ethereal是目前網絡上開源的一款功能強大的以太網抓包工具,該軟件可以監聽異常封包,檢測軟件封包問題,從網絡上抓包,並且能對數據包進行分析,從而幫助用戶解決各種網絡故障,更加方便查看、監控TCP session動態等等。
ethereal抓包工具需要一個底層的抓包平台,在Linux中是采用Libpcap函數庫抓包,在windows系統中采用winpcap函數庫抓包。軟件基本類似於tcpdump,但ethereal還具有設計完美的GUI和眾多分類信息及過濾選項。用戶通過ethereal,同時將網卡插入混合模式,可以查看到網絡中發送的所有通信流量,可以應用於故障修復、分析、軟件和協議開發以及教育領域。
對於ethereal,有圖形界面和字符界面兩種方式。
到linux系統上執行rpm -qa | grep ethereal-gnome可查看是否安裝了圖形版本,但是如果服務器上沒有xwin圖形環境,那么就只能用字符界面了。
命令:tethereal
可選參數:-V、-f
如果只執行tethereal,那么將只抓取數據包的包頭,不顯示里邊的內容。加上-V參數后,即可顯示內容。
-f 參數用於過濾,默認情況下將抓取tcp和udp所有協議。
如果想抓取UDP數據包並顯示內容,則執行tethereal -V -f udp 即可另外還可以配合grep命令提取需要的關鍵內容。
圖形化:
ethereal使用教程
一、打開抓包配置項
1. 通過Capture--Options,點開抓包選項配置
二、設置抓包配置項
1. 設置抓包的網卡
2. 設置抓包的過濾項:只有滿足條件的數據才會被ethereal捕捉,如果不填則捕捉所有的數據包
capture選項
interface: 指定在哪個接口(網卡)上抓包。一般情況下都是單網卡,所以使用缺省的就可以了
Limit each packet: 限制每個包的大小,缺省情況不限制
Capture packets in promiscuous mode: 是否打開混雜模式。如果打開,抓取所有的數據包。一般情況下只需要監聽本機收到或者發出的包,因此應該關閉這個選項。
Filter:過濾器。只抓取滿足過濾規則的包(可暫時略過)
File:如果需要將抓到的包寫到文件中,在這里輸入文件名稱。
use ring buffer: 是否使用循環緩沖。缺省情況下不使用,即一直抓包。注意,循環緩沖只有在寫文件的時候才有效。如果使用了循環緩沖,還需要設置文件的數目,文件多大時回卷
其他的項選擇缺省的就可以了
三、開始抓包
點擊start按鈕,開始抓包
四、停止抓包
點擊停止按鈕,停止抓包
五、再次開始抓包
如果不需要重新設置抓包的選項,可以直接點擊Capture--Start來再次抓包
ethereal主要特征
在實時時間內,從網絡連接處捕獲數據,或者從被捕獲文件處讀取數據;
Ethereal 可以讀取從 tcpdump(libpcap)、網絡通用嗅探器(被壓縮和未被壓縮)、SnifferTM 專業版、NetXrayTM、Sun snoop 和 atmsnoop、Shomiti/Finisar 測試員、AIX 的 iptrace、Microsoft 的網絡監控器、Novell 的 LANalyzer、RADCOM 的 WAN/LAN 分析器、 ISDN4BSD 項目的 HP-UX nettl 和 i4btrace、Cisco 安全 IDS iplog 和 pppd 日志( pppdump 格式)、WildPacket 的 EtherPeek/TokenPeek/AiroPeek 或者可視網絡的可視 UpTime 處捕獲的文件。此外 Ethereal 也能從 Lucent/Ascend WAN 路由器和 Toshiba ISDN 路由器中讀取跟蹤報告,還能從 VMS 的 TCPIP 讀取輸出文本和 DBS Etherwatch。
從以太網、FDDI、PPP、令牌環、IEEE 802.11、ATM 上的 IP 和回路接口(至少是某些系統,不是所有系統都支持這些類型)上讀取實時數據。
通過 GUI 或 TTY 模式 tethereal 程序,可以訪問被捕獲的網絡數據。
通過 editcap 程序的命令行交換機,有計划地編輯或修改被捕獲文件。
當前602協議可被分割。
輸出文件可以被保存或打印為純文本或 PostScript格式。
通過顯示過濾器精確顯示數據。
顯示過濾器也可以選擇性地用於高亮區和顏色包摘要信息。
所有或部分被捕獲的網絡跟蹤報告都會保存到磁盤中。