Ethereal抓包常用过滤条件分析.pdfVIP

Ethereal 抓包常用过滤条件分析 1． 前言 Ethereal 的过滤规则 Ethereal 的过滤规则可以有两种形式： (1) 一个原语：一个原语即一条最基本的过滤规则 (2) 用 “and”、“or ”、“not ”关系去处运算符，以及括号组合起来的原语。 其中“ and”的含义是它所连接的两个原语必须都成立；“ or ”的含义是它所连 接的两个原语只要有一个成立即可；“ not ”的含义是它后面跟的原语不成立； 括号的作用是对关系运算顺序作出规定。 Ethereal 抓包 常用过 滤条件 过 滤条件 语句 语 句说明 [src|dst] host host 过 滤出包 含指定 IP 地址 的数据 包 ether [src|dst] host ehost 过 滤出包 含指定 MAC地址的 数据包 gateway host host 过 滤出包 含指定 网关 IP 地址的 数据包 [tcp|udp] [src|dst] port 过 滤出使 用指定 端口通 信的数 据包 port less|greater length 过 滤出大 于或小 于指定 长度的 数据包 ip|ether proto protocol 过 滤出使 用指定 协议的 数据包 ether|ip 过 滤出广 播或组 播的数 据包 broadcast|multicast 过 滤语句 使用的 举例如 下： 1. 捕 获 MAC地 址为 00:e0:fc:58:bc:a3 的 通信 数据包 ，例如 ： Ether host 00:e0: 2. 捕获 源 IP 地址 为 19 的 通信 数据包 ，例如 ： src host 19 用 PC 机监 听 STB 的通 信数 据包时 ，常常 要用到 这个过 滤条件 ，以保 证 只捕获 与 STB相关的 数据包 。 3. 捕获通 过 80 端口 来通信 的数据 包，使用该 端口通 信的数 据包是 基 于 http 协 议的， 例如： tcp port 80 或者 为 ip proto http 以 上过滤 语句还 可以通 过 and、 or 、 not 等连 接成复 合过滤 语句。 例 如：捕 获 除了 http 外的所 有通 信数据 报文 and not tcp port 80 Name Resolution ：名字解 析，可 将 MAC地址、 网络地 址、端 口地址 解 析为相 应的名 称。 1) Enable MAC name resolution 通 过该选 项可以 控制是 否让 ethereal 将 数据包 中的 MAC地址 解析为 名 字。例 如在 IPTV 验 证工 作中实 际抓包 分析时 ，常常 可在协 议栏中 看到 Huawei_58:00:63 这 样 的 地 址 ， 其 实 真 实 的 MAC 地 址 是 ： 00:e0:fc:58:00:63 。 2) Enable network name resolution 通 过该选 项可以 控制是 否让 ethereal 将 数据包 中的网 络地址 解析为 网 络名称 。 3) Enable transport name resolution 通过该选项可以控制是否让 ethereal 将数据包中的端口地址解析为协议名 称。 Ethereal 图形界面 : 如下图所示： 图 1 Ethereal图形界面 第一