ethereal的使用详解

1.主界面介绍随着3G的普及，手机数据业务量（如浏览器，彩信等）的日益增长，对手机侧网络包的分析显得越来越重要。

一般来说，手机数据业务的抓包工具为QXDM，在抓LOG指导里面已经有了详细参数的配置介绍(详情见《IP数据包抓取方法.doc》)。

但需要注意的是，在将LOG转化为.pcap文件时，必须保证当前电脑里安装有Ethereal软件，否者PCAPGenerator这个工具不会出现。

（针对使用Tools->PCAPGenerator转化.isf文件出错的情况，可以做如下尝试：先使用Tools->ISF File Converter将刚刚保存的.isf文件其转化为.dlf文件，然后使用Tools->PCAPGenerator将.dlf 文件转换成.pcap文件）。

这里主要针对抓到IP包后，怎么样使用Ethereal软件对IP包进行分析，以及一些简单的TCP/IP协议介绍。

直接点击打开.pcap文件，可以看到如下图1所示界面。

图1中间彩色的区域就是IP数据包。

从左到右，字段分别是No.，Time，Source，Destination，Protocol以及Info。

IP包是按照流经手机网卡的时间顺序排列的，NO.是标示抓到的IP包是该抓包文件中的第几个，Time则是计算的所有包与第一个包之间的间隔时间，单位毫秒ms。

Source和Destination字段分别表示IP包的源地址和目的地址。

Protocol显示当前IP包的上层协议，如TCP，UDP，如果应用层协议头也在该IP包中，优先显示应用层协议，如RTSP，HTTP等。

注意中间的彩色显示，不同的颜色代表该IP包中包含了不同内容，这是方便我们对IP 包查看。

如上面的大红色，表示的是该数据包损坏，可能是只有一半的内容，也可能是指在该包与其他包的序号不连续（指在协议层不连续），中间可能出现丢包的现象。

很多时候，Ethereal是用不同颜色来区分上层协议的不同（注意IP包中必须包含上层协议的包头，才能以该应用的颜色进行标示。

⽹络协议分析⼯具Ethereal的使⽤⼤学时计算机⽹络课的实验报告，当时提不起兴趣，今天看来还挺有⽤的。

可以学习下怎样抓数据包，然后分析程序的通信协议。

⼀：学习使⽤⽹络协议分析⼯具Ethereal的⽅法，并⽤它来分析⼀些协议。

实验步骤：1．⽤“ipconfig”命令获得本机的MAC地址和缺省路由器的IP地址；（注：缺省路由器即 ”Default Gateway”）命令⾏：Start->Run->CMD->ipconfig /all >C:\Mac.txt(在命令⾏中把ipconfig命令保存在⽂本⽂档⾥⾯备⽤)结果：本机Mac地址：00.09.73.4B.8A.D7 缺省路由器IP：192.168.8.254步骤截图：图1（本机⽹络信息：Mac.txt）2．⽤“arp”命令清空本机的缓存：命令⾏：Start->Run->CMD->arp –d图2（arp命令 –d参数的帮助说明）3．运⾏Ethereal，开始捕获所有属于ARP协议或ICMP协议的，并且源或⽬的MAC地址是本机的包：图3（Capture->Options中关于⽹卡设置和Capture Filter）图4（抓包截图）4．执⾏命令：“ping” 缺省路由器的IP地址：图5（捕获包）图6（ping 过程）⼆：⽤Ethereal观察tracert命令的⼯作过程：1．⽤Ethereal语法内容及参数说明：命令⾏操作步骤：Start->Run->CMD->tracert图1（Tracert命令全部参数的帮助说明）2．运⾏Ethereal, 设定源和⽬的MAC地址是本机的包，捕获tracert命令中⽤到的消息：Tracert使⽤ICMP，相应过滤规则为：ether host 00:09:73:4B:8A:D7 and icmp图3（Capture->Options中关于⽹卡设置和Capture Filter）3.执⾏“tracert -d ” ，捕获包：执⾏命令：tracert -d ：图3 （执⾏命令 tracert –d ）图4（抓包截图）图5（捕获包）4．Tracert⼯作原理：Tracert使⽤ICMP消息，具体地讲，tracert发出的是Echo Request消息，触发返回的是Time Exceeded消息和Echo Reply消息。

抓包工具ethereal 使用说明 1.启动程序
2.修改配置
点击start 开始抓包。

3．实时抓包，可以在Filter 过滤，只显示当前网卡与输入ip 之间的报文。

点击选择
点击选择
4.停止抓包，点击stop 即可。

5.保存报文
点击file文件夹下save as，弹出保存界面，选择c：\或其他盘,在最下行输入文件名，点击ok即可。

61850报文说明：在抓包界面protocol下有tcp、utp、mms报文等，最重要的是要有mms
包。

另外在第一次配置完成后，不退出程序前不需要重新配置，可以在“file”正下方的“”
快捷键，在弹出的窗口中点击“Capurte”就开始重新抓包了。

同时会问对上次的报文是否保存。

最后强调一下，对抓好的包要重新打开看一下，确保正确保存。

Ethereal工具的使用方法1、抓包设置页面选择以太网卡设置为实时刷新报文设置为是否滚动设置一次抓包长度或抓包时间设置抓包存储方式显示过滤显示过滤语法：mms 只显示MMS报文iecgoose 只显示goose报文tcp 只显示tcp报文udp 只显示udp报文== 显示与地址为的服务器交互的报文== 显示源地址IP为的服务器发出的报文== 显示与目的地址IP为的服务器交互的报文== 5a:48:36:30:35:44 显示与MAC地址为5a:48:36:30:35:44的服务器交互的报文== 5a:48:36:30:35:44 显示源MAC地址为5a:48:36:30:35:44的服务器发出的报文== 5a:48:36:30:35:44 显示与目的MAC地址为5a:48:36:30:35:44的服务器交互的报文抓捕过滤抓捕过滤语法Tcp 只抓捕Tcp报文Udp 只抓捕Tcp报文Host 只抓捕IP地址为的报文Ether host 只抓捕MAC地址为5a:48:36:30:35:44的报文限制每个包的大小2、协议显示MMS 报文SNTP 建立以太网通讯时会发ARP 报文ping 报文SV 、GOOSE 抓包时间3、 显示信息报文序号抓取该帧报文时刻，PC 时间该帧报文是谁发出的该帧报文是发给谁的协议类型--以太网类型码报文长度4、 过滤机制 关键字段过滤1）按目的MAC地址过滤2）按源MAC地址过滤3）按优先级过滤4）按VLAN过滤语法 == 2105）按以太网类型码过滤 == 0x88b86）按APPID过滤7）按GOOSE控制块过滤语法：frame[30:9] == 80:07:67:6f:63:62:52:65:66 从该帧报文的第30个字节读取9个字节8）其他字段的过滤类似不在一一举例组合过滤1）找到特征报文的起始点找到自己关注GOOSE的APPID根据GOOSE变位时sequencenumber会变0的特性找到第一帧变位GOOSE2）标注起始报文注意报文编号：28、363）去掉过滤条件，在所有的原始报文中显示标注报文，能找到事件之间的时间关系去掉过滤条件并Apply，在“28、36”附近发生的事情一目了然4）进一步优化时间显示显示绝对时间不含年、月、日绝对时间以第一帧报文为计时起点相对时间以上一帧报文为计时起点查看相邻两帧报文的间隔设置特征报文为计时参考点过滤结果“28”以后的报文均以其为计时起点。

实验一：Ethereal使用入门一、实验目的熟悉分组嗅探器Ethereal实验环境，学习使用Ethereal捕获数据的方法。

二、实验原理“不闻不若闻之，闻之不若见之，见之不若知之，知之不若行之”-----中国谚语。

一个人对网络协议的理解通常通过以下方法能够得到极大的深化：观察它们的工作过程和使用它们，即观察两个协议实体之间交换的报文序列，钻研协议操作的细节，使协议执行某些操作，观察这些动作及其后果，这能够在仿真环境下或在如因特网这样的真实网络环境下完成。

在Ethereal实验中，我们将采用后一种方法，使用桌面上的计算机在各种情况下运行网络应用程序，在计算机上观察网络协议与在因特网别处执行的协议实体进行交互和交换报文的情况。

因此，你与你的计算机将是这些实际实验的组成部分，在实际动手实验中进行观察学习。

观察在执行协议的实体之间交换的报文的基本工具被称为分组嗅探器（packet sniffer）。

顾名思义，一个分组嗅探器被动地拷贝（嗅探）由你的计算机发送和接收的报文，它也能存储并显示出这些被俘获报文的各个协议字段的内容。

一个分组嗅探器本身是被动的，它观察运行在你计算机上的应用程序和协议收发的报文，但它自己从不发送任何分组。

同样，接收到的分组也不会显式地标注是给分组嗅探器的。

实际上，一个分组嗅探器收到的是运行在你机器上应用程序和协议收发的分组的备份。

图1显示了一个分组嗅探器的结构。

图1的右边是正常的运行在你的计算机上的协议和应用程序（比如FTP client）。

在图中虚线矩形中的分组嗅探器是在你计算机中额外安装的软件，由两部分组成：一部分是分组捕获库（packet capture library），一部分是分组解析器（packet analyzer）。

分组获取库获得了从你主机发出或接收的每一个链路层数据帧的拷贝，更高层协议（HTTP、FTP、TCP、UDP、DNS、IP）传输的信息最终都被封装在链路层帧里，通过物理介质传送出去（如网线）。

实验： ethereal软件的使用（一）【实验目的】1、熟悉并掌握Ethereal的基本操作。

2、了解网络协议实体间进行交互以及报文交换的情况。

【实验设备】与因特网连接的计算机网络系统；主机操作系统为windows；Ethereal、IE等软件。

【实验步骤】一个人要深入理解网络协议，需要：观察它们的工作并使用它们，即观察两个协议实体之间交换的报文序列，探究协议操作的细节，使协议实体执行某些动作，观察这些动作及其影响。

这些任务可以在仿真环境下或在如因特网这样的真实网络环境中完成。

观察在正在运行协议实体间交换报文的基本工具被称为分组嗅探器（packet sniffer）。

顾名思义，一个分组嗅探器俘获（嗅探）由你的计算机发送和接收的报文。

一般情况下，分组嗅探器将存储和显示出被俘获报文的各协议字段的内容。

图1显示了一个分组嗅探器的结构。

图1右边是计算机上正常运行的协议（在这里是因特网协议）和应用程序（如：web浏览器和ftp客户端）。

分组嗅探器（虚线框中的部分）是附加计算机普通软件上的，主要有两部分组成。

分组俘获库（packet capture library）接收计算机发送和接收的每一个链路层帧的拷贝。

高层协议（如：HTTP、FTP、TCP、UDP、DNS、IP等）交换的报文都被封装在链路层帧中，并沿着物理媒体（如以太网的电缆）传输。

图1假设所使用的物理媒体是以太网，并且上层协议的报文最终封装在以太网帧中。

分组嗅探器的第二个组成部分是分组分析器。

分组分析器用来显示协议报文所有字段的内容。

为此，分组分析器必须能够理解协议所交换的所有报文的结构。

例如：我们要显示图1中HTTP协议所交换的报文的各个字段。

分组分析器理解以太网帧格式，能够识别包含在帧中的IP数据报。

分组分析器也要理解IP数据报的格式，并能从IP数据报中提取出TCP 报文段。

然后，它需要理解TCP报文段，并能够从中提取出HTTP消息。

最后，它需要理解HTTP消息。