Exercise 1 Ethereal的使用 的使用
Ma xiping
实习目的和要求
目的: 1. 学习使用ethereal抓包软件 2. 掌握以太网帧的构成，了解各个字段的含 义。 要求： 按规定格式撰写实习报告,包括理论内容和 实验数据，及其分析。
Ma xiping
Preface
• Ethereal® is used by network professionals around the world for troubleshooting, analysis, software and protocol development, and education.
View的下拉菜单 的下拉菜单
Zoom in 字体的放大 Zoom out 字体的缩小 Normal size 标准大小 Resize columns 格式对齐 Collapse all 报文细节内容的缩 进 Expand all 报文细节内容的展开 Coloring Rules 颜色规则，即可 颜色规则， 以对特定的数据包定义特定的颜 色。 Show packet in new window在新 在新 窗口中查看报文内容 Reload 刷新 Ma xiping
Ma xiping
User Guide
在使用“Ethereal:capture form (nic) driver”抓包的同时，可 在使用“ 抓包的同时， 抓包的同时 使用alt+tab的快捷键直接切换到 报文浏览 以通过最小化 or 使用 的快捷键直接切换到 的主界面 Ma xiping
File的下拉菜单 的下拉菜单
这里要注意了， 这里要注意了，这里语法输 入有点技巧。 入有点技巧。
Ma xiping
capture的Capture filter 的
比如说： 比如说： a.捕获 MAC地址为 00:d0:f8:00:00:03 网络设备通信的所有报文 地址为 ether host 00:d0:f8:00:00:03 b.捕获 IP地址为 192.168.10.1 网络设备通信的所有报文 地址为 host 192.168.10.1 捕获网络web浏览的所有报文 c.捕获网络 浏览的所有报文 tcp port 80 d.捕获 捕获192.168.10.1除了 除了http外的所有通信数据报文 除了 外的所有通信数据报文 host 192.168.10.1 and not tcp port 80
Ma xiping
Edit的下拉菜单 的下拉菜单
Find Next是向下查找 是向下查找 Find Previous是向上查找 是向上查找 Time Reference 字面是时间参 考，使用后明白是 做个报文 时间戳” 的“时间戳”，方便大量报文 的查询
Ma xiping
Edit的下拉菜单报文标签 的下拉菜单报文标签
Ma xiping
Perface
• Ethereal是一个图形用户接口（GUI）的 网络嗅探器，能够完成与Tcpdump相同的 功能，但操作界面要友好很多。Ehtereal 和Tcpdump都依赖于pcap库（libpcap）， Tcpdump pcap libpcap 因此两者在许多方面非常相似（如都使用 相同的过滤规则和关键字）。Ethereal和 其它图形化的网络嗅探器都使用相同的界 面模式，如果能熟练地使用Ethereal，那 么其它图形用户界面的嗅探器基本都可以 操作。
提示： 报文， 提示：如果以 默认主机和端口的设置捕获 tcp/ip报文，你将看不到 报文 自身的arp报文。 自身的 报文 Ma xiping
Filter string 语法输入的格式
[src|dst] host <host> ether [src|dst] host <ehost> gateway host <host> [src|dst] net <net> [{mask <mask>}|{len <len>} [tcp|udp] [src|dst] port <port> less|greater <length> ip|ether proto <protocol> ether|ip broadcast|multicast <expr> relop <expr>
Ma xiping
File的下拉菜单 的下拉菜单
Export是输出的意思 是输出的意思 Print 打印 Quit退出 退出
Ma xiping
Edit的下拉菜单 的下拉菜单
Find Packet 就是查询报文， 就是查询报文， 快捷键是ctrl+F 快捷键是
可以支持不同格式的查找
输入正确的语句， 绿色， 输入正确的语句，那么背景为 绿色，语句错误或缺少背景就为 红色
Ma xiping
Etherreal
ethereal安装 ethereal安装
Down load from / 官方网站
Ma xiping
ethereal
Ma xiping
Ma xiping
ethereal使用指南 ethereal使用指南 User Guide
正确的语法如下，和“Capture Filter”的语法有所不同： 正确的语法如下， 00:d0:f8:00:00:03 设备通信的所有报文 eth.addr==00.d0.f8.00.00.03 显示 IP地址为 192.168.10.1 网络设备通信的所有报文 地址为 ip.addr==192.168.10.1 显示所有设备web浏览的所有报文 浏览的所有报文 显示所有设备 tcp.port==80 显示192.168.10.1除了 除了http外的所有通信数据报文 显示 除了 外的所有通信数据报文 ip.addr==192.168.10.1 && tcp.port!=80 Ma xiping
Edit的下拉菜单 的下拉菜单
点击 “preference” 进行用户界 面的选择， 面的选择， 比如说 报文 察看界面布 局的选择， 局的选择， 以及协议支 持的选择。 持的选择。
Ma xiping
View的下拉菜单 的下拉菜单
Main toolbar 主工具栏 Filter Toolbar 过滤工具栏 Statusbar 状态条 Packet list 报文列表 Packet details 报文详解 Packet byte 报文字节察看 Time display format 时间显示格 可以显示年月日时分秒） 式（可以显示年月日时分秒） Name Resolution 名字解析 Auto scroll in live capture （自 动翻卷显示活动的报文）， ），捕获 动翻卷显示活动的报文），捕获 时是否跟进显示更新的报文 跟进显示更新的报文还是 时是否跟进显示更新的报文还是 显示先前的报文。 显示先前的报文。 Ma xiping
Ethereal:capture form (NIC) driver
capture option确认选择 确认选择 点击ok就开始进行 后，点击 就开始进行 抓包。 抓包。 同时就会弹出 “Ethereal:capture form (nic) driver”，其中 ，其中(nic) 代表本机的网卡型号。 代表本机的网卡型号。 同时该界面会以协议的 不同统计捕获到报文的 百分比 点击stop即可以停止抓包 点击 即可以停止抓包
双击启动桌面上ethereal图 图 双击启动桌面上 标 ，按ctrl+K进行 进行
“capture option”的选择。 的选择。 的选择 正确的NIC，进行报 选择 正确的 ， 文的捕获。 文的捕获。支持 WLan无 无 线的相关协议。 线的相关协议。
Ma xiping
Capture Options
Ma xiping
Capture filter的应用步骤 的应用步骤
Ma xiping
Analyze的下拉菜单 的下拉菜单
Display filters 显示过滤 可以直接在主界面的filter上选择 显示过滤,可以直接在主界面的 可以直接在主界面的 上选择
Ma xiping
Analyze下的 下的Display filters 下的
Interface是选择捕获接口 是选择捕获接口 Capture packets in promiscuous mode表示是否打 表示是否打 开混杂模式， 开混杂模式，打开即捕获所有 的报文， 的报文，一般我们只捕获到本 机收发的数据报文， 机收发的数据报文，所以关掉 Limit each packet 表示 限制 每个报文的大小 Capture files 即捕获数据包的 保存的文件名以及保存位置 Ma xiping
使用Time Reference标 使用
签后，原先 签后，原先time的就变成 的就变成 “REF”缩写的标记 缩写的标记 附注： 附注：你可以在多个报文间 用时间戳标记， 用时间戳标记，方便 查询。 查询。 通俗点就象书 签一样。 签一样。
Mark Packet（toggle） （ ） 是标记报文 Mark all packets 和 Unamrk all packet即 即 标记所有报文 、取消 标记所有报文 Ma xiping
“Open”即打开已存的抓包文 即打开已存的抓包文 快捷键是crtl＋Q 件，快捷键是 ＋ “Open Recent”即打开先前已 即打开先前已 察看的抓包文件， 察看的抓包文件，类似 windows的最近访问过的文档 的最近访问过的文档 字面是合并的意思， “Merge”字面是合并的意思， 字面是合并的意思 其实是追加的意思， 其实是追加的意思，即当前捕 获的报文追加到先前已保存的 抓包文件中。 抓包文件中。 Save和save as即保存 、选择 和 即保存 保存格式。 保存格式。 Ma xiping