Ethereal工具的使用方法
1、抓包设置页面
选择以太网卡
设置为实时刷新报文
设置为是否滚动
设置一次抓包长度或抓包时间
设置抓包存储方式
显示过滤
显示过滤语法：
mms 只显示MMS报文
iecgoose 只显示goose报文
tcp 只显示tcp报文
udp 只显示udp报文
ip.addr == 172.20.50.164 显示与地址为172.20.50.164的服务器交互的报文
ip.src == 172.20.50.164 显示源地址IP为172.20.50.164的服务器发出的报文
ip.dst == 172.20.50.164 显示与目的地址IP为172.20.50.164的服务器交互的报文
eth.addr == 5a:48:36:30:35:44 显示与MAC地址为5a:48:36:30:35:44的服务器交互的报文
eth.src == 5a:48:36:30:35:44 显示源MAC地址为5a:48:36:30:35:44的服务器发出的报文
eth.dst == 5a:48:36:30:35:44 显示与目的MAC 地址为5a:48:36:30:35:44的服务器交互的报文
抓捕过滤
抓捕过滤语法
Tcp 只抓捕Tcp 报文 Udp 只抓捕Tcp 报文
Host 172.20.50.164 只抓捕IP 地址为172.20.50.164的报文
Ether host 只抓捕MAC 地址为5a:48:36:30:35:44的报文
限制每个包的大小
2、 协议显示
MMS 报文
SNTP 建立以太网通讯时会发ARP 报文ping 报文
SV 、GOOSE 抓包时间
3、 显示信息
报文序号
抓取该帧报文时刻，PC时间
该帧报文是谁发出的
该帧报文是发给谁的
协议类型--以太网类型码
报文长度
4、过滤机制
4.1 关键字段过滤
1）按目的MAC地址过滤
2）按源MAC地址过滤
3）按优先级过滤
4）按VLAN过滤
语法vlan.id == 210 5）按以太网类型码过滤vlan.etype == 0x88b8 6）按APPID过滤
7）按GOOSE控制块过滤
语法：frame[30:9] == 80:07:67:6f:63:62:52:65:66 从该帧报文的第30个字
节读取9个字节
8）其他字段的过滤类似不在一一举例
4.1 组合过滤
1）找到特征报文的起始点
找到自己关注GOOSE的APPID
根据GOOSE变位时sequencenumber会
变0的特性找到第一帧变位GOOSE
2）标注起始报文
注意报文编号：28、36
3）去掉过滤条件，在所有的原始报文中显示标注报文，能找到事件之间的时间关系
去掉过滤条件并Apply，在“28、
36”附近发生的事情一目了然
4）进一步优化时间显示
显示绝对时间
不含年、月、日绝对时间
以第一帧报文为计时起点
相对时间
以上一帧报文为计时起点
查看相邻两帧报文的间隔设置特征报文为计时参考点
过滤结果
“28”以后的报文均以其为计时起点。