Ethereal的使用手册

《Ethereal的使用手册》由会员上传分享，免费在线阅读，更多相关内容在行业资料-天天文库。

1、1、Ethereal(Vinancy)协议分析器Ethereal是目前最好的、开放源码的、获得广泛应用的网络协议分析器，支持Linux和windows平台，支持五百多种协议解析，是一款基于数据底层的简单实用的网络侦听和报文分析工具。首先了解Ethereal主菜单功能1．F文件菜单:打开、合并抓包文件，存储、打印、输出，退出Ethereal。2．E编辑菜单：查询包，时间查询，标记或标识，剪切，拷贝。3．V视图菜单：包数据的显示，包括颜色，字型，压缩和展开。4．G跳转菜单：以不同方式指向特定的包。5．C抓包菜单：开始和停止抓包过程以及编辑抓包过滤

2、器。6．A分析菜单：显示过滤器，允许/不允许协议解析，配置用户指定的译码器,跟踪TCP。7．S统计菜单:各种统计已经抓到的包的摘要，显示协议的分层统计等等.打开抓包—网络接口，显示本机网络接口信息。设置网络接口的抓包参数：混杂模式、缓冲区大小(默认1MB)开始抓包，动态地显示和统计以太网冲突域内各种通信协议停止抓包后，视窗界面分为上中下三个部分，上部为报文列表窗口，显示抓到的每个数据报文的顺序号、捕获时间、源地址、目标地址、协议、信息摘要，缺省按捕获时间数据排序，你也可以按其他数据排序，比如按协议类型排序。在此窗口选择某个报文，则有关该报文更

3、详细的信息将在中下窗口显示出来。中部为具体报文的协议层窗口，显示的是数据报文各层协议，逐层展开该报文各层协议将显示出详细的封装结构信息。下部为16进制报文内容窗口，显示该报文的协议数据和封装内容。如下图所示的 DNS协议封装的数据内容(阴影部分)显示过滤：可以按协议类型或表达式，只显示出需要的数据包，以便分析查看。如下图显示过滤：仅列出arp报文只列出arp和SNMP报文（用or运算符）更复杂的显示过滤，需要使用表达式多重条件(and运算符)显示过滤：只列出源IP是192.168.4.10且大小>=1000字节的ICMP报文打开统计，统计概要

4、、协议分布、会话统计信息。协议分布统计IP节点网络会话统计将捕获的所有报文打包保存为CAP/PCAP格式文件，以后直接打开CAP文件就可以继续分析这些报文。