實驗二 網路（協定）分析儀（PART 3）

Ethereal快速使用說明：

1. 安裝Ethereal之前，請安裝WinPcap，再接著安裝Ethereal。

2. 進入Ethereal主程式後，就可直接點選Capture->Start。

 

3. 出現如上圖的視窗之後，

>      請正確設定你的網路卡（Interface）。

>      Count可設定要抓幾個封包，預設值為0，也就是符合條件的封包可以一直抓進來。

>      Filter部分是重點，在此略過。

>      其他選項按照預設值即可，有興趣的同學可以選Update...及Automatic...，但造成當機恕不負責。

4. 開始抓封包後，會出現一個統計封包種類與數量的小視窗可供參考。選擇Stop即可停止抓封包。

5. 瀏覽封包內容後要存檔，請選File->Print，出現如下視窗。

 

>      Format選Plain Text即可，請勿寄postscript來。

>      Print to:選擇File，則File按鈕可讓你選擇要存成什麼名字的檔案，建議存成副檔名為.PRN的檔案，以方便辨認。

>      接下來幾個選項請自行決定。基本上就是要讓你想看到的資訊都有存檔。

 

Capture Filter設定：

1.      點選Capture->Start之後，按下Filter按鈕，可設定你想要的capture filter。

 

（例如：要以MAC address 00：00：11：11：22：22為抓封包條件）

>      FIlter name：任意取，在此設為MAC_FILTER。

>      Filter string：請輸入ether host 00：00：11：11：22：22

>      再按NEW之後，可讓你的MAC_FILTER出現在上方的名單中。

>      此時若選Save，為儲存你所寫的filter，則下次重新開啟本程式時，可重覆使用。

>      確定你的filter string正確之後，按OK跳出，就可看到Filter欄已設定。

(例如要以IP address 11.22.33.44以及TELNET為封包的filter)

>      Filter string：ip host 11.22.33.44 and tcp port 23

 

2.      Filter name選擇無法一次選兩個，所以要使用多重條件，請使用邏輯符號：

>      否定條件（ `!' 或 `not' ）。

>      交集條件（ `&&' 或 `and' ）。

>      聯集條件（ `||' 或 `or' ）。

 

3.      另外還有一堆符號可用，包括=，>=，+，&，﹍等等。本實驗的filter條件比較簡單，故請有興趣研究語法的同學自行參考tcpdump使用說明。

 

Display Filter設定：

1. 若不想設定Capture filter，則所有出現在你網卡上的封包，都會被抓進來，此時可利用Display filter進行篩選。

2. 主視窗左下方的Filter按鈕，就是設定Display filter的地方，進入之後選擇Add expression，即有相當易操作的界面可使用，且部分與Capture filter之設定雷同，故在此不再多做說明，請同學自行操作。