ethereal的使用详解课堂PPT

《ethereal的使用详解课堂PPT》由会员分享，可在线阅读，更多相关《ethereal的使用详解课堂PPT（44页珍藏版）》请在装配图网上搜索。

1、Ma xipingEthereal的使用的使用 Exercise 1Ma xiping实习目的和要求目的:学习使用ethereal抓包软件掌握以太网帧的构成，了解各个字段的含义。要求：按规定格式撰写实习报告,包括理论内容和实验数据，及其分析。Ma xipingPreface Ethereal is used by network professionals around the world for troubleshooting,analysis,software and protocol development,and education.Ma xipingPerface Ethereal是

2、一个图形用户接口（GUI）的网络嗅探器，Ehtereal依赖于pcap库（libpcap）。Ethereal和其它图形化的网络嗅探器都使用相同的界面模式，如果能熟练地使用Ethereal，那么其它图形用户界面的嗅探器基本都可以操作。Ma xipingEtherrealQ etherealethereal安装安装Down load from http:/ Ma xipingetherealMa xipingMa xipingetherealethereal使用指南使用指南 User Guiden双击启动桌面上双击启动桌面上ethereal图图 标标 ，按，按ctrl+K进行进行 “capture

3、 option”的选择。的选择。n选择选择 正确的正确的NIC，进行报，进行报 文的捕获。支持文的捕获。支持 WLan无无 线的相关协议。线的相关协议。Ma xipingnInterface是选择捕获接口是选择捕获接口nCapture packets in promiscuous mode表示是否打表示是否打开混杂模式，打开即捕获所有开混杂模式，打开即捕获所有的报文，一般我们只捕获到本的报文，一般我们只捕获到本机收发的数据报文，所以关掉机收发的数据报文，所以关掉nLimit each packet 表示表示 限制限制每个报文的大小每个报文的大小nCapture files 即捕获数据包的即捕获

4、数据包的保存的文件名以及保存位置保存的文件名以及保存位置Capture OptionsMa xipingEthereal:capture form(NIC)drivern capture option确认选择确认选择后，点击后，点击ok就开始进行就开始进行抓包。抓包。n 同时就会弹出同时就会弹出“Ethereal:capture form(nic)driver”，其中，其中(nic)代表本机的网卡型号。代表本机的网卡型号。n 同时该界面会以协议的同时该界面会以协议的不同统计捕获到报文的不同统计捕获到报文的百分比百分比n 点击点击stop即可以停止抓包即可以停止抓包Ma xipingn在使用在使

5、用“Ethereal:capture form(nic)driver”抓包的同时，可抓包的同时，可以通过最小化以通过最小化 or 使用使用alt+tab的快捷键直接切换到的快捷键直接切换到 报文浏览报文浏览的主界面的主界面User GuideMa xipingFile的下拉菜单的下拉菜单n“Open”即打开已存的抓包文即打开已存的抓包文件，快捷键是件，快捷键是crtlQn“Open Recent”即打开先前已即打开先前已察看的抓包文件，类似察看的抓包文件，类似windows的最近访问过的文档的最近访问过的文档n“Merge”字面是合并的意思，字面是合并的意思，其实是追加的意思，即当前捕其实是追

6、加的意思，即当前捕获的报文追加到先前已保存的获的报文追加到先前已保存的抓包文件中。抓包文件中。nSave和和save as即保存即保存、选择、选择保存格式。保存格式。Ma xipingn其中其中save as保存为是有个注意保存为是有个注意点：点：n点击点击n 该展开按钮即可详细选择该展开按钮即可详细选择保存保存n 路径路径n2.File type保存选择时注意：保存选择时注意：n 缺省保存为缺省保存为libpcap格式，这格式，这个是个是linux下的下的tcpdump格式的文格式的文件。只有选择文件保存格式为件。只有选择文件保存格式为sniffer（windowsbase）1.1和和2.0

7、都可，都可，ethereal和和sniffer才能双才能双向互相打开对方抓包的文件。否向互相打开对方抓包的文件。否则只有则只有ethereal能打开能打开sniffer的抓的抓包文件。包文件。Sinffer、ethereal可以相互打开对方的文件可以相互打开对方的文件Ma xipingFile的下拉菜单的下拉菜单nExport是输出的意思是输出的意思nPrint 打印打印nQuit退出退出Ma xipingEdit的下拉菜单的下拉菜单nFind Packet 就是查询报文，就是查询报文，快捷键是快捷键是ctrl+Fn可以支持不同格式的查找可以支持不同格式的查找n输入正确的语句，那么背景为输入正

8、确的语句，那么背景为 绿色绿色，语句错误或缺少背景就为，语句错误或缺少背景就为 红色红色 Ma xipingEdit的下拉菜单的下拉菜单nFind Next是向下查找是向下查找nFind Previous是向上查找是向上查找nTime Reference 字面是时间参字面是时间参考，使用后明白是考，使用后明白是 做个报文做个报文的的“时间戳时间戳”，方便大量报文，方便大量报文的查询的查询Ma xipingEdit的下拉菜单报文标签的下拉菜单报文标签n使用使用Time Reference标标签后，原先签后，原先time的就变成的就变成“REF”缩写的标记缩写的标记 附注：附注：你可以在多个报文间

9、你可以在多个报文间 用时间戳标记，方便用时间戳标记，方便 查询。查询。通俗点就象书通俗点就象书 签一样。签一样。nMark Packet（toggle）是标记报文是标记报文nMark all packets 和和 Unamrk all packet即即标记所有报文标记所有报文、取消、取消标记所有报文标记所有报文Ma xipingEdit的下拉菜单的下拉菜单n 点击点击“preference”进行用户界进行用户界面的选择，面的选择，比如说比如说 报文报文察看界面布察看界面布局的选择，局的选择，以及协议支以及协议支持的选择。持的选择。Ma xipingView的下拉菜单的下拉菜单nMain too

10、lbar 主工具栏主工具栏nFilter Toolbar 过滤工具栏过滤工具栏nStatusbar 状态条状态条nPacket list 报文列表报文列表nPacket details 报文详解报文详解nPacket byte 报文字节察看报文字节察看nTime display format 时间显示格时间显示格式（可以显示年月日时分秒）式（可以显示年月日时分秒）nName Resolution 名字解析名字解析nAuto scroll in live capture（自自动翻卷显示活动的报文动翻卷显示活动的报文），捕获），捕获时是否时是否跟进显示更新的报文跟进显示更新的报文还是还是显示先前的

11、报文。显示先前的报文。Ma xipingView的下拉菜单的下拉菜单nZoom in 字体的放大字体的放大nZoom out 字体的缩小字体的缩小nNormal size 标准大小标准大小nResize columns 格式对齐格式对齐nCollapse all 报文细节内容的缩报文细节内容的缩进进nExpand all 报文细节内容的展开报文细节内容的展开nColoring Rules 颜色规则，即可颜色规则，即可以对特定的数据包定义特定的颜以对特定的数据包定义特定的颜色。色。nShow packet in new window在新在新窗口中查看报文内容窗口中查看报文内容nReload 刷新

12、刷新Ma xipinggo的下拉菜单的下拉菜单nBack 同样双方的上个报文同样双方的上个报文nForward 同样双方的下一个报文同样双方的下一个报文nGo to packet 查找到指定号码的查找到指定号码的报文报文nFirst packet 第一个报文第一个报文nLast packet 最后一个报文最后一个报文Ma xipingcapture的下拉菜单的下拉菜单nStart 开始捕获报文开始捕获报文Ma xipingnInterface 接口接口n捕获过滤捕获过滤capture的下拉菜单的下拉菜单Ma xipingcapture的的Capture filter u 捕获过滤捕获过滤n如果

13、要捕获特定的报文，那在抓取如果要捕获特定的报文，那在抓取packet前就要设置，决定数据包的前就要设置，决定数据包的类型类型。FIlter name：任意命名任意命名 Filter string：这里要注意了，这里语法输这里要注意了，这里语法输 入有点技巧。入有点技巧。Ma xiping比如说：比如说：a.捕获捕获 MAC地址为地址为 00:d0:f8:00:00:03 网络设备通信的所有报文网络设备通信的所有报文 ether host 00:d0:f8:00:00:03b.捕获捕获 IP地址为地址为 192.168.10.1 网络设备通信的所有报文网络设备通信的所有报文 host 192.1

14、68.10.1c.捕获网络捕获网络web浏览的所有报文浏览的所有报文 tcp port 80d.捕获捕获192.168.10.1除了除了http外的所有通信数据报文外的所有通信数据报文 host 192.168.10.1 and not tcp port 80提示：提示：如果以如果以 默认主机和端口的设置捕获默认主机和端口的设置捕获 tcp/ip报文，你将看不到报文，你将看不到自身的自身的arp报文报文。capture的的Capture filterMa xipingFilter string 语法输入的格式语法输入的格式u src|dst host u ether src|dst host

15、u gateway host u src|dst net mask|len u tcp|udp src|dst port u less|greater u ip|ether proto u ether|ip broadcast|multicastu relop Ma xiping符号在符号在Filter string语法中的定义语法中的定义 Equal:eq,=(等于）等于）Not equal:ne,!=（不等于）（不等于）Greater than:gt,（大于）（大于）Less Than:lt,=（大等于）（大等于）Less than or Equal to:le,=（小等于）（小等于）Ma

16、 xipingCapture filter的应用步骤的应用步骤Ma xipingnDisplay filters 显示过滤显示过滤,可以直接在主界面的可以直接在主界面的filter上选择上选择Analyze的下拉菜单的下拉菜单Ma xipingAnalyze下的下的Display filters正确的语法如下，和正确的语法如下，和“Capture Filter”的语法有所不同的语法有所不同：显示显示 以太网地址为以太网地址为 00:d0:f8:00:00:03 设备通信的所有报文设备通信的所有报文 eth.addr=00.d0.f8.00.00.03显示显示 IP地址为地址为 192.168.

17、10.1 网络设备通信的所有报文网络设备通信的所有报文 ip.addr=192.168.10.1显示所有设备显示所有设备web浏览的所有报文浏览的所有报文 tcp.port=80显示显示192.168.10.1除了除了http外的所有通信数据报文外的所有通信数据报文 ip.addr=192.168.10.1&tcp.port!=80Ma xipingAnalyze的下拉菜单的下拉菜单nEnable protocols 是否启用该协议的解析，是否启用该协议的解析，点选该协议后，相关的上点选该协议后，相关的上 层协议才能显示出来。层协议才能显示出来。Ma xipingAnalyze的下拉菜单的下拉

18、菜单nDecode As 用户定义报文协议说明用户定义报文协议说明nUser Specified Decodes 用户修改的报文编译用户修改的报文编译 Ma xipingAnalyze的的Decode AsnDecode As 用户定义报文协议说明用户定义报文协议说明 通过定义后，数据包细节通过定义后，数据包细节的窗口解释：原先是的窗口解释：原先是 tcp的的解释，更改就直接显示解释，更改就直接显示ssl格式的报文了。格式的报文了。Ma xipingAnalyze的的follow tcp stream（follow tcp stream）n在开始在开始所有程序所有程序附件附件命令提示符命令提示

19、符C:ping 192.168.0.*entern看到你了在看到你了在packet detail的窗口里的窗口里 安祥的放着安祥的放着 decelopment.html报报文。文。Ma xipingAnalyze的的follow tcp streamn在在 packet detail 窗口中选择这个报文窗口中选择这个报文（decelopment.html报文报文）点）点击右键击右键 选择选择“follow tcp stream”Ma xipingAnalyze的的follow tcp streamn这就是这就是 follow tcp stream窗口，然后全选窗口，然后全选，在，在ctrlc，

20、n打开打开 记事本，记事本，ctrlv，另存为，另存为 1.html。最后双击该文件。最后双击该文件。这只是这只是 ethereal强大功能其中的一个小技巧强大功能其中的一个小技巧Ma xipingnStatistics 顾名思义顾名思义 统计统计 就是相关的报文的统计信息就是相关的报文的统计信息Statistics的下拉菜单Summmary 报文的详细信息报文的详细信息Protocol hierarchy 协议层协议层 即各协议层报文的统计即各协议层报文的统计Conversations 显示该会话报文显示该会话报文的信息的信息 （双方通信的报文信息）（双方通信的报文信息）endpoints

21、分别显示单方的报文分别显示单方的报文信息信息IO Graphs 报文通信的心跳图报文通信的心跳图（翻译的比较蹩脚）（翻译的比较蹩脚）Ma xipingStatistics的下拉菜单Summary 报文的详细信息报文的详细信息Protocol hierarchy 协议层协议层 即各协议层报文的统计即各协议层报文的统计Ma xipingStatistics的下拉菜单Conversations 显示该会话报显示该会话报文的信息文的信息 （双方通信的报（双方通信的报文信息）文信息）endpoints 分别显示单方的报分别显示单方的报文信息文信息Ma xipingStatistics的下拉菜单IO Gr

22、aphs 报文通信的心跳图报文通信的心跳图（翻译的比较蹩脚）（翻译的比较蹩脚）Ma xipingHelp的下拉菜单nHelp 帮助帮助Contents 帮助的目录帮助的目录 Ma xipingHelp的下拉菜单Supported Protocols 支持的协议支持的协议Ma xipingTry to ethereal Ctrl k Alt tab U can try http:/ use help in the menu Just do itMa xiping实验步骤1.打开打开Ethereal2.在开始在开始所有程序所有程序附件附件命令提示符命令提示符C:ping 192.168.0.*,enter3.在在Ethereal中查看所捕获的数据包，查看时使用中查看所捕获的数据包，查看时使用“查看过滤查看过滤”功能，只显示本机发出的数据包，功能，只显示本机发出的数据包，分析包的类型及格式，并抓图详解。分析包的类型及格式，并抓图详解。4.附加题：按装附加题：按装FTP，捕获，捕获FTP用户名和密码。用户名和密码。