1. Ethereal 简介
Ethereal 是一个开放源码的网络分析系统,也是是目前最好的开放源码的网络协议分
析器,支持 Linux 和 windows 平台。Ethereal 起初由 Gerald Combs 开发,随后由一
个松散的 etheral 团队组织进行维护开发。它目前所提供的强大的协议分析功能完全可以
媲美商业的网络分析系统,自从 1998 年发布最早的 0.2 版本至今,大量的志愿者为
ethereal 添加新的协议解析器,如今 ethereal 已经支持七百多种协议解析。
目前,网络协议分析软件很多,Ethereal 的特点如下:
直接从网络接口(如网卡)捕包
显示非常详细的协议信息
打开、保存捕获的数据
兼容多种捕包程序的数据格式
在各个网络层次,根据过滤条件,对包进行过滤
在各个网络层次,根据查找条件,对包进行查找
对过滤后的包,以特殊颜色显示
开发源码
使用插件技术,支持二次开发
2. Ethereal 安装
Ethereal 支持的操作系统包括 Windows 和 Linux,根据实际需要,这里只介绍 Linux 环
境下的安装。
1) 安装 Ethereal
参考文件 R01. 在
Linux
系统上安装
Ethereal.doc
2) 创建 Ethereal 编译环境
参考文件 R02. 在
Linux
系统上编译
Ethereal.doc
3. Ethereal 功能介绍
1) 从网口捕获数据包
可以从多种网络硬件捕包,包括以太网,令牌环网,ATM 网等。
捕包模块根据设置的捕包数量,捕包时间等条件自动停止捕包。
根据过滤条件,捕获需要的数据包
可以将捕获的数据包,自动保存在多个文件中
在捕包的同时,显示解析后的数据包
3) 打开其他捕包软件捕获的数据
Ethereal 保存的文件格式为 libpcap 格式,也是 tcpdump 的文件格式
除了 libpcap 格式外,Ethereal 能识别的其他捕包软件捕获的数据格式,文件
格式参见 R03.Ethereal
能识别的文件格式
4) 保存捕获的数据
Ethereal 可以将其捕获的数据包,保存为其他捕包软件识别的数据格式,支持
的文件格式参见 R04.Ethereal
保存的文件格式
Ethereal 还可以将文件保存为 plain text、postscript 格式。
5) 多种协议解码器
Ethereal0.10.14 支持 700+种协议解析
1