Ethereal网络抓包分析教程

"Ethereal使用教程 - 网络抓包与分析工具" Ethereal，现名为Wireshark，是一款强大的网络封包分析软件，主要用于网络故障排查、协议分析和安全审计。它允许用户从网络上抓取数据包，并进行深入的分析。在Windows系统中，Ethereal的安装过程包括两步：首先安装WinPcap驱动，它提供了底层的数据包捕获能力，随后安装Ethereal程序本身。 安装步骤如下： 1. 访问http://netgroup-serv.polito.it/winpcap/install/Default.htm 下载并安装WinPcap。 2. 接着访问http://www.ethereal.com/ 下载Ethereal并进行安装。 使用Ethereal进行抓包分析非常直观。启动程序后，选择菜单“Capture” -> “Start”开始抓包，停止时点击“Stop”。抓取的数据包会实时显示在主面板，并已解析出各个层次的信息，如源和目标IP、端口、协议等。 Ethereal提供了丰富的配置选项来定制抓包行为： - Interface: 选择要在哪个网络接口（网卡）上抓包，通常默认即可。 - Limit each packet: 设置每个数据包的最大大小，未设置则不限制。 - Capture packets in promiscuous mode: 混杂模式可捕获所有通过该接口的数据包，但通常只开启监听本机发送和接收的包，故应关闭此选项。 - Filter: 抓包过滤器允许设定规则，仅捕获符合条件的数据包。过滤器语言基于libcap，类似于tcpdump手册中的描述。 - File: 如需保存抓包结果到文件，可在此处指定文件名。 - Use ring buffer: 开启循环缓冲，当达到预设条件时，新数据包将覆盖旧数据包。需同时设置文件数目和回卷大小。 关于过滤器的使用，有两种策略： 1. 抓包前定义好抓包过滤器，仅捕获特定类型的数据包。 2. 先无选择地抓取所有数据包，然后利用显示过滤器筛选需要查看的部分。 Ethereal的显示过滤器是分析阶段的关键工具，它允许用户在数据包列表中只显示满足特定条件的包。例如，你可以用“ip.src == 192.168.1.1”来显示源IP为192.168.1.1的所有数据包，或者“http”来查看所有HTTP流量。显示过滤器语法丰富，可以组合各种条件，如“and”、“or”和“not”。 Ethereal（Wireshark）提供了一套全面的网络分析工具，从数据包的捕获到复杂的过滤和解析，帮助用户深入了解网络通信，排查问题，以及进行安全分析。掌握Ethereal的使用，对于网络管理员、开发者和安全专家来说，都是非常有价值的技能。