Ethereal 数据包嗅探软件

Ethereal是目前较为时尚的一种计算机互联网调试和数据包嗅探软件。Ethereal是不收费的互联网协议测试程序，支持Unix，Windows。让你经由程序抓取运行的网站的有关资讯，包含每一封包流向及其内容、资讯可依操作系统语系看出,便捷查询、监控TCP session动态等等.

Ethereal互联网剖析系统也需要一个底层的抓包平台，在Linux中是使用Libpcap函数库抓包，在windows系统中使用winpcap函数库抓包。

Ethereal 基本像tcpdump，但Ethereal 还具备设计完美的 GUI 和海量分类信息及过滤选项。用户通过 Ethereal，同时将网卡插入混合模式，可以查询到互联网中发送的所有通信流量。 Ethereal 应用于问题修复、剖析、软件和协议开发与教育范围。它具备用户对协议剖析器所期望的所有标准特点，并具备其它相同种类商品所不拥有的有关特点。

Ethereal 主要特点：

在实时时间内，从互联网连接处捕获数据，或者从被捕获文件处读取数据；
Ethereal 可以读取从 tcpdump（libpcap）、互联网通用嗅探器（被压缩和未被压缩）、SnifferTM 专业版、NetXrayTM、Sun snoop 和 atmsnoop、Shomiti/Finisar测试员、人工智能X 的 iptrace、Microsoft 的互联网监控器、Novell 的 LANalyzer、RADCOM 的 WAN/LAN 剖析器、 ISDN4BSD 项目的 HP-UX nettl 和 i4btrace、Cisco安全IDS iplog 和 pppd 日志（ pppdump 格式）、WildPacket 的 EtherPeek/TokenPeek/AiroPeek 或者可视互联网的可视 UpTime 处捕获的文件。除此之外 Ethereal 也能从 Lucent/Ascend WAN 路由器和 Toshiba ISDN 路由器中读取跟踪报告，还能从 VMS 的 T安装成本P 读取输出文本和 DBS Etherwatch。
从以太网、FDDI、PPP、令牌环、IEEE 802.11、ATM 上的 IP 和回路接口（至少是某些系统，不是所有系统都支持这类种类）上读取实时数据。
通过 GUI 或 TTY 模式 tethereal 程序，可以访问被捕获的互联网数据。
通过 editcap 程序的命令行交换机，有计划地编辑或修改被捕获文件。
目前602协议可被分割。
输出文件可以被保存或打印为纯文本或 PostScript格式。
通过显示过滤器精准显示数据。
显示过滤器也可以选择性地用于高亮区和颜色包摘要信息。
所有或部分被捕获的互联网跟踪报告都会保存到磁盘中。

Ethereal 怎么使用：

安装

1）安装winpcap

2）安装Ethereal

用

windows程序，用非常简单。

启动ethereal 将来，选择菜单Capture-Start ，就OK 了。当你不想抓的时候，按一下sTOP， 抓的包就会显示在面板中，并且已经剖析好了。

Ethereal用－capture选项

interface: 指定在什么接口（网卡）上抓包。通常情况下都是单网卡，所以用缺省的就能了

Limit each packet: 限制每一个包的大小，缺省状况不限制

Capture packets in promiscuous mode: 是不是打开混杂模式。假如打开，抓取所有些数据包。通常情况下仅需监听本机收到或者发出的包，因此应该关闭这个选项。

Filter：过滤器。只抓取满足过滤规则的包（可暂时略过）

File：假如需要将抓到的包写到文件中，在这里输入文件名字。

use ring buffer： 是不是用循环缓冲。缺省状况下不用，即一直抓包。注意，循环缓冲只有在写文件的时候才有效。假如用了循环缓冲，还需要设置文件的数目，文件多大时回卷

其他的项选择缺省的就能了

Ethereal的抓包过滤器：

抓包过滤器用来抓取有兴趣的包，用在抓包过程中。 抓包过滤器用的是libcap 过滤器语言，在tcpdump 的手册中有详细的讲解，基本结构是： [not] primitive [and|or [not] primitive ...]

个人看法，假如你想抓取某些特定的数据包时，可以有以下两种办法，你可以任选一种， 个人比较偏好第二种方法：

1、在抓包的时候，就先概念好抓包过滤器，如此结果就是只抓到你设定好的那些种类的数 据包；

2、先不管三七二十一，把本机收到或者发出的包一股脑的抓下来，然后用下节介绍的显 示过滤器，只让Ethereal 显示那些你想要的那些种类的数据包；

etheral的显示过滤器（重点内容）

在抓包完成将来，显示过滤器可以用来找到你有兴趣的包，可以参考1)协议2)是不是存在某个域3)域值4)域值之间的比较来查找你有兴趣的包。

举例，假如你只想查询用tcp 协议的包，在ethereal 窗口的左下角的Filter 中输入tcp， 然后回车，Ethereal 就会只显示tcp 协议的包。

值比较表达式可以用下面的操作符来架构显示过滤器自然语言类c 表示举例eq == ip.addr==10.1.10.20 ne != ip.addr!=10.1.10.20 gt frame.pkt_len10 lt frame.pkt_len10 ge = frame.pkt_len=10 le = frame.pkt_len=10

表达式组合可以用下面的逻辑操作符将表达式组合起来自然语言类c 表示举例and 逻辑与，譬如ip.addr=10.1.10.20tcp.flag.fin or ||逻辑或，譬如ip.addr=10.1.10.20||ip.addr=10.1.10.21 xor ^^ 异或，如tr.dst[0:3] == 0.6.29 xor tr.src[0:3] == not !逻辑非，如 !llc

TAG标签：嗅探(1)Ethereal(1)

转载请说明来源于当快软件园（https://www.lrvxg.com）

本文地址：https://www.lrvxg.com

郑重声明：文章来源于网络作为参考，本站仅用于分享不存储任何下载资源,如果网站中图片和文字侵犯了您的版权，请联系我们处理！邮箱3450399331@qq.com