抓包工具Ethereal的使用

Ethereal在solaris下的安装和使用方法1．背景：Ethereal是一个很有效的抓包工具，在问题定位方面有非常重要的意义。

Wap gateway，MMSC等还在走向成熟的产品在调试过程中，需要用此工具抓包，将现场的消息反馈给研发辅助他们分析。

本文介绍的安装环境是SUN BLADE 20002．安装包的组成：安装Ethereal除了本身安装包以外，还有其他的几个支持包需要安装，总共需要安装的文件有：gtk+-1.2.10-sol8-sparc-localglib-1.2.8-sol8-sparc-locallibpcap-0.7.2-sol8-sparc-localethereal-0.9.0-sol8-sparc-local获取方法：在上面下载ethereal-0.9.0-sol8-sparc-local.gzgtk+-1.2.10-sol8-sparc-local.gzglib-1.2.10.tar.gzlibpcap-0.7.2-sol8-sparc-local.gz3．安装步骤（红色粗体为需要执行或者需要输入的命令）：上面下载的四个包是压缩包，安装时先用gzip –d *.gz 将这4个包解压.然后切换到root 用户下进行安装.a．安装gtk+：找到gtk+-1.2.10-sol8-sparc-local包，运行安装：# pkgadd -d ./gtk+-1.2.10-sol8-sparc-localThe following packages are available:1 SMCgtk+ gtk+(sparc) 1.2.10Select package(s) you wish to process (or 'all' to processall packages). (default: all) [?,??,q]: allProcessing package instance <SMCgtk+> from </install/ethereal/gtk+-1.2.10-sol8-sparc-local>gtk+(sparc) 1.2.10GTK GroupUsing </usr/local> as the package base directory.## Processing package information.## Processing system information.## Verifying disk space requirements.## Checking for conflicts with packages already installed.The following files are already installed on the system and are beingused by another package:* /usr/local/bin <attribute change only>* - conflict with a file which does not belong to any package.Do you want to install these conflicting files [y,n,?,q] y## Checking for setuid/setgid programs.Installing gtk+ as <SMCgtk+>## Installing part 1 of 1./usr/local/bin/gtk-config/usr/local/doc/gtk+/ABOUT-NLS/usr/local/doc/gtk+/AUTHORS…………………………………………//过程中会显示出很多解压信息，不用管他，最后提示successful就行了usr/local/lib/locale/zh_TW.Big5/LC_MESSAGES/gtk+.mo/usr/local/lib/pkgconfig/gdk.pc/usr/local/lib/pkgconfig/gtk+.pc/usr/local/man/man1/gtk-config.1/usr/local/share/aclocal/gtk.m4/usr/local/share/themes/Default/gtk/gtkrc[ verifying class <none> ]Installation of <SMCgtk+> was successful.b．安装glib-1.2.8-sol8-sparc-local# pkgadd -d ./glib-1.2.8-sol8-sparc-localThe following packages are available:1 SMCglib glib(sparc) 1.2.8Select package(s) you wish to process (or 'all' to processall packages). (default: all) [?,??,q]: allProcessing package instance <SMCglib> from </install/ethereal/glib-1.2.8-sol8-sparc-local>glib(sparc) 1.2.8GLib TeamUsing </usr/local> as the package base directory.## Processing package information.## Processing system information.9 package pathnames are already properly installed.## Verifying disk space requirements.## Checking for conflicts with packages already installed.## Checking for setuid/setgid programs.Installing glib as <SMCglib>## Installing part 1 of 1./usr/local/bin/glib-config/usr/local/doc/glib/AUTHORS/usr/local/doc/glib/COPYING/usr/local/doc/glib/ChangeLog…………………………………………//过程中会显示出很多解压信息，不用管他，最后提示successful就行了/usr/local/lib/libgthread.so <symbolic link>/usr/local/man/man1/glib-config.1/usr/local/share/aclocal/glib.m4[ verifying class <none> ]Installation of <SMCglib> was successful.#c．安装libpcap-0.7.2-sol8-sparc-localroot@mmsc # pkgadd -d ./libpcap-0.7.2-sol8-sparc-localThe following packages are available:1 SMClpcap libpcap(sparc) 0.7.2Select package(s) you wish to process (or 'all' to processall packages). (default: all) [?,??,q]: allProcessing package instance <SMClpcap> from </install/ethereal/libpcap-0.7.2-sol8-sparc-local>libpcap(sparc) 0.7.2The Tcpdump GroupUsing </usr/local> as the package base directory.## Processing package information.## Processing system information.4 package pathnames are already properly installed.## Verifying disk space requirements.## Checking for conflicts with packages already installed.## Checking for setuid/setgid programs.Installing libpcap as <SMClpcap>## Installing part 1 of 1./usr/local/doc/libpcap/CHANGES/usr/local/doc/libpcap/CREDITS…………………………………………//过程中会显示出很多解压信息，不用管他，最后提示successful就行了/usr/local/doc/libpcap/CVS/Repository/usr/local/lib/libpcap.a/usr/local/man/man3/pcap.3[ verifying class <none> ]Installation of <SMClpcap> was successful.#d．安装ethereal-0.9.0-sol8-sparc-localroot@mmsc # pkgadd -d ./ethereal-0.9.0-sol8-sparc-localThe following packages are available:1 SMCether ethereal(sparc) 0.9.0Select package(s) you wish to process (or 'all' to processall packages). (default: all) [?,??,q]: allProcessing package instance <SMCether> from </install/ethereal/ethereal-0.9.0-sol8-sparc-local>ethereal(sparc) 0.9.0Gerald Combs, Gilbert Ramirez, Guy HarrisUsing </usr/local> as the package base directory.## Processing package information.## Processing system information.6 package pathnames are already properly installed.## Verifying disk space requirements.## Checking for conflicts with packages already installed.## Checking for setuid/setgid programs.Installing ethereal as <SMCether>## Installing part 1 of 1./usr/local/bin/editcap/usr/local/bin/ethereal/usr/local/bin/idl2eth/usr/local/doc/ethereal/README.hpux/usr/local/doc/ethereal/README.irix/usr/local/doc/ethereal/README.linux/usr/local/doc/ethereal/README.tru64…………………………………………//过程中会显示出很多解压信息，不用管他，最后提示successful就行了/usr/local/doc/ethereal/README.vmware/usr/local/doc/ethereal/README.win32/usr/local/doc/ethereal/TODO/usr/local/doc/ethereal/doc/Makefile/usr/local/doc/ethereal/doc/Makefile.am/usr/local/doc/ethereal/doc/randpkt.txt/usr/local/man/man1/text2pcap.1[ verifying class <none> ]Installation of <SMCether> was successful.#4．Ethereal的使用：Ethereal需要使用root用户才能抓到包。

⽹络协议分析⼯具Ethereal的使⽤⼤学时计算机⽹络课的实验报告，当时提不起兴趣，今天看来还挺有⽤的。

可以学习下怎样抓数据包，然后分析程序的通信协议。

⼀：学习使⽤⽹络协议分析⼯具Ethereal的⽅法，并⽤它来分析⼀些协议。

实验步骤：1．⽤“ipconfig”命令获得本机的MAC地址和缺省路由器的IP地址；（注：缺省路由器即 ”Default Gateway”）命令⾏：Start->Run->CMD->ipconfig /all >C:\Mac.txt(在命令⾏中把ipconfig命令保存在⽂本⽂档⾥⾯备⽤)结果：本机Mac地址：00.09.73.4B.8A.D7 缺省路由器IP：192.168.8.254步骤截图：图1（本机⽹络信息：Mac.txt）2．⽤“arp”命令清空本机的缓存：命令⾏：Start->Run->CMD->arp –d图2（arp命令 –d参数的帮助说明）3．运⾏Ethereal，开始捕获所有属于ARP协议或ICMP协议的，并且源或⽬的MAC地址是本机的包：图3（Capture->Options中关于⽹卡设置和Capture Filter）图4（抓包截图）4．执⾏命令：“ping” 缺省路由器的IP地址：图5（捕获包）图6（ping 过程）⼆：⽤Ethereal观察tracert命令的⼯作过程：1．⽤Ethereal语法内容及参数说明：命令⾏操作步骤：Start->Run->CMD->tracert图1（Tracert命令全部参数的帮助说明）2．运⾏Ethereal, 设定源和⽬的MAC地址是本机的包，捕获tracert命令中⽤到的消息：Tracert使⽤ICMP，相应过滤规则为：ether host 00:09:73:4B:8A:D7 and icmp图3（Capture->Options中关于⽹卡设置和Capture Filter）3.执⾏“tracert -d ” ，捕获包：执⾏命令：tracert -d ：图3 （执⾏命令 tracert –d ）图4（抓包截图）图5（捕获包）4．Tracert⼯作原理：Tracert使⽤ICMP消息，具体地讲，tracert发出的是Echo Request消息，触发返回的是Time Exceeded消息和Echo Reply消息。

Ethereal 使用方法一， 使用方法点击Capture 菜单下的Start 。

然后选择相应的参数，点击OK ！Capture Options 选择的常见注意事项(每个选项前面的小方块，凹进去表示选中)：1， Interface ：如果你的计算机安装了多个网卡，注意选择你想抓包的那个网卡。

2， 需要选中的选项：Capture packets in promiscuous mode任何流经这台主机的数据包都将被捕获，如果按钮凸起，则只能捕获从主机发送或者发向该主机的数据包。

Update list of packets in real time是Ethereal 主界面上是否实时地显示抓包变化的选项，当选择了该项时，Ethereal 主界面上将实时地更新抓包列表，若不显示该项，所有的包列表将在抓包过程停止以后一起显示。

Automatic Strolling in live capture选项允许用户在抓包过程中能实时地察看新抓的数据包。

3，注意name resolution的选项不能选，否则抓包，保存，打开等过程会很慢。

“Name resolution”中有三个选项，“Enable MAC name resolution”是否将MAC地址的前三个字节翻译成IETF所规定的厂商前缀。

“Enable network name resolution”用于控制是否将IP地址解析为DNS域名。

“Enable transport name resolution”则用于控制是否将通信端口号转换为协议名称。

4，抓包时可以对所抓的包进行过滤，常用的过滤选项有：sip || mgcp，sip && h225 && h245，ip.addr == 10.11.2.9，udp.port == 1719，tcp.port == 2000等。

5，一般抓包的计算机需要与被抓的目标地址在一个HUB上，如果在一个LAN上，需要做端口镜像。

计算机网络实验报告年级：姓名：学号：实验日期：实验名称：Ethereal(wireshark)的使用一、实验目的1、下载安装抓包工具ethereal；熟悉ethereal的操作环境；2、学习使用ethereal（wireshark）的使用方法，会用ethereal工具进行抓包；3、学会分析抓包工具获得的信息，对其进行简单分析和过滤。

二、实验器材1、接入Internet的网络的主机；2、安装抓包工具ethereal（wireshark）软件；和wincap软件；3、截图软件SnagIt。

三、实验内容1、launch ethereal, how to capture the packet by the ethereal? what's type packets youcaptured抓包方法：（1）打开抓包软件wireshark，单击工具栏list the available capture interface，如下图所示。

单击后出现如下图：（2）、单击Start，再打开一个网页（），抓包开始。

（3）网页显示完后，单击上图中的“stop”，抓包结束。

2、start capture packets, try to visit a homepage (), and check the captured packets.（1）、访问：后抓包结果如下图（2）check the captured packets ，过滤拉检测所抓的包。

如下图：3、how to save the captured packets? how to analyse the captured packets(抓包）?（1）、save the captured packets:单击save图标（如下图所示），选择要保存的路径和要报的名字，单击确定即可保存。

4 、can you capture other computer's packets? if can, what types?答：有两种情况；1）广播包时：广播包可以抓到所需要的包；2）非广播包时有以下三种情况可以抓包：a、在交换式的以太网下抓不到别人的非广播包；b、局域网信道是广播信道的可以抓包；c、在广播信道下可以抓到别人的非广播包。

linux抓包及ethereal抓包工具的使用方法1．Linux抓包（1）一般抓包命令tcpdump -s0 -c 包数量-i 网卡名-w 文件名其中：-s0表示应用层的size不受限制，用于详细分析。

否则将被截断，即应用层消息可能不完整)-c 包数量到达某个数量后自动停止抓包，防止文件太大-i 只抓某个网卡的消息，不抓其他网卡的消息-w抓到的消息自动存入文件中，但消息不再在显示器上显示了例：tcpdump -s0 –c 10000 -i eth0 -w /tmp/1.cap抓取本机eth0网卡上所有进出的消息，且应用层的消息是完整的，并存入/tmp目录下的1.cap文件（.cap是ethereal消息包文件的后缀名），如果在抓包过程中用户不使用ctrl+c来中断的话，抓到10000条消息后自动停止抓包。

如果中途被中断，文件中存放的是中断之前的消息。

（2）指定交互双方的抓包命令tcpdump host 192.168.0.2 and 192.168.0.3 –s0 –w /tmp/2-3.cap只抓这2台主机之间交互的消息，其它消息被过滤掉。

由于ethereal工具功能强大，所以尽管tcpdump命令有许多参数可以达到许多过滤条件，但把这些事交给ethereal来做，我们就更省力。

2．ethereal抓包工具的使用方法把xxx.cap文件下载后，就可以使用ethereal工具来分析了。

当然也可在linux 机器上直接使用ethereal来抓包（需要安装rpm）而不用使用tcpdump命令。

现在介绍的是在windows电脑上启动ethereal程序，见下图：选择菜单“file”－open选择消息包文件：打开：选择菜单“statistics”－conversation list－tcp通过对IP地址的排序找到所关心的一次交互过程，在该条目上使用右键：该次交互过程中的所有消息便显示出来，可以认真分析了。

1、ethreal使用－入门ethreal可以用来从网络上抓包，并能对包进行分析。

下面介绍windows下面ethereal的使用方法安装1）安装winpcap，下载地址http://netgroup-serv.polito.it/winpcap/install/Default.htm2）安装ethreal，下载地址/使用windows程序，使用很简单。

启动ethreal以后，选择菜单Capature->Start，就OK了。

当你不想抓的时候，按一下stop，抓的包就会显示在面板中，并且已经分析好了。

下面是一个截图：2、ethereal使用－capture选项Interface: 指定在哪个接口（网卡）上抓包。

一般情况下都是单网卡，所以使用缺省的就可以了Limit each packet:限制每个包的大小，缺省情况不限制Capture packets in promiscuous mode:是否打开混杂模式。

如果打开，抓取所有的数据包。

一般情况下只需要监听本机收到或者发出的包，因此应该关闭这个选项。

Filter：过滤器。

只抓取满足过滤规则的包（可暂时略过）File：如果需要将抓到的包写到文件中，在这里输入文件名称。

use ring buffer：是否使用循环缓冲。

缺省情况下不使用，即一直抓包。

注意，循环缓冲只有在写文件的时候才有效。

如果使用了循环缓冲，还需要设置文件的数目，文件多大时回卷其他的项选择缺省的就可以了3、ethereal的抓包过滤器抓包过滤器用来抓取感兴趣的包，用在抓包过程中。

抓包过滤器使用的是libcap过滤器语言，在tcpdump的手册中有详细的解释，基本结构是：[not] primitive [and|or [not] primitive ...]个人观点，如果你想抓取某些特定的数据包时，可以有以下两种方法，你可以任选一种，个人比较偏好第二种方式：1、在抓包的时候，就先定义好抓包过滤器，这样结果就是只抓到你设定好的那些类型的数据包；2、先不管三七二十一，把本机收到或者发出的包一股脑的抓下来，然后使用下节介绍的显示过滤器，只让Ethereal显示那些你想要的那些类型的数据包；4、etheral的显示过滤器（重点内容）在抓包完成以后，显示过滤器可以用来找到你感兴趣的包，可以根据1)协议2)是否存在某个域3)域值4)域值之间的比较来查找你感兴趣的包。

抓包工具ethereal 使用说明 1.启动程序
2.修改配置
点击start 开始抓包。

3．实时抓包，可以在Filter 过滤，只显示当前网卡与输入ip 之间的报文。

点击选择
点击选择
4.停止抓包，点击stop 即可。

5.保存报文
点击file文件夹下save as，弹出保存界面，选择c：\或其他盘,在最下行输入文件名，点击ok即可。

61850报文说明：在抓包界面protocol下有tcp、utp、mms报文等，最重要的是要有mms
包。

另外在第一次配置完成后，不退出程序前不需要重新配置，可以在“file”正下方的“”
快捷键，在弹出的窗口中点击“Capurte”就开始重新抓包了。

同时会问对上次的报文是否保存。

最后强调一下，对抓好的包要重新打开看一下，确保正确保存。

如何使用Ethereal进行1，先过滤后抓包：首先在Capture Options点击Capture Filter设置过滤规则。

若要实时查看，请勾选Display Options的Update list of packets in real time，然后抓包。

示例：输入host 192.168.1.5 and port 80，仅抓取IP为192.168.1.5，端口为80的包。

2，先抓包后过滤：抓包后，在Filter中输入表达式过滤。

示例：输入ip.src，ip.dst,tcp.srcport，tcp.dstport，tcp.ack，tcp.len，eth等，可与关系表达式配合使用。

如ip.src==192.168.1.5 &&tcp.srcport==80，仅显示源IP为192.168.1.5，源端口为80的包。

Q：如何分析使用Ethereal抓到的包？这里简单以TCP/IP为例（修改网摘），一，数据链路层：1、Destination：目的MAC地址。

(eth.src)2、Source：源MAC地址。

(eth.dst)3、Type：以太网类型（IP0x0800，8表示为以太网）。

(eth.type)二，IP网络层：1、Version＝4，表示IP协议的版本号为4.该部分占4个BIT位。

(ip.version)2、Header Length=20 Bytes，表示IP包头的总长度为20个字节。

该部分占4个BIT位，单位为4个字节，因此，一个IP包头的长度最长为“1111”，即15＊4＝60个字节。

3、Type of Service=00，表示服务类型为0.该部分用二个十六进制值来表示，共占8个BIT.8个BIT的含义是：000前三位不用0表示最小时延，如Telnet服务使用该位0表示吞吐量，如FTP服务使用该位0表示可靠性，如SNMP服务使用该位0表示最小代价0不用4、Total Length=48Bytes，表示该IP包的总长度为48个字节。

Ethereal工具的使用方法1、抓包设置页面选择以太网卡设置为实时刷新报文设置为是否滚动设置一次抓包长度或抓包时间设置抓包存储方式显示过滤显示过滤语法：mms 只显示MMS报文iecgoose 只显示goose报文tcp 只显示tcp报文udp 只显示udp报文== 显示与地址为的服务器交互的报文== 显示源地址IP为的服务器发出的报文== 显示与目的地址IP为的服务器交互的报文== 5a:48:36:30:35:44 显示与MAC地址为5a:48:36:30:35:44的服务器交互的报文== 5a:48:36:30:35:44 显示源MAC地址为5a:48:36:30:35:44的服务器发出的报文== 5a:48:36:30:35:44 显示与目的MAC地址为5a:48:36:30:35:44的服务器交互的报文抓捕过滤抓捕过滤语法Tcp 只抓捕Tcp报文Udp 只抓捕Tcp报文Host 只抓捕IP地址为的报文Ether host 只抓捕MAC地址为5a:48:36:30:35:44的报文限制每个包的大小2、协议显示MMS 报文SNTP 建立以太网通讯时会发ARP 报文ping 报文SV 、GOOSE 抓包时间3、 显示信息报文序号抓取该帧报文时刻，PC 时间该帧报文是谁发出的该帧报文是发给谁的协议类型--以太网类型码报文长度4、 过滤机制 关键字段过滤1）按目的MAC地址过滤2）按源MAC地址过滤3）按优先级过滤4）按VLAN过滤语法 == 2105）按以太网类型码过滤 == 0x88b86）按APPID过滤7）按GOOSE控制块过滤语法：frame[30:9] == 80:07:67:6f:63:62:52:65:66 从该帧报文的第30个字节读取9个字节8）其他字段的过滤类似不在一一举例组合过滤1）找到特征报文的起始点找到自己关注GOOSE的APPID根据GOOSE变位时sequencenumber会变0的特性找到第一帧变位GOOSE2）标注起始报文注意报文编号：28、363）去掉过滤条件，在所有的原始报文中显示标注报文，能找到事件之间的时间关系去掉过滤条件并Apply，在“28、36”附近发生的事情一目了然4）进一步优化时间显示显示绝对时间不含年、月、日绝对时间以第一帧报文为计时起点相对时间以上一帧报文为计时起点查看相邻两帧报文的间隔设置特征报文为计时参考点过滤结果“28”以后的报文均以其为计时起点。

Wireshark使用方法、Wireshark（前称Ethereal）是一款功能强大的网络抓包分析工具，在我的工作中是不可或缺的一部分工具，往往在网络出现异常时，查看网络中的数据包，会豁然开朗。

1.菜单栏主菜单包括以下几个项目:File ——包括打开、合并捕捉文件，save/保存,Print/打印,Export/导出捕捉文件的全部或部分。

以及退出Wireshark项.File菜单介绍Edit——包括如下项目：查找包，时间参考，标记一个多个包，设置预设参数。

（剪切，拷贝，粘贴不能立即执行。

）菜单项快捷键描述Open…Ctr+O 显示打开文件对话框，让您載入捕捉文件用以浏览。

Open Recent弹出一个子菜单显示最近打开过的文件供选择。

Merg显示合并捕捉文件的对话框。

让您选择一个文件和当前打开的文件合并。

关闭当前捕捉文件，如果您未保存，系统将提示您是否保存Close Ctrl+W（如果您预设了禁止提示保存，将不会提示）保存当前捕捉文件，如果您没有设置默认的保存文件名，Save Crl+SWireshark出现提示您保存文件的对话框。

Save As Shift+Ctrl+S 让您将当前文件保存为另外一个文件面，将会出现一个另存为的对话框File Set>List Files允许您显示文件集合的列表。

将会弹出一个对话框显示已打开文件的列表。

如果当前載入文件是文件集合的一部分，将会跳转到下一个文件。

如果不是File Set>Next File，将会跳转到最后一个文件。

这个文件选项将会是灰色。

如果当前文件是文件集合的一部分，将会调到它所在位置的前一个文件。

File set>Previous Files如果不是则跳到文件集合的第一个文件，同时变成灰色。

这个菜单允许您将捕捉文件中所有的或者部分的包导出为plain ASCII text格式。

Export> as “Plain Text” File…它将会弹出一个Wireshark导出对话框。

Ethereal 使用说明1.工具认识Ethereal 是一款绿色版的网络抓包、报文分析工具，不需要安装，但是要装WinPcap 。

安装过程简单这里就不做说明。

Ethereal:WinPcap:2.报文抓取点击工具栏中最左边的第二个图标 “Show the capture options ”进入界面如下：123三个地方需要设置：①Interface，选择自己电脑的网卡。

②Capture Filter，在里面设置抓取过滤条件，如host 222.111.112.215就是只抓取有这个ip地址参与的报文交互。

其他过滤规则在下文Ethereal使用详细说明中有介绍。

③Display Options，前两个选中，在抓取的过程中可以查看报文信息。

设好了点Start，弹出界面如下，停止抓包点击stop。

3.报文查看Filter内可以输入过滤规则，常用的语句有mms、ip.addr==222.111.112.5等，同时过滤多个规则可以使用&&合并，如下图。

mms是最常用的的过滤规则，直接过滤出mms报文，我们要查看的有用的信息都在mms类报文内。

其他过滤规则在下文Ethereal使用详细说明中有介绍。

4.Ethereal使用详细说明4.1界面菜单介绍本节将逐个介绍Ethereal各菜单项的功能：4.1.1“File”菜单图4-1 “File”拉菜单图4-1 “File”菜单。

其中：“Open”即打开已存的抓包文件；“Open Recent”即打开近期已察看的抓包文件，类似windows的最近访问过的文档；“Merge”字面是合并的意思，其实是追加的意思，即当前捕获的报文追加到先前已保存的抓包文件中。

“Save”和”save as”即保存、选择保存格式。

“File Set”用于Ethereal当前打开的多个文件前后切换，以及各文件的基本属性描述。

“Export”是输出的意思。

“Print”打印。

ethereal抓包基本用法Ethereal抓包的基本使用办法一、确认镜像端口是否做好这里可以使用捕包软件来确认镜像是否安装好。

，如果客户的交换机支持镜像功能，则使用捕包软件。

我这里使用的是ethereal捕包软件。

1.根据提示一步步安装完捕包软件。

2.开始----程序----ethereal----3.进入到ethereal界面4.选择capture，进行捕包。

5.在capture菜单中选择OptionsInterface是自己电脑的网卡，根据自己电脑的实际的通讯的网卡进行选择，并按照上述打沟的情况进行选择打沟。

捕获所有协议的数据包。

选择此项表示会随时更新捕获到的数据包。

设置完之后，点击右下角start按钮，即开始捕包。

以下是捕获的数据包的界面。

捕包一段时间之后，点击界面上stop，即停止捕获数据包。

6.停止捕包之后，就可以回到ethereal的主界面上了，可以看到很多数据。

从上面的数据中可以看出对应的序号，时间，源IP，目的IP，协议类型。

在这里，要确认为镜像端口是否做好，只要在上述数据中能够看到有源IP和目的IP地址，是正反成对出现即可，表示镜像端口镜像成功。

7．在捕获数据选择保存时，选择file---save as，弹出以下界面：根据实际情况，选择路径，填好文件明。

在保存类型的选择时，系统默认为Ethereal/tcpdump(*.cap,*.pcap).注意：如果需要让sniffer进行分析数据包的情况下，在这里要选择NG/NAI Sniffer(*.cap *enc *.trc).其余的选项按照默认的进行。

用Ethereal分析协议数据包Ethereal是一个图形用户接口（GUI）的网络嗅探器，能够完成与Tcpdump相同的功能，但操作界面要友好很多。

Ehtereal和Tcpdump都依赖于pcap库（libpcap），因此两者在许多方面非常相似（如都使用相同的过滤规则和关键字）。

Ethereal和其它图形化的网络嗅探器都使用相同的界面模式，如果能熟练地使用Ethereal，那么其它图形用户界面的嗅探器基本都可以操作。

1. Ethereal的安装由于Ethereal需要WinPcap库, 所以先安装WinPcap_2_3.exe, 再安装Ethereal.exe。

2. 设置Ethereal的过滤规则当编译并安装好Ethereal后，就可以执行“ethereal”命令来启动Ethereal。

在用Ethereal截获数据包之前，应该为其设置相应的过滤规则，可以只捕获感兴趣的数据包。

Ethereal使用与Tcpdump相似的过滤规则(详见下面的“5.过滤规则实例”)，并且可以很方便地存储已经设置好的过滤规则。

要为Ethereal 配置过滤规则，首先单击“Edit”选单，然后选择“Capture Filters...”菜单项，打开“Edit Capture Filter List”对话框（如图1所示）。

因为此时还没有添加任何过滤规则，因而该对话框右侧的列表框是空的。

图1 Ethereal过滤器配置对话框在Ethereal中添加过滤器时，需要为该过滤器指定名字及规则。

例如，要在主机10.1.197.162和间创建过滤器，可以在“Filter name”编辑框内输入过滤器名字“sohu”，在“Filter string”编辑框内输入过滤规则“host 10.1.197.162 and ”，然后单击“New”按钮即可，如图2所示。

图2 为Ethereal添加一个过滤器在Ethereal中使用的过滤规则和Tcpdump几乎完全一致，这是因为两者都基于pcap库的缘故。

网络监听工具Ethereal使用说明1.1 Ethereal简介Ethereal是一款免费的网络协议分析程序，支持Unix、Windows。

借助这个程序，你既可以直接从网络上抓取数据进行分析，也可以对由其他嗅探器抓取后保存在硬盘上的数据进行分析。

你能交互式地浏览抓取到的数据包，查看每一个数据包的摘要和详细信息。

Ethereal有多种强大的特征，如支持几乎所有的协议、丰富的过滤语言、易于查看TCP会话经重构后的数据流等。

它的主要特点为：·支持Unix系统和Windows系统·在Unix系统上，可以从任何接口进行抓包和重放·可以显示通过下列软件抓取的包·tcpdump·Network Associates Sniffer and Sniffer Pro·NetXray·Shomiti·AIX’s iptrace·RADCOM & RADCOM’s WAN/LAN Analyzer·Lucent/Ascend access products·HP-UX’s nettl·Toshiba’s ISDN routers·ISDN4BSD i4btrace utility·Microsoft Network Monitor·Sun snoop·将所抓得包保存为以下格式：·libpcap (tcpdump)·Sun snoop·Microsoft Network Monitor·Network Associates Sniffer∙可以根据不同的标准进行包过滤∙通过过滤来查找所需要的包∙根据过滤规则，用不同的颜色来显示不同的包∙提供了多种分析和统计工具，实现对信息包的分析图1-1 Ethereal抓包后直观图图1是Ethereal软件抓包后的界面图，我们可以根据需要，对所抓得包进行分析。

《高级网络技术》实验一 ethereal抓包工具的使用课程实验报告课程名称：高级网络技术专业班级：姓名：学号：指导教师：完成时间：2012 年10 月24 日实验一 ethereal抓包工具的使用一、实验目的1．熟悉Ethereal网络抓包工具软件的作用和使用方法；2．通过Ethereal工具软件的帮助，对抓到包进行分析。

二、实验内容学习Ethereal网络抓包工具以及对ARP packet format进行分析。

三、实验设备及工具硬件：安装了网卡的PC机。

软件：PC 机操作系统WinXP，安装了网卡驱动程序,以及ethereal抓包软件四、实验步骤1)安装winpcap和ethereal；2)ARP协议分析由ethereal抓取的包格式和下图一样，首先，对下图所示帧格式进行了解。

如图所示，前14字节是数据链路层所附加的帧头，后28字节是来自网络层的ARP数据包内容。

然后，我们根据所抓取的实际例子来分析协议各个部分，如下图所示。

在这个例子中，编号256的包：物理地址是00:21:86:a2:c6:d3，IP地址是192.168.60.42的主机或路由器，向网络中发送广播，内容是一个ARP协议的request，希望获得IP地址为192.168.60.140的主机的物理地址。

编号为257的包：IP地址为192.168.60.42的主机，收到广播的request后，向广播发送端发送单播reply，告诉对方自己的物理地址为00:1d:ba:18:cb:dc。

256和257号包的详细内容如下所示。

256号包257号包由图可见，前14字节为帧头。

其中，前6字节为目的物理地址，当向网络中发送广播时，目的物理地址为全f；7-12字节为源物理地址；最后两个字节表示帧类型，ox0806表示这是一个ARP数据帧；由于是在以太网中传输，当帧长度不足46字节是，可能在帧尾部添加尾巴（填充位）。

然后，我们来看ARP协议数据内容。

1.双击WinPcap_3_0.exe. 根据提示安装，直到完整。

2.双击ethereal-setup-0.10.7.exe 根据提示安装，直到完整。

这时桌面上出现这个图标
3.双击这个图标，出现
图标。

再点击红色线条指示的图标
4.出现
6.出现数据包的内容：
7.停止抓包，点击，出现如下图
8.保存数据包。

按照深色提示选择保存
9.在name这里写上数据包的名称，自己取名。

然后按照红色图标上的提示选上你要保存的数据包的位置。

最后点击save保存。

注意事项：
用来抓数据包的电脑和用来被抓数据包的设备必须在插在同一交换机或集线器上。

否则不能准确抓到你要抓的数据包。

第1章常用操作方法和工具介绍1.1 镜像抓包工具现场人员进行故障处理，有时需要抓数据包进行分析。

本节介绍终端的抓包方法，用于指导现场工程师进行操作。

抓包工具很多，有Ethreal，WireShark，Sniffer等。

其中Ethreal和WireShark较为常见。

由于Wireshark 和Ethreal工具为同一产品的不同版本，并且Ethreal使用比较广泛版本比较新。

本节主要介绍Ethreal 的使用方法。

1.1.1 简介在这节，将介绍怎样通过Ethereal截包；怎样通过Ethereal观察包；在Ethereal怎样过滤包；怎样分析媒体包；还有其它功能。

1.1.2 截包我们通过选择“Capture”菜单中的“Start”子菜单或主工具条相对应的项来截包。

弹出“Caputure Options”对话框，如图1.1-1图 1.1-1 抓包开始选项1.1.2.1 截包参数的设定Interface：这项用于指定截包的网卡。

Link-layer header type：指定链路层包的类型，一般使用默认值。

Buffer size（n megabyte（s））：用于定义Ethereal用于截包的缓冲，当缓冲写满后，就将截的数据写道磁盘上。

如果遇到ethereal丢包现象，将该缓冲尽量增大。

Capture packets in promiscuous mode：截包时，Ethereal将网口置于混杂模式。

如果没有配置这项，Ethereal只能截取该PC发送和接收的包（而不是同一LAN上的所有包）。

Limit each packet to n bytes：定义Ethereal截取包的最大数据数，大于这个值的数据包将被丢掉。

默认为65535。

1.1.2.2 截包过滤条件的设定Ethereal 截包过滤条件，通过and 和or，将一系列的primitive 表达式连接在一起，有时可在primitive 表达式前用not。