Ethereal使用指导培训课件.ppt

Statistics的下拉菜单 Summmary 报文的详细信息 Protocol hierarchy 协议层，即各协议层报文的统计 Statistics的下拉菜单 Conversations 显示该会话报文的信息（双方通信的报文信息） endpoints 分别显示单方的报文信息 Statistics的下拉菜单 IO Graphs报文通信的心跳图 Help的下拉菜单 Help 帮助 Contents帮助的目录 Help的下拉菜单 Supported Protocols 支持的协议 * 是Open Source，更新快，支持的协议多，特别是数据包过滤 功能灵活强大。 Ethereal 是免费的网络协议检测程序，可以用来监视所有在网络上被传送的包，并分析其内容的，支持Unix，Windows。让您经由程序抓取运行的网站的相关资讯，包括每一封包流向及其内容、资讯可依操作系统语系看出,方便查看、监控TCP session动态等等。它通常被用来检查网络工作情况，或是用来发现网络程序的bugs。目前ethereal提供了对TCP、UDP、SMB、telnet和ftp等常用协议的支持。它在很多情况下可以代替价格昂贵的sniffer。 * * 可以选择capture filter 手工创建的模板，也可以 直接在 capture options的capture filter的输入框中直接输入规则 * 详细见附件的《IP Display Filters》 * 杭州华三通信技术有限公司 Ethereal使用指导 Ethereal Overview Ethereal – Network Protocol Analyzer User Guide 双击启动桌面上ethereal图标，按Ctrl+K进行 “capture option”的选择。 选择正确的NIC，进行报文的捕获。支持无线的相关协议。 Interface是选择捕获接口。 Capture packets in promiscuous mode表示是否打开混杂模式，打开即捕获所有的报文，一般我们只捕获到本机收发的数据报文，所以关掉。 Limit each packet 表示 限制每个报文的大小。 Capture files 即捕获数据包的保存的文件名以及保存位置。 Capture Options Ethereal:capture form (nic) driver capture option确认选择后，点击ok就开始进行抓包。 同时就会弹出“Ethereal:capture form （nic） driver”，其中（nic）代表本机的网卡型号。 同时该界面会以协议的不同统计捕获到报文的百分比。 点击stop即可以停止抓包。 在使用“Ethereal:capture form (nic) driver”抓包的同时，可以通过最小化 or 使用alt+tab的快捷键直接切换到 报文浏览的主界面。 User Guide File的下拉菜单 “Open”即打开已存的抓包文件，快捷键是crtl＋Q “Open Recent”即打开先前已察看的抓包文件，类似windows的最近访问过的文档 “Merge”字面是合并的意思，其实是追加的意思，即当前捕获的报文追加到先前已保存的抓包文件中。 Save和save as即保存 、选择保存格式。 save as保存注意事项： 点击“Browse for other folders”，该展开按钮即可详细选择保存路径 File type保存选择时注意： 缺省保存为libpcap格式，这个是linux下的tcpdump格式的文件。只有选择文件保存格式为sniffer（windows－base）1.1和2.0都可，ethereal和sniffer才能双向互相打开对方抓包的文件。否则只有ethereal能打开sniffer的抓包文件。 Ethereal保存文件 Edit的下拉菜单 Find Packet 就是查询报文，快捷键是ctrl+F 可以支持不同格式的查找 输入正确的语句，那么背景为 绿色，语句错误或缺少背景就为 红色 Edit的下拉菜单 Find Next是向下查找 Find Preyious是向上查找 Time Reference 字面是时间参考，使用后明白是 做个报文的“时间戳”，方便大量报文的查询 Edit的下拉菜单报文标签 使用Time Reference标签后，原先time的就变成 “REF”缩写的标记。附注：可以在多个报文间用时间戳标记，方便查询，就像书签一样。 Mark Packet（toggle）是标记报文。 Mark all packets 和 Unamrk all packet即标记所有报文 、取消标记所有报