ethereal的常用分析

《ethereal的常用分析》由会员上传分享，免费在线阅读，更多相关内容在教育资源-天天文库。

1、ethereal的常用分析ethereal作为一个抓包工具有非常广泛的应用，更为出色的是它协议分析的能力。缺省的协议分析库已经支持常见的所有协议，对跟我们业务相关的SMPP/MMSE也可以很好的支持。它甚至能分析GSMA口BSSMAPISUP等接口数据。在我们日常应用中.常需要分析的就是MM1/3/4/7口的数据。分析数据的第一步是取得原始数据。就ethereal来讲，它本身是带有抓包功能的，但是unix版本的安装是一个比较麻烦的过程，而许多版本的unix缺省安装已经带一个抓包工具snoop关于这个工具的使用，可以参考mansnoop.需要说明的是

2、snoop输出的文件格式遵循RFC1761，因此只要支持该RFC的工具均可以分析其输出文件。这里我只介绍snoop的常用操作。snoop–ofilenameexp-o指示抓的报文输出到filenameexp指示所抓的内容。常用的表达式指示关键词有host,ip,port等.这些关键词有可以有修饰词dst/src等.一个表达式由一个或多个布尔元素组成。布尔元素之间用AND,OR,andNOT连接。常用的表达式如host211.136.23.101dsthost211.136.23.101tcpport9080httpsmtp等比如要抓通告消息，可以使

3、用命令snoop–opush.msgtcpport9080（前提是已知通告下发使用9080端口）或者snoop–opush.msghost211.136.23.101(前提是已知通告下发使用211.136.23.101的网关)表达式的灵活选取可以让我们一次抓到所有需要的数据，而又不会导致输出文件太大。前面已经讲了抓报工具的使用，下面应该讲对取得的原始数据怎么分析了：1．我建议安装windows版本的ethereal.2．把snoop抓到的报文用bin方式传送到ethereal可以访问的目录下，注意目录/文件名不要包含汉字/空格。3．使用file/o

4、pen菜单打开需要分析的报文原始文件。由于原始文件可能包含所有数据往来，而我们一次分析只关注某协议的某个方向的数据。这时候filter可以起上大作用了。图14．filter也是一个表达式，语法基本基于各协议的描述.如http有request/response表示请求和答。如我们的PUSH消息是放在httppost中提交的。因此http.request可以过滤掉其他信息，而只留下http.request消息。如果原始数据里面还是包含其他的http.request消息(mm7AO消息就是httppost提交的),可以进一步强化filter的条件.如ht

5、tp.requestandip.dsteq211.136.23.101(211.136.23.101是WAPGW的地址)这里，有时虽然我们使用HTTP协议交互消息，但是并不使用标准的80端口，怎么让ethereal知道某个端口就是使用的HTTP协议呢？在你所见的任意一个包含该端口的数据包上右键，选择decodeas菜单项，然后在弹出的对话框右边的指定你要的协议，即可。源/目的端口取决与实际使用的端口，如实际使用9080作为httppost的目的端口，则选择目的端口，decodeas图2选择了decodeas之后，ethereal使用指定协议分析指定

6、端口的数据。可以在userspecifieddecodeas菜单中看到图3选择clear可以将你认为不需要的端口解析去掉。图1红色方框右面的tips提示的是抓得该数据包的文件大小和持续时间，时间是以HH:MM:SS的形式表示。结合前面的filter，选择save看displayed(红色方框所示)这个数字除以持续的时间即可得到对应请求的平均速率。图4看某个数据包所属连接上的数据往来。请选择对应的数据包，然后右键选择FollowTCPSTREAM这样可以看到在这次连接上的所有数据交互。得到如下图图5