Ethernal 使用

Ethereal是免费的网络协议检测程序，支持Unix，Windows。让您经由程序抓取运行的网站的相关资讯，包括每一封包流向及其内容、资讯可依操作系统语系看出,方便查看、监控TCP session动态等等.

下面介绍windows下面ethereal的使用方法。
一、安装
1、下载安装winpcap

http://coolersky.com/download/hacker/aidance/2005/0805/87.html

2、下载安装ethereal

http://coolersky.com/download/hacker/sniffer/2005/1227/152.html

说明：新版本ethereal已经整合winpcap，下载ethereal即可完成安装。
二、使用
启动ethereal以后，选择菜单Capature->Start，就OK了。当你不想抓的时候，按一下stop，抓的包就会显示在面板中，并且已经分析好了。
nterface：指定在哪个接口（网卡）上抓包。一般情况下都是单网卡，所以使用缺省的就可以了。
Limiteachpacket：限制每个包的大小，缺省情况不限制。
Capturepacketsinpromiscuousmode：是否打开混杂模式。如果打开，抓取所有的数据包。一般情况下只需要监听本机收到或者发出的包，因此应该关闭这个选项。
Filter：过滤器。只抓取满足过滤规则的包（可暂时略过）。
File：如果需要将抓到的包写到文件中，在这里输入文件名称。
useringbuffer：是否使用循环缓冲。缺省情况下不使用，即一直抓包。注意，循环缓冲只有在写文件的时候才有效。如果使用了循环缓冲，还需要设置文件的数目，文件多大时回卷。
其他的项选择缺省的就可以了。
2、ethereal的抓包过滤器
抓包过滤器用来抓取感兴趣的包，用在抓包过程中。抓包过滤器使用的是libcap过滤器语言，在tcpdump的手册中有详细的解释，基本结构是：[not]primitive[and|or[not]primitive...]
个人观点：如果你想抓取某些特定的数据包时，可以有以下两种方法，你可以任选一种，个人比较偏好第二种方式：
（1）在抓包的时候，就先定义好抓包过滤器，这样结果就是只抓到你设定好的那些类型的数据包；
（2）先不管三七二十一，把本机收到或者发出的包一股脑的抓下来，然后使用下节介绍的显示过滤器，只让Ethereal显示那些你想要的那些类型的数据包；
3、etheral的显示过滤器（重点内容）
在抓包完成以后，显示过滤器可以用来找到你感兴趣的包，可以根据协议、是否存在某个域、域值、域值之间的比较来查找你感兴趣的包。
举个例子，如果你只想查看使用tcp协议的包，在ethereal窗口的左下角的Filter中输入tcp，然后回车，ethereal就会只显示tcp协议的包。

4、在ethereal使用协议插件
ethereal能够支持许多协议，但有些协议需要安装插件以后才能解，比如H.323，以H.323协议为例：
（1）首先下载ethereal的H.323插件，下载地址http://www.voice2sniff.org/
（2）下载完了以后将文件(h323.dll)解压到ethereal安装目录的plugin\0.9.x目录下面，比如我的是0.9.11。
（3）进行一下设置

a、启动ethereal
b、菜单Edit->Preference
c、单击Protocols前面的"+"号，展开Protocols
d、找到Q931，并单击
e、确保"Desegment....TCPsegments"是选中的（即方框被按下去）
f、单击TCP
g、确保"Allow....TCPstreams"是选中的
h、确保没有选中"Check....TCPchecksum"和"Use....sequencenumbers"
i、单击TPKT
j、确保"Desegment....TCPsegments"是选中的
k、点击Save，然后点击Apply，然后点击OK

当然你也完全可以不断地重新安装新版本winpcap和ethreal，这样就可以不需在旧的ethreal的版本中安装新的插件来支持新的协议插件，这也是懒人的一种做法。

Ethernal

Display Options

update list of packets in realtime 时时更新报文列

Automatic scrolling in live capture 在抓包的活动状态中自动滚屏

Hide capture info dialog 信息对话中隐藏头部

name resolution 名字解析（把名字转换成网络地址）