1、目 录1 Ethereal 介绍 51.1 Ethereal 为何物? 51.1.1 Ethereal 可以帮人们做什么? 51.1.2 界面功能 51.1.3 实时的从不同网络介质抓取数据包 61.1.4 导入来自其它抓包工具的文件 61.1.5 为其它抓包工具导出文件 61.1.6 丰富的协议解码器 71.1.7 开放源代码软件 71.1.8 Ethereal 不能做什么? 71.2 Ethereal 运行平台 71.2.1 Unix71.2.2 Linux 81.2.3 Microsoft Windows81.3 那里可以得到 ethereal? 81.4 Ethereal 的读法 91
2、.5 Ethereal 的历史 91.6 Ethereal 的设计和维护 91.7 问题报告和获得帮助 91.7.1 Web 网站 .91.7.2 WIKI.101.7.3 FAQ101.7.4 邮件列表 101.7.5 问题报告 101.7.6 liunx/unix 平台崩溃报告 111.7.7 Windows 平台崩溃报告 112 编译和安装 ethereal 112.1 介绍 112.2 获得 ethereal 源代码和应用发布版本 .122.3 UNIX 平台编译 ethereal 之前准备工作 122.4 UNIX 平台编译 ethereal 源代码 132.5 UNIX 平台应用版
3、本安装 .132.5.1 RedHat 的 RPMs 方式安装 142.5.2 Debian 的安装方式 .142.6 解决 UNIX 下安装失败问题 142.7 Windows 下源代码的编译 142.8 Windows 下 Ethereal 安装 142.8.1 安装 ethereal 142.8.2 升级 ethereal 152.8.3 卸载 ethereal 153 用户操作界面 153.1 介绍 153.2 启动 ethereal 153.3 ethereal 主界面 153.4 “The Menu”主菜单 163.4.1 “File”文件菜单 1813.4.2 “Edit”编辑菜
4、单 193.4.3 “View”视图菜单 213.4.4 “GO”跳转菜单 .233.4.5 “Capture”抓包菜单 243.4.6 “Analyze”分析菜单 .243.4.7 “Statistics”统计报表菜单 263.4.8 “Help”帮助菜单 .273.5 “Main”常用工具栏 283.6 “Filter Toolbar”显示过滤器工具栏 303.7 “Packet List”数据包列表窗格 313.8 “Packet Details”数据包信息树窗格 .313.9 “Packet Bytes”数据包字节窗格 .323.10 “Statusbar”状态栏 .324 网络数据包
5、实时抓取 334.1 介绍 334.2 使用 Ethereal 前的准备工作 .334.3 如何开始抓包? 334.4 “Capture Interfaces”抓包网络接口窗口 .344.5 “Capture Options”抓包选项窗口 354.5.1 “Capture”抓包常规框 354.5.2 “Capture File(s)”数据包文件框 364.5.3 “Stop Capture”停止抓包框 .374.5.4 “Display Options”显示选型框 384.5.5 “Name Resolution”名称解析框 384.5.6 “Buttons”按键 394.6 数据包文件和文件
6、模式 394.7 “Link-layer header type”链接层数据头类型 404.8 抓包过滤器 404.9 抓包状态信息窗口 424.9.1 停止抓包 424.9.2 重新开始抓取 435 数据包文件导入、导出和打印 435.1 介绍 435.2 “Open”打开数据包文件 435.2.1 “Open Capture File”打开数据包文件窗口 .445.2.2 支持导入文件格式 455.3 “Save As”存储数据包 .455.3.1 输出文件格式 465.4 “Merging”合并数据包文件 475.5 “File Sets”文件系 485.6 “Exporting”导出文
7、件 495.6.1 “Exporting as Plain Text File”导出无格式文件 .495.6.2 “Export as PostScript File”导出 PS 格式文件 505.6.3 “Export as CSV(Comma Seperated Values)File”导出 CSV(逗号分割)文件 505.6.4 “Export as PSML File”导出 PSML 格式文件 515.6.5 “Export as PDML File”导出 PDML 格式文件 .5125.6.6 “Export selected packet bytes”导出被选择数据包数据 525.
8、7 “Printing”打印数据包 .535.8 “Packet Range”数据包范围窗格 556 数据包分析 556.1 如何查看数据包 556.2 显示过滤器 606.3 如何书写显示过滤器表达式 616.3.1 显示过滤器字段 616.3.2 比较操作的数据类型和操作符 626.3.3 组合表达式 626.3.4 显示过滤器常见误解 636.4 “Filter Expression”过滤器表达式窗口 .646.5 定义和存储过滤器 656.6 搜索数据包 676.6.1 “Find Packet”搜索数据包窗口 .676.6.2 “Find Next”寻找下一个 686.6.3 “Fi
9、nd Previous”寻找上一个 686.7 “GO”跳转 686.7.1 “Go Back”后退 686.7.2 “Go Forward”向前 .686.7.3 “Go to Packet”跳转到 .686.7.4 “Go to Corresponding Packet”跳转到相关数据包 .696.7.5 “Go to First Packet”跳到第一个数据包 .696.7.6 “Go to Last Packet”跳到最后一个数据包 696.8 标记数据包 696.9 时间显示格式和时间基准点 706.9.1 时间显示格式 706.9.2 时间基准点 707 高级工具 727.1 介绍
10、 727.2 “Following TCP streams”跟踪 TCP 数据流 .727.2.1 TCP 数据流跟踪窗口 737.3 Time Stamps 时间标记 747.3.1 Ethereal 内部时间格式 747.3.2 数据包文件时间格式 747.3.3 时间正确性 747.4 时区问题 757.4.1 什么是时区? 757.4.2 为你的计算机设置正确时间 757.4.3 Ethereal 和时区 767.5 数据包重组 767.5.1 什么是数据包重组? 767.5.2 Ethereal 如何实现包重组 767.6 名称解析 777.6.1 以太网名称解析(MAC 层) .7
11、77.6.2 IP 名称解析(网络层) .7837.6.3 IPX 名称解析(网络层) 787.6.4 TCP/UDP 端口名称解析(传输层) 787.7 确保数据完整性 787.7.1 Ethereal 核对概要 797.7.2 硬件里的概要计算和确认 798 统计 798.1 介绍 798.2 “Summary”统计窗口 .808.3 “Protocol Hierrrchy”协议层次统计窗口 818.4 “Endpoint”终端统计 .828.4.1 Endpoint 终端是什么? 828.4.2 终端统计窗口 838.5 会话统计 Conversations 838.5.1 什么是会话
12、838.5.2 会话窗口 838.6 IO 曲线图窗口 .858.7 服务响应时间统计 869 Ethereal 客户配置 879.1 介绍 879.2 定义数据包颜色 879.3 控制协议解析器 899.3.1 “Enabled Protocols”协议解析开关窗口 .899.3.2 用户配置解码 909.3.3 查看定义的解码方式 919.4 参数选择 9241 Ethereal 介绍1.1 Ethereal 为何物?Ethereal 是开源网络数据包分析软件。数据包分析软件会抓取数据包,并试图逐条详细地显示数据包数据。你可以认为数据包分析软件是一个用户检查网络数据报文的设备,就像用电压表
13、测量电路电压。以往数据包分析软件都是非常昂贵的或私有的。但 Ethereal 出现以后,这一切都改变了。Ethereal 可能是现在最好的开放源码的数据包分析软件。1.1.1 Ethereal 可以帮人们做什么?有些人使用 ethereal 完成以下工作: 网络管理员使用它去充当网络程序故障检修工具 网络安全工程师使用它检查安全软件 开发人员使用它发现协议运行中的 bug 很多人使用它监听内网数据 等等总之,ethereal 可以在很多环境里帮助人们。1.1.2 界面功能Ethereal 操作界面很友善,提供以下功能按键: UNIX 和 windows 下都可以运行 抓取从网络上抓到活动的数据
14、包 真实的显示数据包协议信息 打开和保存被抓取的数据包文件 导入和导出数据包用于和其它抓包软件互动 标准的数据包过滤器 标准的数据包搜索 基于过滤器的数据包彩色显示 创建多种统计报表 等等!可是你想真正了解它的威力,你必须亲自去使用它!51.1.3 实时的从不同网络介质抓取数据包Ethereal可以从网络介质上抓取流过的数据包。至于网络介质支持的类型,依赖于你使用的操作系统,您可以去这里察看所有被支持的网络介质:http:/ 导入来自其它抓包工具的文件Ethereal 可以打开大量其它抓包工具制作的数据包文件,具体支持情况请查看“导入文件格式”1.1.5 为其它抓包工具导出文件Ethereal
15、 可以将抓取得数据包文件导出,并提供给其它抓包工具使用。具体支持情况请查看“导出文件格式” 。61.1.6 丰富的协议解码器Ethereal 支持丰富的网络协议解析,具体支持情况请查看“附录 B:协议和协议域” 。1.1.7 开放源代码软件Ethereal 是一个开放源代码软件工程,被GNU General Public Licence(GPL)发布。你可以免费的使用ethereal 不用考虑软件使用授权问题。在 GPL下有很多的免费开源软件,所以,ethereal加入一个新的协议支持、插件或源代码修改都非常容易。1.1.8 Ethereal 不能做什么?以下这些功能是 ethereal 不提
16、供的: Ethereal 并不是个 IDS 入侵监测系统。当网络上发生某个事情的时候他不会警告你。当一个网络异常发生的时候,ethereal 会帮您描述正在网络发生的问题。 Ethereal 并不能操作您的网络,它仅仅是一个测量工具。它不发送数据包或者作其他的主动行动。1.2 Ethereal 运行平台Ethereal可以运行在很多的UNIX和各种windows 平台上运行,它需要一些辅助软件库如:GTK+, GLib, libpcap ,其他一些库。如果你安装后 ethereal 无法运行,请可以下在源程序去修正它。并请将您的使用经历发给:ethereal-支持平台如下:1.2.1 Unix
17、 Apple Mac OS X BeOS FreeBSD HP-UX IBM AIX NetBSD OpenBSD SCO UnixWare/OpenUnix7 SGI Irix Sun Solaris/Intel Sun Solaris/Sparc Tru64 UNIX (formerly Digital UNIX)1.2.2 Linux Debian GNU/Linux Gentoo Linux IBM S/390 Linux (Red Hat) Mandrake Linux PLD Linux Red Hat Linux Rock Linux Slackware Linux Suse L
18、inux1.2.3 Microsoft Windows支持: Windows Server 2003 / XP / 2000 / NT 4.0 Windows Me / 98不支持: Windows CE Windows NT / XP Embedded Windows 95 is no longer actively maintained by WinPcap, but still may work perfectly没有测试平台: Windows XP 64-bit Edition Windows Vista (aka Longhorn)1.3 那里可以得到 ethereal?您可以从ht
19、tp:/ 下载最新的 ethereal版本。此网站允许您选择多种镜像下载服务器。每4-8周会发布一个新的ethereal版本。如果你希望在新版本发布时得到通知,你应该去加入ethereal邮件列表。 “邮件列表”章节有详细地介绍。81.4 Ethereal 的读法有人把 ethereal 拆解为:ethe-real、e-the-real 等,你也可以按你喜欢的方式去叫它。在FQA 里给出的是“e-the-real ”。1.5 Ethereal 的历史1997年,Gerald Combs 需要一个跟踪网络协议的工具,并想学习更多的网络知识。他开始开发ethereal。1998 年七月,ether
20、eal 推出了 0.2.0 版本,在那些日子里,补丁、 bug 报告和鼓励使ethereal 走向成功。不久之后,Gilbert Ramirez看到了他的潜力,并提供了一个低等级协议分析器给他。1998年十月,Guy Harris申请加入开发,并提供协议解析器。1998年底,Richard Sharpe加入,并提供 TCP/IP框架结构,可以很清晰地看到那些协议被支持,也可以轻松的加入新的协议解析器。之后,ethereal开始蓬勃发展。1.6 Ethereal 的设计和维护Ethereal 最初是由 Gerald Combs 设计。目前它的设计和维护是由 Ethereal Team 完成。开放
21、的团队谁都可以修复 BUG 和提供新功能。众多的人为 Ethereal 协议解析器做出了贡献,你可以在“关于 Ethereal”里看到众多的提供源代码的人们,或在 ethereal 作者页也可以看到他们。你设计将在三个体现出对人们的帮助: 很多人会发现你的设计,并应用它在自己的工作中。你会发现你帮助了很多人。 Ethereal 可能会在改善您的设计,或在此之上作更多的上层设计。 Ethereal 的设计和维护人员会精心的维护您的设计代码,并修改它当 API 或其他调用变化的时候。当新版本发布的时候,您的新设计可能就被包含进去了。1.7 问题报告和获得帮助如果你对 ethereal 有一些疑问,
22、或需要帮助,一下这些地方会对你有帮助。1.7.1 Web 网站在ethereal主站可以找到大量的技术信息。 http:/.91.7.2 WIKI在http:/里你可以得到更广泛的帮助信息。有很都信息是没有被包含在用户手册里的技术细节。你也可以发表自己的见解,比如你对某一个协议很了解,你可以发表文章。1.7.3 FAQFAQ即常见问题答复。建议你在提出问题之前,先查阅FAQ很可能找到答案。网址:http:/ 邮件列表Ethereal 提供几种邮件列表: Ethereal 通告:告诉你有新的版本发布,每 4-8 周发布一次新版本 Ethereal 用户:人们使用 ethereal 时遇到的问题和
23、别人给于地答复 Ethereal 开发:如果你想加入 ethereal 开发,加入此列表你可以到 ethereal 网站订阅这些邮件列表。建议你再提出问题之前搜索邮件列表,如果找到答案,就不用再等待别人答复了!1.7.5 问题报告建议:提出问题报告之前,请先安装最新版本的 ethereal 测试。提出问题报告时,建议你提供以下信息,这对解答问题非常有帮助。 您使用的 ethereal 版本号和使用的相关库如 GTK+等,这些信息你可以使用ethereal v 获得 运行平台 详细逐条描述你遇到的问题 如果你得到了一个error/wanning错误提示信息,请拷贝这些信息,并记录。请不要给出“I
24、 get a warning while doing x“的提示信息,这没什么帮助。注意: 不要发送大文件(100KB)在邮件中, 为了您的安全也不要发送包含您敏感信息的问题报告。101.7.6 liunx/unix 平台崩溃报告你可以使用以下命令得到崩溃报告信息$ gdb whereis ethereal | cut -f2 -d: | cut -d -f2 core & bt.txtbacktraceD$Backtrace是一个gdb命令。输入后没有回显信息。D 是一个gdb结束命令,输入后你会结束gdb,并在当前目录下形成bt.txt文件。此文件包含了ethereal崩溃信息。你应该发送
25、此文件到: ethereal-1.7.7 Windows 平台崩溃报告Windows 不能产生.pdb 文件,应为他太大了。你只能自己来描述。2 编译和安装 ethereal2.1 介绍为了使用 ethereal 你必须获得 : 针对你操作系统的应用程序版本 针对你操作系统的源代码由于支持的操作系统众多,版本更新也很快,确保你得到的是最新版本。通常安装步骤为: 下载最新发布版本,应用版本或源代码版本。 编译源代码,产生应用程序,安装必须的各种运行库 安装应用程序112.2 获得 ethereal 源代码和应用发布版本你可以在 ethereal 网站得到源代码和应用程序两个发布版本。你可能发现应
26、用程序版本没有真对你的平台的,此时你可能需要下在源代码发布版本,在本地从新编译。一旦你下在了发布版本,你就可以进行下一步了。2.3 UNIX 平台编译 ethereal 之前准备工作你在编译 ethereal 之前或安装应用发布版本之前。你应该确认以下软件已经正确安装: GTK+ (The GIMP Tool Kit) 你可以从 www.gtk.org 下载 Libpcap 你可以从 www.tcpdump.org 下载由于你的平台不同,可能需要安装他们的应用版本如 RPMs,跟多的时候需要源代码进行编译。如果你下载了 GTK+的源代码,你可以这样安装 GTK+: gzip -dc gtk+-
27、1.2.10.tar.gz | tar xvf -cd gtk+-1.2.10./configuremakemake install如果你使用的是liunx, 或者安装了GNU tar。你也可以使用tar zxvf gtk+-1.2.10.tar.gz 。在很多的UNIX平台上可能使用gunzip -c or gzcat比gzip -db更好。如果你使用windows平台下在文件,文件名可能是gtk+-1_2_8_tar.gz如果你下载了 libpcap 的源代码发布版本。你可以这样来安装:gzip -dc libpcap-0.8.3.tar.Z | tar xvf -cd libpcap_0
28、_8_3./configuremakemake installmake install-incl12如果使用 RetHat linux 6.2 以后平台,可以使用 RPMs 发布版本安装,如下:cd /mnt/cdrom/RedHat/RPMSrpm -ivh glib-1.2.6-3.i386.rpmrpm -ivh glib-devel-1.2.6-3.i386.rpmrpm -ivh gtk+-1.2.6-7.i386.rpmrpm -ivh gtk+-devel-1.2.6-7.i386.rpmrpm -ivh libpcap-0.4-19.i386.rpm在Debian系统上安装,使
29、用如下命令:apt-get install ethereal2.4 UNIX 平台编译 ethereal 源代码按照以下步骤编译 Ethereal 源代码:1拆包tar zxvf ethereal-0.10.14-tar.gz某些UNIX平台可能需要这样做:gzip -d ethereal-0.10.14-tar.gztar xvf ethereal-0.10.14-tar2更改 ethereal 源代码目录3编译前自动配置./configure4编译make5安装make install安装完毕后,就可以键入 ethereal 开始运行了。2.5 UNIX 平台应用版本安装通常情况下不同 U
30、NIX 平台下安装方法都是不同的,例如:AIX ,需要使用 smit 去安装ethereal 应用版本,而在 Tru64 UNIX 下,需要使用 setld 来安装。132.5.1 RedHat 的 RPMs 方式安装rpm -ivh ethereal-0.10.5-0.2.2.i386.rpm如果提示没有相关库,请参考:“ 如果使用 RetHat linux 6.2 以后平台。 。 。 ”2.5.2 Debian 的安装方式apt-get install ethereal2.6 解决 UNIX 下安装失败问题如果 configure 命令失败,你需要知道为什么运行失败。你可以查看源代码目录下
31、config.log。最后的几行会对你很有帮助。如果你的系统中没有 GTK+或 libpcap,或版本不适合,都会引起 configure 失败.另一个常见的问题是在编译过程中出现输出过长问题。这很可能是由于老的sed引起的。你可以下载最新的sed。http:/directory.fsf.org/GNU/sed.html 。如果你不能确定是什么问题引起了编译失败,你可以发送给ethereal-dev。包含config.log和你认为有用的信息。2.7 Windows 下源代码的编译推荐你使用应用发布版本,除非你需要开发。请到http:/ 得到信息。2.8 Windows 下 Ethereal
32、安装2.8.1 安装 ethereal首先获得安装包,ethereal-setup-x.y.z.exe x.y.z 代表版本号,例如 0.10.14。执行此文件即可开始进入通行安装画面。不需要特殊配置,按“next”键即可完成安装。142.8.2 升级 ethereal如果你加入了 ethereal 通告邮件列表,你会及时得到 ethereal 新版本发布信息。升级方法和安装方法一样。2.8.3 卸载 ethereal在控制面板里,添加删除程序里操作。3 用户操作界面3.1 介绍你已经安装了 ethereal,现在可以开始抓包了。接下来的几个章节将介绍: Ethereal 用户操作界面 如何抓
33、包 如何查看数据包 如何配置数据包过滤器 等等3.2 启动 ethereal可以通过命令行启动,或者在 windows 开始-程序,或桌面快捷方式等。3.3 ethereal 主界面下图为 ethereal 用户界面,此图为你抓取数据包之后或导入数据后的情况。15Ethereal 主窗口有很多的 GUI 程序组成。1Menu 主菜单:用于开始各种操作功能2Main toolbar 常用工具栏:列出了一些 ethereal 使用过程中常用的功能按键3Filer toolbar 显示过滤器工具栏:用于直接操作和显示过滤器字段4Packet list pane 数据包列表窗格:这里显示被抓取数据包列
34、表。点击某个数据包行,他的具体信息将显示是另外两个窗格里。5Packet details pane 数据包信息树窗格:显示在数据包列表窗格里被选中数据包的详细信息。6Packet bytes pane 数据包字节窗格:显示在数据包列表窗格里被选中的数据包字节信息。在数据包信息树窗格中被点选的高亮部分,此处也会将相对应的字节部分高亮显示。7Statusbar 状态栏: 显示当前程序的状态或被选数据的状态。注意:主界面可以被客户根据自己的习惯定制。3.4 “The Menu”主菜单主菜单如下图所示:16File 文件打开或合并抓包文件,部分或全部存储、打印、导出抓包文件,退出 Ethereal。E
35、dit 编辑查询数据包、设置时间基准、标记一个或多个数据包、设置参数选项(目前没有实现剪切、拷贝、粘贴工具)View 视图 控制被抓取数据包的显示方式,包括:数据包颜色、字体缩放、在新窗口显示数据包、展开和收起数据包描述信息树等等GO 移动移动到指定数据包位置,比如:上移一个、下疑一个、到开头、到结尾、到指定的第几个包等。Capture 抓取开始、重新开始、停止抓包,抓取过滤器配置。Analyze 分析设置显示过滤器,挂接协议解析器,指定解码,跟踪 TCP 数据流等。Statistics 统计报表可以弹出各种统计窗口,例如:被抓取数据包概要窗口,协议层次窗口等。Help 帮助包含了基本帮助、支
36、持协议列表,在线帮助关联,本系统常规介绍。173.4.1 “File”文件菜单Menu 菜单项目 快捷方式 描述Open 打开 Ctrl+O 打开查找数据包文件对话框,从中选择您要分析的数据包文件。Open Recent 最近打开文件显示最近打开过的数据包文件,并可以点选打开。Merge 合并 打开查找数据包文件对话框,从中选择数据包文件,将其合并到当前打开的数据包文件中。Close 关闭 Ctrl+W 关闭当前正在分析的数据包文件-Save 保存 Ctrl+S 保存当前正在分析的数据包,如果是新的数据包文件,会弹出一个存储位置和文件名的对话框。如果已经保存过,这个按键是灰色的,不可用的。不能
37、在抓包过程中保存,必须停止抓包后,才可以保存。Save As 另存为 Shift+Ctrl+S 保存当前正在分析的数据包为另一个数据包文件,会弹出一个另存为存储位置和文件名的对话框。-File Set List Files文件系 文件列表数据包文件系中的文件列表,会弹出文件列表窗口File Set Next Files文件系 下一个文件如果目前打开了数据包文件系中的一个文件,打开文件系中此文件的下一个文件。当目前打开的是文件系中的最后一个或非文件系文件,此按键为灰色,不可用。File Set Previous Files文件系 上一个文如果目前打开了数据包文件系中的一个文件,打开文件系中此文件
38、的上一个文件。当目前打开的是文18件 件系中的第一个或非文件系文件,此按键为灰色,不可用。-Exprot As “PlainText” file导出 普通文本文件允许您导出数据包文件中的一些或全部包信息到一个 ASCII 编码的普通文本文件。Exprot As”PostScript”File导出 .PS 文件允许您导出数据包文件中的一些或全部包信息到一个 PostScript 文件。Export As “CSV”(Comma Separated Values packet summary )file导出 CSV 电子表格文件允许您导出数据包文件中的一些或全部包信息到一个.CSV 文件( Com
39、ma Separated Values packet summary:用逗号分割数据包值概要) ,应用于电子表格。Export As “PSML”file导出 PSML 文件允许您导出数据包文件中的一些或全部包信息到一个 PSML(packet summary markup language:数据包摘要置标语言) XML 文件。Export As “PDML”file导出 PDML 文件允许您导出数据包文件中的一些或全部包信息到一个 PDML(packet details markup language:数据包详细信息置标语言) XML 文件。Export Selected Packet By
40、tes导出 数据包被选字节允许您导出数据包字节窗格中选择的字节,形成一个二进制文件。-Print 打印 Ctrl+P 允许您打印数据包文件中的一些或全部包信息。-Quit 退出 Ctrl+Q 退出 ethereal,如果没有存盘,会有存盘提示窗口。193.4.2 “Edit”编辑菜单Menu 菜单项目 快捷方式 描述Find Packet查找数据包.Ctrl+F 弹出一个查找对话框,您可以指定很多的数据包属性和值用于查找您需要的数据包。Find Next 查找下一个Ctrl+N 查找符合“查找数据包.”条件的下一个数据包。Find Previous查找上一个Ctrl+B 查找符合“查找数据包.
41、”条件的上一个数据包。-Time ReferenceSet Time Reference(toggle)时间基准设置时间基准(标记)Ctrl+T 将当前选择的数据包上设置时间基准Time ReferenceFind Next时间基准发现下一个试图发现下一个设置时间基准的数据包Time ReferenceFind Previous时间基准发现上一个试图发现上一个设置时间基准的数据包Mark Packet(toggle)标记数据包Ctrl+M 在被选择的数据包上做记号Mark All Packets标记所有数据包为数据包文件中的所有数据包做标记Unmark All Packets解除所有数据包标记
42、为数据包文件中的所有数据包解除标记Preferences选项 Shift+Ctrl+P 弹出选项配置窗口,可以设置各种 ethereal 控制参数。并可以应用和存储您的配置信息,下次启用 ethereal这些配置依然起作用。203.4.3 “View”视图菜单Menu 菜单项目 快捷方式 描述Main Toolbar 常用工具栏 钩选此项,显示或隐藏常用工具栏Filter Toolbar 过滤器工具栏 钩选此项,显示或隐藏过滤器工具栏Statusbar 状态栏 钩选此项,显示或隐藏状态栏-Packet List 包列表窗格 钩选此项,显示或隐藏包列表窗格Packet Details 包详细信息
43、窗格钩选此项,显示或隐藏包详细信息窗格PacketBytes数据包字节窗格钩选此项,显示或隐藏数据包字节窗格-Time Display Format Date and Time of Day:1970-01-01 01:02:03.123456时间显示格式 日期和当天时间:1970-01-01 01:02:03.123456选择日期和时间为 ethereal 显示格式。Time Display 时间显示格式 选择不显示日期,只显示时间为 ethereal 显示21Format Time of Day:01:02:03.123456当天时间: 01:02:03.123456格式。Time Dis
44、play FormatSeconds Since Beginning of Capture:123.123456时间显示格式 从开始抓包到此包到来的秒数:123.123456选择从开始抓包到此包到来的秒数为 ethereal时间显示格式Time Display FormatSeconds Since Previous Packet:1.123456时间显示格式 与上一个数据包的时间间隔秒数:1.123456选择与上一个数据包的时间间隔秒数为ethereal 时间显示格式Time Display Format Automatic (File Format Precision)时间显示格式 自动(
45、依据文件显示精度)自动分析数据包文件的时间精度,并按此精度显示。Time Display Format Seconds : 0时间显示格式 秒:0设置 ethereal 时间现实精度为 1 秒。Time Display Format Seconds :0.时间显示格式 秒:0.设置 ethereal 时间现实精度为十分之一、百分之一、千分之一、万分之一秒等Name Resolution Resolve Name名称解析 解析名称此项试图解析数据包的地址信息,使您更容易理解。如主机名,域名,Mac-IP 等的解析。Name Resolution Enable for MAC Layer名称解析
46、MAC 层解析开启对MAC层解析,将MAC地址解析为容易理解的名字显示。例如:(e.g. 00:09:5b:01:02:03 - 192.168.0.1).(e.g. 00:09:5b:01:02:03 - Netgear_01:02:03). (e.g.00:09:5b:01:02:03 - homerouter)Name Resolution Enable forNetwork Layer名称解析 网络层解析利用 DNS 服务,将 IP 解析为域名。(e.g.65.208.228.223 - )在IPX网里,可以解析出IPX网名Name Resolution Enable forTrans
47、port Layer名称解析 传输层解析对应用协议的端口做解析,得到服务类型,如80-http 等Colorize PacketList数据包列表颜色显示开启或关闭数据包列表颜色显示Auto Scroll in Live Capture实时抓包自动滚动在实时抓包时,当新的数据包到来时,数据包列表自动向上滚动,将最新的数据包显示出来。-Zoom In 放大显示 Ctrl+ 增大数据包显示字号Zoom Out 缩小显示 Ctrl+- 减小数据包显示字号22Normal Size 正常显示 Ctrl+= 缩放到 100%的字号Resize All Columns重新分配列宽度按照经验重新分配列宽度-
48、Expand Substrees打开子树 打开数据包信息树窗格里的被选中的信息描述子树。Expand All 打开全部子树 打开数据包信息树窗格里的全部信息描述子树。Collapse All 收起全部子树 收起数据包信息树窗格里的全部信息描述子树。-ColoringRules数据包颜色规则修改数据包颜色规则。-Show Packet in New Windos在新窗口中显示数据包打开一个新窗口显示数据包,此窗口紧紧包含数据包信息树窗格和字节窗格。Reload 重新导入 Ctrl+R 允许您重新导入数据包文件3.4.4 “GO”跳转菜单Menu 菜单项目 快捷方式 描述Back 后退 Alt+Left 向后跳转到浏览历史中最近浏览的数据包,很像 IE中的历史页面后退操作。Forward 前进 Alt+Right 跳转道浏览历史中的下一个浏览的数据包,很像 IE中的历史页面前进操作。Go toPacket跳转到 Ctrl+G 弹出窗口输入你想分析的数据包编号,自动定位到此数据包Go toCorrespondingPacket跳转到相关通讯包跳转到被选协议数据流,相关通讯的数据包。如果没有符合的数据包,此按键为灰色不可用。-First Packet 开头 跳转到数
