Ethernet使用方法

1. 选择网卡

a) Capture --> Options --->interface

选择网卡，我的机器上就一个网卡，选择它，再选择start。这就开始抓包了。

2. 分析内容

a) 最上面的是似照封包的接收顺序来排序的，就是左边No.的1,2,3,4,5,6.7......每一行就是一个封包

b) 中间是每单一个封包的内容，大致上有四行，这四行是TCP/IP协定内所定意的四层，最上面是：

第一层-实体层和网路介面层(frame)
第二层-网路层(包括来源ip和目的地ip，有时候也有mac address)
第三层-协定的种类(如http,ftp,telnet,pop,smtp..........)
第四层-应用层(包括所传送的内容，帐号，密码，或msn的通话内容......这一层也是单一封包内容最多的)

参考图片：

c) 最下面的画面是封包真正的内容，也就是01010101010......的，不过是以16进位法表示的(应该看不懂，不过你可以算算，呵呵！)

3. 封包搜寻器辅助工具

因为我们所抓的封包，是只要有经过我们网卡上的封包都会被抓下来，包括是我们要的，不是我们要的，都会抓下来，如何找出我们真正想要的封包呢？选择“Expression…”按钮，就会出现下图：

a) 可以在左边选择关键字，这里我选择http。点击ok。这时，filter里面会多出个“http”，过滤条件。

b) 这时，按“filter”，弹出窗口如下图：

c) 点击“OK”

就可以抓到包了。