ethereal的常用分析

《ethereal的常用分析》由會員上傳分享，免費在線閱讀，更多相關內容在教育資源-天天文庫。

1、ethereal的常用分析ethereal作為一個抓包工具有非常廣泛的應用，更為出色的是它協(xié)議分析的能力。缺省的協(xié)議分析庫已經支持常見的所有協(xié)議，對跟我們業(yè)務相關的SMPP/MMSE也可以很好的支持。它甚至能分析GSMA口BSSMAPISUP等接口數(shù)據(jù)。在我們日常應用中.常需要分析的就是MM1/3/4/7口的數(shù)據(jù)。分析數(shù)據(jù)的第一步是取得原始數(shù)據(jù)。就ethereal來講，它本身是帶有抓包功能的，但是unix版本的安裝是一個比較麻煩的過程，而許多版本的unix缺省安裝已經帶一個抓包工具snoop關于這個工具的使用，可以參考mansnoop.需要說明的是

2、snoop輸出的文件格式遵循RFC1761，因此只要支持該RFC的工具均可以分析其輸出文件。這里我只介紹snoop的常用操作。snoop–ofilenameexp-o指示抓的報文輸出到filenameexp指示所抓的內容。常用的表達式指示關鍵詞有host,ip,port等.這些關鍵詞有可以有修飾詞dst/src等.一個表達式由一個或多個布爾元素組成。布爾元素之間用AND,OR,andNOT連接。常用的表達式如host211.136.23.101dsthost211.136.23.101tcpport9080httpsmtp等比如要抓通告消息，可以使

3、用命令snoop–opush.msgtcpport9080（前提是已知通告下發(fā)使用9080端口）或者snoop–opush.msghost211.136.23.101(前提是已知通告下發(fā)使用211.136.23.101的網關)表達式的靈活選取可以讓我們一次抓到所有需要的數(shù)據(jù)，而又不會導致輸出文件太大。前面已經講了抓報工具的使用，下面應該講對取得的原始數(shù)據(jù)怎么分析了：1．我建議安裝windows版本的ethereal.2．把snoop抓到的報文用bin方式傳送到ethereal可以訪問的目錄下，注意目錄/文件名不要包含漢字/空格。3．使用file/o

4、pen菜單打開需要分析的報文原始文件。由于原始文件可能包含所有數(shù)據(jù)往來，而我們一次分析只關注某協(xié)議的某個方向的數(shù)據(jù)。這時候filter可以起上大作用了。圖14．filter也是一個表達式，語法基本基于各協(xié)議的描述.如http有request/response表示請求和答。如我們的PUSH消息是放在httppost中提交的。因此http.request可以過濾掉其他信息，而只留下http.request消息。如果原始數(shù)據(jù)里面還是包含其他的http.request消息(mm7AO消息就是httppost提交的),可以進一步強化filter的條件.如ht

5、tp.requestandip.dsteq211.136.23.101(211.136.23.101是WAPGW的地址)這里，有時雖然我們使用HTTP協(xié)議交互消息，但是并不使用標準的80端口，怎么讓ethereal知道某個端口就是使用的HTTP協(xié)議呢？在你所見的任意一個包含該端口的數(shù)據(jù)包上右鍵，選擇decodeas菜單項，然后在彈出的對話框右邊的指定你要的協(xié)議，即可。源/目的端口取決與實際使用的端口，如實際使用9080作為httppost的目的端口，則選擇目的端口，decodeas圖2選擇了decodeas之后，ethereal使用指定協(xié)議分析指定

6、端口的數(shù)據(jù)?？梢栽趗serspecifieddecodeas菜單中看到圖3選擇clear可以將你認為不需要的端口解析去掉。圖1紅色方框右面的tips提示的是抓得該數(shù)據(jù)包的文件大小和持續(xù)時間，時間是以HH:MM:SS的形式表示。結合前面的filter，選擇save看displayed(紅色方框所示)這個數(shù)字除以持續(xù)的時間即可得到對應請求的平均速率。圖4看某個數(shù)據(jù)包所屬連接上的數(shù)據(jù)往來。請選擇對應的數(shù)據(jù)包，然后右鍵選擇FollowTCPSTREAM這樣可以看到在這次連接上的所有數(shù)據(jù)交互。得到如下圖圖5