Ethereal抓包工具使用大全

Ethereal -抓包、报文分析工具Ethereal 是一种开放源代码的报文分析工具，适用于当前所有较为流行的计算机系统，包括 Unix、Linux 和 Windows 。

主界面如上图，点“抓包配置”按钮，出现抓包配置界面如下图。

在“Interface”中选择网卡，即用来抓包的接口，如果选择错误就不能抓到报文；“Capture packets in promiscuous mode（混杂模式抓包）”是指捕捉所有的报文，如不选中就只捕捉本机的收发报文；如果选中“Limit each packet to xx bytes（限制每个包的大小）”则只捕捉小于该限制的包；抓包时，数据量比较大，解析起来速度慢，可在“Capture Filter（抓包过滤设置“Display Options(显示设置)”中建议选中“Update list of packets in realtime（实时更新抓包列表）”、“Automatic scrolling in live capture（自动滚屏）”和“Hide capture info dialog（隐藏抓包信息对话框）”三项。

抓包配置好就可以点击“Start”开始抓包了。

抓包结束，按“停止”按钮即可停止。

为了快速查看需要的报文，在“Filter”栏中输入过滤条件后按回车键即可对抓到的包进行过滤。

注意“Filter”栏中输入的过滤条件正确则其底色为绿色，错误则其底色为红色。

常用有些报文还可以判断网络的状况，例如输入显示过滤条件tcp.analysis.flags，可以显示丢失、重发等异常情况相关的TCP报文，此类报文的出现频率可以作为评估网络状况的一个标尺。

偶尔出现属于正常现象，完全不出现说明网络状态上佳。

tcp.flags.reset==1。

SYN是TCP建立的第一步，FIN是TCP连接正常关断的标志，RST是TCP连接强制关断的标志。

统计心跳报文有无丢失。

在statistics->conversations里选择UDP，可以看到所有装置的UDP报文统计。

Ethereal在solaris下的安装和使用方法1．背景：Ethereal是一个很有效的抓包工具，在问题定位方面有非常重要的意义。

Wap gateway，MMSC等还在走向成熟的产品在调试过程中，需要用此工具抓包，将现场的消息反馈给研发辅助他们分析。

本文介绍的安装环境是SUN BLADE 20002．安装包的组成：安装Ethereal除了本身安装包以外，还有其他的几个支持包需要安装，总共需要安装的文件有：gtk+-1.2.10-sol8-sparc-localglib-1.2.8-sol8-sparc-locallibpcap-0.7.2-sol8-sparc-localethereal-0.9.0-sol8-sparc-local获取方法：在上面下载ethereal-0.9.0-sol8-sparc-local.gzgtk+-1.2.10-sol8-sparc-local.gzglib-1.2.10.tar.gzlibpcap-0.7.2-sol8-sparc-local.gz3．安装步骤（红色粗体为需要执行或者需要输入的命令）：上面下载的四个包是压缩包，安装时先用gzip –d *.gz 将这4个包解压.然后切换到root 用户下进行安装.a．安装gtk+：找到gtk+-1.2.10-sol8-sparc-local包，运行安装：# pkgadd -d ./gtk+-1.2.10-sol8-sparc-localThe following packages are available:1 SMCgtk+ gtk+(sparc) 1.2.10Select package(s) you wish to process (or 'all' to processall packages). (default: all) [?,??,q]: allProcessing package instance <SMCgtk+> from </install/ethereal/gtk+-1.2.10-sol8-sparc-local>gtk+(sparc) 1.2.10GTK GroupUsing </usr/local> as the package base directory.## Processing package information.## Processing system information.## Verifying disk space requirements.## Checking for conflicts with packages already installed.The following files are already installed on the system and are beingused by another package:* /usr/local/bin <attribute change only>* - conflict with a file which does not belong to any package.Do you want to install these conflicting files [y,n,?,q] y## Checking for setuid/setgid programs.Installing gtk+ as <SMCgtk+>## Installing part 1 of 1./usr/local/bin/gtk-config/usr/local/doc/gtk+/ABOUT-NLS/usr/local/doc/gtk+/AUTHORS…………………………………………//过程中会显示出很多解压信息，不用管他，最后提示successful就行了usr/local/lib/locale/zh_TW.Big5/LC_MESSAGES/gtk+.mo/usr/local/lib/pkgconfig/gdk.pc/usr/local/lib/pkgconfig/gtk+.pc/usr/local/man/man1/gtk-config.1/usr/local/share/aclocal/gtk.m4/usr/local/share/themes/Default/gtk/gtkrc[ verifying class <none> ]Installation of <SMCgtk+> was successful.b．安装glib-1.2.8-sol8-sparc-local# pkgadd -d ./glib-1.2.8-sol8-sparc-localThe following packages are available:1 SMCglib glib(sparc) 1.2.8Select package(s) you wish to process (or 'all' to processall packages). (default: all) [?,??,q]: allProcessing package instance <SMCglib> from </install/ethereal/glib-1.2.8-sol8-sparc-local>glib(sparc) 1.2.8GLib TeamUsing </usr/local> as the package base directory.## Processing package information.## Processing system information.9 package pathnames are already properly installed.## Verifying disk space requirements.## Checking for conflicts with packages already installed.## Checking for setuid/setgid programs.Installing glib as <SMCglib>## Installing part 1 of 1./usr/local/bin/glib-config/usr/local/doc/glib/AUTHORS/usr/local/doc/glib/COPYING/usr/local/doc/glib/ChangeLog…………………………………………//过程中会显示出很多解压信息，不用管他，最后提示successful就行了/usr/local/lib/libgthread.so <symbolic link>/usr/local/man/man1/glib-config.1/usr/local/share/aclocal/glib.m4[ verifying class <none> ]Installation of <SMCglib> was successful.#c．安装libpcap-0.7.2-sol8-sparc-localroot@mmsc # pkgadd -d ./libpcap-0.7.2-sol8-sparc-localThe following packages are available:1 SMClpcap libpcap(sparc) 0.7.2Select package(s) you wish to process (or 'all' to processall packages). (default: all) [?,??,q]: allProcessing package instance <SMClpcap> from </install/ethereal/libpcap-0.7.2-sol8-sparc-local>libpcap(sparc) 0.7.2The Tcpdump GroupUsing </usr/local> as the package base directory.## Processing package information.## Processing system information.4 package pathnames are already properly installed.## Verifying disk space requirements.## Checking for conflicts with packages already installed.## Checking for setuid/setgid programs.Installing libpcap as <SMClpcap>## Installing part 1 of 1./usr/local/doc/libpcap/CHANGES/usr/local/doc/libpcap/CREDITS…………………………………………//过程中会显示出很多解压信息，不用管他，最后提示successful就行了/usr/local/doc/libpcap/CVS/Repository/usr/local/lib/libpcap.a/usr/local/man/man3/pcap.3[ verifying class <none> ]Installation of <SMClpcap> was successful.#d．安装ethereal-0.9.0-sol8-sparc-localroot@mmsc # pkgadd -d ./ethereal-0.9.0-sol8-sparc-localThe following packages are available:1 SMCether ethereal(sparc) 0.9.0Select package(s) you wish to process (or 'all' to processall packages). (default: all) [?,??,q]: allProcessing package instance <SMCether> from </install/ethereal/ethereal-0.9.0-sol8-sparc-local>ethereal(sparc) 0.9.0Gerald Combs, Gilbert Ramirez, Guy HarrisUsing </usr/local> as the package base directory.## Processing package information.## Processing system information.6 package pathnames are already properly installed.## Verifying disk space requirements.## Checking for conflicts with packages already installed.## Checking for setuid/setgid programs.Installing ethereal as <SMCether>## Installing part 1 of 1./usr/local/bin/editcap/usr/local/bin/ethereal/usr/local/bin/idl2eth/usr/local/doc/ethereal/README.hpux/usr/local/doc/ethereal/README.irix/usr/local/doc/ethereal/README.linux/usr/local/doc/ethereal/README.tru64…………………………………………//过程中会显示出很多解压信息，不用管他，最后提示successful就行了/usr/local/doc/ethereal/README.vmware/usr/local/doc/ethereal/README.win32/usr/local/doc/ethereal/TODO/usr/local/doc/ethereal/doc/Makefile/usr/local/doc/ethereal/doc/Makefile.am/usr/local/doc/ethereal/doc/randpkt.txt/usr/local/man/man1/text2pcap.1[ verifying class <none> ]Installation of <SMCether> was successful.#4．Ethereal的使用：Ethereal需要使用root用户才能抓到包。

⽹络协议分析⼯具Ethereal的使⽤⼤学时计算机⽹络课的实验报告，当时提不起兴趣，今天看来还挺有⽤的。

可以学习下怎样抓数据包，然后分析程序的通信协议。

⼀：学习使⽤⽹络协议分析⼯具Ethereal的⽅法，并⽤它来分析⼀些协议。

实验步骤：1．⽤“ipconfig”命令获得本机的MAC地址和缺省路由器的IP地址；（注：缺省路由器即 ”Default Gateway”）命令⾏：Start->Run->CMD->ipconfig /all >C:\Mac.txt(在命令⾏中把ipconfig命令保存在⽂本⽂档⾥⾯备⽤)结果：本机Mac地址：00.09.73.4B.8A.D7 缺省路由器IP：192.168.8.254步骤截图：图1（本机⽹络信息：Mac.txt）2．⽤“arp”命令清空本机的缓存：命令⾏：Start->Run->CMD->arp –d图2（arp命令 –d参数的帮助说明）3．运⾏Ethereal，开始捕获所有属于ARP协议或ICMP协议的，并且源或⽬的MAC地址是本机的包：图3（Capture->Options中关于⽹卡设置和Capture Filter）图4（抓包截图）4．执⾏命令：“ping” 缺省路由器的IP地址：图5（捕获包）图6（ping 过程）⼆：⽤Ethereal观察tracert命令的⼯作过程：1．⽤Ethereal语法内容及参数说明：命令⾏操作步骤：Start->Run->CMD->tracert图1（Tracert命令全部参数的帮助说明）2．运⾏Ethereal, 设定源和⽬的MAC地址是本机的包，捕获tracert命令中⽤到的消息：Tracert使⽤ICMP，相应过滤规则为：ether host 00:09:73:4B:8A:D7 and icmp图3（Capture->Options中关于⽹卡设置和Capture Filter）3.执⾏“tracert -d ” ，捕获包：执⾏命令：tracert -d ：图3 （执⾏命令 tracert –d ）图4（抓包截图）图5（捕获包）4．Tracert⼯作原理：Tracert使⽤ICMP消息，具体地讲，tracert发出的是Echo Request消息，触发返回的是Time Exceeded消息和Echo Reply消息。

linux抓包及ethereal抓包工具的使用方法1．Linux抓包（1）一般抓包命令tcpdump -s0 -c 包数量-i 网卡名-w 文件名其中：-s0表示应用层的size不受限制，用于详细分析。

否则将被截断，即应用层消息可能不完整)-c 包数量到达某个数量后自动停止抓包，防止文件太大-i 只抓某个网卡的消息，不抓其他网卡的消息-w抓到的消息自动存入文件中，但消息不再在显示器上显示了例：tcpdump -s0 –c 10000 -i eth0 -w /tmp/1.cap抓取本机eth0网卡上所有进出的消息，且应用层的消息是完整的，并存入/tmp目录下的1.cap文件（.cap是ethereal消息包文件的后缀名），如果在抓包过程中用户不使用ctrl+c来中断的话，抓到10000条消息后自动停止抓包。

如果中途被中断，文件中存放的是中断之前的消息。

（2）指定交互双方的抓包命令tcpdump host 192.168.0.2 and 192.168.0.3 –s0 –w /tmp/2-3.cap只抓这2台主机之间交互的消息，其它消息被过滤掉。

由于ethereal工具功能强大，所以尽管tcpdump命令有许多参数可以达到许多过滤条件，但把这些事交给ethereal来做，我们就更省力。

2．ethereal抓包工具的使用方法把xxx.cap文件下载后，就可以使用ethereal工具来分析了。

当然也可在linux 机器上直接使用ethereal来抓包（需要安装rpm）而不用使用tcpdump命令。

现在介绍的是在windows电脑上启动ethereal程序，见下图：选择菜单“file”－open选择消息包文件：打开：选择菜单“statistics”－conversation list－tcp通过对IP地址的排序找到所关心的一次交互过程，在该条目上使用右键：该次交互过程中的所有消息便显示出来，可以认真分析了。

Ethereal软件下载、安装以及基本操作操作步骤：1.双击启动桌面上ethereal图标，按ctrl+K进行“capture option”的选择。

2.首先选择正确的NIC，进行报文的捕获。

3.对“capture option”各选项的详细介绍：Interface是选择捕获接口；Capture packetsin promiscuous mode表示是否打开混杂模式，打开即捕获所有的报文，一般我们只捕获到本机收发的数据报文，所以关掉；Limit each packet 表示限制每个报文的大小；Capture files 即捕获数据包的保存的文件名以及保存位置。

4.“capture option”确认选择后，点击ok就开始进行抓包；同时就会弹出“Ethereal:capture form (nic) driver”，其中(nic)代表本机的网卡型号。

同时该界面会以协议的不同统计捕获到报文的百分比，点击stop即可以停止抓包。

5.下图为Ethereal截取数据包的页面。

由上而下分別是截取数据包的列表以及封包的详细资料，最下面则是封包的內容，这时是以16进制及ASCII编码的方式来表示。

其中在列表这部份，最前面的编号代表收到封包的次序，其次是时间、来源地址、目的地址，最后则是协议的名称以及关于此封包的摘要信息。

6.若是想将截获到的数据包列表资料储存起来，可以执行[File]→[Save]或[Save As]将资料储存起来，存储对话框如下图所示，这些储存的数据包资料可以在以后执行[Open]来加以开启。

设置Ethereal的显示过滤规则操作步骤：1.在抓包完成后，显示过滤器用来找到你所感兴趣的包，依据1)协议2)是否存在某个域3)域值4)域值之间的比较来查找你感兴趣的包。

2.举个例子，如果你只想查看使用tcp协议的包，在ethereal窗口的工具栏的下方的Filter中输入tcp，让后回车，ethereal就会只显示tcp协议的包，如下图所示：3.值比较表达式，可以使用下面的操作符来构造显示过滤器。

安装时注意，先安装wireshark-win32-1.5.1，安装过程中会提示安装winpcap插件，此时不要安装这个版本，待装完wireshark后安装文件夹中提供的WinPcap_3_1_beta4版本，否则有可能会找不到数据卡端口。

在便携机或者服务器上抓取TCP层的数据包，便于判断是否存在高层的丢包，高层的TCP窗口协商值过小，是否存在TCP发送窗口满导致数据没法下发等情况，对于整个HSDPA 速率低，速率波动等问题的定位很重要。

对于使用Ethereal工具的抓包，必需在下载文件前就开始抓包（为了取得HSDPA业务建立时窗口的协商过程，如果抓包时刻已经数传了一段时间，那么有可能看不到真实窗口大小）。

可以按如下步骤进行：
1.数据卡拨号上网后，打开Ethereal工具，选中Capture—〉interface
2.选择对应的网卡设备，如便携机拨号上网，那只有一个网口是有效的，选择Packet变化的网口。

IP地址应该是CN分配的IP，在DOS中IPconfig可以查到，这里也会显示出来。

3.抓包过程。

4.大概抓取一两分钟的数据就足够了，时间太长文件会很大。

按上图中的STOP键，即停止抓包，如下图示。

抓取的包就显示在了窗口里，自己选择一个路径保存下来即可。