ethereal图文详细教程6.docVIP

Ethereal软体介绍Ethereal 封包监听器，是一套网管人员必备的超强软体。举凡在网路故障排除，监听异常封包，软体封包问题检测等等问题，甚至包含针对网路通讯协定的教育训练，都可以利用这套免费的软体来做到。Unix 及 Windows 平台封包撷取、网路分析程式 - Ethereal，可以从动态的网路撷取封包，或者是由硬碟中撷取档桉来检查资料，您可以同时浏览每一个封包的撷取资料内容、检视概要及详细资讯，还有强 大的过滤器语言显示、检视重建的 TCP session 串流功能。不久之前，Sniffer 和 NetXRay 大概是网管人员最熟悉的封包监听软体，但 Ethereal 这套免费的软体，由于採取开放原始码的方式，更新通讯协定 Protocol 迅速，支援不同软体汇出的封包撷取档桉格式，目前广为世界各地专业网管使用。很容易的可以选取撷取封包时间，主要透过图形介面来表示，清晰易懂。此外，使用过滤的功能，可以让你轻易的判别出封包种类，可以让你清楚的分析网路中各式各样流窜的封包内容。目前支援620种不同的 Protocol，还在持续增加之中。相容的封包撷取档桉格式包含：tcpdump、, NAI 的 Sniffer，NetXray，Sun snoop，AIX 的 iptrace，Microsoft 的 Network Monitor，Novell 的 LANalyzer，Cisco 的 IDS iplog 等，几乎全部知名的封包撷取软体，通通都可以在这套软体中读取检视。目前各种不同的作业系统几乎都有不同的版本可以支援使用。可以到网站中下载不同平台的版本。说到抓封包看内容来说，这一套免费软体说是超强，支援协定出乎意料的多，常常更新版本，可惜的是目前还没有繁体中文版本本文读者要先知道的智识：ISO 7和TCP/IP协定，FTP基础使用教学内容：这一次的教学，我要使用Ethereal找出本台电脑FTP的连线密码以目前笔者使用最新的版本为0.99.0也以这一版本作介绍使用方法请到/左上角有一下载处Download Now，点一下下载 这边有分不同的作业系统有不同版本，Ethereal支援多种作业系统喔这边其实也有以前的版本下载，打上/distribution.../all-versions/这有以前的版本，还包括了windows系列使用Ethereal前一定要先安装的WinPcap，不过，自从0.99.0之后的版本，都不用另外下载安装winpcap了，因为都封装在ethereal裡面，那之前的版本就必须要另行下载安装winpcap了下面这张图就是下载回来后的档桉清单，有各种版本，其中winpcap3.0和winpcap3.1是因为ethereal0.10的版本要另外下载安装执行安装过程的第一个欢迎画面这是协议书这是选择要安装的套件内容，一般都全选了这是选择要在那裡建立始动捷径start menu group=在开始-程式集-desktop icon=桌面quick launch icon=快速工具列而下面file exetnsions勾勾的就是说要把那一些副档名和ethereal建立关联选择安装的路径也就是我之前所说的，winpcap已经寺装在一起了，所以在这裡要选择安装winpcap 3.1开始複製档桉了……会特别跳出winpcap的安装程式  已经安装完成 这是ethereal的软体画面了  我们开始来抓封包了，点选Capture-Options 在Interface选项裡，选择你要抓封包的网卡，我这张图裡有5张网卡，但我上网的是RTL8139，我就选择RTL8139 选好再按START 这是在抓封包的过程，可以观察得到各协定所抓到的封包数量(同时也可以看看协定比例对不对)，你觉得抓得到你想要的封包时，就可以按STOP了，不过我先不按，因为这一次的教学我要找出FTP的连线密码，当然要先作ftp连线结束才再来按stop 我打开我的ftp 用户端，要连线的主机，帐号，密码都打上了，按下我的connect连线 YA！连线成功  认证成功，伺服器回应的讯息 这就是一般的ftp连线登入认证时所有过程，那到底ftp软体做了些什麽事情呢！？我们一来看看封包的内容吧 我们回到这个画面，按下stop来停止封包抓取的动作 按stop后的画面，这画面有分三大部份1.最上面的是似照封包的接收顺序来排序的，就是左边的.5.6.7......每一行就是一个封包2.中间是每单一个封包的内容，大致上有四行，这四行是TCP/IP协定内所定意的四层，最上面是 第一层-实体层和网路介面层(frame)第二层-网路层(包括