ethereal学习.pptVIP

Capture filter的应用步骤 Display filters 显示过滤 可以直接在主界面的filter上选择 Analyze的下拉菜单 Analyze下的Display filters 正确的语法如下，和“Capture Filter”的语法有所不同： 显示 以太网地址为 00:d0:f8:00:00:03 设备通信的所有报文 eth.addr==00.d0.f8.00.00.03 显示 IP地址为 网络设备通信的所有报文? ip.addr== 显示所有设备web浏览的所有报文 tcp.port==80 显示除了http外的所有通信数据报文 ip.addr== tcp.port!=80 Analyze的下拉菜单 Enable protocols 是否启用该协议的解析， 点选该协议后，相关的上 层协议才能显示出来。 Analyze的下拉菜单 Decode As 用户定义报文协议说明 User Specified Decodes 用户修改的报文编译 Analyze的Decode As Decode As 用户定义报文协议说明 通过定义后，数据包细节的窗口解释：原先是 tcp的解释，更改就直接显示ssl格式的报文了。 Analyze的follow tcp stream 好戏来了（follow tcp stream） 在 浏览器中 敲入 /decelopment.html 同时ctrl＋k 开始抓包，嘿嘿 ^-^ 嘿嘿，看到你了。。。在packet detail的窗口里 安祥的躺着 decelopment.html报文。 小样，抓到你了。 Analyze的follow tcp stream 在 packet detail 窗口中选择这个报文（ decelopment.html报文）点击右键 －选择 “ follow tcp stream” Analyze的follow tcp stream 这就是 follow tcp stream窗口，然后全选 ，在ctrl＋c， 打开 记事本，ctrl＋v，另存为 1.html。最后双击该文件。后面我什么都不知道了。 这只是 ethereal强大功能其中的一个小技巧 Statistics 顾名思义 统计 就是相关的报文的统计信息 Statistics的下拉菜单 Summmary 报文的详细信息 Protocol hierarchy 协议层 即各协议层报文的统计 Conversations 显示该会话报文的信息 （双方通信的报文信息） endpoints 分别显示单方的报文信息 IO Graphs 报文通信的心跳图（翻译的比较蹩脚） Statistics的下拉菜单 Summmary 报文的详细信息 Protocol hierarchy 协议层 即各协议层报文的统计 Statistics的下拉菜单 Conversations 显示该会话报文的信息 （双方通信的报文信息） endpoints 分别显示单方的报文信息 Statistics的下拉菜单 IO Graphs 报文通信的心跳图（翻译的比较蹩脚） Help的下拉菜单 Help 帮助 Contents 帮助的目录 Help的下拉菜单 Supported Protocols 支持的协议 Try to ethereal Ctrl ＋ k Alt ＋ tab Ctrl ＋ E U can try /docs/user-guide/ Just do it Thank You * 是Open Source，更新快，支持的协议多，特别是数据包过滤 功能灵活强大。 Ethereal 是免费的网络协议检测程序，可以用来监视所有在网络上被传送的包，并分析其内容的，支持Unix，Windows。让您经由程序抓取运行的网站的相关资讯，包括每一封包流向及其内容、资讯可依操作系统语系看出,方便查看、监控TCP session动态等等。它通常被用来检查网络工作情况，或是用来发现网络程序的bugs。目前ethereal提供了对TCP、UDP、SMB、telnet和ftp等常用协议的支持。它在很多情况下可以代替价格昂贵的sniffer。 * * * 可以选