常用操作方法和工具介绍-ethreal.doc

常用操作方法和工具介绍 镜像抓包工具 现场人员进行故障处理，有时需要抓数据包进行分析。本节介绍终端的抓包方法，用于指导现场工程师进行操作。 抓包工具很多，有Ethreal，WireShark，Sniffer等。其中Ethreal和WireShark较为常见。由于Wireshark和Ethreal工具为同一产品的不同版本，并且Ethreal使用比较广泛版本比较新。本节主要介绍Ethreal的使用方法。 简介 在这节，将介绍怎样通过Ethereal截包；怎样通过Ethereal观察包；在Ethereal怎样过滤包；怎样分析媒体包；还有其它功能。 截包 我们通过选择“Capture”菜单中的“Start”子菜单或主工具条相对应的项来截包。弹出“Caputure Options”对话框，如图 2.11 图 2.11 抓包开始选项 截包参数的设定 Interface：这项用于指定截包的网卡。 Link-layer header type：指定链路层包的类型，一般使用默认值。 Buffer size（n megabyte（s））：用于定义Ethereal用于截包的缓冲，当缓冲写满后，就将截的数据写道磁盘上。如果遇到ethereal丢包现象，将该缓冲尽量增大。 Capture packets in promiscuous mode：截包时，Ethereal将网口置于混杂模式。如果没有配置这项，Ethereal只能截取该PC发送和接收的包（而不是同一LAN上的所有包）。 Limit each packet to n bytes：定义Ethereal截取包的最大数据数，大于这个值的数据包将被丢掉。默认为65535。 截包过滤条件的设定 Ethereal 截包过滤条件，通过and 和or，将一系列的primitive 表达式连接在一起，有时可在primitive表达式前用not。 [not ]primitive [and|or [not] primitive…] 例一：tcp port 23 and host 10.0.0.5。 这个例子表示只截取发给主机10.0.0.5的telnet数据包或主机10.0.0.5发出的telnet数据包。 例二：tcp port 23 and not host 10.0.0.5。 这个例子表示截取所有的telnet数据包，除了主机10.0.0.5收发的telnet数据包。 Primitive表达式如下： ( [src|dst] host host 通过主机IP地址/名称过滤截取的数据包。也可以在前面加关键字[src|dst]来限制是目的或源地址。 ( ether [src|dst] host ehost 同上，只是通过MAC地址来过滤。 ( gateway host host 截取将该主机作为网关的包，即MAC地址是主机的地址，而包的源和目的IP都不是该主机的IP ( [src|dst] net net[{maskmask}|{lenlen}] ( [tcp|udp] [src|dst] port port 通过TCP/UDP的端口过滤 ( less|greater length 截取数据保小于、等于指定的大小；或大于、等于指定的大小。 ( ip|ether proto protocol IP/Ethernet层的指定协议。 ( ether|ip broadcast|multicast 截取ether/ip的广播包。 ( expr relop expr 允许建立一个更复杂的表达式，可以通过它来选取数据包的字节或字节范围来过滤。 用Ethereal分析包 观察截取的数据包 一旦截取数据包后，或打开以前截取的数据包文件，显示如图 2.12。显示有三个视图分区：“Packet List”、“Packet Details”、“Packet bytes”。 “Packet List”用于显示所数据包，如果这是有显示过滤条件，显示的是满足该条件的所有包。 “Packet Details”用于显示在“Packet List”视图中选定的数据包的详细信息。 “Packet Bytes”以十六进制方式显示“Packet List”视图中选定的数据包的信息。 图 2.12 抓包截图 观察数据包时过滤条件的设定 Ethereal有两种过滤条件语言，一种时截包过滤，这在前面已经介绍过；另一种过滤语言，用于显示包过滤。 可以通过以下方式选择我们需要得数据包： ( 协议（Protocol） ( 域（Field）是否存在 ( 在域（Field）之间比较 还有很多其它得方式如图 2.13显示得为TCP包，并且源端口为2950 图 2.13 过滤条件 显示过滤表达式 Ethereal提供了简单但是很强大的过滤语言