《Ethereal工具的使用方法.doc》由会员分享,可在线阅读,更多相关《Ethereal工具的使用方法.doc(8页珍藏版)》请在三一文库上搜索。
1、Ethereal工具的使用方法1、 抓包设置页面显示过滤显示过滤语法:mms 只显示MMS报文iecgoose 只显示goose报文tcp 只显示tcp报文udp 只显示udp报文ip.addr = 172.20.50.164 显示与地址为172.20.50.164的服务器交互的报文ip.src = 172.20.50.164 显示源地址IP为172.20.50.164的服务器发出的报文ip.dst = 172.20.50.164 显示与目的地址IP为172.20.50.164的服务器交互的报文eth.addr = 5a:48:36:30:35:44 显示与MAC地址为5a:48:36:30:
2、35:44的服务器交互的报文eth.src = 5a:48:36:30:35:44 显示源MAC地址为5a:48:36:30:35:44的服务器发出的报文推荐精选eth.dst = 5a:48:36:30:35:44 显示与目的MAC地址为5a:48:36:30:35:44的服务器交互的报文抓捕过滤抓捕过滤语法Tcp 只抓捕Tcp报文Udp 只抓捕Tcp报文Host 172.20.50.164 只抓捕IP地址为172.20.50.164的报文Ether host 只抓捕MAC地址为5a:48:36:30:35:44的报文限制每个包的大小2、 协议显示3、 显示信息推荐精选4、 过滤机制4.1
3、关键字段过滤1)按目的MAC地址过滤2)按源MAC地址过滤推荐精选3)按优先级过滤4)按VLAN过滤语法vlan.id = 2105)按以太网类型码过滤vlan.etype = 0x88b86)按APPID过滤推荐精选7)按GOOSE控制块过滤语法:frame30:9 = 80:07:67:6f:63:62:52:65:66 从该帧报文的第30个字节读取9个字节 8)其他字段的过滤类似不在一一举例推荐精选4.1 组合过滤1)找到特征报文的起始点2)标注起始报文3)去掉过滤条件,在所有的原始报文中显示标注报文,能找到事件之间的时间关系推荐精选4)进一步优化时间显示设置特征报文为计时参考点过滤结果推荐精选 (注:可编辑下载,若有不当之处,请指正,谢谢!) 推荐精选