ethereal使用-capture选项
nterface: 指定在哪个接口(网卡)上抓包。一般情况下都是单网卡,所以使用缺省的就可以了Limit each packet: 限制每个包的大小,缺省情况不限制
Capture packets in promiscuous mode: 是否打开混杂模式。如果打开,抓取所有的数据包。一般情况下只需要监听本机收到或者发出的包,因此应该关闭这个选项。Filter:过滤器。只抓取满足过滤规则的包(可暂时略过) File:如果需要将抓到的包写到文件中,在这里输入文件名称。use ring buffer: 是否使用循环缓冲。缺省情况下不使用,即一直抓包。注意,循环缓冲只有在写文件的时候才有效。如果使用了循环缓冲,还需要设置文件的数目,文件多大时回卷
其他的项选择缺省的就可以了
ethereal的抓包过滤器
抓包过滤器用来抓取感兴趣的包,用在抓包过程中。 抓包过滤器使用的是libcap 过滤器语言,在tcpdump 的手册中有详细的解释,基本结构是: [not] primitive [and|or [not] primitive ...]
个人观点,如果你想抓取某些特定的数据包时,可以有以下两种方法,你可以任选一种, 个人比较偏好第二种方式:
1、在抓包的时候,就先定义好抓包过滤器,这样结果就是只抓到你设定好的那些类型的数 据包;
2、先不管三七二十一,把本机收到或者发出的包一股脑的抓下来,然后使用下节介绍的显 示过滤器,只让Ethereal 显示那些你想要的那些类型的数据包;
etheral的显示过滤器(重点内容)
在抓包完成以后,显示过滤器可以用来找到你感兴趣的包,可以根据1)协议2)是否存在某个域3)域值4)域值之间的比较来查找你感兴趣的包。
举个例子,如果你只想查看使用tcp 协议的包,在ethereal 窗口的左下角的Filter 中输入tcp, 然后回车,ethereal 就会只显示tcp 协议的包。
值比较表达式可以使用下面的操作符来构造显示过滤器自然语言类c 表示举例eq == ip.addr==10.1.10.20 ne != ip.addr!=10.1.10.20 gt > frame.pkt_len>10 lt < frame.pkt_len<10 ge >= frame.pkt_len>=10 le <= frame.pkt_len<=10
表达式组合可以使用下面的逻辑操作符将表达式组合起来自然语言类c 表示举例and && 逻辑与,比如ip.addr=10.1.10.20&&tcp.flag.fin or || 逻辑或,比如ip.addr=10.1.10.20||ip.addr=10.1.10.21 xor ^^ 异或,如tr.dst[0:3] == 0.6.29 xor tr.src[0:3] == not ! 逻辑非,如 !llc
例如:
我想抓取IP 地址是192.168.2.10 的主机,它所接收收或发送的所有的HTTP 报文,那么合适的显示Filter (过滤器)就是:ip.addr=192.168.2.10 and http
在ethereal 使用协议插件
ethereal 能够支持许多协议,但有些协议需要安装插件以后才能解,比如H.323,以H.323 协议为例,首先下载ethereal 的H.323 插件,下载地址http://www.voice2sniff.org/ 下载完了以后将文件(h323.dll) 解压到ethereal 安装目录的plugin\0.9.x 目录下面,比如我的是0.9.11 ,然后,需要进行一下设置1)启动ethereal 2)菜单Edit->Preference 3)单击Protocols 前面的"+"号,展开Protocols 4)找到Q931 ,并单击5)确保"Desegment.... TCP segments" 是选中的(即方框被按下去)6)单击TCP 7)确保"Allow....TCP streams" 是选中的8)确保没有选中"Check....TCP checksum" 和"Use....sequence numbers" 9)单击TPKT 10)确保"Desegment....TCP segments" 是选中的11)点击Save,然后点击Apply ,然后点击OK 你也完全可以不断地重新安装新版本winpcap 和ethreal, 这样就可以不需在旧的ethreal 的版本中安装新的插件来支持新的协议插件。
分享到:
相关推荐
这份“Ethereal使用手册中文版”是为用户提供详细操作指南的重要资源,旨在帮助用户充分利用Ethereal的各项功能。 一、Ethereal概述 Ethereal(现更名为Wireshark)是一个开源的网络抓包工具,它能够捕获网络上的...
本指南将详细介绍如何使用Ethereal进行有效的网络诊断和学习网络协议。 一、Ethereal的安装与启动 在开始使用Ethereal之前,你需要先下载并安装它。Ethereal支持Windows、Linux和Mac OS等多个操作系统。安装完成后...
本文将详细介绍Ethereal抓包工具的使用方法,帮助用户更好地掌握这一实用软件。 启动Ethereal程序是使用它的第一步。用户可以通过双击桌面上的Ethereal图标或是在开始菜单中找到Ethereal程序来启动它。启动之后,...
**Ethereal 使用详解** Ethereal,现更名为Wireshark,是一款强大的网络封包分析软件,被广泛用于网络故障排查、网络安全分析以及协议开发等领域。它能够捕捉并解析网络封包,帮助用户深入理解网络通信的过程,从而...
Ethereal使用入门实验讲义的知识点涵盖了以下几个重要方面: 一、Ethereal实验目的 实验的主要目的是让使用者熟悉并掌握使用网络协议分析工具Ethereal的环境和数据捕获方法。Ethereal是一个强大的网络协议分析器,...
Ethereal 使用与 Tcpdump 相似的过滤规则,可以方便地存储已经设置好的过滤规则。在 Ethereal 中添加过滤器时,需要为该过滤器指定名字及规则。例如,要在主机10.1.197.162 和 www.sohu.com 间创建过滤器,可以在...
以下是对Ethereal使用的一些关键知识点的详细说明: 1. **安装过程**: - **Winpcap**:Winpcap是Ethereal在Windows平台上运行所需的底层库,用于网络数据包的捕获。你可以从`...
Ethereal 使用方法 Ethereal 是一个图形用户接口(GUI)的网络嗅探器,能够完成与 Tcpdump 相同的功能,但操作界面要友好很多。Ethereal 和 Tcpdump 都依赖于 pcap 库(libpcap),因此两者在许多方面非常相似(如...
可以学习怎么学习使用ethereal来抓包,并且分析
抓包分析 FTP 过程学习 Ethereal 使用 抓包分析 FTP 过程学习 Ethereal 使用是指通过 Ethereal 软体来抓包和分析 FTP 过程的学习过程。Ethereal 是一款功能强大且免费的封包监听软体,可以帮助网管人员排除网路故障...
抓包工具——中文ethereal的使用详解
本手册将详细解析Ethereal的使用方法,帮助用户深入理解网络通信的底层细节。 首先,了解Ethereal的基本功能至关重要。Ethereal能够捕获网络上的数据包,然后解析这些数据包,展示它们的详细信息,包括源地址、目标...
**Ethereal 使用说明** Ethereal 是一款强大的网络封包分析软件,它能帮助网络管理员和开发者深入了解网络通信情况,进行故障排查、性能优化和安全审计。本使用说明将详细介绍 Ethereal 的各项功能和使用方法。 ##...