| 發(fā)布時間:2006年7月30日 | | 來源: 作者: |
| 華為網(wǎng)絡(luò)分析協(xié)議以及監(jiān)聽工具Ethereal
華為網(wǎng)絡(luò)分析協(xié)議以及監(jiān)聽工具Ethereal
網(wǎng)絡(luò)監(jiān)聽工具EtherealSample TextSample Text使用說明
1.1 Ethereal簡介
Ethereal是一款免費的網(wǎng)絡(luò)協(xié)議分析程序,支持Unix、Windows���。借助這個程序,你既可以直接從網(wǎng)絡(luò)上抓取數(shù)據(jù)進行分析,也可以對由其他嗅探器抓取后保存在硬盤上的數(shù)據(jù)進行分析�。你能交互式地瀏覽抓取到的數(shù)據(jù)包,查看每一個數(shù)據(jù)包的摘要和詳細信息����。Ethereal有多種強大的特征,如支持幾乎所有的協(xié)議、豐富的過濾語言、易于查看TCP會話經(jīng)重構(gòu)后的數(shù)據(jù)流等����。
它的主要特點為:
· 支持Unix系統(tǒng)和Windows系統(tǒng)
· 在Unix系統(tǒng)上,可以從任何接口進行抓包和重放
· 可以顯示通過下列軟件抓取的包
· tcpdump
· Network Associates Sniffer and Sniffer Pro
· NetXray
· Shomiti
· AIX’s iptrace
· RADCOM & RADCOM’s WAN/LAN Analyzer
· Lucent/Ascend access products
· HP-UX’s nettl
· Toshiba’s ISDN routers
· ISDN4BSD i4btrace utility
· Microsoft Network Monitor
· Sun snoop
· 將所抓得包保存為以下格式:
§ libpcap (tcpdump)
§ Sun snoop
§ Microsoft Network Monitor
§ Network Associates Sniffer
· 可以根據(jù)不同的標(biāo)準(zhǔn)進行包過濾
· 通過過濾來查找所需要的包
· 根據(jù)過濾規(guī)則,用不同的顏色來顯示不同的包
· 提供了多種分析和統(tǒng)計工具,實現(xiàn)對信息包的分析
圖1-1 Ethereal抓包后直觀圖
圖1是Ethereal軟件抓包后的界面圖,我們可以根據(jù)需要,對所抓得包進行分析。另外,由于Ethereal軟件的源代碼是公開的,可以隨意獲得,因此,人們可以很容易得將新的協(xié)議添加到Ethereal中,比如新的模塊,或者直接植入源代碼中�。
1.2 Ethereal支持的網(wǎng)絡(luò)協(xié)議
Ethereal能對很多協(xié)議進行解碼,它支持幾乎所有的協(xié)議,如AARP, AFS, AH, AIM, ARP, ASCEND, ATM, AUTO_RP, BGP, BOOTP, BOOTPARAMS, BROWSER, BXXP, CDP, CGMP, CLNP, CLTP, COPS, COTP, DATA, DDP, DDTP, DEC_STP, DIAMETER, DNS, EIGRP, ESIS, ESP, ETH, FDDI, FR, FRAME, FTP, FTP-DATA, GIOP, GRE, GVRP, H1, H261, HCLNFSD, HSRP, HTTP, ICMP, ICMPV6, ICP, ICQ, IGMP, IGRP, ILMI, IMAP, IP, IPCOMP, IPCP, IPP, IPV6, IPX, IPXMSG, IPXRIP, IPXSAP, IRC, ISAKMP, ISIS, ISIS_CSNP, ISIS_HELLO, ISIS_LSP, ISIS_PSNP, ISL, IUA, KERBEROS, L2TP, LANE, LANMAN, LAPB, LAPBETHER, LAPD, LCP, LDAP, LDP, LLC, LPD, M3UA, MAILSLOT, MALFORMED, MAPI, MIP, MOUNT, MP, MPLS, MSPROXY, NBDGM, NBIPX, NBNS, NBP, NBSS, NCP, NETBIOS, NETLOGON, NFS, NLM, NMPI, NNTP, NTP, NULL, OSPF, PIM, POP, PORTMAP, PPP, PPPOED, PPPOES, PPTP, Q2931, Q931, QUAKE, RADIUS, RIP, RIPNG, RLOGIN, RPC, RQUOTA, RSH, RSVP, RTCP, RTMP, RTP, RTSP, RX, SAP, SCTP, SDP, SHORT, SIP, SLL, SMB, SMTP, SMUX, SNA, SNMP, SOCKS, SPX, SRVLOC, SSCOP, STAT, STP, SUAL, SYSLOG, TACACS, TCP, TELNET, TEXT, TFTP, TIME, TNS, TPKT, TR, TRMAC, UDP, V120, VINES, VINES_FRP, VINES_SPP, VLAN, VRRP, VTP, WAP-WSP, WAP-WSP-WTP, WAP-WTLS, WCCP, WHO, WLAN, X.25, X11, XOT, YHOO, YPBIND, YPSERV, YPXFR, ZEBRA等。在Ethereal主菜單的Tools下有一個“Decode As”選項,可以很容易的將獲得的數(shù)據(jù)包轉(zhuǎn)換為相應(yīng)的協(xié)議
1.3 Ethereal操作指導(dǎo)
1.3.1 Ethereal操作界面
Ethereal軟件界面如圖1所示,在這個窗口上,整個界面環(huán)境分為三個窗口,最上面的窗口是抓包列表窗口,經(jīng)過Ethereal軟件抓包后的數(shù)據(jù)包都會列在這個窗口中,同時你可以根據(jù)抓包序列號,抓包時間���、源地址、目標(biāo)地址����、協(xié)議等進行包列表的排序,這樣你可以很容易的找到你所需要的信息包。
中間的窗口中顯示的是抓包列表上所選擇的包對應(yīng)的各層協(xié)議說明,其中,協(xié)議層次信息以樹型的結(jié)構(gòu)進行顯示����。
最下面的窗口是數(shù)據(jù)窗口,顯示的是上層窗口選中的信息包的具體數(shù)據(jù),同時,在中間樹型窗口中所選擇的某一協(xié)議數(shù)據(jù)域的內(nèi)容,在數(shù)據(jù)窗口中會被突出地顯示出來。
在整個界面的左下角,有一個“filter”按鈕,單擊這個按鈕會彈出過濾設(shè)置對話框����。在這個按鈕的右邊是一個小文本框,在這里可以填入進行過濾的字符串。同時這個過濾文本框也會顯示當(dāng)前進行過濾的內(nèi)容,你也可以通過下拉條選擇曾經(jīng)進行過濾的字符串進行抓包過濾��。在這個文本框右邊,是一個“reset”按鈕,單擊這個按鈕將會顯示當(dāng)前的過濾信息��。在整個界面的最右下方,是一個狀態(tài)欄,在這里將顯示的狀態(tài)例如,軟件是否正在進行抓包操作,如果沒有在進行抓包,那么它將顯示當(dāng)前讀取的文件名,如果你在樹型窗口中選擇了某個協(xié)議,那么這個狀態(tài)欄中將會顯示當(dāng)前所選擇的協(xié)議域。
1.3.2 Ethereal界面菜單
Ethereal的菜單如圖2所示:
圖2-1 Ethereal界面菜單
菜單中主要有以下幾個部分:
File:這個子菜單下的操作與Windows菜單下File下的操作類似,包括了文件的打開,保存�、打印以及系統(tǒng)的退出等等。不過這里的文件僅僅指的是抓包文件�。
Edit:這個子菜單下所包含的操作有:查找某一個特定的幀、跳到某個幀����、在一個或更多的幀上打上標(biāo)記、設(shè)置首選項��、設(shè)置過濾�、協(xié)議剖析允許/不允許等。在這個菜單下,Windows界面中的一些常用的操作,例如剪切��、復(fù)制��、粘貼等將不再使用�����。
Capture:在這個菜單下進行開始抓包和停止抓包的操作�����。
Display:此菜單下可以進行的操作有:修改顯示選項���、匹配所選擇的幀�����、給不同的幀進行上色��、對數(shù)據(jù)幀進行展開/折疊��、在分離的窗口中顯示數(shù)據(jù)包�����、配置用戶定義的解碼方式等����。
Tools:在工具菜單下所提供的操作有:載入插件���、跟蹤一個TCP流�、獲得所抓包的概要,進行協(xié)議等級統(tǒng)計等等���。
Help:通過help子菜單,可以獲得Ethereal軟件的About信息以及相應(yīng)的一些幫助�����。
對于各個子菜單具體的菜單項,這里不作仔細的說明,在下面的操作部分中將會對其中一些重要的功能作詳細的說明�����。
1.3.3 項關(guān)操作說明
1.3.3.1 抓包
步驟:
1. 點擊軟件界面上Capture->Start鍵,彈出如圖2-3所示的“Capture Opetion”抓包選項設(shè)置對話框
圖2-2 用Ethereal進行抓包
圖2-3 Capture Options 選項設(shè)置對話框
2. 在彈出的選項設(shè)置對話框中進行相應(yīng)的設(shè)置,界面中的按鈕,當(dāng)按下去的時候表示該功能處于有效的狀態(tài),凸起的時候則是無效的�。
“Interface”欄中指示的是抓包進行所在接口,你只能在一個接口上進行抓包,同時,你只能在Ethereal已經(jīng)發(fā)現(xiàn)的接口上進行抓包。它有一個下拉菜單,你可以在下拉列表中選擇你想要進行抓包的接口�。
在“Interface”下面是“Promiscuous”模式選擇按鈕,當(dāng)按鈕按下去的狀態(tài)時,表示此時抓包是進行在promiscuous(混雜)模式下,任何流經(jīng)這臺主機的數(shù)據(jù)包都將被捕獲,如果按鈕凸起,則只能捕獲從主機發(fā)送或者發(fā)向該主機的數(shù)據(jù)包。
“Filter”欄可以指定特定的規(guī)則進行抓包過濾,以獲得你想要的那些包��。同時你也可以單擊Ethereal主界面左下角的filter按鈕,在彈出的過濾對話框中設(shè)置過濾字符串�。詳細的操作和過濾字串說明,請參考2.3.3.4“過濾設(shè)置”一節(jié)。
“File”一欄中可以指定一個特定的文件,用以保存所抓的包����。要注意的是這里不對文件名和格式進行檢查,所以在進行保存文件指定的時候一定要小心,以免覆蓋其他有用的文件。
“Display Options”欄用于定義抓包過程中界面顯示的特性��。其中,“Update list of packets in a real time”是Ethereal主界面上是否實時地顯示抓包變化的選項,當(dāng)選擇了該項時,Ethereal主界面上將實時地更新抓包列表,若不顯示該項,所有的包列表將在抓包過程停止以后一起顯示���?!癆utomatic Strolling in live capture”選項允許用戶在抓包過程中能實時地察看新抓的數(shù)據(jù)包��。
“Name resolution”中有三個選項,其中“Enable MAC name resolution”用于選擇Ethereal是否要將MAC地址的前三個字節(jié)翻譯成IETF所規(guī)定的廠商前綴���?����!癊nable network name resolution”用于控制是否將IP地址解析為DNS域名�����?!癊nable transport name resolution”則用于控制是否將通信端口號轉(zhuǎn)換為協(xié)議名稱。
此外,界面上還有一個“Capture limits”的設(shè)置項,在這里可以對抓包的數(shù)量或過程進行控制����。
根據(jù)需要進行設(shè)置后,單擊<OK>鍵,進行抓包。系統(tǒng)顯示如下(圖2-4)抓包過程界面�����。
圖2-4 抓包過程界面
3. 在抓包過程界面上,有各種協(xié)議包的抓包數(shù)據(jù)統(tǒng)計,單擊<Stop>鍵停止抓包過程,所有的數(shù)據(jù)包將在Ethereal主界面中顯示�����。
1.3.3.2 抓包查看
經(jīng)過抓包后,所有的數(shù)據(jù)包就在Ethereal的主界面上列出,可以通過界面上的三個窗口查看選定的數(shù)據(jù)包的具體細節(jié)��。選擇其中的一個數(shù)據(jù)包,點擊右鍵,將會彈出圖2-5所示的對話框�����。對話框上列舉了可以對此數(shù)據(jù)包進行的操作,其中:
Follow TCP Stream:允許用戶跟蹤一個TCP連結(jié)中的所有的TCP數(shù)據(jù)流,點擊該項后,系統(tǒng)出現(xiàn)如圖2-6所示的界面,數(shù)據(jù)包將按照順序排列,同時以ASCII碼的形式顯示,你可以按照需要選擇不同的顯示格式,如EBCDIC���、HEX Dump����、C Arrays等�。通過這個功能,你可以詳細的查看一個TCP連結(jié)的詳細內(nèi)容。在主菜單的Tools子菜單下也有這個功能��。
Decode As:此選項允許用戶將數(shù)據(jù)包根據(jù)特定的協(xié)議進行解碼��。這個選項與主菜單Tools下的“Decode As”選項 一樣����。
Display Filter:此項的功能與Ethereal主界面左下角的“Filter”按鈕的作用一樣,單擊此項,將會彈出過濾設(shè)置的對話框,如圖2-7所示。關(guān)于過濾設(shè)置規(guī)則請參考2.3.3.4“過濾設(shè)置”一節(jié)��。
Match:該選項下有很多子項,其中,“Match selected”用于選擇所有的具有某一特性值的數(shù)據(jù)包,該數(shù)據(jù)值是在中間樹形窗口中所確定的某協(xié)議對應(yīng)的數(shù)值�。其他的選項則根據(jù)宇、或����、非的邏輯關(guān)系來過濾相應(yīng)的數(shù)據(jù)包��。
圖2-5 抓包的查看
圖2-6 Follow TCP Stream界面
圖2-7 過濾設(shè)置對話框
1.3.3.3 抓包文件的保存
要將所抓的包進行保存,你只需簡單的單擊主菜單下的 <File->Save as>,此時,屏幕出現(xiàn)如圖2-8所示的文件保存對話框���。在這個對話框中,你可以進行文件夾的新建、文件刪除/重命名等操作,但是要注意的是Ethereal在進行文件刪除/重命名操作時不對文件的內(nèi)容和格式做任何檢查,所以在進行文件操作時要格外小心,以免影響其他的一些重要的文件�。
Ethereal可以將所抓的所有數(shù)據(jù)包進行保存,也可以只對進行了標(biāo)記的數(shù)據(jù)包進行保存,這可以通過點擊界面中的“Save only packets currently being displayed”或者“Save only marked packets”按鈕來進行。
同時,Ethereal對所要保存的數(shù)據(jù)包提供了多種保存文件的格式,例如libpcap(tcpdump, Ethereal, etc.)����、modified libpcap (tcpdump)、RedHat Linux libpcap (tcpdump)��、Network Associates Sniffer (DOS based)��、Sun Snoop�、Microsoft Network Monitor 1.x、Network Associates Sniffer (Windows based) 1.1等��。格式可以從File Type欄進行選擇�。
圖2-8 抓包文件保存對話框
在選擇好了保存目錄、格式和方法后,只需在界面下方的文本框中輸入文件名,單擊<OK>鍵,就完成了文件保存的工作�。
注:根據(jù)所抓包的性質(zhì),一些文件格式也許會不可用���。Ethereal允許將一種文件格式轉(zhuǎn)變?yōu)榱硪环N格式,只需讀取某一個文件,在將數(shù)據(jù)包轉(zhuǎn)存為另一種格式即可��。
1.3.3.4 過濾設(shè)置
Ethereal提供了兩種過濾設(shè)置方式,一種是在抓包以前,通過此設(shè)置,整個抓包過程將只抓取用戶所需要的特定的數(shù)據(jù)包;另一種方式是在抓包以后查看抓包時進行��。兩者在使用上略有不同���。
1.3.3.4.1 在抓包前進行過濾設(shè)置
在抓包前進行過濾設(shè)置,是在圖2-3抓包選項設(shè)置對話框中進行的�����。只需在Filter欄中填入特定的設(shè)置語句���。Ethereal使用libpcap filter語言來進行抓包的過濾設(shè)置。過濾表達式由一系列簡單的表達式和連詞(and�����、or����、not)組成:
[not] primitive [and or [not] primitive ...]
下面舉例說明過濾表達式的用法:
1、 抓取一個特定的主機的telnet數(shù)據(jù)包的過濾設(shè)置
tcp port 23 and host 10.0.0.5
通過這個過濾表達式,可以抓取從主機10.0.0.5發(fā)出或發(fā)向該主機的所有的telnet數(shù)據(jù)包����。
2、 抓取除了來自/發(fā)往某主機的telnet數(shù)據(jù)包的過濾設(shè)置
tcp port 23 and not host 10.0.0.5
在過濾設(shè)置字符串中,primitive表達式通常由以下幾種形式組成:
1����、[src dst] host <host>
此表達式通過IP地址/主機名來過濾一個特定的主機,通過前綴src或dst選擇源/目的主機�����。如果不注明src或者dst,則將抓到流向/流出該主機的所有數(shù)據(jù)包����。
例如:抓取從主機172.18.66.66發(fā)出的數(shù)據(jù)包:
src host 172.18.66.66
2����、ether [src dst] host <ehost>
此表達式用于過濾以太網(wǎng)上流入/流出特定的主機的數(shù)據(jù)包,不同的是ehost是以太網(wǎng)地址,為主機的物理地址。
例如:抓取發(fā)往物理地址為00:04:76:42:24:80的數(shù)據(jù)包
ether dst host 00:04:76:42:24:80
3����、[src dst] net <net> [{mask <mask>} {len <len>}]
此表達式根據(jù)網(wǎng)絡(luò)地址來過濾來自/發(fā)往特定的網(wǎng)絡(luò)的數(shù)據(jù)包。
例如:抓取發(fā)往/發(fā)自網(wǎng)絡(luò)172.18.0.0的數(shù)據(jù)包
net 172.18.0.0 mask 255.255.0.0
4�、[tcp udp] [src dst] port <port>
此表達式可以設(shè)置過濾來自/發(fā)往特定的tcp/udp協(xié)議端口的數(shù)據(jù)包。
例如:抓取SNMP協(xié)議數(shù)據(jù)包
udp port 161
5��、less greater <length>
此表達式用于過濾數(shù)據(jù)包長度小于等于/大于等于特定長度的數(shù)據(jù)包����。
例如:抓取數(shù)據(jù)包長度小于400byte的數(shù)據(jù)包
less 400
6、ip ether proto <protocol>
此表達式用于過濾IP層/數(shù)據(jù)鏈路層(Ethernet層)上特定的協(xié)議數(shù)據(jù)包。
例如:抓取IP層上UDP數(shù)據(jù)報
ip proto UDP
7���、ether ip broadcast multicast
此表達式用于過濾IP/Ethernet的廣播包/多播包
8、<expr> relop <expr>
此表達式用于創(chuàng)建復(fù)雜的過濾表達式,用于選擇數(shù)據(jù)包中特定byte的數(shù)據(jù)或者某一段數(shù)據(jù)�����。
當(dāng)過濾設(shè)置后,整個抓包過程就只會獲取特定的數(shù)據(jù)包��。
1.3.3.4.2 在查看數(shù)據(jù)包時進行過濾設(shè)置
Ethereal使用兩種過濾語言,用在不同的場合,第一種是在進行抓包之前,第二種則是在查看數(shù)據(jù)包的時候進行,這種情況下,你可以提取所抓的數(shù)據(jù)包中你所感興趣的那一部分�。 你可以根據(jù)不同的分類方法進行過濾:1、協(xié)議;2����、根據(jù)某字段的有無;3、根據(jù)相應(yīng)字段的值;4��、字段值之間的比較���。
有三種方式可以在查看數(shù)據(jù)包時進行過濾設(shè)置�����。第一種方法是在主界面左下角的 filter 文本框中直接填入過濾的表達式,第二種是單擊主界面左下角的filter按鈕,第三種是在數(shù)據(jù)包列表窗口中右鍵選擇“Display filters”����。其中第二、第三種方法都將彈出過濾設(shè)置的對話框,如圖2-7所示�����。
第一種方法,你只需要在filter文本框中填入相應(yīng)的表達式即可,例如要查看數(shù)據(jù)包列表中所有的netbios協(xié)議的數(shù)據(jù)包,只需填入“netbios”再按回車即可,如圖2-9所示:
圖2-9 查看協(xié)議為netbios的數(shù)據(jù)包
又如,要查詢其中包含主機地址為172.18.66.66的數(shù)據(jù)包(無論是源Addr或者目的Addr),只需在文本框中填入:ip.addr==172.18.66.66即可��。下面具體介紹過濾表達式����。
Ethereal提供了一種簡單的過濾設(shè)置語言,但是通過這個語言,你可以構(gòu)造復(fù)雜的表達式,以選擇你所需要的特定的數(shù)據(jù)包。
1��、 字段值的比較
英文表達式 符號表達式 舉例
eq == ip.addr==172.18.66.66
ne != ip.addr!=172.18.66.66
gt > frame.pkt_len>10
lt < frame.pkt_len<128
ge >= frame.pkt_len ge 0x100
le <= frame.pkt_len<= 0x20
此外,各協(xié)議字段的數(shù)值是有相應(yīng)的類別的,下表說明了字段中使用的值的類別:
類型 舉例
無符號整型(8位��、16位���、24位�、32位) 你可以用十進制����、八進制或者十六進制表達,以下的表達式所表示的內(nèi)容是一樣的: ip.len le 1500 ip.len le 02734 ip.len le 0x436
有符號整型(8位、16位�����、24位、32位)
布爾表達式(Boolean) 只有當(dāng)表達式的值為true時,該布爾表達式字段才會在相應(yīng)的協(xié)議解碼表達式中顯示�。例如,協(xié)議解碼中顯示tcp.flags.syn,則表示該字段的值為true,同時,SYN字段顯示在TCP的字段頭中。因此,過濾表達式tcp.flags.syn選擇了那些標(biāo)志位存在,且TCP字段頭中包含SYN標(biāo)志的數(shù)據(jù)包�。類似的,如果要選擇源路由令牌環(huán)數(shù)據(jù)包,只需要輸入表達式:tr.sr
以太網(wǎng)地址(6字節(jié))
IPv4地址
IPv6地址
IPX網(wǎng)絡(luò)號
字符串(String/Text)
雙精度浮點數(shù)
2���、 聯(lián)合表達式
Ethereal允許通過邏輯符號將表達式進行連接,以組成更復(fù)雜的表達式�。使用方法見下表:
英文表達式 符號表達式 舉例
and && ip.addr==172.18.66.66 and tcp.flags.fin
or ip.addr==172.18.66.66 or ip.addr==172.18.65.178
not ! not llc |
|
