Ethereal 抓網路封包+封包內容分析+看明碼連線內容
 

Ethereal軟體介紹

Ethereal 封包監聽器，是一套網管人員必備的超強軟體。舉凡在網路故障排除，監聽異常封包，軟體封包問題檢測等等問題，甚至包含針對網路通訊協定的教育訓練，都可以利用這套免費的軟體來做到。

Unix 及 Windows 平台封包擷取、網路分析程式 - Ethereal，可以從動態的網路擷取封包，或者是由硬碟中擷取檔案來檢查資料，您可以同時瀏覽每一個封包的擷取資料內容、檢視概要及詳細資訊，還有強大的過濾器語言顯示、檢視重建的 TCP session 串流功能。

不久之前，Sniffer 和 NetXRay 大概是網管人員最熟悉的封包監聽軟體，但 Ethereal 這套免費的軟體，由於採取開放原始碼的方式，更新通訊協定 Protocol 迅速，支援不同軟體匯出的封包擷取檔案格式，目前廣為世界各地專業網管使用。

很容易的可以選取擷取封包時間，主要透過圖形介面來表示，清晰易懂。此外，使用過濾的功能，可以讓你輕易的判別出封包種類，可以讓你清楚的分析網路中各式各樣流竄的封包內容。

目前支援620種不同的 Protocol，還在持續增加之中。相容的封包擷取檔案格式包含：tcpdump、, NAI 的 Sniffer，NetXray，Sun snoop，AIX 的 iptrace，Microsoft 的 Network Monitor，Novell 的 LANalyzer，Cisco 的 IDS iplog 等，幾乎全部知名的封包擷取軟體，通通都可以在這套軟體中讀取檢視。

目前各種不同的作業系統幾乎都有不同的版本可以支援使用。可以到網站中下載不同平台的版本。

說到抓封包看內容來說，這一套免費軟體說是超強，支援協定出乎意料的多，常常更新版本，可惜的是目前還沒有繁體中文版本

本文讀者要先知道的智識：ISO 7和TCP/IP協定，FTP基礎使用

教學內容：這一次的教學，我要使用Ethereal找出本台電腦FTP的連線密碼

以目前筆者使用最新的版本為0.99.0
也以這一版本作介紹使用方法請到http://www.ethereal.com/
左上角有一下載處Download Now，點一下下載


這邊有分不同的作業系統有不同版本，Ethereal支援多種作業系統喔


這邊其實也有以前的版本下載，打上http://www.ethereal.com/distribution.../all-versions/
這有以前的版本，還包括了windows系列使用Ethereal前一定要先安裝的WinPcap，不過，自從0.99.0之後的版本，都不用另外下載安裝winpcap了，因為都封裝在ethereal裡面，那之前的版本就必須要另行下載安裝winpcap了


下面這張圖就是下載回來後的檔案清單，有各種版本，其中winpcap3.0和winpcap3.1是因為ethereal0.10的版本要另外下載安裝


執行安裝過程的第一個歡迎畫面


這是協議書


這是選擇要安裝的套件內容，一般都全選了


這是選擇要在那裡建立始動捷徑
start menu group=在開始->程式集->
desktop icon=桌面
quick launch icon=快速工具列

而下面file exetnsions勾勾的就是說要把那一些副檔名和ethereal建立關聯


選擇安裝的路徑


也就是我之前所說的，winpcap已經寺裝在一起了，所以在這裡要選擇安裝winpcap 3.1


開始複製檔案了……


會特別跳出winpcap的安裝程式












已經安裝完成


這是ethereal的軟體畫面了


我們開始來抓封包了，點選Capture->Options


在Interface選項裡，選擇你要抓封包的網卡，我這張圖裡有5張網卡，但我上網的是RTL8139，我就選擇RTL8139


選好再按START


這是在抓封包的過程，可以觀察得到各協定所抓到的封包數量(同時也可以看看協定比例對不對)，你覺得抓得到你想要的封包時，就可以按STOP了，不過我先不按，因為這一次的教學我要找出FTP的連線密碼，當然要先作ftp連線結束才再來按stop


我打開我的ftp 用戶端，要連線的主機，帳號，密碼都打上了，按下我的connect連線


YA！連線成功


認證成功，伺服器回應的訊息


這就是一般的ftp連線登入認證時所有過程，那到底ftp軟體做了些什麼事情呢！？我們一來看看封包的內容吧


我們回到這個畫面，按下stop來停止封包抓取的動作


按stop後的畫面，這畫面有分三大部份

1.最上面的是似照封包的接收順序來排序的，就是左邊的1.2.3.4.5.6.7......每一行就是一個封包
2.中間是每單一個封包的內容，大致上有四行，這四行是TCP/IP協定內所定意的四層，最上面是

第一層-實體層和網路介面層(frame)
第二層-網路層(包括來源ip和目的地ip，有時候也有mac address)
第三層-協定的種類(如http,ftp,telnet,pop,smtp..........)
第四層-應用層(包括所傳送的內容，帳號，密碼，或msn的通話內容......這一層也是單一封包內容最多的)

參考圖片：
3.最下面的畫面是封包真正的內容，也就是01010101010......的，不過是以16進位法表示的(看得懂的才有鬼呢...)

因為我們所抓的封包，是只要有經過我們網卡上的封包都會被抓下來，包括是我們要的，不是我們要的，都會抓下來，如何找出我們真正想要的封包呢？

我們來點選上一圖Expression...的按鈕，會出現下圖，這是一個封包搜尋器輔助工具，也就是可以輔助我們輸入正確的關建字


在左邊選出我們要的協定或關鍵的字串，我們這一次是找ftp的封包，所以選完ftp就好了，如果按+號，會出現更多的細項，但我們不需要，所以直接按ok就好




還沒搜索出來，因為剛剛只是輔助我們輸入正確的關建字，現在在關建字多了ftp三個英文字，現在再按Filter，會出現下圖

這是一些說明及搜尋ftp封包時所定的條件，可以不用理會直接按ok(或在上圖中直接按Alpply)

這樣上圖的protocol(協定)的欄位只有ftp了，這樣就可以找到這一次封包中所收集的ftp封包


似照封包的順序來排列，這是第11個封包

我們直接看第四層內容
這個封包是ftp主機先say hi，說他自己是存在的，再要求我們提供資料(其中\n是Enter鍵的意思)

那我們看看我們給ftp主機什麼東西，看第12個封包

我們也是直接看第四層內容
我們的ftp軟體會輸入指令USER，再接是帳號netbird(按+是分析Request commanr:USER<回應指令是:USER>,--Request arg:netbird<回應內容是:netbird>)

下面是伺回應，第14個封包，有該帳號存在，該帳號需要密碼，請輸入密碼


我們到送出密碼的封包，是第15個封包，如下圖

看到了密碼是2pzwst87

因為ftp協定是明碼傳送封包的，所以使用ethereal是可以看得到的，明碼傳送密碼的協定有
telnet,http,ftp,pop,smtp.....等

如果說不要被看到密碼的，那就請用SSL,HTTPS,POP+SSL,SMTP+SSL,SSH.....


以上教學為教學之用，請勿使用以上技術偷竊別人的連線帳號及密碼

以上文章歡迎轉貼，但請註明出處於
<史萊姆的第一個家-附設討論區-網路疑難應用技術研討區By飛鳥>

如看不到圖片可到
http://netgames123.blogspot.com/2007/10/ethereal.html

阿鳥大辛苦了,善用Ethereal工具可以讓MIS監控工作更得心應手,但是要解析封包含義就需要多觸碰累積經驗,很多國外都是透過這軟體作監控的唷!

如果內容有問題，要指正喔

還不錯喔~~只是解析感覺好複雜，RPM測試看看~

很多玩線上遊戲的朋友常常問我會不會看封包

我說會呀

他們說要教他們，但他們大多都三分鐘熱度就放棄了......:dcft689kj

飛鳥哥要教我 我可以撐5分鐘喔~~:ddrf567h:
要是是美女教我 我應該可以學到會還裝不會.....:n3:

那我叫cgirl大姐頭教你吧~

這該不會是用於任何時候只要有下載or登錄的時候都可以抓嚕??

是的，包括你在yahoo登入的帳號密碼都可以看

不過你要先練習看得懂:n4:

謝謝分享..
又多學了一點...

ㄟ...你是大鳥大師捏,我指啥...我受教都來不及了~~:ddrf567h:

吃肉包我也會.....:dcft689kj
搞不好我還吃得比妳有力與美~~:n4:

真是受用無窮啊～謝謝大大的分享喔~

謝謝分享..
又多學了一點

今天大大示範教學是抓本機的封包，請問有沒有辦法抓內網內，其他機器的 封包。

這是一個好問題

我這樣說好了，只要經過你的網卡的封包都可以抓下來看，就是那是給旁邊的電腦的封包，萬一經過你的網卡，也是會抓下來的

所以，封包會不會經過你的網卡，就要看你的室內網路線怎麼連的

以一般的星狀網路來說，通常只收到自己的封包和廣播封包



而如果是環狀網路、或匯流排網路來說，每一個封包都會經過你的網卡

________環狀網路___________________________匯流排網路



所以你的問題不是有一定的答案的

謝謝飛鳥大大詳細的講解，豁然開朗。以星狀網路來說，只要在 HUB 前加個兩片網卡的伺服器，也是個變通的辦法。

不好意思，請問飛鳥大一個問題！

我在 Ethereal 網站上頭看到 Development Releases，這是不是可以使用 gcc 來 make 的 source 呢？

剛剛才踏入 Liunx 領域的菜鳥敬上！

是的， Ethereal是開放原始碼的軟體，你可以去下載程式碼，回家改成你想要的軟體

我想問個問題~
要是想搜尋特定字詞要怎麼搜尋阿~

看到 Ethereal 突然想到之前困擾了我一陣子的問題(現在也還沒解決)
阿鳥老大對 Certificate 不知是否熟悉 ^__^

是這樣的，我想在 vsftpd 伺服器上套用 TLS，但是搞不清楚到底 Certificate 該怎麼配置:56gtyhu:

使用 OpenSSL 建立 CA 沒問題，建立自己的 Certificate、Private key 也沒有問題，
但問題是要啟動 vsftpd 的 TLS 功能，必須要在 vsftpd.conf 設定 Certificate、Private key 的所在位置。然後當 ftp client 要連線時也要指定Certificate、Private key，我都給它搞混了，意思是說必須要簽發一份數位憑證給 ftp Server，然後再另外簽發一份給 ftp client 嗎？



先謝過阿鳥老大的指教 ^__^

搞定了 ^ ^a
http://www.slime2.com.tw/forums/show...56#post1619156

哇...........

超強的..

給你拍拍手:ahhh:

感恩感恩 右學到了不少ㄟ:n7:

很久沒用ethereal，不知何時改名成 wireshark 了 XD
好像是本來的開發團隊跳槽，但是原本的那間公司對 ethereal 這個名字有商標權
所以原作者只好把它改名成 wireshark，然後另起爐灶

wireshark 的 command line 模式還挺好用的 ^^a
有內建許多統計功能，只要使用 -z 選項配合相關的參數使用即可
例如要看packet summary，只要使用 tshark -z io,stat,1 -q -n -i eth0 即可
然後再搭配shell與MRTG，就可以畫出任何想要的圖表，很有彈性



===
實在是不想裝 X windows = =a

command mode 下的指令是tcpdump

可以去找找資料，再加上管線，不錯用的

tcpdump 是另外一套，沒有方便使用的統計功能，可惜了(還是我不會用？

不知為什麼我新版裝完要開啟時會出現錯誤，然後Ethereal就自動關掉了:on_53:

其實我只想找一些簡單的抓封包軟體，類似Kav防毒軟體裡面那個Web Anti-Virus功能

這麼用心的分享
讓在下受益良多(雖然還不是很懂)
但是一定要推的啦

哇~~
果然看起就不簡單~
感謝大大~
待我研究出心得再與各位討論~
謝謝

大大們幫幫忙!因為要最近要寫作業!前幾天還看到有圖檔為什麼不見了!感激不盡!謝謝

你可以用goolge找"教學"

話說你不回文 我還不知有這軟體~ :ddrf567h: tyvm

如果不行可以到我的blog
http://netgames123.blogspot.com/2007/10/ethereal.html
看看

大大們~我是新手中的新手喔~
我已經成功抓取封包並找出了想要的封包和字節
但是怎麼才可以即時修改封包的內容? (老實的說我是想修改遊戲的:p)
我試過用wpe~但wpe 過不了遊戲的np......
希望大大可以教教我呀~
謝謝了

ethereal是個很專業的軟體，解封包就很:on_77::on_77:
研究到後來:on_69::on_51::on_22:

這不討論破解封包的，這只是分析軟體，不能修改再送出
因為每一個封包都流水號的

又學到一些網路知識了，感謝大大辛苦的製作與解說，有你真好。

真是太好了 謝謝優
:on_14:

好棒的一篇教學文,受用了!

在此請教一下
我目前用的是Ethereal 1.0.2板
操作介面應該都差不多
但解析出來的介面有些看不懂


capture之後出現的畫面有很多顏色標示
黃、綠、紫、藍底色的應該就是正常的?
灰底色應該是有安全疑慮!?
黑底紅字應該就很明顯是危險封包吧!?
紅底黃字也應該是危險的封包吧!?

Ethereal現在已經停止開發了
因為作者已經跳槽到別間公司
軟體版本改成叫作Wireshark，使用方法和介紹都差不多
http://www.wireshark.org/
顏色嘛，一般都是分析出封包的種類，沒辦法看安全不安全啦