1、星网锐捷系统通讯部 2007.12,Sniffer和ethereal使用简介,Sniffer和ethereal简介,Sniffer和ethereal都是功能强大的协议分析软件。 它们可以通过抓取网络上的报文,并对其进行协议分析。 Sniffer软件是NAI公司的商业软件,ethereal是免费软件。 Sniffer有更强的数据监测能力和更好的易用性。但在报文分析方面,ethereal一点也不弱。本文内容参考网络教程编写,供内部交流用。,Ethereal入门-主界面,Ethereal入门-capture选项,Interface: 指定在哪个接口(网卡)上抓包。一般情况下都是单网卡,所以使用缺省的
2、就可以了 Capture packets in promiscuous mode:是否打开混杂模式。如果打开,抓取所有的数据包。 Filter:过滤器。只抓取满足过滤规则的包。 File:如果需要将抓到的包写到文件中,在这里输入文件名称。,Ethereal入门-抓包过滤器,抓包过滤器用来抓取感兴趣的包,用在抓包过程中。 抓包过滤器使用的是libcap过滤器语言,在tcpdump的手册中有详细的解释,基本结构是: not primitive and|or not primitive .可以不使用抓包过滤器,把本机收到或者发出的包一股脑的抓下来,然后使用下节介绍的功能更为强大的显示过滤器,只让Et
3、hereal显示那些你想要的那些类型的数据包。,Ethereal入门-显示过滤器,过滤依据: 1)协议 2)是否存在某个域 3)域值 4)域值之间的比较,Ethereal入门-显示过滤器,过滤表达式 可以使用下面的操作符来构造显示过滤器 自然语言 类c表示 举例 eq = ip.addr=10.1.10.20 ne != ip.addr!=10.1.10.20 gt frame.pkt_len10 lt = frame.pkt_len=10 le = frame.pkt_len=10 表达式组合 可以使用下面的逻辑操作符将表达式组合起来 自然语言 类c表示 举例 and & 逻辑与,比如ip.
4、addr=10.1.10.20&tcp.flag.fin or | 逻辑或,比如ip.addr=10.1.10.20|ip.addr=10.1.10.21 xor 异或,如tr.dst0:3 = 0.6.29 xor tr.src0:3 = not ! 逻辑非,如 !llc,Ethereal入门-协议插件,Ethereal通过安装协议插件,可以不断扩展其对不同协议报文的识别能力。譬如可以下载安装H.323的插件,对323报文进行分析:http:/www.voice2sniff.org/,Sniffer入门-基本界面,Sniffer入门-报文捕获,Sniffer入门-报文查看,Sniffer入门-设置捕获条件,Sniffer入门-报文发送,Sniffer入门-捕获报文发送,
