Ethereal工具的使用方法

1、抓包设置页面

选择以太网卡

设置为实时刷新报文

设置为是否滚动

设置一次抓包长度或抓包时间

设置抓包存储方式

显示过滤

显示过滤语法：

mms 只显示MMS报文

iecgoose 只显示goose报文

tcp 只显示tcp报文

udp 只显示udp报文

== 显示与地址为的服务器交互的报文

== 显示源地址IP为的服务器发出的报文

== 显示与目的地址IP为的服务器交互的报文

== 5a:48:36:30:35:44 显示与MAC地址为5a:48:36:30:35:44的服务器交互的报文

== 5a:48:36:30:35:44 显示源MAC地址为5a:48:36:30:35:44的服务器发出的报文

== 5a:48:36:30:35:44 显示与目的MAC地址为5a:48:36:30:35:44的服务器交互的报文

抓捕过滤 抓捕过滤语法

Tcp 只抓捕Tcp 报文 Udp 只抓捕Tcp 报文 Host 只抓捕IP 地址为的报文

Ether host 只抓捕MAC 地址为5a:48:36:30:35:44的报文

限制每个包的大小 2、 协议显示

MMS 报文

SNTP 建立以太网通讯时会发ARP 报文ping 报文

SV 、GOOSE 抓包时间

3、 显示信息

报文序号

抓取该帧报文时刻，PC时间

该帧报文是谁发出的

该帧报文是发给谁的

协议类型--以太网类型码

报文长度

4、过滤机制

关键字段过滤

1）按目的MAC地址过滤

2）按源MAC地址过滤

3）按优先级过滤

4）按VLAN过滤

语法 == 210

5）按以太网类型码过滤

== 0x88b8

6）按APPID过滤

7）按GOOSE控制块过滤

语法：frame[30:9] == 80:07:67:6f:63:62:52:65:66 从该帧报文的第30个字节读取9个字节

8）其他字段的过滤类似不在一一举例

组合过滤

1）找到特征报文的起始点

找到自己关注GOOSE的APPID

根据GOOSE变位时sequencenumber会

变0的特性找到第一帧变位GOOSE

2）标注起始报文

注意报文编号：28、36

3）去掉过滤条件，在所有的原始报文中显示标注报文，能找到事件之间的时间关系

去掉过滤条件并Apply，在“28、

36”附近发生的事情一目了然

4）进一步优化时间显示

显示绝对时间

不含年、月、日绝对时间

以第一帧报文为计时起点

相对时间

以上一帧报文为计时起点

查看相邻两帧报文的间隔设置特征报文为计时参考点

过滤结果

“28”以后的报文均以其为计时起点