ethereal


Ethereal (Ethereal:A Network Packet Sniffing Tool)是当前较为流行的一种计算机网络调试和数据包嗅探软件。Ethereal 基本类似于tcpdump,但Ethereal 还具有设计完美的 GUI 和众多分类信息及过滤选项。用户通过 Ethereal,同时将网卡插入混合模式,可以查看到网络中发送的所有通信流量。 Ethereal 应用于故障修复、分析、软件和协议开发以及教育领域。它具有用户对协议分析器所期望的所有标准特征,并具有其它同类产品所不具备的有关特征。



Ethereal 可以读取从 tcpdump(libpcap)、网络通用嗅探器(被压缩和未被压缩)、SnifferTM 专业版、NetXrayTM、Sun snoop 和 atmsnoop、Shomiti/Finisar 测试员、AIX 的 iptrace、Microsoft 的网络监控器、Novell 的 LANalyzer、RADCOM 的 WAN/LAN 分析器、 ISDN4BSD 项目的 HP-UX nettl 和 i4btrace、Cisco 安全 IDS iplog 和 pppd 日志( pppdump 格式)、WildPacket 的 EtherPeek/TokenPeek/AiroPeek 或者可视网络的可视 UpTime 处捕获的文件。此外 Ethereal 也能从 Lucent/Ascend WAN 路由器和 Toshiba ISDN 路由器中读取跟踪报告,还能从 VMS 的 TCPIP 读取输出文本和 DBS Etherwatch。
从以太网、FDDI、PPP、令牌环、IEEE 802.11、ATM 上的 IP 和回路接口(至少是某些系统,不是所有系统都支持这些类型)上读取实时数据。
通过 GUI 或 TTY 模式 tethereal 程序,可以访问被捕获的网络数据。
通过 editcap 程序的命令行交换机,有计划地编辑或修改被捕获文件。
当前602协议可被分割。
输出文件可以被保存或打印为纯文本或 PostScript格式。
通过显示过滤器精确显示数据。
显示过滤器也可以选择性地用于高亮区和颜色包摘要信息。
所有或部分被捕获的网络跟踪报告都会保存到磁盘中。
捕获过滤器(Filtering while capturing)
ethereal使用libpcap filter language 过滤语言,在tcpdump的man page中有解释,但是比较难理解
一个捕获过滤器 规则类似于 下面的表达式
[not] primitive [and|or [not] primitive …
primitive 原始的, 远古的, 粗糙的, 简单的
由表示式 和 and/or/not 组成
过滤器名称 Filter name
过滤法则 Filter string
捕获到IP为10.0.0.5的主机的telnet数据
tcp port 23 and host 10.0.0.5
只捕获DNS数据
port 53
只捕获IP为 172.18.5.4 的主机的包
host 172.18.5.4
1.捕获 MAC地址为 00:d0:f8:00:00:03 网络设备通信的所有报文
Filter string就是
ether host 00:d0:f8:00:00:03
2.捕获 IP地址为 192.168.10.1 网络设备通信的所有报文
Filter string就是
host 192.168.10.1
3.捕获网络web浏览的所有报文
Filter string就是
tcp port 80



  1. 捕获192.168.10.1除了http外的所有通信数据报文
    Filter string就是
    host 192.168.10.1 and not tcp port 80
    5.获非http和非smtp 报文,在你的服务器上的(下面两个过滤法则是等价的
    host http://www.example.com and not (port 80 or port 25)
    host http://www.example.com and not port 80 and not port 25
    6.捕获所有除了dns和arp的报文
    port not 53 and not arp
    7.堪称最短的过滤器,只捕获IP包,对于除去底层通信协议ARP和STP很有用
    ip
    一些其他的过滤器
    Blaster worm是RPC wordm,下面的规则可以捕捉它的包
    dst port 135 and tcp port 135 and ip[2:2]==48
    Welchia worm
    icmp[icmptype]==icmp-echo and ip[2:2]==92 and icmp[8:4]==0xAAAAAAAA
    [src|dst] host
    这个表达式,允许你过滤一个用IP地址或者主机名来过滤一个主机。
    可以在 前面加上 src|dst 关键字来指定你感兴趣的 源主机 或者 目的主机
    如果没有 src|dst 关键字,则所有进出的包都会捕获
    ether [src|dst] host
    过滤 以太网 主机地址(就是mac地址),可在前面加上src|dst 关键字
    gateway host
    This primitive allows you to filter on packets that used host as a gateway. That is, where the Ethernet source or destination was host but neither the source nor destination IP address was host.
    过滤使用这个这个主机作为 网关的 所有包
    less|greater
    过滤 报文长度
    [tcp|udp] [src|dst] port
    过滤端口,可在前面 加 tcp|udp 或者 src|dst关键字


Category linux