抓包工具Ethereal的使用

好东西啊,请大家都来下哦

抓包工具Ethereal的使用2006年2月

好东西啊,请大家都来下哦

文档密级：内部公开

目录

Ethereal简介 Ethereal安装 Ethereal使用 Ethereal的抓包过滤器 Ethereal使用小技巧 南研测试部

好东西啊,请大家都来下哦

文档密级：内部公开

Ethereal简介 Ethereal是我们在测试中常用到的抓包工具， 它适用于linux和windows操作系统，它会从网 卡处捕获本机向外发的包文件和外界比如服务 器向本机发的包文件，然后详细陈列所抓到的 各个包的具体协议信息，对于抓到的包文件， 我们既可以保存，也可以把他们打开，也可以 用过滤来对指定的机器和端口进行分析。

南研测试部

好东西啊,请大家都来下哦

文档密级：内部公开

Ethereal简介 Ethereal能够支持许多协议，但有些协 议需要安装插件以后才能抓包。首先要 下载Ethereal的协议插件，然后解压到 Ethereal安装目录的plugins下面，启动 Ethereal,在菜单Edit->preferences下 进行设置。

南研测试部

好东西啊,请大家都来下哦

文档密级：内部公开

目录

Ethereal简介 Ethereal安装 Ethereal使用 Ethereal的抓包过滤器 Ethereal使用小技巧 南研测试部

好东西啊,请大家都来下哦

文档密级：内部公开

Ethereal安装 在windows操作系统下，执行文件 WinPcap_3_0.exe ,然后再执行文 件ethereal-setup-0.10.10.exe , 这样执行完这两个文件后我们就可 以运用Ethereal进行抓包或者对 linux所抓到的包文件进行分析。南研测试部

好东西啊,请大家都来下哦

文档密级：内部公开

目录

Ethereal简介 Ethereal安装 Ethereal使用 Ethereal的抓包过滤器 Ethereal使用小技巧 南研测试部

好东西啊,请大家都来下哦

文档密级：内部公开

Ethereal使用 启动Ethereal以后，选择菜单Capture->start,将会 出现以下配置页面：

南研测试部

好东西啊,请大家都来下哦

文档密级：内部公开

Ethereal使用 其中在interface输入框中，要求填入所要选择的网 卡，对于有多个网卡的服务器这是必要的，但一般对 pc机，这一项则不必。 Capture filter框中要求输入过滤条件，即用户所 需要的信息，而把一切无关的信息过滤掉。比如我可 以按照端口来进行过滤，我只想得到端口号是5060和 8080的信息， 那么，我在capture Filter栏中输入过 滤条件： port 5060 and port 8080

南研测试部

好东西啊,请大家都来下哦

文档密级：内部公开

Ethereal使用 Capture packets in promiscuous mode:是否打开混 杂模式。如果打开，抓取所有的数据包，一般情况下 只需要监听本机收到或者发出的包，因此应关闭这个 选项。 File:如果需要将抓到的包写到文件中，在这里输入 文件名。 Limit each pocket:限制每个包的大小，缺省情况不 限制。

南研测试部

好东西啊,请大家都来下哦

文档密级：内部公开

Ethereal使用 点击ok按钮后出现如下图示：

南研测试部

好东西啊,请大家都来下哦

文档密级：内部公开

Ethereal使用 然后点击stop按钮，就会出现所有的抓包所抓到的信息，最上

方显示的是协议包， 中间显示的是协议解释，最下面的是二进制码流。如下图所示：

南研测试部

好东西啊,请大家都来下哦

文档密级：内部公开

Ethereal使用 当然我们也可以采取滚动方式来显示所抓到的信息，如下图所示：

南研测试部

好东西啊,请大家都来下哦

文档密级：内部公开

Ethereal使用 如上图选择实时更新和自动滚动后，点击“OK”按钮，就可以滚动显示 所抓到的信息。点击“停止”按钮就会停止抓包。

南研测试部

好东西啊,请大家都来下哦

文档密级：内部公开

目录

Ethereal简介 Ethereal安装 Ethereal使用 Ethereal的抓包过滤器 Ethereal使用小技巧 南研测试部

好东西啊,请大家都来下哦

文档密级：内部公开

Ethereal的抓包过滤器如果不在Capture filter框中输入过滤条件，上述操作显示的是 抓包抓到的所有信息，看起来很繁琐，我们可以用抓包过滤器对它进 行过滤，来抓取感兴趣的包。 抓包过滤器使用的是libcap过滤器语言，在tcpdump的手册中有详 细的解释，基本结构是：[not] primitive [and] or [not] primitive ]

如果你想抓取某些特定的数据包时，可以有以下两种方法： 在抓包的时候，就先定义好抓包过滤器，这样结果就是只抓到 你设定好的那些类型的数据包； 先不管三七二十一，把本机收到或者发出的包一股脑的抓下来， 然后使用显示过滤器，只让Ethereal显示那些你想要的那些类型 的数据包。南研测试部