Ethereal软件使用说明 - 360文档中心

ethereal的使用详解

Statistics的下拉菜单
Statistics 顾名思义统计就是相关的报文的统计信息 Summmary 报文的详细信息 Protocol hierarchy 协议层即各协议层报文的统计 Conversations 显示该会话报文的信息（双方通信的报文信息） endpoints 分别显示单方的报文信息 IO Graphs 报文通信的心跳图（翻译的比较蹩脚）
Ethereal的使用
Etherreal
ethereal Overview
• Ethereal是一个可以对活动的网络上或磁盘中捕获数据并进行分析的重要软件。 • 特点：
– 计算机网络调试和数据包嗅探器，可用于故障修复、分析、软件和协议开发与学习。 – 可以通过过滤器精确地显示数据，输出文件可以被保存或打印为文本格式。
ether|ip broadcast|multicast
<expr> relop <expr>
符号在Filter string语法中的定义
Equal: eq, == (等于） Not equal: ne, != （不等于）
Greater than: gt, > （大于）
Less Than: lt, < （小于）
这里要注意了，这里语法输入有点技巧。
capture的Capture filter
• 过滤器通常有三种
– 类型(type)
• 主要包括host(主机)、net(网络号)、 port(端口)。 • 如,host 192.168.0.1指主机地址。Net 192.168.0.0指网络号为 192.168.0.0的网络。Port 23指端口号是23.

[工学]协议分析软件Ethereal的使用

实验协议分析软件Ethereal 的使用一、实验目的和要求：熟悉掌握Ethereal软件的使用,并应用该软件分析Ethernet帧以及高级协议，从而能够加深对TCP/IP 协议栈上的参与通信的网络数据包结构以及通信方式有进一步的了解。

二、实验内容和原理1. 安装windows下的Ethereal及WinPcap软件。

2. 捕捉任何主机发出的DIX Ethernet V2（即Ethernet II）格式的帧（帧的长度字段>1500, 帧的长度字段实际上是类型字段），Ethereal的capture 的options中capture filter设置为：ether[12:2] > 1500 观察并分析帧结构，Ethernet II的帧(ether[12:2] > 1500)的上一层主要是哪些PDU？是IP、LLC还是其它哪种？IP3. 捕捉并分析局域网上的所有ethernet broadcast帧，Ethereal的capture 的options中capture filter设置为：ether broadcast(1). 观察并分析哪些主机在发广播帧，这些帧的高层协议是什么？ARP(2). 你的LAN的共享网段上连接了多少台计算机？1分钟内有几个广播帧？有否发生广播风暴？92台4. 捕捉局域网上主机发出或接受的所有ARP包capture 的options中capture filter设置为：arp host ip (1)主机上执行“arp –d ”清除arp cache.(2)在主机上ping 局域网上的另一主机(3)观察并分析主机发出或接受的所有ARP包，及arp包结构。

5. IP 分组的结构固定部分可变部分0 48 16192431版本标志生存时间协议标识服务类型总长度片偏移填充首部检验和源地址目的地址可选字段（长度可变）比特首部长度 01 2 3 4 5 6 7 D T R C 未用优先级数据部分首部6、UDP 报文伪首部源端口目的端口长度检验和数据首部UDP 长度源 IP 地址目的 IP 地址17 IP 数据报字节12 2 2 2 2 字节发送在前数据首部 UDP 用户数据报附：1、Ethernet II的帧结构字节46 ~ 1500 目的地址源地址类型数据FCS目的地址：01:00:5e:22:17:ea源地址：00:1e:90:75:af:4f类型数据2、IP分组的结构版本首部长度服务类型总长度标识标志固定部分可变部分0 48 16192431版本标志生存时间协议标识服务类型总长度片偏移填充首部检验和源地址目的地址可选字段（长度可变）比特首部长度 01 2 3 4 5 6 7 D T R C 未用优先级数据部分首部片偏移生存时间协议首部检验和源地址目的地址可选字段数据3、 ARP 的报文格式硬件地址长度协议类型发送方IP 地址(八位组0-1) 目标硬件地址(八位组2-5) 目标IP 地址(八位组0-3)发送方硬件地址(八位组0-3)硬件类型操作发送方硬件地址(八位组4-5) 发送方IP 地址(八位组2-3)协议长度目标硬件地址(八位组0-1)* 硬件类型指明发送方想知道的硬件接口类型。

ethereal使用说明

ethereal汉化版用法目录1 Ethereal介绍 51.1 Ethereal为何物？ 51.1.1 Ethereal可以帮人们做什么？ 51.1.2 界面功能 51.1.3 实时的从不同网络介质抓取数据包 6 1.1.4 导入来自其它抓包工具的文件 61.1.5 为其它抓包工具导出文件 61.1.6 丰富的协议解码器 71.1.7 开放源代码软件 71.1.8 Ethereal不能做什么？ 71.2 Ethereal运行平台 71.2.1 Unix 71.2.2 Linux 81.2.3 Microsoft Windows 81.3 那里可以得到ethereal? 81.4 Ethereal的读法 91.5 Ethereal的历史 91.6 Ethereal的设计和维护 91.7 问题报告和获得帮助 91.7.1 Web网站 91.7.2 WIKI 101.7.3 FAQ 101.7.4 邮件列表 101.7.5 问题报告 101.7.6 liunx/unix平台崩溃报告 111.7.7 Windows平台崩溃报告 112 编译和安装ethereal 112.1 介绍 112.2 获得ethereal源代码和应用发布版本 12 2.3 UNIX平台编译ethereal之前准备工作 12 2.4 UNIX平台编译ethereal源代码 132.5 UNIX平台应用版本安装 132.5.1 RedHat 的RPMs方式安装 142.5.2 Debian的安装方式 142.6 解决UNIX下安装失败问题 142.7 Windows下源代码的编译 142.8 Windows下Ethereal安装 142.8.1 安装ethereal 142.8.2 升级ethereal 152.8.3 卸载ethereal 153 用户操作界面 153.1 介绍 153.2 启动ethereal 153.3 ethereal主界面 153.4 “The Menu”主菜单 163.4.1 “File”文件菜单 183.4.2 “Edit”编辑菜单 193.4.3 “View”视图菜单 213.4.4 “GO”跳转菜单 233.4.5 “Capture”抓包菜单 243.4.6 “Analyze”分析菜单 243.4.7 “Statistics”统计报表菜单 263.4.8 “Help”帮助菜单 273.5 “Main”常用工具栏 283.6 “Filter Toolbar”显示过滤器工具栏 303.7 “Packet List”数据包列表窗格 313.8 “Packet Details”数据包信息树窗格 313.9 “Packet Bytes”数据包字节窗格 323.10 “Statusbar”状态栏 324 网络数据包实时抓取 334.1 介绍 334.2 使用Ethereal前的准备工作 334.3 如何开始抓包？ 334.4 “Capture Interfaces”抓包网络接口窗口 344.5 “Capture Options”抓包选项窗口 354.5.1 “Capture”抓包常规框 354.5.2 “Capture File(s)”数据包文件框 364.5.3 “Stop Capture…”停止抓包框 374.5.4 “Display Options”显示选型框 384.5.5 “Name Resolution”名称解析框 384.5.6 “Buttons”按键 394.6 数据包文件和文件模式 394.7 “Link-layer header type”链接层数据头类型 40 4.8 抓包过滤器 404.9 抓包状态信息窗口 424.9.1 停止抓包 424.9.2 重新开始抓取 435 数据包文件导入、导出和打印 435.1 介绍 435.2 “Open”打开数据包文件 435.2.1 “Open Capture File”打开数据包文件窗口 44 5.2.2 支持导入文件格式 455.3 “Save As”存储数据包 455.3.1 输出文件格式 465.4 “Merging”合并数据包文件 475.5 “File Sets”文件系 485.6 “Exporting”导出文件 495.6.1 “Exporting as Plain Text File”导出无格式文件 495.6.2 “Export as PostScript File”导出PS格式文件 505.6.3 “Export as CSV(Comma Seperated Values)File”导出CSV(逗号分割)文件 50 5.6.4 “Export as PSML File”导出PSML格式文件 515.6.5 “Export as PDML File”导出PDML格式文件 515.6.6 “Export selected packet bytes”导出被选择数据包数据 525.7 “Printing”打印数据包 535.8 “Packet Range”数据包范围窗格 556 数据包分析 556.1 如何查看数据包 556.2 显示过滤器 606.3 如何书写显示过滤器表达式 616.3.1 显示过滤器字段 616.3.2 比较操作的数据类型和操作符 626.3.3 组合表达式 626.3.4 显示过滤器常见误解 636.4 “Filter Expression”过滤器表达式窗口 646.5 定义和存储过滤器 656.6 搜索数据包 676.6.1 “Find Packet”搜索数据包窗口 676.6.2 “Find Next”寻找下一个 686.6.3 “Find Previous”寻找上一个 686.7 “GO”跳转 686.7.1 “Go Back”后退 686.7.2 “Go Forward”向前 686.7.3 “Go to Packet”跳转到 686.7.4 “Go to Corresponding Packet”跳转到相关数据包 696.7.5 “Go to First Packet”跳到第一个数据包 696.7.6 “Go to Last Packet”跳到最后一个数据包 696.8 标记数据包 696.9 时间显示格式和时间基准点 706.9.1 时间显示格式 706.9.2 时间基准点 707 高级工具 727.1 介绍 727.2 “Following TCP streams”跟踪TCP数据流 727.2.1 TCP数据流跟踪窗口 737.3 Time Stamps时间标记 747.3.1 Ethereal内部时间格式 747.3.2 数据包文件时间格式 747.3.3 时间正确性 747.4 时区问题 757.4.1 什么是时区？ 757.4.2 为你的计算机设置正确时间 757.4.3 Ethereal和时区 767.5 数据包重组 767.5.1 什么是数据包重组？ 767.5.2 Ethereal如何实现包重组 767.6 名称解析 777.6.1 以太网名称解析(MAC层) 777.6.2 IP名称解析（网络层） 787.6.3 IPX名称解析（网络层） 787.6.4 TCP/UDP端口名称解析（传输层） 787.7 确保数据完整性 787.7.1 Ethereal核对概要 797.7.2 硬件里的概要计算和确认 798 统计 798.1 介绍 798.2 “Summary”统计窗口 808.3 “Protocol Hierrrchy”协议层次统计窗口 81 8.4 “Endpoint”终端统计 828.4.1 Endpoint终端是什么？ 828.4.2 终端统计窗口 838.5 会话统计Conversations 838.5.1 什么是会话 838.5.2 会话窗口 838.6 IO曲线图窗口 858.7 服务响应时间统计 869 Ethereal客户配置 879.1 介绍 879.2 定义数据包颜色 879.3 控制协议解析器 899.3.1 “Enabled Protocols”协议解析开关窗口 89 9.3.2 用户配置解码 909.3.3 查看定义的解码方式 919.4 参数选择 921 Ethereal介绍1.1 Ethereal为何物？Ethereal是开源网络数据包分析软件。

Ethereal使用手册

网络协议分析软件EtherealEthereal使用手册使用手册贺思德申浩如2007年7月目录第￥章网络协议分析软件Ethereal使用手册￥.1 网络协议分析概述￥.2 网络协议分析软件Ethereal简介￥.2.1 Ethereal概述1. Ethereal的用户界面简介2. 在网络中部署Ethereal￥.2.2 下载和安装￥.2.3 Ethereal的使用1. Ethereal的主界面2. Ethereal的菜单及其使用￥.2.4 Ethereal过滤器（Filters）的使用1. 捕获过滤规则的书写2. 显示过滤规则的书写第￥章网络协议分析软件Ethereal本章介绍网络协议分析软件Ethereal ，包括两个方面：1）网络协议分析和网络嗅探的概念和工作原理；2）网络协议分析软件Ethereal 的使用方法。

网络协议数据分析用于捕获真实网络的数据流，通过分析这些数据以确定在网络上发生了什么事情，用于网络安全管理、故障诊断、黑客追踪等。

本章首先介绍网络协议分析的概念及其工作原理，接着详细讲解网络协议分析软件Ethereal 的使用，包括界面介绍、在网络系统中的捕获位置选择、软件安装、过滤器的使用等。

Ethereal 主界面上的各种操作菜单的介绍包括：文件菜单（File ）、编辑菜单（Edit ）、包捕获菜单（Capture ）、分析菜单（Analyze ）、统计菜单（Statistics ）。

还介绍捕获过滤器和显示过滤器的表达式书写等。

学习使用Ethereal ，必须把握以下几点：1）理解和熟悉ICP/IP 网络协议的基础知识。

必须对所监测的网络及其协议有清楚的理解，尤其是网络各层协议的工作过程、协议字段的含义及表现形式。

2）要多阅读分析网络包的捕获实例。

建议读者亲自捕获一些自己的真实网络上的数据包，以这些包为实验材料进行各种功能的练习，这样才能领会Ethereal 每项功能设计的用意所在，提高自己对网络真实数据的分析判读能力。

Ethereal使用手册

1、Ethereal(Vinancy)协议分析器Ethereal是目前最好的、开放源码的、获得广泛应用的网络协议分析器，支持Linux 和windows 平台，支持五百多种协议解析，是一款基于数据底层的简单实用的网络侦听和报文分析工具。

首先了解 Ethereal主菜单功能1．F文件菜单 :打开、合并抓包文件，存储、打印、输出，退出Ethereal。

2．E 编辑菜单：查询包，时间查询，标记或标识，剪切，拷贝。

3．V 视图菜单：包数据的显示，包括颜色，字型，压缩和展开。

4．G跳转菜单：以不同方式指向特定的包。

5．C 抓包菜单：开始和停止抓包过程以及编辑抓包过滤器。

6．A 分析菜单：显示过滤器，允许/不允许协议解析，配置用户指定的译码器,跟踪TCP。

7．S 统计菜单:各种统计已经抓到的包的摘要，显示协议的分层统计等等.打开抓包—网络接口，显示本机网络接口信息。

设置网络接口的抓包参数：混杂模式、缓冲区大小(默认1MB)开始抓包，动态地显示和统计以太网冲突域内各种通信协议停止抓包后，视窗界面分为上中下三个部分，上部为报文列表窗口，显示抓到的每个数据报文的顺序号、捕获时间、源地址、目标地址、协议、信息摘要，缺省按捕获时间数据排序，你也可以按其他数据排序，比如按协议类型排序。

在此窗口选择某个报文，则有关该报文更详细的信息将在中下窗口显示出来。

中部为具体报文的协议层窗口，显示的是数据报文各层协议，逐层展开该报文各层协议将显示出详细的封装结构信息。

下部为16 进制报文内容窗口，显示该报文的协议数据和封装内容。

如下图所示的 DNS协议封装的数据内容(阴影部分)显示过滤：可以按协议类型或表达式，只显示出需要的数据包，以便分析查看。

如下图显示过滤：仅列出arp报文只列出arp和SNMP报文（用or运算符）更复杂的显示过滤，需要使用表达式多重条件(and运算符)显示过滤：只列出源IP是192.168.4.10且大小>=1000字节的I CMP报文打开统计，统计概要、协议分布、会话统计信息。

1、ethreal使用-入门

实验一：Ethereal使用入门一、背景知识Ethereal是目前广泛使用的网络协议分析工具(Network Protocol Analyzer)，它能够实时地捕获网络上的包，并且把包中每个域的细节显现出来。

Ethereal的广为流行主要有以下三个原因：(1)它的功能非常强大，随着大家对Ethereal的熟悉将会深切感受到这一点。

(2)它是开源、免费的软件。

(3)它具有非常详细的文档。

Ethereal的安装文件和文档可以从下载。

二、Ethereal图形界面，如下图所示：第一部分是菜单和工具栏，Ethereal提供的所有功能都可以在这一部分中找到。

第二部分是被捕获包的列表，其中包含被捕获包的一般信息，如被捕获的时间、源和目的IP地址、所属的协议类型，以及包的类型等信息。

第三部分显示第二部分已选中的包的每个域的具体信息，从以太网帧的首部到该包中负载内容，都显示得清清楚楚。

第四部分显示已选中包的16进制和ASCII表示，帮助用户了解一个包的本来样子。

三、Ethereal的基本用法Ethereal的最基本功能是捕获网络包，其使用方法很简单，按如下步骤即可：(1)选择“Capture”菜单项中的“Option”,这时会弹出一个对话框，如下所示。

这个对话框中的栏目虽然很多，但一般只需配置其中两项。

一项是“Capture Filter”栏。

在这个栏中，可以输入过滤规则，用于规定Ethereal捕获包的种类(注：过滤规则的写法将在下一节作专门介绍)；如果不输入过滤规则，则Ethereal将捕获所有从网卡发送或收到的包。

另外一项是“Update list of packets in real time”选项，请大家一定要选中这一项，这样可以使Ethereal在捕获包的同时，实时地把捕获的包显示出来。

(2)在完成如上配置后，点击“Start”按钮，Ethereal便开始捕获包。

四、Ethereal的过滤规则Ethereal的过滤规则可以有两种形式：(1)一个原语：一个原语即一条最基本的过滤规则(2)用“and”、“or”、“not”关系去处运算符，以及括号组合起来的原语。

ethereal使用说明

ethereal汉化版用法目录1 Ethereal介绍 51.1 Ethereal为何物？ 51.1.1 Ethereal可以帮人们做什么？ 51.1.2 界面功能 51.1.3 实时的从不同网络介质抓取数据包 6 1.1.4 导入来自其它抓包工具的文件 61.1.5 为其它抓包工具导出文件 61.1.6 丰富的协议解码器 71.1.7 开放源代码软件 71.1.8 Ethereal不能做什么？ 71.2 Ethereal运行平台 71.2.1 Unix 71.2.2 Linux 81.2.3 Microsoft Windows 81.3 那里可以得到ethereal? 81.4 Ethereal的读法 91.5 Ethereal的历史 91.6 Ethereal的设计和维护 91.7 问题报告和获得帮助 91.7.1 Web网站 91.7.2 WIKI 101.7.3 FAQ 101.7.4 邮件列表 101.7.5 问题报告 101.7.6 liunx/unix平台崩溃报告 111.7.7 Windows平台崩溃报告 112 编译和安装ethereal 112.1 介绍 112.2 获得ethereal源代码和应用发布版本 12 2.3 UNIX平台编译ethereal之前准备工作 12 2.4 UNIX平台编译ethereal源代码 132.5 UNIX平台应用版本安装 132.5.1 RedHat 的RPMs方式安装 142.5.2 Debian的安装方式 142.6 解决UNIX下安装失败问题 142.7 Windows下源代码的编译 142.8 Windows下Ethereal安装 142.8.1 安装ethereal 142.8.2 升级ethereal 152.8.3 卸载ethereal 153 用户操作界面 153.1 介绍 153.2 启动ethereal 153.3 ethereal主界面 153.4 “The Menu”主菜单 163.4.1 “File”文件菜单 183.4.2 “Edit”编辑菜单 193.4.3 “View”视图菜单 213.4.4 “GO”跳转菜单 233.4.5 “Capture”抓包菜单 243.4.6 “Analyze”分析菜单 243.4.7 “Statistics”统计报表菜单 263.4.8 “Help”帮助菜单 273.5 “Main”常用工具栏 283.6 “Filter Toolbar”显示过滤器工具栏 303.7 “Packet List”数据包列表窗格 313.8 “Packet Details”数据包信息树窗格 313.9 “Packet Bytes”数据包字节窗格 323.10 “Statusbar”状态栏 324 网络数据包实时抓取 334.1 介绍 334.2 使用Ethereal前的准备工作 334.3 如何开始抓包？ 334.4 “Capture Interfaces”抓包网络接口窗口 344.5 “Capture Options”抓包选项窗口 354.5.1 “Capture”抓包常规框 354.5.2 “Capture File(s)”数据包文件框 364.5.3 “Stop Capture…”停止抓包框 374.5.4 “Display Options”显示选型框 384.5.5 “Name Resolution”名称解析框 384.5.6 “Buttons”按键 394.6 数据包文件和文件模式 394.7 “Link-layer header type”链接层数据头类型 40 4.8 抓包过滤器 404.9 抓包状态信息窗口 424.9.1 停止抓包 424.9.2 重新开始抓取 435 数据包文件导入、导出和打印 435.1 介绍 435.2 “Open”打开数据包文件 435.2.1 “Open Capture File”打开数据包文件窗口 44 5.2.2 支持导入文件格式 455.3 “Save As”存储数据包 455.3.1 输出文件格式 465.4 “Merging”合并数据包文件 475.5 “File Sets”文件系 485.6 “Exporting”导出文件 495.6.1 “Exporting as Plain Text File”导出无格式文件 495.6.2 “Export as PostScript File”导出PS格式文件 505.6.3 “Export as CSV(Comma Seperated Values)File”导出CSV(逗号分割)文件 50 5.6.4 “Export as PSML File”导出PSML格式文件 515.6.5 “Export as PDML File”导出PDML格式文件 515.6.6 “Export selected packet bytes”导出被选择数据包数据 525.7 “Printing”打印数据包 535.8 “Packet Range”数据包范围窗格 556 数据包分析 556.1 如何查看数据包 556.2 显示过滤器 606.3 如何书写显示过滤器表达式 616.3.1 显示过滤器字段 616.3.2 比较操作的数据类型和操作符 626.3.3 组合表达式 626.3.4 显示过滤器常见误解 636.4 “Filter Expression”过滤器表达式窗口 646.5 定义和存储过滤器 656.6 搜索数据包 676.6.1 “Find Packet”搜索数据包窗口 676.6.2 “Find Next”寻找下一个 686.6.3 “Find Previous”寻找上一个 686.7 “GO”跳转 686.7.1 “Go Back”后退 686.7.2 “Go Forward”向前 686.7.3 “Go to Packet”跳转到 686.7.4 “Go to Corresponding Packet”跳转到相关数据包 696.7.5 “Go to First Packet”跳到第一个数据包 696.7.6 “Go to Last Packet”跳到最后一个数据包 696.8 标记数据包 696.9 时间显示格式和时间基准点 706.9.1 时间显示格式 706.9.2 时间基准点 707 高级工具 727.1 介绍 727.2 “Following TCP streams”跟踪TCP数据流 727.2.1 TCP数据流跟踪窗口 737.3 Time Stamps时间标记 747.3.1 Ethereal内部时间格式 747.3.2 数据包文件时间格式 747.3.3 时间正确性 747.4 时区问题 757.4.1 什么是时区？ 757.4.2 为你的计算机设置正确时间 757.4.3 Ethereal和时区 767.5 数据包重组 767.5.1 什么是数据包重组？ 767.5.2 Ethereal如何实现包重组 767.6 名称解析 777.6.1 以太网名称解析(MAC层) 777.6.2 IP名称解析（网络层） 787.6.3 IPX名称解析（网络层） 787.6.4 TCP/UDP端口名称解析（传输层） 787.7 确保数据完整性 787.7.1 Ethereal核对概要 797.7.2 硬件里的概要计算和确认 798 统计 798.1 介绍 798.2 “Summary”统计窗口 808.3 “Protocol Hierrrchy”协议层次统计窗口 81 8.4 “Endpoint”终端统计 828.4.1 Endpoint终端是什么？ 828.4.2 终端统计窗口 838.5 会话统计Conversations 838.5.1 什么是会话 838.5.2 会话窗口 838.6 IO曲线图窗口 858.7 服务响应时间统计 869 Ethereal客户配置 879.1 介绍 879.2 定义数据包颜色 879.3 控制协议解析器 899.3.1 “Enabled Protocols”协议解析开关窗口 89 9.3.2 用户配置解码 909.3.3 查看定义的解码方式 919.4 参数选择 921 Ethereal介绍1.1 Ethereal为何物？Ethereal是开源网络数据包分析软件。

实验一 Ethereal协议分析软件的使用

实验一：使用包嗅探及协议分析软件Ethereal 分析 Ethernet帧及应用层FTP协议的分析【实验目的】1、掌握包嗅探及协议分析软件Ethereal的使用。

2、掌握Ethernet帧的构成3、掌握 FTP协议包的构成【实验环境】安装好Windows 2000 Server操作系统+Ethereal的计算机【实验时间】2节课【实验重点及难点】重点学习掌握如何利用Ethereal来分析Ethernet帧。

【实验内容】1、捕捉任何主机发出的Ethernet 802.3格式的帧和DIX Ethernet V2（即EthernetII）格式的帧并进行分析。

2、捕捉并分析局域网上的所有ethernet broadcast帧进行分析。

3、捕捉局域网上的所有ethernet multicast帧进行分析。

【实验步骤】一、Ethereal的安装Ethereal是一个图形用户接口（GUI）的网络嗅探器，由于Ethereal需要WinPcap库, 所以先安装WinPcap_2_3.exe, 再安装Ethereal.exe。

（已装好）二、仔细阅读附件中的Ethereal使用方法和TcpDump的表达式详解，学习Ethereal的使用。

三、捕捉任何主机发出的Ethernet 802.3格式的帧和DIX Ethernet V2（即EthernetII）格式的帧并进行分析。

捕捉任何主机发出的Ethernet 802.3格式的帧（帧的长度字段<=1500），Ethereal的capture filter 的filter string设置为：ether[12:2] <= 1500。

捕捉任何主机发出的DIX Ethernet V2（即Ethernet II）格式的帧（帧的长度字段>1500, 帧的长度字段实际上是类型字段），Ethereal的capture filter 的filter string设置为：ether[12:2] > 1500。

ethereal使用说明

etherealEthereal （Ethereal：A Network Packet Sniffing Tool）是当前较为流行的一种计算机网络调试和数据包嗅探软件。

Ethereal 基本类似于tcpdump，但Ethereal 还具有设计完美的GUI和众多分类信息及过滤选项。

用户通过Ethereal，同时将网卡插入混合模式，可以查看到网络中发送的所有通信流量。

Ethereal 应用于故障修复、分析、软件和协议开发以及教育领域。

它具有用户对协议分析器所期望的所有标准特征，并具有其它同类产品所不具备的有关特征。

目录应用范围软件特征【使用入门】【用Ethereal协议分析系统介绍】【用Ethereal分析协议数据包】【Ethereal支持的常用协议端口号】应用范围Ethereal 是一种开发源代码的许可软件，允许用户向其中添加改进方案。

Ethereal 适用于当前所有较为流行的计算机系统，包括Unix、Linux和Windows。

软件特征Ethereal 主要具有以下特征：在实时时间内，从网络连接处捕获数据，或者从被捕获文件处读取数据；Ethereal 可以读取从tcpdump（libpcap）、网络通用嗅探器（被压缩和未被压缩）、SnifferTM 专业版、NetXrayTM、Sun snoop 和atmsnoop、Shomiti/Finisar 测试员、AIX的iptrace、Microsoft的网络监控器、Novell的LANalyzer、RADCOM 的WAN/LAN 分析器、ISDN4BSD 项目的HP-UX nettl 和i4btrace、Cisco 安全IDS iplog 和pppd 日志（pppdump 格式）、WildPacket 的EtherPeek/TokenPeek/AiroPeek 或者可视网络的可视UpTime 处捕获的文件。

此外Ethereal 也能从Lucent/Ascend W AN 路由器和Toshiba ISDN 路由器中读取跟踪报告，还能从VMS的TCPIP 读取输出文本和DBS Etherwatch。

ethereal汉化版用法

ethereal汉化版用法Ethereal－0.10.14用户手册Ulf Lamping,Richard Sharpe, NS Computer Software and Services P/L Ed Warnicke,翻译：VINmsn：fy_address@目录1 Ethereal介绍 51.1 Ethereal为何物？ 51.1.1 Ethereal可以帮人们做什么？ 51.1.2 界面功能 51.1.3 实时的从不同网络介质抓取数据包 61.1.4 导入来自其它抓包工具的文件 61.1.5 为其它抓包工具导出文件 61.1.6 丰富的协议解码器 71.1.7 开放源代码软件 71.1.8 Ethereal不能做什么？ 71.2 Ethereal运行平台 71.2.1 Unix 71.2.2 Linux 81.2.3 Microsoft Windows 81.3 那里可以得到ethereal? 81.4 Ethereal的读法 91.5 Ethereal的历史 91.6 Ethereal的设计和维护 91.7 问题报告和获得帮助 91.7.1 Web网站 91.7.2 WIKI 101.7.3 FAQ 101.7.4 邮件列表 101.7.5 问题报告 101.7.6 liunx/unix平台崩溃报告 111.7.7 Windows平台崩溃报告 112 编译和安装ethereal 112.1 介绍 112.2 获得ethereal源代码和应用发布版本 122.3 UNIX平台编译ethereal之前准备工作 122.4 UNIX平台编译ethereal源代码 132.5 UNIX平台应用版本安装 132.5.1 RedHat 的RPMs方式安装 142.5.2 Debian的安装方式 142.6 解决UNIX下安装失败问题 142.7 Windows下源代码的编译 142.8 Windows下Ethereal安装 142.8.1 安装ethereal 142.8.2 升级ethereal 152.8.3 卸载ethereal 153 用户操作界面 153.1 介绍 153.2 启动ethereal 153.3 ethereal主界面 153.4 “The Menu”主菜单 163.4.1 “File”文件菜单 183.4.2 “Edit”编辑菜单 193.4.3 “View”视图菜单 213.4.4 “GO”跳转菜单 233.4.5 “Capture”抓包菜单 243.4.6 “Analyze”分析菜单 243.4.7 “Statistics”统计报表菜单 263.4.8 “Help”帮助菜单 273.5 “Main”常用工具栏 283.6 “Filter Toolbar”显示过滤器工具栏 303.7 “Packet List”数据包列表窗格 313.8 “Packet Details”数据包信息树窗格 313.9 “Packet Bytes”数据包字节窗格 323.10 “Statusbar”状态栏 324 网络数据包实时抓取 334.1 介绍 334.2 使用Ethereal前的准备工作 334.3 如何开始抓包？ 334.4 “Capture Interfaces”抓包网络接口窗口 344.5 “Capture Options”抓包选项窗口 354.5.1 “Capture”抓包常规框 354.5.2 “Capture File(s)”数据包文件框 364.5.3 “Stop Capture…”停止抓包框 374.5.4 “Display Options”显示选型框 384.5.5 “Name Resolution”名称解析框 384.5.6 “Buttons”按键 394.6 数据包文件和文件模式 394.7 “Link-layer header type”链接层数据头类型 40 4.8 抓包过滤器 404.9 抓包状态信息窗口 424.9.1 停止抓包 424.9.2 重新开始抓取 435 数据包文件导入、导出和打印 435.1 介绍 435.2 “Open”打开数据包文件 435.2.1 “Open Capture File”打开数据包文件窗口 445.2.2 支持导入文件格式 455.3 “Save As”存储数据包 455.3.1 输出文件格式 465.4 “Merging”合并数据包文件 475.5 “File Sets”文件系 485.6 “Exporting”导出文件 495.6.1 “Exporting as Plain Text File”导出无格式文件 495.6.2 “Export as PostScript File”导出PS格式文件 505.6.3 “Export as CSV(Comma Seperated Values)File”导出CSV(逗号分割)文件 50 5.6.4 “Export as PSML File”导出PSML格式文件 515.6.5 “Export as PDML File”导出PDML格式文件 515.6.6 “Export selected packet bytes”导出被选择数据包数据 525.7 “Printing”打印数据包 535.8 “Packet Range”数据包范围窗格 556 数据包分析 556.1 如何查看数据包 556.2 显示过滤器 606.3 如何书写显示过滤器表达式 616.3.1 显示过滤器字段 616.3.2 比较操作的数据类型和操作符 626.3.3 组合表达式 626.3.4 显示过滤器常见误解 636.4 “Filter Expression”过滤器表达式窗口 646.5 定义和存储过滤器 656.6 搜索数据包 676.6.1 “Find Packet”搜索数据包窗口 676.6.2 “Find Next”寻找下一个 686.6.3 “Find Previous”寻找上一个 686.7 “GO”跳转 686.7.1 “Go Back”后退 686.7.2 “Go Forward”向前 686.7.3 “Go to Packet”跳转到 686.7.4 “Go to Corresponding Packet”跳转到相关数据包 696.7.5 “Go to First Packet”跳到第一个数据包 696.7.6 “Go to Last Packet”跳到最后一个数据包 696.8 标记数据包 696.9 时间显示格式和时间基准点 706.9.1 时间显示格式 706.9.2 时间基准点 707 高级工具 727.1 介绍 727.2 “Following TCP streams”跟踪TCP数据流 72 7.2.1 TCP数据流跟踪窗口 737.3 Time Stamps时间标记 747.3.1 Ethereal内部时间格式 747.3.2 数据包文件时间格式 747.3.3 时间正确性 747.4 时区问题 757.4.1 什么是时区？ 757.4.2 为你的计算机设置正确时间 757.4.3 Ethereal和时区 767.5 数据包重组 767.5.1 什么是数据包重组？ 767.5.2 Ethereal如何实现包重组 767.6 名称解析 777.6.1 以太网名称解析(MAC层) 777.6.2 IP名称解析（网络层） 787.6.3 IPX名称解析（网络层） 787.6.4 TCP/UDP端口名称解析（传输层） 787.7 确保数据完整性 787.7.1 Ethereal核对概要 797.7.2 硬件里的概要计算和确认 798 统计 798.1 介绍 798.2 “Summary”统计窗口 808.3 “Protocol Hierrrchy”协议层次统计窗口 81 8.4 “Endpoint”终端统计 828.4.1 Endpoint终端是什么？ 828.4.2 终端统计窗口 838.5 会话统计Conversations 838.5.1 什么是会话 838.5.2 会话窗口 838.6 IO曲线图窗口 858.7 服务响应时间统计 869 Ethereal客户配置 879.1 介绍 879.2 定义数据包颜色 879.3 控制协议解析器 899.3.1 “Enabled Protocols”协议解析开关窗口 89 9.3.2 用户配置解码 909.3.3 查看定义的解码方式 919.4 参数选择 921 Ethereal介绍1.1 Ethereal为何物？Ethereal是开源网络数据包分析软件。

ethereal使用手册

目录Ethereal使用手册 (1)1.1 菜单 (2)1.1.1 "File"（文件）菜单 (3)1.1.2 "Edit"（编辑）菜单 (5)1.1.3 "View"（查看）菜单 (5)1.1.4 "Go" （转到...）菜单.. (8)1.1.5 "Capture"（捕获）菜单 (8)1.1.6 "Analyze"（分析）菜单 (9)1.1.7 "Statistics"（统计）菜单 (9)1.1.8 "Help"（帮助）菜单 (10)1.2 主工具条 (11)1.3 "Filter"（过滤）工具条 (13)Ethereal使用手册由于网络上产生的数据包很多，通常我们只对其中一部分数据包感兴趣，因此在捕捉具体的数据包之前需要定义一个过滤器（filter），以滤除不需要的信息。

一个过滤器实质上是一组规则，只有收到的数据满足规则时才保存，否则丢弃。

过滤器通常可以是多个规则的逻辑组合。

构成规则的表达式通常有三类：类型（type）、传输方向（dir）和协议（proto）。

1.类型主要包括host(主机)、net（网络号）和port（段口号），默认为主机类型。

如：host 192.168.0.1，指主机地址为192.168.0.1的机器。

net 192.168.0.0，指网络号为192.168.0.0的网络。

port 23，指端口号为23。

2.传输方向。

关键字主要包括“src”、“dst”、“dst or src”、“dst andsrc”其中“src”为发送数据的源，而“dst”为接收数据的目标。

这些关键字指明了传输的方向。

如果没有指明方向关键字，则缺省是“dst or src”关键字。

如：src host 192.168.0.1指主机源地址是192.168.0.1dst net 192.168.0.0指目的网络地址是192.168.0.03.网络协议。

Ethereal使用说明

Ethereal 使用说明1.工具认识Ethereal 是一款绿色版的网络抓包、报文分析工具，不需要安装，但是要装WinPcap 。

安装过程简单这里就不做说明。

Ethereal:WinPcap:2.报文抓取点击工具栏中最左边的第二个图标 “Show the capture options ”进入界面如下：123三个地方需要设置：①Interface，选择自己电脑的网卡。

②Capture Filter，在里面设置抓取过滤条件，如host 222.111.112.215就是只抓取有这个ip地址参与的报文交互。

其他过滤规则在下文Ethereal使用详细说明中有介绍。

③Display Options，前两个选中，在抓取的过程中可以查看报文信息。

设好了点Start，弹出界面如下，停止抓包点击stop。

3.报文查看Filter内可以输入过滤规则，常用的语句有mms、ip.addr==222.111.112.5等，同时过滤多个规则可以使用&&合并，如下图。

mms是最常用的的过滤规则，直接过滤出mms报文，我们要查看的有用的信息都在mms类报文内。

其他过滤规则在下文Ethereal使用详细说明中有介绍。

4.Ethereal使用详细说明4.1界面菜单介绍本节将逐个介绍Ethereal各菜单项的功能：4.1.1“File”菜单图4-1 “File”拉菜单图4-1 “File”菜单。

其中：“Open”即打开已存的抓包文件；“Open Recent”即打开近期已察看的抓包文件，类似windows的最近访问过的文档；“Merge”字面是合并的意思，其实是追加的意思，即当前捕获的报文追加到先前已保存的抓包文件中。

“Save”和”save as”即保存、选择保存格式。

“File Set”用于Ethereal当前打开的多个文件前后切换，以及各文件的基本属性描述。

“Export”是输出的意思。

“Print”打印。

网络监听工具Ethereal使用说明

网络监听工具Ethereal使用说明1.1 Ethereal简介Ethereal是一款免费的网络协议分析程序，支持Unix、Windows。

借助这个程序，你既可以直接从网络上抓取数据进行分析，也可以对由其他嗅探器抓取后保存在硬盘上的数据进行分析。

你能交互式地浏览抓取到的数据包，查看每一个数据包的摘要和详细信息。

Ethereal有多种强大的特征，如支持几乎所有的协议、丰富的过滤语言、易于查看TCP会话经重构后的数据流等。

它的主要特点为：·支持Unix系统和Windows系统·在Unix系统上，可以从任何接口进行抓包和重放·可以显示通过下列软件抓取的包·tcpdump·Network Associates Sniffer and Sniffer Pro·NetXray·Shomiti·AIX’s iptrace·RADCOM & RADCOM’s WAN/LAN Analyzer·Lucent/Ascend access products·HP-UX’s nettl·Toshiba’s ISDN routers·ISDN4BSD i4btrace utility·Microsoft Network Monitor·Sun snoop·将所抓得包保存为以下格式：·libpcap (tcpdump)·Sun snoop·Microsoft Network Monitor·Network Associates Sniffer∙可以根据不同的标准进行包过滤∙通过过滤来查找所需要的包∙根据过滤规则，用不同的颜色来显示不同的包∙提供了多种分析和统计工具，实现对信息包的分析图1-1 Ethereal抓包后直观图图1是Ethereal软件抓包后的界面图，我们可以根据需要，对所抓得包进行分析。

ethereal软件的使用

实验： ethereal软件的使用（一）【实验目的】1、熟悉并掌握Ethereal的基本操作。

2、了解网络协议实体间进行交互以及报文交换的情况。

【实验设备】与因特网连接的计算机网络系统；主机操作系统为windows；Ethereal、IE等软件。

【实验步骤】一个人要深入理解网络协议，需要：观察它们的工作并使用它们，即观察两个协议实体之间交换的报文序列，探究协议操作的细节，使协议实体执行某些动作，观察这些动作及其影响。

这些任务可以在仿真环境下或在如因特网这样的真实网络环境中完成。

观察在正在运行协议实体间交换报文的基本工具被称为分组嗅探器（packet sniffer）。

顾名思义，一个分组嗅探器俘获（嗅探）由你的计算机发送和接收的报文。

一般情况下，分组嗅探器将存储和显示出被俘获报文的各协议字段的内容。

图1显示了一个分组嗅探器的结构。

图1右边是计算机上正常运行的协议（在这里是因特网协议）和应用程序（如：web浏览器和ftp客户端）。

分组嗅探器（虚线框中的部分）是附加计算机普通软件上的，主要有两部分组成。

分组俘获库（packet capture library）接收计算机发送和接收的每一个链路层帧的拷贝。

高层协议（如：HTTP、FTP、TCP、UDP、DNS、IP等）交换的报文都被封装在链路层帧中，并沿着物理媒体（如以太网的电缆）传输。

图1假设所使用的物理媒体是以太网，并且上层协议的报文最终封装在以太网帧中。

分组嗅探器的第二个组成部分是分组分析器。

分组分析器用来显示协议报文所有字段的内容。

为此，分组分析器必须能够理解协议所交换的所有报文的结构。

例如：我们要显示图1中HTTP协议所交换的报文的各个字段。

分组分析器理解以太网帧格式，能够识别包含在帧中的IP数据报。

分组分析器也要理解IP数据报的格式，并能从IP数据报中提取出TCP 报文段。

然后，它需要理解TCP报文段，并能够从中提取出HTTP消息。

最后，它需要理解HTTP消息。

Ethereal快速使用说明

> FIlter name：任意取，在此設為MAC_FILTER。
> Filter string：請輸入ether host 00：00：11：11：22：22
> 再按NEW之後，可讓你的MAC_FILTER出現在上方的名單中。
> 此時若選Save，為儲存你所寫的filter，則下次重新開啟本程式時，可重覆使用。
> 接下來幾個選項請自行決定。基本上就是要讓你想看到的資訊都有存檔。
Capture Filter設定：
1. 點選Capture->Start之後，按下Filter按鈕，可設定你想要的capture filter。
（例如：要以MAC address 00：00：11：11：22：22為抓封包條件）
> 確定你的filter string正確之後，按OK跳出，就可看到Filter欄已設定。
(例如要以IP address 11.22.33.44以及TELNET為封包的filter)
> Filter string：ip host 11.22.33.44 and tcp port 23
實驗二網路（協定）分析儀（PART 3）
Ethereal快速使用說明：
1. 安裝Ethereal之前，請安裝WinPcap，再接著安裝Ethereal。
2. 進入Ethereal主程式後，就可直接點選Capture->Start。
3. 出現如上圖的視窗之後，
> 請正確設定你的網路卡（Interface）。

Display Filter設定：
1. 若不想設定Capture filter，則所有出現在你網卡上的封包，都會被抓進來，此時可利用Display filter進行篩選。

ethereal使用入门实验讲义

实验一：Ethereal使用入门一、实验目的熟悉分组嗅探器Ethereal实验环境，学习使用Ethereal捕获数据的方法。

二、实验原理“不闻不若闻之，闻之不若见之，见之不若知之，知之不若行之”-----中国谚语。

一个人对网络协议的理解通常通过以下方法能够得到极大的深化：观察它们的工作过程和使用它们，即观察两个协议实体之间交换的报文序列，钻研协议操作的细节，使协议执行某些操作，观察这些动作及其后果，这能够在仿真环境下或在如因特网这样的真实网络环境下完成。

在Ethereal实验中，我们将采用后一种方法，使用桌面上的计算机在各种情况下运行网络应用程序，在计算机上观察网络协议与在因特网别处执行的协议实体进行交互和交换报文的情况。

因此，你与你的计算机将是这些实际实验的组成部分，在实际动手实验中进行观察学习。

观察在执行协议的实体之间交换的报文的基本工具被称为分组嗅探器（packet sniffer）。

顾名思义，一个分组嗅探器被动地拷贝（嗅探）由你的计算机发送和接收的报文，它也能存储并显示出这些被俘获报文的各个协议字段的内容。

一个分组嗅探器本身是被动的，它观察运行在你计算机上的应用程序和协议收发的报文，但它自己从不发送任何分组。

同样，接收到的分组也不会显式地标注是给分组嗅探器的。

实际上，一个分组嗅探器收到的是运行在你机器上应用程序和协议收发的分组的备份。

图1显示了一个分组嗅探器的结构。

图1的右边是正常的运行在你的计算机上的协议和应用程序（比如FTP client）。

在图中虚线矩形中的分组嗅探器是在你计算机中额外安装的软件，由两部分组成：一部分是分组捕获库（packet capture library），一部分是分组解析器（packet analyzer）。

分组获取库获得了从你主机发出或接收的每一个链路层数据帧的拷贝，更高层协议（HTTP、FTP、TCP、UDP、DNS、IP）传输的信息最终都被封装在链路层帧里，通过物理介质传送出去（如网线）。

ethereal使用说明

1.双击WinPcap_3_0.exe. 根据提示安装，直到完整。

2.双击ethereal-setup-0.10.7.exe 根据提示安装，直到完整。

这时桌面上出现这个图标
3.双击这个图标，出现
图标。

再点击红色线条指示的图标
4.出现
6.出现数据包的内容：
7.停止抓包，点击，出现如下图
8.保存数据包。

按照深色提示选择保存
9.在name这里写上数据包的名称，自己取名。

然后按照红色图标上的提示选上你要保存的数据包的位置。

最后点击save保存。

注意事项：
用来抓数据包的电脑和用来被抓数据包的设备必须在插在同一交换机或集线器上。

否则不能准确抓到你要抓的数据包。