Ethereal -抓包、报文分析工具

Ethereal -抓包、报文分析工具

Ethereal 是一种开放源代码的报文分析工具，适用于当前所有较为流行的计算机系统，包括 Unix、Linux 和 Windows 。

主界面如上图，点“抓包配置”按钮，出现抓包配置界面如下图。

在“Interface”中选择网卡，即用来抓包的接口，如果选择错误就不能抓到报文；“Capture packets in promiscuous mode（混杂模式抓包）”是指捕捉所有的报文，如不选中就只捕捉本机的收发报文；如果选中“Limit each packet to xx bytes（限制每个包的大小）”则只捕捉小于该限制的包；抓包时，数据量比较大，解析起来速度慢，可在“Capture Filter（抓包过滤

设置“Display Options(显示设置)”中建议选中“Update list of packets in realtime（实时更新抓包列表）”、“Automatic scrolling in live capture（自动滚屏）”和“Hide capture info dialog（隐藏抓包信息对话框）”三项。抓包配置好就可以点击“Start”开始抓包了。

抓包结束，按“停止”按钮即可停止。为了快速查看需要的报文，在“Filter”栏中输入过滤条件后按回车键即可对抓到的包进行过滤。

注意“Filter”栏中输入的过滤条件正确则其底色为绿色，错误则其底色为红色。常用

有些报文还可以判断网络的状况，例如输入显示过滤条件tcp.analysis.flags，可以显示丢失、重发等异常情况相关的TCP报文，此类报文的出现频率可以作为评估网络状况的一个标尺。偶尔出现属于正常现象，完全不出现说明网络状态上佳。

tcp.flags.reset==1。SYN是TCP建立的第一步，FIN是TCP连接正常关断的标志，RST是TCP连接强制关断的标志。

统计心跳报文有无丢失。在statistics->conversations里选择UDP，可以看到所有装置的UDP报文统计。一般情况下，相同型号装置的UDP报文的数量应该相等，最多相差1到2个，如果个别装置数量异常，则可能是有心跳报文丢失，可以以该装置的地址为过滤条件进行进一步查找。

抓取的报文可以点击“保存”按钮进行保存，以后就可以点击“打开”按钮查看已保存的报文包。保存报文时首先选择保存目录，再在“Packet Range”里“Captured（保存捕捉到的所有报文）”、“Displayed（保存屏幕显示的报文）”和“All packets（保存所有的数据包）”、“Selected packets only（保存选中的数据包）”、“Marked packets only（保存标记过的数据包）”配合选用，最后填上保存文件名点“OK”即可。

Wireshark也是一种开放源代码的报文分析工具，同样支持 Unix、Linux 和 Windows 等计算机系统，其前身正是Ethereal，二者使用方法类似。