使用Ethereal分析数据包.pptVIP

Displayfilters显示过滤可以直接在主界面的filter上选择Analyze的下拉菜单Analyze下的Displayfilters正确的语法如下，和“CaptureFilter”的语法有所不同：显示以太网地址为00:d0:f8:00:00:03设备通信的所有报文

eth.addr==00.d0.f8.00.00.03

显示IP地址为网络设备通信的所有报文?

ip.addr==

显示所有设备web浏览的所有报文

tcp.port==80

显示除了http外的所有通信数据报文

ip.addr==tcp.port!=80Analyze的下拉菜单Enableprotocols是否启用该协议的解析，点选该协议后，相关的上层协议才能显示出来。Analyze的下拉菜单DecodeAs用户定义报文协议说明UserSpecifiedDecodes用户修改的报文编译Analyze的DecodeAsDecodeAs用户定义报文协议说明通过定义后，数据包细节的窗口解释：以前是tcp的解释，更改就直接显示ssl格式的报文。分析followtcpstreamTCP报文是面向字节流的，浏览，进行抓包，可以看到tcp数据流抓数据包捕获数据包的时间长短要根据具体情况而定。比如，要分析HTTP协议的数据结构，只需要捕获一条HTTP数据即可；而要观察浏览器浏览服务器端网站内容的详细过程，就需要详细地捕获从开始到结束的整个过程。以网站首页数据量较少的为例，假如要详细显示客户端和首页数据的详细交互过程，就需要不停地捕获数据包直到数据彻底传递完毕。分析数据包No.列标识出Ethereal捕获的数据包的序号，Time表明在什么时间捕获到该数据包，Source和Destination标识出数据包的源端和目的端，Protocol表明该数据包使用的协议(以该数据包最上层协议名命名)，Info是在列表中大概列出该数据包的信息。数据包具体网络协议实例分析数据链路层帧网络层协议IP传输层协议TCP/IP应用层协议数据链路层数据传递两种方式点对点信道广播信道PPP帧首部结构Ethernet帧首部结构某个Ethernet帧的十六进制数据显示说明当单击选择第26号帧(frame)时，打开下方的注释，显示出该帧的概要信息：帧的到达时间，帧的长度有72字节，整个帧内部各个层次所用到的协议(分别是Eth,IP,UDP和DNS)。Ethernet帧的首部以太网帧首部一共14个字节，6个字节的目的地址00115dace800(Cisco_ac:e8:00思科网卡标识符)，表明使用的是Cisco公司的设备，6个字节源地址001617ab1e48，也就是本主机的网卡地址，2个字节类型字段0800，表明里面的数据是IP数据报。IP数据报首部的结构IP数据报首部分析这个IP数据报的首部有20字节长，详细的数据分析如下：Version：版本4，目前使用的是IPV4。Headerlength：首部长度20字节(5个单位，每个单位4字节)。DifferentiatedServicesField：区分服务00(简称为DS，默认值是00，路由器根据DS字段不同的值来提供不同等级的服务质量，其中，前6位是区分服务码点DSCP，后面两位目前不使用，记为CU)。TotalLength：1500字节。Identification：标识a6be(42686)。Flags：标志，占3比特位，分别是010。第一位是保留位，目前不使用，值为0；第二位记为DF，值为1表示不能分片，值为0表示允许分片；第三位记为MF，值为1表示后面还有分片的数据报，值为0表示这已是若干数据报片中最后一个。FragementOffset：片偏移0个单位。Timetolive：生存时间51，表明这个数据报之前已经经过了13(64减去51等于13)个网关路由节点。Protocol：协议06表示内部数据是TCP报文段。Headerchecksum：首部检验和为768c，correct表明检验正确。Source：源IP地址3。Destination：目的地址21。TCP/UDP报文首部*可以选择capturefilter手工创建的模