常用安全测试工具安装和使用指南-V1.0

常用安全测试工具安装和使用指南V1.0内部公开TIME\@"yyyy-M-d"2010-3-29华为机密，未经许可不得扩散第页常用安全测试工具安装和使用指南V1.0(仅供内部使用）Forinternaluseonly拟制:Preparedby胡坤红日期：Date200审核:Reviewedby何伟详日期：Date200批准:Grantedby日期：Date华为技术有限公司HuaweiTechnologiesCo.,Ltd.版权所有侵权必究Allrightsreserved

修订记录Revisionrecord日期Date修订版本Revisionversion修改描述changeDescription作者Author2初稿胡坤红

说明： 5本文档只是对新手使用相关工具的一个入门指导，更详细的信息请见相关工具的详细使用指导。 51 常用操作系统扫描工具介绍 51.1 CIS-CAT 51.1.1 扫描准备 51.1.2 扫描执行 61.1.3 扫描结果 61.2 SRay（SRay.0.4.8.tar.gz） 61.2.1 扫描准备 61.2.2 扫描执行 61.2.3 扫描结果 71.3 Nessus 71.3.1 扫描准备 71.3.2 扫描执行 81.3.3 扫描结果 91.4 MBSA 91.4.1 扫描准备 91.4.2 扫描执行 91.4.3 扫描结果 112 数据库扫描 112.1 SquirrelForOracle 112.1.1 扫描准备 122.1.2 扫描执行 122.1.3 扫描结果 133 端口扫描 133.1 Namp 133.1.1 扫描准备 143.1.2 扫描执行 143.1.3 扫描结果 144 WEB扫描 144.1 APPSCAN 144.1.1 扫描准备 154.1.2 扫描执行 154.1.3 扫描结果 154.2 AcunetixWebVulnerabilityScanner 154.2.1 扫描准备 164.2.2 扫描执行 164.2.3 扫描结果 175 HTTP代理 175.1 Webscarab 175.1.1 测试准备 185.1.2 测试执行 186 口令暴力破解 206.1 brutus-aet2 206.2 AcunetixWebVulnerabilityScanner 226.3 John 236.4 Cain 247 抓包工具 257.1 Ethereal 258 SQL注入工具 318.1 Pangolin 319 其它常用工具 34

说明：本文档只是对新手使用相关工具的一个入门指导，更详细的信息请见工具本身的使用手册或帮助。常用操作系统扫描工具介绍CIS-CAT【功能】可以根据不同的操作系统，选择不同的基准进行系统漏洞扫描。【适用对象】Unix/Linux，MSWindows，并且这些系统上装了java5或以上。本文主要介绍在Linux下的用法扫描准备将工具解压到目标Linux机器上，CIS-CAT扫描Linux机器必须要求机器安装JDK在1.5或以上可以通过＃java-version查看具体的版本号，如果机器上有JDK在1.5以上但是只是没有设置环境变量，请参照以下方法设置，如果没有版本在1.5或者以上，请下载1.5或者以上版本安装。更新环境变量参照如下：＃vi.profilePATH=/usr/bin:/etc:/usr/sbin:/usr/ucb:$HOME/bin:/usr/X11:/sbin:/bin:/usr/local/bin:/i2kmount/iToolcfg/icheck/jdk1.5/jre/bin:/i2kmount/iToolcfg/icheck/jdk1.5/bin:.exportPATHJAVA_HOME=/i2kmount/iToolcfg/icheck/jdk1.5exportJAVA_HOME扫描执行具体扫描执行命令如下＃./CIS-CAT.sh./benchmarks/suse-10-benchmark.xml//根据具体扫描系统，确定后面的基准参数扫描结果扫描结果存放在当前用户根目录下的CIS-CAT_Results文件夹里。SRay（SRay.0.4.8.tar.gz）【功能】系统漏洞扫描。【适用对象】Unix/Linux系统。SRay扫描Linux系统扫描准备将SRay.0.4.8.tar.gz工具解压到目标Linux上扫描执行具体扫描执行命令如下LinuxSecurityConfigTestTaskInformationTestDate:MonJun2907:51:322009UserName[Tester]://默认即可，直接回车TargetProductName[88]://默认即可，直接回车TargetProductVersion[66]://默认即可，直接回车Ifyouinput'Y'or'y',youmustanswerseveralqu-estionsregardingthesecurityconfigurationofyoursystem.Referenceinformationisavailableforonlysomeofthesequestions.Ifyousimplypress'Enter'keyorinput'N'or'n',themanualandsemi-automatictestitemswillbesk-ippedandtheseitems'resultswillusetheprevioustestresults(i.e.,newtestresultswillnotbegen-erated)Beforeyouselect,pleasereadtheabovenotice!Executemanualorsemi-automatictestitem(s)?Yes(Y/y)orNo(N/n)?Y//选择y，自动测试扫描结果扫描结果存放在当前执行目录下的Result文件夹里。Nessus【功能】检查系统存在有待加强的弱点，电信运营商,IT公司，各类安全机构也普遍认可该工具的权威性，通常都会使用它作为安全基线扫描工具。【适用对象】Unix/Linux，MSWindows本文主要介绍Nessus安装在windows系统下的用法。扫描准备将Nessus安装在一windows机器上，使用Nessus-3[1].2.1.1版本，不用注册码。由于他是C/S模式，客户端要连接服务器扫描，在客户端连接服务端时，此版本服务端的ip只能设成，才可以连接成功扫描执行扫描linux机器必须设置ssh用户名密码（如下），其它默认设置扫描Windows机器必须设置ssh用户名密码，其它默认设置扫描结果扫描完后，只需在REPORT标签项将结果导出指定目录下就可以了。MBSA【功能】微软免费提供的安全检测工具，Microsoft基准安全分析器（MicrosoftBaselineSecurityAnalyzer，MBSA）是微软公司整个安全部署方案中的一种，它目前的主要版本是v1.2.1。该工具允许用户扫描一台或多台基于Windows的计算机，以发现常见的安全方面的配置错误。MBSA将扫描基于Windows的计算机，并检查操作系统和已安装的其他组件（如IIS和SQLServer），以发现安全方面的配置错误，并及时通过推荐的安全更新进行修补。【适用对象】MBSAV1.2能够扫描运行以下系统的计算机：WindowsNT4、Windows2000、WindowsXPProfessional、WindowsXPHomeEdition和WindowsServer2003。MBSA能够从运行以下系统的任何一台计算机上执行：Windows2000Professional、Windows2000Server、WindowsXPHome、WindowsXPProfessional或WindowsServer2003。windows系统扫描，MBSA不象SUS之类的产品那样丰富和全面，但却能够迅速地找出系统存在的安全隐患，特别适合个人用户和小型网络环境（如对等网络）使用。MBSA（微软基准安全分析器（MicrosoftBaselineSecurityAnalyzer））扫描windows系统扫描准备将MBSA安装在要扫描的windows机器上，使用版本可以为MBSASetup-x86-EN.msi，扫描执行扫描参数如下图设置，不要选中Checkforsecurityupdates。MBSA可以选择要扫描的计算机包括如下。

1）单台计算机

MBSA最简单的运行模式是扫描单台计算机，典型情况表现为"自动扫描"。当选择"选取一台计算机进行扫描"时，可以选择输入你想对其进行扫描的计算机的名称或IP地址。默认情况下，当用户选中此选项时，所显示的计算机名将是运行该工具的本地计算机。

2）多台计算机

如果用户选择"选取多台计算机进行扫描"时，你将有机会扫描多台计算机，还可以选择通过输入域名扫描整个域，还可以指定一个IP地址范围并扫描该范围内的所有基于Windows的计算机。

如要扫描一台计算机，需要管理员访问权。在进行"自动扫描"时，用来运行MBSA的账户也必须是管理员或者是本地管理员组的一个成员。当要扫描多台计算机时，必须是每一台计算机的管理员或者是一名域管理员。

扫描类型包括以下几种。

MBSA典型扫描

MBSA典型扫描将执行扫描并且将结果保存在单独的XML文件中，这样就可以在MBSAGUI中进行查看（这与MBSAV1.1.1一样）。可以通过MBSAGUI接口（mbsa.exe）或MBSA命令行接口（mbsacli.exe）进行MBSA典型扫描。这些扫描包括全套可用的Windows、IIS、SQL和安全更新检查。

每次执行MBSA典型扫描时，都会为每一台接受扫描的计算机生成一个安全报告，并保存正在运行MBSA的计算机中。这些报告的位置将显示在屏幕顶端（存储在用户配置文件文件夹中）。安全报告以XML格式保存。

用户可以轻松地按照计算机名、扫描日期、IP地址或安全评估对这些报告进行排序。此功能能够轻松地将一段时间内的安全扫描加以比较。

HFNetChk典型扫描

HFNetChk典型扫描将只检查缺少的安全更新，并以文本的形式将扫描结果显示在命令行窗口中，这与以前独立版本的HFNetChk处理方法是一样的。这种类型的扫描可以通过带有"/hf"开关参数（指示MBSA工具引擎进行HFNetChk扫描）的mbsacli.exe来执行。注意，可以在WindowsNT4.0计算机上本地执行这种类型的扫描。

网络扫描

MBSA可以从中央计算机同时对多达10000台计算机进行远程扫描（假定系统要求与自述文件中列出的一样）。MBSA被设计为通过在每台所扫描的计算机上拥有本地管理权限的账户，在域中运行。

在防火墙或过滤路由器将两个网络分开的多域环境中（两个单独的ActiveDirectory域），TCP的139端口和445端口以及UDP的137端口和138端口必须开放，以便MBSA连接和验证所要扫描的远程网络。扫描结果扫描的结果默认存在C:\DocumentsandSettings\Administrator\SecurityScans目录下数据库扫描SquirrelForOracle【功能】NGSSQuirreL

for

Oracle为系统管理员、数据库管理员、专业安全人士提供了一个全面的安全分析组件。并且可以检查几千个可能存在的安全威胁、补丁状况、对象和权限信息、登陆和密码机制、存储过程以及启动过程。NGSSQuirrel提供强大的密码审计功能，包括字典和暴力破解模式。

产品特性：查看和编辑核心检查项、安全管理（直接管理用户、角色、配置、系统权限和对象权限），安全浏览（审计security设置、创建用户检查项）、三个级别的审计、定制用户检查项、计划扫描功能、0day漏洞检查、多种报表输出等。【适用对象】NGSSQuirreL

for

Oracle支持Oracle

数据库扫描。扫描准备将SquirrelForOracle安装在一台windows机器上，保证此机器有连接ORACLE的odbc驱动正常，建议最好安装一个Oracle客户端，这样也好检验是否能成功连接目标数据库服务器。NGSSQuirrel是一款商用软件,但由于采用的是试用版,所以工具本身对扫描结果中高危部分的详细信息进行了屏蔽，需要使用winsql软件安装在本机器上，用于修改ACCESS数据库，后，重新扫描获取更详细的信息。扫描执行扫描发现结果中危险等级为Medium和Low的都能显示详细信息,软件本身只是屏蔽了High级别的内容.所以可以把High等级转变成Medium或者Low,这样就可以显示出详细内容了。再查看一下软件安装路径下的文件,发现几个Access数据库文件,使用winsql软件将其打开,发现OracleChecks.mdb文件中Checks表完整的记录了检查类别的静态信息,其中chk_severity_present字段中记录了三种级别所对应的数值:High:90,Medium:70,Low:50.只要将这个字段的90更改成70或者50就可以将High级别强制降低为Medium或者Low级别,这样扫描出来的结果就可以把所有的详细信息都显示出来了。不过需要注意的是,由于把级别更改,导致扫描出来的结果分不出级别了,所以在修改mdb文件之前先进行扫描,然后保留结果(主要是保留结果的级别，html格式).然后修改mdb文件后再扫描一次,将两边的结果进行比对,就可以发现高位级别的结果的详细信息了。两次扫描完成后（未修改数据库文件和修改数据库文件后），可以直接将能显示问题级别的html中表格内容覆盖到显示详细内容的html文件中，这样就可以完美统一了。1、先扫描数据库，输出原始报告2、备份OracleChecks.mdb3、用WinSQL修改数据updateCheckssetchk_severity_present=40wherechk_severity_present>504、再次扫描数据库，再次输出报告5、对照前后报告此扫描要在借助工具Winsql修改数据,故需先安装此工具。扫描结果将两次扫描的结果比较，将第一次扫描的HIGH级别的详细信息，用第二次扫描的结果替换。端口扫描Namp【功能】Nmap从技术角度来说是非常出色的，并且可以完成大范围的早期评估工作。实际上nmap的端口扫描的不管是主机开放端口、服务、操作系统版本，它的大部分依据都来自于端口扫描的结果，根据其结果去判定其他信息。所以，认为nmap只能扫描端口是一个误区。namp整合了现有多种网络扫描软件的特征，可提供绕过特定防火墙配置的扫描方法，并能够根据特定操作系统TCP/IP协议栈指纹特征进行操作系统识别，并支持多种协议的扫描方式。NMAP遵循各种提供端口服务的协议，对响应进行监听和记录分析。【适用对象】windows，Unix/Linux端口扫描Nmap被称为扫描器之王。这种类型扫描器很容易引起误解，很多人认为对于nmap这种portscaner，功能仅限于扫描端口，这实际上是一个很大的误区，如果我们看一下它的功能，就会发现功能还是非常广泛的，包括操作系统的服务判定、操作系统指纹的判定、防火墙及IDS的规避技术。扫描准备测试机安装namp扫描执行使用命令提示符，切换到nmap路径下，输入cd/dd:\nmap//如果namp目录在d:\nmap扫描开放的UDP端口命令如下：Nmap-P0-sU-n-p1-65535-oX1_udp.xml-sV1扫描开放的TCP端口命令如下：Nmap-P0-sS-n-p1-65535-oX1_tcp.xml-sV1扫描开放的协议命令如下：Nmap-P0-sO-oX1_pro.xml1扫描结果扫描结果存放在nmap路径下WEB扫描APPSCAN【功能】AppScan是一款出色的Web安全扫描器。它具有检测漏洞类型全面、自定义性强、扫描结果描述清晰以及强大的报表功能等特点，支持WebApplication和WebService两类扫描。我们使用AppScan来辅助对Web系统进行安全弱点审查评估。【适用对象】各种系统的WebApplication和WebService两类扫描。WatchfireAppScan：商业网页漏洞扫描器AppScan附带了一些常用的Web测试辅助工具，包括：AuthenticationTester:一个认证测试工具ConnectionTester:一个连接测试工具EncodeDecodeTool:一个编解码工具ExpressionTestTool:正则表达式测试辅助工具HTTPProxyTool:一个小型的http代理服务器HTTPRequest:一个http请求分析工具TokenAnalyzer:一个会话分析工具WebServicesExplorer:一个WebServices探测工具扫描准备在要运行的机器上，安装VMware，在虚拟机上装AppScan扫描执行启动AppScan，在菜单中选择：File->New会弹出一个设置扫描模版的引导界面,接下来需要选择是Web应用扫描还是WebService扫描入,输入待扫描的网址，另外还有一些可选选项包括：URL路径大小写敏感、附加扫描对象等。然后下一步进行登录设置，如果扫描对象需要登录操作，在这一步可以进行登录操作录制并保存，没有登录操作的话选择None进入下一步，接下来选则Startafullautomaticscan，开始扫描扫描结果扫描结束后将结果保存为PDF格式，这样便于查看createreport->SecurityReport->saveReport选择pdf格式保存。AcunetixWebVulnerabilityScanner【功能】这是一款商业的Web漏洞扫描程序，它可以检查Web应用程序中的漏洞，如SQL注入、跨站脚本攻击、身份验证页上的弱口令长度等。它拥有一个操作方便的图形用户界面，并且能够创建专业级的Web站点安全审核报告。WVS自动地检查下面的漏洞和内容：·版本检查，包括易受攻击的Web服务器，易受攻击的Web服务器技术·CGI测试，包括检查Web服务器的问题，主要是决定在服务器上是否启用了危险的HTTP方法，例如PUT，TRACE，DELETE等等。·参数操纵：主要包括跨站脚本攻击（XSS）、SQL注入攻击、代码执行、目录遍历攻击、文件入侵、脚本源代码泄漏、CRLF注入、PHP代码注入、XPath注入、LDAP注入、Cookie操纵、URL重定向、应用程序错误消息等。·多请求参数操纵：主要是BlindSQL/XPath注入攻击·文件检查：检查备份文件或目录，查找常见的文件（如日志文件、应用程序踪迹等），以及URL中的跨站脚本攻击，还要检查脚本错误等。·目录检查，主要查看常见的文件，发现敏感的文件和目录，发现路径中的跨站脚本攻击等。·Web应用程序：检查特定Web应用程序的已知漏洞的大型数据库，例如论坛、Web入口、CMS系统、电子商务应用程序和PHP库等。·文本搜索：目录列表、源代码揭示、检查电子邮件地址、微软Office中可能的敏感信息、错误消息等。·GHDBGoogle攻击数据库：可以检查数据库中1400多条GHDB搜索项目。·Web服务：主要是参数处理，其中包括SQL注入/BlindSQL注入（即盲注攻击）、代码执行、XPath注入、应用程序错误消息等。使用该软件所提供的手动工具，还可以执行其它的漏洞测试，包括输入合法检查、验证攻击、缓冲区溢出等。【适用对象】Web应用程序中的漏洞扫描扫描准备找台机器安装AcunetixWebVulnerabilityScanner扫描执行选择file->new->websitescan，弹出如下界面。输入url，接着对登录操作选项，可以进行登录操作录制并保存，其它默认就可以开始扫描了。扫描结果使用wvsreporter将结果输出。HTTP代理Webscarab【功能】WebScarab是一个用来分析使用HTTP和HTTPS协议的应用程序框架。其原理很简单，WebScarab可以记录它检测到的会话内容（请求和应答），并允许使用者可以通过多种形式来查看记录。WebScarab的设计目的是让使用者可以掌握某种基于HTTP（S）程序的运作过程；可以用它来调试程序中较难处理的bug，也可以帮助安全专家发现潜在的程序漏洞。【适用对象】分析使用HTTP和HTTPS协议的应用程序框架测试准备WebScarab需要在java环境下运行，因此在安装WebScarab前应先安装好java环境（JRE或JDK均可）。测试执行在使用WebScarab前，应将使用的Web浏览器的代理服务器设置为端口8008。IE浏览器的设置方法为：工具->internet选项->连接->

局域网设置:完成以上配置后，您可以通过以下方式检查WebScarab是否正常工作：打开IE浏览器，能正常访问需要测试网站打开WebScarab窗口，点击Summary标签，应显示所访问的网站的URL链接。修改HTTP请求是Web安全测试中最常用的一项功能，在手工进行测试时，测试人员往往能通过修改，构造，插入HTTP请求发现各式各样的问题。要使用HTTP请求修改功能，可通过点击Proxy标签进入该功能页面，选中interceptrequests复选框，然后单击下方Methods框中的类型以确定要修改的请求类型。在选择时，可以按住ctrl键进行多选。右侧的IncludePathsMatching和ExcludePathsmatching则可根据需要设置过滤规则。完成设置后，即可使用IE浏览器访问要测试的页面。WebScarab会拦截相关的请求并提示用户。口令暴力破解brutus-aet2【功能】口令暴力破解【适用对象】WEB应用程序口令暴力破解使用说明：1．运行工具（图5-1）设置如图，输入待暴力破解的网址URL，点击Modifysequence弹出（图5-2）此处存在漏洞不论是此处存在漏洞不论是POST和GET方法都只能选择GET单击此处配置登录信息项图5-12．设置如图图5-2，在（图5-2）点击LearnFormSetting弹出（图5-3）单击此处配置登录学习项，告诉用户名和密码的对应关系等单击此处配置登录学习项，告诉用户名和密码的对应关系等此处信息说明登录错误，继续暴力破解图5-23．设置设置如图图5-3，然后点击ACCEPT，接着ok就可以了。图5-34．如果暴力破解成功可以看到用户名和密码已经显示出来了。AcunetixWebVulnerabilityScanner【功能】这是一款商业级的Web漏洞扫描程序，但是也可以作为口令暴力破解工具。【适用对象】web应用程序登录口令暴力破解使用说明：1．运行AcunetixWebVulnerabilityScanner程序，选HTTPFuzzer，然后如下设置，点击Start此处设置口令字典，或者其它参数此处设置口令字典，或者其它参数2．执行暴力破解后的窗口如下，显示出了正确的密码。此处为破解的密码如下此处为破解的密码如下John【功能】John是一个流行的口令破解工具，它支持Windows和Linux平台，是一个开源软件。如果我们想使用专门针对特定操作系统优化、并生成本地代码的商业版本的该产品。一款强大的、简单的以及支持多平台的密码哈希破解器【适用对象】支持Windows和Linux平台如下介绍的是Linux平台使用方法【使用】1．解压John工具包，如果是没有编译的join，参照以下方法编译。＃makejohn.clinux-x86-mmx2．给执行文件授执行权限，将/etc/passwd和/etc/shadow文件组合起来，结果保存到新的文件passwd.1中，参照命令如下＃chmod+x*＃unshadow/etc/passwd/etc/shadow>passwd.13．运行john，默认情况下，使用的是passwd.lst作为攻击用的字典文件，我们可以编辑这个文件或创建自己的口令文件。＃./johnpasswd.14．通过命令行中使用show选项可以看到破解的口令，参照如下。＃./john-showpasswd.Cain【功能】针对Microsoft操作系统的免费口令恢复工具，它的功能十分强大，可以网络嗅探，网络欺骗，破解加密口令、解码被打乱的口令、显示口令框、显示缓存口令和分析路由协议，甚至还可以电脑计算机内网中他人使用VOIP拨打电话。【适用对象】Windows系统。【使用】1．在待测试主机上运行Cain工具，切换到Crack功能处，选中LM&NTLMHashes选项并点击“＋”号按钮，在接下来的对话框中选择ImportHashesfromlocalsystem，点击Next按钮。2．对用户列表中要检查的用户名点右键，选择DictionaryAttack->NTLMHashes，在接下来的对话框中选择添加字典文件Huawei_Special.txt，单击start开始运行。如果发现弱口令，跳到第4步。3．对用户列表中要检查的用户名点右键，选择Brute-forceAttackNTLMHashes，在接下来的对话框中charset选择Custom，填入abcdefghijiklmnopqrstuvwxyz，Passwordlength的Min值设置为1，Max值设置为6，点击Start开始破解,如下图破解出了administrator的密码为“huawei”。这里显示的是破解的这里显示的是破解的Administrator4．依次对其它用户也进行破解，看是否也是弱口令。抓包工具Ethereal【功能】Ethereal是一款功能非常强大而且免费的软件，有抓包、过滤、分析等等功能，其中0.9.16版本支持的协议多达467种，是协议分析以及协议一致性测试的首选工具。【适用对象】windows下抓包（需要同时安装Wincap3.0）【使用】1．显示过滤栏功能,对于ethreal已知协议例如：ip、arp、udp、tcp、snmp等等，通过在下图中“Filter”按钮右边的编辑框中输入关键字来过滤，例如：输入“ip”，按回车或者点“Apply”按钮，就会只显示抓到的ip包。一般来说，这些协议的过滤关键字就是本身的名称，填“arp”就只显示arp包，填“snmp”就只显示snmp包。对于ethereal未知协议，例如协议字段值是“0x886f”的协议，我们可以通过“eth.type==0x886f”这个命令来抓这种协议的包。这其实就是根据以太网中协议字段的值来过滤的一条命令而已。注意事项：a、显示过滤条件必须用小写字母，大写字母Ethereal是不认的，例如：只认“ip”而不认“IP”。至少在这个版本的Ethereal是有这个问题。b、协议过滤条件中像“H.225”这种协议必须写成“h2252.其实简单的过滤条件基本可以通过界面操作，如图中点“Filter”按钮，弹出“EtherealDisplayFilter”的界面中再点“AddExpression”按钮，弹出“EtherealFilterExpression”界面后自己选择相应的协议字段的值，然后组成表达式来过滤出自己想看的包：3.多条件表达式：显示过滤支持and（&&）和or（||）运算，用户可以自己写一些多条件表达式，例如：browserandip.addr==3ip.addr==3orip.addr==4||ip.addr==54.协议偏移位数表达式：指的是由0开始数的偏移的第几个字节，用于比较，例如：browser[2]==a0||browser[2]==80小技巧：可以用协议字段和协议字段比较，例如：browser[1]==browser[5]5.精度问题：在显示过滤功能的表达式中，精度只能达到字节级，但是我们有特殊的方法可以达到显示精度达到位级。Ethreal不支持“位与”、“位或”等等操作，例如：browser[2]&0x80=0x80这个表达式是非法的；想达到目的，那么只有做做算术题了。就刚才那个非法表达式的例子，写成browser[2]>=80就可以了。6.显示过滤和抓包过滤的区别：非常简单，抓包过滤是只抓符合抓包条件的包，显示过滤是在抓了包之后，再显示符合指定显示条件的包。抓包过滤的语法和显示过滤的语法多数情况下不通用，因此需要分开学习。7.显示排序【功能】一般抓完包，所有的包都是按照抓回来的顺序来排序的。但是很多时候，只按照顺序来排序，比较难看清楚，Ethreal提供按照各个列的内容来排序，如图，我们只需要点蓝色框的按钮，就可以按照那一列的内容来排序。一个很常用的小技巧就是按照Info这一列来排序，因为Info这一列通常能够解析出这个包的内容简介，用这个排序的最大好处就是可以“偷懒”，不用在显示过滤栏输入一长串的表达式，以达到同样的显示效果。8.强行解析协议：一般来说Ethreal只会按照知名端口来解析，因此如果通讯源端和目的端之间使用不知名的端口来进行标准协议的交互，我们抓回来的包是无法直接解析的。因此Ethreal提供强行解析协议的功能，如图，选择一个抓回来的包，点右键，选择“DecodeAs”，弹出相应对话框。如图，在红色区域选择相应的协议，然后点OK，那么所有和刚才指定包端口一样的包，都会按照这个协议来解析。我们实际应用例子就有：明知道那些端口的包都是跑的H245协议，但是就是解析不出来，只有强行去解析了。9.增加显示列：在菜单栏Edit选择Preferences里面选择Columns一项，里面可以增加显示所抓的包的列，最常用的是IP地址的源端口和目的端口，如上图。注意：增加了特定的列之后，保存确定，然后必须重启Ethreal才能生效，至少在这个版本的Ethreal是如此。附其他小【功能】1、将符合指定条件的包用指定的颜色来显示在菜单栏选择Display里面选择Colorize一项，里面可以进行相关设置，在这里就不详细描述了。例子：我们可以将抓到的http协议的包都用红色字黄色背景来显示。2、为关注的包进行临时标记选定一个包，点鼠标右键，选择MarkFrame。3、