第1 章 常用操作方法和工具介绍 1 .1 镜像抓包工具 现场人员进行故障处理,有时需要抓数据包进行分析。本节介绍终端的抓包方法,用于指导现场工程师进行操作。 抓包工具很多,有 Ethreal, WireShark, Sniffer 等。 其中Ethreal 和 WireShark 较为常见。由于Wireshark和 Ethreal 工具为同一产品的不同版本,并且Ethreal 使用比较广泛版本比较新。本节主要介绍Ethreal的使用方法。 1 .1 .1 简介 在这节,将介绍怎样通过Ethereal 截包;怎样通过Ethereal 观察包;在Ethereal 怎样过滤包;怎样分析媒体包;还有其它功能。 1 .1 .2 截包 我们通过选择“ Capture”菜单中的“ Start”子菜单或主工具条相对应的项来截包。弹出 “ Caputure Options”对话框,如图 1.1-1 图 1 .1 -1 抓包开始选项 1 .1 .2 .1 截包参数的设定 Interface:这项用于指定截包的网卡。 Link-layer header type:指定链路层包的类型,一般使用默认值。 Buffer size( n megabyte( s)):用于定义Ethereal 用于截包的缓冲,当缓冲写满后,就将截的数据写道磁盘上。如果遇到ethereal 丢包现象,将该缓冲尽量增大。 Capture packets in promiscuous mode:截包时,Ethereal 将网口置于混杂模式。如果没有配置这项,Ethereal 只能截取该 PC 发送和接收的包(而不是同一 LAN 上的所有包)。 Limit each packet to n bytes:定义 Ethereal 截取包的最大数据数,大于这个值的数据包将被丢掉。默认为 65535。 1.1.2.2 截包过滤条件的设定 Ethereal 截包过滤条件,通过 and 和or,将一系列的primitive 表达式连接在一起,有时可在 primitive表达式前用 not。 [not ]primitive [and|or [not] primitive…] 例一:tcp port 23 and host 10.0.0.5。 这个例子表示只截取发给主机10.0.0.5 的 telnet 数据包或主机 10.0.0.5 发出的 telnet 数据包。 例二:tcp port 23 and not host 10.0.0.5 。 这个例子表示截取所有的 telnet 数据包,除了主机 10.0.0.5 收发的 telnet 数据包。 Primitive 表达式如下: [src|dst] host 通过主机 IP 地址/名称过滤截取的数据包。也可以在前面加关键字[src|dst]来限制是目的或源地址。 ether [src|dst] host 同上,只是通过 MAC 地址来过滤。 gateway host 截取将该主机作...
