ethereal是目前網(wǎng)絡(luò)上開源的一款功能強(qiáng)大的以太網(wǎng)抓包工具，該軟件可以監(jiān)聽異常封包，檢測軟件封包問題，從網(wǎng)絡(luò)上抓包，并且能對數(shù)據(jù)包進(jìn)行分析，從而幫助用戶解決各種網(wǎng)絡(luò)故障，更加方便查看、監(jiān)控TCP session動(dòng)態(tài)等等。
ethereal抓包工具需要一個(gè)底層的抓包平臺，在Linux中是采用Libpcap函數(shù)庫抓包，在windows系統(tǒng)中采用winpcap函數(shù)庫抓包。軟件基本類似于tcpdump，但ethereal還具有設(shè)計(jì)完美的GUI和眾多分類信息及過濾選項(xiàng)。用戶通過ethereal，同時(shí)將網(wǎng)卡插入混合模式，可以查看到網(wǎng)絡(luò)中發(fā)送的所有通信流量，可以應(yīng)用于故障修復(fù)、分析、軟件和協(xié)議開發(fā)以及教育領(lǐng)域。

對于ethereal，有圖形界面和字符界面兩種方式。
到linux系統(tǒng)上執(zhí)行rpm -qa | grep ethereal-gnome可查看是否安裝了圖形版本，但是如果服務(wù)器上沒有xwin圖形環(huán)境，那么就只能用字符界面了。

命令：tethereal
可選參數(shù)：-V、-f

如果只執(zhí)行tethereal，那么將只抓取數(shù)據(jù)包的包頭，不顯示里邊的內(nèi)容。加上-V參數(shù)后，即可顯示內(nèi)容。
-f 參數(shù)用于過濾，默認(rèn)情況下將抓取tcp和udp所有協(xié)議。

如果想抓取UDP數(shù)據(jù)包并顯示內(nèi)容，則執(zhí)行tethereal -V -f udp 即可另外還可以配合grep命令提取需要的關(guān)鍵內(nèi)容。

圖形化：

ethereal使用教程

一、打開抓包配置項(xiàng)
1. 通過Capture--Options，點(diǎn)開抓包選項(xiàng)配置

二、設(shè)置抓包配置項(xiàng)
1. 設(shè)置抓包的網(wǎng)卡
2. 設(shè)置抓包的過濾項(xiàng)：只有滿足條件的數(shù)據(jù)才會被ethereal捕捉，如果不填則捕捉所有的數(shù)據(jù)包

capture選項(xiàng)
interface: 指定在哪個(gè)接口（網(wǎng)卡）上抓包。一般情況下都是單網(wǎng)卡，所以使用缺省的就可以了
Limit each packet: 限制每個(gè)包的大小，缺省情況不限制
Capture packets in promiscuous mode: 是否打開混雜模式。如果打開，抓取所有的數(shù)據(jù)包。一般情況下只需要監(jiān)聽本機(jī)收到或者發(fā)出的包，因此應(yīng)該關(guān)閉這個(gè)選項(xiàng)。
Filter：過濾器。只抓取滿足過濾規(guī)則的包（可暫時(shí)略過）
File：如果需要將抓到的包寫到文件中，在這里輸入文件名稱。
use ring buffer： 是否使用循環(huán)緩沖。缺省情況下不使用，即一直抓包。注意，循環(huán)緩沖只有在寫文件的時(shí)候才有效。如果使用了循環(huán)緩沖，還需要設(shè)置文件的數(shù)目，文件多大時(shí)回卷
其他的項(xiàng)選擇缺省的就可以了
三、開始抓包
點(diǎn)擊start按鈕，開始抓包

四、停止抓包
點(diǎn)擊停止按鈕，停止抓包

五、再次開始抓包
如果不需要重新設(shè)置抓包的選項(xiàng)，可以直接點(diǎn)擊Capture--Start來再次抓包

ethereal主要特征

在實(shí)時(shí)時(shí)間內(nèi)，從網(wǎng)絡(luò)連接處捕獲數(shù)據(jù)，或者從被捕獲文件處讀取數(shù)據(jù)；
Ethereal 可以讀取從 tcpdump（libpcap）、網(wǎng)絡(luò)通用嗅探器（被壓縮和未被壓縮）、SnifferTM 專業(yè)版、NetXrayTM、Sun snoop 和 atmsnoop、Shomiti/Finisar 測試員、AIX 的 iptrace、Microsoft 的網(wǎng)絡(luò)監(jiān)控器、Novell 的 LANalyzer、RADCOM 的 WAN/LAN 分析器、 ISDN4BSD 項(xiàng)目的 HP-UX nettl 和 i4btrace、Cisco 安全 IDS iplog 和 pppd 日志（ pppdump 格式）、WildPacket 的 EtherPeek/TokenPeek/AiroPeek 或者可視網(wǎng)絡(luò)的可視 UpTime 處捕獲的文件。此外 Ethereal 也能從 Lucent/Ascend WAN 路由器和 Toshiba ISDN 路由器中讀取跟蹤報(bào)告，還能從 VMS 的 TCPIP 讀取輸出文本和 DBS Etherwatch。
從以太網(wǎng)、FDDI、PPP、令牌環(huán)、IEEE 802.11、ATM 上的 IP 和回路接口（至少是某些系統(tǒng)，不是所有系統(tǒng)都支持這些類型）上讀取實(shí)時(shí)數(shù)據(jù)。
通過 GUI 或 TTY 模式 tethereal 程序，可以訪問被捕獲的網(wǎng)絡(luò)數(shù)據(jù)。
通過 editcap 程序的命令行交換機(jī)，有計(jì)劃地編輯或修改被捕獲文件。
當(dāng)前602協(xié)議可被分割。
輸出文件可以被保存或打印為純文本或 PostScript格式。
通過顯示過濾器精確顯示數(shù)據(jù)。
顯示過濾器也可以選擇性地用于高亮區(qū)和顏色包摘要信息。
所有或部分被捕獲的網(wǎng)絡(luò)跟蹤報(bào)告都會保存到磁盤中。

總結(jié)

以上是生活随笔為你收集整理的ethereal抓包工具的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。