Ethereal是一個(gè)GUI網(wǎng)絡(luò)協(xié)議分析儀，它可以讓你從交互實(shí)時(shí)的網(wǎng)絡(luò)瀏覽分組數(shù)據(jù)或從以前保存的數(shù)據(jù)中捕獲文件，該軟件可以自動(dòng)分辨抓包的文件類(lèi)型，能夠讀取任何抓包格式的文件格式，將里面的數(shù)據(jù)進(jìn)行進(jìn)行實(shí)時(shí)分析，幫助用戶(hù)抓取需要的數(shù)據(jù)類(lèi)型；Ethereal的有一些功能使其具有唯一性，它可以在一個(gè)TCP會(huì)話組裝的所有數(shù)據(jù)包，并顯示您在談話的ASCII或EBCDIC，或十六進(jìn)制的數(shù)據(jù)，抓包功能非常強(qiáng)大，需要的朋友趕快下載試試吧！

軟件功能

　　在實(shí)時(shí)時(shí)間內(nèi)，從網(wǎng)絡(luò)連接處捕獲數(shù)據(jù)，或者從被捕獲文件處讀取數(shù)據(jù)；

　　Ethereal 可以讀取從 tcpdump（libpcap）、網(wǎng)絡(luò)通用嗅探器（被壓縮和未被壓縮）、SnifferTM 專(zhuān)業(yè)版、NetXrayTM、Sun snoop 和 atmsnoop、Shomiti/Finisar 測(cè)試員、AIX 的 iptrace、Microsoft 的網(wǎng)絡(luò)監(jiān)控器、Novell 的 LANalyzer、RADCOM 的 WAN/LAN 分析器、 ISDN4BSD 項(xiàng)目的 HP-UX nettl 和 i4btrace、Cisco 安全 IDS iplog 和 pppd 日志（ pppdump 格式）、WildPacket 的 EtherPeek/TokenPeek/AiroPeek 或者可視網(wǎng)絡(luò)的可視 UpTime 處捕獲的文件。此外 Ethereal 也能從 Lucent/Ascend WAN 路由器和 Toshiba ISDN 路由器中讀取跟蹤報(bào)告，還能從 VMS 的 TCPIP 讀取輸出文本和 DBS Etherwatch。

　　從以太網(wǎng)、FDDI、PPP、令牌環(huán)、IEEE 802.11、ATM 上的 IP 和回路接口（至少是某些系統(tǒng)，不是所有系統(tǒng)都支持這些類(lèi)型）上讀取實(shí)時(shí)數(shù)據(jù)。

　　通過(guò) GUI 或 TTY 模式 tethereal 程序，可以訪問(wèn)被捕獲的網(wǎng)絡(luò)數(shù)據(jù)。

　　通過(guò) editcap 程序的命令行交換機(jī)，有計(jì)劃地編輯或修改被捕獲文件。

　　當(dāng)前602協(xié)議可被分割。

　　輸出文件可以被保存或打印為純文本或 PostScript格式。

　　通過(guò)顯示過(guò)濾器精確顯示數(shù)據(jù)。

　　顯示過(guò)濾器也可以選擇性地用于高亮區(qū)和顏色包摘要信息。

　　所有或部分被捕獲的網(wǎng)絡(luò)跟蹤報(bào)告都會(huì)保存到磁盤(pán)中。

軟件特色

　　1.確定Wireshark的位置

　　如果沒(méi)有一個(gè)正確的位置，啟動(dòng)Wireshark后會(huì)花費(fèi)很長(zhǎng)的時(shí)間捕獲一些與自己無(wú)關(guān)的數(shù)據(jù)。

　　2.選擇捕獲接口

　　一般都是選擇連接到Internet網(wǎng)絡(luò)的接口，這樣才可以捕獲到與網(wǎng)絡(luò)相關(guān)的數(shù)據(jù)。否則，捕獲到的其它數(shù)據(jù)對(duì)自己也沒(méi)有任何幫助。

　　3.使用捕獲過(guò)濾器

　　通過(guò)設(shè)置捕獲過(guò)濾器，可以避免產(chǎn)生過(guò)大的捕獲文件。這樣用戶(hù)在分析數(shù)據(jù)時(shí)，也不會(huì)受其它數(shù)據(jù)干擾。而且，還可以為用戶(hù)節(jié)約大量的時(shí)間。

　　4.使用顯示過(guò)濾器

　　通常使用捕獲過(guò)濾器過(guò)濾后的數(shù)據(jù)，往往還是很復(fù)雜。為了使過(guò)濾的數(shù)據(jù)包再更細(xì)致，此時(shí)使用顯示過(guò)濾器進(jìn)行過(guò)濾。

　　5.使用著色規(guī)則

　　通常使用顯示過(guò)濾器過(guò)濾后的數(shù)據(jù)，都是有用的數(shù)據(jù)包。如果想更加突出的顯示某個(gè)會(huì)話，可以使用著色規(guī)則高亮顯示。

　　6.構(gòu)建圖表

　　如果用戶(hù)想要更明顯的看出一個(gè)網(wǎng)絡(luò)中數(shù)據(jù)的變化情況，使用圖表的形式可以很方便的展現(xiàn)數(shù)據(jù)分布情況。

　　7.重組數(shù)據(jù)

　　Ethereal 的重組功能，可以重組一個(gè)會(huì)話中不同數(shù)據(jù)包的信息，或者是一個(gè)重組一個(gè)完整的圖片或文件。由于傳輸?shù)奈募^大，所以信息分布在多個(gè)數(shù)據(jù)包中。為了能夠查看到整個(gè)圖片或文件，這時(shí)候就需要使用重組數(shù)據(jù)的方法來(lái)實(shí)現(xiàn)。

主要特性

　　菜單項(xiàng)

　　文件：打開(kāi)

　　文件：打開(kāi)最近

　　文件：關(guān)閉

　　打開(kāi)或關(guān)閉捕獲文件。該文件：打開(kāi)對(duì)話框，允許指定的過(guò)濾器; 當(dāng)讀取捕獲文件中，過(guò)濾器被應(yīng)用到從文件中讀取的所有數(shù)據(jù)包，并且不符合過(guò)濾條件的數(shù)據(jù)包被丟棄。該文件：打開(kāi)最近的是一個(gè)子菜單，顯示先前打開(kāi)的文件列表。

　　文件：合并

　　合并的另一個(gè)捕獲文件到當(dāng)前加載之一。該文件：合并 對(duì)話框允許合并``添加前綴''，``按時(shí)間順序''或``追加'，相對(duì)于已經(jīng)加載之一。

　　文件：保存

　　文件：另存為

　　保存當(dāng)前捕捉，或目前的數(shù)據(jù)包從捕獲顯示，到文件中。復(fù)選框讓您選擇是否保存所有數(shù)據(jù)包，或者只是那些已經(jīng)通過(guò)了當(dāng)前的顯示過(guò)濾器和/或那些正在顯著，和選項(xiàng)菜單，您可以從文件格式列表中進(jìn)行選擇（其中在特定的采集，或當(dāng)前從捕獲顯示的數(shù)據(jù)包，可以保存），其中保存它的文件格式。

　　文件：文件集：列表文件

　　顯示一個(gè)對(duì)話框，列出文件組匹配當(dāng)前加載的文件中的所有文件。一個(gè)文件集是使用``多個(gè)文件''/``ringbuffer'模式下，文件名模式，如識(shí)別從捕捉生成的文件的化合物：Filename_00001_20050604101530.pcap。

　　文件：文件集：下一個(gè)文件

　　文件：文件集：以前文件

　　如果當(dāng)前載入文件是文件集的一部分（見(jiàn)上文），打開(kāi)該組的下一個(gè)/前一個(gè)文件。

　　文件：出口

　　出口捕獲的數(shù)據(jù)到外部的格式。注：該數(shù)據(jù)不能導(dǎo)入回空靈，所以一定要保持捕獲文件。

　　文件：打印

　　從目前的捕獲打印分組數(shù)據(jù)?？梢赃x擇要打印的數(shù)據(jù)包的范圍（其被打印的數(shù)據(jù)包），并且每個(gè)數(shù)據(jù)包的輸出格式（每個(gè)分組的打印方式）。輸出格式將類(lèi)似于顯示的值，所以一個(gè)摘要線，分組詳細(xì)視圖中，和/或可以打印分組的十六進(jìn)制轉(zhuǎn)儲(chǔ)。

　　打印選項(xiàng)可以用設(shè)置編輯：首選項(xiàng)菜單項(xiàng)或?qū)υ捒驈棾鲞@個(gè)菜單項(xiàng)。

　　文件：退出

　　退出應(yīng)用程序。

　　編輯：查找包

　　搜索前進(jìn)或后退，從當(dāng)前選擇的包（或最近選擇的數(shù)據(jù)包，如果沒(méi)有選擇包）。搜索條件可以是一個(gè)顯示過(guò)濾器表達(dá)式，十六進(jìn)制數(shù)字字符串或文本字符串。

　　當(dāng)文本字符串搜索，可以搜索數(shù)據(jù)包，也可以搜索在信息欄中的文本包列表窗格或數(shù)據(jù)包詳細(xì)信息窗格中。

　　十六進(jìn)制數(shù)字可以用冒號(hào)，句號(hào)或破折號(hào)分開(kāi)。文本字符串搜索可以是ASCII或Unicode（或兩者），并且可以是不區(qū)分大小寫(xiě)。

　　編輯：查找下一個(gè)

　　編輯：查找上一個(gè)

　　搜索前進(jìn)/后退的過(guò)濾器從以前的搜索匹配，從當(dāng)前選擇的包一包（或最近選擇的數(shù)據(jù)包，如果沒(méi)有選擇包）。

　　編輯：時(shí)間參考：設(shè)置時(shí)間參考（切換）

　　設(shè)置（或取消，如果當(dāng)前設(shè)置）所選擇的數(shù)據(jù)包作為時(shí)間基準(zhǔn)包。當(dāng)分組被設(shè)置為一個(gè)時(shí)間參考分組，在分組列表窗格時(shí)間戳將與字符串``* REF *''來(lái)代替。在以后的數(shù)據(jù)包的相對(duì)時(shí)間時(shí)間戳將被相對(duì)于這時(shí)間參考分組的時(shí)間戳，而不是在捕捉所述第一分組來(lái)計(jì)算。

　　已被選定為時(shí)間參照數(shù)據(jù)包的數(shù)據(jù)包將始終顯示在數(shù)據(jù)包列表窗格。顯示過(guò)濾器不會(huì)影響或隱藏這些數(shù)據(jù)包。

　　如果對(duì)顯示的列``Culmulative字節(jié)''這個(gè)計(jì)數(shù)器將在每次參考包復(fù)位。

　　編輯：時(shí)間參考：查找下一個(gè)

　　編輯：時(shí)間參考：查找上一頁(yè)

　　搜索向前/向后一時(shí)間參考包。

　　編輯：馬克包（切換）

　　標(biāo)記（或取消標(biāo)記如果當(dāng)前標(biāo)記），選擇數(shù)據(jù)包。領(lǐng)域``frame.marked'被設(shè)定為被標(biāo)記的數(shù)據(jù)包，以使，例如，在顯示過(guò)濾器可用于僅顯示標(biāo)記的數(shù)據(jù)包，并使得編輯：查找分組可用于對(duì)話框查找一個(gè)或下一個(gè)標(biāo)記數(shù)據(jù)包。

　　編輯：馬克的所有數(shù)據(jù)包

　　編輯：取消標(biāo)記的所有數(shù)據(jù)包

　　標(biāo)記/取消當(dāng)前顯示的所有數(shù)據(jù)包。

　　編輯：首選項(xiàng)

　　將圖形用戶(hù)界面，捕獲，打印和協(xié)議選項(xiàng)（見(jiàn)首選項(xiàng)下面的對(duì)話框）。

　　查看：主工具欄

　　查看：篩選工具欄

　　查看：狀態(tài)欄

　　顯示或隱藏主窗口控件。

　　查看：包列表

　　查看：包詳細(xì)信息

　　查看：包字節(jié)

　　顯示或隱藏主窗口窗格。

　　觀點(diǎn)：時(shí)間顯示格式

　　設(shè)置在分組列表窗口中顯示的分組時(shí)間戳的格式。

　　查看：名稱(chēng)解析：解析名稱(chēng)

　　嘗試為當(dāng)前入圍項(xiàng)目解析名稱(chēng)。

　　查看：名稱(chēng)解析：?jiǎn)⒂脤?..

　　啟用或禁用地址的轉(zhuǎn)換在顯示名稱(chēng)。

　　查看：著色包列表

　　啟用或禁用著色規(guī)則。禁止將提高性能。

　　查看：自動(dòng)滾動(dòng)在Live捕獲

　　啟用或禁用包列表的自動(dòng)滾動(dòng)，同時(shí)實(shí)時(shí)捕捉正在進(jìn)行中。

　　查看：放大

　　查看：縮小

　　放大/縮小主窗口的數(shù)據(jù)（通過(guò)改變字體大?。?/p>

　　查看：正常大小

　　復(fù)位變焦的變焦倍率/縮小恢復(fù)到正常的字體大小。

　　查看：調(diào)整所有的列

　　調(diào)整所有的列到最適合當(dāng)前分組顯示。

　　查看：展開(kāi)子樹(shù)

　　擴(kuò)展當(dāng)前選定的項(xiàng)目，它在數(shù)據(jù)包詳細(xì)信息子樹(shù)。

　　查看：全部展開(kāi)

　　查看：全部折疊

　　展開(kāi)/折疊的數(shù)據(jù)包詳細(xì)信息所有分支。

安裝方法

　　1、下載解壓文件，找到ethereal-setup-0.99.0.exe雙擊安裝

　　2、閱讀協(xié)議，點(diǎn)擊I agree同意

　　3、選擇安裝組件，默認(rèn)即可，點(diǎn)擊next進(jìn)入安裝

　　4、創(chuàng)建桌面快捷方式，默認(rèn)即可

　　5、選擇安裝位置C:Program Files (x86)Ethereal，用戶(hù)可以根據(jù)需要自行設(shè)置。建議默認(rèn)安裝

　　6、選擇安裝模式，點(diǎn)擊install安裝

　　7、正在安裝，請(qǐng)稍后

　　8、安裝完成

使用說(shuō)明

　　Ethereal是一個(gè)GUI網(wǎng)絡(luò)協(xié)議分析器。

　　它允許您從實(shí)時(shí)網(wǎng)絡(luò)或從以前保存的捕獲文件交互式瀏覽數(shù)據(jù)包數(shù)據(jù)。

　　Ethereal的本地捕獲文件格式是libpcap格式，這也是tcpdump和各種其他工具使用的格式。所以Ethereal可以從以下位置讀取捕獲文件：

　　-libpcap / WinPcap，tcpdump和各種其他工具使用tcpdump的捕獲格式

　　-snoop和atmsnoop

　　-Shomiti / Finisar測(cè)量師捕獲

　　-Novell LANalyzer捕獲

　　- 微軟網(wǎng)絡(luò)監(jiān)視器捕獲

　　-AIX的iptrace捕獲

　　-Cinco Networks NetXRay捕獲

　　- 網(wǎng)絡(luò)關(guān)聯(lián)基于Windows的Sniffer捕獲

　　-Network General / Network Associates基于DOS的Sniffer（壓縮或未壓縮）捕獲

　　-AG Group / WildPeets EtherPeek / TokenPeek / AiroPeek / EtherHelp / PacketGrabber captures

　　-RADCOM的WAN / LAN分析儀捕獲

　　-Network Instruments Observer版本9捕獲

　　-Lucent / Ascend路由器的調(diào)試輸出

　　- HP-UX的nettl的文件

　　-Toshiba的ISDN路由器轉(zhuǎn)儲(chǔ)輸出

　　- 來(lái)自ISDN4BSD項(xiàng)目的i4btrace的輸出

　　跟蹤來(lái)自EyeSDN USB S0。

　　- 來(lái)自Cisco Secure入侵檢測(cè)系統(tǒng)的IPLog格式的輸出

　　-pppd日志（pppdump格式）

　　- VMS的TCPIPtrace / TCPtrace / UCX $ TRACE實(shí)用程序的輸出

　　- DBS Etherwatch VMS實(shí)用程序的文本輸出

　　- 視覺(jué)網(wǎng)絡(luò)的可視上傳時(shí)間流量捕獲

　　- CoSine L2調(diào)試的輸出

　　- Accellent的5Views LAN代理的輸出

　　--Endace測(cè)量系統(tǒng)的ERF格式捕獲

　　-Linux Bluez藍(lán)牙堆棧hcidump -w跟蹤

　　沒(méi)有必要告訴Ethereal你正在閱讀什么類(lèi)型的文件;它將自己確定文件類(lèi)型。 Ethereal也能夠讀取任何這些文件格式，如果他們使用gzip壓縮。 Ethereal直接從文件中識(shí)別這一點(diǎn);為此目的不需要'.gz'擴(kuò)展名。