文档介绍：该【1、ethreal使用－入门 】是由【zhangkuan1438】上传分享，文档一共【5】页，该文档可以免费在线阅读，需要了解更多关于【1、ethreal使用－入门 】的内容，可以使用淘豆网的站内搜索功能，选择自己适合的文档，以下文字是截取该文章内的部分文字，如需要获得完整电子版，请下载此文档到您的设备，方便您编辑和打印。实验一:Ethereal使用入门
一、背景知知识
Etherreal是目目前广泛使使用的网络络协议分析析工具(NNetwoorkPProtoocolAnallyzerr),它能能够实时地地捕获网络络上的包,并并且把包中中每个域的的细节显现现出来。EEthereall的广为流流行主要有有以下三个个原因:
(1)它的的功能非常常强大,随随着大家对对Etheereall的熟悉将将会深切感感受到这一一点。
(2)它是是开源、免免费的软件件。
(3)它具具有非常详细的的文档。EEthereall的安装文文件和文档档可以从hhttp:://。
二、Ethhereall图形界面面,如下图图所示:
第一部分是是菜单和工工具栏,EEthereall提供的所所有功能都都可以在这这一部分中中找到。
第二部分是是被捕获包包的列表,其其中包含被被捕获包的的一般信息息,如被捕捕获的时间间、源和目目的IP地地址、所属属的协议类类型,以及及包的类型型等信息。
第三部分显显示第二部部分已选中中的包的每每个域的具具体信息,从从以太网帧帧的首部到到该包中负负载内容,都都显示得清清清楚楚。
第四部分显显示已选中中包的166进制和AASCIII表示,帮帮助用户了了解一个包包的本来样样子。
三、Ethhereaal的基本本用法
Etherreal的的最基本功功能是捕获获网络包,其其使用方法法很简单,按按如下步骤骤即可:
(1)选择择“Cappturee”菜单项项中的“Option”,这时会弹出一个对话框,如下所示。这个对话框中的栏目虽然很多,但一般只需配置其中两项。一项是“CaptureFilter”栏。在这个栏中,可以输入过滤规则,用于规定Ethereal捕获包的种类(注:过滤规则的写法将在下一节作专门介绍);如果不输入过滤规则,则Ethereal将捕获所有从网卡发送或收到的包。另外一项是“Updatelistofpacketsinrealtime”选项,请大家一定要选中这一项,这样可以使Ethereal在捕获包的同时,实时地把捕获的包显示出来。
(2)在完完成如上配配置后,点点击 “SStartt”按钮,EEtherreal便便开始捕获获包。
四、Ethhereaal的过滤滤规则
Etherreal的的过滤规则则可以有两两种形式::
(1)一个个原语:一一个原语即即一条最基基本的过滤滤规则
(2)用“andd”、“oor”、“nnot”关关系去处运运算符,以以及括号组组合起来的的原语。其其中“annd”的含含义是它所所连接的两两个原语必必须都成立立;“orr”的含义义是它所连连接的两个个原语只要要有一个成成立即可;;“nott”的含义义是它后面面跟的原语语不成立;;括号的作作用是对关关系运算顺顺序作出规规定。
从上面的描描述可以看看出,我们们只要掌握握原语的写写法,再用用关系运算算符把它们们组合起来来,就可以以写出满足足不同要求求的过滤规规则了。EEtherreal提提供的原语语非常多,这这里只介绍绍最常用的的四种(在在下面的叙叙述中,“[[]”表示示可选项,“<<>”表示示必存在的的项,“||”表示两两者选择其其中之一,其其他字符串串则是关键键字,必须须照写不
误误):
etherr[srrc|dsst]hhost<macc_adddr>
这条原语用用来根据以以太网MAAC层的信信息来进行行包过滤。若若无可选项项src||dst,这这条原语用用于捕获源源和目的MMAC地址址之一是“mac__addrr“的以太网网帧;如果果加上“src”或“dst”的限制,则则分别用于于捕获源或或目的MAAC地址是是“mac__addrr”的以太网网帧。
如:原语“etheerhoost008:000:1B::D3:DD3:611”的含义是是捕获所有有源或目的的MAC地地址是“08:000:1BB:D3::D3:661”的以太网网帧。原语语“etheersrrchoost008:000:1B::D3:DD3:611”的含义是是捕获所有有源MACC地址是“08:000:1BB:D3::D3:661”的以太网网帧。
2)[srrc|dsst]hhost<ip__addrr>
这条原语用用来根据IIP信息进进行包过滤滤。若无可可选“src||dst”,这条原原语用于捕捕获源或目目的IP地地址之一是是“ip_aaddr”的包;如如果加上“src”或“dst”的限制,则则分别用于于捕获源或或目的IPP地址是“ip_aaddr”的包。
例如,原语语“..”的含义是是捕获所有有源或目的的地址是“210..”的包;原原语“..”的含义是是捕获所有有目的地址址是“210..”的包
3)[tccp|uddp][[src||dst]]porrt<nnumbeer>
这条原语是是用来根据据传输层进进行包过滤滤。它可以以用于捕获获传输层协协议是TCCP或UDDP,源或或目的端口口号是nuumberr的包。可可选项“TCP”和“UDP”用于对传输输层协议进进行选择,可可选项“src”和“dst”用来对端端口号是源源还是目的的进行选择择。
例如,原语语“tcpportt80”的含义是是捕获所有有源或目的的端口号是是80的协协议的包;;原语“udpdstportt53”的含义是是捕获所有有目的端口口号是533的UDPP协议的包包。
4)arrp|ipp|icmmp|uddp|tccp等
这类原语用用于捕获属属于某种协协议类型的的包,协议议的类型可可以是“arp”、“ip”、“ICMPP”、“UDP”或“TCP”等。
例如只含一一个关键原原语“ICMPP”的含义是是捕获所有有ICMPP协议的包包。
以是介绍44种最常用用的原语写写法,下面面通过举例例说明如何何把这些原原语组合起起来,从
而而构造比较较复杂的过过滤规则。
[例A-11],除除HTTPP协议之外外的网络包包。
过滤规则为为:
host192..168..
(注:HTTTP协议议通常使用用TCP端端口号800)
[例A-22]记主机机192..168..,..30之间间的网络包包。
过滤规则为为:
host192..168..(..168..)