Ethereal是抓包着一个GUI网络协议分析仪 ，它可以让你从交互实时的工具 官网络校验分组数据或从以前保存的数据中捕获文件，该软件可以自动分辨抓包的拥穿文件类型
，能够读取任何抓包格式的式版文件格式
，将里面的抓包着数据铺开铺开实时分析，扶植用户抓取需要的工具 官黑神话悟空辅助菜单下载数据类型；Ethereal的有一些功能使其具有唯一性，它可以在一个TCP会谈组装的拥穿所有数据包，并显示您在会谈话的式版ASCII或EBCDIC ，或十六进制的抓包着数据 ，抓包功能非常强大 ，工具 官需要的拥穿挚友赶快下载试试吧 ！

软件功能

　　在实时时间内
，式版从网络接合处捕获数据 ，抓包着或者从被捕获文件处读取数据；

　　Ethereal 可以读取从 tcpdump（libpcap）、工具 官网络通用嗅探器（被缩减规模和未被缩减规模）、拥穿SnifferTM 专业版 、NetXrayTM 、Sun snoop 和 atmsnoop、Shomiti/Finisar 测试员 、AIX 的 iptrace、Microsoft 的黑神话悟空中的黑科技网络监控器、Novell 的 LANalyzer 、RADCOM 的 WAN/LAN 分析器 、 ISDN4BSD 项目的 HP-UX nettl 和 i4btrace 、Cisco 安全 IDS iplog 和 pppd 日志（ pppdump 格式）
、WildPacket 的 EtherPeek/TokenPeek/AiroPeek 或者可视网络的可视 UpTime 处捕获的文件 。此外 Ethereal 也能从 Lucent/Ascend WAN 路由器和 Toshiba ISDN 路由器中读取跟踪报告，还能从 VMS 的 TCPIP 读取输出文本和 DBS Etherwatch。

　　从以太网、FDDI、PPP、令牌环、IEEE 802.11 、ATM 上的 IP 和回路接口（至少是某些系统，不是所有系统都拥穿着这些类型）上读取实时数据
。

　　通过 GUI 或 TTY 模式 tethereal 程序 ，可以访问被捕获的网络数据。

　　通过 editcap 程序的命令行交换机，有调停地编辑或修改被捕获文件。

　　当前602协议可被划分。

　　输出文件可以被保存或打印为纯文本或 PostScript格式 。黑神话悟空科技技术前沿

　　通过显示过滤器精确显示数据。

　　显示过滤器也可以选择性地用于高亮区和颜色包摘要信息
。

　　所有或部分被捕获的网络跟踪报告城市保存到磁盘中。

软件特色

　　1.确定Wireshark的位置

　　如果没有一个正确的位置，打开Wireshark后会花费很长的时间捕获一些与自己无关的数据 。

　　2.选择捕获接口

　　一般都是选择接合到Internet网络的接口，这样才可以捕获到与网络相关的数据。否则，捕获到的其它数据对自己也没有任何扶植 。

　　3.使用捕获过滤器

　　通过设置捕获过滤器，可以避免裸露过大的捕获文件。这样用户在分析数据时，也不会受其它数据干扰。而且，还可以为用户节省大量的时间。

　　4.使用显示过滤器

　　通常使用捕获过滤器过滤后的数据
，往往还是很繁杂
。为了使过滤的数据包再更细致，此时使用显示过滤器铺开过滤。

　　5.使用着色规则

　　通常使用显示过滤器过滤后的黑神话悟空外挂风灵月影数据，都是有用的数据包。如果想更加突出的显示某个会谈 ，可以使用着色规则高亮显示。

　　6.构建图表

　　如果用户想要更明显的校验出一个网络中数据的变化情况 ，使用图表的形式可以很方便的展现数据分布情况 。

　　7.重组数据

　　Ethereal 的重组功能  ，可以重组一个会谈中不同数据包的信息 ，或者是一个重组一个完整的图片或文件 。由于传输的文件往往较大 ，所以信息分布在多个数据包中。为了能够查校验到整个图片或文件
，这时候就需要使用重组数据的计划来实现 。

主要特性

　　菜单项

　　文件 ：打开

　　文件 ：打开最近

　　文件：隔绝

　　打开或隔绝捕获文件。该文件 ：打开会谈框，允许指定的过滤器; 当读取捕获文件中，过滤器被应用到从文件中读取的所有数据包 ，并且不符合过滤条件的数据包被丢弃。该文件：打开最近的是一个子菜单 ，显示先前打开的文件列表。

　　文件
：归并

　　归并的另一个捕获文件到当前加载之一。该文件：归并 会谈框允许归并``增补前缀 ，``按时间顺序或``追加 ，相对于已经加载之一。

　　文件
：保存

　　文件 ：另存为

　　保存当前捕捉，或目前的数据包从捕获显示，到文件中 。复选框让您选择是否保存所有数据包，或者只是那些已经通过了当前的显示过滤器和/或那些正在显着，和选项菜单，您可以从文件格式列表中铺开选择（其中在特定的采集，或当前从捕获显示的数据包，可以保存） ，其中保存它的文件格式 。

　　文件：文件集：列表文件

　　显示一个会谈框 ，列出文件组匹配当前加载的文件中的所有文件
。一个文件集是使用``多个文件/``ringbuffer模式下 
，文件名模式，如识别从捕捉裸露的文件的化合物：Filename_00001_20050604101530.pcap。

　　文件 ：文件集：下一个文件

　　文件 ：文件集  ：以前文件

　　如果当前载入文件是文件集的一部分（见上文）
，打开该组的下一个/前一个文件。

　　文件 ：出口

　　出口捕获的数据到外部的格式。注：该数据不能导入回空灵 ，所以一定要保持捕获文件。

　　文件：打印

　　从目前的捕获打印分组数据。可以选择要打印的数据包的范围（其被打印的数据包），并且每个数据包的输出格式（每个分组的打印方式）。输出格式将类似于显示的值，所以一个摘要线 
，分组详细视图中  ，和/或可以打印分组的十六进制转储。

　　打印选项可以用设置编辑：首选项菜单项或会谈框弹出这个菜单项 。

　　文件：退出

　　退出应用程序 。

　　编辑：碰见包

　　碰见前进或后退，从当前选择的包（或最近选择的数据包，如果没有选择包）。碰见条件可以是一个显示过滤器表达式，十六进制数字字符串或文本字符串。

　　当文本字符串碰见，可以碰见数据包，也可以碰见在信息栏中的文本包列表窗格或数据包详细信息窗格中。

　　十六进制数字可以用冒号
，句号或破折号划分。文本字符串碰见可以是ASCII或Unicode（或两者） ，并且可以是不区分大小写。

　　编辑
：碰见下一个

　　编辑 ：碰见上一个

　　碰见前进/后退的过滤器从以前的碰见匹配，从当前选择的包一包（或最近选择的数据包 ，如果没有选择包） 。

　　编辑：时间参考：设置时间参考（切换）

　　设置（或取消，如果当前设置）所选择的数据包作为时间基准包 。当分组被设置为一个时间参考分组
，在分组列表窗格时间戳将与字符串``* REF *来代替。在以后的数据包的相对时间时间戳将被相对于这时间参考分组的时间戳 ，而不是在捕捉所述第一分组来计算。

　　已被选定为时间参照数据包的数据包将始终显示在数据包列表窗格。显示过滤器不会影响或躲避这些数据包 。

　　如果对显示的列``Culmulative字节这个计数器将在每次参考包复位。

　　编辑  ：时间参考 ：碰见下一个

　　编辑：时间参考：碰见上一页

　　碰见向前/向后一时间参考包 。

　　编辑 ：马克包（切换）

　　标记（或取消标记如果当前标记） ，选择数据包 。领域``frame.marked被设定为被标记的数据包，以使 ，例如，在显示过滤器可用于仅显示标记的数据包 ，并使得编辑 ：碰见分组可用于会谈框碰见一个或下一个标记数据包。

　　编辑：马克的所有数据包

　　编辑 ：取消标记的所有数据包

　　标记/取消当前显示的所有数据包
。

　　编辑 ：首选项

　　将图形用户界面 ，捕获
，打印和协议选项（见首选项下面的会谈框） 
。

　　查校验 ：主工具栏

　　查校验 ：筛选工具栏

　　查校验：状态栏

　　显示或躲避主窗口控件。

　　查校验：包列表

　　查校验：包详细信息

　　查校验
：包字节

　　显示或躲避主窗口窗格。

　　观点
：时间显示格式

　　设置在分组列表窗口中显示的分组时间戳的格式。

　　查校验：名称解析：解析名称

　　尝试为当前入围项目解析名称。

　　查校验
：名称解析 ：启用层...

　　启用或禁用地址的转换在显示名称 。

　　查校验：着色包列表

　　启用或禁用着色规则。禁止将晋升性能。

　　查校验：自动滚动在Live捕获

　　启用或禁用包列表的自动滚动 ，同时实时捕捉正在铺开中
。

　　查校验 ：放大

　　查校验：缩减规模

　　放大/缩减规模主窗口的数据（通过改变字体大小） 。

　　查校验：正常大小

　　复位变焦的变焦倍率/缩减规模恢复到正常的字体大小。

　　查校验：调整所有的列

　　调整所有的列到最适合当前分组显示。

　　查校验：铺开子树

　　扩展当前选定的项目
，它在数据包详细信息子树。

　　查校验：全部铺开

　　查校验
：全部折叠

　　铺开/折叠的数据包详细信息所有分支。

安装计划

　　1 、下载解压文件，找到ethereal-setup-0.99.0.exe双击安装

　　2 、阅读协议 ，点击I agree拥穿着

　　3、选择安装组件，默认即可 ，点击next进入安装

　　4、创建桌面快捷方式，默认即可

　　5、选择安装位置C:Program Files (x86)Ethereal ，用户可以根据需要自行设置 。建议默认安装

　　6、选择安装模式，点击install安装

　　7、正在安装，请稍后

　　8、安装落成

使用会谈明

　　Ethereal是一个GUI网络协议分析器。

　　它允许您从实时网络或从以前保存的捕获文件交互式校验数据包数据。

　　Ethereal的本地捕获文件格式是libpcap格式，这也是tcpdump和各种其他工具使用的格式。所以Ethereal可以从以下位置读取捕获文件
：

　　-libpcap / WinPcap，tcpdump和各种其他工具使用tcpdump的捕获格式

　　-snoop和atmsnoop

　　-Shomiti / Finisar测量师捕获

　　-Novell LANalyzer捕获

　　- 微软网络监视器捕获

　　-AIX的iptrace捕获

　　-Cinco Networks NetXRay捕获

　　- 网络关联基于Windows的Sniffer捕获

　　-Network General / Network Associates基于DOS的Sniffer（缩减规模或未缩减规模）捕获

　　-AG Group / WildPeets EtherPeek / TokenPeek / AiroPeek / EtherHelp / PacketGrabber captures

　　-RADCOM的WAN / LAN分析仪捕获

　　-Network Instruments Observer版本9捕获

　　-Lucent / Ascend路由器的调试输出

　　- HP-UX的nettl的文件

　　-Toshiba的ISDN路由器转储输出

　　- 来自ISDN4BSD项目的i4btrace的输出

　　跟踪来自EyeSDN USB S0
。

　　- 来自Cisco Secure入侵检测系统的IPLog格式的输出

　　-pppd日志（pppdump格式）

　　- VMS的TCPIPtrace / TCPtrace / UCX $ TRACE实用程序的输出

　　- DBS Etherwatch VMS实用程序的文本输出

　　- 视觉网络的可视上传时间流量捕获

　　- CoSine L2调试的输出

　　- Accellent的5Views LAN代理的输出

　　--Endace测量系统的ERF格式捕获

　　-Linux Bluez蓝牙堆栈hcidump -w跟踪

　　没有必要告诉Ethereal你正在阅读什么类型的文件;它将自己确定文件类型。 Ethereal也能够读取任何这些文件格式，如果他们使用gzip缩减规模。 Ethereal直接从文件中识别这一点;为此目的不需要.gz扩展名 。