ethereal的常用分析.docVIP

ethereal 的常用分析 ethereal 作为一个抓包工具有非常广泛的应用，更为出色的是它协议分析的能力。缺省的协议分析库已经支持常见的所有协议， 对跟我们业务相关的SMPP/MMSE 也可以很好的支持。它甚至能分析GSM A口 BSS MAP ISUP 等接口数据。 在我们日常应用中. 常需要分析的就是MM1/3/4/7 口的数据。 分析数据的第一步是取得原始数据。 就ethereal 来讲，它本身是带有抓包功能的，但是unix 版本的安装是一个比较麻烦的过程，而许多版本的unix 缺省安装已经带一个抓包工具snoop 关于这个工具的使用，可以参考man snoop. 需要说明的是snoop 输出的文件格式遵循RFC1761， 因此只要支持该RFC 的工具均可以分析其输出文件。 这里我只介绍snoop 的常用操作。 snoop –o filename exp -o 指示抓的报文输出到 filename exp 指示所抓的内容。 常用的表达式指示关键词有host , ip, port 等. 这些关键词有可以有修饰词 dst /src 等. 一个表达式由一个或多个布尔元素组成。布尔元素之间用AND, OR, and NOT 连接。 常用的表达式 如 host 01 dst host 01 tcp port 9080 http smtp 等 比如要抓通告消息， 可以使用命令 snoop –o push.msg tcp port 9080 （前提是已知通告下发使用9080端口） 或者 snoop –o push.msg host 01 (前提是已知通告下发使用01的网关) 表达式的灵活选取可以让我们一次抓到所有需要的数据，而又不会导致输出文件太大。 前面已经讲了抓报工具的使用， 下面应该讲对取得的原始数据怎么分析了： 1． 我建议安装windows 版本的ethereal . 2． 把snoop 抓到的报文用bin 方式传送到ethereal 可以访问的目录下，注意目录/文件名不要包含汉字/空格。 3． 使用file/open 菜单打开需要分析的报文原始文件。由于原始文件可能包含所有数据往来，而我们一次分析只关注某协议的某个方向的数据。这时候filter 可以起上大作用了。 图1 4． filter也是一个表达式，语法基本基于各协议的描述. 如http 有 request /response 表示请求和答。如我们的PUSH 消息是放在http post 中提交的。因此http.request 可以过滤掉其他信息，而只留下http.request 消息。如果原始数据里面还是包含其他的http.request 消息( mm7 AO 消息就是http post 提交的),可以进一步强化filter 的条件. 如http.request and ip.dst eq 01 (01是WAPGW 的地址) 这里，有时虽然我们使用HTTP 协议交互消息，但是并不使用标准的80端口，怎么让ethereal 知道某个端口就是使用的HTTP 协议呢？在你所见的任意一个包含该端口的数据包上右键，选择decode as 菜单项，然后在弹出的对话框右边的指定你要的协议，即可。源/目的端口取决与实际使用的端口，如实际使用9080作为http post 的目的端口，则选择目的端口，decode as 图2 选择了decode as 之后， ethereal 使用指定协议分析指定端口的数据。 可以在user specified decode as 菜单中看到 图3 选择clear 可以将你认为不需要的端口解析去掉。 图1 红色方框右面的tips 提示的是抓得该数据包的文件大小和持续时间，时间是以HH:MM:SS的形式表示。结合前面的filter ，选择save 看displayed (红色方框所示) 这个数字除以持续的时间即可得到对应请求的平均速率。 图4 看某个数据包所属连接上的数据往来。请选择对应的数据包，然后右键选择Follow TCP STREAM 这样可以看到在这次连接上的所有数据交互。 得到如下图 图5