网络分析软件Ethereal的源代码分析

Ethereal -抓包、报文分析工具Ethereal 是一种开放源代码的报文分析工具，适用于当前所有较为流行的计算机系统，包括 Unix、Linux 和 Windows 。

主界面如上图，点“抓包配置”按钮，出现抓包配置界面如下图。

在“Interface”中选择网卡，即用来抓包的接口，如果选择错误就不能抓到报文；“Capture packets in promiscuous mode（混杂模式抓包）”是指捕捉所有的报文，如不选中就只捕捉本机的收发报文；如果选中“Limit each packet to xx bytes（限制每个包的大小）”则只捕捉小于该限制的包；抓包时，数据量比较大，解析起来速度慢，可在“Capture Filter（抓包过滤设置“Display Options(显示设置)”中建议选中“Update list of packets in realtime（实时更新抓包列表）”、“Automatic scrolling in live capture（自动滚屏）”和“Hide capture info dialog（隐藏抓包信息对话框）”三项。

抓包配置好就可以点击“Start”开始抓包了。

抓包结束，按“停止”按钮即可停止。

为了快速查看需要的报文，在“Filter”栏中输入过滤条件后按回车键即可对抓到的包进行过滤。

注意“Filter”栏中输入的过滤条件正确则其底色为绿色，错误则其底色为红色。

常用有些报文还可以判断网络的状况，例如输入显示过滤条件tcp.analysis.flags，可以显示丢失、重发等异常情况相关的TCP报文，此类报文的出现频率可以作为评估网络状况的一个标尺。

偶尔出现属于正常现象，完全不出现说明网络状态上佳。

tcp.flags.reset==1。

SYN是TCP建立的第一步，FIN是TCP连接正常关断的标志，RST是TCP连接强制关断的标志。

统计心跳报文有无丢失。

在statistics->conversations里选择UDP，可以看到所有装置的UDP报文统计。

实验协议分析软件Ethereal 的使用一、实验目的和要求：熟悉掌握Ethereal软件的使用,并应用该软件分析Ethernet帧以及高级协议，从而能够加深对TCP/IP 协议栈上的参与通信的网络数据包结构以及通信方式有进一步的了解。

二、实验内容和原理1. 安装windows下的Ethereal及WinPcap软件。

2. 捕捉任何主机发出的DIX Ethernet V2（即Ethernet II）格式的帧（帧的长度字段>1500, 帧的长度字段实际上是类型字段），Ethereal的capture 的options中capture filter设置为：ether[12:2] > 1500 观察并分析帧结构，Ethernet II的帧(ether[12:2] > 1500)的上一层主要是哪些PDU？是IP、LLC还是其它哪种？IP3. 捕捉并分析局域网上的所有ethernet broadcast帧，Ethereal的capture 的options中capture filter设置为：ether broadcast(1). 观察并分析哪些主机在发广播帧，这些帧的高层协议是什么？ARP(2). 你的LAN的共享网段上连接了多少台计算机？1分钟内有几个广播帧？有否发生广播风暴？92台4. 捕捉局域网上主机发出或接受的所有ARP包capture 的options中capture filter设置为：arp host ip (1)主机上执行“arp –d ”清除arp cache.(2)在主机上ping 局域网上的另一主机(3)观察并分析主机发出或接受的所有ARP包，及arp包结构。

5. IP 分组的结构固 定 部分 可变 部分0 48 16192431版 本 标志 生 存 时 间协 议标 识服 务 类 型总 长 度 片 偏 移填 充首 部 检 验 和源 地 址 目 的 地 址可 选 字 段 （长 度 可 变） 比特 首部长度 01 2 3 4 5 6 7 D T R C 未用 优 先 级数 据 部 分首 部6、UDP 报文伪首部源端口目的端口长 度检验和数 据首 部UDP 长度源 IP 地址目的 IP 地址17 IP 数据报字节12 2 2 2 2 字节 发送在前数 据首 部 UDP 用户数据报附：1、Ethernet II的帧结构字节46 ~ 1500 目的地址源地址类型数据FCS目的地址：01:00:5e:22:17:ea源地址：00:1e:90:75:af:4f类型数据2、IP分组的结构版本首部长度服务类型总长度标识标志固 定 部分 可变 部分0 48 16192431版 本 标志 生 存 时 间协 议标 识服 务 类 型总 长 度 片 偏 移填 充首 部 检 验 和源 地 址 目 的 地 址可 选 字 段 （长 度 可 变） 比特 首部长度 01 2 3 4 5 6 7 D T R C 未用 优 先 级数 据 部 分首 部片偏移生存时间协议首部检验和源地址目的地址可选字段 数据3、 ARP 的报文格式硬件地址长度协议类型 发送方IP 地址(八位组0-1) 目标硬件地址(八位组2-5) 目标IP 地址(八位组0-3)发送方硬件地址(八位组0-3)硬件类型操作发送方硬件地址(八位组4-5) 发送方IP 地址(八位组2-3)协议长度目标硬件地址(八位组0-1)* 硬件类型指明发送方想知道的硬件接口类型。

Ethereal协议分析实验指导Ethereal是一个开放源码的网络分析系统，也是目前最好的开放源码的网络协议分析器，支持Linux和windows平台。

Ethereal 基本类似于tcpdump，但 Ethereal 还具有设计完美的 GUI 和众多分类信息及过滤选项。

用户通过 Ethereal，同时将网卡插入混杂模式，可以查看到网络中发送的所有通信流量。

Ethereal网络协议分析软件可以十分方便直观地应用于计算机网络原理和网络安全的教学实验，网络的日常安全监测。

使用Ethereal能够非常有效地帮助学生来理解网络原理和协议、帮助学生理解实验现象和诊断实验故障。

一、Ethereal 协议分析软件下载及安装1.下载Ethereal 开源软件Ethereal是免费的，可以从官方网站下载最新版本。

以windows xp操作系统为例，如图2-1所示。

目前可下载最新版本为：Ethereal 0.99.0图2-1 下载Ethereal协议分析软件的界面2.安装Ethereal软件图2-2 Ethereal 安装界面双击Ethereal-setup-0.99.0.exe软件图标，开始安装。

图2-2为Ethereal安装界面。

选择欲安装的选件，一般选择默认即可，如图2-3图2-3选择欲安装的选件选择欲安装的目录，确定软件安装位置。

Ethereal软件的运行需要软件WinPcap的支持，WinPcap是libpcap library的Windows版本，Ethereal可通过WinPcap来劫取网络上的数据包。

在安装Ethereal时可以的过程中也会一并安装WinPcap，不需要再另外安装。

如图2-4所示图2-4选择安装WinPcap如果在安装Ethereal之前未安装Winpcap，可以勾选Install Winpcap 3.1 beta 4。

开始解压缩文件，接着开始安装，接着按Next就可以看到Ethereal的启动画面了。

Ethereal -抓包、报文分析工具Ethereal 是一种开放源代码的报文分析工具，适用于当前所有较为流行的计算机系统，包括 Unix、Linux 和 Windows 。

主界面如上图，点“抓包配置”按钮，出现抓包配置界面如下图。

在“Interface”中选择网卡，即用来抓包的接口，如果选择错误就不能抓到报文；“Capture packets in promiscuous mode（混杂模式抓包）”是指捕捉所有的报文，如不选中就只捕捉本机的收发报文；如果选中“Limit each packet to xx bytes（限制每个包的大小）”则只捕捉小于该限制的包；抓包时，数据量比较大，解析起来速度慢，可在“Capture Filter（抓包过滤设置“Display Options(显示设置)”中建议选中“Update list of packets in realtime（实时更新抓包列表）”、“Automatic scrolling in live capture（自动滚屏）”和“Hide capture info dialog（隐藏抓包信息对话框）”三项。

抓包配置好就可以点击“Start”开始抓包了。

抓包结束，按“停止”按钮即可停止。

为了快速查看需要的报文，在“Filter”栏中输入过滤条件后按回车键即可对抓到的包进行过滤。

注意“Filter”栏中输入的过滤条件正确则其底色为绿色，错误则其底色为红色。

常用有些报文还可以判断网络的状况，例如输入显示过滤条件tcp.analysis.flags，可以显示丢失、重发等异常情况相关的TCP报文，此类报文的出现频率可以作为评估网络状况的一个标尺。

偶尔出现属于正常现象，完全不出现说明网络状态上佳。

tcp.flags.reset==1。

SYN是TCP建立的第一步，FIN是TCP连接正常关断的标志，RST是TCP连接强制关断的标志。

统计心跳报文有无丢失。

在statistics->conversations里选择UDP，可以看到所有装置的UDP报文统计。

网络监听工具Ethereal利用说明1.1Ethereal简介Ethereal是一款免费的网络协议分析程序，支持Unix、Windows。

借助那个程序，你既能够直接从网络上抓取数据进行分析，也能够对由其他嗅探器抓取后保留在硬盘上的数据进行分析。

你能交互式地阅读抓取到的数据包，查看每一个数据包的摘要和详细信息。

Ethereal 有多种壮大的特点，如支持几乎所有的协议、丰硕的过滤语言、易于查看TCP会话经重构后的数据流等。

它的要紧特点为：支持Unix系统和Windows系统在Unix系统上，能够从任何接口进行抓包和重放能够显示通过以下软件抓取的包tcpdumpNetwork Associates Sniffer and Sniffer ProNetXrayShomitiAIX’s iptraceRADCOM & RADCOM’s WAN/LAN AnalyzerLucent/Ascend access productsHP-UX’s nettlToshiba’s ISDN routersISDN4BSD i4btrace utilityMicrosoft Network MonitorSun snoop将所抓得包保留为以下格式：▪libpcap (tcpdump)▪Sun snoop▪Microsoft Network Monitor▪Network Associates Sniffer能够依照不同的标准进行包过滤通过过滤来查找所需要的包依照过滤规那么，用不同的颜色来显示不同的包提供了多种分析和统计工具，实现对信息包的分析图1-1 Ethereal抓包后直观图图1是Ethereal软件抓包后的界面图，咱们能够依照需要，对所抓得包进行分析。

另外，由于Ethereal软件的源代码是公布的，能够随意取得，因此，人们能够很容易患将新的协议添加到Ethereal中，比如新的模块，或直接植入源代码中。

1.2Ethereal支持的网络协议Ethereal能对很多协议进行解码，它支持几乎所有的协议，如AARP, AFS, AH, AIM, ARP, ASCEND, ATM, AUTO_RP, BGP, BOOTP, BOOTPARAMS, BROWSER, BXXP, CDP, CGMP, CLNP, CLTP, COPS, COTP, DATA, DDP, DDTP, DEC_STP, DIAMETER, DNS, EIGRP, ESIS, ESP, ETH, FDDI, FR, FRAME, FTP, FTP-DATA, GIOP, GRE, GVRP, H1, H261, HCLNFSD, HSRP, HTTP, ICMP, ICMPV6, ICP, ICQ, IGMP, IGRP, ILMI, IMAP, IP, IPCOMP, IPCP, IPP, IPV6, IPX, IPXMSG, IPXRIP, IPXSAP, IRC, ISAKMP, ISIS, ISIS_CSNP,ISIS_HELLO, ISIS_LSP, ISIS_PSNP, ISL, IUA, KERBEROS, L2TP, LANE, LANMAN, LAPB, LAPBETHER, LAPD, LCP, LDAP, LDP, LLC, LPD, M3UA, MAILSLOT, MALFORMED, MAPI, MIP, MOUNT, MP, MPLS, MSPROXY, NBDGM, NBIPX, NBNS, NBP, NBSS, NCP, NETBIOS, NETLOGON, NFS, NLM, NMPI, NNTP, NTP, NULL, OSPF, PIM, POP, PORTMAP, PPP, PPPOED, PPPOES, PPTP, Q2931, Q931, QUAKE, RADIUS, RIP, RIPNG, RLOGIN, RPC, RQUOTA, RSH,RSVP, RTCP, RTMP, RTP, RTSP, RX, SAP, SCTP, SDP, SHORT, SIP, SLL, SMB, SMTP, SMUX, SNA, SNMP, SOCKS, SPX, SRVLOC, SSCOP, STAT, STP, SUAL, SYSLOG, TACACS, TCP, TELNET, TEXT, TFTP, TIME, TNS, TPKT, TR, TRMAC, UDP, V120, VINES, VINES_FRP, VINES_SPP, VLAN, VRRP, VTP, WAP-WSP, WAP-WSP-WTP, WAP-WTLS, WCCP, WHO, WLAN, , X11, XOT, YHOO, YPBIND, YPSERV, YPXFR, ZEBRA等。

⽹络协议分析⼯具Ethereal的使⽤⼤学时计算机⽹络课的实验报告，当时提不起兴趣，今天看来还挺有⽤的。

可以学习下怎样抓数据包，然后分析程序的通信协议。

⼀：学习使⽤⽹络协议分析⼯具Ethereal的⽅法，并⽤它来分析⼀些协议。

实验步骤：1．⽤“ipconfig”命令获得本机的MAC地址和缺省路由器的IP地址；（注：缺省路由器即 ”Default Gateway”）命令⾏：Start->Run->CMD->ipconfig /all >C:\Mac.txt(在命令⾏中把ipconfig命令保存在⽂本⽂档⾥⾯备⽤)结果：本机Mac地址：00.09.73.4B.8A.D7 缺省路由器IP：192.168.8.254步骤截图：图1（本机⽹络信息：Mac.txt）2．⽤“arp”命令清空本机的缓存：命令⾏：Start->Run->CMD->arp –d图2（arp命令 –d参数的帮助说明）3．运⾏Ethereal，开始捕获所有属于ARP协议或ICMP协议的，并且源或⽬的MAC地址是本机的包：图3（Capture->Options中关于⽹卡设置和Capture Filter）图4（抓包截图）4．执⾏命令：“ping” 缺省路由器的IP地址：图5（捕获包）图6（ping 过程）⼆：⽤Ethereal观察tracert命令的⼯作过程：1．⽤Ethereal语法内容及参数说明：命令⾏操作步骤：Start->Run->CMD->tracert图1（Tracert命令全部参数的帮助说明）2．运⾏Ethereal, 设定源和⽬的MAC地址是本机的包，捕获tracert命令中⽤到的消息：Tracert使⽤ICMP，相应过滤规则为：ether host 00:09:73:4B:8A:D7 and icmp图3（Capture->Options中关于⽹卡设置和Capture Filter）3.执⾏“tracert -d ” ，捕获包：执⾏命令：tracert -d ：图3 （执⾏命令 tracert –d ）图4（抓包截图）图5（捕获包）4．Tracert⼯作原理：Tracert使⽤ICMP消息，具体地讲，tracert发出的是Echo Request消息，触发返回的是Time Exceeded消息和Echo Reply消息。

课程：计算机网络项目：实验1 Ethereal一、实验目的•进一步掌握Ethereal的使用方法•能对捕获到的包进行较深入的分析•简单的运用filter设置过滤•通过Ethereal抓包和分析，了解HTTP协议二、实验原理1.http协议HTTP 是一个应用层协议，它使用 TCP 连接进行可靠的传送，HTTP协议定义了浏览器（即WWW客户进程）怎样向万维网服务器请求万维网文档，以及服务器怎样把文档传送给浏览器。

每个万维网网点都有一个服务器进程，它不断的监听TCP的端口80，以便发现是否有浏览器（即万维网客户）向它发出连接建立的请求。

http报文格式：GET /chn/YXSZ/index.htm HTTP/1.1 {请求行使用了相对URL}Host: {此行是首部行的开始，给出主机的域名} Connection: close {不保持连接放}User-Agent: Mozilla/5.0 {表明用户道理是使用Netscape浏览器} Accept-Language: cn {表示用户希望优先得到中文版本的文档} 各部分的解释如下：2.tcp协议TCP（Transmission Control Protocol 传输控制协议）是一种面向连接（连接导向）的、可靠的、基于IP的传输层协议，由IETF的RFC 793说明（specified）。

TCP在IP报文的协议号是6。

当应用层向TCP层发送用于网间传输的、用8位字节表示的数据流，TCP则把数据流分割成适当长度的报文段，最大传输段大小（MSS）通常受该计算机连接的网络的数据链路层的最大传送单元（MTU）限制。

之后TCP把数据包传给IP层，由它来通过网络将包传送给接收端实体的TCP层。

TCP为了保证报文传输的可靠，就给每个字节一个序号，同时序号也保证了传送到接收端实体的包的按序接收。

然后接收端实体对已成功收到的字节发回一个相应的确认(ACK)；如果发送端实体在合理的往返时延(RTT)内未收到确认，那么对应的数据（假设丢失了）将会被重传。

网络协议分析软件EtherealEthereal使用手册使用手册贺思德申浩如2007年7月目录第￥章 网络协议分析软件Ethereal使用手册 ￥.1 网络协议分析概述￥.2 网络协议分析软件Ethereal简介￥.2.1 Ethereal概述1. Ethereal的用户界面简介2. 在网络中部署Ethereal￥.2.2 下载和安装￥.2.3 Ethereal的使用1. Ethereal的主界面2. Ethereal的菜单及其使用￥.2.4 Ethereal过滤器（Filters）的使用1. 捕获过滤规则的书写2. 显示过滤规则的书写第￥章 网络协议分析软件Ethereal本章介绍网络协议分析软件Ethereal ，包括两个方面：1）网络协议分析和网络嗅探的概念和工作原理；2）网络协议分析软件Ethereal 的使用方法。

网络协议数据分析用于捕获真实网络的数据流，通过分析这些数据以确定在网络上发生了什么事情，用于网络安全管理、故障诊断、黑客追踪等。

本章首先介绍网络协议分析的概念及其工作原理，接着详细讲解网络协议分析软件Ethereal 的使用，包括界面介绍、在网络系统中的捕获位置选择、软件安装、过滤器的使用等。

Ethereal 主界面上的各种操作菜单的介绍包括：文件菜单（File ）、编辑菜单（Edit ）、包捕获菜单（Capture ）、分析菜单（Analyze ）、统计菜单（Statistics ）。

还介绍捕获过滤器和显示过滤器的表达式书写等。

学习使用Ethereal ，必须把握以下几点：1）理解和熟悉ICP/IP 网络协议的基础知识。

必须对所监测的网络及其协议有清楚的理解，尤其是网络各层协议的工作过程、协议字段的含义及表现形式。

2）要多阅读分析网络包的捕获实例。

建议读者亲自捕获一些自己的真实网络上的数据包，以这些包为实验材料进行各种功能的练习，这样才能领会Ethereal 每项功能设计的用意所在，提高自己对网络真实数据的分析判读能力。

——用Ethereal捕获并分析数据包学院：计算机工程学院专业：计算机科学与技术姓名：张徽学号：2008404010135TCP报文格式分析◆TCP提供一种面向连接的、全双工的、可靠的字节流服务。

◆在一个TCP连接中，仅有两方进行彼此通信。

广播和多播不能用于TCP。

◆TCP的接收端必须丢弃重复的数据。

◆TCP对字节流的内容不作任何解释。

对字节流的解释由TCP连接双方的应用层解释。

◆TCP通过下列方式来提供可靠性：➢应用数据被分割成TCP认为最适合发送的数据块，称为报文段或段。

➢TCP协议中采用自适应的超时及重传策略。

➢TCP可以对收到的数据进行重新排序，将收到的数据以正确的顺序交给应用层。

➢TCP的接收端必须丢弃重复的数据。

➢TCP还能提供流量控制。

TCP数据报的发送过程图TCP数据报的格式●源端口：占16比特（2个字节），分段的端口号；●目的端口：占16比特（2个字节），分段的目的端口号；端口是传输层与应用层的服务接口。

传输层的复用和分用功能都要通过端口才能实现；●序号字段：占4字节。

TCP连接中传送的数据流中的每一个字节都编上一个序号。

序号字段的值则指的是本报文段所发送的数据的第一个字节的序号。

●确认号字段：占4字节，是期望收到对方的下一个报文段的数据的第一个字节的序号。

●数据偏移：占4比特，它指出TCP报文段的数据起始处距离CP报文段的起始处有多远。

“数据偏移”的单位不是字节而是32bit字（4字节为计算单位）。

●保留字段：占6bit，保留为今后使用，但目前应置为0。

●编码位：编码位含义紧急比特URG 当URG＝1时，表明紧急指针字段有效。

它告诉系统此报文段中有紧急数据，应尽快传送(相当于高优先级的数据)。

确认比特ACK只有当ACK＝1时确认号字段才有效。

当ACK＝0时，确认号无效。

推送比特PSH 当PSH=1时，表示请求急迫操作，即分段一到马上就发送应用程序而不等到接收缓冲区满时才发送应用程序。

实验8.4 用Ethereal进行网络数据流分析
1．实验目的
学会使用Ethereal对网络抓包、过滤、嗅探、分析。

2．实验原理
Ethereal 是当前较为流行的一种计算机网络调试和数据包嗅探软件。

Ethereal 基本类似于tcpdump，但 Ethereal 还具有设计完美的 GUI 和众多分类信息及过滤选项。

用户通过 Ethereal，同时将网卡插入混合模式，可以查看到网络中发送的所有通信流量。

3．实验环境
装有Windows 2000 server的计算机，局域网环境。

4．实验步骤
¾安装
要安装使用Ethereal首先要先安装Wincap3.0或以上版本。

这里安装的是ethereal-setup-0.10.12和Wincap3.1。

¾设置
点击菜单栏的Capture菜单，选择Option，在interface项选取网卡。

图1
¾开始抓包
点击start开始抓包，如图所示：
图2 点击stop，停止抓包，显示结果：
图3
¾分析和过滤
在Filter中可以输入过滤规则，，规则语法正确时文本框的底色为绿色，否则为红色。

如图所示，输入“IP”，过滤出IP包。

图4
在中间的信息栏里可以看到选中的IP包的详细信息，包括目的地IP、包大小、响应时间、源端口、目标端口、程序进程ID等等。

从而可以对截获的数据包进行详细分析。

最下面的信息栏显示的是详细的十六制码信息。

图5。

实验三网络协议分析器Ethereal一、实验目的和要求•了解网络协议分析器Ethereal的基本知识•掌握Ethereal安装过程•掌握使用Ethereal捕捉数据包的方法•能对捕获到的包简单分析二、实验内容安装Ethereal软件和相应的WinpCap软件，启动Ethereal并设置相应的选项，捕获一段记录。

三、实验设备PC机、Ethereal软件、WinpCap软件四、背景知识Ethereal是一个有名的网络端口探测器，是可以在Linux、Solaris、SGI等各种平台运行的网络监听软件，它主要是针对TCP/IP协议的不安全性对运行该协议的机器进行监听。

其功能相当于Windows下的Sniffer，都是在一个共享的网络环境下对数据包进行捕捉和分析，而且还能够自由地为其增加某些插件以实现额外功能。

Ethernet网络监测工具可在实时模式或离线模式中用来捕获和分析网络通信。

下面是使用Ethereal 可以完成的几个工作：网络管理员使用它去帮助解决网络问题✧网络安全工程师用它去测试安全问题✧开发人员用它是调试协议的实现过程✧用它还可以帮助人员深入的学习网络协议下面是Ethereal 提供的一些特性：✧支持UNIX 平台和Windows 平台。

✧从网络接口上捕获实时数据包✧以非常详细的协议方式显示数据包✧可以打开或者存贮捕获的数据包✧导入/导出数据包，从/到其它的捕获程序✧按多种方式过滤数据包✧按多种方式查找数据包✧根据过滤条件，以不同的颜色显示数据包✧可以建立多种统计数据五、实验步骤1、安装Ethereal和 WinpCap。

有的Ethereal中自带WinpCap就不需要再另外安装了。

实验室里面一般安装好了。

下载地址：安装好后，桌面上会出现“”图标，为Ethereal的桌面快捷方式。

2、启动Ethereal，界面如下：图1 Ethereal启动界面最初的窗口中没有数据，因为还没有开始捕获数据包，首先来认识一下界面。

Ethereal源码分析报告-Miaosblog1. Ethereal简介Ethereal是一个开放源码的网络分析系统，也是是目前最好的开放源码的网络协议分析器，支持Linux和windows平台。

Ethereal起初由Gerald Combs开发，随后由一个松散的etheral团队组织进行维护开发。

它目前所提供的强大的协议分析功能完全可以媲美商业的网络分析系统，自从1998年发布最早的0.2版本至今，大量的志愿者为ethereal添加新的协议解析器，如今ethereal已经支持七百多种协议解析。

目前，网络协议分析软件很多，Ethereal的特点如下：直接从网络接口（如网卡）捕包显示非常详细的协议信息打开、保存捕获的数据兼容多种捕包程序的数据格式在各个网络层次，根据过滤条件，对包进行过滤在各个网络层次，根据查找条件，对包进行查找对过滤后的包，以特殊颜色显示开发源码使用插件技术，支持二次开发2. Ethereal安装Ethereal支持的操作系统包括Windows和Linux，根据实际需要，这里只介绍Linux环境下的安装。

1) 安装Ethereal参考文件 R01.在Linux系统上安装Ethereal.doc2) 创建Ethereal编译环境参考文件 R02.在Linux系统上编译Ethereal.doc3. Ethereal功能介绍1) 从网口捕获数据包可以从多种网络硬件捕包，包括以太网，令牌环网，ATM网等。

捕包模块根据设置的捕包数量，捕包时间等条件自动停止捕包。

根据过滤条件，捕获需要的数据包可以将捕获的数据包，自动保存在多个文件中在捕包的同时，显示解析后的数据包3) 打开其他捕包软件捕获的数据Ethereal保存的文件格式为libpcap格式，也是tcpdump的文件格式除了libpcap格式外，Ethereal能识别的其他捕包软件捕获的数据格式，文件格式参见 R03.Ethereal能识别的文件格式4) 保存捕获的数据Ethereal可以将其捕获的数据包，保存为其他捕包软件识别的数据格式，支持的文件格式参见R04.Ethereal保存的文件格式Ethereal还可以将文件保存为plain text、postscript格式。

Etherea软件介绍与用Ethereal分析协议数据包简介一、Ethereal：网络数据嗅探器软件Ethereal 是当前较为流行的一种计算机网络调试和数据包嗅探软件。

Ethereal 基本类似于tcpdump，但Ethereal 还具有设计完美的GUI 和众多分类信息及过滤选项。

用户通过Ethereal，同时将网卡插入混合模式，可以查看到网络中发送的所有通信流量。

Ethereal 应用于故障修复、分析、软件和协议开发以及教育领域。

它具有用户对协议分析器所期望的所有标准特征，并具有其它同类产品所不具备的有关特征。

Ethereal 是一种开发源代码的许可软件，允许用户向其中添加改进方案。

Ethereal 适用于当前所有较为流行的计算机系统，包括Unix、Linux 和Windows 。

Ethereal 主要具有以下特征：在实时时间内，从现在网络连接处捕获数据，或者从被捕获文件处读取数据；Ethereal 可以读取从tcpdump（libpcap）、网络通用嗅探器（被压缩和未被压缩）、SnifferTM 专业版、NetXrayTM、Sun snoop 和atmsnoop、Shomiti/Finisar 测试员、AIX 的iptrace、Microsoft 的网络监控器、Novell 的LANalyzer、RADCOM 的WAN/LAN 分析器、ISDN4BSD 项目的HP-UX nettl 和i4btrace、Cisco 安全IDS iplog 和pppd 日志（pppdump 格式）、WildPacket 的EtherPeek/TokenPeek/AiroPeek 或者可视网络的可视UpTime 处捕获的文件。

此外Ethereal 也能从Lucent/Ascend WAN 路由器和Toshiba ISDN 路由器中读取跟踪报告，还能从VMS 的TCPIP 读取输出文本和DBS Etherwatch。

ethereal 的常用分析ethereal 作为一个抓包工具有非常广泛的应用，更为出色的是它协议分析的能力。

缺省的协议分析库已经支持常见的所有协议，对跟我们业务相关的SMPP/MMSE 也可以很好的支持。

它甚至能分析GSM A口BSS MAP ISUP 等接口数据。

在我们日常应用中. 常需要分析的就是MM1/3/4/7 口的数据。

分析数据的第一步是取得原始数据。

就ethereal 来讲，它本身是带有抓包功能的，但是unix 版本的安装是一个比较麻烦的过程，而许多版本的unix 缺省安装已经带一个抓包工具snoop 关于这个工具的使用，可以参考man snoop. 需要说明的是snoop 输出的文件格式遵循RFC1761，因此只要支持该RFC 的工具均可以分析其输出文件。

这里我只介绍snoop 的常用操作。

snoop –o filename exp-o 指示抓的报文输出到filenameexp 指示所抓的内容。

常用的表达式指示关键词有host , ip, port 等. 这些关键词有可以有修饰词dst /src 等. 一个表达式由一个或多个布尔元素组成。

布尔元素之间用AND, OR, and NOT 连接。

常用的表达式如host 211.136.23.101dst host 211.136.23.101tcp port 9080httpsmtp 等比如要抓通告消息，可以使用命令snoop –o push.msg tcp port 9080 （前提是已知通告下发使用9080端口）或者snoop –o push.msg host 211.136.23.101 (前提是已知通告下发使用211.136.23.101的网关)表达式的灵活选取可以让我们一次抓到所有需要的数据，而又不会导致输出文件太大。

前面已经讲了抓报工具的使用，下面应该讲对取得的原始数据怎么分析了：1．我建议安装windows 版本的ethereal .2．把snoop 抓到的报文用bin 方式传送到ethereal 可以访问的目录下，注意目录/文件名不要包含汉字/空格。