱這些郵件列表。建議你再提出問題之前搜索郵件列表，如果找到答案，就不用再等待別人答復了！問題報告建議：提出問題報告之前，請先安裝最新版本的ethereal測試。提出問題報告時，建議你提供以下信息，這對解答問題非常有幫助。&O1548;您使用的ethereal版本號和使用的相關庫如GTK+等，這些信息你可以使用e

23、thereal v獲得&O1548;運行平臺&O1548;詳細逐條描述你遇到的問題&O1548;如果你得到了一個error/wanning錯誤提示信息，請拷貝這些信息，并記錄。請不要給出I get a warning while doing x的提示信息，這沒什么幫助。注意：&O1548;不要發(fā)送大文件(100KB)在郵件中，&O1548;為了您的安全也不要發(fā)送包含您敏感信息的問題報告。liunx/unix平臺崩潰報告你可以使用以下命令得到崩潰報告信息$ gdb whereis ethereal | cut -f2 -d: | cut -d -f2 core & bt.txtbacktrace

24、D$Backtrace是一個gdb命令。輸入后沒有回顯信息。D是一個gdb結束命令，輸入后你會結束gdb,并在當前目錄下形成bt.txt文件。此文件包含了ethereal崩潰信息。你應該發(fā)送此文件到: ethereal-devWindows平臺崩潰報告Windows不能產(chǎn)生.pdb文件，應為他太大了。你只能自己來描述。2編譯和安裝ethereal2.1介紹為了使用ethereal你必須獲得: &O1548;針對你操作系統(tǒng)的應用程序版本&O1548;針對你操作系統(tǒng)的源代碼由于支持的操作系統(tǒng)眾多，版本更新也很快，確保你得到的是最新版本。通常安裝步驟為：&O1548;下載最新發(fā)布版本，應用版本或源代

25、碼版本。&O1548;編譯源代碼，產(chǎn)生應用程序，安裝必須的各種運行庫&O1548;安裝應用程序2.2獲得ethereal源代碼和應用發(fā)布版本你可以在ethereal網(wǎng)站得到源代碼和應用程序兩個發(fā)布版本。你可能發(fā)現(xiàn)應用程序版本沒有真對你的平臺的，此時你可能需要下在源代碼發(fā)布版本，在本地從新編譯。一旦你下在了發(fā)布版本，你就可以進行下一步了。2.3UNIX平臺編譯ethereal之前準備工作你在編譯ethereal之前或安裝應用發(fā)布版本之前。你應該確認以下軟件已經(jīng)正確安裝：&O1548;GTK+ (The GIMP Tool Kit) 你可以從 下載&O1548;Libpcap 你可以從下載由于你的

26、平臺不同，可能需要安裝他們的應用版本如RPMs，跟多的時候需要源代碼進行編譯。如果你下載了GTK+的源代碼，你可以這樣安裝GTK+: gzip -dc gtk+-.tar.gz | tar xvf -cd gtk+-1.2.10./configuremakemake install如果你使用的是liunx, 或者安裝了GNU tar。你也可以使用tar zxvf gtk+-.tar.gz 。在很多的UNIX平臺上可能使用gunzip -c or gzcat比gzip -db更好。如果你使用windows平臺下在文件，文件名可能是gtk+-1_2_8_tar.gz如果你下載了libpcap的源代

27、碼發(fā)布版本。你可以這樣來安裝：gzip -dc libpcap-.tar.Z | tar xvf -cd libpcap_0_8_3./configuremakemake installmake install-incl如果使用RetHat linux 6.2以后平臺，可以使用RPMs發(fā)布版本安裝，如下：cd /mnt/cdrom/RedHat/RPMSrpm -ivh glib-在Debian系統(tǒng)上安裝，使用如下命令：apt-get install ethereal2.4UNIX平臺編譯ethereal源代碼按照以下步驟編譯Ethereal源代碼：1拆包tar zxvf ethereal-2

28、更改ethereal源代碼目錄3編譯前自動配置./configure4編譯make5安裝make install安裝完畢后，就可以鍵入ethereal 開始運行了。2.5UNIX平臺應用版本安裝通常情況下不同UNIX平臺下安裝方法都是不同的，例如：AIX，需要使用smit去安裝ethereal應用版本，而在Tru64 UNIX下，需要使用setld來安裝。如果提示沒有相關庫，請參考：“如果使用RetHat linux 6.2以后平臺。”Debian的安裝方式apt-get install ethereal2.6解決UNIX下安裝失敗問題如果configure命令失敗，你需要知道為什么運行失敗。

29、你可以查看源代碼目錄下config.log。最后的幾行會對你很有幫助。如果你的系統(tǒng)中沒有GTK+或libpcap，或版本不適合，都會引起configure失敗.另一個常見的問題是在編譯過程中出現(xiàn)輸出過長問題。這很可能是由于老的sed引起的。你可以下載最新的sed。 。如果你不能確定是什么問題引起了編譯失敗，你可以發(fā)送給ethereal-dev。包含config.log和你認為有用的信息。2.7Windows下源代碼的編譯推薦你使用應用發(fā)布版本，除非你需要開發(fā)。請到 得到信息。2.8Windows下Ethereal安裝安裝ethereal首先獲得安裝包，ethereal-setup-x.y.z.

30、exe x.y.z代表版本號，例如0.10.14。執(zhí)行此文件即可開始進入通行安裝畫面。不需要特殊配置，按“next”鍵即可完成安裝。升級ethereal如果你加入了ethereal通告郵件列表，你會及時得到ethereal新版本發(fā)布信息。升級方法和安裝方法一樣。卸載ethereal在控制面板里，添加刪除程序里操作。3用戶操作界面3.1介紹你已經(jīng)安裝了ethereal，現(xiàn)在可以開始抓包了。接下來的幾個章節(jié)將介紹：&O1548;Ethereal用戶操作界面&O1548;如何抓包&O1548;如何查看數(shù)據(jù)包&O1548;如何配置數(shù)據(jù)包過濾器&O1548;等等3.2啟動ethereal可以通過命令行啟

31、動，或者在windows開始-程序，或桌面快捷方式等。3.3ethereal主界面下圖為ethereal用戶界面，此圖為你抓取數(shù)據(jù)包之后或導入數(shù)據(jù)后的情況。Ethereal 主窗口有很多的GUI程序組成。1Menu 主菜單：用于開始各種操作功能2Main toolbar 常用工具欄：列出了一些ethereal使用過程中常用的功能按鍵3Filer toolbar 顯示過濾器工具欄：用于直接操作和顯示過濾器字段4Packet list pane 數(shù)據(jù)包列表窗格：這里顯示被抓取數(shù)據(jù)包列表。點擊某個數(shù)據(jù)包行，他的具體信息將顯示是另外兩個窗格里。5Packet details pane 數(shù)據(jù)包信息樹窗格

32、：顯示在數(shù)據(jù)包列表窗格里被選中數(shù)據(jù)包的詳細信息。6Packet bytes pane 數(shù)據(jù)包字節(jié)窗格：顯示在數(shù)據(jù)包列表窗格里被選中的數(shù)據(jù)包字節(jié)信息。在數(shù)據(jù)包信息樹窗格中被點選的高亮部分，此處也會將相對應的字節(jié)部分高亮顯示。7Statusbar 狀態(tài)欄： 顯示當前程序的狀態(tài)或被選數(shù)據(jù)的狀態(tài)。注意：主界面可以被客戶根據(jù)自己的習慣定制。3.4“The Menu”主菜單主菜單如下圖所示：File 文件打開或合并抓包文件，部分或全部存儲、打印、導出抓包文件，退出Ethereal。Edit 編輯查詢數(shù)據(jù)包、設置時間基準、標記一個或多個數(shù)據(jù)包、設置參數(shù)選項（目前沒有實現(xiàn)剪切、拷貝、粘貼工具）View 視圖

33、控制被抓取數(shù)據(jù)包的顯示方式，包括：數(shù)據(jù)包顏色、字體縮放、在新窗口顯示數(shù)據(jù)包、展開和收起數(shù)據(jù)包描述信息樹等等GO 移動移動到指定數(shù)據(jù)包位置，比如：上移一個、下疑一個、到開頭、到結尾、到指定的第幾個包等。Capture 抓取開始、重新開始、停止抓包，抓取過濾器配置。Analyze 分析設置顯示過濾器，掛接協(xié)議解析器，指定解碼，跟蹤TCP數(shù)據(jù)流等。Statistics 統(tǒng)計報表可以彈出各種統(tǒng)計窗口，例如：被抓取數(shù)據(jù)包概要窗口，協(xié)議層次窗口等。Help 幫助包含了基本幫助、支持協(xié)議列表，在線幫助關聯(lián)，本系統(tǒng)常規(guī)介紹?！癋ile”文件菜單Menu菜單項目快捷方式描述Open打開Ctrl+O打開查找數(shù)據(jù)包

34、文件對話框，從中選擇您要分析的數(shù)據(jù)包文件。Open Recent最近打開文件顯示最近打開過的數(shù)據(jù)包文件，并可以點選打開。Merge合并打開查找數(shù)據(jù)包文件對話框，從中選擇數(shù)據(jù)包文件，將其合并到當前打開的數(shù)據(jù)包文件中。Close關閉Ctrl+W關閉當前正在分析的數(shù)據(jù)包文件Save保存Ctrl+S保存當前正在分析的數(shù)據(jù)包，如果是新的數(shù)據(jù)包文件，會彈出一個存儲位置和文件名的對話框。如果已經(jīng)保存過，這個按鍵是灰色的，不可用的。不能在抓包過程中保存，必須停止抓包后，才可以保存。Save As另存為Shift+Ctrl+S保存當前正在分析的數(shù)據(jù)包為另一個數(shù)據(jù)包文件，會彈出一個另存為存儲位置和文件名的對話框。

35、File Set List Files文件系 文件列表數(shù)據(jù)包文件系中的文件列表，會彈出文件列表窗口File Set Next Files文件系 下一個文件如果目前打開了數(shù)據(jù)包文件系中的一個文件，打開文件系中此文件的下一個文件。當目前打開的是文件系中的最后一個或非文件系文件，此按鍵為灰色，不可用。File Set Previous Files文件系 上一個文件如果目前打開了數(shù)據(jù)包文件系中的一個文件，打開文件系中此文件的上一個文件。當目前打開的是文件系中的第一個或非文件系文件，此按鍵為灰色，不可用。Exprot As “PlainText” file導出 普通文本文件允許您導出數(shù)據(jù)包文件中的一些或

36、全部包信息到一個ASCII編碼的普通文本文件。Exprot As”PostScript”File導出 .PS文件允許您導出數(shù)據(jù)包文件中的一些或全部包信息到一個PostScript文件。Export As “CSV”(Comma Separated Values packet summary )file導出 CSV電子表格文件允許您導出數(shù)據(jù)包文件中的一些或全部包信息到一個.CSV文件（Comma Separated Values packet summary：用逗號分割數(shù)據(jù)包值概要），應用于電子表格。Export As “PSML”file導出 PSML文件允許您導出數(shù)據(jù)包文件中的一些或全部包信

37、息到一個PSML(packet summary markup language：數(shù)據(jù)包摘要置標語言) XML文件。Export As “PDML”file導出 PDML文件允許您導出數(shù)據(jù)包文件中的一些或全部包信息到一個PDML(packet details markup language：數(shù)據(jù)包詳細信息置標語言) XML文件。Export Selected Packet Bytes導出 數(shù)據(jù)包被選字節(jié)允許您導出數(shù)據(jù)包字節(jié)窗格中選擇的字節(jié)，形成一個二進制文件。Print打印Ctrl+P允許您打印數(shù)據(jù)包文件中的一些或全部包信息。Quit退出Ctrl+Q退出ethereal，如果沒有存盤，會有存盤提

38、示窗口?！癊dit”編輯菜單Menu菜單項目快捷方式描述Find Packet查找數(shù)據(jù)包.Ctrl+F彈出一個查找對話框，您可以指定很多的數(shù)據(jù)包屬性和值用于查找您需要的數(shù)據(jù)包。Find Next查找下一個Ctrl+N查找符合“查找數(shù)據(jù)包.”條件的下一個數(shù)據(jù)包。Find Previous查找上一個Ctrl+B查找符合“查找數(shù)據(jù)包.”條件的上一個數(shù)據(jù)包。Time ReferenceSet Time Reference(toggle)時間基準設置時間基準(標記)Ctrl+T將當前選擇的數(shù)據(jù)包上設置時間基準Time ReferenceFind Next時間基準發(fā)現(xiàn)下一個試圖發(fā)現(xiàn)下一個設置時間基準的數(shù)據(jù)

39、包Time ReferenceFind Previous時間基準發(fā)現(xiàn)上一個試圖發(fā)現(xiàn)上一個設置時間基準的數(shù)據(jù)包Mark Packet(toggle)標記數(shù)據(jù)包Ctrl+M在被選擇的數(shù)據(jù)包上做記號Mark All Packets標記所有數(shù)據(jù)包為數(shù)據(jù)包文件中的所有數(shù)據(jù)包做標記Unmark All Packets解除所有數(shù)據(jù)包標記為數(shù)據(jù)包文件中的所有數(shù)據(jù)包解除標記Preferences選項Shift+Ctrl+P彈出選項配置窗口，可以設置各種ethereal控制參數(shù)。并可以應用和存儲您的配置信息，下次啟用ethereal這些配置依然起作用?！癡iew”視圖菜單Menu菜單項目快捷方式描述Main To

40、olbar常用工具欄鉤選此項，顯示或隱藏常用工具欄Filter Toolbar過濾器工具欄鉤選此項，顯示或隱藏過濾器工具欄Statusbar狀態(tài)欄鉤選此項，顯示或隱藏狀態(tài)欄Packet List包列表窗格鉤選此項，顯示或隱藏包列表窗格Packet Details包詳細信息窗格鉤選此項，顯示或隱藏包詳細信息窗格PacketBytes數(shù)據(jù)包字節(jié)窗格鉤選此項，顯示或隱藏數(shù)據(jù)包字節(jié)窗格Time Display Format Date and Time of Day:1970-01-01 01:02:03.123456時間顯示格式 日期和當天時間：1970-01-01 01:02:03.123456選擇

41、日期和時間為ethereal顯示格式。Time Display Format Time of Day:01:02:03.123456時間顯示格式 當天時間： 01:02:03.123456選擇不顯示日期，只顯示時間為ethereal顯示格式。Time Display FormatSeconds Since Beginning of Capture:123.123456時間顯示格式 從開始抓包到此包到來的秒數(shù)：123.123456選擇從開始抓包到此包到來的秒數(shù)為ethereal時間顯示格式Time Display FormatSeconds Since Previous Packet:1.123

42、456時間顯示格式 與上一個數(shù)據(jù)包的時間間隔秒數(shù)：1.123456選擇與上一個數(shù)據(jù)包的時間間隔秒數(shù)為ethereal時間顯示格式Time Display Format Automatic (File Format Precision)時間顯示格式 自動(依據(jù)文件顯示精度)自動分析數(shù)據(jù)包文件的時間精度，并按此精度顯示。Time Display Format Seconds : 0時間顯示格式 秒：0設置ethereal時間現(xiàn)實精度為1秒。Time Display Format Seconds :0.時間顯示格式 秒：0.設置ethereal時間現(xiàn)實精度為十分之一、百分之一、千分之一、萬分之一秒等

43、Name Resolution Resolve Name名稱解析 解析名稱此項試圖解析數(shù)據(jù)包的地址信息，使您更容易理解。如主機名，域名,Mac-IP等的解析。Name Resolution Enable for MAC Layer名稱解析 MAC層解析開啟對MAC層解析，將MAC地址解析為容易理解的名字顯示。例如：(e.g. 00:09:5b:01:02:03 - ).(e.g. 00:09:5b:01:02:03 - Netgear_01:02:03). (e.g.00:09:5b:01:02:03 - homerouter)Name Resolution Enable forNetwork

44、 Layer名稱解析 網(wǎng)絡層解析利用DNS服務，將IP解析為域名。(e.g.23 - )在IPX網(wǎng)里，可以解析出IPX網(wǎng)名Name Resolution Enable forTransport Layer名稱解析 傳輸層解析對應用協(xié)議的端口做解析，得到服務類型，如80-http等Colorize PacketList數(shù)據(jù)包列表顏色顯示開啟或關閉數(shù)據(jù)包列表顏色顯示Auto Scroll in Live Capture實時抓包自動滾動在實時抓包時，當新的數(shù)據(jù)包到來時，數(shù)據(jù)包列表自動向上滾動，將最新的數(shù)據(jù)包顯示出來。Zoom In放大顯示Ctrl+增大數(shù)據(jù)包顯示字號Zoom Out縮小顯示Ctrl+

45、-減小數(shù)據(jù)包顯示字號Normal Size正常顯示Ctrl+=縮放到100%的字號Resize All Columns重新分配列寬度按照經(jīng)驗重新分配列寬度Expand Substrees打開子樹打開數(shù)據(jù)包信息樹窗格里的被選中的信息描述子樹。Expand All打開全部子樹打開數(shù)據(jù)包信息樹窗格里的全部信息描述子樹。Collapse All收起全部子樹收起數(shù)據(jù)包信息樹窗格里的全部信息描述子樹。ColoringRules數(shù)據(jù)包顏色規(guī)則修改數(shù)據(jù)包顏色規(guī)則。Show Packet in New Windos在新窗口中顯示數(shù)據(jù)包打開一個新窗口顯示數(shù)據(jù)包，此窗口緊緊包含數(shù)據(jù)包信息樹窗格和字節(jié)窗格。Reloa

46、d重新導入Ctrl+R允許您重新導入數(shù)據(jù)包文件“GO”跳轉菜單Menu菜單項目快捷方式描述Back后退Alt+Left向后跳轉到瀏覽歷史中最近瀏覽的數(shù)據(jù)包，很像IE中的歷史頁面后退操作。Forward前進Alt+Right跳轉道瀏覽歷史中的下一個瀏覽的數(shù)據(jù)包，很像IE中的歷史頁面前進操作。Go toPacket跳轉到Ctrl+G彈出窗口輸入你想分析的數(shù)據(jù)包編號，自動定位到此數(shù)據(jù)包Go toCorrespondingPacket跳轉到相關通訊包跳轉到被選協(xié)議數(shù)據(jù)流，相關通訊的數(shù)據(jù)包。如果沒有符合的數(shù)據(jù)包，此按鍵為灰色不可用。First Packet開頭跳轉到數(shù)據(jù)包文件的第一個數(shù)據(jù)包Last Pa

47、cket結尾跳轉到數(shù)據(jù)包文件的最后一個數(shù)據(jù)包“Capture”抓包菜單Menu菜單項目快捷方式描述Interfaces網(wǎng)絡接口彈出網(wǎng)絡接口信息窗口，展示網(wǎng)絡接口的工作狀態(tài)等。Options抓包選項Ctrl+K彈出抓包選項窗口，你可以設置各種抓包選項，可以開始抓包。Start開始立刻開始抓包，并引用上次抓包的選項設置 Stop結束Ctrl+E停止正在進行的抓包過程。Restart重新開始停止正在進行的抓包過程，并再次開始抓包，且引用相同的設置。Capture Filers抓包過濾器彈出窗口，允許您創(chuàng)建和編輯抓包過濾器?！癆nalyze”分析菜單Menu菜單項目快捷方式描述Display Filt

48、ers顯示過濾器彈出窗口，可以創(chuàng)建和修改顯示過濾器。Apply as Filter 應用為過濾器改變顯示過濾器，并立即應用。當前的顯示過濾器字串被替換或追加數(shù)據(jù)包信息樹窗格中被選的數(shù)據(jù)包協(xié)議特征。Prepare a Filter 準備過濾器 改變顯示過濾器，并不立即應用，做完所有準備工作后，一起應用。當前的顯示過濾器字串被替換或追加數(shù)據(jù)包信息樹窗格中被選的數(shù)據(jù)包協(xié)議特征。Enabled Protocols使用協(xié)議解析器Shift+Ctrl+R彈出窗口，鉤選協(xié)議解析器。Decode As解碼方式允許用戶強制Ethereal將某些數(shù)據(jù)包按照指定的協(xié)議解析。User Specified Decode

49、s用戶指定解碼列出用戶指定的解碼方式，并可以清除這些解碼方式。Follow TCPStream跟作TCP流彈出窗口，顯示所選數(shù)據(jù)包TCP連接的數(shù)據(jù)流信息?！癝tatistics”統(tǒng)計報表菜單Menu菜單項目快捷方式描述Summary概要顯示被抓取數(shù)據(jù)信息概要Protocol Hierarchy協(xié)議層次顯示協(xié)議分層樹結構。Conversations會話統(tǒng)計顯示所有會話 (兩個終端之間的數(shù)據(jù)流) 列表Endpoints終端統(tǒng)計顯示所有終端 (數(shù)據(jù)流的to/from端) 列表IO GraphsIO圖表顯示用戶自定義過濾器的圖表ConversationList會話列表選在某種協(xié)議的會話列表，其實市會話

50、統(tǒng)計窗口中的一部分。Endpoints List終端列表選在某種協(xié)議的終端列表，其實是終端統(tǒng)計窗口中的一部分。Service Response Time服務相應時間顯示某個請求和相應回復之間的時間間隔。ANSIANSIGSMGSMFax T38AnalysisFax T38分析H.225H.225MTP3MTP3RTPRTPSCTPSCTPSIPSIPVoIP CallsVoIP CallsWAP-WSPWAP-WSPBOOTP-DHCPBOOTP-DHCPDestinations目的地址Flow GraphFlow GraphHTTPHTTPISUPMessagesISUP信息ONC-RPC

51、 ProgramsONC-RPC ProgramsPacket Length數(shù)據(jù)包大Packet Type數(shù)據(jù)包類型TCP StreamGraphTCP數(shù)據(jù)流圖“Help”幫助菜單Menu菜單項目快捷方式描述Contents基礎幫助系統(tǒng)的基本概念介紹和等信息Supported Protocols目前支持協(xié)議顯示此版本支持的協(xié)議列表Manual Pages 用戶指南 本地安裝的以方式提供的用戶指南Ethereal Online在線幫助關聯(lián)到Ethereal網(wǎng)站的各種在線幫助About Ethereal關于Ethereal介紹Ethereal版本、安裝目錄、插件、作者信息。3.5“Main”常用工

52、具欄工具欄圖標ToolbarItem工具欄按鍵對應主菜單位置描述Interfaces網(wǎng)絡接口Capture Interfaces彈出網(wǎng)絡接口信息窗口，展示網(wǎng)絡接口的工作狀態(tài)等。Options抓包選項Capture Options彈出抓包選項窗口，你可以設置各種抓包選項，可以開始抓包。Start開始Capture Start立刻開始抓包，并引用上次抓包的選項設置 Stop停止Capture Stop停止正在進行的抓包過程。Restart重新開始Capture Restart停止正在進行的抓包過程，并再次開始抓包，且引用相同的設置。Open打開File Open打開查找數(shù)據(jù)包文件對話框，從中選擇您

53、要分析的數(shù)據(jù)包文件。Save As另存為File Save As保存當前正在分析的數(shù)據(jù)包為另一個數(shù)據(jù)包文件，會彈出一個另存為存儲位置和文件名的對話框。Close關閉File Close關閉當前正在分析的數(shù)據(jù)包文件Reload重新導入View Reload允許您重新導入數(shù)據(jù)包文件Print打印File Print允許您打印數(shù)據(jù)包文件中的一些或全部包信息。Find Pecket查找數(shù)據(jù)包.Edit Find Packet彈出一個查找對話框，您可以指定很多的數(shù)據(jù)包屬性和值用于查找您需要的數(shù)據(jù)包。Back后退Go Go Back向后跳轉到瀏覽歷史中最近瀏覽的數(shù)據(jù)包，很像IE中的歷史頁面后退操作。For

54、ward前進Go Go Forward跳轉道瀏覽歷史中的下一個瀏覽的數(shù)據(jù)包，很像IE中的歷史頁面前進操作。Go to Packet跳轉到Go Go to Packet彈出窗口輸入你想分析的數(shù)據(jù)包編號，自動定位到此數(shù)據(jù)包Go to First Packet開頭Go Go to First Packet跳轉到數(shù)據(jù)包文件的第一個數(shù)據(jù)包Go to Last Packet結尾Go Go to Last Packet跳轉到數(shù)據(jù)包文件的最后一個數(shù)據(jù)包Colorize數(shù)據(jù)包列表顏色顯示View Colorize開啟或關閉數(shù)據(jù)包列表顏色顯示Auto ScrollIn Live Capture實時抓包自動滾動Vi

55、ew Auto ScrollIn Live Capture在實時抓包時，當新的數(shù)據(jù)包到來時，數(shù)據(jù)包列表自動向上滾動，將最新的數(shù)據(jù)包顯示出來。Zoom In放大顯示View Zoom In增大數(shù)據(jù)包顯示字號Zoom Out縮小顯示View Zoom Out減小數(shù)據(jù)包顯示字號NormalSize正常顯示View NormalSize縮放到100%的字號ResizeColumns重新分配列寬度View ResizeColumns按照經(jīng)驗重新分配列寬度CaptureFilters抓包過濾器Capture CaptureFilters彈出窗口，允許您創(chuàng)建和編輯抓包過濾器。DisplayFilters顯示

56、過濾器Analyze Display Filters彈出窗口，可以創(chuàng)建和修改顯示過濾器。ColoringRules數(shù)據(jù)包顏色規(guī)則View ColoringRules修改數(shù)據(jù)包顏色規(guī)則。Preferences選項Edit Preferences彈出選項配置窗口，可以設置各種ethereal控制參數(shù)。并可以應用和存儲您的配置信息，下次啟用ethereal這些配置依然起作用。Some Help基礎幫助Help Contents系統(tǒng)的基本概念介紹和等信息3.6“Filter Toolbar”顯示過濾器工具欄此工具欄用于編輯和應用顯示過濾器。在 之后文本框里您可以輸入顯示過濾關鍵詞表達式。如果輸入不完整

57、或錯誤，此框背景為紅色；如果輸入了正確的顯示過濾關鍵詞表達式，此框背景自動變?yōu)榫G色。修改顯示過濾關鍵詞表達式后，記得按“Apply”應用，這樣此顯示過濾關鍵詞表達式才會起作用。文本框后的 下拉按鍵，會列出使用過的過濾關鍵詞表達式。中部的 ，會彈出顯示過濾關鍵詞表達式的編輯窗口。清除顯示過濾關鍵詞表達式，顯示所有數(shù)據(jù)包，并清空顯示過濾關鍵詞表達式文本框。注意：對于一個大型數(shù)據(jù)包文件，應用后，可能會需要一段時間才能顯示結果。3.7“Packet List”數(shù)據(jù)包列表窗格在數(shù)據(jù)包列表里的每一個行表示數(shù)據(jù)包文件里的一個數(shù)據(jù)包。如果你選中了其中一行，那么此數(shù)據(jù)包的信息就會顯示在“數(shù)據(jù)包信息樹窗格”和“數(shù)

58、據(jù)包字節(jié)窗格”里。Ethereal 的高等級協(xié)議解析器得到的信息會覆蓋掉低等級協(xié)議解析器解析的數(shù)據(jù)信息。例如：當一個包含TCP，IP的以太網(wǎng)數(shù)據(jù)包被解析時，以太網(wǎng)解析器解析得到數(shù)據(jù) (以太網(wǎng)地址)；會被IP解析器解析得到數(shù)據(jù)(IP地址)覆蓋；TCP解析器解析得到的數(shù)據(jù)將覆蓋掉IP解析器得到的信息，等等。有很多列可以顯示，在“編輯-選項”里自定義那些列被顯示。一般顯示一下列：&O1548;No. 數(shù)據(jù)包顯示序號，不可修改&O1548;Time 可以設置各種時間顯示格式和精度；&O1548;Soure 源地址&O1548;Destination 目的地址&O1548;Protecol 協(xié)議&O15

59、48;Info 信息在數(shù)據(jù)行上使用鼠標右健，快捷操作菜單出現(xiàn)。3.8“Packet Details”數(shù)據(jù)包信息樹窗格此窗格以樹結構顯示在數(shù)據(jù)包列表窗格被選中數(shù)據(jù)包的協(xié)議和字段內容，樹可以展開和收起。在樹或分支上使用鼠標右健，快捷操作菜單出現(xiàn)。某些協(xié)議字段將特殊顯示，包括：Genereted fields生成字段和Links關聯(lián)。Genereted fields生成字段Ethereal根據(jù)數(shù)據(jù)包文件其他數(shù)據(jù)包的上下文分析出來的信息，例如TCP流中的SEQ和ACK分析，會在此處多顯示一個SEQ/ACK analysis字段。Links關聯(lián)Ethereal分析出此包和數(shù)據(jù)包文件中其他包有關聯(lián)，顯示藍

60、色帶下劃線字段。雙擊此字段可以跳轉到關聯(lián)數(shù)據(jù)包。3.9“Packet Bytes”數(shù)據(jù)包字節(jié)窗格通常使用哈希方式顯示數(shù)據(jù)包字節(jié)。左邊顯示數(shù)據(jù)包偏移量，中間使用十六進制顯示數(shù)據(jù)包，右邊對應現(xiàn)實ASCII字符或沒有適當?shù)娘@示。點擊鼠標右鍵出現(xiàn)快捷菜單。遇到數(shù)據(jù)包碎片時，Ethereal會將其組合成一個大的包，添加一個組合包字節(jié)顯示頁面，如下圖：3.10“Statusbar”狀態(tài)欄一般情況下，左邊顯示上下文信息，右邊顯示當前數(shù)據(jù)包數(shù)。例如下圖顯示，在Ethereal開始的時候，沒有數(shù)據(jù)包文件被導入的狀態(tài)：例如：左邊顯示數(shù)據(jù)包文件名，文件大小，時間信息，右邊顯示在此數(shù)據(jù)包文件里的數(shù)據(jù)包數(shù)量。P：抓取得