Ethereal 是一款支持 Unix 和 Windows 系统的免费网络协议分析工具。它不仅能实时捕获网络中的数据包并进行分析,还能读取并解析其他嗅探软件保存在本地磁盘的数据文件。该工具具备强大的协议解析能力,目前已可识别和解析多达 761 种协议。用户可通过界面中的Help菜单,选择Supported Protocol子项,查看所有受支持协议的详细列表与说明信息,便于深入分析各类网络通信内容。
1、 启动网络协议分析工具Ethereal软件程序
2、 点击Capture菜单中的Interfaces…选项,系统将弹出Ethereal: Capture Interfaces对话框,用于设置和管理捕获接口。
3、 该界面显示了本机已安装的网络适配器列表,点击Details可查看各适配器的具体信息。图中可见当前可用适配器的IP地址为10.0.1.94。如需立即捕获网络数据包,可直接点击Capture按钮开始;若希望先进行详细配置,可选择Prepare按钮,在完成相关设置后再启动捕获任务,便于更精确地获取所需网络流量信息。
4、 点击Prepare按钮后,将弹出名为Ethereal: Capture Options的设置对话框。
5、 该对话框显示了当前可用的适配器、本机IP地址、数据捕获缓冲区大小、是否启用混杂模式、最大捕获包长度以及数据捕获过滤规则等配置参数。
6、 点击开始按钮后,网络数据包捕获随即启动,并弹出Ethereal:从……捕获的对话框。
7、 该对话框显示已捕获数据包的数量统计及所用时间。用户点击停止按钮可中断捕获进程,随后即可对已获取的数据进行详细分析。
8、 打开命令提示符,输入Ping命令检测本机与网关是否连通。
9、 使用Ping命令检测本机与网关的连通性时,本地会发送4个ICMP请求包,网关则回应4个应答包,共计8个数据包,这些报文均可被网络协议分析软件完整捕获。
10、 点击停止按钮以终止捕获,所获数据所示。
11、 该界面划分为三个区域:数据包列表、协议树和十六进制对照。列表中清晰显示了8个ICMP数据包。当选中任一区域中的内容时,其余两个区域会同步实时更新显示信息。
12、 第二扇窗
13、 Ethereal II用于标识MAC帧中的地址信息。
14、 IP地址是互联网协议中用于标识设备的数字标签。
15、 传输控制协议中的TCP端口号用于标识通信的端点。
16、 第三扇窗
17、 以十六进制呈现的数据包内容,反映了其在物理介质中传输时被截获的真实形态。
18、 协议树区域内的以太网帧结构是否遵循Ethernet II标准格式。
19、 重新启动网络数据包捕获,访问若干网页后停止,检查捕获的数据包,查看以太网帧类型字段的数值,并确定其对应的协议类型。
