常用操作方法和工具介绍ethrealVIP免费

第1 章 常用操作方法和工具介绍 1 .1 镜像抓包工具 现场人员进行故障处理，有时需要抓数据包进行分析。本节介绍终端的抓包方法，用于指导现场工程师进行操作。 抓包工具很多，有 Ethreal， WireShark， Sniffer 等。 其中Ethreal 和 WireShark 较为常见。由于Wireshark和 Ethreal 工具为同一产品的不同版本，并且Ethreal 使用比较广泛版本比较新。本节主要介绍Ethreal的使用方法。 1 .1 .1 简介 在这节，将介绍怎样通过Ethereal 截包；怎样通过Ethereal 观察包；在Ethereal 怎样过滤包；怎样分析媒体包；还有其它功能。 1 .1 .2 截包 我们通过选择“ Capture”菜单中的“ Start”子菜单或主工具条相对应的项来截包。弹出 “ Caputure Options”对话框，如图 1.1-1 图 1 .1 -1 抓包开始选项 1 .1 .2 .1 截包参数的设定 Interface：这项用于指定截包的网卡。 Link-layer header type：指定链路层包的类型，一般使用默认值。 Buffer size（ n megabyte（ s））：用于定义Ethereal 用于截包的缓冲，当缓冲写满后，就将截的数据写道磁盘上。如果遇到ethereal 丢包现象，将该缓冲尽量增大。 Capture packets in promiscuous mode：截包时，Ethereal 将网口置于混杂模式。如果没有配置这项，Ethereal 只能截取该 PC 发送和接收的包（而不是同一 LAN 上的所有包）。 Limit each packet to n bytes：定义 Ethereal 截取包的最大数据数，大于这个值的数据包将被丢掉。默认为 65535。 1.1.2.2 截包过滤条件的设定 Ethereal 截包过滤条件，通过 and 和or，将一系列的primitive 表达式连接在一起，有时可在 primitive表达式前用 not。 [not ]primitive [and|or [not] primitive…] 例一：tcp port 23 and host 10.0.0.5。 这个例子表示只截取发给主机10.0.0.5 的 telnet 数据包或主机 10.0.0.5 发出的 telnet 数据包。 例二：tcp port 23 and not host 10.0.0.5 。 这个例子表示截取所有的 telnet 数据包，除了主机 10.0.0.5 收发的 telnet 数据包。 Primitive 表达式如下：  [src|dst] host 通过主机 IP 地址/名称过滤截取的数据包。也可以在前面加关键字[src|dst]来限制是目的或源地址。  ether [src|dst] host 同上，只是通过 MAC 地址来过滤。  gateway host 截取将该主机作...