Ethereal(抓包工具) v2021.09.04 最新版
- 系统大小:12.5 MB
- 系统语言:简体中文
- 更新时间:11-22
- 授权方式:免费软件
- 推荐星级:
Ethereal是一个GUI网络协议分析仪,它可以让你从交互实时的网络浏览分组数据或从以前保存的数据中捕获文件,该软件可以自动分辨抓包的文件类型,能够读取任何抓包格式的文件格式,将里面的数据进行进行实时分析,帮助用户抓取需要的数据类型;Ethereal的有一些功能使其具有唯一性,它可以在一个TCP会话组装的所有数据包,并显示您在谈话的ASCII或EBCDIC,或十六进制的数据,抓包功能非常强大,需要的朋友赶快下载试试吧!
Ethereal是一个GUI网络协议分析仪,它可以让你从交互实时的网络浏览分组数据或从以前保存的数据中捕获文件,该软件可以自动分辨抓包的文件类型,能够读取任何抓包格式的文件格式,将里面的数据进行进行实时分析,帮助用户抓取需要的数据类型;Ethereal的有一些功能使其具有唯一性,它可以在一个TCP会话组装的所有数据包,并显示您在谈话的ASCII或EBCDIC,或十六进制的数据,抓包功能非常强大,需要的朋友赶快下载试试吧!
在实时时间内,从网络连接处捕获数据,或者从被捕获文件处读取数据;
Ethereal 可以读取从 tcpdump(libpcap)、网络通用嗅探器(被压缩和未被压缩)、SnifferTM 专业版、NetXrayTM、Sun snoop 和 atmsnoop、Shomiti/Finisar 测试员、AIX 的 iptrace、Microsoft 的网络监控器、Novell 的 LANalyzer、RADCOM 的 WAN/LAN 分析器、 ISDN4BSD 项目的 HP-UX nettl 和 i4btrace、Cisco 安全 IDS iplog 和 pppd 日志( pppdump 格式)、WildPacket 的 EtherPeek/TokenPeek/AiroPeek 或者可视网络的可视 UpTime 处捕获的文件。此外 Ethereal 也能从 Lucent/Ascend WAN 路由器和 Toshiba ISDN 路由器中读取跟踪报告,还能从 VMS 的 TCPIP 读取输出文本和 DBS Etherwatch。
从以太网、FDDI、PPP、令牌环、IEEE 802.11、ATM 上的 IP 和回路接口(至少是某些系统,不是所有系统都支持这些类型)上读取实时数据。
通过 GUI 或 TTY 模式 tethereal 程序,可以访问被捕获的网络数据。
通过 editcap 程序的命令行交换机,有计划地编辑或修改被捕获文件。
当前602协议可被分割。
输出文件可以被保存或打印为纯文本或 PostScript格式。
通过显示过滤器精确显示数据。
显示过滤器也可以选择性地用于高亮区和颜色包摘要信息。
所有或部分被捕获的网络跟踪报告都会保存到磁盘中。
抓包过滤器用来抓取感兴趣的包,用在抓包过程中。 抓包过滤器使用的是libcap 过滤器语言,在tcpdump 的手册中有详细的解释,基本结构是: [not] primitive [and|or [not] primitive ...]
个人观点,如果你想抓取某些特定的数据包时,可以有以下两种方法,你可以任选一种, 个人比较偏好第二种方式:
1、在抓包的时候,就先定义好抓包过滤器,这样结果就是只抓到你设定好的那些类型的数 据包;
2、先不管三七二十一,把本机收到或者发出的包一股脑的抓下来,然后使用下节介绍的显 示过滤器,只让Ethereal 显示那些你想要的那些类型的数据包;
etheral的显示过滤器(重点内容)
在抓包完成以后,显示过滤器可以用来找到你感兴趣的包,可以根据1)协议2)是否存在某个域3)域值4)域值之间的比较来查找你感兴趣的包。
举个例子,如果你只想查看使用tcp 协议的包,在ethereal 窗口的左下角的Filter 中输入tcp, 然后回车,Ethereal 就会只显示tcp 协议的包。
值比较表达式可以使用下面的操作符来构造显示过滤器自然语言类c 表示举例eq == ip.addr==10.1.10.20 ne != ip.addr!=10.1.10.20 gt > frame.pkt_len>10 lt < frame.pkt_len<10 ge >= frame.pkt_len>=10 le <= frame.pkt_len<=10
表达式组合可以使用下面的逻辑操作符将表达式组合起来自然语言类c 表示举例and && 逻辑与,比如ip.addr=10.1.10.20&&tcp.flag.fin or || 逻辑或,比如ip.addr=10.1.10.20||ip.addr=10.1.10.21 xor ^^ 异或,如tr.dst[0:3] == 0.6.29 xor tr.src[0:3] == not ! 逻辑非,如 !llc