HowtoUseEthereal

出自Ubuntu 正體中文 Wiki

跳轉到: 導航, 搜尋


目錄

前言

  • Ethereal(or Wireshark) 網路協定分析工具,是一套自由免費開放原始碼的軟體,通常用於網路故障排除,監聽異常封包,問題封包檢測及網路通訊協定的教育訓練。
  • June 09, 2006 的新聞,Ethereal 的主要開發人員 Gerald Combs 從 NIS 跳槽到 CACE,但 Ethereal是 NIS 公司的商標,所以Gerald Combs只好將這個計畫的名稱改名為 Wireshark,且因為Gerald Combs也沒有Ethereal那台機器的發佈權限,所以好以公告的方式說要改名了。

下載

  • 你可以上官方網站上去抓最新版的Wireshark,原本的Ethereal已經不再維護。
  • http://www.ethereal.com/ Ethereal官方網站
  • http://www.wireshark.org/ Wireshark官方網站
  • 在ubuntu裡面,目前在6.061提供的版本是ethereal的版本,你可以使用apt-get指令很方便的安裝這個軟體。

安裝

Dapper 版本

  • 直接在終端機下指令
$ sudo apt-get install ethereal
  • 你可以在應用程式-網際網路-ethereal找到這軟體的連結。

Edgy 版本

sudo apt-get install wireshark

使用

  • 使用wireshark之前,你必須要有網路一些基本觀念。簡易你可以參考這網站的理論基礎輔助你的學習邊看邊做。
  • 現行對乙太網路(Ethernet)標準的訂定大致有兩個,
  1. 由IEEE802所制定的IEEE 802.3網路,其訊框欄位格式可以參考這裡的說明
  2. 另一個為Ethernet 2.0的標準,請參考底下的欄位說明。
8bytes 6bytes 6bytes 2bytes 46~1500bytes 4bytes
Preamble Destination Address Source Address Type Data(Payload) FCS
前序 目的MAC位址 來源MAC位址 協定種類 資料 封包檢查序列
  • 範例1:如果我們要擷取以Ethernet 2.0協定傳送的封包(一般RJ45加上HUB的網路使用CSMA/CD方式傳送的封包),且指定我只要觀看通訊協定Type為IP的網路協定可以以下列方式設定:
  1. 你可以在Ethereal中Filter欄位中輸入:eth.type == 0x800 然後選擇 Capture-Start開始擷取符合的封包,記得跑一下上網工具,讓網卡有流量可以抓取,設定的過程中當然我們不可能能記住各個過濾器的關鍵字,你可以使用Expression這個按鈕輔助,協助建立過濾公式。你可以參考底下圖面說明。
  2. Expression過濾公式建立工具

圖片:Ethereal- Filter Expression.png

  1. 擷取Ethernet 2.0 type為0x0800 封包擷取後的畫面,你可以對照一下上面Ethernet 2.0訊框的格式,仔細觀看其bytes與其說明關係。在此封包分析器中,已將Preamble的8bytes封包去除,所以你看不到,另外在結尾封包FCS的4Bytes也去除,所以你也看不到。

圖片:Ethereal-2-type-80.png

  • 範例2:
  1. 過濾器:「ip.dst == 140.112.90.72 AND tcp.port == 23 AND eth.type == 0x800」
  2. 說明:過濾傳送到ptt.cc的telnet封包(自己試試看)

參考來源