在我們不斷地對(duì)網(wǎng)絡(luò)協(xié)議進(jìn)行學(xué)習(xí)的過(guò)程中，應(yīng)該對(duì)網(wǎng)絡(luò)協(xié)議分析軟件有所了解。那么這里我們則重點(diǎn)結(jié)婚掃的是ethereal網(wǎng)絡(luò)協(xié)議分析軟件。ethereal網(wǎng)絡(luò)協(xié)議分析軟件可以用來(lái)從網(wǎng)絡(luò)上抓包,并能對(duì)包進(jìn)行分析.下面介紹windows 下面ethereal 的使用方法。

安裝

1）安裝winpcap,下載地址http://netgroup-serv.polito.it/winpcap/install/Default.htm 2）安裝ethereal ,下載地址http://www.ethereal.com/

使用windows 程序,使用很簡(jiǎn)單.

啟動(dòng)ethereal 以后,選擇菜單Capature->Start ,就OK 了.當(dāng)你不想抓的時(shí)候,按一下stop, 抓的包就會(huì)顯示在面板中,并且已經(jīng)分析好了.

下面是一個(gè)截圖:

ethereal網(wǎng)絡(luò)協(xié)議分析軟件使用－capture選項(xiàng)

nterface: 指定在哪個(gè)接口（網(wǎng)卡）上抓包.一般情況下都是單網(wǎng)卡,所以使用缺省的就可以了Limit each packet: 限制每個(gè)包的大小,缺省情況不限制

Capture packets in promiscuous mode: 是否打開(kāi)混雜模式.如果打開(kāi),抓取所有的數(shù)據(jù)包.一般情況下只需要監(jiān)聽(tīng)本機(jī)收到或者發(fā)出的包,因此應(yīng)該關(guān)閉這個(gè)選項(xiàng).Filter:過(guò)濾器.只抓取滿足過(guò)濾規(guī)則的包（可暫時(shí)略過(guò)） File:如果需要將抓到的包寫(xiě)到文件中,在這里輸入文件名稱.use ring buffer: 是否使用循環(huán)緩沖.缺省情況下不使用,即一直抓包.注意,循環(huán)緩沖只有在寫(xiě)文件的時(shí)候才有效.如果使用了循環(huán)緩沖,還需要設(shè)置文件的數(shù)目,文件多大時(shí)回卷

其他的項(xiàng)選擇缺省的就可以了

ethereal的抓包過(guò)濾器

抓包過(guò)濾器用來(lái)抓取感興趣的包,用在抓包過(guò)程中. 抓包過(guò)濾器使用的是libcap 過(guò)濾器語(yǔ)言,在tcpdump 的手冊(cè)中有詳細(xì)的解釋,基本結(jié)構(gòu)是: [not] primitive [and|or [not] primitive ...]

個(gè)人觀點(diǎn),如果你想抓取某些特定的數(shù)據(jù)包時(shí),可以有以下兩種方法,你可以任選一種, 個(gè)人比較偏好第二種方式:

1、在抓包的時(shí)候,就先定義好抓包過(guò)濾器,這樣結(jié)果就是只抓到你設(shè)定好的那些類型的數(shù) 據(jù)包;

2、先不管三七二十一,把本機(jī)收到或者發(fā)出的包一股腦的抓下來(lái),然后使用下節(jié)介紹的顯 示過(guò)濾器,只讓Ethereal 顯示那些你想要的那些類型的數(shù)據(jù)包;

etheral網(wǎng)絡(luò)協(xié)議分析軟件的顯示過(guò)濾器（重點(diǎn)內(nèi)容）

在抓包完成以后,顯示過(guò)濾器可以用來(lái)找到你感興趣的包,可以根據(jù)1)協(xié)議2)是否存在某個(gè)域3)域值4)域值之間的比較來(lái)查找你感興趣的包.

舉個(gè)例子,如果你只想查看使用tcp 協(xié)議的包,在ethereal 窗口的左下角的Filter 中輸入tcp, 然后回車,ethereal 就會(huì)只顯示tcp 協(xié)議的包.如下圖所示:

#p#

值比較表達(dá)式可以使用下面的操作符來(lái)構(gòu)造顯示過(guò)濾器自然語(yǔ)言類c 表示舉例eq == ip.addr==10.1.10.20 ne != ip.addr!=10.1.10.20 gt > frame.pkt_len>10 lt < frame.pkt_len<10 ge >= frame.pkt_len>=10 le <= frame.pkt_len<=10

表達(dá)式組合可以使用下面的邏輯操作符將表達(dá)式組合起來(lái)自然語(yǔ)言類c 表示舉例and && 邏輯與,比如ip.addr=10.1.10.20&&tcp.flag.fin or || 邏輯或,比如ip.addr=10.1.10.20||ip.addr=10.1.10.21 xor ^^ 異或,如tr.dst[0:3] == 0.6.29 xor tr.src[0:3] == not ! 邏輯非,如 !llc

例如:

我想抓取IP 地址是192.168.2.10 的主機(jī),它所接收收或發(fā)送的所有的HTTP 報(bào)文,那么合適的顯示Filter （過(guò)濾器）就是:

在ethereal網(wǎng)絡(luò)協(xié)議分析軟件 使用協(xié)議插件

ethereal 能夠支持許多協(xié)議,但有些協(xié)議需要安裝插件以后才能解,比如H.323,以H.323 協(xié)議為例,首先下載ethereal 的H.323 插件,下載地址http://www.voice2sniff.org/ 下載完了以后將文件(h323.dll) 解壓到ethereal 安裝目錄的plugin\0.9.x 目錄下面,比如我的是0.9.11 ,然后,需要進(jìn)行一下設(shè)置1)啟動(dòng)ethereal 2)菜單Edit->Preference 3)單擊Protocols 前面的"+"號(hào),展開(kāi)Protocols 4)找到Q931 ,并單擊5)確保"Desegment.... TCP segments" 是選中的（即方框被按下去）6)單擊TCP 7)確保"Allow....TCP streams" 是選中的8)確保沒(méi)有選中"Check....TCP checksum" 和"Use....sequence numbers" 9)單擊TPKT 10)確保"Desegment....TCP segments" 是選中的11)點(diǎn)擊Save,然后點(diǎn)擊Apply ,然后點(diǎn)擊OK 你也完全可以不斷地重新安裝新版本winpcap 和ethreal, 這樣就可以不需在舊的ethreal 的版本中安裝新的插件來(lái)支持新的協(xié)議插件.