Ethereal使用入门

news/2025/2/25 18:49:28

ethereal 可以用来从网络上抓包,并能对包进行分析。下面介绍windows 下面ethereal 的使用方法
安装
1)安装winpcap,下载地址http://netgroup-serv.polito.it/winpcap/install/Default.htm 2)安装ethereal ,下载地址http://www.ethereal.com/
使用
windows 程序,使用很简单。
启动ethereal 以后,选择菜单Capature->Start ,就OK 了。当你不想抓的时候,按一下stop, 抓的包就会显示在面板中,并且已经分析好了。
下面是一个截图:

Ethereal

ethereal使用-capture选项

Ethereal

  nterface: 指定在哪个接口(网卡)上抓包。一般情况下都是单网卡,所以使用缺省的就可以了Limit each packet: 限制每个包的大小,缺省情况不限制
   Capture packets in promiscuous mode: 是否打开混杂模式。如果打开,抓取所有的数据包。一般情况下只需要监听本机收到或者发出的包,因此应该关闭这个选项。Filter:过滤器。只抓取满足过 滤规则的包(可暂时略过) File:如果需要将抓到的包写到文件中,在这里输入文件名称。use ring buffer: 是否使用循环缓冲。缺省情况下不使用,即一直抓包。注意,循环缓冲只有在写文件的时候才有效。如果使用了循环缓冲,还需要设置文件的数目,文件多大时回卷
  其他的项选择缺省的就可以了
ethereal的抓包过滤器
  抓包过滤器用来抓取感兴趣的包,用在抓包过程中。 抓包过滤器使用的是libcap 过滤器语言,在tcpdump 的手册中有详细的解释,基本结构是: [not] primitive [and|or [not] primitive ...]
个人观点,如果你想抓取某些特定的数据包时,可以有以下两种方法,你可以任选一种, 个人比较偏好第二种方式:
  1、在抓包的时候,就先定义好抓包过滤器,这样结果就是只抓到你设定好的那些类型的数 据包;
  2、先不管三七二十一,把本机收到或者发出的包一股脑的抓下来,然后使用下节介绍的显 示过滤器,只让Ethereal 显示那些你想要的那些类型的数据包;
etheral的显示过滤器(重点内容)
  在抓包完成以后,显示过滤器可以用来找到你感兴趣的包,可以根据1)协议2)是否存在某个域3)域值4)域值之间的比较来查找你感兴趣的包。
  举个例子,如果你只想查看使用tcp 协议的包,在ethereal 窗口的左下角的Filter 中输入tcp, 然后回车,ethereal 就会只显示tcp 协议的包。如下图所示:

Ethereal

  值比较表达式可以使用下面的操作符来构造显示过滤器自然语言类c 表示举例eq == ip.addr==10.1.10.20 ne != ip.addr!=10.1.10.20 gt > frame.pkt_len>10 lt < frame.pkt_len<10 ge >= frame.pkt_len>=10 le <= frame.pkt_len<=10
  表达式组合可以使用下面的逻辑操作符将表达式组合起来自然语言类c 表示举例and && 逻辑与,比如ip.addr=10.1.10.20&&tcp.flag.fin or || 逻辑或,比如ip.addr=10.1.10.20||ip.addr=10.1.10.21 xor ^^ 异或,如tr.dst[0:3] == 0.6.29 xor tr.src[0:3] == not ! 逻辑非,如 !llc
例如:
我想抓取IP 地址是192.168.2.10 的主机,它所接收收或发送的所有的HTTP 报文,那么合适的显示Filter (过滤器)就是:

Ethereal

在ethereal 使用协议插件
ethereal 能够支持许多协议,但有些协议需要安装插件以后才能解,比如H.323,以H.323 协议为例,首先下载ethereal 的H.323 插件,下载地址http://www.voice2sniff.org/ 下载完了以后将文件(h323.dll) 解压到ethereal 安装目录的plugin/0.9.x 目录下面,比如我的是0.9.11 ,然后,需要进行一下设置1)启动ethereal 2)菜单Edit->Preference 3)单击Protocols 前面的"+"号,展开Protocols 4)找到Q931 ,并单击5)确保"Desegment.... TCP segments" 是选中的(即方框被按下去)6)单击TCP 7)确保"Allow....TCP streams" 是选中的8)确保没有选中"Check....TCP checksum" 和"Use....sequence numbers" 9)单击TPKT 10)确保"Desegment....TCP segments" 是选中的11)点击Save,然后点击Apply ,然后点击OK 你也完全可以不断地重新安装新版本winpcap 和ethreal, 这样就可以不需在旧的ethreal 的版本中安装新的插件来支持新的协议插件。这也是懒人的一种做法

 

http://www.niftyadmin.cn/n/4819019.html

相关文章

select top 的用法

select top 的用法

select top 1 * from 员工 order by 编号 select * from 员工 order by 编号 select * from 员工 where 编号 like YG% order by 编号 desc select TOP 1 * from 员工 where 编号 like YG% order by 编号 desc
阅读更多...
用Ethereal分析协议数据包

用Ethereal分析协议数据包

Ethereal是一个图形用户接口&#xff08;GUI&#xff09;的网络嗅探器&#xff0c;能够完成与Tcpdump相同的功能&#xff0c;但操作界面要友好很 多。Ehtereal和Tcpdump都依赖于pcap库&#xff08;libpcap&#xff09;&#xff0c;因此两者在许多方面非常相似&#xff08;如都使…
阅读更多...
程序信息网格

程序信息网格

程序信息网格 尽量在item信息中完成一切。
阅读更多...
python第四课

python第四课

# li[alex,[1,2,3],wusir,egon,女神,taibai]# l1li[0]# print(l1)# l2li[1]# print(l2)# l3li[0:3]# print(l3)#li[alex,wusir,egon,女神,taibai]#增加append insert# li.append(日天)# li.append(1)# print(li)# while 1:# usernameinput(>>>)# if username.…
阅读更多...
1. 单例模式

1. 单例模式

单例模式存在的意义 1. 一个class只有一个对象&#xff0c;减少了内存开支2. 避免对资源多重占用 适用于单例模式的场景 1. 频繁创建及销毁的对象&#xff0c;例如工具类 2. 不变的对象 3. 重量级对象&#xff0c;例如JDBC连接&#xff0c;httpClient等 单例模式的使用 1. 饿汉…
阅读更多...
PAT乙级真题 | 1043 输出PATest

PAT乙级真题 | 1043 输出PATest

1043 输出PATest 给定一个长度不超过 1 的、仅由英文字母构成的字符串。请将字符重新调整顺序&#xff0c;按 PATestPATest.... 这样的顺序输出&#xff0c;并忽略其它字符。当然&#xff0c;六种字符的个数不一定是一样多的&#xff0c;若某种字符已经输出完&#xff0c;则余下…
阅读更多...
RTP:实时传输协议

RTP:实时传输协议

实时传输协议&#xff08;RTP&#xff09;为数据提供了具有实时特征的端对端传送服务&#xff0c;如在组播或单播网络服务下的交互式视频音频或模拟数据。应用程序通常在 UDP 上运行 RTP 以便使用其多路结点和校验服务&#xff1b;这两种协议都提供了传输层协议的功能。但是 RT…
阅读更多...
用Sipp 对Asterisk 进行性能测试的工作笔记

用Sipp 对Asterisk 进行性能测试的工作笔记

测试目标: 1. IVR 支持多少路2. 一对一通话, 支持多少路3. 不同编解码的性能影响.4. 通话中,录音, 支持多少路. 测试工具: sipp http://sipp.sourceforge.net/ 辅助工具: Xlite SIP rfc: http://www.ietf.org/rfc/rfc3261.txt RTP for AV http://www.ietf.org/rfc/rfc3…
阅读更多...
最新文章

Copyright @ 2022~2023