網(wǎng)絡(luò)監(jiān)聽(tīng)工具Ethereal使用說(shuō)明

1、網(wǎng)絡(luò)監(jiān)聽(tīng)工具 Ethereal 使用說(shuō)明1.1 Ethereal 簡(jiǎn)介Ethereal 是一款免費(fèi)的網(wǎng)絡(luò)協(xié)議分析程序，支持Unix 、Windows 。借助這個(gè)程序，你既可以直接從網(wǎng)絡(luò)上抓取數(shù)據(jù)進(jìn)行分析，也可以對(duì)由其他嗅探器抓取后保存在硬盤(pán)上的數(shù)據(jù)進(jìn)行分 析。你能交互式地瀏覽抓取到的數(shù)據(jù)包，查看每一個(gè)數(shù)據(jù)包的摘要和詳細(xì)信息。 Ethereal 有多 種強(qiáng)大的特征，如支持幾乎所有的協(xié)議、豐富的過(guò)濾語(yǔ)言、 易于查看 TCP 會(huì)話經(jīng)重構(gòu)后的數(shù)據(jù) 流等。它的主要特點(diǎn)為：? 支持 Unix 系統(tǒng)和 Windows 系統(tǒng)? 在 Unix 系統(tǒng)上，可以從任何接口進(jìn)行抓包和重放? 可以顯示通過(guò)下列軟件抓取的包

2、? tcpdump? Network Associates Sniffer and Sniffer ProNetXrayShomitiAIX' s iptraceRADCOM &RADCO'Ms WAN/LAN AnalyzerLucent/Ascend access productsHP-UX' s nettlToshiba ' s ISDN routersISDN4BSD i4btrace utilityMicrosoft Network Monitor? Sun snoop? 將所抓得包保存為以下格式：? libpcap (tcpdump)? Su

3、n snoop? Microsoft Network Monitor? Network Associates Sniffer? 可以根據(jù)不同的標(biāo)準(zhǔn)進(jìn)行包過(guò)濾? 通過(guò)過(guò)濾來(lái)查找所需要的包? 根據(jù)過(guò)濾規(guī)則，用不同的顏色來(lái)顯示不同的包? 提供了多種分析和統(tǒng)計(jì)工具，實(shí)現(xiàn)對(duì)信息包的分析圖1-1 Ethereal抓包后直觀圖圖1是Ethereal軟件抓包后的界面圖，我們可以根據(jù)需要，對(duì)所抓得包進(jìn)行分析。另外, 由于Ethereal軟件的源代碼是公開(kāi)的，可以隨意獲得，因此，人們可以很容易得將新的協(xié)議添 加到Ethereal中，比如新的模塊，或者直接植入源代碼中。1.2 Ethereal支持的網(wǎng)絡(luò)協(xié)議Ethe

4、real能對(duì)很多協(xié)議進(jìn)行解碼，它支持幾乎所有的協(xié)議， 如AARP,AFS, AH, AIM, ARP,ASCENDATM, AUTO_RPBGP, BOOTP,BOOTPARAMS,ROWSE昭XXP, CDP, CGMPCLNP, CLTP,COPS, COTP, DATA,DDP, DDTP, DEC_STP, DIAMETERDNS, EIGRP, ESIS, ESP, ETH, FDDI,FR, FRAME, FTP, FTP-DATA, GIOP, GRE, GVRP, H1, H261, HCLNFSD, HSRP, HTTP, ICMP,ICMPV6, ICP, ICQ, IGM

5、P, IGRP, ILMI, IMAP, IP, IPCOMP, IPCP, IPP, IPV6, IPX, IPXMSG,IPXRIP, IPXSAP, IRC, ISAKMP, ISIS, ISIS_CSNP, ISIS_HELLO, ISIS_LSP, ISIS_PSNP, ISL,IUA, KERBEROSL2TP, LANE, LANMAN.LAPB, LAPBETHERLAPD, LCP, LDAP, LDP, LLC, LPD,M3UA,MAILSLOT, MALFORMEDIAPI, MIP, MOUNTMP, MPLS, MSPROXYNBDGMNBIPX, NBNS, NB

6、P, NBSS, NCP, NETBIOS, NETLOGONN, FS, NLM, NMPI, NNTP, NTP, NULL, OSPF, PIM, POP, PORTMAPP, PP, PPPOED,PPPOES,PPTP, Q2931, Q931, QUAKE,RADIUS, RIP, RIPNG, RLOGIN, RPC, RQUOTA,RSH, RSVP, RTCP, RTMP,RTP, RTSP, RX, SAP, SCTP, SDP, SHORT,SIP, SLL, SMB, SMTP, SMUX, SNA, SNMP, SOCKS, SPX, SRVLOC, SSCOP, S

7、TAT, STP, SUAL, SYSLOG, TACACS, TCP, TELNET, TEXT, TFTP, TIME, TNS, TPKT, TR, TRMAC, UDP, V120, VINES, VINES_FRP, VINES_SPP, VLAN, VRRP, VTP, WAP-WSPW, AP-WSP-WTPW, AP-WTLS,WCCP,WHO, WLAN, X.25, X11, XOT, YHOO, YPBIND, YPSERV, YPXFR, ZEBRA 等。在 Ethereal 主菜單的 Tools 下有一個(gè)“ Decode As ”選項(xiàng)，可以很容易的將獲得的數(shù)據(jù)包轉(zhuǎn)換為

8、相應(yīng)的協(xié)議1.3 Ethereal 操作指導(dǎo)1.3.1 Ethereal 操作界面Ethereal 軟件界面如圖 1 所示， 在這個(gè)窗口上， 整個(gè)界面環(huán)境分為三個(gè)窗口， 最上面的窗口 是抓包列表窗口，經(jīng)過(guò) Ethereal 軟件抓包后的數(shù)據(jù)包都會(huì)列在這個(gè)窗口中，同時(shí)你可以根據(jù)抓 包序列號(hào)，抓包時(shí)間、源地址、目標(biāo)地址、協(xié)議等進(jìn)行包列表的排序，這樣你可以很容易的找 到你所需要的信息包。中間的窗口中顯示的是抓包列表上所選擇的包對(duì)應(yīng)的各層協(xié)議說(shuō)明，其中，協(xié)議層次信息 以樹(shù)型的結(jié)構(gòu)進(jìn)行顯示。最下面的窗口是數(shù)據(jù)窗口，顯示的是上層窗口選中的信息包的具體數(shù)據(jù)，同時(shí)，在中間樹(shù) 型窗口中所選擇的某一協(xié)議數(shù)據(jù)域的內(nèi)

9、容，在數(shù)據(jù)窗口中會(huì)被突出地顯示出來(lái)。在整個(gè)界面的左下角，有一個(gè)“ filter ”按鈕，單擊這個(gè)按鈕會(huì)彈出過(guò)濾設(shè)置對(duì)話框。在這 個(gè)按鈕的右邊是一個(gè)小文本框，在這里可以填入進(jìn)行過(guò)濾的字符串。同時(shí)這個(gè)過(guò)濾文本框也會(huì) 顯示當(dāng)前進(jìn)行過(guò)濾的內(nèi)容，你也可以通過(guò)下拉條選擇曾經(jīng)進(jìn)行過(guò)濾的字符串進(jìn)行抓包過(guò)濾。在 這個(gè)文本框右邊，是一個(gè)“ reset”按鈕，單擊這個(gè)按鈕將會(huì)顯示當(dāng)前的過(guò)濾信息。在整個(gè)界面 的最右下方，是一個(gè)狀態(tài)欄，在這里將顯示的狀態(tài)例如，軟件是否正在進(jìn)行抓包操作，如果沒(méi) 有在進(jìn)行抓包，那么它將顯示當(dāng)前讀取的文件名，如果你在樹(shù)型窗口中選擇了某個(gè)協(xié)議，那么 這個(gè)狀態(tài)欄中將會(huì)顯示當(dāng)前所選擇的協(xié)議域。1.

10、3.2 Ethereal 界面菜單Ethereal 的菜單如圖 2 所示：圖2-1 Ethereal界面菜單菜單中主要有以下幾個(gè)部分：File :這個(gè)子菜單下的操作與Windows菜單下File下的操作類(lèi)似，包括了文件的打開(kāi)，保存、打印以及系統(tǒng)的退出等等。不過(guò)這里的文件僅僅指的是抓包文件。Edit :這個(gè)子菜單下所包含的操作有：查找某一個(gè)特定的幀、跳到某個(gè)幀、在一個(gè)或更多的幀上打上標(biāo)記、設(shè)置首選項(xiàng)、設(shè)置過(guò)濾、協(xié)議剖析允許/不允許等。在這個(gè)菜單下，Win dows界面中的一些常用的操作，例如剪切、復(fù)制、粘貼等將不再使用。Capture :在這個(gè)菜單下進(jìn)行開(kāi)始抓包和停止抓包的操作。Display

11、:此菜單下可以進(jìn)行的操作有：修改顯示選項(xiàng)、匹配所選擇的幀、給不同的幀進(jìn)行上色、對(duì)數(shù)據(jù)幀進(jìn)行展開(kāi)/折疊、在分離的窗口中顯示數(shù)據(jù)包、配置用戶定義的解碼方式等。Tools :在工具菜單下所提供的操作有：載入插件、跟蹤一個(gè)TCP流、獲得所抓包的概要，進(jìn)行協(xié)議等級(jí)統(tǒng)計(jì)等等。Help :通過(guò)help子菜單，可以獲得 Ethereal軟件的About信息以及相應(yīng)的一些幫助。對(duì)于各個(gè)子菜單具體的菜單項(xiàng)，這里不作仔細(xì)的說(shuō)明，在下面的操作部分中將會(huì)對(duì)其中一 些重要的功能作詳細(xì)的說(shuō)明。133項(xiàng)關(guān)操作說(shuō)明抓包步驟：1.點(diǎn)擊軟件界面上 Capture->Start鍵，彈出如圖2-3所示的"

12、Capture Opetion ”抓包選 項(xiàng)設(shè)置對(duì)話框圖2-2用Ethereal進(jìn)行抓包-J I XJ Rotate capture file every卄sec口rd擋 Ethereal： Capture OptionsCaptureInterface! |l2C-2A71-4FFABE2E479F3BM8C) bytesi Limit each packet to | j8r Capture packets in promiscuous modeDicpla/ options_1 Update list of packets in real timej/ ut DHcfit l m tII

13、 na in I 坨 c jp:u ：Capture limitsName resollution廠 Enable MAC name resoliition* packet(s) captured -)kilobte(s) caplured-)secofid(s)I Enable network name resolutionr Enable transport name resolutionCancelCancel圖2-3 Capture Options選項(xiàng)設(shè)置對(duì)話框2. 在彈出的選項(xiàng)設(shè)置對(duì)話框中進(jìn)行相應(yīng)的設(shè)置，界面中的按鈕，當(dāng)按下去的時(shí)候表示該功能處于有效的狀態(tài)，凸起的時(shí)候則是無(wú)效的。&q

14、uot;Interface "欄中指示的是抓包進(jìn)行所在接口，你只能在一個(gè)接口上進(jìn)行抓包，同時(shí)，你只能在 Ethereal已經(jīng)發(fā)現(xiàn)的接口上進(jìn)行抓包。它有一個(gè)下拉菜單，你可以 在下拉列表中選擇你想要進(jìn)行抓包的接口。在"Interface ”下面是"Promiscuous ”模式選擇按鈕，當(dāng)按鈕按下去的狀態(tài)時(shí)，表示此時(shí)抓包是進(jìn)行在 promiscuous （混雜）模式下，任何流經(jīng)這臺(tái)主機(jī)的數(shù)據(jù)包都 將被捕獲，如果按鈕凸起，則只能捕獲從主機(jī)發(fā)送或者發(fā)向該主機(jī)的數(shù)據(jù)包。Filter ”欄可以指定特定的規(guī)則進(jìn)行抓包過(guò)濾， 以獲得你想要的那些包。 同時(shí)你也可以單擊 Ethere

15、al 主界面左下角的 filter 按鈕，在彈出的過(guò)濾對(duì)話框中設(shè)置 過(guò)濾字符串。詳細(xì)的操作和過(guò)濾字串說(shuō)明，請(qǐng)參考“過(guò)濾設(shè)置”一節(jié)。“File” 一欄中可以指定一個(gè)特定的文件，用以保存所抓的包。要注意的是 這里不對(duì)文件名和格式進(jìn)行檢查，所以在進(jìn)行保存文件指定的時(shí)候一定要小心， 以免覆蓋其他有用的文件?！?Display Options ”欄用于定義抓包過(guò)程中界面顯示的特性。其中，“ Updatelist of packets in a real time ”是 Ethereal 主界面上是否實(shí)時(shí)地顯示抓包變化的選項(xiàng)， 當(dāng)選擇了該項(xiàng)時(shí)， Ethereal 主界面上將實(shí)時(shí)地更新抓包列表

16、，若不顯示該項(xiàng)，所 有的包列表將在抓包過(guò)程停止以后一起顯示?！癆utomatic Strolling in livecapture ” 選項(xiàng)允許用戶在抓包過(guò)程中能實(shí)時(shí)地察看新抓的數(shù)據(jù)包?！癗ame resolution ” 中有三個(gè)選項(xiàng)，其中 “ Enable MAC name resolution ” 用于選擇 Ethereal 是否要將 MAC 地址的前三個(gè)字節(jié)翻譯成 IETF 所規(guī)定的廠商前 綴。 “ Enable network name resolution ” 用于控制是否將 IP 地址解析為 DNS 域 名。 “Enable transport name resolution ”

17、則用于控制是否將通信端口號(hào)轉(zhuǎn)換為協(xié) 議名稱(chēng)。此外，界面上還有一個(gè)“ Capture limits ”的設(shè)置項(xiàng)，在這里可以對(duì)抓包的數(shù) 量或過(guò)程進(jìn)行控制。根據(jù)需要進(jìn)行設(shè)置后，單擊 <OK> 鍵，進(jìn)行抓包。系統(tǒng)顯示如下（圖2-4）抓包過(guò)程界面。托 Frhprral: Eapture<Capti.ined rrarnes -Total330(100,0%)SCTP0(0.0%)TCP0(0.0%)UDP259悶魂ICMP0(p.0%)APP39(11.8%)OSPF0(0.0%)GRE0（o.a%）NetBIOS0(0.0%)IPX32(97%)VINES0(0.0%)Other(0

18、.D%)Running00:00:17Stop|圖2-4抓包過(guò)程界面<Stop >鍵停止抓包過(guò)程,3. 在抓包過(guò)程界面上，有各種協(xié)議包的抓包數(shù)據(jù)統(tǒng)計(jì)，單擊 所有的數(shù)據(jù)包將在Ethereal主界面中顯示。 抓包查看經(jīng)過(guò)抓包后，所有的數(shù)據(jù)包就在Ethereal的主界面上列出，可以通過(guò)界面上的三個(gè)窗口查看選定的數(shù)據(jù)包的具體細(xì)節(jié)。選擇其中的一個(gè)數(shù)據(jù)包，點(diǎn)擊右鍵，將會(huì)彈出圖2-5所示的對(duì)話框。對(duì)話框上列舉了可以對(duì)此數(shù)據(jù)包進(jìn)行的操作，其中：Follow TCP Stream :允許用戶跟蹤一個(gè) TCP連結(jié)中的所有的 TCP數(shù)據(jù)流，點(diǎn)擊該項(xiàng)后， 系統(tǒng)出現(xiàn)如圖2-6所示的界面，數(shù)據(jù)包

19、將按照順序排列，同時(shí)以 ASCII碼的形式顯示，你可以 按照需要選擇不同的顯示格式，如 EBCDIC、HEX Dump、C Arrays等。通過(guò)這個(gè)功能，你可以 詳細(xì)的查看一個(gè)TCP連結(jié)的詳細(xì)內(nèi)容。在主菜單的 Tools子菜單下也有這個(gè)功能。Decode As :此選項(xiàng)允許用戶將數(shù)據(jù)包根據(jù)特定的協(xié)議進(jìn)行解碼。這個(gè)選項(xiàng)與主菜單Tools下的"Decode As”選項(xiàng) 一樣。Display Filter :此項(xiàng)的功能與 Ethereal主界面左下角的"Filter”按鈕的作用一樣，單擊此 項(xiàng)，將會(huì)彈出過(guò)濾設(shè)置的對(duì)話框，如圖2-7所示。關(guān)于過(guò)濾設(shè)置規(guī)則請(qǐng)參考2.334 “過(guò)濾設(shè)置

20、”節(jié)。Match :該選項(xiàng)下有很多子項(xiàng)，其中，“Match selected ”用于選擇所有的具有某一特性值的數(shù)據(jù)包，該數(shù)據(jù)值是在中間樹(shù)形窗口中所確定的某協(xié)議對(duì)應(yīng)的數(shù)值。其他的選項(xiàng)則根據(jù)宇、 或、非的邏輯關(guān)系來(lái)過(guò)濾相應(yīng)的數(shù)據(jù)包。10 13Q-I4Z11 L3.«L74H m.l6.6G.fi612 13 L?82 172/18.TEuBS23 la.iaiaDI72.is.i3Id 1318313 172.15.«&«&& 13.i5La24S 172.16.6. b& 1R 111 ? Z 0 . Fpd時(shí) JB EtoMM l.

21、liDscodt A*.» 17J, j172： JMjik r-jmy1" f Mjflch"Prifr9HI FTn-r : 門(mén)耳 h/T" nr w衣P, C.J hyTM iapr7El Ethernrt II, Src : OO: Mi76z42:24: BOb ftst COOflie DI9PHV.E Intnyr rorrooh 5rc 且rib： 17216. Prnl.ETransmi a?inn Control Pr nt口?？?. N匸 Pnrt 7 0-iPiiiil Picket訊陰 > ep AZfc betJ|

22、87;：Za4l5D3 毗H.I|1*J id nd: call.1；d! 1 lmiid： efmiSlncSi call-id: 1 hjic-e ephetI“龜蠱出：calU1 accept md>_jon11; 5840Kp uqu昨芝N*jp - euea-1“ripddr:. cm,uistip.cofl* (X?2,15 ?.lJjepm4|3 O.3S), Saq； S7*30J,匕汰：咅皆魏人 Urn： 0Z-i.dptwe filim-iJFH* Edt £ipluf9衛(wèi)制1可衛(wèi)1鞠HfllNo r |Tirm-»|SojKfl|0e5liiti

23、an| Prolocol|也_1u.wgao1S19-9.ISA 165 L54心>eM?-ei=Zt r9i33JBDaci=Q加=1出制Len =2m.鈕昶g*m.lfi.«S.24O1W. 304.1.134TCP冇鈕4W7W*J55130*64801Ad： a0屮 nd E4Len*3匕口莎媚l克4呂冷孤1131旳TCP4475>6675VN5Eq=£t；33JBC心=匚uftn=163!MLen =47, 52M42172.1S_«4ft164.16,124TCP站ea士hhh7"SHcp-liO4*ilSi2

24、1&AcZ器 nfLon «-513.549HZ172 .la.引嗣0“】斟4那丄開(kāi)TCP幻仇>ewrAZ工護(hù)爼鼻3：沖yrrn= 56934Lem爲(wèi)13.40379*172.18.66,6617?. 18. 13TCP20財(cái)Aepap5*-Nl5Bq-i?a74?8D3Act -IWinl6394Len-712603374172.iS.«ei.處172 丄邑TCP趕 pnapLs'iHhyq-523742 IS 02Aci.-Oiwin-162gMLen-54917Z.18i9.15TCPCCTlrRl :"N,Kifl 5ei-JC7W7

25、HflOShjW PiCbul 1 N舟耳'l 1 Jk麗DD>000 2 32 毋 34 幵 g 3C01W沙笳1b啊皿田I" DDZD 陽(yáng) OS QB 2 i OCl 3F It E34? 7'.：. L W M C j>J? -y7 fD ?7k 1亡.4 -U 5 J- QgDm 0 1-15 -X 0Fi'r: cnpSuir* DnnpH. 圖2-5 抓包的查看.匚二 adijMtmnsDOflDOOlO ociaaoQfQ00 SI «1jj 二色 j'2 Ua 2 CD 17 3S冗站4f的39 N 9C /= 2

26、2 醬2 dA 了p id Ta £5els -rtQa 丄1 s b 0 ? -z p- 0" Lu 3 X au 3 & £ 二.T s 2Kid.cd <b出 a? sala Ha 7 OOQQDQZE OOflGDflE UULIUQQ4E ：_ FOOOGDQaE DOflOOOE OLjaQilQSF oooooose00 16 18b5 “1 冉 QQDGQOAd n or aa-4 U _UL JU-：403 C? I?屈Z5 忖 北 be osQO 1? 32 df DO Add/ ie 19c.X Bq 號(hào) _y 4 b c-1.

27、1e o 7 8? 8 lbh7X.壯孟曲OG i 4 M- d z 8 _T 50 2 & r- 6 3 A- 3 r6l-i J 3 M- s 7.e4e為 D 丄o p- .0 5 o f F 3 c & 0 J cl a c 2 2 d s e 1 L OT i 6 A- A6 . 4 2 4 5 ur lctbb 4dr-26725-o b 7 2 _d Q -sec o f 5 -u -of ? ? 1- 5 3-7 ef-uVH 2 Zu 1 9 M- _T ft o- fj s c 2 冃 e -r- rjd 1ZA 7 s 6 o 1 d H F 1 百 u

28、A a 5-t 8f Qfi 31 a r -d &?w ftd 7a 詢 oc cib 5b &eT- _u LG o 4 J Gf c 虹亞 dce u- 5 r_ 2 5 d Q 9 -y -oaJrt_ o 5 rj 3 D- J 1 -V -44 79娶 色8 bb7 a r曰 15 "b nu * z 5 po 1 -d RI I Fl I I Fl JL 目1 dZ 4曲K. J E叮DFEnt- g cori'jer&lio-j tS8 tryi耳s)i THdeg 耳5 9 A J Fl- 2 7DO3a02OLOO40ac27B5e

29、sJ53525Ij55程5 d838to2<-38OOOOOiOO jooooaig ：D000320 J0CIOOJ3O土J . ASCIIEBCDICHe* Di. mp圖 2-6 Follow TCP Stream 界面JOODOA00000054ODODOO白己0000037OOMOOEM0000096jfl-JjOjAiDO 丄d 02 01 00 > 05 24 -Fc el ?0 *00 32 02 01 CO 盧騎 4廿 &t 0? »牝cb厲bf7c*Sb03#00720201加>fdaeae8?17*Jdicb93f4ac>S A=

30、： Fiber 0 ij ThiT slreaml Clc?；e工|目?jī)碊isplay Filters色 Ethereal: Edit Display Filter ListFitter string |圖2-7過(guò)濾設(shè)置對(duì)話框133.3 抓包文件的保存要將所抓的包進(jìn)行保存，你只需簡(jiǎn)單的單擊主菜單下的<File->Save as>，此時(shí)，屏幕出現(xiàn)如圖2-8所示的文件保存對(duì)話框。在這個(gè)對(duì)話框中，你可以進(jìn)行文件夾的新建、文件刪除/重命名等操作，但是要注意的是Ethereal在進(jìn)行文件刪除/重命名操作時(shí)不對(duì)文件的內(nèi)容和格式做任何檢查，所以在進(jìn)行文件操作時(shí)要格外小心，以免影響其他的一些

31、重要的文件。Ethereal可以將所抓的所有數(shù)據(jù)包進(jìn)行保存，也可以只對(duì)進(jìn)行了標(biāo)記的數(shù)據(jù)包進(jìn)行保存，這可以通過(guò)點(diǎn)擊界面中的"Save only packets currently being displayed ” 或者"Save only markedpackets ”按鈕來(lái)進(jìn)行。同時(shí)，Ethereal對(duì)所要保存的數(shù)據(jù)包提供了多種保存文件的格式，例如libpcap ( tcpdump.Ethereal, etc. )、 modified libpcap ( tcpdump)、 RedHat Linux libpcap (tcpdump) 、Network Associate

32、s Sniffer (DOS based)、Sun Snoop、Microsoft Network Monitor 1.x、NetworkAssociates Sniffer (Windows based) 1.1等。格式可以從 File Type 欄進(jìn)行選擇。Create Dir Delete File Rename FileCAProgiam F i le sEt he re als n m p m i bs _iF貶AGENTX-MIB.txtDIS MAN EVENT-MIB, txtDIS MAN- SCHED1J LE-Ml3詢DISMANSCRIPKMIBtxtEtherLik&

33、amp;rMIB.txtHCNUM-TC.tKtHOST-RESOURCES-MIB .txt_J Save only 卩ackets currently bEiny displayedI 1 tierf- ! r l1 -r vi* r-i-r-r-i£1_l Save only nnrkecl packetsFile typi tibpcap (tcpdunip, Htiereai. etc.)Sokctieri. C:Pr05ram FilesEtrenmpAmibsOKCancel I圖 2-8 抓包文件保存對(duì)話框 在選擇好了保存目錄、 格式和方法后， 只需在界面下方的文本框

34、中輸入文件名， 單擊 <OK> 鍵，就完成了文件保存的工作。注：根據(jù)所抓包的性質(zhì)， 一些文件格式也許會(huì)不可用。 Ethereal 允許將一種文件格式轉(zhuǎn)變?yōu)?另一種格式，只需讀取某一個(gè)文件，在將數(shù)據(jù)包轉(zhuǎn)存為另一種格式即可。 過(guò)濾設(shè)置Ethereal 提供了兩種過(guò)濾設(shè)置方式， 一種是在抓包以前， 通過(guò)此設(shè)置， 整個(gè)抓包過(guò)程將只抓 取用戶所需要的特定的數(shù)據(jù)包；另一種方式是在抓包以后查看抓包時(shí)進(jìn)行。兩者在使用上略有 不同。.1 在抓包前進(jìn)行過(guò)濾設(shè)置在抓包前進(jìn)行過(guò)濾設(shè)置， 是在圖 2-3 抓包選項(xiàng)設(shè)置對(duì)話框中進(jìn)行的。 只需在 Filter 欄中填入 特定的設(shè)置語(yǔ)句

35、。 Ethereal 使用 libpcap filter 語(yǔ)言來(lái)進(jìn)行抓包的過(guò)濾設(shè)置。過(guò)濾表達(dá)式由一系列 簡(jiǎn)單的表達(dá)式和連詞（and、or、not）組成：not primitive and|or not primitive.下面舉例說(shuō)明過(guò)濾表達(dá)式的用法：1、抓取一個(gè)特定的主機(jī)的 telnet 數(shù)據(jù)包的過(guò)濾設(shè)置tcp port 23 and host 通過(guò)這個(gè)過(guò)濾表達(dá)式，可以抓取從主機(jī) 發(fā)出或發(fā)向該主機(jī)的所有的 telnet 數(shù) 據(jù)包。2、抓取除了來(lái)自/發(fā)往某主機(jī)的telnet數(shù)據(jù)包的過(guò)濾設(shè)置tcp port 23 and not host 在過(guò)濾

36、設(shè)置字符串中， primitive 表達(dá)式通常由以下幾種形式組成：1、 src|dst host <host>此表達(dá)式通過(guò)IP地址/主機(jī)名來(lái)過(guò)濾一個(gè)特定的主機(jī)，通過(guò)前綴src或dst選擇源/目的主機(jī)。如果不注明src或者dst，則將抓到流向/流出該主機(jī)的所有數(shù)據(jù)包。 例如：抓取從主機(jī) 6 發(fā)出的數(shù)據(jù)包：src host 62、 ether src|dst host<ehost>此表達(dá)式用于過(guò)濾以太網(wǎng)上流入/流出特定的主機(jī)的數(shù)據(jù)包，不同的是ehost是以太網(wǎng)地址，為主機(jī)的物理地址。例如：抓取發(fā)往物理地址為 00：04：76：42

37、：24：80的數(shù)據(jù)包 ether dst host 00 ：04：76：42： 24：803、 src|dst net<net> mask <mask>|len <len>此表達(dá)式根據(jù)網(wǎng)絡(luò)地址來(lái)過(guò)濾來(lái)自 /發(fā)往特定的網(wǎng)絡(luò)的數(shù)據(jù)包。例如：抓取發(fā)往 / 發(fā)自網(wǎng)絡(luò) 的數(shù)據(jù)包net mask 4、 tcp|udp src|dst port<port>此表達(dá)式可以設(shè)置過(guò)濾來(lái)自/發(fā)往特定的 tcp/udp 協(xié)議端口的數(shù)據(jù)包。例如：抓取SNM協(xié)議數(shù)據(jù)包udp port 1615、 less|gr

38、eater<length>此表達(dá)式用于過(guò)濾數(shù)據(jù)包長(zhǎng)度小于等于 /大于等于特定長(zhǎng)度的數(shù)據(jù)包。 例如：抓取數(shù)據(jù)包長(zhǎng)度小于 400byte 的數(shù)據(jù)包less 4006、 ip|ether proto<protocol>此表達(dá)式用于過(guò)濾IP層/數(shù)據(jù)鏈路層（Ethernet層）上特定的協(xié)議數(shù)據(jù)包。 例如：抓取IP層上UD數(shù)據(jù)報(bào)ip proto UDP7、ether|ip broadcast|multicast此表達(dá)式用于過(guò)濾 IP/Ethernet 的廣播包 /多播包8、 <expr> relop<expr>此表達(dá)式用于創(chuàng)建復(fù)雜的過(guò)濾表達(dá)式，用于選擇數(shù)據(jù)包中特定byte的數(shù)據(jù)或者某一段數(shù)據(jù)。當(dāng)過(guò)濾設(shè)置后，整個(gè)抓包過(guò)程就只會(huì)獲取特定的數(shù)據(jù)包。.2 在查看數(shù)據(jù)包時(shí)進(jìn)行過(guò)濾設(shè)置Ethereal使用兩種過(guò)濾語(yǔ)言，用在不同的場(chǎng)合，第一種是在進(jìn)行抓包之前，第二種則是在查看數(shù)據(jù)包的時(shí)候進(jìn)行， 這種情況