网络安全与防护课程迟恩宇实训指导1.20Ethereal协议分析软件使用1.pptVIP

capture的下拉菜单 Start 开始捕获报文 返回 Interface 接口 捕获过滤 capture的下拉菜单 返回 capture的Capture filter 捕获过滤 如果要捕获特定的报文，那在抓取packet前就要设置，决定数据包的类型。 FIlter name：任意命名 Filter string： 输入有技巧的哦! 返回 比如说： a.捕获 MAC地址为 00:d0:f8:00:00:03 网络设备通信的所有报文 ? ether host 00:d0:f8:00:00:03 b.捕获 IP地址为 网络设备通信的所有报文 ? host c.捕获网络web浏览的所有报文 ? tcp port 80 d.捕获除了http外的所有通信数据报文 ? host and not tcp port 80 注意:Ethereal的捕获过滤器的语言以tcpdump所用的语言为基础发展而来的,要查阅过滤器的其他选项,可以参考: capture的Capture Filter 返回 Filter string 语法输入的格式 [src|dst] host host ether [src|dst] host ehost gateway host host [src|dst] net net [{mask mask}|{len len} [tcp|udp] [src|dst] port port less|greater length ip|ether proto protocol ether|ip broadcast|multicast expr relop expr 返回 符号在Filter string语法中的定义 Equal: eq, == (等于） Not equal: ne, != （不等于） Greater than: gt, （大于） Less Than: lt, ??? （小于） Greater than or Equal to: ge, = （大等于） Less than or Equal to: le, =??? （小等于） 返回 Capture filter的应用步骤 在这里设置过滤规则 返回 Display filters 显示过滤 可以直接在主界面的filter上选择 Analyze的下拉菜单 返回 Analyze下的Display filters 正确的语法如下，和“Capture Filter”的语法有所不同： 显示 以太网地址为 00:d0:f8:00:00:03 设备通信的所有报文 eth.addr==00.d0.f8.00.00.03 显示 IP地址为 网络设备通信的所有报文? ip.addr== 显示所有设备web浏览的所有报文 tcp.port==80 显示除了http外的所有通信数据报文 ip.addr== tcp.port!=80 返回 Analyze的下拉菜单 Enable protocols 是否启用该协议的解析， 点选该协议后，相关的上 层协议才能显示出来。 返回 Analyze的follow tcp stream 选取数据包4然后利用follow tcp stream 可以查看该包的内容 返回 Statistics 顾名思义 统计 就是相关的报文的统计信息 Statistics的下拉菜单 Summmary 报文的详细信息 Protocol hierarchy 协议层 即各协议层报文的统计 Conversations 显示该会话报文的信息 （双方通信的报文信息） endpoints 分别显示单方的报文信息 IO Graphs 报文通信的图形表示 返回 Statistics的下拉菜单 Summmary 报文的详细信息 Protocol hierarchy 协议层 即各协议层报文的统计 Statistics的下拉菜单 Conversations 显示该会话报文的信息 （双方通信的报文信息） endpoints 分别显示单方的报文信息 Statistics的下拉菜单 IO Graphs 报文通信的心跳图（翻译的比较蹩脚） Help的下拉菜单 Help 帮助 Contents 帮助的目录 返回 Help的下拉菜单 Supported Protocols