ethereal的使用詳解.ppt

1、Ethereal的使用,ethereal Overview,Etherreal,Etherreal,ethereal安裝,Winpcap的下載安裝 Etherreal下載安裝,winpcap,Download: (當(dāng)前最新的是 3.1beta4 ,正式版本是3.0） http:/winpcap.polito.it/install/default.htm,ethereal,Download： （now release version ：0.10.10 ，support chinese） http:/www. E,ethereal使用指南,User Guide,雙擊啟動桌面上ethereal圖 標(biāo)

2、 ，按ctrl+K進(jìn)行 “capture option”的選擇。 選擇 正確的NIC，進(jìn)行報 文的捕獲。支持 WLan無 線的相關(guān)協(xié)議。,Interface是選擇捕獲接口 Capture packets in promiscuous mode表示是否打開混雜模式，打開即捕獲所有的報文，一般我們只捕獲到本機(jī)收發(fā)的數(shù)據(jù)報文，所以關(guān)掉 Limit each packet 表示 限制每個報文的大小 Capture files 即捕獲數(shù)據(jù)包的保存的文件名以及保存位置,Capture Options,Ethereal:capture form (nic) driver,capture option確認(rèn)選擇

3、后，點(diǎn)擊ok就開始進(jìn)行抓包 同時就會彈出“Ethereal:capture form (nic) driver”，其中(nic)代表本機(jī)的網(wǎng)卡型號。 同時該界面會以協(xié)議的不同統(tǒng)計捕獲到報文的百分比 點(diǎn)擊stop即可以停止抓包,在使用“Ethereal:capture form (nic) driver”抓包的同時，可以通過最小化 or 使用alt+tab的快捷鍵直接切換到 報文瀏覽的主界面,User Guide,File的下拉菜單,“Open”即打開已存的抓包文件，快捷鍵是crtlQ “Open Recent”即打開先前已察看的抓包文件，類似windows的最近訪問過的文檔 “Merge”字面

4、是合并的意思，其實是追加的意思，即當(dāng)前捕獲的報文追加到先前已保存的抓包文件中。 Save和save as即保存 、選擇保存格式。,其中save sa保存為是有個注意點(diǎn)： 點(diǎn)擊 該展開按鈕即可詳細(xì)選擇保存 路徑 2. File type保存選擇時注意： 缺省保存為libpcap格式，這個是linux下的tcpdump格式的文件。只有選擇文件保存格式為sniffer（windowsbase）1.1和2.0都可，ethereal和sniffer才能雙向互相打開對方抓包的文件。否則只有ethereal能打開sniffer的抓包文件。,Sinffer、ethereal可以相互打開對方的文件,File的下

5、拉菜單,Export是輸出的意思 Print 打印 Quit退出,Edit的下拉菜單,Find Packet 就是查詢報文，快捷鍵是ctrl+F,可以支持不同格式的查找,輸入正確的語句，那么背景為 綠色，語句錯誤或缺少背景就為 紅色,Edit的下拉菜單,Find Next是向下查找 Find Preyious是向上查找 Time Reference 字面是時間參考，使用后明白是 做個報文的“時間戳”，方便大量報文的查詢,Edit的下拉菜單報文標(biāo)簽,使用Time Reference標(biāo)簽后，原先time的就變成 “REF”縮寫的標(biāo)記 附注：你可以在多個報文間 用時間戳標(biāo)記，方便 查詢。 通俗點(diǎn)就象

6、書簽一樣。 Mark Packet（toggle）是標(biāo)記報文 Mark all packets 和 Unamrk all packet即標(biāo)記所有報文 、取消標(biāo)記所有報文,Edit的下拉菜單,點(diǎn)擊“preference”進(jìn)行用戶界面的選擇，比如說 報文察看界面布局的選擇，以及協(xié)議支持的選擇。,View的下拉菜單,Main toolbar 主工具欄 Filter Toolbar 過濾工具欄 Statusbar 狀態(tài)條 Packet list 報文列表 Packet details 報文詳解 Packet byte 報文字節(jié)察看 Time display format 時間顯示格式（可以顯示年月日時

7、分秒） Name Resolution 名字解析 Auto scroll in live capture 單看字面真的不好翻譯（自動翻卷顯示活動的報文），使用對比一下才獲知：捕獲時是否跟進(jìn)顯示更新的報文還是顯示先前的報文。,View的下拉菜單,Zoom in 字體的放大 Zoom out 字體的縮小 Normal size 標(biāo)準(zhǔn)大小 Resize columns 格式對齊 Collapse all 報文細(xì)節(jié)內(nèi)容的縮進(jìn) Expand all 報文細(xì)節(jié)內(nèi)容的展開 Coloring Rules 顏色規(guī)則，即可以對特定的數(shù)據(jù)包定義特定的顏色。 Show packet in new window在新窗口

8、中查看報文內(nèi)容 Reload 刷新,go的下拉菜單,Back 同樣雙方的上個報文 Forward 同樣雙方的下一個報文 Go to packet 查找到指定號碼的報文 First packet 第一個報文 Last packet 最后一個報文,capture的下拉菜單,Start 開始捕獲報文,Interface 接口 捕獲過濾,capture的下拉菜單,capture的Capture filter,捕獲過濾,如果要捕獲特定的報文，那在抓取packet前就要設(shè)置，決定數(shù)據(jù)包的類型。,FIlter name：任意命名 Filter string： 這里要注意了，這里語法輸 入有點(diǎn)技巧。嘿嘿loo

9、k：。,比如說： a.捕獲 MAC地址為 00:d0:f8:00:00:03 網(wǎng)絡(luò)設(shè)備通信的所有報文 ether host 00:d0:f8:00:00:03 b.捕獲 IP地址為 網(wǎng)絡(luò)設(shè)備通信的所有報文 host c.捕獲網(wǎng)絡(luò)web瀏覽的所有報文 tcp port 80 d.捕獲除了http外的所有通信數(shù)據(jù)報文 host and not tcp port 80 提示：如果以 默認(rèn)主機(jī)和端口的設(shè)置捕獲 tcp/ip報文，你將看不到自身的arp報文。,capture的Capture filter

10、,capture的Capture filter,Filter string 語法輸入的格式,src|dst host ether src|dst host gateway host src|dst net mask |len tcp|udp src|dst port less|greater ip|ether proto ether|ip broadcast|multicast relop ,符號在Filter string語法中的定義,Equal: eq, = (等于） Not equal: ne, != （不等于） Greater than: gt, （大于） Less Than: lt,

11、 = （大等于） Less than or Equal to: le, = （小等于）,Capture filter的應(yīng)用步驟,Display filters 顯示過濾 可以直接在主界面的filter上選擇,Analyze的下拉菜單,Analyze下的Display filters,正確的語法如下，和“Capture Filter”的語法有所不同： 顯示 以太網(wǎng)地址為 00:d0:f8:00:00:03 設(shè)備通信的所有報文 eth.addr=00.d0.f8.00.00.03 顯示 IP地址為 網(wǎng)絡(luò)設(shè)備通信的所有報文 ip.addr= 顯示所有

12、設(shè)備web瀏覽的所有報文 tcp.port=80 顯示除了http外的所有通信數(shù)據(jù)報文 ip.addr= & tcp.port!=80,Analyze的下拉菜單,Enable protocols 是否啟用該協(xié)議的解析， 點(diǎn)選該協(xié)議后，相關(guān)的上 層協(xié)議才能顯示出來。,Analyze的下拉菜單,Decode As 用戶定義報文協(xié)議說明 User Specified Decodes 用戶修改的報文編譯,Analyze的Decode As,Decode As 用戶定義報文協(xié)議說明 通過定義后，數(shù)據(jù)包細(xì)節(jié)的窗口解釋：原先是 tcp的解釋，更改就直接顯示ss

13、l格式的報文了。,Analyze的follow tcp stream,好戲來了（follow tcp stream）,在 瀏覽器中 敲入 同時ctrlk 開始抓包，嘿嘿 -,嘿嘿，看到你了。在packet detail的窗口里 安祥的躺著 decelopment.html報文。 小樣，抓到你了。,Analyze的follow tcp stream,在 packet detail 窗口中選擇這個報文（ decelopment.html報文）點(diǎn)擊右鍵 選擇 “ follow tcp stream”,Analyze的follow tcp stream,這就是 follow tcp stream窗口，

14、然后全選 ，在ctrlc， 打開 記事本，ctrlv，另存為 1.html。最后雙擊該文件。后面我什么都不知道了。 這只是 ethereal強(qiáng)大功能其中的一個小技巧,Statistics 顧名思義 統(tǒng)計 就是相關(guān)的報文的統(tǒng)計信息,Statistics的下拉菜單,Summmary 報文的詳細(xì)信息 Protocol hierarchy 協(xié)議層 即各協(xié)議層報文的統(tǒng)計 Conversations 顯示該會話報文的信息 （雙方通信的報文信息） endpoints 分別顯示單方的報文信息 IO Graphs 報文通信的心跳圖（翻譯的比較蹩腳）,Statistics的下拉菜單,Summmary 報文的詳細(xì)信息,Protocol hierarchy 協(xié)議層 即各協(xié)議層報文的統(tǒng)計,Statistics的下拉菜單,Conversa