下面是介绍Ethereal的使用
new: http://www.mirrors.wiretapped.net/security/packet-capture/winpcap/
2:界面预览
界面全是英文,将就看看吧!
Interface是选择捕获接口
Capture packets in promiscuous mode表示是否打开混杂模式,打开即捕获所有的报文,一般我们只捕获到本机收发的数据报文,所以关掉
Limit each packet 表示 限制每个报文的大小
Capture filters 过滤器(灵活使用,事半功倍)
Capture files 即捕获数据包的保存的文件名以及保存位置,右边update list of pack...表示实时更新数据报文。
capture option确认选择后,点击ok就开始进行抓包
同时就会弹出“Ethereal:capture form (nic) driver”,其中(nic)代表本机的网卡型号。
同时该界面会以协议的不同统计捕获到报文的百分比
点击stop即可以停止抓包
报文界面:
4.5CAPTURE 菜单(抓包)
|
|
下面的是各个协议了 | |
下面是重点介绍的捕获过滤和显示过滤
此菜单分别在抓取capture和analyze分析中的带filters的菜单项里面
首先讲捕获过滤(capture filters)
过滤字符串,例如
a.捕获 MAC地址为 00:d0:f8:00:00:03 网络设备通信的所有报文
b.捕获 IP地址为 192.168.10.1 网络设备通信的所有报文
c.捕获网络web浏览的所有报文
d.捕获192.168.10.1除了http外的所有通信数据报文
e.不捕获ARP
f.只捕获IP协议
g.捕获所有80端口的包
h.没有IPX和DNS
提示:如果以 默认主机和端口的设置捕获 tcp/ip报文,你将看不到自身的arp报文。
相关语法:
[src|dst] host <host>
ether [src|dst] host <ehost>
gateway host <host>
[src|dst] net <net> [{mask <mask>}|{len <len>}
[tcp|udp] [src|dst] port <port>
less|greater <length>
ip|ether proto <protocol>
ether|ip broadcast|multicast
<expr> relop <expr>
PS:1:[src|dst]源|目的
Display filters(显示过滤)
和capture filters有所不同
a显示 以太网地址为 00:d0:f8:00:00:03 设备通信的所有报文
eth.addr==00.d0.f8.00.00.03
b显示 IP地址为 192.168.10.1 网络设备通信的所有报文
ip.addr==192.168.10.1
c显示所有设备web浏览的所有报文
tcp.port==80
d显示192.168.10.1除了http外的所有通信数据报文
ip.addr==192.168.10.1 && tcp.port!=80
以上就是一些简单的ETHEREAL的一些使用方法,以后会有陆续的技巧放出,我也是菜鸟。
这个文档的原型是锐捷网络的,我稍微改动了一下,还算转帖吧。