ethereal教程

第 1 章介绍1.1. 什么是WiresharkWireshark 是网络包分析工具。

网络包分析工具的主要作用是尝试捕获网络包，并尝试显示包的尽可能详细的情况。

你可以把网络包分析工具当成是一种用来测量有什么东西从网线上进出的测量工具，就好像使电工用来测量进入电信的电量的电度表一样。

（当然比那个更高级）过去的此类工具要么是过于昂贵，要么是属于某人私有，或者是二者兼顾。

Wireshark出现以后，这种现状得以改变。

Wireshark可能算得上是今天能使用的最好的开元网络分析软件。

1.1.1. 主要应用下面是Wireshark一些应用的举例：∙网络管理员用来解决网络问题∙网络安全工程师用来检测安全隐患∙开发人员用来测试协议执行情况∙用来学习网络协议除了上面提到的，Wireshark还可以用在其它许多场合。

1.1.2. 特性∙支持UNIX和Windows平台∙在接口实时捕捉包∙能详细显示包的详细协议信息∙可以打开/保存捕捉的包∙可以导入导出其他捕捉程序支持的包数据格式∙可以通过多种方式过滤包∙多种方式查找包∙通过过滤以多种色彩显示包∙创建多种统计分析∙…还有许多不管怎么说，要想真正了解它的强大，您还得使用它才行图 1.1. Wireshark捕捉包并允许您检视其内1.1.3. 捕捉多种网络接口Wireshark 可以捕捉多种网络接口类型的包，哪怕是无线局域网接口。

想了解支持的所有网络接口类型，可以在我们的网站上找到/CaptureSetup/NetworkMedia.1.1.4. 支持多种其它程序捕捉的文件Wireshark可以打开多种网络分析软件捕捉的包，详见???1.1.5. 支持多格式输出Wieshark可以将捕捉文件输出为多种其他捕捉软件支持的格式，详见???1.1.6. 对多种协议解码提供支持可以支持许多协议的解码(在Wireshark中可能被称为解剖)???1.1.7. 开源软件Wireshark是开源软件项目，用GPL协议发行。

实验协议分析软件Ethereal 的使用一、实验目的和要求：熟悉掌握Ethereal软件的使用,并应用该软件分析Ethernet帧以及高级协议，从而能够加深对TCP/IP 协议栈上的参与通信的网络数据包结构以及通信方式有进一步的了解。

二、实验内容和原理1. 安装windows下的Ethereal及WinPcap软件。

2. 捕捉任何主机发出的DIX Ethernet V2（即Ethernet II）格式的帧（帧的长度字段>1500, 帧的长度字段实际上是类型字段），Ethereal的capture 的options中capture filter设置为：ether[12:2] > 1500 观察并分析帧结构，Ethernet II的帧(ether[12:2] > 1500)的上一层主要是哪些PDU？是IP、LLC还是其它哪种？IP3. 捕捉并分析局域网上的所有ethernet broadcast帧，Ethereal的capture 的options中capture filter设置为：ether broadcast(1). 观察并分析哪些主机在发广播帧，这些帧的高层协议是什么？ARP(2). 你的LAN的共享网段上连接了多少台计算机？1分钟内有几个广播帧？有否发生广播风暴？92台4. 捕捉局域网上主机发出或接受的所有ARP包capture 的options中capture filter设置为：arp host ip (1)主机上执行“arp –d ”清除arp cache.(2)在主机上ping 局域网上的另一主机(3)观察并分析主机发出或接受的所有ARP包，及arp包结构。

5. IP 分组的结构固 定 部分 可变 部分0 48 16192431版 本 标志 生 存 时 间协 议标 识服 务 类 型总 长 度 片 偏 移填 充首 部 检 验 和源 地 址 目 的 地 址可 选 字 段 （长 度 可 变） 比特 首部长度 01 2 3 4 5 6 7 D T R C 未用 优 先 级数 据 部 分首 部6、UDP 报文伪首部源端口目的端口长 度检验和数 据首 部UDP 长度源 IP 地址目的 IP 地址17 IP 数据报字节12 2 2 2 2 字节 发送在前数 据首 部 UDP 用户数据报附：1、Ethernet II的帧结构字节46 ~ 1500 目的地址源地址类型数据FCS目的地址：01:00:5e:22:17:ea源地址：00:1e:90:75:af:4f类型数据2、IP分组的结构版本首部长度服务类型总长度标识标志固 定 部分 可变 部分0 48 16192431版 本 标志 生 存 时 间协 议标 识服 务 类 型总 长 度 片 偏 移填 充首 部 检 验 和源 地 址 目 的 地 址可 选 字 段 （长 度 可 变） 比特 首部长度 01 2 3 4 5 6 7 D T R C 未用 优 先 级数 据 部 分首 部片偏移生存时间协议首部检验和源地址目的地址可选字段 数据3、 ARP 的报文格式硬件地址长度协议类型 发送方IP 地址(八位组0-1) 目标硬件地址(八位组2-5) 目标IP 地址(八位组0-3)发送方硬件地址(八位组0-3)硬件类型操作发送方硬件地址(八位组4-5) 发送方IP 地址(八位组2-3)协议长度目标硬件地址(八位组0-1)* 硬件类型指明发送方想知道的硬件接口类型。

⽹络协议分析⼯具Ethereal的使⽤⼤学时计算机⽹络课的实验报告，当时提不起兴趣，今天看来还挺有⽤的。

可以学习下怎样抓数据包，然后分析程序的通信协议。

⼀：学习使⽤⽹络协议分析⼯具Ethereal的⽅法，并⽤它来分析⼀些协议。

实验步骤：1．⽤“ipconfig”命令获得本机的MAC地址和缺省路由器的IP地址；（注：缺省路由器即 ”Default Gateway”）命令⾏：Start->Run->CMD->ipconfig /all >C:\Mac.txt(在命令⾏中把ipconfig命令保存在⽂本⽂档⾥⾯备⽤)结果：本机Mac地址：00.09.73.4B.8A.D7 缺省路由器IP：192.168.8.254步骤截图：图1（本机⽹络信息：Mac.txt）2．⽤“arp”命令清空本机的缓存：命令⾏：Start->Run->CMD->arp –d图2（arp命令 –d参数的帮助说明）3．运⾏Ethereal，开始捕获所有属于ARP协议或ICMP协议的，并且源或⽬的MAC地址是本机的包：图3（Capture->Options中关于⽹卡设置和Capture Filter）图4（抓包截图）4．执⾏命令：“ping” 缺省路由器的IP地址：图5（捕获包）图6（ping 过程）⼆：⽤Ethereal观察tracert命令的⼯作过程：1．⽤Ethereal语法内容及参数说明：命令⾏操作步骤：Start->Run->CMD->tracert图1（Tracert命令全部参数的帮助说明）2．运⾏Ethereal, 设定源和⽬的MAC地址是本机的包，捕获tracert命令中⽤到的消息：Tracert使⽤ICMP，相应过滤规则为：ether host 00:09:73:4B:8A:D7 and icmp图3（Capture->Options中关于⽹卡设置和Capture Filter）3.执⾏“tracert -d ” ，捕获包：执⾏命令：tracert -d ：图3 （执⾏命令 tracert –d ）图4（抓包截图）图5（捕获包）4．Tracert⼯作原理：Tracert使⽤ICMP消息，具体地讲，tracert发出的是Echo Request消息，触发返回的是Time Exceeded消息和Echo Reply消息。

Ethereal 使用方法一， 使用方法点击Capture 菜单下的Start 。

然后选择相应的参数，点击OK ！Capture Options 选择的常见注意事项(每个选项前面的小方块，凹进去表示选中)：1， Interface ：如果你的计算机安装了多个网卡，注意选择你想抓包的那个网卡。

2， 需要选中的选项：Capture packets in promiscuous mode任何流经这台主机的数据包都将被捕获，如果按钮凸起，则只能捕获从主机发送或者发向该主机的数据包。

Update list of packets in real time是Ethereal 主界面上是否实时地显示抓包变化的选项，当选择了该项时，Ethereal 主界面上将实时地更新抓包列表，若不显示该项，所有的包列表将在抓包过程停止以后一起显示。

Automatic Strolling in live capture选项允许用户在抓包过程中能实时地察看新抓的数据包。

3，注意name resolution的选项不能选，否则抓包，保存，打开等过程会很慢。

“Name resolution”中有三个选项，“Enable MAC name resolution”是否将MAC地址的前三个字节翻译成IETF所规定的厂商前缀。

“Enable network name resolution”用于控制是否将IP地址解析为DNS域名。

“Enable transport name resolution”则用于控制是否将通信端口号转换为协议名称。

4，抓包时可以对所抓的包进行过滤，常用的过滤选项有：sip || mgcp，sip && h225 && h245，ip.addr == 10.11.2.9，udp.port == 1719，tcp.port == 2000等。

5，一般抓包的计算机需要与被抓的目标地址在一个HUB上，如果在一个LAN上，需要做端口镜像。

如何使用Ethereal进行1，先过滤后抓包：首先在Capture Options点击Capture Filter设置过滤规则。

若要实时查看，请勾选Display Options的Update list of packets in real time，然后抓包。

示例：输入host 192.168.1.5 and port 80，仅抓取IP为192.168.1.5，端口为80的包。

2，先抓包后过滤：抓包后，在Filter中输入表达式过滤。

示例：输入ip.src，ip.dst,tcp.srcport，tcp.dstport，tcp.ack，tcp.len，eth等，可与关系表达式配合使用。

如ip.src==192.168.1.5 &&tcp.srcport==80，仅显示源IP为192.168.1.5，源端口为80的包。

Q：如何分析使用Ethereal抓到的包？这里简单以TCP/IP为例（修改网摘），一，数据链路层：1、Destination：目的MAC地址。

(eth.src)2、Source：源MAC地址。

(eth.dst)3、Type：以太网类型（IP0x0800，8表示为以太网）。

(eth.type)二，IP网络层：1、Version＝4，表示IP协议的版本号为4.该部分占4个BIT位。

(ip.version)2、Header Length=20 Bytes，表示IP包头的总长度为20个字节。

该部分占4个BIT位，单位为4个字节，因此，一个IP包头的长度最长为“1111”，即15＊4＝60个字节。

3、Type of Service=00，表示服务类型为0.该部分用二个十六进制值来表示，共占8个BIT.8个BIT的含义是：000前三位不用0表示最小时延，如Telnet服务使用该位0表示吞吐量，如FTP服务使用该位0表示可靠性，如SNMP服务使用该位0表示最小代价0不用4、Total Length=48Bytes，表示该IP包的总长度为48个字节。

Ethereal工具的使用方法1、抓包设置页面选择以太网卡设置为实时刷新报文设置为是否滚动设置一次抓包长度或抓包时间设置抓包存储方式显示过滤显示过滤语法：mms 只显示MMS报文iecgoose 只显示goose报文tcp 只显示tcp报文udp 只显示udp报文== 显示与地址为的服务器交互的报文== 显示源地址IP为的服务器发出的报文== 显示与目的地址IP为的服务器交互的报文== 5a:48:36:30:35:44 显示与MAC地址为5a:48:36:30:35:44的服务器交互的报文== 5a:48:36:30:35:44 显示源MAC地址为5a:48:36:30:35:44的服务器发出的报文== 5a:48:36:30:35:44 显示与目的MAC地址为5a:48:36:30:35:44的服务器交互的报文抓捕过滤抓捕过滤语法Tcp 只抓捕Tcp报文Udp 只抓捕Tcp报文Host 只抓捕IP地址为的报文Ether host 只抓捕MAC地址为5a:48:36:30:35:44的报文限制每个包的大小2、协议显示MMS 报文SNTP 建立以太网通讯时会发ARP 报文ping 报文SV 、GOOSE 抓包时间3、 显示信息报文序号抓取该帧报文时刻，PC 时间该帧报文是谁发出的该帧报文是发给谁的协议类型--以太网类型码报文长度4、 过滤机制 关键字段过滤1）按目的MAC地址过滤2）按源MAC地址过滤3）按优先级过滤4）按VLAN过滤语法 == 2105）按以太网类型码过滤 == 0x88b86）按APPID过滤7）按GOOSE控制块过滤语法：frame[30:9] == 80:07:67:6f:63:62:52:65:66 从该帧报文的第30个字节读取9个字节8）其他字段的过滤类似不在一一举例组合过滤1）找到特征报文的起始点找到自己关注GOOSE的APPID根据GOOSE变位时sequencenumber会变0的特性找到第一帧变位GOOSE2）标注起始报文注意报文编号：28、363）去掉过滤条件，在所有的原始报文中显示标注报文，能找到事件之间的时间关系去掉过滤条件并Apply，在“28、36”附近发生的事情一目了然4）进一步优化时间显示显示绝对时间不含年、月、日绝对时间以第一帧报文为计时起点相对时间以上一帧报文为计时起点查看相邻两帧报文的间隔设置特征报文为计时参考点过滤结果“28”以后的报文均以其为计时起点。

实验一：Ethereal使用入门一、实验目的熟悉分组嗅探器Ethereal实验环境，学习使用Ethereal捕获数据的方法。

二、实验原理“不闻不若闻之，闻之不若见之，见之不若知之，知之不若行之”-----中国谚语。

一个人对网络协议的理解通常通过以下方法能够得到极大的深化：观察它们的工作过程和使用它们，即观察两个协议实体之间交换的报文序列，钻研协议操作的细节，使协议执行某些操作，观察这些动作及其后果，这能够在仿真环境下或在如因特网这样的真实网络环境下完成。

在Ethereal实验中，我们将采用后一种方法，使用桌面上的计算机在各种情况下运行网络应用程序，在计算机上观察网络协议与在因特网别处执行的协议实体进行交互和交换报文的情况。

因此，你与你的计算机将是这些实际实验的组成部分，在实际动手实验中进行观察学习。

观察在执行协议的实体之间交换的报文的基本工具被称为分组嗅探器（packet sniffer）。

顾名思义，一个分组嗅探器被动地拷贝（嗅探）由你的计算机发送和接收的报文，它也能存储并显示出这些被俘获报文的各个协议字段的内容。

一个分组嗅探器本身是被动的，它观察运行在你计算机上的应用程序和协议收发的报文，但它自己从不发送任何分组。

同样，接收到的分组也不会显式地标注是给分组嗅探器的。

实际上，一个分组嗅探器收到的是运行在你机器上应用程序和协议收发的分组的备份。

图1显示了一个分组嗅探器的结构。

图1的右边是正常的运行在你的计算机上的协议和应用程序（比如FTP client）。

在图中虚线矩形中的分组嗅探器是在你计算机中额外安装的软件，由两部分组成：一部分是分组捕获库（packet capture library），一部分是分组解析器（packet analyzer）。

分组获取库获得了从你主机发出或接收的每一个链路层数据帧的拷贝，更高层协议（HTTP、FTP、TCP、UDP、DNS、IP）传输的信息最终都被封装在链路层帧里，通过物理介质传送出去（如网线）。

Ethereal使用教程ethereal 可以用来从网络上抓包，并能对包进行分析。

下面介绍windows 下面ether eal 的使用方法安装1）安装winpcap，下载地址http://netgroup-serv.polito.it/winpcap/insta ll/Default.htm 2）安装ethereal ，下载地址/使用windows 程序，使用很简单。

启动ethereal 以后，选择菜单Capature->Start ，就OK 了。

当你不想抓的时候，按一下stop，抓的包就会显示在面板中，并且已经分析好了。

下面是一个截图：ethereal使用－capture选项interface: 指定在哪个接口（网卡）上抓包。

一般情况下都是单网卡，所以使用缺省的就可以了Limit each packet: 限制每个包的大小，缺省情况不限制。

Capture packets in promiscuous mode: 是否打开混杂模式。

如果打开，抓取所有的数据包。

一般情况下只需要监听本机收到或者发出的包，因此应该关闭这个选项。

Filter：过滤器。

只抓取满足过滤规则的包（可暂时略过） File：如果需要将抓到的包写到文件中，在这里输入文件名称。

use ring buffer：是否使用循环缓冲。

缺省情况下不使用，即一直抓包。

注意，循环缓冲只有在写文件的时候才有效。

如果使用了循环缓冲，还需要设置文件的数目，文件多大时回卷。

其他的项选择缺省的就可以了。

ethereal的抓包过滤器抓包过滤器用来抓取感兴趣的包，用在抓包过程中。

抓包过滤器使用的是libcap 过滤器语言，在tcpdump 的手册中有详细的解释，基本结构是： [not] primitive [and|or [not] primitive ...]个人观点，如果你想抓取某些特定的数据包时，可以有以下两种方法，你可以任选一种，个人比较偏好第二种方式：1、在抓包的时候，就先定义好抓包过滤器，这样结果就是只抓到你设定好的那些类型的数据包；2、先不管三七二十一，把本机收到或者发出的包一股脑的抓下来，然后使用下节介绍的显示过滤器，只让Ethereal 显示那些你想要的那些类型的数据包；etheral的显示过滤器（重点内容）在抓包完成以后，显示过滤器可以用来找到你感兴趣的包，可以根据1)协议2)是否存在某个域3)域值4)域值之间的比较来查找你感兴趣的包。

用Ethereal分析协议数据包Ethereal是一个图形用户接口（GUI）的网络嗅探器，能够完成与Tcpdump相同的功能，但操作界面要友好很多。

Ehtereal和Tcpdump都依赖于pcap库（libpcap），因此两者在许多方面非常相似（如都使用相同的过滤规则和关键字）。

Ethereal和其它图形化的网络嗅探器都使用相同的界面模式，如果能熟练地使用Ethereal，那么其它图形用户界面的嗅探器基本都可以操作。

1. Ethereal的安装由于Ethereal需要WinPcap库, 所以先安装WinPcap_2_3.exe, 再安装Ethereal.exe。

2. 设置Ethereal的过滤规则当编译并安装好Ethereal后，就可以执行“ethereal”命令来启动Ethereal。

在用Ethereal截获数据包之前，应该为其设置相应的过滤规则，可以只捕获感兴趣的数据包。

Ethereal使用与Tcpdump相似的过滤规则(详见下面的“5.过滤规则实例”)，并且可以很方便地存储已经设置好的过滤规则。

要为Ethereal 配置过滤规则，首先单击“Edit”选单，然后选择“Capture Filters...”菜单项，打开“Edit Capture Filter List”对话框（如图1所示）。

因为此时还没有添加任何过滤规则，因而该对话框右侧的列表框是空的。

图1 Ethereal过滤器配置对话框在Ethereal中添加过滤器时，需要为该过滤器指定名字及规则。

例如，要在主机10.1.197.162和间创建过滤器，可以在“Filter name”编辑框内输入过滤器名字“sohu”，在“Filter string”编辑框内输入过滤规则“host 10.1.197.162 and ”，然后单击“New”按钮即可，如图2所示。

图2 为Ethereal添加一个过滤器在Ethereal中使用的过滤规则和Tcpdump几乎完全一致，这是因为两者都基于pcap库的缘故。

Ethereal抓包的基本使用办法
一、确认镜像端口是否做好
这里可以使用捕包软件来确认镜像是否安装好。

，如果客户的交换机支持镜像功能，则使用捕包软件。

我这里使用的是ethereal捕包软件。

1.根据提示一步步安装完捕包软件。

2.开始----程序----ethereal----
3.进入到ethereal界面
4.选择capture，进行捕包。

5.在capture菜单中选择Options
Interface是自己电脑的网卡，根据自己电脑的实际的通讯的网卡进行选择，并按照上述打沟的情况进行选择打沟。

捕获所有协议的数据包。

选择此项表示会随时更新捕获到的数据包。

设置完之后，点击右下角start按钮，即开始捕包。

以下是捕获的数
据包的界面。

捕包一段时间之后，点击界面上stop，即停止捕获数据包。

6.停止捕包之后，就可以回到ethereal的主界面上了，可以看到很多
数据。

从上面的数据中可以看出对应的序号，时间，源IP，目的IP，协议类型。

在这里，要确认为镜像端口是否做好，只要在上述数据中能够看到有源IP和目的IP地址，是正反成对出现即可，表示镜像端口镜像成功。

7．在捕获数据选择保存时，选择file---save as，弹出以下界面：
根据实际情况，选择路径，填好文件明。

在保存类型的选择时，系统默认为Ethereal/tcpdump(*.cap,*.pcap).
注意：如果需要让sniffer进行分析数据包的情况下，在这里要选择NG/NAI Sniffer(*.cap *enc *.trc).其余的选项按照默认的进行。

网络监听工具Ethereal使用说明1.1 Ethereal简介Ethereal是一款免费的网络协议分析程序，支持Unix、Windows。

借助这个程序，你既可以直接从网络上抓取数据进行分析，也可以对由其他嗅探器抓取后保存在硬盘上的数据进行分析。

你能交互式地浏览抓取到的数据包，查看每一个数据包的摘要和详细信息。

Ethereal有多种强大的特征，如支持几乎所有的协议、丰富的过滤语言、易于查看TCP会话经重构后的数据流等。

它的主要特点为：∙支持Unix系统和Windows系统∙在Unix系统上，可以从任何接口进行抓包和重放∙可以显示通过下列软件抓取的包∙tcpdump∙Network Associates Sniffer and Sniffer Pro∙NetXray∙Shomiti∙AIX’s iptrace∙RADCOM & RADCOM’s WAN/LAN Analyzer∙Lucent/Ascend access products∙HP-UX’s nettl∙Toshiba’s ISDN routers∙ISDN4BSD i4btrace utility∙Microsoft Network Monitor∙Sun snoop∙将所抓得包保存为以下格式：▪libpcap (tcpdump)▪Sun snoop▪Microsoft Network Monitor▪Network Associates Sniffer∙可以根据不同的标准进行包过滤∙通过过滤来查找所需要的包∙根据过滤规则，用不同的颜色来显示不同的包提供了多种分析和统计工具，实现对信息包的分析图1-1 Ethereal抓包后直观图图1是Ethereal软件抓包后的界面图，我们可以根据需要，对所抓得包进行分析。

另外，由于Ethereal软件的源代码是公开的，可以随意获得，因此，人们可以很容易得将新的协议添加到Ethereal中，比如新的模块，或者直接植入源代码中。

实验一：Ethereal使用入门一、实验目的熟悉分组嗅探器Ethereal实验环境，学习使用Ethereal捕获数据的方法。

二、实验原理“不闻不若闻之，闻之不若见之，见之不若知之，知之不若行之”-----中国谚语。

一个人对网络协议的理解通常通过以下方法能够得到极大的深化：观察它们的工作过程和使用它们，即观察两个协议实体之间交换的报文序列，钻研协议操作的细节，使协议执行某些操作，观察这些动作及其后果，这能够在仿真环境下或在如因特网这样的真实网络环境下完成。

在Ethereal实验中，我们将采用后一种方法，使用桌面上的计算机在各种情况下运行网络应用程序，在计算机上观察网络协议与在因特网别处执行的协议实体进行交互和交换报文的情况。

因此，你与你的计算机将是这些实际实验的组成部分，在实际动手实验中进行观察学习。

观察在执行协议的实体之间交换的报文的基本工具被称为分组嗅探器（packet sniffer）。

顾名思义，一个分组嗅探器被动地拷贝（嗅探）由你的计算机发送和接收的报文，它也能存储并显示出这些被俘获报文的各个协议字段的内容。

一个分组嗅探器本身是被动的，它观察运行在你计算机上的应用程序和协议收发的报文，但它自己从不发送任何分组。

同样，接收到的分组也不会显式地标注是给分组嗅探器的。

实际上，一个分组嗅探器收到的是运行在你机器上应用程序和协议收发的分组的备份。

图1显示了一个分组嗅探器的结构。

图1的右边是正常的运行在你的计算机上的协议和应用程序（比如FTP client）。

在图中虚线矩形中的分组嗅探器是在你计算机中额外安装的软件，由两部分组成：一部分是分组捕获库（packet capture library），一部分是分组解析器（packet analyzer）。

分组获取库获得了从你主机发出或接收的每一个链路层数据帧的拷贝，更高层协议（HTTP、FTP、TCP、UDP、DNS、IP）传输的信息最终都被封装在链路层帧里，通过物理介质传送出去（如网线）。

1.双击WinPcap_3_0.exe. 根据提示安装，直到完整。

2.双击ethereal-setup-0.10.7.exe 根据提示安装，直到完整。

这时桌面上出现这个图标
3.双击这个图标，出现
图标。

再点击红色线条指示的图标
4.出现
6.出现数据包的内容：
7.停止抓包，点击，出现如下图
8.保存数据包。

按照深色提示选择保存
9.在name这里写上数据包的名称，自己取名。

然后按照红色图标上的提示选上你要保存的数据包的位置。

最后点击save保存。

注意事项：
用来抓数据包的电脑和用来被抓数据包的设备必须在插在同一交换机或集线器上。

否则不能准确抓到你要抓的数据包。

第1章常用操作方法和工具介绍1.1 镜像抓包工具现场人员进行故障处理，有时需要抓数据包进行分析。

本节介绍终端的抓包方法，用于指导现场工程师进行操作。

抓包工具很多，有Ethreal，WireShark，Sniffer等。

其中Ethreal和WireShark较为常见。

由于Wireshark 和Ethreal工具为同一产品的不同版本，并且Ethreal使用比较广泛版本比较新。

本节主要介绍Ethreal 的使用方法。

1.1.1 简介在这节，将介绍怎样通过Ethereal截包；怎样通过Ethereal观察包；在Ethereal怎样过滤包；怎样分析媒体包；还有其它功能。

1.1.2 截包我们通过选择“Capture”菜单中的“Start”子菜单或主工具条相对应的项来截包。

弹出“Caputure Options”对话框，如图1.1-1图 1.1-1 抓包开始选项1.1.2.1 截包参数的设定Interface：这项用于指定截包的网卡。

Link-layer header type：指定链路层包的类型，一般使用默认值。

Buffer size（n megabyte（s））：用于定义Ethereal用于截包的缓冲，当缓冲写满后，就将截的数据写道磁盘上。

如果遇到ethereal丢包现象，将该缓冲尽量增大。

Capture packets in promiscuous mode：截包时，Ethereal将网口置于混杂模式。

如果没有配置这项，Ethereal只能截取该PC发送和接收的包（而不是同一LAN上的所有包）。

Limit each packet to n bytes：定义Ethereal截取包的最大数据数，大于这个值的数据包将被丢掉。

默认为65535。

1.1.2.2 截包过滤条件的设定Ethereal 截包过滤条件，通过and 和or，将一系列的primitive 表达式连接在一起，有时可在primitive 表达式前用not。

1. 打开MMS Ethereal2. 打开选项网卡一定要选择对，即你用哪个网卡在抓包，“实时更新数据”和“自动滚屏”建议勾选。

然后点击start ，弹出两个窗口，将较小的窗口最小化，不要关闭，否则不抓包了。

3. 在“Filter ”中选择过滤条件，MMS 报文的过滤条件为“mms ”，GOOSE 报文的过滤条件为“iecgoose ”，注意一定要是小写。

也可以以源地址和目的地址为过滤条件点击开始设置选择网卡实时更新数据自动滚屏在报文中单击右键，选择过滤条件就可以了，以目的的MAC 地址为01:0c:cd:01:15:2e 为例那么现在所有的报文都是目的MAC 地址为01:0c:cd:01:15:2e 的报文。

窗口中的source 和选择过滤条件实际网卡的MAC 地址SCD 中填写的MAC 地址，即组播地址destination 这两个MAC 地址都是IL2215B 的MAC 地址，source 是实际网卡的MAC 地址，就是大家平时所说的MAC 地址，destination 是组播地址，在SCD 中填写，体现在goose.txt 文件中。

下面以一组报文进行分析我们实际分析GOOSE 报文的时候，一般只需要分析IEC 61850 GOOSE 下面的报文即可。

StNum ：如果状态没有变化，每一帧报文的值相同，如果状态变化了，则值加1. SqNum ：如果状态没有变化，每一帧报文的值加1，如果状态变化了，则值清零。

在数据集中的每一个值，他反应的是最后一次变位的值，也就是当前的值，下面的SOE 时间表示最后一次状态变位发生的时间，是格林威治时间，即比当前时间晚了8个小时。

时间品质反应最后一次状态变位发生时候的时间品质，而不是当前状态的时间品质。

报文中数据集与装置的GOOSE 文件中的数据集一致，即顺序也一致，要想看某个值是否变位以及什么时候变位，直接在GOOSE 的数据集中找到这个点，然后到报文中数数，数到这个点既可以看他的值。