Ethereal是一個功能強(qiáng)大的抓包工具,它提供的GUI工具能將經(jīng)過網(wǎng)卡的信令捕獲并實(shí)時顯示,但是在實(shí)際應(yīng)用中,我們還可能要對捕獲的日志進(jìn)行分析,以獲得自己關(guān)心的信令的統(tǒng)計(jì)結(jié)果,但是這樣就面臨著以下幾個問題:
1. 當(dāng)Ethereal自身提供的簡單統(tǒng)計(jì)功能不能滿足需求時,我們該怎么辦?
2. Ethereal的GUI工具生成的日志是它專有的libpcap格式,不適合人類閱讀,我們該怎么分析它?
本文針對上述問題提供了一整套的解決方案。
一. 用Ethereal實(shí)時捕獲信令。
Ethereal提供了從命令行定制啟動的方案。我們可以利用這個特點(diǎn)將capture file輸出到指定的目錄,這個capture file將被Ethereal實(shí)時更新。
下面是我寫的一個windows bat文件,用該文件能做到最簡單地啟動Ethereal截包,不用用戶學(xué)習(xí)怎樣配置Ethereal。
…………………………………………………………………………………………………………
rem @echo off
set ETHEREAL_HOME="D:\Program Files\Ethereal\ethereal.exe"
set NETWORK_CARD="\Device\NPF_{D239E06D-D86E-4CFC-A360-0D74CDD21CAE}"
set ETHEREAL_OPT=-i %NETWORK_CARD%
set ETHEREAL_OPT=%ETHEREAL_OPT% -klSQ
set FILTER_STR="port 6000 or port 6001 or port 6002 or port 6003 or port 6004 or port 6005 or port 6006 or port 6007 or port 6008"
rem set ETHEREAL_OPT=%ETHEREAL_OPT% -f %FILTER_STR%
set ETHEREAL_OPT=%ETHEREAL_OPT% -o capture.real_time_update:TRUE -o capture.auto_scroll:TRUE -o capture.show_info:FALSE -o print.format:text -o print.destination:file -o print.file:ethereal.out
rem -a filesize:1000 files:5 -b filesize:1000 files:5
call %ETHEREAL_HOME% %ETHEREAL_OPT% -w c:\ethereal.out
…………………………………………………………………………………………………………
將上面這段script存為bat文件后,設(shè)置好ETHEREAL_HOME和網(wǎng)卡即可啟動Ethereal截包。
二. 實(shí)時分析Ethereal的中間人實(shí)現(xiàn)。
“計(jì)算機(jī)科學(xué)中的所有問題都能通過中間人的方式解決。”這是精通EJB中強(qiáng)調(diào)了很多次的名言。
在上節(jié)所示的腳本中我們將Ethereal的存放日志的文件放在了“c:\ethereal.out”目錄下,這個文件能被Ethereal實(shí)時更新,但是它的內(nèi)容卻是不可讀的,我們可用Ethereal提供的Tethereal工具將此文件轉(zhuǎn)換為適合人類閱讀的文本。但是這個工具僅能將標(biāo)準(zhǔn)的capture file解析成可讀文本并在標(biāo)準(zhǔn)輸出設(shè)備顯示(一般為顯示器),沒有找到將其另存為文本的方法,我們也不需要此方法。可以用java.lang.Runtime.exec()方法執(zhí)行“tethereal -r infile.cap -V”,獲得這個進(jìn)程的對象后我們可以得到這個進(jìn)程對象的輸出流對象,接下來我們可以從這個輸出流中讀出結(jié)果進(jìn)行分析。
三. 得到實(shí)時的統(tǒng)計(jì)結(jié)果
可以對從輸出流中得到的可讀結(jié)果進(jìn)行分析,獲得自己想要的統(tǒng)計(jì)結(jié)果。我們可以用一個線程以一定的時間間隔刷新此輸出流,已達(dá)到用戶認(rèn)為的實(shí)時分析的效果。
參考:
http://www.ethereal.com
java doc
?
?
后來想到的更好的方案:
這種方式有一個顯著的缺點(diǎn),如果用戶截包時間的變長,ethereal保存log的文件越來越大,將導(dǎo)致每次刷新輸出流越來越耗資源,最后將導(dǎo)致工具無法使用。
新的解決方案就是用ethereal的命令行版本,tethereal就可以完美避免類似問題。
用java的runtime.exec()調(diào)用此腳本:
-------------------
set TETHEREAL_HOME="D:\Program Files\Ethereal\tethereal.exe"
rem call cmd /k %TETHEREAL_HOME% -r c:\ethereal.out -R tcp -T text -V
call cmd /k %TETHEREAL_HOME% -r c:\ethereal.out -T text -V
----------------
ethereal每截到一個數(shù)據(jù)包,便會將次包送給輸出流。這樣就能真正做到實(shí)時分析了。