ethereal抓包工具

ethereal抓包工具是一款非常不錯的計算機網絡調試和數據包嗅探軟件。它支持WINDOWS和UNIX系統，通過它可以抓取運行的網站的相關資訊，包括每一封包流向及其內容、資訊可依操作系統語系看出,方便查看，可以TCP session動態等等。該軟件具備監聽異常封包的功能。ethereal抓包工具需要一個底層的抓包平臺，在Linux中是采用Libpcap函數庫抓包，在windows系統中采用winpcap函數庫抓包。軟件基本類似于tcpdump，還具有設計完美的GUI和眾多分類信息及過濾選項。用戶通過該軟件，同時將網卡插入混合模式，可以查看到網絡中發送的所有通信流量，可以應用于故障修復、分析、軟件和協議開發以及教育領域。如果您也需要這么一款軟件那就來本站下載吧！

使用教程

一、打開抓包配置項
1. 通過Capture--Options，點開抓包選項配置

二、設置抓包配置項
1. 設置抓包的網卡
2. 設置抓包的過濾項：只有滿足條件的數據才會被ethereal捕捉，如果不填則捕捉所有的數據包

capture選項
interface: 指定在哪個接口（網卡）上抓包。一般情況下都是單網卡，所以使用缺省的就可以了
Limit each packet: 限制每個包的大小，缺省情況不限制
Capture packets in promiscuous mode: 是否打開混雜模式。如果打開，抓取所有的數據包。一般情況下只需要監聽本機收到或者發出的包，因此應該關閉這個選項。
Filter：過濾器。只抓取滿足過濾規則的包（可暫時略過）
File：如果需要將抓到的包寫到文件中，在這里輸入文件名稱。
use ring buffer： 是否使用循環緩沖。缺省情況下不使用，即一直抓包。注意，循環緩沖只有在寫文件的時候才有效。如果使用了循環緩沖，還需要設置文件的數目，文件多大時回卷
其他的項選擇缺省的就可以了
三、開始抓包
點擊start按鈕，開始抓包

四、停止抓包
點擊停止按鈕，停止抓包

五、再次開始抓包
如果不需要重新設置抓包的選項，可以直接點擊Capture--Start來再次抓包

主要特征

在實時時間內，從網絡連接處捕獲數據，或者從被捕獲文件處讀取數據；
Ethereal 可以讀取從 tcpdump（libpcap）、網絡通用嗅探器（被壓縮和未被壓縮）、SnifferTM 專業版、NetXrayTM、Sun snoop 和 atmsnoop、Shomiti/Finisar 測試員、AIX 的 iptrace、Microsoft 的網絡監控器、Novell 的 LANalyzer、RADCOM 的 WAN/LAN 分析器、 ISDN4BSD 項目的 HP-UX nettl 和 i4btrace、Cisco 安全 IDS iplog 和 pppd 日志（ pppdump 格式）、WildPacket 的 EtherPeek/TokenPeek/AiroPeek 或者可視網絡的可視 UpTime 處捕獲的文件。此外 Ethereal 也能從 Lucent/Ascend WAN 路由器和 Toshiba ISDN 路由器中讀取跟蹤報告，還能從 VMS 的 TCPIP 讀取輸出文本和 DBS Etherwatch。
從以太網、FDDI、PPP、令牌環、IEEE 802.11、ATM 上的 IP 和回路接口（至少是某些系統，不是所有系統都支持這些類型）上讀取實時數據。
通過 GUI 或 TTY 模式 tethereal 程序，可以訪問被捕獲的網絡數據。
通過 editcap 程序的命令行交換機，有計劃地編輯或修改被捕獲文件。
當前602協議可被分割。
輸出文件可以被保存或打印為純文本或 PostScript格式。
通過顯示過濾器精確顯示數據。
顯示過濾器也可以選擇性地用于高亮區和顏色包摘要信息。
所有或部分被捕獲的網絡跟蹤報告都會保存到磁盤中。

軟件特色

從以太網、FDDI、PPP、令牌環、IEEE 802.11、ATM 上的 IP 和回路接口（至少是某些系統，不是所有系統都支持這些類型）上讀取實時數據。
通過 GUI 或 TTY 模式程序，可以訪問被捕獲的網絡數據。
通過 editcap 程序的命令行交換機，有計劃地編輯或修改被捕獲文件。
當前602協議可被分割。
輸出文件可以被保存或打印為純文本或 PostScript格式。
通過顯示過濾器精確顯示數據。
顯示過濾器也可以選擇性地用于高亮區和顏色包摘要信息。
所有或部分被捕獲的網絡跟蹤報告都會保存到磁盤中。

系統介紹

1捕包平臺
網絡分析系統首先依賴于一套捕捉網絡數據包的函數庫。這套函數庫工作在在網絡分析系統模塊的最底層。作用是從網卡取得數據包或者根據過濾規則取出數據包的子集，再轉交給上層分析模塊。從協議上說，這套函數庫將一個數據包從鏈路層接收，至少將其還原至傳輸層以上，以供上層分析。
在Linux系統中， 1992年Lawrence Berkeley Lab的Steven McCanne和Van Jacobson提出了包過濾器的一種的實現，BPF（BSD Packet Filter）。Libpcap是一個基于BPF的開放源碼的捕包函數庫?，F有的大部分Linux捕包系統都是基于這套函數庫或者是在它基礎上做一些針對性的改進。
在window系統中，意大利人Fulvio Risso和Loris Degioanni提出并實現了Winpcap函數庫，作者稱之為NPF。由于NPF的主要思想就是來源于BPF，它的設計目標就是為windows系統提供一個功能強大的開發式數據包捕獲平臺，希望在Linux系統中的網絡分析工具經過簡單編譯以后也可以移植到windows中，因此這兩種捕包架構是非常相似的。就實現來說提供的函數調用接口也是一致的。
網絡分析系統也需要一個底層的抓包平臺，在Linux中是采用Libpcap函數庫抓包，在windows系統中采用winpcap函數庫抓包。
2 層次化的數據包協議分析方法
取得捕包函數捕回的數據包后就需要進行協議分析和協議還原工作了。由于OSI的7層協議模型，協議數據是從上到下封裝后發送的。對于協議分析需要從下至上進行。首先對網絡層的協議識別后進行組包還原然后脫去網絡層協議頭。將里面的數據交給傳輸層分析，這樣一直進行下去直到應用層。
Ip
| \
Tcp udp
| \
HTTP TFTP
由于網絡協議種類很多，就軟件所識別的500多種協議來說，為了使協議和協議間層次關系明顯。從而對數據流里的各個層次的協議能夠逐層處理。系統采用了協議樹的方式。上圖就是一個簡單的協議樹。如果協議A的所有數據都是封裝在協議B里的，那么這個協議A就是協議B是另外一個協議的兒子節點。我們將最低層的無結構數據流作為根接點。那么具有相同父節點的協議成為兄弟節點。那么這些擁有同樣父協議兄弟節點協議如何互相區分了？系統采用協議的特征字來識別。每個協議會注冊自己的特征字。這些特征字給自己的子節點協議提供可以互相區分開來的標識。比如tcp協議的port字段注冊后。 Tcp.port=21就可以認為是ftp協議， 特征字可以是協議規范定義的任何一個字段。比如ip協議就可以定義proto字段為一個特征字。
在軟件中注冊一個協議解析器首先要指出它的父協議是什么。另外還要指出自己區別于父節點下的兄弟接點協議的特征。比如ftp協議。在軟件中他的父接點是tcp協議，它的特征就是tcp協議的port字段為21。
這樣當一個端口為21的tcp數據流來到時。首先由tcp協議注冊的解析模塊處理，處理完之后通過查找協議樹找到自己協議下面的子協議，判斷應該由那個子協議來執行，找到正確的子協議后，就轉交給ftp注冊的解析模塊處理。這樣由根節點開始一層層解析下去。
由于采用了協議樹加特征字的設計，這個系統在協議解析上由了很強的擴展性，增加一個協議解析器只需要將解析函數掛到協議樹的相應節點上即可。
3 基于插件技術的協議分析器
所謂插件技術，就是在程序的設計開發過程中，把整個應用程序分成宿主程序和插件兩個部分，宿主程序與插件能夠相互通信，并且，在宿主程序不變的情況下，可以通過增減插件或修改插件來調整應用程序的功能。運用插件技術可以開發出伸縮性良好、便于維護的應用程序。它著名的應用實例有：媒體播放器winamp、微軟的網絡瀏覽器ie等。
由于現在網絡協議種類繁多，為了可以隨時增加新的協議分析器，一般的協議分析器都采用插件技術，這樣如果需要對一個新的協議分析只需要開發編寫這個協議分析器并調用注冊函數在系統注冊就可以使用了。通過增加插件使程序有很強的可擴展性，各個功能模塊內聚。
在協議分析器中新增加一個協議插件一般需要插件安裝或者注冊，插件初始化，插件處理3個步驟，下面以軟件為例進行分析如何利用插件技術新增加一個協議分析模塊。
軟件由于采用插件技術，一個新加入開發的程序員開發一種新的協議分析模塊的時候不需要了解所有的代碼，他只需要寫好這個協議模塊的函數后，寫一個格式為proto_reg_handoff_XXX的函數，在函數內調用注冊函數告訴系統在什么時候需要調用這個協議模塊。比如
你事先寫好了一個名為dissect_myprot的協議解析模塊，它是用來解析tcp協議端口為250的數據?？梢岳眠@些語句來將這個解析器注冊到系統中
proto_reg_handoff_myprot(void)
{
dissector_handle_t myprot_handle;
myprot_handle = create_dissector_handle(dissect_myprot,
proto_myprot);
dissector_add("tcp.port", 250, myprot_handle);
}
這段代碼告訴系統當tcp協議數據流端口為250的時候要調用dissect_myprot這個函數模塊。
在軟件中有一個腳本專門來發現開發者定義的類式proto_reg_handoff_xxx這樣的注冊函數名，然后自動生成調用這些注冊函數的代碼。這樣開發者不需要知道自己的注冊函數如何被調用的。這樣一個新的協議分析模塊就加入到系統中了。
由于采用了插件方式，軟件良好的結構設計讓開發者只需要關系自己開發的協議模塊，不需要關心整個系統結構，需要將模塊整合進系統只需要寫一個注冊函數即可，連初始化時調用這個注冊函數都由腳本自動完成了。正是因為有很好的體系結構，這個系統才能夠開發出如此多的協議解析器。
盡管軟件是目前最好的開放源碼的網絡分析系統，但軟件仍然有一些可以改進的地方，一個優秀的網絡分析器，盡可能的正確分析出數據協議和高效的處理數據是兩個重要的指標。在協議識別方面軟件大多采用端口識別，有少量協議采用內容識別。這就讓一些非標準端口的協議數據沒有正確解析出來。比如ftp協議如果不是21端口的話，軟件就無法識別出來，只能作為tcp數據處理。另外對于內容識別式。軟件是將所以內容識別的函數組成一張入口表。每次協議數據需要內容識別時，按字母順序逐個調用表里的每個識別函數。比如對于識別yahoo massanger協議。主要是看數據前幾個字節是不是’ymsg’.由于協議名為y開頭。所以當識別出協議時已經把所有內容識別函數調用了一遍。這些都是由于軟件沒有實現tcp協議棧，無法做到流級別的識別。導致在協議識別方面有點缺陷。