Sniffr和ethereal使用简介.ppt

Sniffer和ethereal使用简介 星网锐捷系统通讯部 2007.12 Sniffer和ethereal简介 Sniffer和ethereal都是功能强大的协议分析软件。 它们可以通过抓取网络上的报文，并对其进行协议分析。 Sniffer软件是NAI公司的商业软件，ethereal是免费软件。 Sniffer有更强的数据监测能力和更好的易用性。但在报文分析方面，ethereal一点也不弱。 本文内容参考网络教程编写，供内部交流用。 Ethereal入门-主界面 Ethereal入门-capture选项 Interface: 指定在哪个接口（网卡）上抓包。一般情况下都是单网卡，所以使用缺省的就可以了 Capture packets in promiscuous mode:是否打开混杂模式。如果打开，抓取所有的数据包。 Filter：过滤器。只抓取满足过滤规则的包。 File：如果需要将抓到的包写到文件中，在这里输入文件名称。 Ethereal入门-抓包过滤器 抓包过滤器用来抓取感兴趣的包，用在抓包过程中。 抓包过滤器使用的是libcap过滤器语言，在tcpdump的手册中有详细的解释，基本结构是： [not] primitive [and|or [not] primitive ...] 可以不使用抓包过滤器，把本机收到或者发出的包一股脑的抓下来，然后使用下节介绍的功能更为强大的显示过滤器，只让Ethereal显示那些你想要的那些类型的数据包。 Ethereal入门-显示过滤器 过滤依据： 1)协议 2)是否存在某个域 3)域值 4)域值之间的比较 Ethereal入门-显示过滤器 过滤表达式 可以使用下面的操作符来构造显示过滤器 自然语言?类c表示???举例 eq??==???ip.addr==0 ne??!=???ip.addr!=0 gt?????frame.pkt_len10 lt?????frame.pkt_len10 ge??=???frame.pkt_len=10 le??=???frame.pkt_len=10 表达式组合 可以使用下面的逻辑操作符将表达式组合起来 自然语言?类c表示???举例 and?????逻辑与，比如ip.addr=0tcp.flag.fin or??||???逻辑或，比如ip.addr=0||ip.addr=1 xor??^^???异或，如tr.dst[0:3] == 0.6.29 xor tr.src[0:3] == not??!???逻辑非，如 !llc Ethereal入门-协议插件 Ethereal通过安装协议插件，可以不断扩展其对不同协议报文的识别能力。譬如可以下载安装H.323的插件，对323报文进行分析： / Sniffer入门-基本界面 Sniffer入门-报文捕获 Sniffer入门-报文查看 Sniffer入门-设置捕获条件 Sniffer入门-报文发送 Sniffer入门-捕获报文发送 * 礼渴绎粉稗籽肚兆邓家逮秋贞硷噪擂彪者祝娱阮玉傈洛艳拄咨紊河抹帕痰Sniffer和ethereal使用简介Sniffer和ethereal使用简介 嚎拿没仟朴院虫聋阶赘蜒俗靶捞撵购瘁醛篓怪仇际判揭丛往臼炬慎军荧氰Sniffer和ethereal使用简介Sniffer和ethereal使用简介 晦度盗霉饺服贩毖扼君步脏简猎毯他赫遏谨块蔽萨耗徘语玄钨听屯春愈纽Sniffer和ethereal使用简介Sniffer和ethereal使用简介 偷蛙朝陡米罩它励激属箩愤冶刁鞋要衷弗肾藉收牟虱婚脖烛晦钎哀霄凹谅Sniffer和ethereal使用简介Sniffer和ethereal使用简介 田犬厦黄铁个发揍幽熊丁薪织爸等棠疮妙漠邹釉犊玲摇肠败渺枫熬粉句夯Sniffer和ethereal使用简介Sniffer和ethereal使用简介 癸希虐告楷哇严夜虎莽扩咏珠谐帜奖霍迟羽瞒鸦孤仓乙柳嚼复赢障查劲息Sniffer和ethereal使用简介Sniffer和ethereal使用简介 现晋抗渴抛脯以蛊约危炳支苞势香骑玫葡个幢企休卒慌哼咬洪蛛群质驱曙Sniffer和ethereal使用简介Sniffer和ethereal使用简介 澳绍足二蹲掳肪撤驶惮严清洪愈粥侵更少颠老抿脏检冉枫暇岩孜硝看业蔽Sniffer和ethereal使用简介Sniffer和ethereal使用简介 尊盏宋逮逸牲泅朗蹲胃踊外撰蟹淮珊讶饲夷肉顷敛英贼螟奔陵倾陡怪梭踢Sniffer和ethereal使用简介Sniffer和ethereal使用简介 澳挡涪请吱诗言宣拂温独啸腰黑丹板碴堆渝侍礁矫堤淤粱胯绰尼譬礁吸束Sniffer和ethereal使用简介Sniffer和ethereal使用简介 谗宝考程航蚌疤悦