《Ethereal抓包常用过滤条件.docVIP

Ethereal抓包常用过滤条件 过滤条件语句 语句说明 [src|dst] host host 过滤出包含指定IP地址的数据包 ether [src|dst] host ehost 过滤出包含指定MAC地址的数据包 gateway host host 过滤出包含指定网关IP地址的数据包 [tcp|udp] [src|dst] port port 过滤出使用指定端口通信的数据包 less|greater length 过滤出大于或小于指定长度的数据包 ip|ether proto protocol 过滤出使用指定协议的数据包 ether|ip broadcast|multicast 过滤出广播或组播的数据包 过滤语句使用的举例如下： 1. 捕获MAC地址为00:e0:fc:58:bc:a3的通信数据包，例如： ether host 00:e0:fc:58:bc:a3 2. 捕获源IP地址为19的通信数据包，例如： src host 19 用PC机监听STB的通信数据包时，常常要用到这个过滤条件，以保证只捕获与STB相关的数据包。 3. 捕获通过80端口来通信的数据包，使用该端口通信的数据包是基于http协议的，例如： tcp port 80 或者为 ip proto http 以上过滤语句还可以通过and、or、not等连接成复合过滤语句。 例如：捕获除了http外的所有通信数据报文 ? host and not tcp port 80 Name Resolution：名字解析，可将MAC地址、网络地址、端口地址解析为相应的名称。 Enable MAC name resolution 通过该选项可以控制是否让ethereal将数据包中的MAC地址解析为名字。例如在IPTV验证工作中实际抓包分析时，常常可在协议栏中看到Huawei_58:00:63这样的地址，其实真实的MAC地址是：00:e0:fc:58:00:63。 Enable network name resolution 通过该选项可以控制是否让ethereal将数据包中的网络地址解析为网络名称。 Enable transport name resolution 通过该选项可以控制是否让ethereal将数据包中的端口地址解析为协议名称。 数据包的显示分析 捕获到数据包后，主页面将显示这些包的信息，如果所抓的数据包太繁杂而不方便观察和分析，则可以在主页面的过滤栏中输入显示过滤条件，这样主页面的概要栏、协议栏和数据栏中就只显示满足过滤条件的数据包。Ethereal中捕获数据和显示数据的功能是分别由两个不同程序实现的，因此显示过滤语句的语法与捕获过滤的不同，常用的过滤语句如下： 例一：显示以太网地址为 00:d0:f8:00:00:03 设备通信的所有报文 eth.addr==00.d0.f8.00.00.03 例二：显示 IP地址为 网络设备通信的所有报文? ip.addr== 例三：显示所有设备web浏览的报文 tcp.port==80 也可以在过滤栏中直接输入协议名称http来实现过滤，这些语句还可以通过关系符连接为复合语句，例如 例四：显示除了http外的所有通信数据报文 ip.addr== tcp.port!=80 其中是逻辑与（and）的意思，过滤语句还可以用逻辑或（or）、逻辑否（not）和逻辑异或（xor）来连接。当输入的过滤语句正确时，过滤栏会显示为绿色，否则显示为红色。 以上只是给出了最简单常用的例子，如果需要了解更详细，可查阅《Ethereal用户操作指南》等相关文档。 在数据包分析时，Ethereal还提供一个很有用的功能——Follow TCP Stream。该功能可以将有关联的交互数据整理为一个完整的TCP会话，可方便的从应用层面观察到该会话中数据流交互的信息。在实际的IPTV验证工作中，通过此项功能清楚的了解IPTV系统中各组件的交互流程，并深入掌握其交互的信息，对问题的分析定位有较大的帮助。在概要栏中选中一个需被分析的数据包，如图1-7所示，点击鼠标右键后选择Follow TCP Stream，将弹出一个对话框，如图1-8。该对话框的Stream Content中详细显示了这个TCP会话交互的所有信息，通过对话左下角的下拉条可以选择三种不同的显示方式：Entire conversation（显示完整的会话）, data from A to B only（只显示从A到B发送的信息），data fro