ethereal入门指南：快速掌握抓包与分析

本资源是一份详细的ethereal使用手册，主要针对Windows系统下的ethereal软件操作。ethereal是一款强大的网络分析工具，它允许用户从网络中抓取数据包并进行深入分析。以下是关键知识点的详细介绍： 1. **安装步骤**: - 首先，需要安装WinPCAP，可以从<http://netgroup-serv.polito.it/winpcap/install/Default.htm>下载。 - 然后，安装ethereal，可从<http://www.ethereal.com/>获取安装文件。 2. **基本使用**: - 启动ethereal后，选择"Capture" -> "Start" 开始抓包，停止时点击"Stop"，捕获的包会显示在面板中并自动分析。 - 抓包选项包括： - **Interface**: 指定数据包捕获的网络接口，默认情况下选择默认网卡。 - **Limit each packet**: 可设置每个包的最大大小，缺省不设限。 - **Capture packets in promiscuous mode**: 是否启用混杂模式，通常关闭，仅监听本机发送或接收的包。 - **Filter**: 包含自定义的过滤规则，用于筛选特定类型的数据包。 - **File**: 如果需要，可以选择将捕获的包保存到指定文件中。 - **Using buffer**: 设置是否使用循环缓冲，主要用于文件写入时，需设置文件数量和大小。 3. **抓包过滤器**: - ethereal支持libcap过滤器语言，用于精确地筛选感兴趣的数据包。 - 有两种抓包策略：预先定义过滤器只抓取特定类型；先全抓再使用显示过滤器筛选。 4. **显示过滤器（重点）**: - 抓包结束后，ethereal提供了显示过滤器功能，用于在大量捕获的数据包中快速找到目标类型。这一步骤对于处理大量数据至关重要，可以根据协议、源IP、端口等条件定制显示规则。 总结，这份文档详细介绍了如何在Windows环境下安装和使用ethereal，包括基本配置、抓包选项设置以及高级过滤功能。通过阅读和实践这些内容，用户能够掌握ethereal的基本操作和高级网络分析技巧，有效地分析和理解网络通信。