抓包工具Ethereal的使用
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
文档密级:内部公开
Ethereal使用
其中在interface输入框中,要求填入所要选择的网 卡,对于有多个网卡的服务器这是必要的,但一般对 pc机,这一项则不必。 Capture filter框中要求输入过滤条件,即用户所 需要的信息,而把一切无关的信息过滤掉。比如我可 以按照端口来进行过滤,我只想得到端口号是5060和 8080的信息, 那么,我在capture Filter栏中输入过 滤条件: port 5060 and port 8080
南研测试部
文档密级:内部公开
Ethereal使用
点击ok按钮后出现如下图示:
南研测试部
文档密级:内部公开
Ethereal使用
然后点击stop按钮,就会出现所有的抓包所抓到的信息,最上方显示的是协议包, 中间显示的是协议解释,最下面的是二进制码流。如下图所示:
南研测试部
文档密级:内部公开
Ethereal使用
南研测试部
文档密级:内部公开
Ethereal的抓包过滤器
南研测试部
文档密级:内部公开
Ethereal的抓包过滤器
当然我们也可以利用Expression命令来设置过滤条件,如下图:
南研测试部
文档密级:内部公开
Ethereal的抓包过滤器
请记住一个诀窍,如果 的背景是绿色, 请记住一个诀窍,如果Filter的背景是绿色,就证明你设定的 的背景是绿色 就证明你设定的Filter是合乎规定 是合乎规定 但是当背景是红色的,就说明你设定的Filter是Ethereal不允许的,是不对 不允许的, 的;但是当背景是红色的,就说明你设定的 是 不允许的 的。
南研测试部
文档密级:内部公开
Ethereal的抓包过滤器
南研测试部
文档密级:内部公开
Ethereal的抓包过滤器
对于属于tcp或者 或者http协议的信息,选中后点击右键,选择 协议的信息, 对于属于 或者 协议的信息 选中后点击右键,选择[follow TCP stream]就会显示详细的信息: 就会显示详细的信息: 就会显示详细的信息
南研测试部
文档密级:内部公开
Ethereal使用小技巧
包长度太长导致无法查看消息体后面的 内容:将包保存后用UltraEdit打开,在菜 单Edit中选择Hex Edit。 XCAP包中消息体很长且一行显示,看起 来很费事:将消息体复制后保存到.xml 文件中,然后用IE打开可呈现层次结构。
南研测试部
文档密级:内部公开
Ethereal使用小技巧
抓包后利用Etheral主菜单中的 Statistics>VoIP Calls菜单项,在弹出的 界面中单击<Graph>按钮,可以看到流 程图——对分析理解业务流程非常有效。
南研测试部
文档密级:内部公开
Q&A
南研测试部
文档密级:内部公开
结束语ຫໍສະໝຸດ Baidu
Thank you!
当然我们也可以采取滚动方式来显示所抓到的信息,如下图所示:
南研测试部
文档密级:内部公开
Ethereal使用
如上图选择实时更新和自动滚动后,点击“OK”按钮,就可以滚动显示 所抓到的信息。点击“停止”按钮就会停止抓包。
南研测试部
文档密级:内部公开
目录
Ethereal简介 Ethereal安装 Ethereal使用 Ethereal的抓包过滤器 Ethereal使用小技巧
南研测试部
文档密级:内部公开
Ethereal简介
Ethereal能够支持许多协议,但有些协 议需要安装插件以后才能抓包。首先要 下载Ethereal的协议插件,然后解压到 Ethereal安装目录的plugins下面,启动 Ethereal,在菜单Edit->preferences下 进行设置。
南研测试部
南研测试部
文档密级:内部公开
Ethereal使用
Capture packets in promiscuous mode:是否打开混 杂模式。如果打开,抓取所有的数据包,一般情况下 只需要监听本机收到或者发出的包,因此应关闭这个 选项。 File:如果需要将抓到的包写到文件中,在这里输入 文件名。 Limit each pocket:限制每个包的大小,缺省情况不 限制。
南研测试部
文档密级:内部公开
目录
Ethereal简介 Ethereal安装 Ethereal使用 Ethereal的抓包过滤器 Ethereal使用小技巧
南研测试部
文档密级:内部公开
Ethereal使用
启动Ethereal以后,选择菜单Capture->start,将会 出现以下配置页面:
南研测试部
南研测试部
抓包工具Ethereal的使用 的使用 抓包工具
2006年2月
文档密级:内部公开
目录
Ethereal简介 Ethereal安装 Ethereal使用 Ethereal的抓包过滤器 Ethereal使用小技巧
南研测试部
文档密级:内部公开
Ethereal简介
Ethereal是我们在测试中常用到的抓包工具, 它适用于linux和windows操作系统,它会从网 卡处捕获本机向外发的包文件和外界比如服务 器向本机发的包文件,然后详细陈列所抓到的 各个包的具体协议信息,对于抓到的包文件, 我们既可以保存,也可以把他们打开,也可以 用过滤来对指定的机器和端口进行分析。
南研测试部
文档密级:内部公开
Ethereal的抓包过滤器
如果不在Capture filter框中输入过滤条件,上述操作显示的是 抓包抓到的所有信息,看起来很繁琐,我们可以用抓包过滤器对它进 行过滤,来抓取感兴趣的包。 抓包过滤器使用的是libcap过滤器语言,在tcpdump的手册中有详 细的解释,基本结构是:[not] primitive [and] or [not] primitive……] 如果你想抓取某些特定的数据包时,可以有以下两种方法: 在抓包的时候,就先定义好抓包过滤器,这样结果就是只抓到 你设定好的那些类型的数据包; 先不管三七二十一,把本机收到或者发出的包一股脑的抓下来, 然后使用显示过滤器,只让Ethereal显示那些你想要的那些类型 的数据包。
文档密级:内部公开
目录
Ethereal简介 Ethereal安装 Ethereal使用 Ethereal的抓包过滤器 Ethereal使用小技巧
南研测试部
文档密级:内部公开
Ethereal安装
在windows操作系统下,执行文件 WinPcap_3_0.exe ,然后再执行文 件ethereal-setup-0.10.10.exe , 这样执行完这两个文件后我们就可 以运用Ethereal进行抓包或者对 linux所抓到的包文件进行分析。
南研测试部
文档密级:内部公开
Ethereal的抓包过滤器
南研测试部
文档密级:内部公开
目录
Ethereal简介 Ethereal安装 Ethereal使用 Ethereal的抓包过滤器 Ethereal使用小技巧
南研测试部
文档密级:内部公开
Ethereal使用小技巧
抓包的时候,我们往往想把过滤后的信 令保存下来,而不是保存所有信令,这 时只需要在保存的时候点击[displayed] 按钮,再保存,保存下来的就是过滤后 的信令。这样的包的体积就比较小。 根据call-id过滤所需要的包:选中一条 SIP信令的call-id字段,右键选择Apply as Filter->Selected。