ethereal

1.在实时时间内，从网络连接处捕获数据，或者从被捕获文件处读取数据;

2.Ethereal抓包工具可以读取从tcpdump(libpcap)、网络通用嗅探器(被压缩和未被压缩)、SnifferTM专业版、NetXrayTM、Sunsnoop和atmsnoop、Shomiti/Finisar测试员、AIX的iptrace、Microsoft的网络监控器、Novell的LANalyzer、RADCOM的WAN/LAN分析器、ISDN4BSD项目的HP-UXnettl和i4btrace、Cisco安全IDSiplog和pppd日志(pppdump格式)、WildPacket的EtherPeek/TokenPeek/AiroPeek或者可视网络的可视UpTime处捕获的文件。此外Ethereal也能从Lucent/AscendWAN路由器和ToshibaISDN路由器中读取跟踪报告，还能从VMS的TCPIP读取输出文本和DBSEtherwatch。

3.从以太网、FDDI、PPP、令牌环、IEEE802.11、ATM上的IP和回路接口(至少是某些系统，不是所有系统都支持这些类型)上读取实时数据。

4.通过GUI或TTY模式tethereal程序，可以访问被捕获的网络数据。

5.通过editcap程序的命令行交换机，有计划地编辑或修改被捕获文件。

6.当前602协议可被分割。

7.输出文件可以被保存或打印为纯文本或PostScript格式。

8.通过显示过滤器精确显示数据。

9.显示过滤器也可以选择性地用于高亮区和颜色包摘要信息。

10.所有或部分被捕获的网络跟踪报告都会保存到磁盘中。

 

1.确定Wireshark的位置

如果没有一个正确的位置，启动Wireshark后会花费很长的时间捕获一些与自己无关的数据。

2.选择捕获接口

一般都是选择连接到Internet网络的接口，这样才可以捕获到与网络相关的数据。否则，捕获到的其它数据对自己也没有任何帮助。

3.使用捕获过滤器

通过设置捕获过滤器，可以避免产生过大的捕获文件。这样用户在分析数据时，也不会受其它数据干扰。而且，还可以为用户节约大量的时间。

4.使用显示过滤器

通常使用捕获过滤器过滤后的数据，往往还是很复杂。为了使过滤的数据包再更细致，此时使用显示过滤器进行过滤。

5.使用着色规则

通常使用显示过滤器过滤后的数据，都是有用的数据包。如果想更加突出的显示某个会话，可以使用着色规则高亮显示。

6.构建图表

如果用户想要更明显的看出一个网络中数据的变化情况，使用图表的形式可以很方便的展现数据分布情况。

7.重组数据

Ethereal 的重组功能，可以重组一个会话中不同数据包的信息，或者是一个重组一个完整的图片或文件。由于传输的文件往往较大，所以信息分布在多个数据包中。为了能够查看到整个图片或文件，这时候就需要使用重组数据的方法来实现。

 

1、适合网络管理员使用Ethereal来检测网络问题

2、适合网络安全工程师使用Ethereal来检查资讯安全相关问题

3、适合开发者使用Ethereal来为新的通讯协定除错

4、适合普通使用者使用Ethereal来学习网络协定的相关知识

5、不会对网络封包产生内容的修改，只会反映出目前流通的封包资讯
 

 

启动ethereal以后，选择菜单Capture->Start，就OK了。当你不想抓的时候，按一下stop，抓的包就会显示在面板中，并且已经分析好了。

Ethereal使用-capture选项

interface:指定在哪个接口(网卡)上抓包。一般情况下都是单网卡，所以使用缺省的就可以了

Limiteachpacket:限制每个包的大小，缺省情况不限制

Capturepacketsinpromiscuousmode:是否打开混杂模式。如果打开，抓取所有的数据包。一般情况下只需要监听本机收到或者发出的包，因此应该关闭这个选项。

Filter：过滤器。只抓取满足过滤规则的包(可暂时略过)

File：如果需要将抓到的包写到文件中，在这里输入文件名称。

useringbuffer：是否使用循环缓冲。缺省情况下不使用，即一直抓包。注意，循环缓冲只有在写文件的时候才有效。如果使用了循环缓冲，还需要设置文件的数目，文件多大时回卷

其他的项选择缺省的就可以了