ethereal的使用详解

1.主界面介绍随着3G的普及，手机数据业务量（如浏览器，彩信等）的日益增长，对手机侧网络包的分析显得越来越重要。

一般来说，手机数据业务的抓包工具为QXDM，在抓LOG指导里面已经有了详细参数的配置介绍(详情见《IP数据包抓取方法.doc》)。

但需要注意的是，在将LOG转化为.pcap文件时，必须保证当前电脑里安装有Ethereal软件，否者PCAPGenerator这个工具不会出现。

（针对使用Tools->PCAPGenerator转化.isf文件出错的情况，可以做如下尝试：先使用Tools->ISF File Converter将刚刚保存的.isf文件其转化为.dlf文件，然后使用Tools->PCAPGenerator将.dlf 文件转换成.pcap文件）。

这里主要针对抓到IP包后，怎么样使用Ethereal软件对IP包进行分析，以及一些简单的TCP/IP协议介绍。

直接点击打开.pcap文件，可以看到如下图1所示界面。

图1中间彩色的区域就是IP数据包。

从左到右，字段分别是No.，Time，Source，Destination，Protocol以及Info。

IP包是按照流经手机网卡的时间顺序排列的，NO.是标示抓到的IP包是该抓包文件中的第几个，Time则是计算的所有包与第一个包之间的间隔时间，单位毫秒ms。

Source和Destination字段分别表示IP包的源地址和目的地址。

Protocol显示当前IP包的上层协议，如TCP，UDP，如果应用层协议头也在该IP包中，优先显示应用层协议，如RTSP，HTTP等。

注意中间的彩色显示，不同的颜色代表该IP包中包含了不同内容，这是方便我们对IP 包查看。

如上面的大红色，表示的是该数据包损坏，可能是只有一半的内容，也可能是指在该包与其他包的序号不连续（指在协议层不连续），中间可能出现丢包的现象。

很多时候，Ethereal是用不同颜色来区分上层协议的不同（注意IP包中必须包含上层协议的包头，才能以该应用的颜色进行标示。

⽹络协议分析⼯具Ethereal的使⽤⼤学时计算机⽹络课的实验报告，当时提不起兴趣，今天看来还挺有⽤的。

可以学习下怎样抓数据包，然后分析程序的通信协议。

⼀：学习使⽤⽹络协议分析⼯具Ethereal的⽅法，并⽤它来分析⼀些协议。

实验步骤：1．⽤“ipconfig”命令获得本机的MAC地址和缺省路由器的IP地址；（注：缺省路由器即 ”Default Gateway”）命令⾏：Start->Run->CMD->ipconfig /all >C:\Mac.txt(在命令⾏中把ipconfig命令保存在⽂本⽂档⾥⾯备⽤)结果：本机Mac地址：00.09.73.4B.8A.D7 缺省路由器IP：192.168.8.254步骤截图：图1（本机⽹络信息：Mac.txt）2．⽤“arp”命令清空本机的缓存：命令⾏：Start->Run->CMD->arp –d图2（arp命令 –d参数的帮助说明）3．运⾏Ethereal，开始捕获所有属于ARP协议或ICMP协议的，并且源或⽬的MAC地址是本机的包：图3（Capture->Options中关于⽹卡设置和Capture Filter）图4（抓包截图）4．执⾏命令：“ping” 缺省路由器的IP地址：图5（捕获包）图6（ping 过程）⼆：⽤Ethereal观察tracert命令的⼯作过程：1．⽤Ethereal语法内容及参数说明：命令⾏操作步骤：Start->Run->CMD->tracert图1（Tracert命令全部参数的帮助说明）2．运⾏Ethereal, 设定源和⽬的MAC地址是本机的包，捕获tracert命令中⽤到的消息：Tracert使⽤ICMP，相应过滤规则为：ether host 00:09:73:4B:8A:D7 and icmp图3（Capture->Options中关于⽹卡设置和Capture Filter）3.执⾏“tracert -d ” ，捕获包：执⾏命令：tracert -d ：图3 （执⾏命令 tracert –d ）图4（抓包截图）图5（捕获包）4．Tracert⼯作原理：Tracert使⽤ICMP消息，具体地讲，tracert发出的是Echo Request消息，触发返回的是Time Exceeded消息和Echo Reply消息。

抓包工具ethereal 使用说明 1.启动程序
2.修改配置
点击start 开始抓包。

3．实时抓包，可以在Filter 过滤，只显示当前网卡与输入ip 之间的报文。

点击选择
点击选择
4.停止抓包，点击stop 即可。

5.保存报文
点击file文件夹下save as，弹出保存界面，选择c：\或其他盘,在最下行输入文件名，点击ok即可。

61850报文说明：在抓包界面protocol下有tcp、utp、mms报文等，最重要的是要有mms
包。

另外在第一次配置完成后，不退出程序前不需要重新配置，可以在“file”正下方的“”
快捷键，在弹出的窗口中点击“Capurte”就开始重新抓包了。

同时会问对上次的报文是否保存。

最后强调一下，对抓好的包要重新打开看一下，确保正确保存。

Ethereal工具的使用方法1、抓包设置页面选择以太网卡设置为实时刷新报文设置为是否滚动设置一次抓包长度或抓包时间设置抓包存储方式显示过滤显示过滤语法：mms 只显示MMS报文iecgoose 只显示goose报文tcp 只显示tcp报文udp 只显示udp报文== 显示与地址为的服务器交互的报文== 显示源地址IP为的服务器发出的报文== 显示与目的地址IP为的服务器交互的报文== 5a:48:36:30:35:44 显示与MAC地址为5a:48:36:30:35:44的服务器交互的报文== 5a:48:36:30:35:44 显示源MAC地址为5a:48:36:30:35:44的服务器发出的报文== 5a:48:36:30:35:44 显示与目的MAC地址为5a:48:36:30:35:44的服务器交互的报文抓捕过滤抓捕过滤语法Tcp 只抓捕Tcp报文Udp 只抓捕Tcp报文Host 只抓捕IP地址为的报文Ether host 只抓捕MAC地址为5a:48:36:30:35:44的报文限制每个包的大小2、协议显示MMS 报文SNTP 建立以太网通讯时会发ARP 报文ping 报文SV 、GOOSE 抓包时间3、 显示信息报文序号抓取该帧报文时刻，PC 时间该帧报文是谁发出的该帧报文是发给谁的协议类型--以太网类型码报文长度4、 过滤机制 关键字段过滤1）按目的MAC地址过滤2）按源MAC地址过滤3）按优先级过滤4）按VLAN过滤语法 == 2105）按以太网类型码过滤 == 0x88b86）按APPID过滤7）按GOOSE控制块过滤语法：frame[30:9] == 80:07:67:6f:63:62:52:65:66 从该帧报文的第30个字节读取9个字节8）其他字段的过滤类似不在一一举例组合过滤1）找到特征报文的起始点找到自己关注GOOSE的APPID根据GOOSE变位时sequencenumber会变0的特性找到第一帧变位GOOSE2）标注起始报文注意报文编号：28、363）去掉过滤条件，在所有的原始报文中显示标注报文，能找到事件之间的时间关系去掉过滤条件并Apply，在“28、36”附近发生的事情一目了然4）进一步优化时间显示显示绝对时间不含年、月、日绝对时间以第一帧报文为计时起点相对时间以上一帧报文为计时起点查看相邻两帧报文的间隔设置特征报文为计时参考点过滤结果“28”以后的报文均以其为计时起点。

实验一：Ethereal使用入门一、实验目的熟悉分组嗅探器Ethereal实验环境，学习使用Ethereal捕获数据的方法。

二、实验原理“不闻不若闻之，闻之不若见之，见之不若知之，知之不若行之”-----中国谚语。

一个人对网络协议的理解通常通过以下方法能够得到极大的深化：观察它们的工作过程和使用它们，即观察两个协议实体之间交换的报文序列，钻研协议操作的细节，使协议执行某些操作，观察这些动作及其后果，这能够在仿真环境下或在如因特网这样的真实网络环境下完成。

在Ethereal实验中，我们将采用后一种方法，使用桌面上的计算机在各种情况下运行网络应用程序，在计算机上观察网络协议与在因特网别处执行的协议实体进行交互和交换报文的情况。

因此，你与你的计算机将是这些实际实验的组成部分，在实际动手实验中进行观察学习。

观察在执行协议的实体之间交换的报文的基本工具被称为分组嗅探器（packet sniffer）。

顾名思义，一个分组嗅探器被动地拷贝（嗅探）由你的计算机发送和接收的报文，它也能存储并显示出这些被俘获报文的各个协议字段的内容。

一个分组嗅探器本身是被动的，它观察运行在你计算机上的应用程序和协议收发的报文，但它自己从不发送任何分组。

同样，接收到的分组也不会显式地标注是给分组嗅探器的。

实际上，一个分组嗅探器收到的是运行在你机器上应用程序和协议收发的分组的备份。

图1显示了一个分组嗅探器的结构。

图1的右边是正常的运行在你的计算机上的协议和应用程序（比如FTP client）。

在图中虚线矩形中的分组嗅探器是在你计算机中额外安装的软件，由两部分组成：一部分是分组捕获库（packet capture library），一部分是分组解析器（packet analyzer）。

分组获取库获得了从你主机发出或接收的每一个链路层数据帧的拷贝，更高层协议（HTTP、FTP、TCP、UDP、DNS、IP）传输的信息最终都被封装在链路层帧里，通过物理介质传送出去（如网线）。

实验： ethereal软件的使用（一）【实验目的】1、熟悉并掌握Ethereal的基本操作。

2、了解网络协议实体间进行交互以及报文交换的情况。

【实验设备】与因特网连接的计算机网络系统；主机操作系统为windows；Ethereal、IE等软件。

【实验步骤】一个人要深入理解网络协议，需要：观察它们的工作并使用它们，即观察两个协议实体之间交换的报文序列，探究协议操作的细节，使协议实体执行某些动作，观察这些动作及其影响。

这些任务可以在仿真环境下或在如因特网这样的真实网络环境中完成。

观察在正在运行协议实体间交换报文的基本工具被称为分组嗅探器（packet sniffer）。

顾名思义，一个分组嗅探器俘获（嗅探）由你的计算机发送和接收的报文。

一般情况下，分组嗅探器将存储和显示出被俘获报文的各协议字段的内容。

图1显示了一个分组嗅探器的结构。

图1右边是计算机上正常运行的协议（在这里是因特网协议）和应用程序（如：web浏览器和ftp客户端）。

分组嗅探器（虚线框中的部分）是附加计算机普通软件上的，主要有两部分组成。

分组俘获库（packet capture library）接收计算机发送和接收的每一个链路层帧的拷贝。

高层协议（如：HTTP、FTP、TCP、UDP、DNS、IP等）交换的报文都被封装在链路层帧中，并沿着物理媒体（如以太网的电缆）传输。

图1假设所使用的物理媒体是以太网，并且上层协议的报文最终封装在以太网帧中。

分组嗅探器的第二个组成部分是分组分析器。

分组分析器用来显示协议报文所有字段的内容。

为此，分组分析器必须能够理解协议所交换的所有报文的结构。

例如：我们要显示图1中HTTP协议所交换的报文的各个字段。

分组分析器理解以太网帧格式，能够识别包含在帧中的IP数据报。

分组分析器也要理解IP数据报的格式，并能从IP数据报中提取出TCP 报文段。

然后，它需要理解TCP报文段，并能够从中提取出HTTP消息。

最后，它需要理解HTTP消息。

用Ethereal分析协议数据包Ethereal是一个图形用户接口（GUI）的网络嗅探器，能够完成与Tcpdump相同的功能，但操作界面要友好很多。

Ehtereal和Tcpdump都依赖于pcap库（libpcap），因此两者在许多方面非常相似（如都使用相同的过滤规则和关键字）。

Ethereal和其它图形化的网络嗅探器都使用相同的界面模式，如果能熟练地使用Ethereal，那么其它图形用户界面的嗅探器基本都可以操作。

1. Ethereal的安装由于Ethereal需要WinPcap库, 所以先安装WinPcap_2_3.exe, 再安装Ethereal.exe。

2. 设置Ethereal的过滤规则当编译并安装好Ethereal后，就可以执行“ethereal”命令来启动Ethereal。

在用Ethereal截获数据包之前，应该为其设置相应的过滤规则，可以只捕获感兴趣的数据包。

Ethereal使用与Tcpdump相似的过滤规则(详见下面的“5.过滤规则实例”)，并且可以很方便地存储已经设置好的过滤规则。

要为Ethereal 配置过滤规则，首先单击“Edit”选单，然后选择“Capture Filters...”菜单项，打开“Edit Capture Filter List”对话框（如图1所示）。

因为此时还没有添加任何过滤规则，因而该对话框右侧的列表框是空的。

图1 Ethereal过滤器配置对话框在Ethereal中添加过滤器时，需要为该过滤器指定名字及规则。

例如，要在主机10.1.197.162和间创建过滤器，可以在“Filter name”编辑框内输入过滤器名字“sohu”，在“Filter string”编辑框内输入过滤规则“host 10.1.197.162 and ”，然后单击“New”按钮即可，如图2所示。

图2 为Ethereal添加一个过滤器在Ethereal中使用的过滤规则和Tcpdump几乎完全一致，这是因为两者都基于pcap库的缘故。

Ethereal抓包的基本使用办法
一、确认镜像端口是否做好
这里可以使用捕包软件来确认镜像是否安装好。

，如果客户的交换机支持镜像功能，则使用捕包软件。

我这里使用的是ethereal捕包软件。

1.根据提示一步步安装完捕包软件。

2.开始----程序----ethereal----
3.进入到ethereal界面
4.选择capture，进行捕包。

5.在capture菜单中选择Options
Interface是自己电脑的网卡，根据自己电脑的实际的通讯的网卡进行选择，并按照上述打沟的情况进行选择打沟。

捕获所有协议的数据包。

选择此项表示会随时更新捕获到的数据包。

设置完之后，点击右下角start按钮，即开始捕包。

以下是捕获的数
据包的界面。

捕包一段时间之后，点击界面上stop，即停止捕获数据包。

6.停止捕包之后，就可以回到ethereal的主界面上了，可以看到很多
数据。

从上面的数据中可以看出对应的序号，时间，源IP，目的IP，协议类型。

在这里，要确认为镜像端口是否做好，只要在上述数据中能够看到有源IP和目的IP地址，是正反成对出现即可，表示镜像端口镜像成功。

7．在捕获数据选择保存时，选择file---save as，弹出以下界面：
根据实际情况，选择路径，填好文件明。

在保存类型的选择时，系统默认为Ethereal/tcpdump(*.cap,*.pcap).
注意：如果需要让sniffer进行分析数据包的情况下，在这里要选择NG/NAI Sniffer(*.cap *enc *.trc).其余的选项按照默认的进行。

网络监听工具Ethereal使用说明1.1 Ethereal简介Ethereal是一款免费的网络协议分析程序，支持Unix、Windows。

借助这个程序，你既可以直接从网络上抓取数据进行分析，也可以对由其他嗅探器抓取后保存在硬盘上的数据进行分析。

你能交互式地浏览抓取到的数据包，查看每一个数据包的摘要和详细信息。

Ethereal有多种强大的特征，如支持几乎所有的协议、丰富的过滤语言、易于查看TCP会话经重构后的数据流等。

它的主要特点为：∙支持Unix系统和Windows系统∙在Unix系统上，可以从任何接口进行抓包和重放∙可以显示通过下列软件抓取的包∙tcpdump∙Network Associates Sniffer and Sniffer Pro∙NetXray∙Shomiti∙AIX’s iptrace∙RADCOM & RADCOM’s WAN/LAN Analyzer∙Lucent/Ascend access products∙HP-UX’s nettl∙Toshiba’s ISDN routers∙ISDN4BSD i4btrace utility∙Microsoft Network Monitor∙Sun snoop∙将所抓得包保存为以下格式：▪libpcap (tcpdump)▪Sun snoop▪Microsoft Network Monitor▪Network Associates Sniffer∙可以根据不同的标准进行包过滤∙通过过滤来查找所需要的包∙根据过滤规则，用不同的颜色来显示不同的包提供了多种分析和统计工具，实现对信息包的分析图1-1 Ethereal抓包后直观图图1是Ethereal软件抓包后的界面图，我们可以根据需要，对所抓得包进行分析。

另外，由于Ethereal软件的源代码是公开的，可以随意获得，因此，人们可以很容易得将新的协议添加到Ethereal中，比如新的模块，或者直接植入源代码中。

实验一：Ethereal使用入门一、实验目的熟悉分组嗅探器Ethereal实验环境，学习使用Ethereal捕获数据的方法。

二、实验原理“不闻不若闻之，闻之不若见之，见之不若知之，知之不若行之”-----中国谚语。

一个人对网络协议的理解通常通过以下方法能够得到极大的深化：观察它们的工作过程和使用它们，即观察两个协议实体之间交换的报文序列，钻研协议操作的细节，使协议执行某些操作，观察这些动作及其后果，这能够在仿真环境下或在如因特网这样的真实网络环境下完成。

在Ethereal实验中，我们将采用后一种方法，使用桌面上的计算机在各种情况下运行网络应用程序，在计算机上观察网络协议与在因特网别处执行的协议实体进行交互和交换报文的情况。

因此，你与你的计算机将是这些实际实验的组成部分，在实际动手实验中进行观察学习。

观察在执行协议的实体之间交换的报文的基本工具被称为分组嗅探器（packet sniffer）。

顾名思义，一个分组嗅探器被动地拷贝（嗅探）由你的计算机发送和接收的报文，它也能存储并显示出这些被俘获报文的各个协议字段的内容。

一个分组嗅探器本身是被动的，它观察运行在你计算机上的应用程序和协议收发的报文，但它自己从不发送任何分组。

同样，接收到的分组也不会显式地标注是给分组嗅探器的。

实际上，一个分组嗅探器收到的是运行在你机器上应用程序和协议收发的分组的备份。

图1显示了一个分组嗅探器的结构。

图1的右边是正常的运行在你的计算机上的协议和应用程序（比如FTP client）。

在图中虚线矩形中的分组嗅探器是在你计算机中额外安装的软件，由两部分组成：一部分是分组捕获库（packet capture library），一部分是分组解析器（packet analyzer）。

分组获取库获得了从你主机发出或接收的每一个链路层数据帧的拷贝，更高层协议（HTTP、FTP、TCP、UDP、DNS、IP）传输的信息最终都被封装在链路层帧里，通过物理介质传送出去（如网线）。

1.双击WinPcap_3_0.exe. 根据提示安装，直到完整。

2.双击ethereal-setup-0.10.7.exe 根据提示安装，直到完整。

这时桌面上出现这个图标
3.双击这个图标，出现
图标。

再点击红色线条指示的图标
4.出现
6.出现数据包的内容：
7.停止抓包，点击，出现如下图
8.保存数据包。

按照深色提示选择保存
9.在name这里写上数据包的名称，自己取名。

然后按照红色图标上的提示选上你要保存的数据包的位置。

最后点击save保存。

注意事项：
用来抓数据包的电脑和用来被抓数据包的设备必须在插在同一交换机或集线器上。

否则不能准确抓到你要抓的数据包。

ethereal名词1. 分析题目并用中文翻译并英语解释- “ethereal”是一个形容词，意思是“轻柔的；缥缈的；超凡的”。

英文解释为“extremely delicate and light in a way that seems not to be of this world”。

例如：The dancer moved with an ethereal grace.（舞者以一种超凡的优雅姿态舞动着。

）2. 关于词干（词根）、前缀、后缀的使用情况- 词干“ether”，在古希腊神话中，“ether”是指“苍天，上层空气”，有“天空的，天上的”这种比较空灵、超凡的概念相关的含义。

“ - eal”是一个形容词后缀，加在名词词干“ether”后面，将其转变为形容词“ethereal”，表示具有“ether”那种空灵、超凡的性质。

这个单词没有常见的前缀。

3. 不同词式造句及翻译- 形容词形式- 句子1：The ethereal beauty of the sunset took my breath away.（日落那超凡的美让我惊叹不已。

）- 句子2：Her voice had an ethereal quality that made the song very moving.（她的声音有一种轻柔的特质，使得这首歌非常动人。

）- 句子3：The painting gives an ethereal impression of a dreamy landscape.（这幅画给人一种梦幻般风景的缥缈印象。

）- 副词形式（ethereally）- 句子1：The ballerina moved ethereally across the stage.（芭蕾舞女演员轻盈地在舞台上移动。

）- 句子2：The light shone ethereally through the mist.（光线缥缈地透过薄雾照射下来。

ethereal（音译）什么是etherealethereal（音译为伊西瑞尔）一词源于英文，意为“超凡脱俗的”或“如梦幻般的”。

它可以用来形容一种非现实的、虚幻的或神秘的状态或事物。

在不同的语境中，ethereal可以以不同的方式被解释和应用。

ethereal在艺术中的应用1. 绘画在绘画中，艺术家常常使用ethereal的元素和效果来创造出梦幻般的效果。

通过使用柔和的色调、轻盈的笔触和模糊的边缘，他们能够创造出一种超现实的感觉，使观众有一种置身于梦境中的体验。

2. 摄影摄影是另一个艺术形式，ethereal的元素在其中也得到了广泛的应用。

通过使用特殊的摄影技术（如长曝光、特殊滤镜等），摄影师可以捕捉到一些看似超现实且难以捉摸的图像。

这些图像常常带有柔和的色调、模糊的轮廓和神秘的氛围，给人一种如进入梦境般的感受。

ethereal在自然界中的体现1. 风景自然界中有许多地方可以用ethereal来形容。

例如，高山上的云雾弥漫、湖泊上反射着天空的颜色、森林中透过树叶射入的阳光等等，都给人一种超凡脱俗的感觉。

当我们置身于这些场景中时，我们仿佛置身于一个童话般的世界。

2. 光线光线也是ethereal体现的一个重要方面。

当阳光透过云层洒在大地上时，景色常常变得柔和而神秘。

在黄昏或黎明时分，太阳的光线呈现出一种特殊的色彩，给人一种超凡脱俗的感觉。

ethereal在音乐中的表现1. 声音音乐中也可以通过使用特殊的音效和乐器来表现ethereal的感觉。

例如，使用轻盈的钢琴音色、柔和的和声以及模糊的延音效果等等，可以创造出一种神秘而超现实的氛围。

这样的音乐常常让人陶醉其中，有一种抽离现实世界的感觉。

2. 歌词和主题歌词和主题也可以通过表达一些超凡脱俗的情感和思想来呈现ethereal的感觉。

比如，关于梦境、幻想、神秘和灵性的歌词，以及探索生命的真谛、宇宙的奥秘等主题，都可以给人带来一种如入梦的感受。

ethereal与人类情感的联系人类往往对于超凡脱俗、神秘或不可捉摸的事物产生强烈的情感共鸣。