Ethereal的安装和使用

实验五一、实验名称：分组嗅探器ethereal的安装使用及ARP协议的理解二、实验目的1.学会正确安装和配置网络协议分析仪软件Ethereal2.掌握正确使用Ethereal分析ARP（地址解析协议）的技能。

3.深入理解ARP的工作原理和重要作用。

4.能够使用ARP命令对ARP选路表（下文简称ARP表）进行简单操作。

三、实验环境1.运行Windows XP /2003 Server操作系统的PC机一台2.每台PC机具有一块以太网卡，通过双绞线与局域网相连3.Ethereal工具（可以从/下载）四、实验步骤1.安装网络协议分析仪1)安装WinPcap。

双击WinPcap图标，进入安装过程（如图1）然后根据提示进行确认，可顺利安装系统。

安装成功后，将会在“程序”菜单上出现“WinPcap”程序组。

注意：网络协议分析仪软件Ethereal的运行需要软件WinPcap（wpcap.dll）的支持，应当在执行Ethereal前安装WinPcap。

图12)安装Ethereal。

双击Ethereal-setup软件图标，选择软件的安装目录后，开始安装过程。

当协议分析仪安装成功后，将会在“程序”菜单上出现“Ethereal”程序组。

2.使用Ethereal分析协议1)启动系统。

点击“Ethereal”程序组中的“Ethereal”图标，将出现以系统操作界面，如图2图2 Ethereal系统主界面2)点击“Capture/Start”菜单，在菜单capture 下点击interfaces，选取要抓包的网卡，这里选取这个网卡抓取数据包，如下图：图33)选择协议：在图3窗口中点击“Capture filter”如图4。

在Filter name 和Stringname后面的文本框中填写要分析的协议名称arp,然后点击“save”按钮，如图5。

再点击“ok”按钮，返回到图6界面。

图4图5图64)然后点击“OK”按钮，系统进入俘获网络分组界面，如图7.图75)点击“开始——运行”进入图8界面中，输入cmd命令，进入cmd.exe界面，输入ping指令和网络内部某个连接目标机的ip地址，例如图9所示ping 192.168.1.254.如图8如图9键入“arp –a”指令查看本机arp表中的内容，结构如图10所示。

实验协议分析软件Ethereal 的使用一、实验目的和要求：熟悉掌握Ethereal软件的使用,并应用该软件分析Ethernet帧以及高级协议，从而能够加深对TCP/IP 协议栈上的参与通信的网络数据包结构以及通信方式有进一步的了解。

二、实验内容和原理1. 安装windows下的Ethereal及WinPcap软件。

2. 捕捉任何主机发出的DIX Ethernet V2（即Ethernet II）格式的帧（帧的长度字段>1500, 帧的长度字段实际上是类型字段），Ethereal的capture 的options中capture filter设置为：ether[12:2] > 1500 观察并分析帧结构，Ethernet II的帧(ether[12:2] > 1500)的上一层主要是哪些PDU？是IP、LLC还是其它哪种？IP3. 捕捉并分析局域网上的所有ethernet broadcast帧，Ethereal的capture 的options中capture filter设置为：ether broadcast(1). 观察并分析哪些主机在发广播帧，这些帧的高层协议是什么？ARP(2). 你的LAN的共享网段上连接了多少台计算机？1分钟内有几个广播帧？有否发生广播风暴？92台4. 捕捉局域网上主机发出或接受的所有ARP包capture 的options中capture filter设置为：arp host ip (1)主机上执行“arp –d ”清除arp cache.(2)在主机上ping 局域网上的另一主机(3)观察并分析主机发出或接受的所有ARP包，及arp包结构。

5. IP 分组的结构固 定 部分 可变 部分0 48 16192431版 本 标志 生 存 时 间协 议标 识服 务 类 型总 长 度 片 偏 移填 充首 部 检 验 和源 地 址 目 的 地 址可 选 字 段 （长 度 可 变） 比特 首部长度 01 2 3 4 5 6 7 D T R C 未用 优 先 级数 据 部 分首 部6、UDP 报文伪首部源端口目的端口长 度检验和数 据首 部UDP 长度源 IP 地址目的 IP 地址17 IP 数据报字节12 2 2 2 2 字节 发送在前数 据首 部 UDP 用户数据报附：1、Ethernet II的帧结构字节46 ~ 1500 目的地址源地址类型数据FCS目的地址：01:00:5e:22:17:ea源地址：00:1e:90:75:af:4f类型数据2、IP分组的结构版本首部长度服务类型总长度标识标志固 定 部分 可变 部分0 48 16192431版 本 标志 生 存 时 间协 议标 识服 务 类 型总 长 度 片 偏 移填 充首 部 检 验 和源 地 址 目 的 地 址可 选 字 段 （长 度 可 变） 比特 首部长度 01 2 3 4 5 6 7 D T R C 未用 优 先 级数 据 部 分首 部片偏移生存时间协议首部检验和源地址目的地址可选字段 数据3、 ARP 的报文格式硬件地址长度协议类型 发送方IP 地址(八位组0-1) 目标硬件地址(八位组2-5) 目标IP 地址(八位组0-3)发送方硬件地址(八位组0-3)硬件类型操作发送方硬件地址(八位组4-5) 发送方IP 地址(八位组2-3)协议长度目标硬件地址(八位组0-1)* 硬件类型指明发送方想知道的硬件接口类型。

实验一协议分析软件Ethereal 入门基础一、实验目的和要求•了解网络协议分析器Ethereal的基本知识•掌握Ethereal安装过程•掌握使用Ethereal捕捉数据包的方法•能对捕获到的包简单分析•利用Ethereal对收到的数据包分析,加深课程知识的理解深度.二、实验内容安装Ethereal软件和相应的WinpCap软件，启动Ethereal并设置相应的选项，捕获一段记录。

并查看不同数据包使用的协议,以及不同协议的数据包格式中各字段的内容。

三、实验设备PC机、Ethereal软件、WinpCap软件四、背景知识Ethereal是一个著名的的网络端口探测器，是可以在各种计算机操作系统上运行的网络监听软件。

其功能是在一个共享的网络环境下对数据包进行捕捉和分析，而且还能够自由地为其增加某些插件以实现额外功能。

Ethernet网络监测工具可在实时模式或离线模式中用来捕获和分析网络通信。

下面是使用Ethereal 可以完成的几个工作：✧网络管理员使用它去帮助解决网络问题✧网络安全工程师用它去测试安全问题✧开发人员用它是调试协议的实现过程✧用它还可以帮助人员深入的学习网络协议下面是Ethereal 提供的一些特性：✧支持UNIX 平台和Windows 平台。

✧从网络接口上捕获实时数据包✧以非常详细的协议方式显示数据包✧可以打开或者存贮捕获的数据包✧导入/导出数据包，从/到其它的捕获程序✧按多种方式过滤数据包✧按多种方式查找数据包✧根据过滤条件，以不同的颜色显示数据包✧可以建立多种统计数据对于网络管理员来说，也可以通过捕包分析，来确定一些异常的流量和局域网内部的非正常用户与外界的通信，比如说对于现在比较占用网络带宽的诸如Bit Torrent 等P2P应用软件流量，通过使用该软件确定这些流量，网络管理员就可以使用流量控制(TC)的方法来规范、合理的分配带宽资源，提高网络的利用率。

五、实验步骤1、安装Ethereal和 WinpCap。

ethereal汉化版用法目录1 Ethereal介绍 51.1 Ethereal为何物？ 51.1.1 Ethereal可以帮人们做什么？ 51.1.2 界面功能 51.1.3 实时的从不同网络介质抓取数据包 6 1.1.4 导入来自其它抓包工具的文件 61.1.5 为其它抓包工具导出文件 61.1.6 丰富的协议解码器 71.1.7 开放源代码软件 71.1.8 Ethereal不能做什么？ 71.2 Ethereal运行平台 71.2.1 Unix 71.2.2 Linux 81.2.3 Microsoft Windows 81.3 那里可以得到ethereal? 81.4 Ethereal的读法 91.5 Ethereal的历史 91.6 Ethereal的设计和维护 91.7 问题报告和获得帮助 91.7.1 Web网站 91.7.2 WIKI 101.7.3 FAQ 101.7.4 邮件列表 101.7.5 问题报告 101.7.6 liunx/unix平台崩溃报告 111.7.7 Windows平台崩溃报告 112 编译和安装ethereal 112.1 介绍 112.2 获得ethereal源代码和应用发布版本 12 2.3 UNIX平台编译ethereal之前准备工作 12 2.4 UNIX平台编译ethereal源代码 132.5 UNIX平台应用版本安装 132.5.1 RedHat 的RPMs方式安装 142.5.2 Debian的安装方式 142.6 解决UNIX下安装失败问题 142.7 Windows下源代码的编译 142.8 Windows下Ethereal安装 142.8.1 安装ethereal 142.8.2 升级ethereal 152.8.3 卸载ethereal 153 用户操作界面 153.1 介绍 153.2 启动ethereal 153.3 ethereal主界面 153.4 “The Menu”主菜单 163.4.1 “File”文件菜单 183.4.2 “Edit”编辑菜单 193.4.3 “View”视图菜单 213.4.4 “GO”跳转菜单 233.4.5 “Capture”抓包菜单 243.4.6 “Analyze”分析菜单 243.4.7 “Statistics”统计报表菜单 263.4.8 “Help”帮助菜单 273.5 “Main”常用工具栏 283.6 “Filter Toolbar”显示过滤器工具栏 303.7 “Packet List”数据包列表窗格 313.8 “Packet Details”数据包信息树窗格 313.9 “Packet Bytes”数据包字节窗格 323.10 “Statusbar”状态栏 324 网络数据包实时抓取 334.1 介绍 334.2 使用Ethereal前的准备工作 334.3 如何开始抓包？ 334.4 “Capture Interfaces”抓包网络接口窗口 344.5 “Capture Options”抓包选项窗口 354.5.1 “Capture”抓包常规框 354.5.2 “Capture File(s)”数据包文件框 364.5.3 “Stop Capture…”停止抓包框 374.5.4 “Display Options”显示选型框 384.5.5 “Name Resolution”名称解析框 384.5.6 “Buttons”按键 394.6 数据包文件和文件模式 394.7 “Link-layer header type”链接层数据头类型 40 4.8 抓包过滤器 404.9 抓包状态信息窗口 424.9.1 停止抓包 424.9.2 重新开始抓取 435 数据包文件导入、导出和打印 435.1 介绍 435.2 “Open”打开数据包文件 435.2.1 “Open Capture File”打开数据包文件窗口 44 5.2.2 支持导入文件格式 455.3 “Save As”存储数据包 455.3.1 输出文件格式 465.4 “Merging”合并数据包文件 475.5 “File Sets”文件系 485.6 “Exporting”导出文件 495.6.1 “Exporting as Plain Text File”导出无格式文件 495.6.2 “Export as PostScript File”导出PS格式文件 505.6.3 “Export as CSV(Comma Seperated Values)File”导出CSV(逗号分割)文件 50 5.6.4 “Export as PSML File”导出PSML格式文件 515.6.5 “Export as PDML File”导出PDML格式文件 515.6.6 “Export selected packet bytes”导出被选择数据包数据 525.7 “Printing”打印数据包 535.8 “Packet Range”数据包范围窗格 556 数据包分析 556.1 如何查看数据包 556.2 显示过滤器 606.3 如何书写显示过滤器表达式 616.3.1 显示过滤器字段 616.3.2 比较操作的数据类型和操作符 626.3.3 组合表达式 626.3.4 显示过滤器常见误解 636.4 “Filter Expression”过滤器表达式窗口 646.5 定义和存储过滤器 656.6 搜索数据包 676.6.1 “Find Packet”搜索数据包窗口 676.6.2 “Find Next”寻找下一个 686.6.3 “Find Previous”寻找上一个 686.7 “GO”跳转 686.7.1 “Go Back”后退 686.7.2 “Go Forward”向前 686.7.3 “Go to Packet”跳转到 686.7.4 “Go to Corresponding Packet”跳转到相关数据包 696.7.5 “Go to First Packet”跳到第一个数据包 696.7.6 “Go to Last Packet”跳到最后一个数据包 696.8 标记数据包 696.9 时间显示格式和时间基准点 706.9.1 时间显示格式 706.9.2 时间基准点 707 高级工具 727.1 介绍 727.2 “Following TCP streams”跟踪TCP数据流 727.2.1 TCP数据流跟踪窗口 737.3 Time Stamps时间标记 747.3.1 Ethereal内部时间格式 747.3.2 数据包文件时间格式 747.3.3 时间正确性 747.4 时区问题 757.4.1 什么是时区？ 757.4.2 为你的计算机设置正确时间 757.4.3 Ethereal和时区 767.5 数据包重组 767.5.1 什么是数据包重组？ 767.5.2 Ethereal如何实现包重组 767.6 名称解析 777.6.1 以太网名称解析(MAC层) 777.6.2 IP名称解析（网络层） 787.6.3 IPX名称解析（网络层） 787.6.4 TCP/UDP端口名称解析（传输层） 787.7 确保数据完整性 787.7.1 Ethereal核对概要 797.7.2 硬件里的概要计算和确认 798 统计 798.1 介绍 798.2 “Summary”统计窗口 808.3 “Protocol Hierrrchy”协议层次统计窗口 81 8.4 “Endpoint”终端统计 828.4.1 Endpoint终端是什么？ 828.4.2 终端统计窗口 838.5 会话统计Conversations 838.5.1 什么是会话 838.5.2 会话窗口 838.6 IO曲线图窗口 858.7 服务响应时间统计 869 Ethereal客户配置 879.1 介绍 879.2 定义数据包颜色 879.3 控制协议解析器 899.3.1 “Enabled Protocols”协议解析开关窗口 89 9.3.2 用户配置解码 909.3.3 查看定义的解码方式 919.4 参数选择 921 Ethereal介绍1.1 Ethereal为何物？Ethereal是开源网络数据包分析软件。

安装网络协议分析仪ethereal先安装libpcap-devel软件包yum install libpcap-devel再从http://192.168.0.200/software 下载 ethereal-0.99.0.tar.bz2到 /tmpcd /tmptar xvjf ethereal-0.99.0.tar.bz2 cd ethereal-0.99.0./configure 配置若出现no accept c compiler,则执行system-config-packages添加开发工具和开发库。

注意修改系统日期和时间为正确的时间。

make 编译make install 安装ethereal& 启动ftp工作模式主动：在/etc/vsftpd/vsftpd.conf配置文件末添加：pasv_enable=NOport_enable=YES重启服务器service vsftpd restart启动ethereal&抓包分析被动：在/etc/vsftpd/vsftpd.conf将配置文件末内容改为：pasv_enable=YESpasv_max_port=60000 端口的范围pasv_min_port=50000port_enable=NO F重启服务器service vsftpd restart启动ethereal&抓包分析访问控制：修改/etc/hosts.deny内容为：ALL:ALL（拒绝所有的）试着访问ftp,能否成功？修改/etc/hosts.allow内容为：vsftpd:192.168.0.再访问ftp,能否成功？匿名用户上传在/etc/vsftpd/vsftpd.conf配置文件中，确保下述配置选项为YES,anonymous_enable=YESwrite_enable=YESanon_upload_enable=YESanon_mkdir_write_enable=YES存盘，重启服务打开终端，创建上传文件夹mkdir /var/ftp/upload修改访问权限任何人都可以写的chmod 777 /var/ftp/upload查看/etc/hosts/etc/sysconfig/network-scripts/ifcfg-eth0 /etc/resovl.conf文件内容使用pinghostdignslookupnetstatnmaproute命令两个同学配合甲同学：启动sshd服务service sshd start乙同学：ssh 甲同学服务器IP如果没有sshd服务，则安装openssh-serveryum install openssh-server访问控制（基于主机）mkdir /var/www/html/securevi /var/www/html/secure/index.html输入：this page is restricted.修改：/etc/httpd/conf/httpd.conf在末尾添加:<Directory "/var/www/html/secure"> AllowOverride AuthConfigOrder deny,allow#Allow from 192.168.0Deny from all</Directory>存盘，重启服务service httpd restart测试http://your ip/secure然后将#Allow from 192.168.0行#去除，允许192.168.0网络能访问。

Ethereal软件的安装与使用一、实验目的学会安装Ethereal软件，熟悉Ethereal，用ethereal来观察网络。

了解ethereal工具的使用方法。

了解使用ethereal抓包中各个字段的含义。

为进一步实验做准备。

二、实验内容Ethereal是一个开放源码的网络分析系统，也是目前最好的开放源码的网络协议分析器，支持Linux和Windows平台。

Ethereal起初由Gerald Combs开发，随后由一个松散的Etheral团队组织进行维护开发。

自从1998年发布最早的0.2版本至今，大量的志愿者为Ethereal添加新的协议解析器，如今Ethereal已经支持五百多种协议解析。

很难想象如此多的人开发的代码可以很好的融入系统中；并且在系统中加入一个新的协议解析器很简单，一个不了解系统的结构的新手也可以根据留出的接口进行自己的协议开发。

这都归功于Ehereal良好的设计结构。

事实上由于网络上各种协议种类繁多，各种新的协议层出不穷。

一个好的协议分析器必需有很好的可扩展性和结构，这样才能适应网络发展的需要不断加入新的协议解析器。

关于ethereal软件中option选项的说明：如下图所示。

●IP address:选择的网卡所对应的IP地址●Link-layer header type:数据链路层的协议，在以太网中一般是Ethernet II●Buffer size:数据缓存大小设定，默认是1M字节●Interface:选择采集数据包的网卡●Capture packets in promiscuous mode:设定在混杂模式下捕获数据，如果不选中，将只能捕获本机的数据通讯，默认情况下选中该项 Limit each packet to:设定只捕获数据包的前多少个字节（从以太网头开始计算），默认是68●Capture Filter:设定当前的数据包采集过滤器●File:设定数据包文件的保存位置和保存文件名，默认不保存●Use multiple files:启用多文件保存，默认不启用●Next file every:设定每个数据包文件的大小（单位是M，默认1M），只有启用Use multiple files后此项才可用●Next file every: 设定每个数据包文件的大小（单位是分钟，默认1分钟），只有启用Use multiple files后此项才可用●Ring buffer with:当保存多少个数据包文件后循环缓存，默认是2个文件，即保存2个数据包文件后丢弃缓存中的数据包，再添加新采集到的数据包●Stop capture after: 当保存多少个数据包文件后停止捕获，默认是1个文件Stop Capture 中●… after:捕获到多少个数据包后停止捕获，默认不启用，如启用，默认值是1●… after:捕获到多少M字节的数据包后停止捕获，默认不启用，如启用，默认值是1●… after:捕获多少分钟后停止捕获，默认不启用，如启用，默认值是1Display Options●Update list of packets in real time:实时更新捕获到的数据包列表信息●Automatic scrolling in live capture:对捕获到的数据包信息进行自动滚屏显示●Hide capture info dialog:隐藏捕获信息对话框Name Resolution●Enable MAC name resolution:把MAC地址前3位解析为相应的生产厂商●Enable network name resolution:启用网络地址解析，解析IP,IPX地址对应的主机名●Enable transport name resolution:启用端口名解析，解析端口号对应的端口名三、实验要求要求抓图（如下图），说明每一个字段的含义。

1、ethreal使用－入门ethreal可以用来从网络上抓包，并能对包进行分析。

下面介绍windows下面ethereal的使用方法安装1）安装winpcap，下载地址http://netgroup-serv.polito.it/winpcap/install/Default.htm2）安装ethreal，下载地址/使用windows程序，使用很简单。

启动ethreal以后，选择菜单Capature->Start，就OK了。

当你不想抓的时候，按一下stop，抓的包就会显示在面板中，并且已经分析好了。

下面是一个截图：2、ethereal使用－capture选项Interface: 指定在哪个接口（网卡）上抓包。

一般情况下都是单网卡，所以使用缺省的就可以了Limit each packet:限制每个包的大小，缺省情况不限制Capture packets in promiscuous mode:是否打开混杂模式。

如果打开，抓取所有的数据包。

一般情况下只需要监听本机收到或者发出的包，因此应该关闭这个选项。

Filter：过滤器。

只抓取满足过滤规则的包（可暂时略过）File：如果需要将抓到的包写到文件中，在这里输入文件名称。

use ring buffer：是否使用循环缓冲。

缺省情况下不使用，即一直抓包。

注意，循环缓冲只有在写文件的时候才有效。

如果使用了循环缓冲，还需要设置文件的数目，文件多大时回卷其他的项选择缺省的就可以了3、ethereal的抓包过滤器抓包过滤器用来抓取感兴趣的包，用在抓包过程中。

抓包过滤器使用的是libcap过滤器语言，在tcpdump的手册中有详细的解释，基本结构是：[not] primitive [and|or [not] primitive ...]个人观点，如果你想抓取某些特定的数据包时，可以有以下两种方法，你可以任选一种，个人比较偏好第二种方式：1、在抓包的时候，就先定义好抓包过滤器，这样结果就是只抓到你设定好的那些类型的数据包；2、先不管三七二十一，把本机收到或者发出的包一股脑的抓下来，然后使用下节介绍的显示过滤器，只让Ethereal显示那些你想要的那些类型的数据包；4、etheral的显示过滤器（重点内容）在抓包完成以后，显示过滤器可以用来找到你感兴趣的包，可以根据1)协议2)是否存在某个域3)域值4)域值之间的比较来查找你感兴趣的包。

Ethereal软件下载与安装手册Ethereal网址: /到Ethereal的站站后，点击download，接着选择要安装的系统平台，如Windows 或Linux，然后点击下载链接即可进行下载(例如Main site或Mirror site)。

Ethereal的安装非常简单，只要执行ethereal-setup-x.y.z.exe即可。

安装过程如下:选择预安装的选件，一般选择默认即可选择欲安装的目录勾选Install Winpcap 3.1 beta 4,WinPcap是libpcap library的Windows 版本。

Ethereal可透过WinPcap来劫取网络上的数据包。

Install WinPcap，因此在安装Ethereal的过程中也会一并安装WinPcap，不需要再另外安装。

出现这个画面后，接着按Next就可以看到Ethereal的执行画面了。

如下图所示：Ethereal的基本操作欲劫获网络上的数据包，只要指定网卡(Network Interface Cad)，接着按Capture即可。

按Capture后，Ethereal会开始统计目前所截获的数据包；如下图所示，欲停止只需按Stop即可。

下图为Ethera截取数据包的页面。

由上而下分別是功能表栏、工具栏截取数据包的列表以及封包的详细资料，最下面则是封包的內容，这时是以16进制及ASCII编码的方式来表示。

其中在封包列表这部份，最前面的编号代表收到封包的次序，其次是时间、来源地址、目的地址，最后则是协议的名称以及关于此封包的摘要信息。

另外，如果觉得截获的的封包数量太多的話，在抓取封包之前，可用Capture Filter的功能，选择想要过滤的协议即可。

若是想将截获到的数据包列表资料储存起来，可以执行[File]→[Save]或[Save As]将资料储存起来，存储对话框如下图所示：这些储存的数据包资料可以在以后执行[Open]来加以开启。

工业计算机网络实验报告
实验5：Ethereal 网络协议分析器的使用
一、实验目的：
1、了解协议分析器安装；
2、熟悉并掌握Ethereal的使用方法和基本操作；
3、掌握协议分析器分析协议的方法。

二、实验环境
与因特网连接的计算机网络系统；主机操作系统为Windows2000或Windows XP；Ethereal等
三、实验内容：
1、Ethereal的安装
安装ethereal需要先安装winpcap，安装过程如下：选择默认安装，安装完成后如下：
Ethereal安装完成如下图所示：
2、按附录文档学习和使用Ethereal 没有设置过滤规则时的运行界面
刚开始设置网卡信息，选择capture->options，选择默认设置即可，如下图：结果如下：
3、自己扑获网络活动，并形成一个数据文件，查看其特点。

例如捕获一个TCP数据包，查看其首部信息。

捕获进出192.168.7.10(本机ip)并且为qq发送接收的数据包，filter为：
Host 192.168.7.10 and udp
截图如下：
四、实验总结
通过本次试验对Ethereal有了一个大概的了解，网络分析对于某些方面是十分重要的，当网络出现问题时，可以及时的了解底层通信的细节。

Ethereal是开源的软件，学习ehtereal是很有必要的，但由于我的知识尚不够丰富，对于分析过滤的包还不是熟悉，还有待以后的进一步学习，学习技术最忌浮躁，所以不能着急，需要多加实践和动手操作才行，这方面仍需努力！。

Ethereal的安装 执行ethereal-setup-0.99.exe 即可。

安装过程如下:选择预安装的选件，一般选择默认即可选择安装的目录Ethereal 是透过WinPcap 来截取网络上的数据包。

如果当前系统未安装WinPcap，钩选Install WinPcap 3.1项安装完毕！Ethereal的基本使用Ethereal的程序窗口：由上而下分別是1) 菜单2) 快捷工具栏3) 俘获分组列表4) 被高亮选中的分组首部明细5) 以ASCII码和十六进制两种格式显示被俘获帧的完整内容。

一个完整的截取包过程：1．截取方式设置点击快捷方式中的“show the capture options”进行适当设置，其中：interface:选择本机网卡。

capture packets in promiscuous mode mode:是否打开混杂抓取模式。

如果打开，抓取所有的数据包。

如只需要监听本机收到、发出的包，则关闭这个选项。

Update list of packets in real time:实时显示抓取的分组列表。

设置完毕后，点Start开始截取数据包。

2．开始一个新截取点击快捷方式中的“start a new live capture” 开始截取数据包，此时可进行任意的网络连接行为（如通过IE访问一个网址），该窗口统计显示各类已俘获分组的数量。

点击“stop”则停止截获。

3.利用filter筛选数据包截包完毕后，在Filter中可输入筛选条件（书写过程中输入框背景为绿色时，表示筛选条件书写合法，红色则说明条件不合法），回车或选择“Apply”后对俘获分组列表进行筛选，筛选条件如：http：选择http协议包，同样也可输入dns，ftp等ip.src == 61.190.86.132：选择从61.190.86.132发出的数据包ip.dst == 61.190.86.132：选择发向61.190.86.132的数据包ip.src == 61.190.86.132 and http：选择从61.190.86.132发出的http数据包Ethereal筛选条件书写方式为类C，用==,!=,>,<,>=,<=限制条件，用and、or连接选择条件。

网络监听工具Ethereal使用说明1.1 Ethereal简介Ethereal是一款免费的网络协议分析程序，支持Unix、Windows。

借助这个程序，你既可以直接从网络上抓取数据进行分析，也可以对由其他嗅探器抓取后保存在硬盘上的数据进行分析。

你能交互式地浏览抓取到的数据包，查看每一个数据包的摘要和详细信息。

Ethereal有多种强大的特征，如支持几乎所有的协议、丰富的过滤语言、易于查看TCP会话经重构后的数据流等。

它的主要特点为：·支持Unix系统和Windows系统·在Unix系统上，可以从任何接口进行抓包和重放·可以显示通过下列软件抓取的包·tcpdump·Network Associates Sniffer and Sniffer Pro·NetXray·Shomiti·AIX’s iptrace·RADCOM & RADCOM’s WAN/LAN Analyzer·Lucent/Ascend access products·HP-UX’s nettl·Toshiba’s ISDN routers·ISDN4BSD i4btrace utility·Microsoft Network Monitor·Sun snoop·将所抓得包保存为以下格式：·libpcap (tcpdump)·Sun snoop·Microsoft Network Monitor·Network Associates Sniffer∙可以根据不同的标准进行包过滤∙通过过滤来查找所需要的包∙根据过滤规则，用不同的颜色来显示不同的包∙提供了多种分析和统计工具，实现对信息包的分析图1-1 Ethereal抓包后直观图图1是Ethereal软件抓包后的界面图，我们可以根据需要，对所抓得包进行分析。

Ethereal在solaris下的安装和使用方法1．背景：Ethereal是一个很有效的抓包工具，在问题定位方面有非常重要的意义。

Wap gateway，MMSC等还在走向成熟的产品在调试过程中，需要用此工具抓包，将现场的消息反馈给研发辅助他们分析。

本文介绍的安装环境是SUN BLADE 20002．安装包的组成：安装Ethereal除了本身安装包以外，还有其他的几个支持包需要安装，总共需要安装的文件有：gtk+-1.2.10-sol8-sparc-localglib-1.2.8-sol8-sparc-locallibpcap-0.7.2-sol8-sparc-localethereal-0.9.0-sol8-sparc-local获取方法：在上面下载ethereal-0.9.0-sol8-sparc-local.gzgtk+-1.2.10-sol8-sparc-local.gzglib-1.2.10.tar.gzlibpcap-0.7.2-sol8-sparc-local.gz3．安装步骤（红色粗体为需要执行或者需要输入的命令）：上面下载的四个包是压缩包，安装时先用gzip –d *.gz 将这4个包解压.然后切换到root 用户下进行安装.a．安装gtk+：找到gtk+-1.2.10-sol8-sparc-local包，运行安装：# pkgadd -d ./gtk+-1.2.10-sol8-sparc-localThe following packages are available:1 SMCgtk+ gtk+(sparc) 1.2.10Select package(s) you wish to process (or 'all' to processall packages). (default: all) [?,??,q]: allProcessing package instance <SMCgtk+> from </install/ethereal/gtk+-1.2.10-sol8-sparc-local>gtk+(sparc) 1.2.10GTK GroupUsing </usr/local> as the package base directory.## Processing package information.## Processing system information.## Verifying disk space requirements.## Checking for conflicts with packages already installed.The following files are already installed on the system and are beingused by another package:* /usr/local/bin <attribute change only>* - conflict with a file which does not belong to any package.Do you want to install these conflicting files [y,n,?,q] y## Checking for setuid/setgid programs.Installing gtk+ as <SMCgtk+>## Installing part 1 of 1./usr/local/bin/gtk-config/usr/local/doc/gtk+/ABOUT-NLS/usr/local/doc/gtk+/AUTHORS…………………………………………//过程中会显示出很多解压信息，不用管他，最后提示successful就行了usr/local/lib/locale/zh_TW.Big5/LC_MESSAGES/gtk+.mo/usr/local/lib/pkgconfig/gdk.pc/usr/local/lib/pkgconfig/gtk+.pc/usr/local/man/man1/gtk-config.1/usr/local/share/aclocal/gtk.m4/usr/local/share/themes/Default/gtk/gtkrc[ verifying class <none> ]Installation of <SMCgtk+> was successful.b．安装glib-1.2.8-sol8-sparc-local# pkgadd -d ./glib-1.2.8-sol8-sparc-localThe following packages are available:1 SMCglib glib(sparc) 1.2.8Select package(s) you wish to process (or 'all' to processall packages). (default: all) [?,??,q]: allProcessing package instance <SMCglib> from </install/ethereal/glib-1.2.8-sol8-sparc-local>glib(sparc) 1.2.8GLib TeamUsing </usr/local> as the package base directory.## Processing package information.## Processing system information.9 package pathnames are already properly installed.## Verifying disk space requirements.## Checking for conflicts with packages already installed.## Checking for setuid/setgid programs.Installing glib as <SMCglib>## Installing part 1 of 1./usr/local/bin/glib-config/usr/local/doc/glib/AUTHORS/usr/local/doc/glib/COPYING/usr/local/doc/glib/ChangeLog…………………………………………//过程中会显示出很多解压信息，不用管他，最后提示successful就行了/usr/local/lib/libgthread.so <symbolic link>/usr/local/man/man1/glib-config.1/usr/local/share/aclocal/glib.m4[ verifying class <none> ]Installation of <SMCglib> was successful.#c．安装libpcap-0.7.2-sol8-sparc-localroot@mmsc # pkgadd -d ./libpcap-0.7.2-sol8-sparc-localThe following packages are available:1 SMClpcap libpcap(sparc) 0.7.2Select package(s) you wish to process (or 'all' to processall packages). (default: all) [?,??,q]: allProcessing package instance <SMClpcap> from </install/ethereal/libpcap-0.7.2-sol8-sparc-local>libpcap(sparc) 0.7.2The Tcpdump GroupUsing </usr/local> as the package base directory.## Processing package information.## Processing system information.4 package pathnames are already properly installed.## Verifying disk space requirements.## Checking for conflicts with packages already installed.## Checking for setuid/setgid programs.Installing libpcap as <SMClpcap>## Installing part 1 of 1./usr/local/doc/libpcap/CHANGES/usr/local/doc/libpcap/CREDITS…………………………………………//过程中会显示出很多解压信息，不用管他，最后提示successful就行了/usr/local/doc/libpcap/CVS/Repository/usr/local/lib/libpcap.a/usr/local/man/man3/pcap.3[ verifying class <none> ]Installation of <SMClpcap> was successful.#d．安装ethereal-0.9.0-sol8-sparc-localroot@mmsc # pkgadd -d ./ethereal-0.9.0-sol8-sparc-localThe following packages are available:1 SMCether ethereal(sparc) 0.9.0Select package(s) you wish to process (or 'all' to processall packages). (default: all) [?,??,q]: allProcessing package instance <SMCether> from </install/ethereal/ethereal-0.9.0-sol8-sparc-local>ethereal(sparc) 0.9.0Gerald Combs, Gilbert Ramirez, Guy HarrisUsing </usr/local> as the package base directory.## Processing package information.## Processing system information.6 package pathnames are already properly installed.## Verifying disk space requirements.## Checking for conflicts with packages already installed.## Checking for setuid/setgid programs.Installing ethereal as <SMCether>## Installing part 1 of 1./usr/local/bin/editcap/usr/local/bin/ethereal/usr/local/bin/idl2eth/usr/local/doc/ethereal/README.hpux/usr/local/doc/ethereal/README.irix/usr/local/doc/ethereal/README.linux/usr/local/doc/ethereal/README.tru64…………………………………………//过程中会显示出很多解压信息，不用管他，最后提示successful就行了/usr/local/doc/ethereal/README.vmware/usr/local/doc/ethereal/README.win32/usr/local/doc/ethereal/TODO/usr/local/doc/ethereal/doc/Makefile/usr/local/doc/ethereal/doc/Makefile.am/usr/local/doc/ethereal/doc/randpkt.txt/usr/local/man/man1/text2pcap.1[ verifying class <none> ]Installation of <SMCether> was successful.#4．Ethereal的使用：Ethereal需要使用root用户才能抓到包。

用Ethereal分析协议数据包Ethereal是一个图形用户接口（GUI）的网络嗅探器，能够完成与Tcpdump相同的功能，但操作界面要友好很多。

Ehtereal和Tcpdump都依赖于pcap库（libpcap），因此两者在许多方面非常相似（如都使用相同的过滤规则和关键字）。

Ethereal和其它图形化的网络嗅探器都使用相同的界面模式，如果能熟练地使用Ethereal，那么其它图形用户界面的嗅探器基本都可以操作。

1. Ethereal的安装由于Ethereal需要WinPcap库, 所以先安装WinPcap_2_3.exe, 再安装Ethereal.exe。

2. 设置Ethereal的过滤规则当编译并安装好Ethereal后，就可以执行“ethereal”命令来启动Ethereal。

在用Ethereal截获数据包之前，应该为其设置相应的过滤规则，可以只捕获感兴趣的数据包。

Ethereal使用与Tcpdump相似的过滤规则(详见下面的“5.过滤规则实例”)，并且可以很方便地存储已经设置好的过滤规则。

要为Ethereal 配置过滤规则，首先单击“Edit”选单，然后选择“Capture Filters...”菜单项，打开“Edit Capture Filter List”对话框（如图1所示）。

因为此时还没有添加任何过滤规则，因而该对话框右侧的列表框是空的。

图1 Ethereal过滤器配置对话框在Ethereal中添加过滤器时，需要为该过滤器指定名字及规则。

例如，要在主机10.1.197.162和间创建过滤器，可以在“Filter name”编辑框内输入过滤器名字“sohu”，在“Filter string”编辑框内输入过滤规则“host 10.1.197.162 and ”，然后单击“New”按钮即可，如图2所示。

图2 为Ethereal添加一个过滤器在Ethereal中使用的过滤规则和Tcpdump几乎完全一致，这是因为两者都基于pcap库的缘故。

1.双击WinPcap_3_0.exe. 根据提示安装，直到完整。

2.双击ethereal-setup-0.10.7.exe 根据提示安装，直到完整。

这时桌面上出现这个图标
3.双击这个图标，出现
图标。

再点击红色线条指示的图标
4.出现
6.出现数据包的内容：
7.停止抓包，点击，出现如下图
8.保存数据包。

按照深色提示选择保存
9.在name这里写上数据包的名称，自己取名。

然后按照红色图标上的提示选上你要保存的数据包的位置。

最后点击save保存。

注意事项：
用来抓数据包的电脑和用来被抓数据包的设备必须在插在同一交换机或集线器上。

否则不能准确抓到你要抓的数据包。