• Категории
  • Подписка
  • Разместить статью
17/02/10 13 8266 Сетевые анализаторы
-

Анализ сетевого трафика с помощью Ethereal

ethereal_logo_securos.org.uaПрограмма имеет гра­фический интерфейс и позволяет перехватывать и отображать пакеты, проходящие через сетевые интерфейсы системы. Подобно утилите tcpdump, программа Ethereal распола­гает средствами фильтрации трафика на уровне узлов и протоколов.

Программа способна также читать файлы пакетных данных, сгенерированные други­ми сетевыми анализаторами, в том числе Sniffer, LANalyzer, snoop, Microsoft Network Monitor и др. Программа распознает пакеты более двухсот протоколов и отображает мно­гие специфичные поля пакетов различных типов.

Исходная версия Ethereal написана Джеральдом Кумбзом (Gerald Combs) в 1997 году. За последние годы в разработку программы внесли свой вклад множество людей. В на­стоящее время программа входит в состав Red Hat 7.2 (версия 0.8.18-9). Утилиту можно скачать с Web-узла www. ethereal. com.

Если программа Ethereal уже установлена в системе, то для ее запуска достаточно ввести

# ethereal

В результате появится графический интерфейс программы, проинициализированный установками по умолчанию. Полный синтаксис вызова программы таков:

# ethereal [-B высота_панели]   [-с  счетчик] [-f спецификация_фильтра]   [-h]   [-i интерфейс]   [-k] [-m шрифт]   [-n] [-o приоритет]   [-р] [-Р высота_панели] [-Q]   [-r входной_файл] [-R спецификация_фильтра] [-S]   [-s длина_выборки]   [-Т  высота_панели] [-t формат_времени]   [-v]   [-w выходной_файл]

Рассмотрим эти опции подробнее.

B высота_панели

Задает начальную высоту панели побайтового просмотра (ниж­ней).

-с  счетчик

Задает стандартное число пакетов, перехватываемых в интерак­тивном режиме.

f спецификация_фильтра

Задает правило фильтрации перехватываемых пакетов.

-h

Вывод синтаксической справки и номера версии.

-i   интерфейс

Задает имя интерфейса или канала, из которого следует извлекать пакеты.

k

Заставляет программу немедленно начать перехватывать пакеты.

m шрифт

Задает шрифт, используемый для отображения текстовых данных.

n

Запрещает преобразование имен сетевых объектов.

o приоритет

Задает выбранный приоритет в формате тип_приоритета: значение (см. man-страницу).

Не переводить интерфейс в беспорядочный режим.

высота_панели

Задает начальную высоту панели со списком пакетов (верхней).

Q

Заставляет программу завершиться по окончании сеанса пере­хвата пакетов.

r входной_файл

Чтение пакетов из указанного файла.

R спецификация_фильтра

Задает правило фильтрации пакетов, извлекаемых из входного файла (задается с помощью опции -r).

S

Заставляет программу породить отдельный процесс для перехва­та пакетов.

s длина_выборки

Задает стандартное число байтов, извлекаемых из каждого паке­та в интерактивном режиме.

-Т  высота_панели

Задает начальную высоту панели иерархического просмотра (средней).

t формат_времени

Задает формат метки времени, отображаемой в панели со спис­ком пакетов. Возможные значения таковы: r (относительный), a (абсолютный) и d (разностный).

v

Вывод номера версии.

w выходной_файл

Задает имя файла, куда будут записываться перехватываемые па­кеты.

ethereal_securos.org.uaОкно программы разделено на три основные области, или панели. Размер каждой из них можно регулировать. В верхней панели отображается список пакетов, перехваченных программой. Для каждого пакета указывается номер, время получения, узел-отправитель, узел-получатель, протокол и некоторая общая информация. Любой пакет можно выбрать для дальнейшего анализа. В средней панели отображается иерархическая модель вы­бранного пакета. Здесь приводятся значения всех полей в заголовке пакета по каждому протоколу из стека ТСР/IР. Если выбрать какой-либо протокол или поле, в нижней панели появится его содержимое в шестнадцатеричном виде.

В верхней части окна программы содержатся раскрывающиеся меню File, Edit, Cap­ture, Display и Tool. Многие их команды можно вызвать из контекстного меню, появляющегося после щелчка правой кнопкой мыши в любой из панелей.

Меню File со­держит команды:

  • позволяющие открывать,
  • закрывать и перезагружать файл пакетных данных,
  • сохранять текущие пакетные данные,
  • распечатывать информацию, отображае­мую в панелях,
  • завершать работу программы.

Меню Edit содержит команды:

  • для поиска и маркировки пакетов,
  • редактирования фильтров и задания различных установок.

В меню Capture содержатся команды Start и Stop, запускающие и останавливающие сеанс интерактивного перехвата пакетов.

Меню Display содержит ко­манды:

  • для задания формата времени,
  • цветового форматирования отоб­ражаемых данных,
  • раскрытия и сжатия иерархических списков и др.

Команды меню Tools предназначены для:

  • выбора подключаемых модулей,
  • отслеживания TCP-потоков (об этом речь пойдет ниже),
  • отображения статистических данных.

В нижней части окна выво­дится название текущего фильтра вместе со служебной информацией.

Синтаксис правил фильтрации программы Ethereal такой же, как и у программы tcpdump, так как именно последняя используется для фактического перехвата пакетов. Под­держивается также понятие экранного фильтра (меню Display), позволяющего отображать только пакеты, интересующие пользователя.

После задания различных параметров и фильтров можно начинать сеанс перехвата па­кетов. Для этого предназначена команда Start в меню Capture.

ethereal_CP_securos.org.uaПри выборе данной команды появится окно Capture Preferences (см. рис.), в котором можно задать интерфейс для мо­ниторинга, число перехватываемых пакетов (по умолчанию — бесконечность), фильтры (в рассматриваемом примере включается фильтрация TCP-пакетов), файл для сохране­ния пакетных данных, число байтов данных, отображаемых для каждого пакета, и ряд вспомогательных опций.

Если не установить опцию Capture packets in promiscuous mode, программа сможет перехватывать только пакеты, непосредственно адресованные выбранному интерфейсу. Опция Update list of packets in real time включает режим интерактивного отображения перехватываемых пакетов. Если она не установлена, список пакетов появится только по окончании сеанса. Опция Automatic scrolling in live capture указывает на то, что програм­ма должна автоматически прокручивать список пакетов для выделения текущего пакета. Наконец, последняя опция, Enable name resolution, позволяет включить режим преобра­зования IP-адресов в доменные имена.

ethereal_C_securos.org.uaВ процессе перехвата пакетов отображается окно Capture Activity (см. рис. сбоку), в ко­тором анализируется тип трафика и указывается, сколько процентов от общего числа пакетов составляют пакеты определенного типа. В этом окне есть кнопка Stop, позволя­ющая остановить перехват пакетов. После щелчка на этой кнопке окно Capture Activity исчезнет и в верхней панели основного окна появится список перехваченных пакетов (см. самый первый рис.). На нем видно, что программа Ethereal перехватила пакеты, переданные в ходе сеанса связи между двумя узлами (205.153.63.30 и 198.133.219.28). Первый пакет (он выделен) содержит метод GET. В от­вет возвращается пакет, где HTTP/1.1 200 OK – это, в свою очередь, означает успешный запрос ресурса. Если клиентом были запрошены какие-либо данные, то они находятся в заголовке и/или теле сообщения. Обратите внимание на то, что в средней панели выделен differentiated services field протокола IP (подсказка RFC 2474 Definition of the Differentiated Services Field (DS Field) in the IPv4 and IPv6 Headers – читайте wiki, если нужно). В нижней панели показано содержимое заголовка этого протокола.

Отображаемые данные можно сортировать самыми разными способами. Например, если нужно просмотреть все пакеты, отправляемые с заданного узла, щелкните на за­головке столбца Source, и содержимое этого столбца будет отсортировано в алфавитном порядке.

Но у программы Ethereal есть и более интересный режим сортировки. Если в верхней панели выделить определенный пакет, а затем в меню Tools выбрать команду Follow TCP Stream, появится окно Contents of TCP stream. В этом окне отображается ход TCP-сеанса, к которому принадлежит выбранный пакет.

Возможности программы Ethereal очень велики. Она популярна не только из-за своей надежности, но еще и потому, что ее сопровождением занимается целая группа разра­ботчиков, которая регулярно выпускает обновления. Существует также список рассылки, в котором разработчики могут обмениваться информацией, обсуждать найденные ошибки и предлагаемые обновления.

Руководство по Ethereal на русском
Ethereal.PDF (см. www.protocols.ru)

Скачать Ethereal
http://www.wireshark.org/download.html (см. www.wireshark.org)


13 комментариев на «“Анализ сетевого трафика с помощью Ethereal”»

  1. WANTED:

    Автор, посты , конечно, интересные. Но вы не подумывали поменять дизайн?

Добавить комментарий

Яндекс.Метрика