Ethereal 用户手册

Ethereal是一个许多网络管理员喜欢使用的软件，但是由于Ethereal的文档不是很丰富，网络管理员有时不能通过Ethereal得到他们想要的东西

这篇文档就是Ethereal小组为改进Ethereal的可用性所做的一点努力。

希望它对你有所帮助，并且期望能得到你的建议

任何使用Ethereal的人都可以是这本书的读者。

这本书介绍 了Ehereal的所有基本内容及一些Ethereal提供的特别功能。由于Ethereal已经是一个非常复杂的综合的程序，因此并不是每一个优点都做了说明。.

这本书的目的不是解释网络嗅探，应此并不讲解协议的具体内容。与这些内容相关的信息可以通过下面的Ethereal Wiki这个网站获得，网址是：http://wiki.ethereal.com

通过读这本书，你将学到怎样安装Ethereal，怎么使用基本的图形元素以及一些高级特性。这本书对于Ethereal初学者解决常见的一些问题是非常有用的。

作者感谢Ethereal小组的协助。另外，作者还要对下面的人说一声谢谢，他们是：

也将感谢下面这些人为篇文档给出的反馈

也将感谢那些man页及readme文档的作者们，该文档加入了他们写的一些内容

这本书的发起者是Richard Sharpe [Peter:with funds provided from the Ethereal Fund.]  Ed Warnicke 进行了更新，最近进行的重新设计及更新是由Ulf Lamping完成的。

该文档是用DocBook/XML写的。

该书使用的一些特殊标记

可以从下面的地址获得该文档的最新版 本： http://www.ethereal.com/docs/#usersguide.

对该文档的任何反馈，请发E-mail给作者，邮箱是： ethereal-dev[AT]ethereal.com.

Ethereal是一个网络包的分析仪。网络分析仪通常试着去捕获网络包，然后尽可能详细的显示出那个包所包含的数据。

你或许觉得网络分析仪就象是一个测量仪，能够测量网络线缆里经过的数据。就象是电工使用的伏特计，可以测试电缆里的电压。(当然，Ethereal在一个更高的层次上).

在过去，这样的工具即昂贵，又很少见到。但是随着Ethereal的出现，这一切被改变了

或许Ethereal是今天最好的基于开放源代码的网络包分析仪之一。

Ethereal目前可以运行很多的UNIX平台及Windows平台。不过需要GTK+, GLib, libpcap及其它一些库文件的支持。

如果对于某个特定平台没有相应的可执行包，可以下载源码进行编译，你的经验可以发到下面的邮箱： ethereal-dev[AT]ethereal.com.

下面的平台已经有了相应的可执行包（Binary packages）

Ethereal website: http://www.ethereal.com/download.html，可以从这儿获得Ethereal的最新版本。也可以从这个网站的镜象站点下载。

通常每4-8周，将会有一个新版本出现。

如果当有新版本出现时得到一个通知，你可以订阅Ethereal-annouce邮件列表。具体请参见1.7.4, “邮件列表”.

William Shakespeare wrote: "A rose by any other name would smell as sweet." And so it is with Ethereal, as there appears to be two different ways that people pronounce the name.

有些人读作ether-real, 而有些人读作it e-the-real, [peter:因为它如此的可怕 原文：as in ghostly, insubstantial, etc. ]

你可以任何称呼它，FAQ给出的发音是"e-the-real".

1997年末, Gerald Combs需要一个工具来跟踪网络崩溃问题，并且想学习更多的网络知识，因此他开始写Ethereal软件。.

经过几次停滞，Ethereal在1998年7月首次发布了，当时的版本是0.2.0. 几天内，补丁、bug报告，还有一些对这个软件表示赞赏的言论都开始出现了，Ethereal走上了成功之路。

不久之后，Gilbert Ramirez 看到了它存在的潜能，于是贡献了一个底层的解码器给Ethereal。

1998年10月Network Appliance公司的Guy Harris要找一个比tcpview好一点的工具，于是他开始对Ethereal提供patch及一些解码器。

1998年末, Richard Sharpe要教TCP/IP课程, 看到了Ethereal对其课程的帮助力，于是开始关注这个软件是否支持他需要的协议。当有不支持的协议时，他就将这些新的解码器加进去，还包括一些补丁。

给Ethereal做出贡献的人的名单已经很长了，他们中几乎所有人都是因为他们需要一个协议而Ethereal当时无法持的情况下与Ethereal开始的，因此他们通常拷贝一个解码器，再把源码发回给Ethereal小组。

Ethereal最初是由Gerald Combs开发的。现在Ethereal小组负继续的开发及维护工作。Ethereal小组是一个松散的小组，由于许多修复BUG及提供新功能的个人组成。

也有非常非常多的人提供协议解码器，希望这种情况能保持下去。通过点击“About Ethereal”对话框，你可以看到这些人的名单，或者在网站上的authors页面

Ethereal是一个开放源代码工程，它的发布是基于GNU General Public Licence (GPL). 在GPL下，所有源代码都是免费使用的。你可以修改Ethereal以适应自己的需求，同样欢迎你将自己的改进反馈给Ethereal 小组。

如果将你的改进反馈给小组，你能获得下面三点好处：

源代码及可执行套件在网站的下载页面： http://www.ethereal.com/download.html.

如果你有问题或需要帮助，下面这几个地方或许对你有用（当然也包括这本手册）

$ gdb `whereis ethereal | cut -f2 -d: | cut -d' ' -f2` core >& bt.txt

backtrace

^D

$

就象任何事情都有开始一样，开始使用Ethereal之前，需要完成：

目前，只有两三个Linux 发布版包括了Ethereal，而且通常都是较老的版本，其它UNIX版本都不带Ethereal。微软的Windows的任何版本也没有附带Ethereal，因此，你需要知道从何处去得到最新版本及如何安装

这一章将讲述如何获是源代码和二制制包，怎样从源代码去创建Ethereal。［peter:怎么译？should you choose to do so. ］

下面是通常的几个步取骤：

源代码及二进制发布包可以从Ethereal网站获得http://www.ethereal.com.。选择download（下载）链接，然后选择源代码或二进制包，可以从离你最近的镜象站点下载。

一旦下载完了相关的文件，就可以进入下一步了

在创建、安装Ethereal之间，需要确认已经安装了下面的包：

至于是通过RPM方式还是通过源代码创建这些包，这取决于你自己的系统。

如果已经下载了GTK+的源代码， 例子 2.1, 通过源代码创建GTK+ 或许对你创建包有所帮助

gzip -dc gtk+-1.2.10.tar.gz | tar xvf -

<much output removed>

cd gtk+-1.2.10

./configure

<输出省略>

make

<输出省略>

make install

<输出省略>

如果按照 例子 2.1, 通过源代码创建GTK+ 的步骤做时出现问题，请参考GTK＋网站。

如果你下载了libpcap源代码， 例子 2.2, 创建和安装libpcap” 的步骤将协助你创建它。另外，如果你的操作系统不支持tcpdump，你或许也想下载并安装它（从tcpdump 网站）[peter:搞不明白什么意思]

gzip -dc libpcap-0.8.3.tar.Z | tar xvf -

<输出省略>

cd libpcap_0_8_3

./configure

<输出省略>

make

<输出省略>

make install

<输出省略>

make install-incl

<输出省略>

当安装include文件时 ，可能会得到一些错误提示， 例子 2.3, 安装bpcap include文件时遇到的一些错误

/usr/local/include/pcap.h

/usr/bin/install -c -m 444 -o bin -g bin ./pcap-namedb.h \

/usr/local/include/pcap-namedb.h

/usr/bin/install -c -m 444 -o bin -g bin ./net/bpf.h \

/usr/local/include/net/bpf.h

/usr/bin/install: cannot create regular file \

`/usr/local/include/net/bpf.h': No such file or directory

make: *** [install-incl] Error 1

如果你遇到了上面的错误，只要简单的用下面的命令创建丢失的目录就可以了

mkdir /usr/local/include/net

然后返回到命令行重新make install-incl.

在RedHat 6.x 或更新的版本下 (或者基于它发布的，比如Mandrake) ，可以容易的安装每一个你需要的rpm包。大多数Linux系统将安装GTK+和Glib。但是你或许需要安装，however, you will probably need to install the devel versions of each of these packages. 在例子 2.4, 在RedHat Linux 6.2及更新版本下安装所需的RPMs 给出全部需要的命令

cd /mnt/cdrom/RedHat/RPMS

rpm -ivh glib-1.2.6-3.i386.rpm

rpm -ivh glib-devel-1.2.6-3.i386.rpm

rpm -ivh gtk+-1.2.6-7.i386.rpm

rpm -ivh gtk+-devel-1.2.6-7.i386.rpm

rpm -ivh libpcap-0.4-19.i386.rpm

Debian下安装时可以使用apt-get。 apt-get能够帮助用户处理包之间的相关性问题。 例子 2.5, 在Debian下安装debs 给出了安装方法

apt-get install ethereal

在UNIX操作系统下，通过源代码创建Ethereal，可以按以下步骤：Use the following general steps if you are building Ethereal from source under a UNIX operating system:

tar zxvf ethereal-0.10.14-tar.gz

gzip -d ethereal-0.10.14-tar.gz

tar xvf ethereal-0.10.14-tar

./configure

make

make install

使用上面的make install 安装完成后，通过在命令行输入ethereal，就可以试着运行了。

通常，在UNIX下安装二进制包，每一个版本的UNIX是各不相同的。例如：在AIX下，使用smit 来安装Ethereal二进制包，而在Tru64 UNIX (formerly Digital UNIX)通常使用setld.

rpm -ivh ethereal-0.10.5-0.2.2.i386.rpm

apt-get install ethereal

在安装过程中会有一些错误出现，这里提供一此解决这些问题办法

如果configure 命令失败，需要找出原因，可以检查config.log 文件来查找为什么的败（该文件在源文件目录下），这个文件的后面几行可以帮助你定位问题。

一个常见的问题是没有GTK+或者GTK+的版本太老。如果没有libpcap也会造成configure 失败

另外一个常见问题发生在最后编译和链接（link）语句，通常会给出一个Output too long（输出太长）的提示信息。这种情况很可是由于sed的版本太旧造成的（比如Solaris自带的一个)。 因为libtool 脚本使用 sed h去组织最后的链接命令，这就产生了这个怪问题。解决办法是去下载一个新版的 sed （从 http://directory.fsf.org/GNU/sed.html）.

如果无法确定问题到底出在哪儿，就将遇到的问题发到ethereal-dev 邮件列表，并附上config.log的输出及你认为任何有关的内容

除非想在Windows平台进行开发工作，否则建议安装二进制型的安装包。

在Windows平台下怎么通过源代码创建Ethereal的补充资料，请参见http://wiki.ethereal.com/Development ，里面包含着最新的开发文档。

在这一部分对Windows下安装可执行包做出说明。

ethereal-setup-0.10.13.exe /NCRC /S /desktopicon=yes /quicklaunchicon=no /D=C:\Program Files\Foo