Ethereal的使用

ethereal汉化版用法目 录1 Ethereal介绍 51.1 Ethereal为何物？ 51.1.1 Ethereal可以帮人们做什么？ 51.1.2 界面功能 51.1.3 实时的从不同网络介质抓取数据包 6 1.1.4 导入来自其它抓包工具的文件 61.1.5 为其它抓包工具导出文件 61.1.6 丰富的协议解码器 71.1.7 开放源代码软件 71.1.8 Ethereal不能做什么？ 71.2 Ethereal运行平台 71.2.1 Unix 71.2.2 Linux 81.2.3 Microsoft Windows 81.3 那里可以得到ethereal? 81.4 Ethereal的读法 91.5 Ethereal的历史 91.6 Ethereal的设计和维护 91.7 问题报告和获得帮助 91.7.1 Web网站 91.7.2 WIKI 101.7.3 FAQ 101.7.4 邮件列表 101.7.5 问题报告 101.7.6 liunx/unix平台崩溃报告 111.7.7 Windows平台崩溃报告 112 编译和安装ethereal 112.1 介绍 112.2 获得ethereal源代码和应用发布版本 12 2.3 UNIX平台编译ethereal之前准备工作 12 2.4 UNIX平台编译ethereal源代码 132.5 UNIX平台应用版本安装 132.5.1 RedHat 的RPMs方式安装 142.5.2 Debian的安装方式 142.6 解决UNIX下安装失败问题 142.7 Windows下源代码的编译 142.8 Windows下Ethereal安装 142.8.1 安装ethereal 142.8.2 升级ethereal 152.8.3 卸载ethereal 153 用户操作界面 153.1 介绍 153.2 启动ethereal 153.3 ethereal主界面 153.4 “The Menu”主菜单 163.4.1 “File”文件菜单 183.4.2 “Edit”编辑菜单 193.4.3 “View”视图菜单 213.4.4 “GO”跳转菜单 233.4.5 “Capture”抓包菜单 243.4.6 “Analyze”分析菜单 243.4.7 “Statistics”统计报表菜单 263.4.8 “Help”帮助菜单 273.5 “Main”常用工具栏 283.6 “Filter Toolbar”显示过滤器工具栏 303.7 “Packet List”数据包列表窗格 313.8 “Packet Details”数据包信息树窗格 313.9 “Packet Bytes”数据包字节窗格 323.10 “Statusbar”状态栏 324 网络数据包实时抓取 334.1 介绍 334.2 使用Ethereal前的准备工作 334.3 如何开始抓包？ 334.4 “Capture Interfaces”抓包网络接口窗口 344.5 “Capture Options”抓包选项窗口 354.5.1 “Capture”抓包常规框 354.5.2 “Capture File(s)”数据包文件框 364.5.3 “Stop Capture…”停止抓包框 374.5.4 “Display Options”显示选型框 384.5.5 “Name Resolution”名称解析框 384.5.6 “Buttons”按键 394.6 数据包文件和文件模式 394.7 “Link-layer header type”链接层数据头类型 40 4.8 抓包过滤器 404.9 抓包状态信息窗口 424.9.1 停止抓包 424.9.2 重新开始抓取 435 数据包文件导入、导出和打印 435.1 介绍 435.2 “Open”打开数据包文件 435.2.1 “Open Capture File”打开数据包文件窗口 44 5.2.2 支持导入文件格式 455.3 “Save As”存储数据包 455.3.1 输出文件格式 465.4 “Merging”合并数据包文件 475.5 “File Sets”文件系 485.6 “Exporting”导出文件 495.6.1 “Exporting as Plain Text File”导出无格式文件 495.6.2 “Export as PostScript File”导出PS格式文件 505.6.3 “Export as CSV(Comma Seperated Values)File”导出CSV(逗号分割)文件 50 5.6.4 “Export as PSML File”导出PSML格式文件 515.6.5 “Export as PDML File”导出PDML格式文件 515.6.6 “Export selected packet bytes”导出被选择数据包数据 525.7 “Printing”打印数据包 535.8 “Packet Range”数据包范围窗格 556 数据包分析 556.1 如何查看数据包 556.2 显示过滤器 606.3 如何书写显示过滤器表达式 616.3.1 显示过滤器字段 616.3.2 比较操作的数据类型和操作符 626.3.3 组合表达式 626.3.4 显示过滤器常见误解 636.4 “Filter Expression”过滤器表达式窗口 646.5 定义和存储过滤器 656.6 搜索数据包 676.6.1 “Find Packet”搜索数据包窗口 676.6.2 “Find Next”寻找下一个 686.6.3 “Find Previous”寻找上一个 686.7 “GO”跳转 686.7.1 “Go Back”后退 686.7.2 “Go Forward”向前 686.7.3 “Go to Packet”跳转到 686.7.4 “Go to Corresponding Packet”跳转到相关数据包 696.7.5 “Go to First Packet”跳到第一个数据包 696.7.6 “Go to Last Packet”跳到最后一个数据包 696.8 标记数据包 696.9 时间显示格式和时间基准点 706.9.1 时间显示格式 706.9.2 时间基准点 707 高级工具 727.1 介绍 727.2 “Following TCP streams”跟踪TCP数据流 727.2.1 TCP数据流跟踪窗口 737.3 Time Stamps时间标记 747.3.1 Ethereal内部时间格式 747.3.2 数据包文件时间格式 747.3.3 时间正确性 747.4 时区问题 757.4.1 什么是时区？ 757.4.2 为你的计算机设置正确时间 757.4.3 Ethereal和时区 767.5 数据包重组 767.5.1 什么是数据包重组？ 767.5.2 Ethereal如何实现包重组 767.6 名称解析 777.6.1 以太网名称解析(MAC层) 777.6.2 IP名称解析（网络层） 787.6.3 IPX名称解析（网络层） 787.6.4 TCP/UDP端口名称解析（传输层） 787.7 确保数据完整性 787.7.1 Ethereal核对概要 797.7.2 硬件里的概要计算和确认 798 统计 798.1 介绍 798.2 “Summary”统计窗口 808.3 “Protocol Hierrrchy”协议层次统计窗口 81 8.4 “Endpoint”终端统计 828.4.1 Endpoint终端是什么？ 828.4.2 终端统计窗口 838.5 会话统计Conversations 838.5.1 什么是会话 838.5.2 会话窗口 838.6 IO曲线图窗口 858.7 服务响应时间统计 869 Ethereal客户配置 879.1 介绍 879.2 定义数据包颜色 879.3 控制协议解析器 899.3.1 “Enabled Protocols”协议解析开关窗口 89 9.3.2 用户配置解码 909.3.3 查看定义的解码方式 919.4 参数选择 921 Ethereal介绍1.1 Ethereal为何物？Ethereal是开源网络数据包分析软件。

分组嗅探器ethereal基本原理:要深入理解网络协议，需要：观察它们的工作并使用它们，即观察两个协议实体之间交换的报文序列，探究协议操作的细节，使协议实体执行某些动作，观察这些动作及其影响。

这些任务可以在仿真环境下或在如因特网这样的真实网络环境中完成。

观察在正在运行协议实体间交换报文的基本工具被称为分组嗅探器（packet sniffer）。

顾名思义，一个分组嗅探器俘获（嗅探）由你的计算机发送和接收的报文。

一般情况下，分组嗅探器将存储和显示出被俘获报文的各协议字段的内容。

图1显示了一个分组嗅探器的结构。

图1右边是计算机上正常运行的协议（在这里是因特网协议）和应用程序（如：web浏览器和ftp客户端）。

分组嗅探器（虚线框中的部分）是附加计算机普通软件上的，主要有两部分组成。

分组俘获库（packet capture library）接收计算机发送和接收的每一个链路层帧的拷贝。

高层协议（如：HTTP、FTP、TCP、UDP、DNS、IP等）交换的报文都被封装在链路层帧中，并沿着物理媒体（如以太网的电缆）传输。

图1假设所使用的物理媒体是以太网，并且上层协议的报文最终封装在以太网帧中。

分组嗅探器的第二个组成部分是分组分析器。

分组分析器用来显示协议报文所有字段的内容。

为此，分组分析器必须能够理解协议所交换的所有报文的结构。

例如：我们要显示图1中HTTP协议所交换的报文的各个字段。

分组分析器理解以太网帧格式，能够识别包含在帧中的IP数据报。

分组分析器也要理解IP数据报的格式，并能从IP数据报中提取出TCP报文段。

然后，它需要理解TCP报文段，并能够从中提取出HTTP消息。

最后，它需要理解HTTP消息。

Ethereal是一种可以运行在Windows, UNIX, Linux等操作系统上的分组分析器。

Ethereal是免费的，可以从得到。

运行ethereal程序时，其图形用户界面如图2所示。

最初，各窗口中并无数据显示。

网络协议分析软件EtherealEthereal使用手册使用手册贺思德申浩如2007年7月目录第￥章 网络协议分析软件Ethereal使用手册 ￥.1 网络协议分析概述￥.2 网络协议分析软件Ethereal简介￥.2.1 Ethereal概述1. Ethereal的用户界面简介2. 在网络中部署Ethereal￥.2.2 下载和安装￥.2.3 Ethereal的使用1. Ethereal的主界面2. Ethereal的菜单及其使用￥.2.4 Ethereal过滤器（Filters）的使用1. 捕获过滤规则的书写2. 显示过滤规则的书写第￥章 网络协议分析软件Ethereal本章介绍网络协议分析软件Ethereal ，包括两个方面：1）网络协议分析和网络嗅探的概念和工作原理；2）网络协议分析软件Ethereal 的使用方法。

网络协议数据分析用于捕获真实网络的数据流，通过分析这些数据以确定在网络上发生了什么事情，用于网络安全管理、故障诊断、黑客追踪等。

本章首先介绍网络协议分析的概念及其工作原理，接着详细讲解网络协议分析软件Ethereal 的使用，包括界面介绍、在网络系统中的捕获位置选择、软件安装、过滤器的使用等。

Ethereal 主界面上的各种操作菜单的介绍包括：文件菜单（File ）、编辑菜单（Edit ）、包捕获菜单（Capture ）、分析菜单（Analyze ）、统计菜单（Statistics ）。

还介绍捕获过滤器和显示过滤器的表达式书写等。

学习使用Ethereal ，必须把握以下几点：1）理解和熟悉ICP/IP 网络协议的基础知识。

必须对所监测的网络及其协议有清楚的理解，尤其是网络各层协议的工作过程、协议字段的含义及表现形式。

2）要多阅读分析网络包的捕获实例。

建议读者亲自捕获一些自己的真实网络上的数据包，以这些包为实验材料进行各种功能的练习，这样才能领会Ethereal 每项功能设计的用意所在，提高自己对网络真实数据的分析判读能力。

⽹络协议分析⼯具Ethereal的使⽤⼤学时计算机⽹络课的实验报告，当时提不起兴趣，今天看来还挺有⽤的。

可以学习下怎样抓数据包，然后分析程序的通信协议。

⼀：学习使⽤⽹络协议分析⼯具Ethereal的⽅法，并⽤它来分析⼀些协议。

实验步骤：1．⽤“ipconfig”命令获得本机的MAC地址和缺省路由器的IP地址；（注：缺省路由器即 ”Default Gateway”）命令⾏：Start->Run->CMD->ipconfig /all >C:\Mac.txt(在命令⾏中把ipconfig命令保存在⽂本⽂档⾥⾯备⽤)结果：本机Mac地址：00.09.73.4B.8A.D7 缺省路由器IP：192.168.8.254步骤截图：图1（本机⽹络信息：Mac.txt）2．⽤“arp”命令清空本机的缓存：命令⾏：Start->Run->CMD->arp –d图2（arp命令 –d参数的帮助说明）3．运⾏Ethereal，开始捕获所有属于ARP协议或ICMP协议的，并且源或⽬的MAC地址是本机的包：图3（Capture->Options中关于⽹卡设置和Capture Filter）图4（抓包截图）4．执⾏命令：“ping” 缺省路由器的IP地址：图5（捕获包）图6（ping 过程）⼆：⽤Ethereal观察tracert命令的⼯作过程：1．⽤Ethereal语法内容及参数说明：命令⾏操作步骤：Start->Run->CMD->tracert图1（Tracert命令全部参数的帮助说明）2．运⾏Ethereal, 设定源和⽬的MAC地址是本机的包，捕获tracert命令中⽤到的消息：Tracert使⽤ICMP，相应过滤规则为：ether host 00:09:73:4B:8A:D7 and icmp图3（Capture->Options中关于⽹卡设置和Capture Filter）3.执⾏“tracert -d ” ，捕获包：执⾏命令：tracert -d ：图3 （执⾏命令 tracert –d ）图4（抓包截图）图5（捕获包）4．Tracert⼯作原理：Tracert使⽤ICMP消息，具体地讲，tracert发出的是Echo Request消息，触发返回的是Time Exceeded消息和Echo Reply消息。

1、Ethereal(Vinancy)协议分析器Ethereal是目前最好的、开放源码的、获得广泛应用的网络协议分析器，支持Linux 和windows 平台，支持五百多种协议解析，是一款基于数据底层的简单实用的网络侦听和报文分析工具。

首先了解 Ethereal主菜单功能1．F文件菜单 :打开、合并抓包文件，存储、打印、输出，退出Ethereal。

2．E 编辑菜单：查询包，时间查询，标记或标识，剪切，拷贝。

3．V 视图菜单：包数据的显示，包括颜色，字型，压缩和展开。

4．G跳转菜单：以不同方式指向特定的包。

5．C 抓包菜单：开始和停止抓包过程以及编辑抓包过滤器。

6．A 分析菜单：显示过滤器，允许/不允许协议解析，配置用户指定的译码器,跟踪TCP。

7．S 统计菜单:各种统计已经抓到的包的摘要，显示协议的分层统计等等.打开抓包—网络接口，显示本机网络接口信息。

设置网络接口的抓包参数：混杂模式、缓冲区大小(默认1MB)开始抓包，动态地显示和统计以太网冲突域内各种通信协议停止抓包后，视窗界面分为上中下三个部分，上部为报文列表窗口，显示抓到的每个数据报文的顺序号、捕获时间、源地址、目标地址、协议、信息摘要，缺省按捕获时间数据排序，你也可以按其他数据排序，比如按协议类型排序。

在此窗口选择某个报文，则有关该报文更详细的信息将在中下窗口显示出来。

中部为具体报文的协议层窗口，显示的是数据报文各层协议，逐层展开该报文各层协议将显示出详细的封装结构信息。

下部为16 进制报文内容窗口，显示该报文的协议数据和封装内容。

如下图所示的 DNS协议封装的数据内容(阴影部分)显示过滤：可以按协议类型或表达式，只显示出需要的数据包，以便分析查看。

如下图显示过滤：仅列出arp报文只列出arp和SNMP报文（用or运算符）更复杂的显示过滤，需要使用表达式多重条件(and运算符)显示过滤：只列出源IP是192.168.4.10且大小>=1000字节的I CMP报文打开统计，统计概要、协议分布、会话统计信息。

实验一：Ethereal使用入门一、背景知识Ethereal是目前广泛使用的网络协议分析工具(Network Protocol Analyzer)，它能够实时地捕获网络上的包，并且把包中每个域的细节显现出来。

Ethereal的广为流行主要有以下三个原因：(1)它的功能非常强大，随着大家对Ethereal的熟悉将会深切感受到这一点。

(2)它是开源、免费的软件。

(3)它具有非常详细的文档。

Ethereal的安装文件和文档可以从下载。

二、Ethereal图形界面，如下图所示：第一部分是菜单和工具栏，Ethereal提供的所有功能都可以在这一部分中找到。

第二部分是被捕获包的列表，其中包含被捕获包的一般信息，如被捕获的时间、源和目的IP地址、所属的协议类型，以及包的类型等信息。

第三部分显示第二部分已选中的包的每个域的具体信息，从以太网帧的首部到该包中负载内容，都显示得清清楚楚。

第四部分显示已选中包的16进制和ASCII表示，帮助用户了解一个包的本来样子。

三、Ethereal的基本用法Ethereal的最基本功能是捕获网络包，其使用方法很简单，按如下步骤即可：(1)选择“Capture”菜单项中的“Option”,这时会弹出一个对话框，如下所示。

这个对话框中的栏目虽然很多，但一般只需配置其中两项。

一项是“Capture Filter”栏。

在这个栏中，可以输入过滤规则，用于规定Ethereal捕获包的种类(注：过滤规则的写法将在下一节作专门介绍)；如果不输入过滤规则，则Ethereal将捕获所有从网卡发送或收到的包。

另外一项是“Update list of packets in real time”选项，请大家一定要选中这一项，这样可以使Ethereal在捕获包的同时，实时地把捕获的包显示出来。

(2)在完成如上配置后，点击“Start”按钮，Ethereal便开始捕获包。

四、Ethereal的过滤规则Ethereal的过滤规则可以有两种形式：(1)一个原语：一个原语即一条最基本的过滤规则(2)用“and”、“or”、“not”关系去处运算符，以及括号组合起来的原语。

Ethereal 使用方法一， 使用方法点击Capture 菜单下的Start 。

然后选择相应的参数，点击OK ！Capture Options 选择的常见注意事项(每个选项前面的小方块，凹进去表示选中)：1， Interface ：如果你的计算机安装了多个网卡，注意选择你想抓包的那个网卡。

2， 需要选中的选项：Capture packets in promiscuous mode任何流经这台主机的数据包都将被捕获，如果按钮凸起，则只能捕获从主机发送或者发向该主机的数据包。

Update list of packets in real time是Ethereal 主界面上是否实时地显示抓包变化的选项，当选择了该项时，Ethereal 主界面上将实时地更新抓包列表，若不显示该项，所有的包列表将在抓包过程停止以后一起显示。

Automatic Strolling in live capture选项允许用户在抓包过程中能实时地察看新抓的数据包。

3，注意name resolution的选项不能选，否则抓包，保存，打开等过程会很慢。

“Name resolution”中有三个选项，“Enable MAC name resolution”是否将MAC地址的前三个字节翻译成IETF所规定的厂商前缀。

“Enable network name resolution”用于控制是否将IP地址解析为DNS域名。

“Enable transport name resolution”则用于控制是否将通信端口号转换为协议名称。

4，抓包时可以对所抓的包进行过滤，常用的过滤选项有：sip || mgcp，sip && h225 && h245，ip.addr == 10.11.2.9，udp.port == 1719，tcp.port == 2000等。

5，一般抓包的计算机需要与被抓的目标地址在一个HUB上，如果在一个LAN上，需要做端口镜像。

实验一：使用包嗅探及协议分析软件Ethereal 分析 Ethernet帧及应用层FTP协议的分析【实验目的】1、掌握包嗅探及协议分析软件Ethereal的使用。

2、掌握Ethernet帧的构成3、掌握 FTP协议包的构成【实验环境】安装好Windows 2000 Server操作系统+Ethereal的计算机【实验时间】2节课【实验重点及难点】重点学习掌握如何利用Ethereal来分析Ethernet帧。

【实验内容】1、捕捉任何主机发出的Ethernet 802.3格式的帧和DIX Ethernet V2（即EthernetII）格式的帧并进行分析。

2、捕捉并分析局域网上的所有ethernet broadcast帧进行分析。

3、捕捉局域网上的所有ethernet multicast帧进行分析。

【实验步骤】一、Ethereal的安装Ethereal是一个图形用户接口（GUI）的网络嗅探器，由于Ethereal需要WinPcap库, 所以先安装WinPcap_2_3.exe, 再安装Ethereal.exe。

（已装好）二、仔细阅读附件中的Ethereal使用方法和TcpDump的表达式详解，学习Ethereal的使用。

三、捕捉任何主机发出的Ethernet 802.3格式的帧和DIX Ethernet V2（即EthernetII）格式的帧并进行分析。

捕捉任何主机发出的Ethernet 802.3格式的帧（帧的长度字段<=1500），Ethereal的capture filter 的filter string设置为：ether[12:2] <= 1500。

捕捉任何主机发出的DIX Ethernet V2（即Ethernet II）格式的帧（帧的长度字段>1500, 帧的长度字段实际上是类型字段），Ethereal的capture filter 的filter string设置为：ether[12:2] > 1500。

目录Ethereal使用手册 (1)1.1 菜单 (2)1.1.1 "File"（文件）菜单 (3)1.1.2 "Edit"（编辑）菜单 (5)1.1.3 "View"（查看）菜单 (5)1.1.4 "Go" （转到...）菜单.. (8)1.1.5 "Capture"（捕获）菜单 (8)1.1.6 "Analyze"（分析）菜单 (9)1.1.7 "Statistics"（统计）菜单 (9)1.1.8 "Help"（帮助）菜单 (10)1.2 主工具条 (11)1.3 "Filter"（过滤）工具条 (13)Ethereal使用手册由于网络上产生的数据包很多，通常我们只对其中一部分数据包感兴趣，因此在捕捉具体的数据包之前需要定义一个过滤器（filter），以滤除不需要的信息。

一个过滤器实质上是一组规则，只有收到的数据满足规则时才保存，否则丢弃。

过滤器通常可以是多个规则的逻辑组合。

构成规则的表达式通常有三类：类型（type）、传输方向（dir）和协议（proto）。

1.类型主要包括host(主机)、net（网络号）和port（段口号），默认为主机类型。

如：host 192.168.0.1，指主机地址为192.168.0.1的机器。

net 192.168.0.0，指网络号为192.168.0.0的网络。

port 23，指端口号为23。

2.传输方向。

关键字主要包括“src”、“dst”、“dst or src”、“dst andsrc”其中“src”为发送数据的源，而“dst”为接收数据的目标。

这些关键字指明了传输的方向。

如果没有指明方向关键字，则缺省是“dst or src”关键字。

如：src host 192.168.0.1指主机源地址是192.168.0.1dst net 192.168.0.0指目的网络地址是192.168.0.03.网络协议。

实验一：Ethereal使用入门一、实验目的熟悉分组嗅探器Ethereal实验环境，学习使用Ethereal捕获数据的方法。

二、实验原理“不闻不若闻之，闻之不若见之，见之不若知之，知之不若行之”-----中国谚语。

一个人对网络协议的理解通常通过以下方法能够得到极大的深化：观察它们的工作过程和使用它们，即观察两个协议实体之间交换的报文序列，钻研协议操作的细节，使协议执行某些操作，观察这些动作及其后果，这能够在仿真环境下或在如因特网这样的真实网络环境下完成。

在Ethereal实验中，我们将采用后一种方法，使用桌面上的计算机在各种情况下运行网络应用程序，在计算机上观察网络协议与在因特网别处执行的协议实体进行交互和交换报文的情况。

因此，你与你的计算机将是这些实际实验的组成部分，在实际动手实验中进行观察学习。

观察在执行协议的实体之间交换的报文的基本工具被称为分组嗅探器（packet sniffer）。

顾名思义，一个分组嗅探器被动地拷贝（嗅探）由你的计算机发送和接收的报文，它也能存储并显示出这些被俘获报文的各个协议字段的内容。

一个分组嗅探器本身是被动的，它观察运行在你计算机上的应用程序和协议收发的报文，但它自己从不发送任何分组。

同样，接收到的分组也不会显式地标注是给分组嗅探器的。

实际上，一个分组嗅探器收到的是运行在你机器上应用程序和协议收发的分组的备份。

图1显示了一个分组嗅探器的结构。

图1的右边是正常的运行在你的计算机上的协议和应用程序（比如FTP client）。

在图中虚线矩形中的分组嗅探器是在你计算机中额外安装的软件，由两部分组成：一部分是分组捕获库（packet capture library），一部分是分组解析器（packet analyzer）。

分组获取库获得了从你主机发出或接收的每一个链路层数据帧的拷贝，更高层协议（HTTP、FTP、TCP、UDP、DNS、IP）传输的信息最终都被封装在链路层帧里，通过物理介质传送出去（如网线）。

ethereal名词1. 分析题目并用中文翻译并英语解释- “ethereal”是一个形容词，意思是“轻柔的；缥缈的；超凡的”。

英文解释为“extremely delicate and light in a way that seems not to be of this world”。

例如：The dancer moved with an ethereal grace.（舞者以一种超凡的优雅姿态舞动着。

）2. 关于词干（词根）、前缀、后缀的使用情况- 词干“ether”，在古希腊神话中，“ether”是指“苍天，上层空气”，有“天空的，天上的”这种比较空灵、超凡的概念相关的含义。

“ - eal”是一个形容词后缀，加在名词词干“ether”后面，将其转变为形容词“ethereal”，表示具有“ether”那种空灵、超凡的性质。

这个单词没有常见的前缀。

3. 不同词式造句及翻译- 形容词形式- 句子1：The ethereal beauty of the sunset took my breath away.（日落那超凡的美让我惊叹不已。

）- 句子2：Her voice had an ethereal quality that made the song very moving.（她的声音有一种轻柔的特质，使得这首歌非常动人。

）- 句子3：The painting gives an ethereal impression of a dreamy landscape.（这幅画给人一种梦幻般风景的缥缈印象。

）- 副词形式（ethereally）- 句子1：The ballerina moved ethereally across the stage.（芭蕾舞女演员轻盈地在舞台上移动。

）- 句子2：The light shone ethereally through the mist.（光线缥缈地透过薄雾照射下来。

Ethereal 使用说明1.工具认识Ethereal 是一款绿色版的网络抓包、报文分析工具，不需要安装，但是要装WinPcap 。

安装过程简单这里就不做说明。

Ethereal:WinPcap:2.报文抓取点击工具栏中最左边的第二个图标 “Show the capture options ”进入界面如下：123三个地方需要设置：①Interface，选择自己电脑的网卡。

②Capture Filter，在里面设置抓取过滤条件，如host 222.111.112.215就是只抓取有这个ip地址参与的报文交互。

其他过滤规则在下文Ethereal使用详细说明中有介绍。

③Display Options，前两个选中，在抓取的过程中可以查看报文信息。

设好了点Start，弹出界面如下，停止抓包点击stop。

3.报文查看Filter内可以输入过滤规则，常用的语句有mms、ip.addr==222.111.112.5等，同时过滤多个规则可以使用&&合并，如下图。

mms是最常用的的过滤规则，直接过滤出mms报文，我们要查看的有用的信息都在mms类报文内。

其他过滤规则在下文Ethereal使用详细说明中有介绍。

4.Ethereal使用详细说明4.1界面菜单介绍本节将逐个介绍Ethereal各菜单项的功能：4.1.1“File”菜单图4-1 “File”拉菜单图4-1 “File”菜单。

其中：“Open”即打开已存的抓包文件；“Open Recent”即打开近期已察看的抓包文件，类似windows的最近访问过的文档；“Merge”字面是合并的意思，其实是追加的意思，即当前捕获的报文追加到先前已保存的抓包文件中。

“Save”和”save as”即保存、选择保存格式。

“File Set”用于Ethereal当前打开的多个文件前后切换，以及各文件的基本属性描述。

“Export”是输出的意思。

“Print”打印。

网络监听工具Ethereal使用说明1.1 Ethereal简介Ethereal是一款免费的网络协议分析程序，支持Unix、Windows。

借助这个程序，你既可以直接从网络上抓取数据进行分析，也可以对由其他嗅探器抓取后保存在硬盘上的数据进行分析。

你能交互式地浏览抓取到的数据包，查看每一个数据包的摘要和详细信息。

Ethereal有多种强大的特征，如支持几乎所有的协议、丰富的过滤语言、易于查看TCP会话经重构后的数据流等。

它的主要特点为：·支持Unix系统和Windows系统·在Unix系统上，可以从任何接口进行抓包和重放·可以显示通过下列软件抓取的包·tcpdump·Network Associates Sniffer and Sniffer Pro·NetXray·Shomiti·AIX’s iptrace·RADCOM & RADCOM’s WAN/LAN Analyzer·Lucent/Ascend access products·HP-UX’s nettl·Toshiba’s ISDN routers·ISDN4BSD i4btrace utility·Microsoft Network Monitor·Sun snoop·将所抓得包保存为以下格式：·libpcap (tcpdump)·Sun snoop·Microsoft Network Monitor·Network Associates Sniffer∙可以根据不同的标准进行包过滤∙通过过滤来查找所需要的包∙根据过滤规则，用不同的颜色来显示不同的包∙提供了多种分析和统计工具，实现对信息包的分析图1-1 Ethereal抓包后直观图图1是Ethereal软件抓包后的界面图，我们可以根据需要，对所抓得包进行分析。

实验： ethereal软件的使用（一）【实验目的】1、熟悉并掌握Ethereal的基本操作。

2、了解网络协议实体间进行交互以及报文交换的情况。

【实验设备】与因特网连接的计算机网络系统；主机操作系统为windows；Ethereal、IE等软件。

【实验步骤】一个人要深入理解网络协议，需要：观察它们的工作并使用它们，即观察两个协议实体之间交换的报文序列，探究协议操作的细节，使协议实体执行某些动作，观察这些动作及其影响。

这些任务可以在仿真环境下或在如因特网这样的真实网络环境中完成。

观察在正在运行协议实体间交换报文的基本工具被称为分组嗅探器（packet sniffer）。

顾名思义，一个分组嗅探器俘获（嗅探）由你的计算机发送和接收的报文。

一般情况下，分组嗅探器将存储和显示出被俘获报文的各协议字段的内容。

图1显示了一个分组嗅探器的结构。

图1右边是计算机上正常运行的协议（在这里是因特网协议）和应用程序（如：web浏览器和ftp客户端）。

分组嗅探器（虚线框中的部分）是附加计算机普通软件上的，主要有两部分组成。

分组俘获库（packet capture library）接收计算机发送和接收的每一个链路层帧的拷贝。

高层协议（如：HTTP、FTP、TCP、UDP、DNS、IP等）交换的报文都被封装在链路层帧中，并沿着物理媒体（如以太网的电缆）传输。

图1假设所使用的物理媒体是以太网，并且上层协议的报文最终封装在以太网帧中。

分组嗅探器的第二个组成部分是分组分析器。

分组分析器用来显示协议报文所有字段的内容。

为此，分组分析器必须能够理解协议所交换的所有报文的结构。

例如：我们要显示图1中HTTP协议所交换的报文的各个字段。

分组分析器理解以太网帧格式，能够识别包含在帧中的IP数据报。

分组分析器也要理解IP数据报的格式，并能从IP数据报中提取出TCP 报文段。

然后，它需要理解TCP报文段，并能够从中提取出HTTP消息。

最后，它需要理解HTTP消息。

实验一：Ethereal使用入门一、实验目的熟悉分组嗅探器Ethereal实验环境，学习使用Ethereal捕获数据的方法。

二、实验原理“不闻不若闻之，闻之不若见之，见之不若知之，知之不若行之”-----中国谚语。

一个人对网络协议的理解通常通过以下方法能够得到极大的深化：观察它们的工作过程和使用它们，即观察两个协议实体之间交换的报文序列，钻研协议操作的细节，使协议执行某些操作，观察这些动作及其后果，这能够在仿真环境下或在如因特网这样的真实网络环境下完成。

在Ethereal实验中，我们将采用后一种方法，使用桌面上的计算机在各种情况下运行网络应用程序，在计算机上观察网络协议与在因特网别处执行的协议实体进行交互和交换报文的情况。

因此，你与你的计算机将是这些实际实验的组成部分，在实际动手实验中进行观察学习。

观察在执行协议的实体之间交换的报文的基本工具被称为分组嗅探器（packet sniffer）。

顾名思义，一个分组嗅探器被动地拷贝（嗅探）由你的计算机发送和接收的报文，它也能存储并显示出这些被俘获报文的各个协议字段的内容。

一个分组嗅探器本身是被动的，它观察运行在你计算机上的应用程序和协议收发的报文，但它自己从不发送任何分组。

同样，接收到的分组也不会显式地标注是给分组嗅探器的。

实际上，一个分组嗅探器收到的是运行在你机器上应用程序和协议收发的分组的备份。

图1显示了一个分组嗅探器的结构。

图1的右边是正常的运行在你的计算机上的协议和应用程序（比如FTP client）。

在图中虚线矩形中的分组嗅探器是在你计算机中额外安装的软件，由两部分组成：一部分是分组捕获库（packet capture library），一部分是分组解析器（packet analyzer）。

分组获取库获得了从你主机发出或接收的每一个链路层数据帧的拷贝，更高层协议（HTTP、FTP、TCP、UDP、DNS、IP）传输的信息最终都被封装在链路层帧里，通过物理介质传送出去（如网线）。