文档名称文档密级 TIME\@"yyyy-M-d"2024-8-20华为机密，未经许可不得扩散第页,共NUMPAGES\*Arabic\*MERGEFORMAT10页 Ethereal抓包常用过滤条件 过滤条件语句语句说明[src|dst]host<host>过滤出包含指定IP地址的数据包ether[src|dst]host<ehost>过滤出包含指定MAC地址的数据包gatewayhost<host>过滤出包含指定网关IP地址的数据包[tcp|udp][src|dst]port<port>过滤出使用指定端口通信的数据包less|greater<length>过滤出大于或小于指定长度的数据包ip|etherproto<protocol>过滤出使用指定协议的数据包ether|ipbroadcast|multicast过滤出广播或组播的数据包过滤语句使用的举例如下： 1.捕获MAC地址为00:e0:fc:58:bc:a3的通信数据包，例如： etherhost00:e0:fc:58:bc:a3 2.捕获源IP地址为150.20.10.119的通信数据包，例如： srchost150.20.10.119 用PC机监听STB的通信数据包时，常常要用到这个过滤条件，以保证只捕获与STB相关的数据包。 3.捕获通过80端口来通信的数据包，使用该端口通信的数据包是基于http协议的，例如： tcpport80或者为ipprotohttp 以上过滤语句还可以通过and、or、not等连接成复合过滤语句。 例如：捕获160.128.10.4除了http外的所有通信数据报文 host160.128.10.4andnottcpport80 NameResolution：名字解析，可将MAC地址、网络地址、端口地址解析为相应的名称。 EnableMACnameresolution 通过该选项可以控制是否让ethereal将数据包中的MAC地址解析为名字。例如在IPTV验证工作中实际抓包分析时，常常可在协议栏中看到Huawei_58:00:63这样的地址，其实真实的MAC地址是：00:e0:fc:58:00:63。 Enablenetworknameresolution 通过该选项可以控制是否让ethereal将数据包中的网络地址解析为网络名称。 Enabletransportnameresolution 通过该选项可以控制是否让ethereal将数据包中的端口地址解析为协议名称。 数据包的显示分析 捕获到数据包后，主页面将显示这些包的信息，如果所抓的数据包太繁杂而不方便观察和分析，则可以在主页面的过滤栏中输入显示过滤条件，这样主页面的概要栏、协议栏和数据栏中就只显示满足过滤条件的数据包。Ethereal中捕获数据和显示数据的功能是分别由两个不同程序实现的，因此显示过滤语句的语法与捕获过滤的不同，常用的过滤语句如下： 例一：显示以太网地址为00:d0:f8:00:00:03设备通信的所有报文eth.addr==00.d0.f8.00.00.03例二：显示IP地址为192.168.10.1网络设备通信的所有报文ip.addr==192.168.10.1例三：显示所有设备web浏览的报文tcp.port==80 也可以在过滤栏中直接输入协议名称http来实现过滤，这些语句还可以通过关系符连接为复合语句，例如 例四：显示192.168.10.1除了http外的所有通信数据报文ip.addr==192.168.10.1&&tcp.port!=80 其中&&是逻辑与（and）的意思，过滤语句还可以用逻辑或（or）、逻辑否（not）和逻辑异或（xor）来连接。当输入的过滤语句正确时，过滤栏会显示为绿色，否则显示为红色。 以上只是给出了最简单常用的例子，如果需要了解更详细，可查阅《Ethereal用户操作指南》等相关文档。 在数据包分析时，Ethereal还提供一个很有用的功能——FollowTCPStream。该功能可以将有关联的交互数据整理为一个完整的TCP会话，可方便的从应用层面观察到该会话中数据流交互的信息。在实际的IPTV验证工作中，通过此项功能清楚的了解IPTV系统中各组件的交互流程，并深入掌握其交互的信息，对问题的分析定位有较大的帮助。在概要栏中选中一个需被分析的数据包，如图1-7所示，点击鼠标右键后选择FollowTCPStream，将弹出一个对话框，如图1-8。该对话框的StreamContent中详细显示了这个TCP会话交互的所有信息，通过对话左下角的下拉条可以选择三种不同的显示方式：Entireconversation（显示完整的会话）,datafromAtoBonly（只显示从A到B发送的信息），dat