Ethereal 使用方法.docx

Ethereal 使用方法.docx

《Ethereal 使用方法.docx》由会员分享，可在线阅读，更多相关《Ethereal 使用方法.docx（117页珍藏版）》请在冰豆网上搜索。

Ethereal使用方法

Ethereal－0.10.14用户手册

UlfLamping,

RichardSharpe,NSComputerSoftwareandServicesP/L

EdWarnicke,

目录

1Ethereal介绍5

1.1Ethereal为何物？

5

1.1.1Ethereal可以帮人们做什么？

5

1.1.2界面功能5

1.1.3实时的从不同网络介质抓取数据包6

1.1.4导入来自其它抓包工具的文件6

1.1.5为其它抓包工具导出文件6

1.1.6丰富的协议解码器7

1.1.7开放源代码软件7

1.1.8Ethereal不能做什么？

7

1.2Ethereal运行平台7

1.2.1Unix7

1.2.2Linux8

1.2.3MicrosoftWindows8

1.3那里可以得到ethereal?

8

1.4Ethereal的读法9

1.5Ethereal的历史9

1.6Ethereal的设计和维护9

1.7问题报告和获得帮助9

1.7.1Web网站9

1.7.2WIKI10

1.7.3FAQ10

1.7.4邮件列表10

1.7.5问题报告10

1.7.6liunx/unix平台崩溃报告11

1.7.7Windows平台崩溃报告11

2编译和安装ethereal11

2.1介绍11

2.2获得ethereal源代码和应用发布版本12

2.3UNIX平台编译ethereal之前准备工作12

2.4UNIX平台编译ethereal源代码13

2.5UNIX平台应用版本安装13

2.5.1RedHat的RPMs方式安装14

2.5.2Debian的安装方式14

2.6解决UNIX下安装失败问题14

2.7Windows下源代码的编译14

2.8Windows下Ethereal安装14

2.8.1安装ethereal14

2.8.2升级ethereal15

2.8.3卸载ethereal15

3用户操作界面15

3.1介绍15

3.2启动ethereal15

3.3ethereal主界面15

3.4“TheMenu”主菜单16

3.4.1“File”文件菜单18

3.4.2“Edit”编辑菜单19

3.4.3“View”视图菜单21

3.4.4“GO”跳转菜单23

3.4.5“Capture”抓包菜单24

3.4.6“Analyze”分析菜单24

3.4.7“Statistics”统计报表菜单26

3.4.8“Help”帮助菜单27

3.5“Main”常用工具栏28

3.6“FilterToolbar”显示过滤器工具栏30

3.7“PacketList”数据包列表窗格31

3.8“PacketDetails”数据包信息树窗格31

3.9“PacketBytes”数据包字节窗格32

3.10“Statusbar”状态栏32

4网络数据包实时抓取33

4.1介绍33

4.2使用Ethereal前的准备工作33

4.3如何开始抓包？

33

4.4“CaptureInterfaces”抓包网络接口窗口34

4.5“CaptureOptions”抓包选项窗口35

4.5.1“Capture”抓包常规框35

4.5.2“CaptureFile（s）”数据包文件框36

4.5.3“StopCapture…”停止抓包框37

4.5.4“DisplayOptions”显示选型框38

4.5.5“NameResolution”名称解析框38

4.5.6“Buttons”按键39

4.6数据包文件和文件模式39

4.7“Link-layerheadertype”链接层数据头类型40

4.8抓包过滤器40

4.9抓包状态信息窗口42

4.9.1停止抓包42

4.9.2重新开始抓取43

5数据包文件导入、导出和打印43

5.1介绍43

5.2“Open”打开数据包文件43

5.2.1“OpenCaptureFile”打开数据包文件窗口44

5.2.2支持导入文件格式45

5.3“SaveAs”存储数据包45

5.3.1输出文件格式46

5.4“Merging”合并数据包文件47

5.5“FileSets”文件系48

5.6“Exporting”导出文件49

5.6.1“ExportingasPlainTextFile”导出无格式文件49

5.6.2“ExportasPostScriptFile”导出PS格式文件50

5.6.3“ExportasCSV（CommaSeperatedValues）File”导出CSV（逗号分割）文件50

5.6.4“ExportasPSMLFile”导出PSML格式文件51

5.6.5“ExportasPDMLFile”导出PDML格式文件51

5.6.6“Exportselectedpacketbytes”导出被选择数据包数据52

5.7“Printing”打印数据包53

5.8“PacketRange”数据包范围窗格55

6数据包分析55

6.1如何查看数据包55

6.2显示过滤器60

6.3如何书写显示过滤器表达式61

6.3.1显示过滤器字段61

6.3.2比较操作的数据类型和操作符62

6.3.3组合表达式62

6.3.4显示过滤器常见误解63

6.4“FilterExpression”过滤器表达式窗口64

6.5定义和存储过滤器65

6.6搜索数据包67

6.6.1“FindPacket”搜索数据包窗口67

6.6.2“FindNext”寻找下一个68

6.6.3“FindPrevious”寻找上一个68

6.7“GO”跳转68

6.7.1“GoBack”后退68

6.7.2“GoForward”向前68

6.7.3“GotoPacket”跳转到68

6.7.4“GotoCorrespondingPacket”跳转到相关数据包69

6.7.5“GotoFirstPacket”跳到第一个数据包69

6.7.6“GotoLastPacket”跳到最后一个数据包69

6.8标记数据包69

6.9时间显示格式和时间基准点70

6.9.1时间显示格式70

6.9.2时间基准点70

7高级工具72

7.1介绍72

7.2“FollowingTCPstreams”跟踪TCP数据流72

7.2.1TCP数据流跟踪窗口73

7.3TimeStamps时间标记74

7.3.1Ethereal内部时间格式74

7.3.2数据包文件时间格式74

7.3.3时间正确性74

7.4时区问题75

7.4.1什么是时区？

75

7.4.2为你的计算机设置正确时间75

7.4.3Ethereal和时区76

7.5数据包重组76

7.5.1什么是数据包重组？

76

7.5.2Ethereal如何实现包重组76

7.6名称解析77

7.6.1以太网名称解析（MAC层）77

7.6.2IP名称解析（网络层）78

7.6.3IPX名称解析（网络层）78

7.6.4TCP/UDP端口名称解析（传输层）78

7.7确保数据完整性78

7.7.1Ethereal核对概要79

7.7.2硬件里的概要计算和确认79

8统计79

8.1介绍79

8.2“Summary”统计窗口80

8.3“ProtocolHierrrchy”协议层次统计窗口81

8.4“Endpoint”终端统计82

8.4.1Endpoint终端是什么？

82

8.4.2终端统计窗口83

8.5会话统计Conversations83

8.5.1什么是会话83

8.5.2会话窗口83

8.6IO曲线图窗口85

8.7服务响应时间统计86

9Ethereal客户配置87

9.1介绍87

9.2定义数据包颜色87

9.3控制协议解析器89

9.3.1“EnabledProtocols”协议解析开关窗口89

9.3.2用户配置解码90

9.3.3查看定义的解码方式91

9.4参数选择92

1Ethereal介绍

1.1Ethereal为何物？

Ethereal是开源网络数据包分析软件。

数据包分析软件会抓取数据包，并试图逐条详细地显示数据包数据。

你可以认为数据包分析软件是一个用户检查网络数据报文的设备，就像用电压表测量电路电压。

以往数据包分析软件都是非常昂贵的或私有的。

但Ethereal出现以后，这一切都改变了。

Ethereal可能是现在最好的开放源码的数据包分析软件。

1.1.1Ethereal可以帮人们做什么？

有些人使用ethereal完成以下工作：

●网络管理员使用它去充当网络程序故障检修工具

●网络安全工程师使用它检查安全软件

●开发人员使用它发现协议运行中的bug

●很多人使用它监听内网数据

●等等

总之，ethereal可以在很多环境里帮助人们。

1.1.2界面功能

Ethereal操作界面很友善，提供以下功能按键：

●UNIX和windows下都可以运行

●抓取从网络上抓到活动的数据包

●真实的显示数据包协议信息

●打开和保存被抓取的数据包文件

●导入和导出数据包用于和其它抓包软件互动

●标准的数据包过滤器

●标准的数据包搜索

●基于过滤器的数据包彩色显示

●创建多种统计报表

●等等！

可是你想真正了解它的威力，你必须亲自去使用它！

1.1.3实时的从不同网络介质抓取数据包

Ethereal可以从网络介质上抓取流过的数据包。

至于网络介质支持的类型，依赖于你使用的操作系统，您可以去这里察看所有被支持的网络介质：

1.1.4导入来自其它抓包工具的文件

Ethereal可以打开大量其它抓包工具制作的数据包文件，具体支持情况请查看“导入文件格式”

1.1.5为其它抓包工具导出文件

Ethereal可以将抓取得数据包文件导出，并提供给其它抓包工具使用。

具体支持情况请查看“导出文件格式”。

1.1.6丰富的协议解码器

Ethereal支持丰富的网络协议解析，具体支持情况请查看“附录B：

协议和协议域”。

1.1.7开放源代码软件

Ethereal是一个开放源代码软件工程，被GNUGeneralPublicLicence（GPL）发布。

你可以免费的使用ethereal不用考虑软件使用授权问题。

在GPL下有很多的免费开源软件，所以，ethereal加入一个新的协议支持、插件或源代码修改都非常容易。

1.1.8Ethereal不能做什么？

以下这些功能是ethereal不提供的：

●Ethereal并不是个IDS入侵监测系统。

当网络上发生某个事情的时候他不会警告你。

当一个网络异常发生的时候，ethereal会帮您描述正在网络发生的问题。

●Ethereal并不能操作您的网络，它仅仅是一个测量工具。

它不发送数据包或者作其他的主动行动。

1.2Ethereal运行平台

Ethereal可以运行在很多的UNIX和各种windows平台上运行，它需要一些辅助软件库如：

GTK+,GLib,libpcap，其他一些库。

如果你安装后ethereal无法运行，请可以下在源程序去修正它。

并请将您的使用经历发给：

ethereal-dev@

支持平台如下：

1.2.1Unix

•AppleMacOSX

•BeOS

•FreeBSD

•HP-UX

•IBMAIX

•NetBSD

•OpenBSD

•SCOUnixWare/OpenUnix

•SGIIrix

•SunSolaris/Intel

•SunSolaris/Sparc

•Tru64UNIX（formerlyDigitalUNIX）

1.2.2Linux

•DebianGNU/Linux

•GentooLinux

•IBMS/390Linux（RedHat）

•MandrakeLinux

•PLDLinux

•RedHatLinux

•RockLinux

•SlackwareLinux

•SuseLinux

1.2.3MicrosoftWindows

支持:

•WindowsServer2003/XP/2000/NT4.0

•WindowsMe/98

不支持：

•WindowsCE

•WindowsNT/XPEmbedded

•Windows95isnolongeractivelymaintainedbyWinPcap,butstillmayworkperfectly

没有测试平台：

•WindowsXP64-bitEdition

•WindowsVista（akaLonghorn）

1.3那里可以得到ethereal?

您可以从下载最新的ethereal版本。

此网站允许您选择多种镜像下载服务器。

每4-8周会发布一个新的ethereal版本。

如果你希望在新版本发布时得到通知，你应该去加入ethereal邮件列表。

“邮件列表”章节有详细地介绍。

1.4Ethereal的读法

有人把ethereal拆解为：

ethe-real、e-the-real等，你也可以按你喜欢的方式去叫它。

在FQA里给出的是“e-the-real”。

1.5Ethereal的历史

1997年，GeraldCombs需要一个跟踪网络协议的工具，并想学习更多的网络知识。

他开始开发ethereal。

1998年七月，ethereal推出了0.2.0版本，在那些日子里，补丁、bug报告和鼓励使ethereal走向成功。

不久之后，GilbertRamirez看到了他的潜力，并提供了一个低等级协议分析器给他。

1998年十月，GuyHarris申请加入开发，并提供协议解析器。

1998年底，RichardSharpe加入，并提供TCP/IP框架结构，可以很清晰地看到那些协议被支持，也可以轻松的加入新的协议解析器。

之后，ethereal开始蓬勃发展。

1.6Ethereal的设计和维护

Ethereal最初是由GeraldCombs设计。

目前它的设计和维护是由EtherealTeam完成。

开放的团队谁都可以修复BUG和提供新功能。

众多的人为Ethereal协议解析器做出了贡献，你可以在“关于Ethereal”里看到众多的提供源代码的人们，或在ethereal作者页也可以看到他们。

你设计将在三个体现出对人们的帮助：

●很多人会发现你的设计，并应用它在自己的工作中。

你会发现你帮助了很多人。

●Ethereal可能会在改善您的设计，或在此之上作更多的上层设计。

●Ethereal的设计和维护人员会精心的维护您的设计代码，并修改它当API或其他调用变化的时候。

当新版本发布的时候，您的新设计可能就被包含进去了。

1.7问题报告和获得帮助

如果你对ethereal有一些疑问，或需要帮助，一下这些地方会对你有帮助。

1.7.1Web网站

在ethereal主站可以找到大量的技术信息。

.

1.7.2WIKI

在里你可以得到更广泛的帮助信息。

有很都信息是没有被包含在用户手册里的技术细节。

你也可以发表自己的见解，比如你对某一个协议很了解，你可以发表文章。

1.7.3FAQ

FAQ即常见问题答复。

建议你在提出问题之前，先查阅FAQ很可能找到答案。

网址：

1.7.4邮件列表

Ethereal提供几种邮件列表：

●Ethereal通告：

告诉你有新的版本发布，每4-8周发布一次新版本

●Ethereal用户：

人们使用ethereal时遇到的问题和别人给于地答复

●Ethereal开发：

如果你想加入ethereal开发，加入此列表

你可以到ethereal网站订阅这些邮件列表。

建议你再提出问题之前搜索邮件列表，如果找到答案，就不用再等待别人答复了！

1.7.5问题报告

建议：

提出问题报告之前，请先安装最新版本的ethereal测试。

提出问题报告时，建议你提供以下信息，这对解答问题非常有帮助。

●您使用的ethereal版本号和使用的相关库如GTK+等，这些信息你可以使用ethereal–v获得

●运行平台

●详细逐条描述你遇到的问题

●如果你得到了一个error/wanning错误提示信息，请拷贝这些信息，并记录。

请不要给出"Igetawarningwhiledoingx"的提示信息，这没什么帮助。

注意：

●不要发送大文件（100KB）在邮件中，

●为了您的安全也不要发送包含您敏感信息的问题报告。

1.7.6liunx/unix平台崩溃报告

你可以使用以下命令得到崩溃报告信息

$gdb`whereisethereal|cut-f2-d:

|cut-d''-f2`core>&bt.txt

backtrace

^D

$

Backtrace是一个gdb命令。

输入后没有回显信息。

^D是一个gdb结束命令，输入后你会结束gdb,并在当前目录下形成bt.txt文件。

此文件包含了ethereal崩溃信息。

你应该发送此文件到:

ethereal-dev@

1.7.7Windows平台崩溃报告

Windows不能产生.pdb文件，应为他太大了。

你只能自己来描述。

2编译和安装ethereal

2.1介绍

为了使用ethereal你必须获得:

●针对你操作系统的应用程序版本

●针对你操作系统的源代码

由于支持的操作系统众多，版本更新也很快，确保你得到的是最新版本。

通常安装步骤为：

●下载最新发布版本，应用版本或源代码版本。

●编译源代码，产生应用程序，安装必须的各种运行库

●安装应用程序

2.2获得ethereal源代码和应用发布版本

你可以在ethereal网站得到源代码和应用程序两个发布版本。

你可能发现应用程序版本没有真对你的平台的，此时你可能需要下在源代码发布版本，在本地从新编译。

一旦你下在了发布版本，你就可以进行下一步了。

2.3UNIX平台编译ethereal之前准备工作

你在编译ethereal之前或安装应用发布版本之前。

你应该确认以下软件已经正确安装：

●GTK+（TheGIMPToolKit）你可以从www.gtk.org下载

●Libpcap你可以从www.tcpdump.org下载

由于你的平台不同，可能需要安装他们的应用版本如RPMs，跟多的时候需要源代码进行编译。

如果你下载了GTK+的源代码，你可以这样安装GTK+:

gzip-dcgtk+-1.2.10.tar.gz|tarxvf-

cdgtk+-1.2.10

./configure

make

makeinstall

如果你使用的是liunx,或者安装了GNUtar。

你也可以使用tarzxvfgtk+-1.2.10.tar.gz。

在很多的UNIX平台上可能使用gunzip-corgzcat比gzip-db更好。

如果你使用windows平台下在文件，文件名可能是gtk+-1_2_8_tar.gz

如果你下载了libpcap的源代码发布版本。

你可以这样来安装：

gzip-dclibpcap-0.8.3.tar.Z|tarxvf-

cdlibpcap_0_8_3

./configure

make

makeinstall

makeinstall-incl

如果使用RetHatlinux6.2以后平台，可以使用RPMs发布版本安装，如下：

cd/mnt/cdrom/RedHat/RPMS

rpm-ivhglib-1.2.6-3.i386.rpm

rpm-ivhglib-devel-1.2.6-3.i386.rpm

rpm-ivhgtk+-1.2.6-7.i386.rpm

rpm-ivhgtk+-devel-1.2.6-7.i386.rpm

rpm-ivhlibpcap-0.4-19.i386.rpm

在Debian系统上安装，使用如下命令：

apt-getinstallethereal

2.4UNIX平台编译ethereal源代码

按照以下步骤编译Ethereal源代码：

1．拆包

tarzxvfethereal-0.10.14-tar.gz

某些UNIX平台可能需要这样做：

gzip-dethereal-0.10.14-tar.gz

tarxvfethereal-0.10.14-tar

2．更改ethereal源代码目录

3．编译前自动配置

./configure

4．编译

make

5．安装

makeinstall

安装完毕后，就可以键入ethereal开始运行了。

2.5UNIX平台应用版本安装

通常情况下不同UNIX平台下安装方法都是不同的，例如：

AIX，需要使用smit去安装ethereal应用版本，而在Tru64UNIX下，需要使用setld来安装。

2.5.1RedHat的RPMs方式安装

rpm-ivhethereal-0.10.5-0.2.2.i386.rpm

如果提示没有相关库，请参考：

“如果使用RetHatlinux6.2以后平台。

。

。

”

2.5.2Debian的安装方式

apt-getinstalletherea