EtherApe是一個圖形化的網(wǎng)絡(luò)嗅探器。與Ehtereal不同，EtherApe通過驗(yàn)證主機(jī)與主機(jī)之間的鏈接，圖形化地顯示網(wǎng)絡(luò)目前所處的狀態(tài)。EtherApe使用不同顏色的連線來表示位于不同主機(jī)之間的連接，而連線的粗細(xì)則表明主機(jī)間數(shù)據(jù)流量的大小。這些信息都是實(shí)時變化的，因而能夠協(xié)助管理員隨時了解到網(wǎng)絡(luò)中各部分流量的變化情況。

EtherApe的安裝

EhterApe支持Ethernet、FDDI和Token Ring等多種網(wǎng)絡(luò)，能夠?qū)崟r地從網(wǎng)絡(luò)或文件中讀取網(wǎng)絡(luò)流量的變化情況。此外它還可以將網(wǎng)絡(luò)流量信息保存下來，以便在之后需要時再顯示出來。

下載鏈接：http://down.51cto.com/data/149263

>>去網(wǎng)絡(luò)安全工具百寶箱看看其它安全工具

下面以Ethereal 0.8.2為例，講述如何安裝EtherApe（使用的操作系統(tǒng)是RedHat 8.0）。

首先下載最新的源碼包并將其解壓縮，代碼如下：

# cp etherape-0.8.2.tar.gz /usr/local/src/  
# cd /usr/local/src/  
# tar xzvf etherape-0.8.2.tar.gz 

EtherApe使用的是GNOME這一圖形用戶接口庫。與Ethereal和Tcpdump一樣，它也使用pcap庫(libpcap)對網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)包進(jìn)行截獲和過濾。在編譯EtherApe之前，應(yīng)先確定所需的這些庫已經(jīng)安裝好，因?yàn)檫@是編譯EtherApe時所必需的。如果這些庫已經(jīng)安裝，就可以執(zhí)行下面的命令來編譯并安裝EtherApe：

# cd etherape-0.8.2  
# ./configure  
# make  
# make install 

用EtherApe分析網(wǎng)絡(luò)流量

當(dāng)編譯并安裝好EtherApe后，就可以執(zhí)行“etherape”命令來啟動EtherApe。

當(dāng)用EtherApe截獲在網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)包時，也需要先為其指定過濾規(guī)則，否則EthreApe將捕獲網(wǎng)絡(luò)中的所有數(shù)據(jù)包。單擊工具欄上的“Pref.”按鈕，打開“Preferences”對話框，在該對話框中的“Capture”屬性頁中，可以找到用于設(shè)置過濾規(guī)則的“Capture filter”下拉框。由于采用的都是pcap庫，因此EtherApe過濾規(guī)則的設(shè)置與Tcpdump和Ethereal是相同的。

設(shè)置好過濾規(guī)則后，單擊工具欄上的“Start”按鈕，就可以開始對網(wǎng)絡(luò)中感興趣的數(shù)據(jù)包進(jìn)行嗅探。EhterApe圖形化地顯示網(wǎng)絡(luò)流量，下圖是當(dāng)EtherApe處于Ethernet模式下時的網(wǎng)絡(luò)流量圖。

EtherApe提供了Token Ring、FDDI、Ethernet、IP和TCP五種監(jiān)聽模式。當(dāng)處于Ethernet模式下時，EtherApe會截獲所有符合過濾規(guī)則的以太網(wǎng)數(shù)據(jù)包，但有時網(wǎng)絡(luò)管理員可能只對IP數(shù)據(jù)包感興趣，這時可以將EtherApe切換到IP模式。

單擊“Capture”菜單，選擇“Mode”菜單項(xiàng)，然后再選擇相應(yīng)的模式，就可以完成模式之間的切換。

下圖是當(dāng)EhterApe處于IP模式下時的網(wǎng)絡(luò)流量圖。

EtherApe能夠以圖形的方式顯示網(wǎng)絡(luò)流量。用戶看到的是一個很直觀的用于表示網(wǎng)絡(luò)上各主機(jī)間流量大小的圖，而不是單個的數(shù)據(jù)包，因而更容易從整體上把握整個網(wǎng)絡(luò)的運(yùn)行狀況，在定位網(wǎng)絡(luò)故障時相對來說也變得更加容易。