The Ethereal Network Analyzer

the ethereal network analyzer是一个专业的网络抓包调试软件，可以用本软件进行网络检测，实现网络包的获取，可以对网络进行抓包，数据抓取等并分析的功能。功能介绍
　　1.在实时时间内，从网络连接处捕获数据，或者从被捕获文件处读取数据；
　　2.ethereal可以读取从tcpdump（libpcap）、网络通用嗅探器（被压缩和未被压缩）、sniffertm专业版、netxraytm、sunsnoop和atmsnoop、shomiti/finisar测试员、aix的iptrace、microsoft的网络监控器、novell的lanalyzer、radcom的wan/lan分析器、isdn4bsd项目的hp-uxnettl和i4btrace、cisco安全idsiplog和pppd日志（pppdump格式）、wildpacket的etherpeek/tokenpeek/airopeek或者可视网络的可视uptime处捕获的文件。此外ethereal也能从lucent/ascendwan路由器和toshibaisdn路由器中读取跟踪报告，还能从vms的tcpip读取输出文本和dbsetherwatch。
　　3.从以太网、fddi、ppp、令牌环、ieee802.11、atm上的ip和回路接口（至少是某些系统，不是所有系统都支持这些类型）上读取实时数据。
　　4.通过gui或tty模式tethereal程序，可以访问被捕获的网络数据。
　　5.通过editcap程序的命令行交换机，有计划地编辑或修改被捕获文件。
　　6.当前602协议可被分割。
　　7.输出文件可以被保存或打印为纯文本或postscript格式。
　　8.通过显示过滤器精确显示数据。
　　9.显示过滤器也可以选择性地用于高亮区和颜色包摘要信息。
　　10.所有或部分被捕获的网络跟踪报告都会保存到磁盘中。
使用方法
　　启动ethereal以后，选择菜单capture->start，就ok了。当你不想抓的时候，按一下stop，抓的包就会显示在面板中，并且已经分析好了。
　　ethereal使用-capture选项
　　interface：指定在哪个接口（网卡）上抓包。一般情况下都是单网卡，所以使用缺省的就可以了
　　limiteachpacket：限制每个包的大小，缺省情况不限制
　　capturepacketsinpromiscuousmode：是否打开混杂模式。如果打开，抓取所有的数据包。一般情况下只需要监听本机收到或者发出的包，因此应该关闭这个选项。
　　filter：过滤器。只抓取满足过滤规则的包（可暂时略过）
　　file：如果需要将抓到的包写到文件中，在这里输入文件名称。
　　useringbuffer：是否使用循环缓冲。缺省情况下不使用，即一直抓包。注意，循环缓冲只有在写文件的时候才有效。如果使用了循环缓冲，还需要设置文件的数目，文件多大时回卷
　　其他的项选择缺省的就可以了