Ethereal抓包常用过滤条件Word格式.docx
- 文档编号:5221094
- 上传时间:2023-05-04
- 格式:DOCX
- 页数:10
- 大小:1.47MB
Ethereal抓包常用过滤条件Word格式.docx
《Ethereal抓包常用过滤条件Word格式.docx》由会员分享,可在线阅读,更多相关《Ethereal抓包常用过滤条件Word格式.docx(10页珍藏版)》请在冰点文库上搜索。
过滤出包含指定网关IP地址的数据包
[tcp|udp][src|dst]port<
port〉
过滤出使用指定端口通信的数据包
less|greater<
length〉
过滤出大于或小于指定长度的数据包
ip|etherproto〈protocol〉
过滤出使用指定协议的数据包
ether|ipbroadcast|multicast
过滤出广播或组播的数据包
过滤语句使用的举例如下:
1.捕获MAC地址为00:
e0:
fc:
58:
bc:
a3的通信数据包,例如:
etherhost00:
fc:
a3
2.捕获源IP地址为150.20.10.119的通信数据包,例如:
srchost150。
20.10。
119
用PC机监听STB的通信数据包时,常常要用到这个过滤条件,以保证只捕获与STB相关的数据包。
3.捕获通过80端口来通信的数据包,使用该端口通信的数据包是基于http协议的,例如:
tcpport80或者为ipprotohttp
以上过滤语句还可以通过and、or、not等连接成复合过滤语句。
例如:
捕获160。
128.10。
4除了http外的所有通信数据报文
host160.128。
10。
4andnottcpport80
NameResolution:
名字解析,可将MAC地址、网络地址、端口地址解析为相应的名称。
1)EnableMACnameresolution
通过该选项可以控制是否让ethereal将数据包中的MAC地址解析为名字。
例如在IPTV验证工作中实际抓包分析时,常常可在协议栏中看到Huawei_58:
00:
63这样的地址,其实真实的MAC地址是:
e0:
63。
2)Enablenetworknameresolution
通过该选项可以控制是否让ethereal将数据包中的网络地址解析为网络名称。
3)Enabletransportnameresolution
通过该选项可以控制是否让ethereal将数据包中的端口地址解析为协议名称。
1.1.数据包的显示分析
捕获到数据包后,主页面将显示这些包的信息,如果所抓的数据包太繁杂而不方便观察和分析,则可以在主页面的过滤栏中输入显示过滤条件,这样主页面的概要栏、协议栏和数据栏中就只显示满足过滤条件的数据包。
Ethereal中捕获数据和显示数据的功能是分别由两个不同程序实现的,因此显示过滤语句的语法与捕获过滤的不同,常用的过滤语句如下:
例一:
显示以太网地址为00:
d0:
f8:
03设备通信的所有报文
eth.addr==00.d0。
f8。
00。
00.03
例二:
显示IP地址为192.168。
10.1网络设备通信的所有报文
ip.addr==192。
168.10。
1
例三:
显示所有设备web浏览的报文
tcp.port==80
也可以在过滤栏中直接输入协议名称http来实现过滤,这些语句还可以通过关系符连接为复合语句,例如
例四:
显示192.168.10.1除了http外的所有通信数据报文
ip。
addr==192.168。
1&
&
tcp。
port!
=80
其中&&
是逻辑与(and)的意思,过滤语句还可以用逻辑或(or)、逻辑否(not)和逻辑异或(xor)来连接。
当输入的过滤语句正确时,过滤栏会显示为绿色,否则显示为红色。
以上只是给出了最简单常用的例子,如果需要了解更详细,可查阅《Ethereal用户操作指南》等相关文档。
在数据包分析时,Ethereal还提供一个很有用的功能——FollowTCPStream。
该功能可以将有关联的交互数据整理为一个完整的TCP会话,可方便的从应用层面观察到该会话中数据流交互的信息。
在实际的IPTV验证工作中,通过此项功能清楚的了解IPTV系统中各组件的交互流程,并深入掌握其交互的信息,对问题的分析定位有较大的帮助。
在概要栏中选中一个需被分析的数据包,如图1—7所示,点击鼠标右键后选择FollowTCPStream,将弹出一个对话框,如图1-8。
该对话框的StreamContent中详细显示了这个TCP会话交互的所有信息,通过对话左下角的下拉条可以选择三种不同的显示方式:
Entireconversation(显示完整的会话),datafromAtoBonly(只显示从A到B发送的信息),datafromBtoAonly(只显示从B到A的信息)。
图1-7进入FollowTCPStream
图1—8FollowTCPStream对话框图
1.2.抓包数据的保存
捕获所需的数据包后可以保存全部的数据,也可以保存部分过滤后的数据。
从菜单栏的File中选取Saveas,将弹出一个保存对话框,如图1—9。
通过该对话框可以设置文件名、指定文件存储路径、选择文件存储内容和存储形式。
在存储内容选择框中有Captured和Displayed两个按钮,可分别选择保存捕获的数据包和显示的数据包。
从左边的选项还可以选择存储指定的数据包并且能定义每个包的大小。
不同的文件存储格式能适用于不同的应用软件打开读取,如果保存的文件需要在Sniffer上打开,则必须在Filetype的下拉条中选择NetworkAssociatesSniffer的文件格式.
图1—9文件保存界面
2.Ethereal在IPTV验证中的应用实例
简单实例:
了解STB开机时的调度流程,确定实际上是哪台EPG向STB提供服务.
已知STB中设置的EDS调度服务器IP地址为160.128.10.22,升级服务器的IP地址为172。
18。
30,网络中可提供服务的EPG有多台。
以下介绍Ethereal在该实例中的应用步骤.
1、构造监听环境
使用HUB构造网络监听环境,本人的机顶盒是通过MODEM接入网络的,用HUB链接STB和MODEM,并将办公PC接入HUB就可以利用办公PC监听STB上所有发送和接收的信息了。
如图1—10所示。
图1—10监听STB网络架构
2、在PC机上运行Ethereal抓包
1-11所示。
设置完成后显示如图1-12.
图1-11CaptureOptions设置
3、对数据包进行分析
根据图1—12可知,从No.2到No。
23的数据包是STB通过PPPOE拨号获得IP地址(150.20.10。
188)的通信过程的数据包;
之后STB与升级服务器建立TCP会话,若需详细了解该会话中通信的信息,可按如图1-7所示的方式打开“FollowTCPStream”的对话框,从StreamContent中即可看到整个会话中STB向升级服务器请求并获得了版本配置信息,如图1—13,根据这些信息STB决定现用的版本是否需要更新.在此次抓包中可知STB版本无需升级,因此此次会话很块结束,转入与EDS的TCP会话连接.
图1—12机顶盒抓包数据
图1-13STB与升级服务器之间的TCP会话
如果不需要关心数据包中和EDS调度无关的信息,可以在过滤栏中输入:
ip.addr==160.128.10。
22并回车确定,概要栏就只显示过滤出的数据包,如图1-14所示。
使用FollowTCPStream功能可清楚观察到STB在此次会话中先后发起三次请求:
首先STB向调度服务器直接发起EPG登陆请求,EDS收到请求后转去后台进行调度处理;
于是STB接着发起调度服务列表请求,而EDS将调度结果传回前台以便通知机顶盒;
最后STB发起重定向请求,从而得到了EPG服务器的网络地址,由图1—15可知EDS返回的IP地址为160。
128。
103.
图1-14过滤后的数据包显示
从这个实例可以看出,使用Ethereal能简单方便的掌握部件之间的交互流程和具体交互信息,也能在一定程度上了解部件内部处理的机制。
如果不进行抓包分析,即使STB已经调度到EPG并与其建立了链接,也无从查询到它具体是由哪台EPG提供服务的,同时也不能知道EDS服务器具体的调度流程.
图1—15EDS调度过程TCP会话
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- Ethereal 常用 过滤 条件