Ethereal是一个GUI网络协议分析仪,它可以让你从交互实时的网络浏览分组数据或从以前保存的数据中捕获文件,该软件可以自动分辨抓包的文件类型,能够读取任何抓包格式的文件格式,将里面的数据进行进行实时分析,帮助用户抓取需要的数据类型;Ethereal的有一些功能使其具有唯一性,它可以在一个TCP会话组装的所有数据包,并显示您在谈话的ASCII或EBCDIC,或十六进制的数据,抓包功能非常强大,需要的朋友赶快下载试试吧!
软件功能
在实时时间内,从网络连接处捕获数据,或者从被捕获文件处读取数据;
Ethereal 可以读取从 tcpdump(libpcap)、网络通用嗅探器(被压缩和未被压缩)、SnifferTM 专业版、NetXrayTM、Sun snoop 和 atmsnoop、Shomiti/Finisar 测试员、AIX 的 iptrace、Microsoft 的网络监控器、Novell 的 LANalyzer、RADCOM 的 WAN/LAN 分析器、 ISDN4BSD 项目的 HP-UX nettl 和 i4btrace、Cisco 安全 IDS iplog 和 pppd 日志( pppdump 格式)、WildPacket 的 EtherPeek/TokenPeek/AiroPeek 或者可视网络的可视 UpTime 处捕获的文件。此外 Ethereal 也能从 Lucent/Ascend WAN 路由器和 Toshiba ISDN 路由器中读取跟踪报告,还能从 VMS 的 TCPIP 读取输出文本和 DBS Etherwatch。
从以太网、FDDI、PPP、令牌环、IEEE 802.11、ATM 上的 IP 和回路接口(至少是某些系统,不是所有系统都支持这些类型)上读取实时数据。
通过 GUI 或 TTY 模式 tethereal 程序,可以访问被捕获的网络数据。
通过 editcap 程序的命令行交换机,有计划地编辑或修改被捕获文件。
当前602协议可被分割。
输出文件可以被保存或打印为纯文本或 PostScript格式。
通过显示过滤器精确显示数据。
显示过滤器也可以选择性地用于高亮区和颜色包摘要信息。
所有或部分被捕获的网络跟踪报告都会保存到磁盘中。
软件特色
1.确定Wireshark的位置
如果没有一个正确的位置,启动Wireshark后会花费很长的时间捕获一些与自己无关的数据。
2.选择捕获接口
一般都是选择连接到Internet网络的接口,这样才可以捕获到与网络相关的数据。否则,捕获到的其它数据对自己也没有任何帮助。
3.使用捕获过滤器
通过设置捕获过滤器,可以避免产生过大的捕获文件。这样用户在分析数据时,也不会受其它数据干扰。而且,还可以为用户节约大量的时间。
4.使用显示过滤器
通常使用捕获过滤器过滤后的数据,往往还是很复杂。为了使过滤的数据包再更细致,此时使用显示过滤器进行过滤。
5.使用着色规则
通常使用显示过滤器过滤后的数据,都是有用的数据包。如果想更加突出的显示某个会话,可以使用着色规则高亮显示。
6.构建图表
如果用户想要更明显的看出一个网络中数据的变化情况,使用图表的形式可以很方便的展现数据分布情况。
7.重组数据
Ethereal 的重组功能,可以重组一个会话中不同数据包的信息,或者是一个重组一个完整的图片或文件。由于传输的文件往往较大,所以信息分布在多个数据包中。为了能够查看到整个图片或文件,这时候就需要使用重组数据的方法来实现。
主要特性
菜单项
文件:打开
文件:打开最近
文件:关闭
打开或关闭捕获文件。该文件:打开对话框,允许指定的过滤器; 当读取捕获文件中,过滤器被应用到从文件中读取的所有数据包,并且不符合过滤条件的数据包被丢弃。该文件:打开最近的是一个子菜单,显示先前打开的文件列表。
文件:合并
合并的另一个捕获文件到当前加载之一。该文件:合并 对话框允许合并``添加前缀'',``按时间顺序''或``追加',相对于已经加载之一。
文件:保存
文件:另存为
保存当前捕捉,或目前的数据包从捕获显示,到文件中。复选框让您选择是否保存所有数据包,或者只是那些已经通过了当前的显示过滤器和/或那些正在显着,和选项菜单,您可以从文件格式列表中进行选择(其中在特定的采集,或当前从捕获显示的数据包,可以保存),其中保存它的文件格式。
文件:文件集:列表文件
显示一个对话框,列出文件组匹配当前加载的文件中的所有文件。一个文件集是使用``多个文件''/``ringbuffer'模式下,文件名模式,如识别从捕捉生成的文件的化合物:Filename_00001_20050604101530.pcap。
文件:文件集:下一个文件
文件:文件集:以前文件
如果当前载入文件是文件集的一部分(见上文),打开该组的下一个/前一个文件。
文件:出口
出口捕获的数据到外部的格式。注:该数据不能导入回空灵,所以一定要保持捕获文件。
文件:打印
从目前的捕获打印分组数据。可以选择要打印的数据包的范围(其被打印的数据包),并且每个数据包的输出格式(每个分组的打印方式)。输出格式将类似于显示的值,所以一个摘要线,分组详细视图中,和/或可以打印分组的十六进制转储。
打印选项可以用设置编辑:首选项菜单项或对话框弹出这个菜单项。
文件:退出
退出应用程序。
编辑:查找包
搜索前进或后退,从当前选择的包(或最近选择的数据包,如果没有选择包)。搜索条件可以是一个显示过滤器表达式,十六进制数字字符串或文本字符串。
当文本字符串搜索,可以搜索数据包,也可以搜索在信息栏中的文本包列表窗格或数据包详细信息窗格中。
十六进制数字可以用冒号,句号或破折号分开。文本字符串搜索可以是ASCII或Unicode(或两者),并且可以是不区分大小写。
编辑:查找下一个
编辑:查找上一个
搜索前进/后退的过滤器从以前的搜索匹配,从当前选择的包一包(或最近选择的数据包,如果没有选择包)。
编辑:时间参考:设置时间参考(切换)
设置(或取消,如果当前设置)所选择的数据包作为时间基准包。当分组被设置为一个时间参考分组,在分组列表窗格时间戳将与字符串``* REF *''来代替。在以后的数据包的相对时间时间戳将被相对于这时间参考分组的时间戳,而不是在捕捉所述第一分组来计算。
已被选定为时间参照数据包的数据包将始终显示在数据包列表窗格。显示过滤器不会影响或隐藏这些数据包。
如果对显示的列``Culmulative字节''这个计数器将在每次参考包复位。
编辑:时间参考:查找下一个
编辑:时间参考:查找上一页
搜索向前/向后一时间参考包。
编辑:马克包(切换)
标记(或取消标记如果当前标记),选择数据包。领域``frame.marked'被设定为被标记的数据包,以使,例如,在显示过滤器可用于仅显示标记的数据包,并使得编辑:查找分组可用于对话框查找一个或下一个标记数据包。
编辑:马克的所有数据包
编辑:取消标记的所有数据包
标记/取消当前显示的所有数据包。
编辑:首选项
将图形用户界面,捕获,打印和协议选项(见首选项下面的对话框)。
查看:主工具栏
查看:筛选工具栏
查看:状态栏
显示或隐藏主窗口控件。
查看:包列表
查看:包详细信息
查看:包字节
显示或隐藏主窗口窗格。
观点:时间显示格式
设置在分组列表窗口中显示的分组时间戳的格式。
查看:名称解析:解析名称
尝试为当前入围项目解析名称。
查看:名称解析:启用层...
启用或禁用地址的转换在显示名称。
查看:着色包列表
启用或禁用着色规则。禁止将提高性能。
查看:自动滚动在Live捕获
启用或禁用包列表的自动滚动,同时实时捕捉正在进行中。
查看:放大
查看:缩小
放大/缩小主窗口的数据(通过改变字体大小)。
查看:正常大小
复位变焦的变焦倍率/缩小恢复到正常的字体大小。
查看:调整所有的列
调整所有的列到最适合当前分组显示。
查看:展开子树
扩展当前选定的项目,它在数据包详细信息子树。
查看:全部展开
查看:全部折叠
展开/折叠的数据包详细信息所有分支。
安装方法
1、下载解压文件,找到ethereal-setup-0.99.0.exe双击安装
2、阅读协议,点击I agree同意
3、选择安装组件,默认即可,点击next进入安装
4、创建桌面快捷方式,默认即可
5、选择安装位置C:Program Files (x86)Ethereal,用户可以根据需要自行设置。建议默认安装
6、选择安装模式,点击install安装
7、正在安装,请稍后
8、安装完成
使用说明
Ethereal是一个GUI网络协议分析器。
它允许您从实时网络或从以前保存的捕获文件交互式浏览数据包数据。
Ethereal的本地捕获文件格式是libpcap格式,这也是tcpdump和各种其他工具使用的格式。所以Ethereal可以从以下位置读取捕获文件:
-libpcap / WinPcap,tcpdump和各种其他工具使用tcpdump的捕获格式
-snoop和atmsnoop
-Shomiti / Finisar测量师捕获
-Novell LANalyzer捕获
- 微软网络监视器捕获
-AIX的iptrace捕获
-Cinco Networks NetXRay捕获
- 网络关联基于Windows的Sniffer捕获
-Network General / Network Associates基于DOS的Sniffer(压缩或未压缩)捕获
-AG Group / WildPeets EtherPeek / TokenPeek / AiroPeek / EtherHelp / PacketGrabber captures
-RADCOM的WAN / LAN分析仪捕获
-Network Instruments Observer版本9捕获
-Lucent / Ascend路由器的调试输出
- HP-UX的nettl的文件
-Toshiba的ISDN路由器转储输出
- 来自ISDN4BSD项目的i4btrace的输出
跟踪来自EyeSDN USB S0。
- 来自Cisco Secure入侵检测系统的IPLog格式的输出
-pppd日志(pppdump格式)
- VMS的TCPIPtrace / TCPtrace / UCX $ TRACE实用程序的输出
- DBS Etherwatch VMS实用程序的文本输出
- 视觉网络的可视上传时间流量捕获
- CoSine L2调试的输出
- Accellent的5Views LAN代理的输出
--Endace测量系统的ERF格式捕获
-Linux Bluez蓝牙堆栈hcidump -w跟踪
没有必要告诉Ethereal你正在阅读什么类型的文件;它将自己确定文件类型。 Ethereal也能够读取任何这些文件格式,如果他们使用gzip压缩。 Ethereal直接从文件中识别这一点;为此目的不需要'.gz'扩展名。
∨ 展开