Ethereal的介绍
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
Ethereal同时也提供了一个方便的Add Expression按钮,其中包含 了许多可用的表达式,可以利用这个可选择的菜单来帮助你创建 一个表达式。 表达式列表中包含了许多协议,包括链路层协议、网络层协议、 传输层协议和应用层协议。在每个协议之下,有基于各种协议元 素的过滤选项。
编写高效的颜色过滤器需要精通所用的协议。同样也有一组与帧 自身相关的过滤器。在跟踪中可以基于帧的到达时间,甚至是在 跟踪记录中分组的序号来过滤。
进行分组捕获
点击capture菜单,在“Interface”选项中 选择一个合适的接口,如果你的主机有 多块网卡, 要选择你现在正在使用的网卡。 如果两个都在使用, 那么要选择你需要捕 获数据的那个特定网卡。其余选项保持 默认配置。点击“OK”,系统开始捕获数 据。当点击“Stop”时,系统停止捕获数 据并将已经捕获的数据装载在分析系统 中。
Option选项的介绍
在捕获分组时,你可以不使用默认项, 而自己定义所捕获的内容,例如捕获的 时间、捕获分组的长度等,此时可以在 option选项中进行设置。当选择option时, 出现一个菜单(这个选项我们以后经常要 用到的)。
Interface: 接口选项
Interface: 接口选项, 如果你的主机有多 块网卡, 要选择你现在正在使用的网卡。 如果两个都在使用, 那么要选择你需要捕 获数据的那个特定网卡。 Ip address: 当你选择好网卡后Ethereal 会自动识别你这块网卡目前的ip地址。
颜色过滤器
一旦定义了颜色过滤器,就可以在任何时刻返回到Coloring Rules对话框中进行编辑。你也可以添加多个过滤器。这些过滤器 按其在Coloring Rules对话框中出现的顺序进行计算。一旦给定的 分组与一条规则匹配就不必对其他任何规则进行计算。如果一个 分组与多条规则匹配,分组只需要响应第一个匹配的规则,因此 当输入多条规则的时候,将最具代表性的一条放在第一位。你可 以将颜色过滤器导出到一个文件中,并在分析其他跟踪记录的时 候导入它们。我们推荐你定制一个个人的颜色过滤器文件,以便 快速地分析跟踪记录。
原始框
原始框是协议框中各个协议字段具体数 据的十六进制表示。当你点击第二个窗 口里的某一具体的字段,在第三个窗口 里就会显示这个字段内的数据。
协议层次统计
在Statistics菜单中选择Protocol Hierarchy选项,它按照协议在协议栈中 出现的顺序把在分组中使用过的所有协 议罗列出来。在Packets栏和Bytes栏中出 现了指定协议的分组的信息。
颜色过滤器
颜色过滤器以指定颜色显示匹配的分组 而不是从显示中除去不匹配的分组。 显示过滤器和颜色过滤器使用相同的表 达式语言,而捕获过滤器则使用不同的 语言。
颜色过滤器
捕获过滤器能够帮助我们将精力放在那 些感兴趣的分组上,从而有助于减小跟 踪记录的大小。 但是,面对跟踪记录,可能还需要一些 其他方法对其进行理解和分类。这正是 颜色过滤器的作用。
进行协议分析
停止抓包后,在协议分析窗口中,可以看到捕 获的分组数据。此时会出现三个方框。 当选中主窗口最上面方框中的一个分组时,下 面的两个方框显示了所选分组的细节。
跟踪列表框(跟踪框) 协议框 原始分组框(原始框)
列表框
第一个窗口是所抓包的列表,罗列了从 开始到停止Ethereal软件抓到的数据包。 在窗口的上部,有帧编号(No)、时间 (Time)、源地址(Source)、目的地 址(Destination)、协议(Protocol)和 信息(Info)等列,各列下方依次排列着 捕获的分组。
显示过滤器
显示与用户指定的表达式匹配的分组, 以此来限制分组的显示。 显示过滤器与捕获过滤器大体上相似, 但显示过滤器仅改变跟踪记录被显示的 方式而不是改变跟踪记录的内容。
显示过滤器
在许多方面,显示过滤器就是捕获过滤器与颜色过滤器的交叉。 它们使用与颜色过滤器相同的语言,而且并不删除或者忽略跟踪 中的分组,这也和颜色过滤器一样。然而,就像捕获过滤器一样, 它们会去除不匹配的分组。它能帮你把全部的注意力都放在感兴 趣的通信流上面,但也会失去与周围通信流的关联。 在Ethereal主窗口中,显示过滤器可以在Filter文本框中直接输入。 例如,如果我们输入一个和颜色过滤器一样的过滤器,只有那些 有颜色的分组才会显示出来。只有分组编号栏(如1289-1293)中的 间隔说明完整跟踪记录中还有其他分组。要应用一个新的过滤器, 在Filter文本框中写入内容并选择Apply;要重新显示整个完整的 跟踪记录,就选择Clear。
名字解析(NameResolution)
名字解析可以要求Ethereal把分组中不同的数 字翻译成人们易读的名字。
Enable MAC name resolution: 启动MAC名字解析, Ethereal会把MAC地址前3字节解析为生产厂商的名 字。 Enable network name resolution: 启用网络名称解 析, Ethereal会把IP地址解析为对应的主机名。 Enable transport name resolution: 启用传输名称 解析, Ethereal会把那些知名端口号解析成对应的 协议。
协议框
协议框给出选中的某帧的详细内容,是每个包 从数链层往上到应用层使用的所有协议:
物理层帧 以太网帧 IP数据报 TCP段或UDP数据报 应用层协议
当你在第一个窗口点中一个包,在第二个窗口 就会看见它应用到的各个协议的具体情况,比 如ip报头里面的每个字段的作用都可以显示。
可以使用关键字dst host来进一步限制捕获发送到该地址的分组,或 是使用关键字src host来限制捕获从该地址发出的分组。 可以使用关键字ether host、 ether src、ether dst基于以太网地址进 行过滤。 也可以使用net、src net、dst net选择捕获发送到一个网络或从一个 网络发出的分组。 可以使用src port、dst port分离出含有特定端口号的分组。这将是一 个集中考察特定应用的好方法,例如80号端口是一个HTTP端口。 可以使用关键字tcp来分离出TCP分组,实验udp分离出UDP分组。
显示选项(Display Options)
默认情况下,分组的显示与它们被捕获 时的状态不一样,因为在网络活动量很 高的时候,要想同步显示是很困难的 。
源自文库
Update list of packets in real time: 实时更 新捕获到的数据包列表信息。 Automatic scrolling in live capture: 对捕获 到的数据包信息进行自动滚屏显示。 Hide capture info dialog: 隐藏捕获信息对话 框。
混杂模式下捕获分组 (capture packets in promiscuous mode)
选择捕获包的模式是否为混杂模式 如果你的计算机在一个共享网段(如以太网), 网络接口将能探测到所有的分组 选中混杂模式时,将记录所在网络所有的数据 包,包括那些并非发往你的机器的分组。 不选中混杂模式时,仅接收发往本接口的数据 包。
Ethereal的介绍
网络协议分析软件 Wireshark 与 Ethereal
Wireshark(原名Ethereal)是目前世界上最受欢迎的协议分析软件,利用它可将捕获到的 各种各样协议的网络二进制数据流翻译为人们容易读懂和理解的文字和图表等形式,极大 地方便了对网络活动的监测分析和教学实验。它有十分丰富和强大的统计分析功能,可在 Windows,Linux 和UNIX等系统上运行。此软件于1998年由美国Gerald Combs首创研发, 原名Ethereal,至今世界各国已有100多位网络专家和软件人员正在共同参与此软件的升级 完善和维护。它的名称于2006年5月由原Ethereal改为Wireshark。至今它的更新升级速度 大约每2~3个月推出一个新的版本,2007年9月时的版本号为0.99.6。但是升级后软件的 主要功能和使用方法保持不变。它是一个开源代码的免费软件,任何人都可自由下载,也 可参与共同开发。 Wireshark网络协议分析软件可以十分方便直观地应用于计算机网络原理和网络安全的教学 实验,网络的日常安全监测,网络性能参数测试,网络恶意代码的捕获分析,网络用户的 行为监测,黑客活动的追踪等。因此它在世界范围的网络管理专家,信息安全专家,软件 和硬件开发人员中,以及美国的一些知名大学的网络原理和信息安全技术的教学、科研和 实验工作中得到广泛的应用。
安装网络协议分析仪Ethereal
1) 安装WinPcap。网络协议分析仪 Ethereal的运行需要软件 WinPcap(wpcap.dll)的支持,因此安装 Ethereal前必须安装WinPcap,否则会出 现错误。 2) 双击安装Ethereal。
启动Ethereal
点击“Ethereal”图标,将会出现系统操 作界面。
捕获过滤器(capture filter)
capture filter: 捕获过滤器,用来定义你 要捕获的数据包的类型,可以限制捕获 的数据量。只有那些匹配过滤器规则的 分组才会被记录。 注意:一般情况下在开始捕获时不要进 行选择,以免将来捕获的包不完全, 影响 分析结果。
捕获文件(capture files)
颜色过滤器
在View菜单中我们可以在Coloring Rules 对话框中指定一组表达 式和它们对应的显示特性。开始没有显示颜色规则,你可以创建 一个新规则,也可以对已有的规则进行编辑。创建新规则时,你 必须为新规则输入一个名字和一个显示过滤器表达式。同时必须 通过选择前景(或字体)色和背景色来指定匹配这些规则的分组如 何显示。
捕获过滤器
可以使用and、or和not等关键字对单个捕获过 滤器进行组合。
举例来讲,表达式((host 192.168.0.101)and not port 80)的作用就是捕获所有向192.168.0.101发送 和从192.168.0.101发出的非HTTP通信。
所输入的捕获过滤器可以被保存起来,以便以 后使用。保存的过滤器存放在一个称为cfilters 的本地配置文件中。如果在—个文本编译器中 将其打开,你会发现这些格式一目了然。
capture files:指定将捕获的分组保存在一个文 件中。 Use multiple files: 启用多文件保存,默认不启 用。 Next file every: 设定每个数据包文件的大小 (单位是M,默认1M),只有启用Use multiple files后此项才可用。 Ring buffer with: 当保存多少个数据包文件后 循环缓存,默认是2个文件,即保存2个数据包 文件后丢弃缓存中的数据包,再添加新采集到 的数据包。
例如,输入一个过滤器((tcp.dstport==80)||(tcp.srcport==80)), 并称它为“HTTPcolor‘’。改变背景色和前景色或是字体颜色。
应用这个过滤器时,在列表框中所有的HTTP数据都会突出显示。
颜色过滤器
在Edit Color Filter对话框的String的方框里我们可以手动输入过滤 内容。
捕获过滤器
Ethereal允许通过指定捕获过滤器来减小 跟踪的大小。 捕获过滤器是一个指定哪些分组应该被 记录的表达式,而其他分组则会全部被 简单的丢弃。 Ethereal中,捕获过滤器的语言来源于一 个名为tcpdump的程序,这是一个基于 命令行的网络协议分析器。
捕获过滤器
例:指定的捕获过滤器为host 192.168.0.10l。这个过滤器将捕获限为 那些发送到IP地址192.168.0.101或由该IP地址发出的分组。
limit each packet to N bytes ( 限制捕获包的大小)
Ethereal能够捕获整个分组(数据和首 部)。但一般数据会占据大多数的空间, 而通常首部包含了最有用的信息。 如果不打算观察数据,可以只捕获首部。 此时需要计算出感兴趣的首部的最大长度, 并以此来捕获(一般的报头在68字节之内)。
编写高效的颜色过滤器需要精通所用的协议。同样也有一组与帧 自身相关的过滤器。在跟踪中可以基于帧的到达时间,甚至是在 跟踪记录中分组的序号来过滤。
进行分组捕获
点击capture菜单,在“Interface”选项中 选择一个合适的接口,如果你的主机有 多块网卡, 要选择你现在正在使用的网卡。 如果两个都在使用, 那么要选择你需要捕 获数据的那个特定网卡。其余选项保持 默认配置。点击“OK”,系统开始捕获数 据。当点击“Stop”时,系统停止捕获数 据并将已经捕获的数据装载在分析系统 中。
Option选项的介绍
在捕获分组时,你可以不使用默认项, 而自己定义所捕获的内容,例如捕获的 时间、捕获分组的长度等,此时可以在 option选项中进行设置。当选择option时, 出现一个菜单(这个选项我们以后经常要 用到的)。
Interface: 接口选项
Interface: 接口选项, 如果你的主机有多 块网卡, 要选择你现在正在使用的网卡。 如果两个都在使用, 那么要选择你需要捕 获数据的那个特定网卡。 Ip address: 当你选择好网卡后Ethereal 会自动识别你这块网卡目前的ip地址。
颜色过滤器
一旦定义了颜色过滤器,就可以在任何时刻返回到Coloring Rules对话框中进行编辑。你也可以添加多个过滤器。这些过滤器 按其在Coloring Rules对话框中出现的顺序进行计算。一旦给定的 分组与一条规则匹配就不必对其他任何规则进行计算。如果一个 分组与多条规则匹配,分组只需要响应第一个匹配的规则,因此 当输入多条规则的时候,将最具代表性的一条放在第一位。你可 以将颜色过滤器导出到一个文件中,并在分析其他跟踪记录的时 候导入它们。我们推荐你定制一个个人的颜色过滤器文件,以便 快速地分析跟踪记录。
原始框
原始框是协议框中各个协议字段具体数 据的十六进制表示。当你点击第二个窗 口里的某一具体的字段,在第三个窗口 里就会显示这个字段内的数据。
协议层次统计
在Statistics菜单中选择Protocol Hierarchy选项,它按照协议在协议栈中 出现的顺序把在分组中使用过的所有协 议罗列出来。在Packets栏和Bytes栏中出 现了指定协议的分组的信息。
颜色过滤器
颜色过滤器以指定颜色显示匹配的分组 而不是从显示中除去不匹配的分组。 显示过滤器和颜色过滤器使用相同的表 达式语言,而捕获过滤器则使用不同的 语言。
颜色过滤器
捕获过滤器能够帮助我们将精力放在那 些感兴趣的分组上,从而有助于减小跟 踪记录的大小。 但是,面对跟踪记录,可能还需要一些 其他方法对其进行理解和分类。这正是 颜色过滤器的作用。
进行协议分析
停止抓包后,在协议分析窗口中,可以看到捕 获的分组数据。此时会出现三个方框。 当选中主窗口最上面方框中的一个分组时,下 面的两个方框显示了所选分组的细节。
跟踪列表框(跟踪框) 协议框 原始分组框(原始框)
列表框
第一个窗口是所抓包的列表,罗列了从 开始到停止Ethereal软件抓到的数据包。 在窗口的上部,有帧编号(No)、时间 (Time)、源地址(Source)、目的地 址(Destination)、协议(Protocol)和 信息(Info)等列,各列下方依次排列着 捕获的分组。
显示过滤器
显示与用户指定的表达式匹配的分组, 以此来限制分组的显示。 显示过滤器与捕获过滤器大体上相似, 但显示过滤器仅改变跟踪记录被显示的 方式而不是改变跟踪记录的内容。
显示过滤器
在许多方面,显示过滤器就是捕获过滤器与颜色过滤器的交叉。 它们使用与颜色过滤器相同的语言,而且并不删除或者忽略跟踪 中的分组,这也和颜色过滤器一样。然而,就像捕获过滤器一样, 它们会去除不匹配的分组。它能帮你把全部的注意力都放在感兴 趣的通信流上面,但也会失去与周围通信流的关联。 在Ethereal主窗口中,显示过滤器可以在Filter文本框中直接输入。 例如,如果我们输入一个和颜色过滤器一样的过滤器,只有那些 有颜色的分组才会显示出来。只有分组编号栏(如1289-1293)中的 间隔说明完整跟踪记录中还有其他分组。要应用一个新的过滤器, 在Filter文本框中写入内容并选择Apply;要重新显示整个完整的 跟踪记录,就选择Clear。
名字解析(NameResolution)
名字解析可以要求Ethereal把分组中不同的数 字翻译成人们易读的名字。
Enable MAC name resolution: 启动MAC名字解析, Ethereal会把MAC地址前3字节解析为生产厂商的名 字。 Enable network name resolution: 启用网络名称解 析, Ethereal会把IP地址解析为对应的主机名。 Enable transport name resolution: 启用传输名称 解析, Ethereal会把那些知名端口号解析成对应的 协议。
协议框
协议框给出选中的某帧的详细内容,是每个包 从数链层往上到应用层使用的所有协议:
物理层帧 以太网帧 IP数据报 TCP段或UDP数据报 应用层协议
当你在第一个窗口点中一个包,在第二个窗口 就会看见它应用到的各个协议的具体情况,比 如ip报头里面的每个字段的作用都可以显示。
可以使用关键字dst host来进一步限制捕获发送到该地址的分组,或 是使用关键字src host来限制捕获从该地址发出的分组。 可以使用关键字ether host、 ether src、ether dst基于以太网地址进 行过滤。 也可以使用net、src net、dst net选择捕获发送到一个网络或从一个 网络发出的分组。 可以使用src port、dst port分离出含有特定端口号的分组。这将是一 个集中考察特定应用的好方法,例如80号端口是一个HTTP端口。 可以使用关键字tcp来分离出TCP分组,实验udp分离出UDP分组。
显示选项(Display Options)
默认情况下,分组的显示与它们被捕获 时的状态不一样,因为在网络活动量很 高的时候,要想同步显示是很困难的 。
源自文库
Update list of packets in real time: 实时更 新捕获到的数据包列表信息。 Automatic scrolling in live capture: 对捕获 到的数据包信息进行自动滚屏显示。 Hide capture info dialog: 隐藏捕获信息对话 框。
混杂模式下捕获分组 (capture packets in promiscuous mode)
选择捕获包的模式是否为混杂模式 如果你的计算机在一个共享网段(如以太网), 网络接口将能探测到所有的分组 选中混杂模式时,将记录所在网络所有的数据 包,包括那些并非发往你的机器的分组。 不选中混杂模式时,仅接收发往本接口的数据 包。
Ethereal的介绍
网络协议分析软件 Wireshark 与 Ethereal
Wireshark(原名Ethereal)是目前世界上最受欢迎的协议分析软件,利用它可将捕获到的 各种各样协议的网络二进制数据流翻译为人们容易读懂和理解的文字和图表等形式,极大 地方便了对网络活动的监测分析和教学实验。它有十分丰富和强大的统计分析功能,可在 Windows,Linux 和UNIX等系统上运行。此软件于1998年由美国Gerald Combs首创研发, 原名Ethereal,至今世界各国已有100多位网络专家和软件人员正在共同参与此软件的升级 完善和维护。它的名称于2006年5月由原Ethereal改为Wireshark。至今它的更新升级速度 大约每2~3个月推出一个新的版本,2007年9月时的版本号为0.99.6。但是升级后软件的 主要功能和使用方法保持不变。它是一个开源代码的免费软件,任何人都可自由下载,也 可参与共同开发。 Wireshark网络协议分析软件可以十分方便直观地应用于计算机网络原理和网络安全的教学 实验,网络的日常安全监测,网络性能参数测试,网络恶意代码的捕获分析,网络用户的 行为监测,黑客活动的追踪等。因此它在世界范围的网络管理专家,信息安全专家,软件 和硬件开发人员中,以及美国的一些知名大学的网络原理和信息安全技术的教学、科研和 实验工作中得到广泛的应用。
安装网络协议分析仪Ethereal
1) 安装WinPcap。网络协议分析仪 Ethereal的运行需要软件 WinPcap(wpcap.dll)的支持,因此安装 Ethereal前必须安装WinPcap,否则会出 现错误。 2) 双击安装Ethereal。
启动Ethereal
点击“Ethereal”图标,将会出现系统操 作界面。
捕获过滤器(capture filter)
capture filter: 捕获过滤器,用来定义你 要捕获的数据包的类型,可以限制捕获 的数据量。只有那些匹配过滤器规则的 分组才会被记录。 注意:一般情况下在开始捕获时不要进 行选择,以免将来捕获的包不完全, 影响 分析结果。
捕获文件(capture files)
颜色过滤器
在View菜单中我们可以在Coloring Rules 对话框中指定一组表达 式和它们对应的显示特性。开始没有显示颜色规则,你可以创建 一个新规则,也可以对已有的规则进行编辑。创建新规则时,你 必须为新规则输入一个名字和一个显示过滤器表达式。同时必须 通过选择前景(或字体)色和背景色来指定匹配这些规则的分组如 何显示。
捕获过滤器
可以使用and、or和not等关键字对单个捕获过 滤器进行组合。
举例来讲,表达式((host 192.168.0.101)and not port 80)的作用就是捕获所有向192.168.0.101发送 和从192.168.0.101发出的非HTTP通信。
所输入的捕获过滤器可以被保存起来,以便以 后使用。保存的过滤器存放在一个称为cfilters 的本地配置文件中。如果在—个文本编译器中 将其打开,你会发现这些格式一目了然。
capture files:指定将捕获的分组保存在一个文 件中。 Use multiple files: 启用多文件保存,默认不启 用。 Next file every: 设定每个数据包文件的大小 (单位是M,默认1M),只有启用Use multiple files后此项才可用。 Ring buffer with: 当保存多少个数据包文件后 循环缓存,默认是2个文件,即保存2个数据包 文件后丢弃缓存中的数据包,再添加新采集到 的数据包。
例如,输入一个过滤器((tcp.dstport==80)||(tcp.srcport==80)), 并称它为“HTTPcolor‘’。改变背景色和前景色或是字体颜色。
应用这个过滤器时,在列表框中所有的HTTP数据都会突出显示。
颜色过滤器
在Edit Color Filter对话框的String的方框里我们可以手动输入过滤 内容。
捕获过滤器
Ethereal允许通过指定捕获过滤器来减小 跟踪的大小。 捕获过滤器是一个指定哪些分组应该被 记录的表达式,而其他分组则会全部被 简单的丢弃。 Ethereal中,捕获过滤器的语言来源于一 个名为tcpdump的程序,这是一个基于 命令行的网络协议分析器。
捕获过滤器
例:指定的捕获过滤器为host 192.168.0.10l。这个过滤器将捕获限为 那些发送到IP地址192.168.0.101或由该IP地址发出的分组。
limit each packet to N bytes ( 限制捕获包的大小)
Ethereal能够捕获整个分组(数据和首 部)。但一般数据会占据大多数的空间, 而通常首部包含了最有用的信息。 如果不打算观察数据,可以只捕获首部。 此时需要计算出感兴趣的首部的最大长度, 并以此来捕获(一般的报头在68字节之内)。