Ethereal抓包工具使用方法.docVIP

Ethereal使用方法 使用方法 点击Capture菜单下的Start。然后选择相应的参数，点击OK！ Capture Options选择的常见注意事项(每个选项前面的小方块，凹进去表示选中)： Interface：如果你的计算机安装了多个网卡，注意选择你想抓包的那个网卡。 需要选中的选项： Capture packets in promiscuous modeUpdate list of packets in real time 是Ethereal主界面上是否实时地显示抓包变化的选项，当选择了该项时，Ethereal主界面上将实时地更新抓包列表，若不显示该项，所有的包列表将在抓包过程停止以后一起显示。 Automatic Strolling in live capture选项允许用户在抓包过程中能实时地察看新抓的数据包。 注意name resolution的选项不能选，否则抓包，保存，打开等过程会很慢。 “Name resolution”中有三个选项，“Enable MAC name resolution”是否将MAC地址的前三个字节翻译成IETF所规定的厂商前缀。“Enable network name resolution”用于控制是否将IP地址解析为DNS域名。“Enable transport name resolution”则用于控制是否将通信端口号转换为协议名称。 抓包时可以对所抓的包进行过滤，常用的过滤选项有：sip || mgcp，sip h225 h245，ip.addr == 10.11.2.9，udp.port == 1719，tcp.port == 2000等。 一般抓包的计算机需要与被抓的目标地址在一个HUB上，如果在一个LAN上，需要做端口镜像。 运行Ethereal，选择菜单Capture－Start（或快捷键Ctrl+K），按下OK按钮即可进行报文捕捉了。 查看/保存捕捉的报文 当决定结束捕捉时，按下Stop按钮即可，这是Ethereal会对捕捉的报文进行分析，分析后的报文显示在Ethereal主界面上。保存已经捕捉到的报文，选择菜单File－Save（快捷键Ctrl＋S）即可， 过滤 捕捉时过滤 我们可能只想捕捉我们关心的报文，如某个IP地址的报文或某个端口的报文，这就需要在捕捉的时候加入过滤器，Ethereal捕捉报文时的过滤语法采用和TcpDump一样的语法。 在Capture对话框中输入过滤的语法，如下图： 举几个例子，详细语法请参考TCPDUMP的man page或到网上查询 捕捉某个IP的报文：host 10.11.57.14 捕捉主机10.11.57.14的报文，也就是IP的源地址或目的地址中包括10.11.57.14的报文。 捕捉某个端口的报文：tcp port 23 and host 10.0.0.5 捕捉TCP 23端口的报文，而且主机是10.0.0.5，如果我们想捕捉终端注册呼叫的RAS信令，可以用 udp port 1719来过滤。 显示过滤 如果抓包抓了很多，但我们只关心一部分，如果过滤掉呢，可以从主界面的下端设置过滤器 可以在输入框中输入，也可以单击Filter安装进行选择， 从上图所示的多画面中选择可能比较困难，简单介绍几种显示过滤表达式： 过滤某IP的报文：ip.addr == 10.11.57.123。 过滤IP源地址：ip.src==10.11.57.123。 过滤某端口：tcp.port==1720或udp.port==1719。 组合应用：ip.src==10.11.57.123 tcp.port==1270，其中表示AND，||表示OR。 设置抓取数据包的时间 设置抓取数据包的数量 选中 选中 选择计算机的网卡 都不要选择，否则打开保存文件都很慢