Ethereal解析以太网帧

Ethereal 是一款支持 Unix 和 Windows 系统的免费网络协议分析工具。它不仅能实时捕获网络中的数据包并进行分析，还能读取并解析其他嗅探软件保存在本地磁盘的数据文件。该工具具备强大的协议解析能力，目前已可识别和解析多达 761 种协议。用户可通过界面中的Help菜单，选择Supported Protocol子项，查看所有受支持协议的详细列表与说明信息，便于深入分析各类网络通信内容。

1、 启动网络协议分析工具Ethereal软件程序

2、 点击Capture菜单中的Interfaces…选项，系统将弹出Ethereal: Capture Interfaces对话框，用于设置和管理捕获接口。

3、 该界面显示了本机已安装的网络适配器列表，点击Details可查看各适配器的具体信息。图中可见当前可用适配器的IP地址为10.0.1.94。如需立即捕获网络数据包，可直接点击Capture按钮开始；若希望先进行详细配置，可选择Prepare按钮，在完成相关设置后再启动捕获任务，便于更精确地获取所需网络流量信息。

4、 点击Prepare按钮后，将弹出名为Ethereal: Capture Options的设置对话框。

5、 该对话框显示了当前可用的适配器、本机IP地址、数据捕获缓冲区大小、是否启用混杂模式、最大捕获包长度以及数据捕获过滤规则等配置参数。

6、 点击开始按钮后，网络数据包捕获随即启动，并弹出Ethereal：从……捕获的对话框。

7、 该对话框显示已捕获数据包的数量统计及所用时间。用户点击停止按钮可中断捕获进程，随后即可对已获取的数据进行详细分析。

8、 打开命令提示符，输入Ping命令检测本机与网关是否连通。

9、 使用Ping命令检测本机与网关的连通性时，本地会发送4个ICMP请求包，网关则回应4个应答包，共计8个数据包，这些报文均可被网络协议分析软件完整捕获。

10、 点击停止按钮以终止捕获，所获数据所示。

11、 该界面划分为三个区域：数据包列表、协议树和十六进制对照。列表中清晰显示了8个ICMP数据包。当选中任一区域中的内容时，其余两个区域会同步实时更新显示信息。

12、 第二扇窗

13、 Ethereal II用于标识MAC帧中的地址信息。

14、 IP地址是互联网协议中用于标识设备的数字标签。

15、 传输控制协议中的TCP端口号用于标识通信的端点。

16、 第三扇窗

17、 以十六进制呈现的数据包内容，反映了其在物理介质中传输时被截获的真实形态。

18、 协议树区域内的以太网帧结构是否遵循Ethernet II标准格式。

19、 重新启动网络数据包捕获，访问若干网页后停止，检查捕获的数据包，查看以太网帧类型字段的数值，并确定其对应的协议类型。