人力资源ethreal使用－入门

1、实验一：Ethhereaal使用用入门一、背景景知识Etheereaal是目目前广泛泛使用的的网络协协议分析析工具(Nettworrk PProttocool AAnallyzeer)，它它能够实实时地捕捕获网络络上的包包，并且且把包中中每个域域的细节节显现出出来。EEtheereaal的广广为流行行主要有有以下三三个原因因：(1)它它的功能能非常强强大，随随着大家家对Etthereaal的熟熟悉将会会深切感感受到这这一点。(2)它它是开源源、免费费的软件件。(3)它它具有非非常详细细的文档档。Etthereaal的安安装文件件和文档档可以从从 HYPERLINK / htttp:/wwww.

2、eetheereaal.ccom/下载。二、Etthereaal图形形界面，如如下图所所示：第一部分分是菜单单和工具具栏，EEtheereaal提供供的所有有功能都都可以在在这一部部分中找找到。第二部分分是被捕捕获包的的列表，其其中包含含被捕获获包的一一般信息息，如被被捕获的的时间、源和目目的IPP地址、所属的的协议类类型，以以及包的的类型等等信息。第三部分分显示第第二部分分已选中中的包的的每个域域的具体体信息，从从以太网网帧的首首部到该该包中负负载内容容，都显显示得清清清楚楚楚。第四部分分显示已已选中包包的166进制和和ASCCII表表示，帮帮助用户户了解一一个包的的本来样样子。三、Etth

3、erreall的基本本用法Etheereaal的最最基本功功能是捕捕获网络络包，其其使用方方法很简简单，按按如下步步骤即可可：(1)选选择“CCaptturee”菜单单项中的的 “OOptiion”,这时会会弹出一一个对话话框，如如下所示示。这个个对话框框中的栏栏目虽然然很多，但但一般只只需配置置其中两两项。一一项是 “Caaptuure Fillterr”栏。在这个个栏中，可可以输入入过滤规规则，用用于规定定Ethhereeal捕捕获包的的种类(注：过过滤规则则的写法法将在下下一节作作专门介介绍)；如果果不输入入过滤规规则，则则Ethhereeal将将捕获所所有从网网卡发送送或收到到的包。另

4、外一一项是 “Uppdatte llistt off paackeets in reaal ttimee”选项项，请大大家一定定要选中中这一项项，这样样可以使使Ethhereeal在在捕获包包的同时时，实时时地把捕捕获的包包显示出出来。(2)在在完成如如上配置置后，点点击“SStarrt”按按钮，EEtheereaal便开开始捕获获包。四、Ettherreall的过滤滤规则Etheereaal的过过滤规则则可以有有两种形形式：(1)一一个原语语：一个个原语即即一条最最基本的的过滤规规则(2)用用 “aand”、“orr”、“nnot”关关系去处处运算符符，以及及括号组组合起来来的原语语。其中中

5、“annd”的的含义是是它所连连接的两两个原语语必须都都成立；“orr”的含含义是它它所连接接的两个个原语只只要有一一个成立立即可；“noot”的的含义是是它后面面跟的原原语不成成立；括括号的作作用是对对关系运运算顺序序作出规规定。从上面的的描述可可以看出出，我们们只要掌掌握原语语的写法法，再用用关系运运算符把把它们组组合起来来，就可可以写出出满足不不同要求求的过滤滤规则了了。Ettherreall提供的的原语非非常多，这这里只介介绍最常常用的四四种（在在下面的的叙述中中，“”表表示可选选项，“”表表示必存存在的项项，“”表示示两者选选择其中中之一，其其他字符符串则是是关键字字，必须须照写不不

6、误）：etheer srcc|dsst hosst 这条原语语用来根根据以太太网MAAC层的的信息来来进行包包过滤。若无可可选项ssrc|dstt，这条条原语用用于捕获获源和目目的MAAC地址址之一是是“macc_adddr“的以太太网帧；如果加加上 “srcc”或 “dstt”的限制制，则分分别用于于捕获源源或目的的MACC地址是是“macc_adddr”的以太太网帧。如：原语语 “ethher hosst 008:000:11B:DD3:DD3:661”的含义义是捕获获所有源源或目的的MACC地址是是 “08:00:1B:D3:D3:61”的以太太网帧。原语 “ethher srcc ho

7、ost 08:00:1B:D3:D3:61”的含义义是捕获获所有源源MACC地址是是 “08:00:1B:D3:D3:61”的以太太网帧。2)ssrc|dstt hhostt 这条原语语用来根根据IPP信息进进行包过过滤。若若无可选选“srcc|dsst”,这条条原语用用于捕获获源或目目的IPP地址之之一是“ip_adddr”的包；如果加加上“srcc”或“dstt”的限制制，则分分别用于于捕获源源或目的的IP地地址是“ip_adddr”的包。例如，原原语“hosst 23 ”的含义义是捕获获所有源源或目的的地址是是“2100.300.977.533”的包；原语“dstt

8、 hoost 2100.300.977.533 ”的含义义是捕获获所有目目的地址址是“2100.300.977.533”的包3)ttcp|udpp srcc|dsst porrt 这条原语语是用来来根据传传输层进进行包过过滤。它它可以用用于捕获获传输层层协议是是TCPP或UDDP，源源或目的的端口号号是nuumbeer的包包。可选选项“TCPP”和“UDPP”用于对对传输层层协议进进行选择择，可选选项“srcc”和“dstt”用来对对端口号号是源还还是目的的进行选选择。例如，原原语“tcpp poort 80”的含义义是捕获获所有源源或目的的端口号号是800的协议议的包；原语 “udpp ds

9、st pportt 533”的含义义是捕获获所有目目的端口口号是553的UUDP协协议的包包。4) aarp|ip|icmmp|uudp|tcpp等这类原语语用于捕捕获属于于某种协协议类型型的包，协协议的类类型可以以是“arpp”、“ip”、“ICMMP”、“UDPP”或“TCPP”等。例如只含含一个关关键原语语“ICMMP”的含义义是捕获获所有IICMPP协议的的包。以是介绍绍4种最最常用的的原语写写法，下下面通过过举例说说明如何何把这些些原语组组合起来来，从而而构造比比较复杂杂的过滤滤规则。例A-1捕捕获主机机1922.1668.00.100发出或或收到的的，除HHTTPP协议之之外的网网络包。过滤规则则为：hostt 1992.1168.0.110 aand nott tccp pportt 800(注：HHTTPP协议通通常使用用TCPP端口号号80)例A-2记记主机1192.1688