介绍etheral捕获数据包的用法

于大多数协议来讲中够了。

注意在“Capture Options”对话框中，“Update list of packets in real time”复选框被选中了。这样可以使每个数据包在被截获时就实时显示出来，而不是在嗅探过程结束之后才显示所有截获的数据包。

4.捕获分析

在设置捕获过滤规则之后，单击“OK”按钮，整个嗅探过程就开始了。Ethereal可以实时显示截获的数据包，因此能够帮助网络管理员及时了解网络的运行状况，从而使其对网络性能和流量能有一个比较准确的把握。在主操作系统中使用ping 172.10.12.48 的命令，来ping 另一台主机172.10.12.47。我们来看看抓取的数据包如图1-5。 （PING命令是基于ICMP协议，所以我们看到的是ICMP协议，由于发送数据包需要用到ARP协议来获到硬件地址，所以同时看到ARP协议）

图1-5用Ethereal分析数据包内容

图1-5中间是协议树，通过协议树可以得到被截获的数据包的更多信息，如主机的MAC地址(Ethernet II)、IP地址(Internet Protocol)、TCP端口号(Transmission Control Protocol)，以及HTTP协议的具体内容(Hypertext Trnasfer Protocol)。通过扩展协议树中的相应节点，可以得到该数据包中携带的更详尽的信息。 最下边是以十六制显示的数据包的具体内容，这是被截获的数据包在物理媒体上传输时的最终形式，当在协议树中选中某行时，与其对应的十六进制代码同样会被选中，这样就可以很方便地对各种协议的数据包进行分析。

5.设置etheral的显示过滤器

刚才设置的过滤器是在抓包之前，我们根据设置过滤规则来过滤掉我们感兴趣的数据包，显示过滤器是在抓完包以后，

通过显示过滤器可以用来从已经捕获的数据包中找到你感