Ethereal 使用

Ethereal

标簽 ： 網絡抓包工具

界面菜單

File : 這個菜單包含：打開檔案 、合并檔案、儲存、列印、導出檔案
Edit : 這個菜單包含：查找包、時間參照、···
View : 這個菜單控制捕獲資料的顯示，包括：給定特定的一類包标以不同的顔色、字型縮放、在一個新視窗中顯示一個包、展開&折疊詳細資訊面闆的樹狀結構
Go : 這個菜單實作轉到一個特定包
Capture : 這個菜單實作開始、停止捕獲，編輯捕獲過濾條件的功能
Analyze : 這個菜單包含編輯顯示過濾、enable(開)或disable(關)協定解碼器、配置使用者指定的解碼方法、追蹤一個TCP 流
Statistics : 該菜單完成統計功能。包括捕獲的包的一個摘要、基于協定的包的數量等樹狀統計圖等許多功
Help : 這個菜單包含了一些對使用者有用的資訊。比如基本幫助、支援的協定清單、手冊頁、線上通路到網站等等
           

嗅探選項

1. Interface（接口）

首先要選擇合适的接口，也就是網卡，如果不選擇合适的接口，可能捕獲不到資料包。

如果一台機器同時擁有以太網網卡和無線網絡網卡，你必須選擇其中一個進行監測。

2. IP address(IP 位址)

所選接口卡的IP 位址。如果不能解析出IP 位址，則顯示”unknown”。

3. Link-layer header type(鍊路層頭類型)

除非你在極個别的情況下可能用到這個字段，大多數情況下保持預設值。

4. Buffer size: n megabyte(s) (緩沖區大小：n 兆)

輸入捕獲時使用的buffer 的大小。這是核心buffer 的大小，捕獲的資料首先儲存在這裡，直到寫入磁盤。

如果遇到包丢失的情況，增加這個值可能解決問題。實驗中保持預設值。

5. Capture packets in promiscuous mode (在混雜模式捕獲包)

這個選項允許設定是否将網卡設定在混雜模式。

如果不指定，Ethereal 僅僅捕獲那些進入你的計算機的或送出你的計算機的包。(而不是LAN 網段上的所有包)。

要想把網絡接口設定為混雜模式，需要對這台計算機具有管理者特權。可以選。

6. Limit each packet to n bytes (限制每一個包為n 位元組)

這個字段設定每一個資料包的最大捕獲的資料量。有時稱作snaplen 。

如果disable 這個選項預設是65535, 對于大多數協定來講足夠了，保持預設值。

7. Capture Filter(捕獲過濾)

這個字段指定一個捕獲過濾。預設是空的，即沒過濾。

也可以點選标為Capture Filter 的按鈕, Ethereal 将彈出Capture Filters(捕獲過濾)對話框，來建立或者選擇一個過濾。

8. Capture File（捕獲檔案）

可以指定将捕獲的分組直接儲存在一個檔案中，而不是在記憶體中。選擇一個合适的檔案夾，将捕獲的資訊存入。

9. Use Multiple Files（使用多個檔案）

使用這個選項，分組可以被寫入多個檔案。這些控制對于捕獲較大較長的跟蹤記錄是很重要的。

10. Stop Capture（停止捕獲）

可以設定一些停止捕獲的選項，自動停止捕獲。

11. Name Resolution（名字解析）

在任何可能的情況下，可以要求Ethereal把分中不同的數字翻譯成為人們易讀的名字。如：啟用MAC位址轉換，Ethereal會将一部分位址轉化為廠商的名稱。如啟用網絡位址轉換，Ethereal會試圖将一個網絡位址（201.100.1.9的IP位址）轉化為一個主機名，如www.foo.com。

12. Update list of packets in real time （實時更新分組清單）

每個新的分組都會被添加到主視窗中的分組清單中去。

過濾文法

過濾器名稱  Filter name   (自定義起名)
過濾法則    Filter string （規範文法使用）
過濾文法    由 表示式 和 and/or/not 組成
           

host http://www.example.com and not (port  or port ) //圓括号優先級較高
host http://www.example.com and not port  and not port  
           

src host           //隻捕獲  源IP   位址的包,可加上src關鍵字
dst host       //隻捕獲  目的IP 位址的包,可加上dst關鍵字
           

udp dst port  //捕獲客戶機發送UDP請求資料包到DNS（端口号53）伺服器的情況
udp src port  //要探測DNS伺服器對客戶機的響應資料包
           

host               //捕獲IPv4位址（源或目的位址）的流量
host ::::a:c392:fc5a  //捕獲IPv6位址的主機流量
           

host Billgates        //捕獲域名
host www.google.com   //捕獲域名解析
           

src net /  //用net關鍵字來捕獲指定子網的資料包
ether host :d0:f8:::  //捕獲 MAC位址為 00:d0:f8:00:00:03 網絡裝置通信的所有封包
port  //