ethereal的使用詳解ppt課件

1、Ethereal的使用 J ethereal OverviewEtherrealEtherrealQ ethereal ethereal安裝安裝WinpcapWinpcap的下載安裝的下載安裝EtherrealEtherreal下載安裝下載安裝winpcapDownload: (當(dāng)前最新的是當(dāng)前最新的是 3.1beta4 ,正式版本是正式版本是3.0）mirrors.wiretapped/security/packet-capture/winpcap/winpcap.polito.it/install/default.htmetherealDownload： （now release vers

2、ion ：0.10.10 ，support chinese） Ethereal/distrubution/win32/ ethereal ethereal使用指南使用指南User Guiden雙擊啟動(dòng)桌面上雙擊啟動(dòng)桌面上ethereal圖圖n 標(biāo)標(biāo) ，按，按ctrl+K進(jìn)進(jìn)行行n “capture option的的選擇。選擇。n選擇選擇 正確的正確的NIC，進(jìn)行報(bào)，進(jìn)行報(bào)n 文的捕獲。支持文的捕獲。支持 WLan無(wú)無(wú)n n 線的相關(guān)協(xié)議。線的相關(guān)協(xié)議。nInterface是選擇捕獲接口是選擇捕獲接口nCapture packets in promiscuous mode表示是否打表示是否打開(kāi)混

3、雜模式，打開(kāi)即捕獲所有開(kāi)混雜模式，打開(kāi)即捕獲所有的報(bào)文，一般我們只捕獲到本的報(bào)文，一般我們只捕獲到本機(jī)收發(fā)的數(shù)據(jù)報(bào)文，所以關(guān)掉機(jī)收發(fā)的數(shù)據(jù)報(bào)文，所以關(guān)掉nLimit each packet 表示表示 限制限制每個(gè)報(bào)文的大小每個(gè)報(bào)文的大小nCapture files 即捕獲數(shù)據(jù)包的即捕獲數(shù)據(jù)包的保存的文件名以及保存位置保存的文件名以及保存位置Capture OptionsEthereal:capture form (nic) driverncapture option確認(rèn)選擇后，確認(rèn)選擇后，點(diǎn)擊點(diǎn)擊ok就開(kāi)始進(jìn)行抓包就開(kāi)始進(jìn)行抓包n同時(shí)就會(huì)彈出同時(shí)就會(huì)彈出“Ethereal:capture fo

4、rm (nic) driver”，其中，其中(nic)代表本機(jī)代表本機(jī)的網(wǎng)卡型號(hào)。的網(wǎng)卡型號(hào)。n同時(shí)該界面會(huì)以協(xié)議的不同統(tǒng)同時(shí)該界面會(huì)以協(xié)議的不同統(tǒng)計(jì)捕獲到報(bào)文的百分比計(jì)捕獲到報(bào)文的百分比n點(diǎn)擊點(diǎn)擊stop即可以停止抓包即可以停止抓包n在使用在使用“Ethereal:capture form (nic) driver抓包的同時(shí)，可抓包的同時(shí)，可以通過(guò)最小化以通過(guò)最小化 or 使用使用alt+tab的快捷鍵直接切換到的快捷鍵直接切換到 報(bào)文瀏覽報(bào)文瀏覽的主界面的主界面User GuideFile的下拉菜單的下拉菜單n“Open即打開(kāi)已存的抓包文即打開(kāi)已存的抓包文件，快捷鍵是件，快捷鍵是crtlQ

5、n“Open Recent即打開(kāi)先前已即打開(kāi)先前已察看的抓包文件，類似察看的抓包文件，類似windows的最近訪問(wèn)過(guò)的文檔的最近訪問(wèn)過(guò)的文檔n“Merge字面是合并的意思，字面是合并的意思，其實(shí)是追加的意思，即當(dāng)前捕其實(shí)是追加的意思，即當(dāng)前捕獲的報(bào)文追加到先前已保存的獲的報(bào)文追加到先前已保存的抓包文件中。抓包文件中。nSave和和save as即保存即保存 、選擇、選擇保存格式。保存格式。n其中其中save sa保存為是有個(gè)注意保存為是有個(gè)注意點(diǎn)：點(diǎn)：n點(diǎn)擊點(diǎn)擊n 該展開(kāi)按鈕即可詳細(xì)選擇該展開(kāi)按鈕即可詳細(xì)選擇保存保存n 途徑途徑n2. File type保存選擇時(shí)注意：保存選擇時(shí)注意：n 缺省

6、保存為缺省保存為libpcap格式，格式，這個(gè)是這個(gè)是linux下的下的tcpdump格式格式的文件。只有選擇文件保存格的文件。只有選擇文件保存格式為式為snifferwindowsbase1.1和和2.0都可，都可，ethereal和和sniffer才能雙向互相打開(kāi)對(duì)方才能雙向互相打開(kāi)對(duì)方抓包的文件。否則只有抓包的文件。否則只有ethereal能打開(kāi)能打開(kāi)sniffer的抓包的抓包文件。文件。Sinffer、ethereal可以相互打開(kāi)對(duì)方的文件可以相互打開(kāi)對(duì)方的文件File的下拉菜單的下拉菜單nExport是輸出的意思是輸出的意思nPrint 打印打印nQuit退出退出Edit的下拉菜單的

7、下拉菜單nFind Packet 就是查詢報(bào)文，就是查詢報(bào)文，快捷鍵是快捷鍵是ctrl+Fn可以支持不同格式的查找可以支持不同格式的查找n輸入正確的語(yǔ)句，那么背景為輸入正確的語(yǔ)句，那么背景為 綠色，語(yǔ)句錯(cuò)誤或缺少背景就為綠色，語(yǔ)句錯(cuò)誤或缺少背景就為 紅色紅色 Edit的下拉菜單的下拉菜單nFind Next是向下查找是向下查找nFind Preyious是向上查找是向上查找nTime Reference 字面是時(shí)間參字面是時(shí)間參考，使用后明白是考，使用后明白是 做個(gè)報(bào)文做個(gè)報(bào)文的的“時(shí)間戳?xí)r間戳”，方便大量報(bào)文，方便大量報(bào)文的查詢的查詢Edit的下拉菜單報(bào)文標(biāo)簽的下拉菜單報(bào)文標(biāo)簽n使用使用Ti

8、me Reference標(biāo)標(biāo)簽后，原先簽后，原先time的就變的就變成成 “REF縮寫的標(biāo)縮寫的標(biāo)記記n 附注：你可以在多個(gè)附注：你可以在多個(gè)報(bào)文間報(bào)文間 n 用時(shí)間戳標(biāo)記，用時(shí)間戳標(biāo)記，方便方便 n 查詢。查詢。n n 通俗點(diǎn)就象書(shū)通俗點(diǎn)就象書(shū)簽一樣。簽一樣。nMark Packettoggle是標(biāo)記報(bào)文是標(biāo)記報(bào)文nMark all packets 和和 Unamrk all packet即即標(biāo)記所有報(bào)文標(biāo)記所有報(bào)文 、取消、取消標(biāo)記所有報(bào)文標(biāo)記所有報(bào)文Edit的下拉菜單的下拉菜單n點(diǎn)擊點(diǎn)擊“preference進(jìn)行用進(jìn)行用戶界面的選戶界面的選擇，比如說(shuō)擇，比如說(shuō) 報(bào)文察看界報(bào)文察看界面布局

9、的選面布局的選擇，以及協(xié)擇，以及協(xié)議支持的選議支持的選擇。擇。View的下拉菜單的下拉菜單nMain toolbar 主工具欄主工具欄nFilter Toolbar 過(guò)濾工具欄過(guò)濾工具欄nStatusbar 狀態(tài)條狀態(tài)條nPacket list 報(bào)文列表報(bào)文列表nPacket details 報(bào)文詳解報(bào)文詳解nPacket byte 報(bào)文字節(jié)察看報(bào)文字節(jié)察看nTime display format 時(shí)間顯示格時(shí)間顯示格式可以顯示年月日時(shí)分秒）式可以顯示年月日時(shí)分秒）nName Resolution 名字解析名字解析nAuto scroll in live capture 單看單看字面真的不好翻

10、譯自動(dòng)翻卷顯字面真的不好翻譯自動(dòng)翻卷顯示活動(dòng)的報(bào)文），使用對(duì)比一下示活動(dòng)的報(bào)文），使用對(duì)比一下才獲知：捕獲時(shí)是否跟進(jìn)顯示更才獲知：捕獲時(shí)是否跟進(jìn)顯示更新的報(bào)文還是顯示先前的報(bào)文。新的報(bào)文還是顯示先前的報(bào)文。View的下拉菜單的下拉菜單nZoom in 字體的放大字體的放大nZoom out 字體的縮小字體的縮小nNormal size 標(biāo)準(zhǔn)大小標(biāo)準(zhǔn)大小nResize columns 格式對(duì)齊格式對(duì)齊nCollapse all 報(bào)文細(xì)節(jié)內(nèi)容的縮報(bào)文細(xì)節(jié)內(nèi)容的縮進(jìn)進(jìn)nExpand all 報(bào)文細(xì)節(jié)內(nèi)容的展開(kāi)報(bào)文細(xì)節(jié)內(nèi)容的展開(kāi)nColoring Rules 顏色規(guī)則，即可顏色規(guī)則，即可以對(duì)特定的數(shù)據(jù)

11、包定義特定的顏以對(duì)特定的數(shù)據(jù)包定義特定的顏色。色。nShow packet in new window在新在新窗口中查看報(bào)文內(nèi)容窗口中查看報(bào)文內(nèi)容nReload 刷新刷新go的下拉菜單的下拉菜單nBack 同樣雙方的上個(gè)報(bào)文同樣雙方的上個(gè)報(bào)文nForward 同樣雙方的下一個(gè)報(bào)文同樣雙方的下一個(gè)報(bào)文nGo to packet 查找到指定號(hào)碼的查找到指定號(hào)碼的報(bào)文報(bào)文nFirst packet 第一個(gè)報(bào)文第一個(gè)報(bào)文nLast packet 最后一個(gè)報(bào)文最后一個(gè)報(bào)文capture的下拉菜單的下拉菜單nStart 開(kāi)始捕獲報(bào)文開(kāi)始捕獲報(bào)文Interface 接口接口捕獲過(guò)濾捕獲過(guò)濾capture的下

12、拉菜單的下拉菜單capture的的Capture filter u捕獲過(guò)濾捕獲過(guò)濾n如果要捕獲特定的報(bào)文，那在抓取如果要捕獲特定的報(bào)文，那在抓取packet前就要設(shè)置，決定數(shù)據(jù)包的前就要設(shè)置，決定數(shù)據(jù)包的類型。類型。 FIlter name：任意命名：任意命名 Filter string： 這里要注意了，這里語(yǔ)法這里要注意了，這里語(yǔ)法輸輸 入有點(diǎn)技巧。嘿嘿入有點(diǎn)技巧。嘿嘿look：。：。u比如說(shuō)：比如說(shuō)：ua.捕獲捕獲 MAC地址為地址為 00:d0:f8:00:00:03 網(wǎng)絡(luò)設(shè)備通信的所有報(bào)文網(wǎng)絡(luò)設(shè)備通信的所有報(bào)文u ether host 00:d0:f8:00:00:03ub.捕獲捕獲

13、IP地址為地址為 網(wǎng)絡(luò)設(shè)備通信的所有報(bào)文網(wǎng)絡(luò)設(shè)備通信的所有報(bào)文u host uc.捕獲網(wǎng)絡(luò)捕獲網(wǎng)絡(luò)web瀏覽的所有報(bào)文瀏覽的所有報(bào)文u tcp port 80ud.捕獲捕獲除了除了http外的所有通信數(shù)據(jù)報(bào)文外的所有通信數(shù)據(jù)報(bào)文u host and not tcp port 80u提示：如果以提示：如果以 默認(rèn)主機(jī)和端口的設(shè)置捕獲默認(rèn)主機(jī)和端口的設(shè)置捕獲 tcp/ip報(bào)文，你將看報(bào)文，你將看不到自身的不到自身的arp報(bào)文。報(bào)文。capture的的Capture filter capture的的C

14、apture filterFilter string 語(yǔ)法輸入的格式語(yǔ)法輸入的格式src|dst host ether src|dst host gateway host src|dst net mask |len tcp|udp src|dst port less|greater ip|ether proto ether|ip broadcast|multicast relop 符號(hào)在符號(hào)在Filter string語(yǔ)法中的定義語(yǔ)法中的定義 Equal: eq, = (等于）等于） Not equal: ne, != （不等于）（不等于） Greater than: gt, （大于）（大于）

15、 Less Than: lt, = （大等于）（大等于） Less than or Equal to: le, = （小等于）（小等于）Capture filter的應(yīng)用步驟的應(yīng)用步驟nDisplay filters 顯示過(guò)濾顯示過(guò)濾n 可以直接在主界面的可以直接在主界面的filter上選上選擇擇Analyze的下拉菜單的下拉菜單Analyze下的下的Display filters正確的語(yǔ)法如下，和正確的語(yǔ)法如下，和“Capture Filter的語(yǔ)法有所不同：的語(yǔ)法有所不同：顯示顯示 以太網(wǎng)地址為以太網(wǎng)地址為 00:d0:f8:00:00:03 設(shè)備通信的所有報(bào)文設(shè)備通信的所有報(bào)文 eth.

16、addr=00.d0.f8.00.00.03顯示顯示 IP地址為地址為 網(wǎng)絡(luò)設(shè)備通信的所有報(bào)文網(wǎng)絡(luò)設(shè)備通信的所有報(bào)文 ip.addr=顯示所有設(shè)備顯示所有設(shè)備web瀏覽的所有報(bào)文瀏覽的所有報(bào)文 tcp.port=80顯示顯示除了除了http外的所有通信數(shù)據(jù)報(bào)文外的所有通信數(shù)據(jù)報(bào)文 ip.addr= & tcp.port!=80Analyze的下拉菜單的下拉菜單nEnable protocolsn n 是否啟用該協(xié)議的解是否啟用該協(xié)議的解析，析，n n 點(diǎn)選該協(xié)議后，相關(guān)點(diǎn)選該協(xié)議后，相關(guān)的上的上n

17、 n 層協(xié)議才能顯示出來(lái)。層協(xié)議才能顯示出來(lái)。Analyze的下拉菜單的下拉菜單nDecode As n 用戶定義報(bào)文協(xié)議說(shuō)明用戶定義報(bào)文協(xié)議說(shuō)明nUser Specified Decodesn 用戶修改的報(bào)文編譯用戶修改的報(bào)文編譯n n Analyze的的Decode AsnDecode As n 用戶定義報(bào)文協(xié)議說(shuō)用戶定義報(bào)文協(xié)議說(shuō)明明n 通過(guò)定義后，數(shù)據(jù)包細(xì)通過(guò)定義后，數(shù)據(jù)包細(xì)節(jié)的窗口解釋：原先是節(jié)的窗口解釋：原先是 tcp的解釋，更改就直接顯示的解釋，更改就直接顯示ssl格式的報(bào)文了。格式的報(bào)文了。n n Analyze的的follow tcp stream好戲來(lái)了好戲來(lái)了follow

18、 tcp follow tcp streamstream）n在在 瀏覽器中瀏覽器中 敲入敲入 ethereal/decelopment.html n同時(shí)同時(shí)ctrlk 開(kāi)始抓包，嘿嘿開(kāi)始抓包，嘿嘿 -n嘿嘿，看到你了。在嘿嘿，看到你了。在packet detail的窗口里的窗口里 安祥的躺著安祥的躺著 decelopment.html報(bào)文。報(bào)文。n小樣，抓到你了。小樣，抓到你了。Analyze的的follow tcp streamn在在 packet detail 窗口中選擇這個(gè)報(bào)文（窗口中選擇這個(gè)報(bào)文（ decelopment.html報(bào)文點(diǎn)報(bào)文點(diǎn)擊右鍵擊右鍵 選擇選擇 “ follow tcp stream”Analyze的的follow tcp streamn這就是這就是 follow tcp stream窗口，然后全選窗口，然后全選 ，在，在ctrlc，n翻開(kāi)翻開(kāi) 記事本，記事本，ctrlv，另存為，另存為 1.html。最后雙擊該文件。后面我什么。最后雙擊該文件。后面我什么都不知道了。都不知道了。n這只是這只是 ethereal強(qiáng)大功能其中的一個(gè)小技巧強(qiáng)大功能其中的一個(gè)小技巧nStatistics 顧名思義顧名思義 統(tǒng)計(jì)統(tǒng)計(jì)n 就是相關(guān)的報(bào)文的統(tǒng)計(jì)信息就是相關(guān)的報(bào)文的統(tǒng)計(jì)信息n n