Ethereal使用说明.doc.docVIP

Ethereal使用说明 Ethereal是一款绿色版的网络抓包、报文分析工具，不需要安装，但是要装WinPcap。安装过程简单这里就不做说明。 Ethereal: WinPcap: 2.报文抓取 点击工具栏中最左边的第二个图标 “Show the capture options” 进入界面如下： 三个地方需要设置： ①Interface，选择自己电脑的网卡。 ②Capture Filter，在里面设置抓取过滤条件，如host 15就是只抓取有这个ip地址参与的报文交互。其他过滤规则在下文Ethereal使用详细说明中有介绍。 ③Display Options，前两个选中，在抓取的过程中可以查看报文信息。 设好了点Start，弹出界面如下，停止抓包点击stop。 3.报文查看 Filter内可以输入过滤规则，常用的语句有mms、ip.addr==等，同时过滤多个规则可以使用合并，如下图。mms是最常用的的过滤规则，直接过滤出mms报文，我们要查看的有用的信息都在mms类报文内。其他过滤规则在下文Ethereal使用详细说明中有介绍。 4.Ethereal使用详细说明 4.1界面菜单介绍 本节将逐个介绍Ethereal各菜单项的功能： 4.1.1“File”菜单 图4-1 “File”拉菜单 图4-1 “File”菜单。其中： “Open”即打开已存的抓包文件； “Open Recent”即打开近期已察看的抓包文件，类似windows的最近访问过的文档； “Merge”字面是合并的意思，其实是追加的意思，即当前捕获的报文追加到先前已保存的抓包文件中。 “Save”和”save as”即保存 、选择保存格式。 “File Set”用于Ethereal当前打开的多个文件前后切换，以及各文件的基本属性描述。 “Export”是输出的意思。 “Print” 打印。 “Quit”退出。 4.1.2“Edit”菜单 图4-2 “Edit”下拉菜单 图4-2“Edit”菜单。其中： “Find Packet” 用于查询报文，可以支持不同格式的查找，输入正确的语句，那么背景为 绿色，语句错误或缺少背景就为 红色，具体的过滤语法格式在下面会做说明。 图4-3 “Find Packet”操作界面 “Find Next”是向下查找 “Find Preyious”是向上查找 “Time Reference”字面是时间参考，实际用于做报文的“时间戳”，方便大量报文的查询。使用Time Reference标签后，原先time的就变成 “REF”缩写的标记。可以在多个报文间用时间戳标记，方便查询。就像书签一样。 图4-4使用“Time Reference”后出现的时间戳“REF” “Mark Packet（toggle）”是标记报文 “Mark all packets”和“Unamrk all packet”即标记所有报文 、取消标记所有报文 “preference”用于用户界面的选择，比如说 报文察看界面布局的选择，以及协议支持的选择。4.1.3“View”菜单 图4-5“View”下拉菜单 图4-5 “View”下拉菜单，其中： “Main toolbar”是主工具栏。 “Filter Toolbar” 过滤工具栏。 “Statusbar”状态条。 “Packet list” 报文列表。 “Packet details” 报文详解。 “Packet byte” 报文字节察看。 “Time display format”时间显示格式（可以显示年月日时分秒）。 “Name Resolution”名字解析。 “Auto scroll in live capture”捕获时是否跟进显示更新的报文还是显示先前的报文。 “Zoom in”字体的放大。 “Zoom out”字体的缩小。 “Normal size”标准大小。 “Resize columns”格式对齐。 “Expand all”报文细节内容的展开。 “Collapse all”报文细节内容的缩进。 “Coloring Rules” 颜色规则，即可以对特定的数据包定义特定的颜色。 “Show packet in new window”在新窗口中查看报文内容。 “Reload”刷新。 4.1.4“Go”菜单 图4-6“Go”下拉菜单 图4-6下拉菜单中： “Back”同样Source和Destination的上个报文。 “Forward”同样Source和Destination的下一个报文。 “Go to packet”查找到指定号码的报文。 “First packet”第一个报文。 “Last packet”最后一个报文。 4.1.5“Capture”菜单 图4-7“Capture”下拉菜单 “