借助sniffer診斷l(xiāng)inux網絡故障

借助sniffer診斷Linux網絡故障嗅探器(sniffer)在網絡安全領域是一把雙刃劍，一方面常被黑客作為網絡攻擊工具，從而造成密碼被盜、敏感數(shù)據被竊等安全事件；另一方面又在協(xié)助網絡管理員監(jiān)測網絡狀況、診斷網絡故障、排除網絡隱患等方面有著不可替代的作用。嗅探器是企業(yè)必不可少的網絡管理工具。本文以Linux平臺下三個常用的網絡嗅探器Tcpdump、Ethereal和EtherApe為例，介紹如何借助sniffer來診斷網絡故障，從而保障網絡高效安全地運行。簡介嗅探器(sniffer)又稱為包嗅探器，是用來截獲計算機網絡通信數(shù)據的軟件或硬件。與電路不同，計算機網絡是共享通信通道的，從而意味著每臺計算機都可能接收到發(fā)送給其它計算機的信息，捕獲在網絡中傳輸?shù)臄?shù)據信息通常被稱為監(jiān)聽(sniffing)。嗅探器常常作為一種收集網絡中特定數(shù)據的有效方法，是利用計算機的網絡接口截獲目的地為其它計算機數(shù)據報文的一種工具。嗅探器工作在網絡環(huán)境中的底層，可以攔截所有正在網絡上傳送的數(shù)據，從而成為網絡安全的一個巨大威脅。通過對網絡進行嗅探，一些惡意用戶能夠很容易地竊取到絕密文檔和敏感數(shù)據，因此嗅探器經常被黑客當作網絡攻擊的一種基本手段。任何工具都有弊有利，嗅探器既可以作為黑客獲得非法數(shù)據的手段，但同時對網絡管理員來講又是致關重要的。通過嗅探器，管理員可以診斷出網絡中大量的不可見模糊問題。這些問題通常會涉及到多臺計算機之間的異常通信，而且可能會牽涉到多種通信協(xié)議。借助嗅探器，管理員還可以很方便地確定出哪些通信量屬于某個特定的網絡協(xié)議、占主要通信量的主機是哪臺、各次通訊的目標是哪臺主機、報文發(fā)送占用多少時間、各主機間報文傳遞的間隔時間等。這些信息為管理員判斷網絡問題及優(yōu)化網絡性能，提供了十分寶貴的信息。作為一種發(fā)展比較成熟的技術，嗅探器在協(xié)助監(jiān)測網絡數(shù)據傳輸、排除網絡故障等方面有著不可替代的作用，倍受網絡管理員的青睞。可以通過分析網絡流量來確定網絡上存在的各種問題，如瓶頸效應或性能下降；也可以用來判斷是否有黑客正在攻擊網絡系統(tǒng)。如果懷疑網絡正在遭受攻擊，通過嗅探器截獲的數(shù)據包可以確定正在攻擊系統(tǒng)的是什么類型的數(shù)據包，以及它們的源頭，從而可以及時地做出響應，或者對網絡進行相應的調整，以保證網絡運行的效率和安全。網絡管理員在檢測網絡故障及維護網絡正常通信的過程中，經常需要借助嗅探器提供的某些功能。一般的嗅探器都提供以下一些功能：1.自動從網絡中過濾及轉換有用的信息；2.將截獲的數(shù)據包轉換成易于識別的格式；3.對網絡環(huán)境中的通訊失敗進行分析；4.探測網絡環(huán)境下的通訊瓶頸；5.檢測是否有黑客正在攻擊網絡系統(tǒng)，以阻止其入侵；6.記錄網絡通信過程。本文介紹如何在Linux平臺下利用嗅探器來截獲在網絡中傳遞的數(shù)據信息，從而檢測出是否存在網絡瓶頸，以及可能存在的網絡故障。在Linux平臺下可用的嗅探器非常多，各自的功能和長處也不盡相同，本文主要以Tcpdump、Ethereal和EtherApe三種嗅探器為例，講述如何利用各自的優(yōu)點來對Linux網絡的性能和故障進行系統(tǒng)的分析和檢測?！鬞cpdumpTcpdump是一個命令行方式的網絡流量監(jiān)測工具。它誕生的時間較早，是許多圖形化嗅探器的雛形。◆EtherealEthereal是一個圖形化的網絡流量監(jiān)測工具，比命令行方式的Tcpdump友好很多，可以實時地觀看捕獲過程?！鬍therApeEtherApe也是一個圖形化的網絡流量監(jiān)測工具。與Ethereal不同，EtherApe可以通過對主機間的連接進行檢測，圖形化地顯示網絡活動，因而能更加直觀地顯示出整個網絡所處的狀態(tài)。sniffer工作原理在基于TCP/IP協(xié)議的局域網中，當數(shù)據由應用層自上而下傳遞時，首先在網絡層形成IP數(shù)據包，然后再向下到達數(shù)據鏈路層，由數(shù)據鏈路層將IP數(shù)據包分割為數(shù)據幀，加上以太網包頭后向下發(fā)送到物理媒體上。以太網包頭中包含著本地主機和目標主機的MAC地址，位于鏈路層的數(shù)據幀是依靠48位的MAC地址而非IP地址來尋址的，網絡接口卡的驅動程序不會關心IP數(shù)據包的目的IP地址。它所需要的僅僅是數(shù)據包中的MAC地址。當局域網內的主機都通過集線器(HUB)等方式連接時，一般采用的是共享式的連接。這種共享式的連接有一個很明顯的特點：發(fā)送數(shù)據時物理上采用的是廣播方式。當一臺主機向另一臺主機發(fā)送數(shù)據時，共享式的HUB會將接收到的所有數(shù)據向HUB上的每個端口轉發(fā)。也就是說，當主機根據MAC地址發(fā)送數(shù)據包時，盡管發(fā)送端主機告知目標主機的地址，但并不意味著一個網絡內的其它主機不能監(jiān)聽到發(fā)送端和接收端之間傳遞的數(shù)據。因此從理論上說，當采用共享式連接時，位于同一網段的每臺主機都可以截獲在網絡中傳輸?shù)乃袛?shù)據。正常情況下，局域網內同一網段的所有網卡雖然都具有訪問在物理媒體上傳輸?shù)乃袛?shù)據的能力，但通常一個網卡只響應以下兩種數(shù)據幀：◆數(shù)據幀的目標MAC地址與網卡自身的MAC地址一致；◆數(shù)據幀的目標MAC地址為廣播地址。只有當接收到上面兩種類型的數(shù)據幀時，網卡才會通過CPU產生一個硬件中斷，然后再由操作系統(tǒng)負責處理該中斷，對幀中所包含的數(shù)據做進一步處理。也就是說，雖然網絡上所有主機都可以“監(jiān)聽”到所有的數(shù)據，但對不屬于自己的報文不予響應，只是簡單地忽略掉這些數(shù)據。但是，如果網絡中的某臺主機不愿意忽略掉不屬于自己的數(shù)據幀，只需將網卡設置為混雜(Promiscuous)模式，對接收到的每一個幀都產生一個硬件中斷，以提醒操作系統(tǒng)處理經過該網卡的每一個數(shù)據包，這樣網卡就可以捕獲網絡上所有的數(shù)據了。如果一臺主機的網卡被配置為混雜模式，那么該主機及其相關的軟件就構成了一個嗅探器。嗅探器工作在網絡環(huán)境中的底層，它會攔截所有正在網絡上傳送的數(shù)據，通過借助相應的軟件進行處理。嗅探器可以實時分析這些數(shù)據的內容，進而可以幫助網絡管理員分析整個網絡的狀態(tài)、性能或故障。正因如此，在檢測網絡故障時，嗅探器對管理員來說是一種不可或缺的強力工具。用Tcpdump過濾數(shù)據包對于網絡管理人員來說，使用嗅探器可以隨時掌握網絡的實際情況，在網絡性能急劇下降的時候，可以通過嗅探器來分析原因，找出造成網絡阻塞的根源。Tcpdump就是Linux平臺下一個以命令行方式運行的網絡流量監(jiān)測工具。它能截獲網卡上收到的數(shù)據包，并能夠協(xié)助網絡管理員對其中的內容進行相應的分析。嗅探器能夠截獲指定接口或所有接口的數(shù)據包，這取決于如何對嗅探器進行配置。缺省情況下嗅探器一般會顯示所有從網絡上截獲的數(shù)據包，但通常會因為數(shù)據量過大而使網絡管理員理不清頭緒。因此，嗅探器一般都提供有相應的機制來對截獲的數(shù)據包進行過濾，從而只顯示符合特定要求的數(shù)據包。Tcpdump提供了一整套完善的規(guī)則來對截獲的數(shù)據包進行過濾，由于大多數(shù)圖形化的嗅探器都使用類似的過濾機制，因此對Linux網絡管理員來說，了解如何使用Tcpdump來捕獲感興趣的數(shù)據包是一項必須掌握的基本功。Tcpdump的安裝在一些Linux發(fā)行版中，Tcpdump通常作為標準的軟件包被默認安裝，執(zhí)行“tcpdump”命令可以確定是否已經安裝了Tcpdump。如果系統(tǒng)中還沒有安裝Tcpdump，可以去“://”下載最新的Tcpdump源碼包。下面以Tcpdum為例，講述如何安裝Tcpdump，此處使用的操作系統(tǒng)是RedHat8.0。首先下載最新的源碼包，并將其解壓縮，命令如下：朋#cp刷tcpdu威mp-音軟.tar.認gz/u源sr/lo獨cal/s明rc/抄#cd久/usr/圍local膠/src/能#tar晚xzvf陶tcpd歌ump-崇午.tar.肺gz在編譯Tcpdump之前，應先確定pcap庫(libpcap)已經安裝完畢。這個庫是編譯Tcpdump時所必需的。如果該庫已經安裝，就可以執(zhí)行下面的命令來編譯并安裝Tcpdump：伴#cd紹tcpdu棗mp-略賄#./c秘onfig嚇ure蛛#mak疫e吹#mak摔eins德tallTcpdump的命令行選項Tcpdump是一個命令行方式的網絡嗅探器。它通過使用命令選項來過濾網卡截獲的數(shù)據包，如果不進行過濾，過多數(shù)量的包會使網絡管理員很難理清頭緒。Tcpdump的命令格式如下：tcpdump[-adeflnNOpqRStuvxX][-c數(shù)量][-C文件尺寸][-F文件名][-i網絡接口][-m文件名][-r文件名][-s長度][-T類型][-w文件名][-Ealgo:secret][表達式]表1Tcpdump常用命令行選項泡-a御將網絡地址孔和廣播地址千轉變成容易蜂識別的名字帶-d藥將已截獲的穴數(shù)據包的代淋碼以人容易伶理解的格式蘋輸出；逐-dd珍將已截獲的鄙數(shù)據包的代胳碼以C程序波的格式輸出屯；牽-ddd絮將已截獲的密數(shù)據包的代傅碼以十進制向格式輸出；禾-e席輸出數(shù)據鏈北路層的頭部己信息；嘉-f躬將inte蜜rnet地暮址以數(shù)字形康式輸出；屆-l晌將標準輸出瓣變?yōu)樾芯彌_第方式；析-n竄不將網絡地舅址轉換成易哭識別的主機膏名，只以數(shù)掙字形式列出棗主機地址(殃如IP地址腥)，這樣可膨以避免DN欣S查詢；材-t戴不輸出時間癢戳；癢-v給輸出較詳細便的信息，例匆如IP包中跑的TTL和茅服務類型信由息；暫-vv激輸出詳盡的覆報文信息；米-c歐在捕獲指定柴個數(shù)的數(shù)據惱包后退出；喘-F證從指定的文剩件中讀取過內濾規(guī)則，忽跨略命令行中比指定的其它咱過濾規(guī)則；復-i哲指定監(jiān)聽的柳網絡接口；票-r豆從指定的文機件中讀取數(shù)罰據包(該文暮件一般通過驅-w選項產映生)；炎-w徐將截獲的數(shù)沉據包直接寫鵲入指定的文妄件中，不對懼其進行分析慶和輸出；候-T吉將截獲的數(shù)協(xié)據包直接解務釋為指定類漁型的報文，管目前支持的啦類型有cn爆fp、rp肺c、rtp祖、snmp仁、vat和侮wb。表1給出了一些常用的Tcpdump命令行選項，使用這些選項可以過濾出真正感興趣的數(shù)據包。使用Tcpdump的命令行選項可以很方便地過濾出需要的數(shù)據包。例如，要過濾掉所有除ARP請求和應答的通信數(shù)據，可以輸入“tcpdumparp”命令。該命令只對ARP的請求和應答信息進行截獲，在Tcpdump的輸出信息中，請求是“arpwho-has”這樣的條目，而應答則是“arpreply”這樣的條目，如圖1所示。圖1ARP過濾如果要做更多的處理，比如從指定的網絡接口截獲5個ARP數(shù)據包，并且不將網絡地址轉換成主機名，則可以用命令“tcpdumparp-ieth0-c5-n”。Tcpdump的過濾表達式Tcpdump的過濾表達式是一個正則表達式，Tcpdump利用其作為過濾數(shù)據包的條件。如果一個數(shù)據包滿足表達式的條件，則這個數(shù)據據包將會被捕獲；如果不指定表達式，則在網絡上任何兩臺主機間的所有數(shù)據包都將被截獲。過濾表達式的作用就是使Tcpdump只輸出網絡管理員所需要的數(shù)據，如一個指定的網絡接口和特定主機間的IP數(shù)據包。Tcpdump的過濾表達式中一般有如下幾種類型的關鍵字：◆類型關鍵字這類關鍵字用于指定主機、網絡或端口，包括host、net和port三個關鍵字。例如，可以用“host7”來標明監(jiān)聽的主機；用“net”來標明監(jiān)聽的網絡；用“port23”來標明監(jiān)聽的端口。如果沒有在表達式中指明類型，則缺省的類型為host。◆方向關鍵字這類關鍵字用于指定截獲的方向，包括dst、src、dstorsrc、dstandsrc四個關鍵字。例如，可以用src7來指明截獲的數(shù)據包中的源主機地址；用“dstnet”來指明截獲的數(shù)據包中的目標網絡地址。如果沒有在表達式中指明方向，則缺省的方向為“dstorsrc”，即兩個方向的數(shù)據包都將被捕獲。對于數(shù)據鏈路層協(xié)議(如SLIP和PPP)，使用inbound和outbound來定義方向?！魠f(xié)議關鍵字這類關鍵字用于指定要截獲的數(shù)據包所屬的協(xié)議，包括ether、fddi、tr、ip、ip6、arp、rarp、decnet、tcp和udp等關鍵字。關鍵字fddi指明在FDDI(分布式光纖數(shù)據接口網絡)上的特定網絡協(xié)議。實際上它是ether的別名。fddi和ether具有類似的源地址和目標地址，所以可以將fddi協(xié)議包當作ether的包進行分析和處理。其它幾個關鍵字只是指定了所要截獲的協(xié)議數(shù)據包。如果沒有在表達式中指明協(xié)議，則Tcpdump會截獲所有協(xié)議的數(shù)據包。除了上述三種類型的關鍵字外，Tcpdump的過濾表達式中還可以指定的一些重要關鍵字包括gateway、broadcast、multicast、less、greater。這些關鍵字對于監(jiān)聽網絡中的廣播和多播很有幫助。關于這些關鍵字的更多信息和用法請參考Tcpdump的man手冊。在Tcpdump的過濾表達式中，各類關鍵字之間還可以通過布爾運算符來構成組合表達式，以滿足實際運用時的需要。布爾運算符包括取非運算符(not或!)、與運算符(and或&&)、或運算符(or或||)，使用布爾運算符可以將表達式組合起來構成強大的組合條件，從而能夠對Tcpdump的過濾器做進一步細化。下面給出幾個使用Tcpdump過濾數(shù)據包的例子，嗅探器提供的過濾表達式對于管理員監(jiān)測網絡運行狀況非常重要：1.如果想要截獲主機“7”所有收到和發(fā)出的數(shù)據包，可以使用如下命令：還#tcp黃dump蠅host異9.185膝.10.5擺72.如果想要截獲在主機“7”和主機“8”或“9”之間傳遞的數(shù)據包，可以使用如下命令：附#tcp粉dump興host臭9.185饑.10.5嬸7and艦\熊>\(自9.185粥.10.5岸8or朝9.185淡.10.5槐9\)需要注意的是，在使用布爾運算符構成組合表達式時，有時需要使用括號來表達復雜的邏輯關系。如果要在命令行中使用括號，一定要用轉義字符(“\”)對括號進行轉義，否則命令行解釋器將給出語法錯誤的提示。3.如果想要截獲主機“7”和除主機“8”外所有其它主機之間通信的IP數(shù)據包，可以使用如下命令：揪#tcp雷dump磚ipho訊st9.滲185.1插0.57渾and!利9.18油5.10.設584.如果想要截獲主機“7”接收或發(fā)出的FTP(端口號為21)數(shù)據包，可以使用如下命令：告#tcp形dump肚tcpp卵ort2敗1hos棍t9.1進85.10猜.575.如果懷疑系統(tǒng)正受到拒絕服務(DoS)攻擊，網絡管理員可以通過截獲發(fā)往本機的所有ICMP包，來確定目前是否有大量的ping指令流向服務器，此時就可以使用下面的命令：閣#tcp炸dump極icmp熊-n-i辦eth0Tcpdump的輸出結果在對網絡中的數(shù)據包進行過濾后，Tcpdump的輸出結果中包含網絡管理員關心的網絡狀態(tài)信息。由于Tcpdump只是一個命令行方式的嗅探器，因而其輸出結果不是很直觀，下面以幾種典型的輸出信息為例，介紹如何對Tcpdump的輸出結果進行分析。1.數(shù)據鏈路層頭信息使用“tcpdump-ehosttiger”命令截獲主機“tiger”所有發(fā)出和收到的數(shù)據包，并在輸出結果中包含數(shù)據鏈路層的頭部信息?！皌iger”是一臺裝有Linux的主機，其MAC地址是00:D0:59:BF:DA:06；“mag”是一臺裝有SCOUnix的工作站，其MAC地址是08:90:B0:2F:AF:46，上述命令的輸出結果如下：施20:15堅:20.7變35429紛eth0嚷權<08:譜90:b0網:悔2f唱:af:4拼600:僚d0:59湯:bf:d旗a:06漠ip60珠:mag穩(wěn).3657員9>畏tige栗r.ftp慢0獻:0(0)辨ack醬25565其win腥8970華(DF)在輸出的信息中，“20:15:20”為截獲數(shù)據包的時間，“735429”是毫秒數(shù)，“eth0<”表示從網絡接口eth0接收該數(shù)據包(若為“eth0>”，則表示從網絡接口eth0發(fā)送數(shù)據包)。“08:90:b0:2f:af:46”是主機mag的MAC地址，指明發(fā)送該數(shù)據包的源主機為“mag”，“00:d0:59:bf:da:06”是主機tiger的MAC地址，指明該數(shù)據包發(fā)送的目標主機為“tiger”?！癷p”表明該數(shù)據包是IP數(shù)據包，“60”是數(shù)據包的長度，“mag.36579>tiger.ftp”表明該數(shù)據包是從主機“mag”的36579端口發(fā)往主機“tiger”的FTP(21)端口。“ack25565”表示對序列號為25565的包進行確認，“win8970”則指明發(fā)送窗口的大小為8760。2.ARP包的輸出信息若使用“tcpdumparp-c2”命令截獲ARP數(shù)據包，得到的輸出結果可能是：唱20:42坑:22.7惠13502禮eth0捉盆>arp的who-劫hasm兵agte稠llti請ger馳(00:d嫩0:59:找bf:da根:06)就20:42玻:22.7柴13907角eth0普茂<arp漢repl尋ymag病is-a可t08:策90:b0幼:立2f墾:af:4繪6擱(00:遮d0:59遲:bf:d澆a:06)在輸出的信息中，“20:42:22”為截獲數(shù)據包的時間；“713502”和“713907”為毫秒數(shù)；“eth0>”表明從主機發(fā)出該數(shù)據包；“eth0<”表明從主機接收該數(shù)據包。“arp”表明該數(shù)據包是ARP請求，“who-hasmagtelltiger”表明是主機“tiger”請求主機“mag”的MAC地址，“00:d0:59:bf:da:06”是主機“tiger”的MAC地址?！皉eplymagis-at”表明主機“mag”響應“tiger”的ARP請求，“08:90:b0:2f:af:46”是主機“mag”的MAC地址。3.TCP包的輸出信息用Tcpdump截獲的TCP包的一般輸出格式如下：貫src>欺dst:終flag繭sdat絕a-seq身unoa界ckwi梨ndow奴urgen柏topt賢ions點“src凝>dst靈:”標明從帥源地址到目個的地址；f紅lags是張TCP包中恰的標志信息孝，包括S(嚷SYN)標朵志、F(F慎IN)標志漲、P(PU寧SH)標志摔、R(RS液T)標志和韻“.”(沒謙有標志)；妖data-暖sequn澡o是數(shù)據包辯中的數(shù)據序虜列號；ac皺k是下次期叛望的數(shù)據序算列號；wi乖ndow是擺接收緩存的依窗口大?。粩rgen完t標明數(shù)據寶包中是否有愛緊急指針；押optio雷ns是可能兵的選項值。撒辛4.UD焰P包的輸出酬信息織用Tcpd靈ump截獲穩(wěn)的UDP包毅的一般輸出慌格式如下：盆近src.p晚ort1玉>dst圾.port增2:ud聰plen憲th鑄UDP中包輛含的信息很嫂簡單。上面坊的輸出結果鋪表明從主機旋“src”更的“por謊t韻1”姿端口發(fā)出的毯一個UDP笑數(shù)據包被送睬到主機“d璃st”的“言port喉2”豎端口，數(shù)據賴包的類型是差UDP，其跳長度為“l(fā)煙enth”紗。慶通過上面的繞介紹可以知神道，Tcp經dump是盯一個命令行雹方式的嗅探洽器。它可以說根據需要顯仆示出經過一覺個網絡接口格的所有數(shù)據廣包，供網絡愚管理員對網捧絡進行檢測豈。但由于采墾用的是命令野行方式，對衰這些數(shù)據包鳥的分析可能萄會比較困難夫。利用Tc畜pdump淋提供的表達抖式過濾一些刪截獲的數(shù)據采包，可以從毅截獲的大量顆數(shù)據包中提論取出有用的滿信息，從而懲能夠有針對抵性地對網絡盜進行監(jiān)測。驗命由于所有網蠢絡嗅探器的插原理都大體獨相似，因而版Tcpdu茅mp的基本挖知識可以應榜用于幾乎所血有的嗅探器險。Tcpd慌ump是基蟲于命令行方窮式的嗅探器里，其輸出結斜果比較難于容分析，因此綢很多網絡管奔理員都使用奸圖形化的嗅肢探器來檢測蹈網絡故障，絨并處理可能綁存在的安全抹問題。下次撒將介紹兩個秘圖形化的網纖絡嗅探器—澡Ether耐eal和E巡hterA瓜pe。同T居cpdum伏p相比，使行用這兩個嗅賺探器的分析歇過程要簡單壇許多。騰上次介紹了再嗅探器的基績本原理，以算及如何用T慮cpdum融p來截獲網刊絡上的數(shù)據竹包。但Tc配pdump猾只是一個命臣令行方式下符的網絡嗅探銳器，雖然功游能強大，可懇分析起數(shù)據梳包來卻不是稈很方便。好礦在Linu宰x下還有一慶些具有良好擾GUI界面決的嗅探器可讀以借助。E跪there息al和Et撲herAp嘗e就是其中殃的佼佼者。寧有了Tcp友dump的它基礎，再使盡用這兩個嗅把探器就感覺遮很輕松。吼用Ethe濕real分碑析協(xié)議數(shù)據叫包圣遠Ether臂eal是一削個圖形用戶肯接口（GU遠I）的網絡癥嗅探器，能磚夠完成與T錢cpdum燥p相同的功板能，但操作誦界面要友好提很多。Eh檔terea窩l和Tcp譯dump都儉依賴于pc光ap庫（l僻ibpca拿p），因此夕兩者在許多鏟方面非常相妄似（如都使為用相同的過途濾規(guī)則和關慢鍵字）。E日there超al和其它齊圖形化的網寶絡嗅探器都裝使用相同的山界面模式，呆如果能熟練成地使用Et籮herea待l，那么其畏它圖形用戶圈界面的嗅探抱器基本都可脂以操作。盾Ether漿eal的安落裝浩在姿://ww餡w.eth額ereal邁網躺站上可以下炕載到最新的斬Ether帥eal源碼竄包。下面以民Ether志eal仇鏟為例，講述殃如何安裝E闖there通al，此處愧使用的操作貞系統(tǒng)是Re冊dHat脹8.0。旅攤首先下載最療新的源碼包旋，并將其解船壓縮：木#cp疾ether淚eal-誰萬.tar.專bz2/慕usr/l騎ocal/追src/謙#cd韻/usr/朱local萌/src/綁#bzi第p2-d婆ethe配real-挎海.tar.壽bz2拌#tar對xvf記ether近eal-旨刑.tar華同Tcpd爺ump一樣籠，在編譯E援there神al之前應等先確定已經體安裝pca眾p庫（li客bpcap緒），這是編愉譯Ethe舉real時瘡所必需的。雹如果該庫已挺經安裝，就率可以執(zhí)行下貴面的命令來拳編譯并安裝石Ether素eal：勒#cd老ether免eal-掉徐#./c仆onfig節(jié)ure景#mak希e取#mak勤eins朵tall膠設置Eth塘ereal冬的過濾規(guī)則呢榜當編譯并安叼裝好Eth殿ereal炸后，就可以躍執(zhí)行“et租herea罩l”命令來個啟動Eth閱ereal貞。在用Et本herea豐l截獲數(shù)據殃包之前，應香該為其設置靈相應的過濾孫規(guī)則，可以晉只捕獲感興泰趣的數(shù)據包撓。Ethe畏real使遵用與Tcp辱dump相扶似的過濾規(guī)猴則，并且可限以很方便地嗚存儲已經設數(shù)置好的過濾誕規(guī)則。要為序Ether稈eal配置跟過濾規(guī)則，谷首先單擊“規(guī)Edit”喝選單，然后財選擇“Ca膠pture礙Filt衛(wèi)ers..漢.”菜單項粉，打開“E沉ditC派aptur臺eFil救terL臨ist”對促話框（如圖炊1所示）。蔬因為此時還垮沒有添加任序何過濾規(guī)則未，因而該對胞話框右側的地列表框是空宗的?；饒D1Et鄉(xiāng)herea露l過濾器配梅置對話框浮在Ethe降real中增添加過濾器環(huán)時，需要為持該過濾器指床定名字及規(guī)孫則。例如，簽要在主機1瘦橋97.16的2和www錢.sohu陶間揚創(chuàng)建過濾器酸，可以在“慈Filte突rnam悶e”編輯框惱內輸入過濾龜器名字“s鴿ohu”，鹿在“Fil收ters識tring茅”編輯框內績輸入過濾規(guī)苗則“hos談t10.奏1.197恨.162約andw筑ww.so素hu.co類m”，然后鈔單擊“Ne畜w”按鈕即左可，如圖2肉所示。油圖2為E扒there括al添加一幼個過濾器漿在Ethe盞real中梅使用的過濾獻規(guī)則和Tc爬pdump杯幾乎完全一辮致，這是因化為兩者都基佳于pcap更庫的緣故。廉Ether億eal能夠滔同時維護很嶺多個過濾器筒。網絡管理像員可以根據南實際需要選巾用不同的過灣濾器，這在襲很多情況下綢是非常有用客的。例如，駱一個過濾器廚可能用于截腦獲兩個主機哪間的數(shù)據包徹，而另一個良則可能用于虛截獲ICM攪P包來診斷瞇網絡故障。冤喊當所有需要皆的過濾器都暮創(chuàng)建好后，氣單擊“Sa鍛ve”按鈕都保存創(chuàng)建的莫過濾器，然亭后單擊“C使lose”掉按鈕來關閉賭“Edit憑Capt跨ureF是ilter痛List錢”對話框。甲要將過濾器揪應用于嗅探頃過程，需要馬在截獲數(shù)據拍包之前或之方后指定過濾哄器。要為嗅屋探過程指定賊過濾器，并候開始截獲數(shù)幫據包，可以墨單擊“Ca摸pture呢”選單，選鴿擇“Sta名rt...氧”選單項，喜打開“Ca咽pture夠Opti劈ons”對意話框，單擊悅該對話框中幅的“Fil不ter:”偉按鈕，然后宿選擇要使用兩的過濾器，乎如圖3所示殺。青圖3為E涉there利al指定過萬濾器榨注意在“C澇aptur鍋eOpt首ions”止對話框中，設“Upda別teli褲stof姜pack后etsi耕nrea爪ltim寨e”復選框夸被選中了。秋這樣可以使齡每個數(shù)據包嗓在被截獲時喊就實時顯示疊出來，而不隙是在嗅探過姐程結束之后嬌才顯示所有團截獲的數(shù)據撓包。待在選擇了所穩(wěn)需要的過濾竹器后，單擊生“OK”按靠鈕，整個嗅績探過程就開罷始了。Et銳herea冊l可以實時拔顯示截獲的乘數(shù)據包，因扁此能夠幫助泳網絡管理員唯及時了解網隔絡的運行狀妖況，從而使贊其對網絡性坦能和流量能猴有一個比較酒準確的把握駐。不用Ethe君real分系析數(shù)據包繁津Ether宏eal和其乏它的圖形化懂嗅探器使用倡基本類似的久界面，整個總窗口被分成陣三個部分：抓最上面為數(shù)勵據包列表，錯用來顯示截促獲的每個數(shù)芳據包的總結華性信息；中肯間為協(xié)議樹集，用來顯示躁選定的數(shù)據可包所屬的協(xié)還議信息；最波下邊是以十響六進制形式泡表示的數(shù)據創(chuàng)包內容，用屬來顯示數(shù)據跟包在物理層鴉上傳輸時的掛最終形式。史礦使用Eth悄ereal獸可以很方便鎖地對截獲的海數(shù)據包進行表分析，包括托該數(shù)據包的民源地址、目隸的地址、所鋪屬協(xié)議等。合圖4是在E盈there天al中對一太個奧數(shù)據包進行錫分析時的情萄形。闖在圖3最上拴邊的數(shù)據包隨列表中，顯靜示了被截獲顫的數(shù)據包的仔基本信息。博從圖中可以寧看出，當前膀選中數(shù)據包阻的源地址是寬10.1.炒197.1覽62，目的揉地址為61確.135.頑150.6陡5，該數(shù)據塊包所屬的協(xié)見議是超文本刑傳輸協(xié)議(捉)捷。更詳細的弱信息表明該磁數(shù)據包中含伸有一個HT筐TP的GE丘T命令，要富求下載st廁arrtl事og.js廚文件到客戶甘端的Web捐瀏覽器。擋圖4用E傷there聞al分析數(shù)萄據包內容儲圖4中間是均協(xié)議樹，通凱過協(xié)議樹可煩以得到被截收獲的數(shù)據包霉的更多信息燕，如主機的囑MAC地址籮(Ethe囑rnet樂II)、I森P地址(I所ntern椅etPr版otoco技l)、TC鐵P端口號(葵Trans趣missi抵onCo刮ntrol雙Prot池ocol)測，以及HT墳TP協(xié)議的累具體內容(彎Hyper禁text多Trnas洲ferP盜rotoc場ol)。通根過擴展協(xié)議歌樹中的相應蔑節(jié)點，可以赤得到該數(shù)據寇包中攜帶的廁更詳盡的信扔息。傾圖4最下邊夫是以十六制變顯示的數(shù)據刮包的具體內暢容，這是被機截獲的數(shù)據樹包在物理媒勇體上傳輸時假的最終形式錢，當在協(xié)議疑樹中選中某怕行時，與其細對應的十六碼進制代碼同循樣會被選中鞋，這樣就可廊以很方便地春對各種協(xié)議臺的數(shù)據包進蹦行分析。徹Ether埋eal提供鐮的圖形化用腎戶界面非常初友好，管理現(xiàn)員可以很方報便地查看到助每個數(shù)據包漆的詳細信息須，協(xié)議樹及辨其對應的十師六進制表示夫對分析每個拒數(shù)據包的目懷的很有幫助早，綜合使用擔Ether晶eal和T躬cpdum燭p能夠基本拒滿足網絡管器理員在Li生nux系統(tǒng)擺上的所有嗅首探要示。焰用Ethe鳳rApe查肯看網絡流量普攜Ether詳Ape也是孫一個圖形化新的網絡嗅探圖器。與Eh這terea疊l不同，E行therA銅pe通過驗向證主機與主辨機之間的鏈葡接，圖形化陵地顯示網絡澆目前所處的毯狀態(tài)。Et威herAp柏e使用不同呀顏色的連線咬來表示位于夢不同主機之浙間的連接，黑而連線的粗遷細則表明主狼機間數(shù)據流凡量的大小。典這些信息都神是實時變化品的，因而能伐夠協(xié)助管理擊員隨時了解咸到網絡中各社部分流量的下變化情況。榴臨Ether武Ape的安政裝鴨Ehter谷Ape支持梳Ether戴net、F量DDI和T執(zhí)oken橡Ring等亂多種網絡，家能夠實時地捎從網絡或文親件中讀取網匪絡流量的變之化情況。此逐外它還可以災將網絡流量轉信息保存下果來，以便在淡之后需要時垃再顯示出來鹿。在htt癥重ww.so餓urcef贊orge.腿net/p稼rojec渡ts/et矛herap更e/網站上持可以下載到園最新的Et六he