EtherApe是一個圖形化的網路嗅探器。與Ehtereal不同,EtherApe通過驗證主機與主機之間的連結,圖形化地顯示網路目前所處的狀態。EtherApe使用不同顏色的連線來表示位於不同主機之間的連線,而連線的粗細則表明主機間資料流量的大小。這些資訊都是實時變化的,因而能夠協助管理員隨時瞭解到網路中各部分流量的變化情況。
EtherApe的安裝
EhterApe支援Ethernet、FDDI和Token Ring等多種網路,能夠實時地從網路或檔案中讀取網路流量的變化情況。此外它還可以將網路流量資訊儲存下來,以便在之後需要時再顯示出來。
下載連結:http://down.51cto.com/data/149263
下面以Ethereal 0.8.2為例,講述如何安裝EtherApe(使用的作業系統是RedHat 8.0)。
首先下載最新的原始碼包並將其解壓縮,程式碼如下:
- # cp etherape-0.8.2.tar.gz /usr/local/src/
- # cd /usr/local/src/
- # tar xzvf etherape-0.8.2.tar.gz
EtherApe使用的是GNOME這一圖形使用者介面庫。與Ethereal和Tcpdump一樣,它也使用pcap庫(libpcap)對網路上傳輸的資料包進行截獲和過濾。在編譯EtherApe之前,應先確定所需的這些庫已經安裝好,因為這是編譯EtherApe時所必需的。如果這些庫已經安裝,就可以執行下面的命令來編譯並安裝EtherApe:
- # cd etherape-0.8.2
- # ./configure
- # make
- # make install
用EtherApe分析網路流量
當編譯並安裝好EtherApe後,就可以執行“etherape”命令來啟動EtherApe。
當用EtherApe截獲在網路上傳輸的資料包時,也需要先為其指定過濾規則,否則EthreApe將捕獲網路中的所有資料包。單擊工具欄上的“Pref.”按鈕,開啟“Preferences”對話方塊,在該對話方塊中的“Capture”屬性頁中,可以找到用於設定過濾規則的“Capture filter”下拉框。由於採用的都是pcap庫,因此EtherApe過濾規則的設定與Tcpdump和Ethereal是相同的。
設定好過濾規則後,單擊工具欄上的“Start”按鈕,就可以開始對網路中感興趣的資料包進行嗅探。EhterApe圖形化地顯示網路流量,下圖是當EtherApe處於Ethernet模式下時的網路流量圖。
EtherApe提供了Token Ring、FDDI、Ethernet、IP和TCP五種監聽模式。當處於Ethernet模式下時,EtherApe會截獲所有符合過濾規則的乙太網資料包,但有時網路管理員可能只對IP資料包感興趣,這時可以將EtherApe切換到IP模式。
單擊“Capture”選單,選擇“Mode”選單項,然後再選擇相應的模式,就可以完成模式之間的切換。
下圖是當EhterApe處於IP模式下時的網路流量圖。
EtherApe能夠以圖形的方式顯示網路流量。使用者看到的是一個很直觀的用於表示網路上各主機間流量大小的圖,而不是單個的資料包,因而更容易從整體上把握整個網路的執行狀況,在定位網路故障時相對來說也變得更加容易。