培訓(xùn)通用集合ethereal用戶手冊

1、Ethereal 用戶手冊編者：審核：中興通訊固網(wǎng)用服部修改文檔版本號擬制人/修改人審核人擬制/修改日期更改理由主要更改內(nèi)容（寫要點(diǎn)即可）無V1.002008-08-2908 年專題文檔光盤編寫初稿生成V1.012008-09-1108 年專題文檔光盤編寫修改格式目錄第 1 章 ETHEREAL 簡介11.1ETHEREAL1ETHEREAL 實(shí)際的運(yùn)用1ETHEREAL 的特征1ETHEREAL 不能實(shí)現(xiàn)的功能2第 2 章 ETHEREAL 基本功能使用32.1 截包.2截包參數(shù)的設(shè)定3截濾條件的設(shè)定4用 ETHEREAL 分析包5觀察截取的數(shù)據(jù)包5觀察數(shù)據(jù)包時(shí)過濾條件的設(shè)

2、定5顯示過濾表達(dá)式..4顯示過濾域（Display filter fields）6比較表達(dá)式6一個(gè)常見的錯(cuò)誤7組合表達(dá)式72.3.5 “Filter Expres”框82.3.6 時(shí)間顯示格式9第 3 章 ETHEREAL 基本統(tǒng)計(jì)功能13.1 簡介11“SUMMARY”窗口11協(xié)議層（PROTOCOL HIERARCHY）窗口123.4 端點(diǎn)統(tǒng)計(jì)（ENDPO）. 13會話統(tǒng)計(jì)（CONVERSATION）14輸入輸出圖形統(tǒng)計(jì)（IO GRAPHIS）14服務(wù)響應(yīng)時(shí)間（SERVICE RESPONSE TIME）15第 4 章包分析17多4.1 分析流（例 1）

3、174.2 分析 H323 協(xié)議（例 2）22第1章 Ethereal 簡介1.1EtherealEthereal 是一個(gè)網(wǎng)絡(luò)分析工具，用于截取網(wǎng)絡(luò)數(shù)據(jù)，并對截取的網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行詳細(xì)的分析。它是一個(gè)免費(fèi)的開源，可以從 Ethereal免費(fèi)：http:/download.html。1.2 Ethereal 實(shí)際的運(yùn)用Ethereal 主要有一下用途：1網(wǎng)絡(luò)管理員用于網(wǎng)絡(luò)故障2工程師用于監(jiān)測3協(xié)議開發(fā)用它進(jìn)行協(xié)議調(diào)試4也可以用它協(xié)議學(xué)習(xí)。5除了這些功能，Ethereal 它還可以統(tǒng)計(jì)網(wǎng)絡(luò)流量、抖動(dòng)、延時(shí)、丟包等。1.3 Ethereal 的特征Ethereal 主要有以下特征1可以運(yùn)行在UNIX、W

4、indows、Linux2可以截取網(wǎng)口的即時(shí)數(shù)據(jù)包3可以顯示數(shù)據(jù)包的詳細(xì)協(xié)議信息4能夠打開和保存數(shù)據(jù)包5也可以導(dǎo)入、導(dǎo)出其它截包程序的包文件6可以過濾數(shù)據(jù)包7可以查找數(shù)據(jù)包8可以調(diào)整數(shù)據(jù)包的顯示顏色9可以進(jìn)行各種統(tǒng)計(jì)1.4 Ethereal 不能實(shí)現(xiàn)的功能Ethereal 有下面兩個(gè)功能沒有提供1 Ethereal 不是一個(gè)檢測網(wǎng)絡(luò)系統(tǒng)的工具。當(dāng)網(wǎng)絡(luò)系統(tǒng)有異常時(shí)，它不能告警，也不能限制其它的網(wǎng)絡(luò)異常操作。但是，如果有異常發(fā)生，可以通過 Ethereal 分析出到底發(fā)生了什么。2 Ethereal 不能對網(wǎng)絡(luò)的數(shù)據(jù)進(jìn)行任何操作，它僅僅只是一個(gè)網(wǎng)絡(luò)檢測工具。它不能在網(wǎng)絡(luò)上發(fā)數(shù)據(jù)包。第2章 Ethe

5、real 基本功能使用摘要：在這節(jié)，將介紹怎樣通過 Ethereal 截包；怎樣通過 Ethereal 觀察包；在 Ethereal 怎樣過濾包；怎樣分析包。2.1 截包通過選擇“Capture”菜單中的“Start”子菜單或主工具條相對應(yīng)的截包。彈出“CaputureOptions”框，如圖2.1-1：圖 2.1-1 Ethereal 操作界面2.1.1 截包參數(shù)的設(shè)定1erface：這項(xiàng)用于指定截包的網(wǎng)卡。2Link-layer header type：指定鏈路層包的類型，一般使用默認(rèn)值。3Buffer size（n megabyte（s）：用于定義 Ethereal 用于截包的緩沖，當(dāng)緩

6、沖寫滿后，就將截的數(shù)據(jù)寫道磁盤上。如果遇到 ethereal 丟包現(xiàn)象，將該緩沖盡量增大。4Capture packets in promiscuous mode：截包時(shí)，Ethereal 將網(wǎng)口置于混雜模式。如果沒有配置這項(xiàng)，Ethereal 只能截取該 PC 發(fā)送和接收的包（而不是同一 LAN 上的所有包）。5Limit each packet to n bytes：定義 Ethereal 截取包的最大數(shù)據(jù)數(shù)，大于這個(gè)值的數(shù)據(jù)包將被丟掉。默認(rèn)為 65535。2.1.2 截包過濾條件的設(shè)定Ethereal 截包過濾條件，通過 and 和 or，將一系列的 primitive 表達(dá)式連接在一起

7、，有時(shí)可在primitive 表達(dá)式前用 not。not primitiveand|or not primitive例一：tcp port 23 and host 。這個(gè)例子表示只截取發(fā)給主機(jī) 的 telnet 數(shù)據(jù)包或主機(jī) 發(fā)出的 telnet 數(shù)據(jù)包。例二：tcp port 23 and not host 。這個(gè)例子表示截取所有的 telnet 數(shù)據(jù)包，除了主機(jī) 收發(fā)的 telnet 數(shù)據(jù)包。Primitive 表達(dá)式如下：1src|dst host 通過主機(jī) IP 地址/名稱過濾截取的數(shù)據(jù)包。也可以在前面加關(guān)鍵字src|dst來限制是目的或源地址。2ether src|dst host

8、同上，只是通過 MAC 地址來過濾。3gateway host 截取將該主機(jī)作為網(wǎng)關(guān)的包，即 MAC 地址是主機(jī)的地址，而包的源和目的 IP 都不是該主機(jī)的 IP。4src|dst net mask|len5tcp|udp src|dst port 通過 TCP/UDP 的端口過濾6less|greater 截取數(shù)據(jù)保小于、等于指定的大??；或大于、等于指定的大小。7ip|ether proto IP/Ethernet 層的指定協(xié)議。8ether|ip broadcast|multicast截取ether/ip 的廣播包。9 relop 允許建立一個(gè)更復(fù)雜的表達(dá)式，可以通過它來選取數(shù)據(jù)包的字節(jié)或

9、字節(jié)范圍來過濾。2.2 用 Ethereal 分析包2.2.1 觀察截取的數(shù)據(jù)包一旦截取數(shù)據(jù)包后，或打開以前截取的數(shù)據(jù)包文件，顯示如圖 2.2-1。顯示有三個(gè)視圖分區(qū)：“Packet List”、“Packet Details”、“Packet bytes”。1“Packet List”用于顯示所數(shù)據(jù)包，如果這是有顯示過濾條件，顯示的是滿足該條件的所有包。2“Packet Details”用于顯示在“Packet List”視圖中選定的數(shù)據(jù)包的詳細(xì)信息。3“Packet Bytes”以十六進(jìn)制方式顯示“Packet List”視圖中選定的數(shù)據(jù)包的信息。圖 2.2-1 Ethereal 抓包界面

10、介紹2.2.2 觀察數(shù)據(jù)包時(shí)過濾條件的設(shè)定Ethereal 有兩種過濾條件語言，一種時(shí)截濾，這面已經(jīng)介紹過；另一種過濾語言，用于顯示濾?？梢酝ㄟ^以下方式選擇需要得數(shù)據(jù)包：1協(xié)議（Protocol）2域（Field）是否存在3在域（Field）之間比較如圖 2.2-2 顯示得為 TCP 包，并且源端口為 2950。圖 2.2-2 Ethereal 抓包實(shí)例2.3 顯示過濾表達(dá)式Ethereal 提供了簡單但是很強(qiáng)大的過濾語言，通過它可以建立復(fù)雜的顯示過濾表達(dá)式。我們可以比較數(shù)據(jù)包的數(shù)據(jù)值，也可以將多個(gè)表達(dá)式一個(gè)更復(fù)雜的表達(dá)式，接下來將詳細(xì)介紹。2.3.1 顯示過濾域（Display filter

11、 fields）在“Packet details”視圖中的每一個(gè)域能夠用作一個(gè)過濾字符串（filter string），這樣，就只顯示存在該域的數(shù)據(jù)包。例如：過濾字符串：tcp，這就只顯示所有 tcp 協(xié)議的包。2.3.2 比較表達(dá)式可以創(chuàng)建一個(gè)比較值的顯示過濾條件，通過使用不同的比較操作符。它們顯示如下表2.3-1：表 2.3-1 Ethereal 比較操作符所有的域（Field）都是有類型，見表 2.3-2：表 2.3-2 顯示過濾域的類型類型舉例Unsignedeger(8-bit,16bit,24bit,32bit)無符號整型可以表示為十進(jìn)制、八進(jìn)制、十六進(jìn)制。下面的表達(dá)式是等同的。i

12、p.len le 1500ip.len le 02734 ip.len le 0 x436英語（English）類 C（C-like）描述和舉例（Description and Exle）Eq= =等于ip.addr= =1Ne!=不等于ip.addr!=1Gt大于frame.pkt_len10Lt小于frame.pkt_len=大于或等于frame.pkt_len ge 0 x100Le=小于或等于frame.pke_len=0 x202.3.3 一個(gè)常見的錯(cuò)誤我們經(jīng)常使用這樣的一個(gè)過濾條件：ip.addr=，它將只顯示包含 ip 地址 的所有包。我們理所當(dāng)然的認(rèn)為 ip.addr!= 的過

13、濾條件將不會顯示 ip 地址為 的所有包。其實(shí)不然。它說表達(dá)的意思為：“數(shù)據(jù)包有一個(gè) ip.addr 的域值不等于 ”（the packet contains a field namedip.addr with a value different from ）。如果 我們 想過濾所 有包 含 ip 地址為 的數(shù)據(jù)包 ， 我 們必須將表達(dá) 式寫為：!(ip.addr=)。2.3.4 組合表達(dá)式通過邏輯操作符，我們可以組合過濾條件表達(dá)式。邏輯操作符如表 2.3-3。表 2.3-3 Ethereal 邏輯操作符英語（Englishi）類 C(C-like)描述和舉例（Description and

14、example）and&Logical ANDIp.addr= = and tcp flags.finor|Logical ORIp.addr= = or ip.addr= =xorLogical XORTr.dest0:3= =0.6.29 xor tr.src0:3= =0.6.29 Tr(token ring MAC)not!Logical NOTNot llc(Logical-link controlt)Substring OperatorEthereal 允許我們選取一個(gè)子序列。下面例子中的eth00:00.83:00:20:20 eth.src0:3= =00:00:83上面的例子

15、用了n m 格式定義一個(gè)范圍，n 表示開始的位置，m 表示這個(gè)范圍的長度。eth.src1-2= =00:83上面的例子用了n-m 格式定義一個(gè)范圍，n 表示開始的位置，m 表示結(jié)束的位置。Signed integer(8-bit,16-bit,24-bit,32-bit)BooleanEthernet address(6 bytes)Eth.addr= =ff ff ff ff ff ffIpv4 addressIp.addr= =1Ipv6 addressIPX network numberString(text)Double-precision floating point number

16、2.3.5 “Filter Expres”框很熟練的使用 ethereal 的過濾系統(tǒng)，很容易就寫出一個(gè)過濾表達(dá)式。但如果是 Ethereal當(dāng)。這時(shí)可以通過“Filter Expres初學(xué)者或者對協(xié)議不是很熟悉，這就比較過濾條件。如下圖 2.3-1 所示：”框來寫圖 2.3-1 Ethereal 過濾圖“Filter Expres選擇列表?！笨颍簶湫危‵ield name）列表（協(xié)議排序）；關(guān)系運(yùn)算符（relation）1 Filed Name：從協(xié)議樹中選擇一個(gè)協(xié)議。每一個(gè)協(xié)議位于最上部，并帶有可設(shè)為可以看到一系列的可設(shè)為過濾條件的過濾條件的域。通過點(diǎn)擊協(xié)議名稱后的“+”，eth.src:

17、4= =00:00:83:00上面的例子用了:m 格式定義一個(gè)范圍，等價(jià)為0:m。 eth.src4:= =20:20上面的例子用了 m:格式定義一個(gè)范圍，表示從 eth序列位置m 到其結(jié)束的子序列。eth.src2= =83上面的例子用 n 的格式表示一個(gè)范圍。這個(gè)例子表示在n 位置的值。eth.src0:3,1-2,:4,4:,2=00:00:83:00:83:00:00:83:00:20:20:83Ethereal 允許各種獨(dú)立的子集組另外一個(gè)獨(dú)立的范圍集，如上例。域。2Relation： 選擇一個(gè)關(guān)系運(yùn)算符?！癷s present”是一元（unary）關(guān)系運(yùn)算符。如果被選的存在數(shù)據(jù)包中

18、，就是 true；其它的關(guān)系運(yùn)算符是二元的（binary），還需要一個(gè)數(shù)據(jù)來結(jié)束這個(gè)表達(dá)式（如，需要一個(gè)值（Value）來配合）。3Value匹配?？梢栽凇癡alue”文本框中輸入合適的值。注意數(shù)據(jù)類型應(yīng)該與field name）4Range：相當(dāng)于SubString 運(yùn)算符。2.3.6 時(shí)間顯示格式當(dāng)截包時(shí)，ethereal 給每一個(gè)數(shù)據(jù)包一個(gè)時(shí)間戳（timested）。當(dāng)顯示數(shù)據(jù)包時(shí)，我們可以設(shè)定時(shí)間戳的顯示形式。如圖 2.3-2 所示。1Time of Day2Date and Time of Day3Seconds Since Beginning of Capture4Seconds

19、Since Previous Packet圖 2.3-2時(shí)間格式顯示第3章 Ethereal 基本統(tǒng)計(jì)功能3.1 簡介Ethereal 提供了很多的網(wǎng)絡(luò)統(tǒng)計(jì)?？梢越y(tǒng)計(jì)綜合信息，以及特定的協(xié)議。1綜合信息統(tǒng)計(jì)（1）截包文件的概要統(tǒng)計(jì)（Summary）（2）協(xié)議層次統(tǒng)計(jì)（Protocol Hierarchy）（3）端點(diǎn)統(tǒng)計(jì)（Endpo）（4）會話統(tǒng)計(jì)（Conversations）（5）輸入輸出圖形統(tǒng)計(jì)（IO Graphs）2特定協(xié)議統(tǒng)計(jì)（1）服務(wù)響應(yīng)時(shí)間統(tǒng)計(jì)（2）其它協(xié)議的特定統(tǒng)計(jì)3.2 “Summary”窗口它是對截包文件的綜合統(tǒng)計(jì)。如下圖 3.2-1 所示：圖 3.2-1 summary 統(tǒng)計(jì)

20、3.3 協(xié)議層（Protocol Hierarchy）窗口它是所有協(xié)議的樹形列表。你可以通過點(diǎn)擊 plus/minus 按鈕，展開或折疊。缺省情況下是全部展開的。如所示：每一列包含一種協(xié)議的統(tǒng)計(jì)值。1Protocol ：協(xié)議名稱2%Packets：對應(yīng)協(xié)議的數(shù)據(jù)包的占所有數(shù)據(jù)包的百分比。3Pakcets：對應(yīng)協(xié)議的所有包數(shù)4Byte：對應(yīng)協(xié)議的所有字節(jié)數(shù)5Mbit/s：在截包時(shí)間內(nèi)，對應(yīng)協(xié)議的帶寬6End Packets：對應(yīng)協(xié)議的的所有包（該協(xié)議應(yīng)該是ethereal時(shí)，位于協(xié)議樹最低層，即該協(xié)議下不再包含Ethereal 能的協(xié)議）7End Bytes：對應(yīng)協(xié)議的所有字節(jié)數(shù)（與End Pa

21、kcets 對應(yīng)）8End Mbit/s：在截包時(shí)間內(nèi)，對應(yīng)協(xié)議的帶寬（與 End Packets對應(yīng)）圖 3.3-1 協(xié)議統(tǒng)計(jì)3.4 端點(diǎn)統(tǒng)計(jì)（EndPo）端點(diǎn)（EndPo）網(wǎng)絡(luò)端點(diǎn)是指在特定的協(xié)議下，是一個(gè)邏輯、獨(dú)立的協(xié)議流端點(diǎn)（A networkendpois the logical endpoof separate protocol traffic of a specific protocol layer）。Ethereal 將會統(tǒng)計(jì)一下網(wǎng)絡(luò)端點(diǎn)。如圖 3.4-1 所示：圖 3.4-1 統(tǒng)計(jì)網(wǎng)絡(luò)端點(diǎn)1 Ethernet 通過 Ethernet 的 MAC 地址區(qū)分2Fibre Chan

22、nel3I 通過I MAC 地址區(qū)分4Ipv4 通過 IP 地址區(qū)分5IPX6TCP 通過 IP 地址和 TCP 端口區(qū)分7Token Ring 通過 Token Ring MAC 地址 qufen8UDP 通過 UDP 和其端口區(qū)分3.5 會話統(tǒng)計(jì)（Conversation）網(wǎng)絡(luò)會話（A network conversation）：指定的兩個(gè)端點(diǎn)（Endpo就是在兩個(gè)特定 IP 地址之間的包流量（traffic）。如圖 3.5-1：s）之間的流量。如 IP 會話：圖 3.5-1 會話統(tǒng)計(jì)3.6 輸入輸出圖形統(tǒng)計(jì)（IO graphis）可以實(shí)時(shí)圖形統(tǒng)計(jì)。如圖 3.6-1。可以配置如下參數(shù)：1

23、圖形（1） Graph 15：可以允許 15 個(gè)曲線（只有曲線 1 是默認(rèn)允許的）（2）Color：曲線的顏色（不能改變）（3）Filter：顯示數(shù)據(jù)包的條件（只有符合條件的數(shù)據(jù)包才在曲線上顯示）（4）Style：曲線的類型（Line/Impulse/Fbar）2X Axis（1）Tickerval 在X 軸上的刻度（10/1/0.1/0.01/0.001 秒）（2）Pixels per tick 每刻度的象素（10/5/2/1）3Y Axis（1）Unit 在 y 軸上的（每包：Packets/Tick,每字節(jié)：Bytes/Tick,高級）（2）Scale y 軸的刻度（10，20，100，

24、200，500，）圖 3.6-1 輸出圖形分析3.7 服務(wù)響應(yīng)時(shí)間（Service Response Time）服務(wù)響應(yīng)時(shí)間是指在一個(gè)請求（request）和其對應(yīng)的響應(yīng)之間的時(shí)間。1DCC2Fibre Channel3ITU-H.225 RAS4LDAP56ONC-RPC7SMB第4章 多包分析4.1 分析流（例 1）Ethereal 可以對流相關(guān)參數(shù)進(jìn)行分析和統(tǒng)計(jì)（丟包，抖動(dòng)，延時(shí)，帶寬等）。Ethereal 對媒體流分析時(shí)，只能分析 RTP 包。所以必須將 UDP 的為 Ethereal 可分析的 RTP 包。流1用 Ethereal（Ver0.10.10）截取 RTP4.1-1。流如圖

25、圖 4.1-1 抓包解圖2Ethereal 對流分析時(shí)，只能分析 RTP 包。所以必須將 UDP 的流為 Ethereal可分析的 RTP 包。（1）選中一個(gè)流 UDP 包，并點(diǎn)擊鼠標(biāo)右鍵，如圖 4.1-2。圖 4.1-2 轉(zhuǎn)換媒體包操作 1（2）選中彈出菜單的“Decode As”子菜單，彈出對話框如圖 4.1-3。在該對話框右側(cè)列表框中選中“RTP”項(xiàng)，點(diǎn)擊“OK”，這時(shí) Ethereal 將該系列的包轉(zhuǎn)換為 RTP 包，結(jié)果如圖4.1-4。圖 4.1-3 轉(zhuǎn)換媒體包操作 2圖 4.1-4 轉(zhuǎn)換媒體包操作 3（3）對于其它還沒有轉(zhuǎn)換為 RTP 媒體流的UDP 包重復(fù)（1）、（2），直到所有

26、媒體流的 UDP 包轉(zhuǎn)換為 Ethereal 可分析的 RTP 包。3分析 RTP 媒體包（1）分析所有的媒體流。在圖4.1-5 中，點(diǎn)擊子菜單“Show All Streams”，彈出對話框如圖4.1-6。圖 4.1-5 分析流媒體操作 1圖 4.1-6 分析流媒體操作 2（2）圖 4.1-6 就是對所有 RTP 媒體包的統(tǒng)計(jì)。其中包括每一路媒體流的源地址，源端口，目的地址，目的端口，以及同步源 SSRC（Synchronization source），媒體類型 Payload，媒體流的包數(shù) Packets，丟包數(shù)和丟包率 Lost，最大延時(shí) Max Delta（ms），最大抖動(dòng) Max Jitter（ms）等。（3）針對具體的一路媒體流所有媒體包的分析。1）選中圖 4.1-6 中的一路媒體流，然后點(diǎn)擊“Analyze”按鈕后，如下圖4.1-7 所示。圖 4.1-7 分析流媒體操作 32）圖 4.1-7 中的 Packet 表示在這次截包中的第幾個(gè)包；Sequence 是 RTP 包的序號，在不丟包的情況下，這個(gè)序號應(yīng)該連續(xù)；Delta 表示延時(shí)；Jitter 表示抖動(dòng)；BW 表示當(dāng)前媒體流的帶寬；Marker 不明；Status 表示Sequence 是否連續(xù)和 Timestamp 是否正確。3）對參數(shù)統(tǒng)計(jì)