Ethereal使用入门.docVIP

Ethereal使用入门 一、背景知识 Ethereal是目前广泛使用的网络协议分析工具(Network Protocol Analyzer)，它能够实时地捕获网络上的包，并且把包中每个域的细节显现出来。Ethreal的广为流行主要有以下三个原因： (1)它的功能非常强大，随着大家对Ethereal的熟悉将会深切感受到这一点。 (2)它是开源、免费的软件。 (3)它具有非常详细的文档。Ethereal的安装文件和文档可以从 /下载。 第一部分是菜单和工具栏，Ethereal提供的所有功能都可以在这一部分中找到。 第二部分是被捕获包的列表，其中包含被捕获包的一般信息，如被捕获的时间、源和目的IP地址、所属的协议类型，以及包的类型等信息。 第三部分显示第二部分已选中的包的每个域的具体信息，从以太网帧的首部到该包中负载内容，都显示得清清楚楚。 第四部分显示已选中包的16进制和ASCII表示，帮助用户了解一个包的本来样子。三、Ethereal的基本用法 Ethereal的最基本功能是捕获网络包，其使用方法很简单，按如下步骤即可： (1)选择“Capture”菜单项中的 “Option”,这时会弹出一个对话框，如下所示。这个对话框中的栏目虽然很多，但一般只需配置其中两项。一项是 “Capture Filter”栏。在这个栏中，可以输入过滤规则，用于规定Ethereal捕获包的种类(注：过滤规则的写法将在下一节作专门介绍)；如果不输入过滤规则，则Ethereal将捕获所有从网卡发送或收到的包。另外一项是 “Update list of packets in real time”选项，请大家一定要选中这一项，这样可以使Ethereal在捕获包的同时，实时地把捕获的包显示出来。 (2)在完成如上配置后，点击　“Start”按钮，Ethereal便开始捕获包。 四、Ethereal的过滤规则 Ethereal的过滤规则可以有两种形式： (1)一个原语：一个原语即一条最基本的过滤规则 (2)用 “and”、“or”、“not”关系去处运算符，以及括号组合起来的原语。其中“and”的含义是它所连接的两个原语必须都成立；“or”的含义是它所连接的两个原语只要有一个成立即可；“not”的含义是它后面跟的原语不成立；括号的作用是对关系运算顺序作出规定。 从上面的描述可以看出，我们只要掌握原语的写法，再用关系运算符把它们组合起来，就可以写出满足不同要求的过滤规则了。Ethereal提供的原语非常多，这里只介绍最常用的四种（在下面的叙述中，“[]”表示可选项，“”表示必存在的项，“｜”表示两者选择其中之一，其他字符串则是关键字，必须照写不误）： host 0 and not tcp port 80 (注：HTTP协议通常使用TCP端口号80) [例A-2]记主机0为A，捕获A与主机0或A与主机0之间的网络包。 过滤规则为： host 0 and (host 0 or host 0)