Ethereal -抓包、报文分析工具

Ethereal协议分析实验指导Ethereal是一个开放源码的网络分析系统，也是目前最好的开放源码的网络协议分析器，支持Linux和windows平台。

Ethereal 基本类似于tcpdump，但 Ethereal 还具有设计完美的 GUI 和众多分类信息及过滤选项。

用户通过 Ethereal，同时将网卡插入混杂模式，可以查看到网络中发送的所有通信流量。

Ethereal网络协议分析软件可以十分方便直观地应用于计算机网络原理和网络安全的教学实验，网络的日常安全监测。

使用Ethereal能够非常有效地帮助学生来理解网络原理和协议、帮助学生理解实验现象和诊断实验故障。

一、Ethereal 协议分析软件下载及安装1.下载Ethereal 开源软件Ethereal是免费的，可以从官方网站下载最新版本。

以windows xp操作系统为例，如图2-1所示。

目前可下载最新版本为：Ethereal 0.99.0图2-1 下载Ethereal协议分析软件的界面2.安装Ethereal软件图2-2 Ethereal 安装界面双击Ethereal-setup-0.99.0.exe软件图标，开始安装。

图2-2为Ethereal安装界面。

选择欲安装的选件，一般选择默认即可，如图2-3图2-3选择欲安装的选件选择欲安装的目录，确定软件安装位置。

Ethereal软件的运行需要软件WinPcap的支持，WinPcap是libpcap library的Windows版本，Ethereal可通过WinPcap来劫取网络上的数据包。

在安装Ethereal时可以的过程中也会一并安装WinPcap，不需要再另外安装。

如图2-4所示图2-4选择安装WinPcap如果在安装Ethereal之前未安装Winpcap，可以勾选Install Winpcap 3.1 beta 4。

开始解压缩文件，接着开始安装，接着按Next就可以看到Ethereal的启动画面了。

网络监听工具Ethereal利用说明1.1Ethereal简介Ethereal是一款免费的网络协议分析程序，支持Unix、Windows。

借助那个程序，你既能够直接从网络上抓取数据进行分析，也能够对由其他嗅探器抓取后保留在硬盘上的数据进行分析。

你能交互式地阅读抓取到的数据包，查看每一个数据包的摘要和详细信息。

Ethereal 有多种壮大的特点，如支持几乎所有的协议、丰硕的过滤语言、易于查看TCP会话经重构后的数据流等。

它的要紧特点为：支持Unix系统和Windows系统在Unix系统上，能够从任何接口进行抓包和重放能够显示通过以下软件抓取的包tcpdumpNetwork Associates Sniffer and Sniffer ProNetXrayShomitiAIX’s iptraceRADCOM & RADCOM’s WAN/LAN AnalyzerLucent/Ascend access productsHP-UX’s nettlToshiba’s ISDN routersISDN4BSD i4btrace utilityMicrosoft Network MonitorSun snoop将所抓得包保留为以下格式：▪libpcap (tcpdump)▪Sun snoop▪Microsoft Network Monitor▪Network Associates Sniffer能够依照不同的标准进行包过滤通过过滤来查找所需要的包依照过滤规那么，用不同的颜色来显示不同的包提供了多种分析和统计工具，实现对信息包的分析图1-1 Ethereal抓包后直观图图1是Ethereal软件抓包后的界面图，咱们能够依照需要，对所抓得包进行分析。

另外，由于Ethereal软件的源代码是公布的，能够随意取得，因此，人们能够很容易患将新的协议添加到Ethereal中，比如新的模块，或直接植入源代码中。

1.2Ethereal支持的网络协议Ethereal能对很多协议进行解码，它支持几乎所有的协议，如AARP, AFS, AH, AIM, ARP, ASCEND, ATM, AUTO_RP, BGP, BOOTP, BOOTPARAMS, BROWSER, BXXP, CDP, CGMP, CLNP, CLTP, COPS, COTP, DATA, DDP, DDTP, DEC_STP, DIAMETER, DNS, EIGRP, ESIS, ESP, ETH, FDDI, FR, FRAME, FTP, FTP-DATA, GIOP, GRE, GVRP, H1, H261, HCLNFSD, HSRP, HTTP, ICMP, ICMPV6, ICP, ICQ, IGMP, IGRP, ILMI, IMAP, IP, IPCOMP, IPCP, IPP, IPV6, IPX, IPXMSG, IPXRIP, IPXSAP, IRC, ISAKMP, ISIS, ISIS_CSNP,ISIS_HELLO, ISIS_LSP, ISIS_PSNP, ISL, IUA, KERBEROS, L2TP, LANE, LANMAN, LAPB, LAPBETHER, LAPD, LCP, LDAP, LDP, LLC, LPD, M3UA, MAILSLOT, MALFORMED, MAPI, MIP, MOUNT, MP, MPLS, MSPROXY, NBDGM, NBIPX, NBNS, NBP, NBSS, NCP, NETBIOS, NETLOGON, NFS, NLM, NMPI, NNTP, NTP, NULL, OSPF, PIM, POP, PORTMAP, PPP, PPPOED, PPPOES, PPTP, Q2931, Q931, QUAKE, RADIUS, RIP, RIPNG, RLOGIN, RPC, RQUOTA, RSH,RSVP, RTCP, RTMP, RTP, RTSP, RX, SAP, SCTP, SDP, SHORT, SIP, SLL, SMB, SMTP, SMUX, SNA, SNMP, SOCKS, SPX, SRVLOC, SSCOP, STAT, STP, SUAL, SYSLOG, TACACS, TCP, TELNET, TEXT, TFTP, TIME, TNS, TPKT, TR, TRMAC, UDP, V120, VINES, VINES_FRP, VINES_SPP, VLAN, VRRP, VTP, WAP-WSP, WAP-WSP-WTP, WAP-WTLS, WCCP, WHO, WLAN, , X11, XOT, YHOO, YPBIND, YPSERV, YPXFR, ZEBRA等。

1. 目的在ADSL、AG及其他产品的日常排障过程中经常需要现场进行抓包配合，本文档提供了Wireshark的常用操作指南。

2. 范围AG、ADSL现场工程师。

3. Wireshark安装作为Ethereal的替代产品，Wireshark（）是一款优秀且免费的抓包分析软件，可到Internet自行下载安装。

Wireshark的安装软件包由Wireshark-setup和WinPcap等2个安装文件组成。

4. Wireshark使用抓包点击菜单Capture -> Option s…，打开Capture Options窗口。

在Interface中选择网络接口；在Capture Filter中输入需要过滤的协议（如过滤megaco协议，输入udp port 2944）；在Capture File(s)的File中输入要保存的抓包文件名，如要将抓包分文件保存，则在Use multiple files中选择保存文件的分割机制，如下图每5M 就保存一个文件；如需要实时显示抓包结果并让抓包结果自动滚屏，则在Display Options中选中Update list of packets in real time和Automatic scrolling in live capture。

Interface：这项用于指定截包的网卡。

Link-layer header type：指定链路层包的类型，一般使用默认值。

Buffer size（n megabyte（s））：用于定义Ethereal用于截包的缓冲，当缓冲写满后，就将截的数据写道磁盘上。

如果遇到ethereal丢包现象，将该缓冲尽量增大。

Capture packets in promiscuous mode：截包时，Ethereal将网口置于混杂模式。

如果没有配置这项，Ethereal只能截取该PC发送和接收的包（而不是同一LAN上的所有包）。

Limit each packet to n bytes：定义Ethereal截取包的最大数据数，大于这个值的数据包将被丢掉。

实验二利用分组嗅探器（ethereal）分析协议HTTP一、实验目的分析HTTP协议二、实验环境与因特网连接的计算机网络系统；主机操作系统为windows；Ethereal、IE等软件。

三、实验步骤1、HTTP GET/response交互首先通过下载一个非常简单的HTML文件（该文件非常短，并且不嵌入任何对象）。

（1）启动Web browser。

（2）启动Ethereal分组嗅探器。

在窗口的显示过滤说明处输入“http”，分组列表子窗口中将只显示所俘获到的HTTP报文。

（3）一分钟以后，开始Ethereal分组俘获。

（4）在打开的Web browser窗口中输入一下地址（浏览器中将显示一个只有一行文字的非常简单的HTML文件）：/ethereal-labs/HTTP-ethereal-file1.html（5）停止分组俘获。

窗口如图1所示。

根据俘获窗口内容，回答“四、实验报告内容”中的1-6题。

图1分组俘获窗口2、HTTP 条件GET/response交互（1）启动浏览器，清空浏览器的缓存（在浏览器中，选择“工具”菜单中的“Internet 选项”命令，在出现的对话框中，选择“删除文件”）。

（2）启动Ethereal分组俘获器。

开始Ethereal分组俘获。

（3）在浏览器的地址栏中输入以下URL: /ethereal-labs/HTTP-ethereal-file2.html,你的浏览器中将显示一个具有五行的非常简单的HTML文件。

（4）在你的浏览器中重新输入相同的URL或单击浏览器中的“刷新”按钮。

（5）停止Ethereal分组俘获，在显示过滤筛选说明处输入“http”,分组列表子窗口中将只显示所俘获到的HTTP报文。

根据操作回答“四、实验报告内容”中的7-10题。

3、获取长文件（1）启动浏览器，将浏览器的缓存清空。

（2）启动Ethereal分组俘获器。

开始Ethereal分组俘获。

（3）在浏览器的地址栏中输入以下URL: /ethereal-labs/HTTP-ethereal-file3.html，浏览器将显示一个相当大的美国权力法案。

linux抓包及ethereal抓包工具的使用方法1．Linux抓包（1）一般抓包命令tcpdump -s0 -c 包数量-i 网卡名-w 文件名其中：-s0表示应用层的size不受限制，用于详细分析。

否则将被截断，即应用层消息可能不完整)-c 包数量到达某个数量后自动停止抓包，防止文件太大-i 只抓某个网卡的消息，不抓其他网卡的消息-w抓到的消息自动存入文件中，但消息不再在显示器上显示了例：tcpdump -s0 –c 10000 -i eth0 -w /tmp/1.cap抓取本机eth0网卡上所有进出的消息，且应用层的消息是完整的，并存入/tmp目录下的1.cap文件（.cap是ethereal消息包文件的后缀名），如果在抓包过程中用户不使用ctrl+c来中断的话，抓到10000条消息后自动停止抓包。

如果中途被中断，文件中存放的是中断之前的消息。

（2）指定交互双方的抓包命令tcpdump host 192.168.0.2 and 192.168.0.3 –s0 –w /tmp/2-3.cap只抓这2台主机之间交互的消息，其它消息被过滤掉。

由于ethereal工具功能强大，所以尽管tcpdump命令有许多参数可以达到许多过滤条件，但把这些事交给ethereal来做，我们就更省力。

2．ethereal抓包工具的使用方法把xxx.cap文件下载后，就可以使用ethereal工具来分析了。

当然也可在linux 机器上直接使用ethereal来抓包（需要安装rpm）而不用使用tcpdump命令。

现在介绍的是在windows电脑上启动ethereal程序，见下图：选择菜单“file”－open选择消息包文件：打开：选择菜单“statistics”－conversation list－tcp通过对IP地址的排序找到所关心的一次交互过程，在该条目上使用右键：该次交互过程中的所有消息便显示出来，可以认真分析了。

实验一：使用包嗅探及协议分析软件Ethereal 分析 Ethernet帧及应用层FTP协议的分析【实验目的】1、掌握包嗅探及协议分析软件Ethereal的使用。

2、掌握Ethernet帧的构成3、掌握 FTP协议包的构成【实验环境】安装好Windows 2000 Server操作系统+Ethereal的计算机【实验时间】2节课【实验重点及难点】重点学习掌握如何利用Ethereal来分析Ethernet帧。

【实验内容】1、捕捉任何主机发出的Ethernet 802.3格式的帧和DIX Ethernet V2（即EthernetII）格式的帧并进行分析。

2、捕捉并分析局域网上的所有ethernet broadcast帧进行分析。

3、捕捉局域网上的所有ethernet multicast帧进行分析。

【实验步骤】一、Ethereal的安装Ethereal是一个图形用户接口（GUI）的网络嗅探器，由于Ethereal需要WinPcap库, 所以先安装WinPcap_2_3.exe, 再安装Ethereal.exe。

（已装好）二、仔细阅读附件中的Ethereal使用方法和TcpDump的表达式详解，学习Ethereal的使用。

三、捕捉任何主机发出的Ethernet 802.3格式的帧和DIX Ethernet V2（即EthernetII）格式的帧并进行分析。

捕捉任何主机发出的Ethernet 802.3格式的帧（帧的长度字段<=1500），Ethereal的capture filter 的filter string设置为：ether[12:2] <= 1500。

捕捉任何主机发出的DIX Ethernet V2（即Ethernet II）格式的帧（帧的长度字段>1500, 帧的长度字段实际上是类型字段），Ethereal的capture filter 的filter string设置为：ether[12:2] > 1500。

Wiresahrk简史1.是什么？Wireshark（前称Ethereal）是一个网络封包分析软件。

网络封包分析软件的功能是撷取网络封包，并尽可能显示出最为详细的网络封包资料。

Wireshark使用WinPCAP作为接口，直接与网卡进行数据报文交换。

网络封包分析软件的功能可想像成 "电工技师使用电表来量测电流、电压、电阻" 的工作 - 只是将场景移植到网络上，并将电线替换成网络线。

在过去，网络封包分析软件是非常昂贵，或是专门属于营利用的软件。

Ethereal的出现改变了这一切。

在GNUGPL通用许可证的保障范围底下，使用者可以以免费的代价取得软件与其源代码，并拥有针对其源代码修改及客制化的权利。

Ethereal是目前全世界最广泛的网络封包分析软件之一。

2.如何来？1997年以后，Gerald Combs 需要一个工具追踪网络问题并想学习网络知识。

所以他开始开发Ethereal (Wireshark项目以前的名称) 以解决以上的两个需要。

Ethereal是第一版，经过数次开发，停顿，1998年，经过这么长的时间，补丁，Bug报告，以及许多的鼓励，0.2.0版诞生了。

Ethereal 就是以这种方式成功的。

此后不久，Gilbert Ramirez发现它的潜力，并为其提供了底层分析1998年10月，Guy Harris正寻找一种比TcpView更好的工具，他开始为Ethereal进行改进，并提供分析。

1998年以后，正在进行TCP/IP教学的Richard Sharpe 关注了它在这些课程中的作用。

并开始研究该软件是否他所需要的协议。

如果不行，新协议支持应该很方便被添加。

所以他开始从事Ethereal的分析及改进。

从那以后，帮助Ethereal的人越来越多，他们的开始几乎都是由于一些尚不被Ethereal支持的协议。

所以他们拷贝了已有的解析器，并为团队提供了改进回馈。

2006年项目Moved House（这句不知道怎么翻译）并重新命名为：Wireshark.。

ethereal 封包内容解析一、什么是ethereal封包内容？ethereal封包内容是指使用网络封包分析器（如Wireshark）捕获的网络数据包的内容。

Ethereal是一款流行的开源网络封包分析工具，它可以用于捕获、分析和显示网络数据包的详细信息。

通过对ethereal封包内容的解析，我们可以深入了解网络通信过程中的数据交换和协议运行情况。

二、如何解析ethereal封包内容？1. 解析IP数据包ethereal封包内容中最基本的单位是IP数据包。

IP数据包是网络通信过程中传输的基本单元，它包含了源IP地址、目标IP地址、协议类型等信息。

通过解析IP数据包，我们可以了解网络通信的双方以及使用的协议类型。

2. 解析TCP/UDP数据包在IP数据包的基础上，ethereal封包内容中还包含着传输层的TCP 或UDP数据包。

TCP（传输控制协议）和UDP（用户数据报协议）是常用的传输层协议，它们负责将数据从源主机传输到目标主机。

通过解析TCP/UDP数据包，我们可以了解数据传输的端口号、序号、确认号等信息，从而判断数据包的传输状态和协议运行情况。

3. 解析应用层协议在传输层之上，ethereal封包内容中还包含着各种应用层协议的数据包。

常见的应用层协议有HTTP、FTP、SMTP等。

通过解析应用层协议的数据包，我们可以了解网络通信中具体的应用场景和数据交互过程。

4. 解析数据包的负载除了各层协议的头部信息外，ethereal封包内容中还包含着数据包的负载部分。

数据包的负载是实际传输的数据内容，可能是文本、图片、音频等任意类型的数据。

通过解析数据包的负载，我们可以了解具体的数据内容，从而判断网络通信的目的和内容。

三、ethereal封包内容解析的应用1. 网络故障排查通过解析ethereal封包内容，可以捕获网络通信过程中的错误和异常情况，帮助网络管理员快速定位网络故障的原因。

例如，当网络连接出现异常时，可以通过分析数据包的传输状态和协议运行情况，找出问题所在并进行修复。

抓包工具ethereal 使用说明 1.启动程序
2.修改配置
点击start 开始抓包。

3．实时抓包，可以在Filter 过滤，只显示当前网卡与输入ip 之间的报文。

点击选择
点击选择
4.停止抓包，点击stop 即可。

5.保存报文
点击file文件夹下save as，弹出保存界面，选择c：\或其他盘,在最下行输入文件名，点击ok即可。

61850报文说明：在抓包界面protocol下有tcp、utp、mms报文等，最重要的是要有mms
包。

另外在第一次配置完成后，不退出程序前不需要重新配置，可以在“file”正下方的“”
快捷键，在弹出的窗口中点击“Capurte”就开始重新抓包了。

同时会问对上次的报文是否保存。

最后强调一下，对抓好的包要重新打开看一下，确保正确保存。

“飞秋”抓包分析前期筹备工作。

在接到教员布置的任务之后，我们班找了时间对这个报告工作所要解决的问题进行了归纳，再对实验的过程进行了讨论，然后对报告撰写进行了比较详细的讨论。

也在网上搜集了必要的资源和一些方法。

一．实验名称飞秋聊天和传输文件的抓包分析二．实验目的通过对飞秋聊天和传输文件时的抓包分析，了解飞秋的数据包的结构以及功能。

三．实验过程环境配置：<一>、抓包软件的配置。

一开始我们组选择的是sniffer这个软件来进行抓包和分析，但是在先后下载了几个版本都未能在电脑上面很好的运行，后来查阅资料显示sniffer在win7 64位上面确实存在兼容问题。

于是我们组选择了另外一个抓包软件Ethereal。

相比之下，ethereal的安装和配置就显得流畅得多。

很快就在电脑上运行了起来。

<二>、局域网的组建。

我们组采取的是wifi无线联接。

由一台电脑开启免费热点，然后其他几台电脑输入密码进行连接。

这样，局域网就组建了起来。

经过这几步，抓包相关的配置都已准备齐全，剩下来就是具体的抓包和分析了。

<三>抓包过程：1、运行飞秋。

可以看到飞秋主界面在局域网连接的状况下，打开软件就可以看到提示：有N名好友在线。

可以试着发送一些文件或短消息，检查连接和软件运行状况。

2、打开Ethereal软件，可以看到其全英文的主界面：界面顶部是三栏功能栏，第一栏为所有功能，分别是文件、添加、编辑、运行、捕获、分析、统计，帮助。

第二栏为快捷键，第三栏为抓包过滤选项（此项后面可以用到）。

界面下部分是可视窗口，显示抓到的包和简略的包数据。

3、开始抓包。

点击capture—options。

可以看到抓包界面：界面显示的是珠宝相关的一些操作，我们能用到的主要有红色标明的一些栏目，分别是1网卡选择、2及时显示抓到的数据包、3开始。

首先选择要抓取的网卡，选折好后可以看到挨着那一栏的ipaddress核对是否和飞秋上现实的自己的地址是否相同，检查完就可以开始了。

Windows下使用Wireshark（ethereal）进行抓包分析说明：由于版权问题，该开源软件的新版本现已更名为Wireshark。

1、下载安装a 从/ 下载Wincap安装；b 从/ 下载安装Windows平台的Ethereal（或从/projects/wireshark/ 下载安装Wireshark），双击安装文件安装即可。

2、使用启动ethereal 以后，选择菜单Capature->Start ：选择好接受数据的网卡（Ethereal会自动选择系统中安装的唯一的网卡），再单击“OK”按钮即可开始抓包。

上图中的对话框还可以进行一些设置：l Interface：指定在哪个接口（网卡）上抓包（系统会自动选择一块网卡）。

l Limit each packet：限制每个包的大小，缺省情况不限制。

l Capture packets in promiscuous mode：是否打开混杂模式。

如果打开，抓取所有的数据包。

一般情况下只需要监听本机收到或者发出的包，因此应该关闭这个选项。

l Filter：过滤器。

只抓取满足过滤规则的包。

l File：可输入文件名称将抓到的包写到指定的文件中。

l Use ring buffer：是否使用循环缓冲。

缺省情况下不使用，即一直抓包。

注意，循环缓冲只有在写文件的时候才有效。

如果使用了循环缓冲，还需要设置文件的数目，文件多大时回卷。

l Update list of packets in real time：如果复选框被选中，可以使每个数据包在被截获时就实时显示出来，而不是在嗅探过程结束之后才显示所有截获的数据包。

单击“OK”按钮开始抓包，系统显示出接收的不同数据包的统计信息：单击“Stop”按钮停止抓包后，所抓包的分析结果显示在面板中：3、Ethereal的抓包过滤器抓包过滤器在抓包过程中用来抓取感兴趣的数据包。

它使用的是libcap 过滤器语言，在tcpdump 的手册中有详细的解释，基本结构是：[not] primitive [and|or [not] primitive …]。

Ethereal抓包的基本使用办法
一、确认镜像端口是否做好
这里可以使用捕包软件来确认镜像是否安装好。

，如果客户的交换机支持镜像功能，则使用捕包软件。

我这里使用的是ethereal捕包软件。

1.根据提示一步步安装完捕包软件。

2.开始----程序----ethereal----
3.进入到ethereal界面
4.选择capture，进行捕包。

5.在capture菜单中选择Options
Interface是自己电脑的网卡，根据自己电脑的实际的通讯的网卡进行选择，并按照上述打沟的情况进行选择打沟。

捕获所有协议的数据包。

选择此项表示会随时更新捕获到的数据包。

设置完之后，点击右下角start按钮，即开始捕包。

以下是捕获的数
据包的界面。

捕包一段时间之后，点击界面上stop，即停止捕获数据包。

6.停止捕包之后，就可以回到ethereal的主界面上了，可以看到很多
数据。

从上面的数据中可以看出对应的序号，时间，源IP，目的IP，协议类型。

在这里，要确认为镜像端口是否做好，只要在上述数据中能够看到有源IP和目的IP地址，是正反成对出现即可，表示镜像端口镜像成功。

7．在捕获数据选择保存时，选择file---save as，弹出以下界面：
根据实际情况，选择路径，填好文件明。

在保存类型的选择时，系统默认为Ethereal/tcpdump(*.cap,*.pcap).
注意：如果需要让sniffer进行分析数据包的情况下，在这里要选择NG/NAI Sniffer(*.cap *enc *.trc).其余的选项按照默认的进行。

Ethereal是做什么的？如何操作
Ethereal是干什么的？Ethereal是一种数据包捕获工具，跟它同时存在的也许比它还好用的数据包捕获软件还有wireshark、sniffer等。

在我们进行网络操作的时候，我们进行操作的只是用户交互部门，后台部门使我们看不到的，但是看不到不代表不存在。

我们用Ethereal捕获到的数据包就可以告诉我们：
（1）在我们简单操作的背后，计算机为我们做了哪些背后的操作，这些背后的操作有多复杂？这是我们上机课需要了解的；
（2）我们都知道了我们想要发送数据包，在发送端和目的端都需要进行很多的操作，Internet是TCP/IP体系结构，那么它进行数据包发送就要进行应用层、传输层、网络层、网络接口层的四层封转，我们的每一层是如何封装的，它的首部都有哪些字段，这些字段包括什么内容？Ethereal会告诉我们；
（3)如果我们的网络一旦遇到网络故障，比如ARP欺骗、木马病毒等，这些故障都可以在网络数据包里面找到痕迹，通过Ethereal查看网络流量和数据包内容，我们可以分析，目前网络中了哪些病毒，收到了哪些攻击。

以上是Ethereal软件在我们的学习实验过程中可以为我们做的事情。

那么，第二个问题，我们如何操作才能利用这些功能呢？
（1）如何用Ethereal捕获数据包？
首先设置你所需要的各个选项，在capture--》options里面包含几乎所有的选项。

options选项内容解释如下，其他的可以自己去查。

(2)如此，开始之后就可以捕获到数据包，stop之后可以看到数据包的具体信息：
以上，就是数据包简单的捕获分析过程。