|
Obsługa programu ethereal
Ethereal to rozbudowany analizator sieciowy (sniffer) udostępniany na licencji GNU/GPL.
Jest to standard wśród narzędzi sieciowych. Nie bez powodu, ethereal ma potężne
możliwości i można śmiało powiedzieć, że jest to prawdziwy kombajn. Warto w tym
miejscu jeszcze dodać, iż program jest dostępny na wszystkie platformy systemowe,
a obsługa popularnych formatów (np. tcpdump,) i bogate możliwości eksportu i analizy
wyników dopełniają jego wielkości. Poniżej przedstawiono główne okno programu ethereal.
W pole Capture filter można wpisać np. adres IP komputera, którego ruch chcemy
filtrować.
Uwaga: jeśli chcemy filtrować ruch nie swojego komputera, karta sieciowa musi być
przełączona w
tryb Promiscous.
Aby sprawdzić adres IP wpisujemy w konsoli polecenie ifconfig w systemach
Unix/Linux lub
ipconfig w Windowsach.
Ethereal może pracować w dwóch trybach pracy:
- monitorujemy cały ruch sieciowy, a następnie go filtrujemy
- od razu filtrujemy ruch sieciowy
Widać więc, że warto nauczyć się filtrowania pakietów korzystających wybranych
protokołów sieciowych.
Niezbędne informacje o sieciach komputerowych
Model komunikacji komputerowej jest przedstawiony za pomocą modelu OSI/ISO.
Model ten składa się z 7 warstw, natomiast warto dodać, że dane przechwytywane
programem ethereal to pakiety.
Pakiet to najmniejsza porcja informacji w warstwie 3, czyli sieciowej, która
odpowiada za trasowanie połączeń.
Dane do wyższych warstw są "opakowywane" w kolejne pola, proces ten nosi nazwę enkapsulacji danych.
Kilka słów o urządzeniach sieciowych. Niezbędnymi elementami w sieciach komputerowych
są m.in. huby lub switche. Te pierwsze pośredniczą między węzłami końcowymi (tak jak i switche),
ale w przeciwieństwie do switchy przesyłają ramki danych na wszystkie swoje porty,
nie identyfikując adresu docelowego ani detekcji błędów. Urządzenia te pracują w warstwie
fizycznej modelu odniesienia.
Komputery w sieci lokalnej komunikują się za pośrednictwem adresów MAC
(ang. Mashine Access Code)
a nie adresów IP. Aby pakiet mógł zostać przesłany poza sieć lokalną, trzeba go zaadresować.
To zamiany adresów MAC na adresy IP służy protokół ARP (ang. Adress Resolution Protocol).
Komputer przechowuje w swojej pamięci podręcznej tablicę adresów z którymi się komunikuje.
Służy do tego polecenie arp -a (Windows i Linux).
Jak już wspomniano, aby pakiet mógł zostać przesłany pomiędzy segmentami sieci, musi posiadać adres Ľródłowy i docelowy.
I na koniec słowo o klasach adresowych. Ogólnie adresy IP można podzielić na te, należące do puli adresów prywatnych oraz te należące do puli adresów publicznych. Dodatkowo, klasa adresów publicznych jest podzielona na kilka podklas oznaczonych literami A, B, C, D. Przynależność do odpowiedniej klasy adresowej determinuje ilość sieci w danej klasie oraz maks. liczbę komputerów
w danej sieci.
Praca z programem ethereal
Po wciśnięciu przycisku opcje przechwytywania pojawi się następujące okno:
Należy wybrać interfejs dostępny z listy, opcjonalnie wybrać filtr, a następnie wcisnąć przycisk Start.
Od tego momentu zacznie się nasłuchiwanie. Warto jeszcze zaznaczyć 2 pola checkbox
(na czerwono), które odpowiadają za ukazywanie się pakietów w czasie rzeczywistym.
Poniżej kilka wyrażeń, wpisywanych w pole filter głównego okna programu.
Filtrowanie pakietów z adresem Ľródłowym lub docelowym
ip.addr == 10.0.0.1 Filtrowanie pakietów z podanym adresem Ľródłowym ip.src == 10.0.0.1 Filtrowanie pakietów z podanym adresem docelowym ip.dst == 10.0.0.1 Filtrowanie adresów z karty o adresie MAC eth.addr==00:30:4f:29:27:28 Filtrowanie ruchu przeglądarek internetowych tcp.port==80 Filtrowanie stron www z adresu IP (tcp.port==80) && (ip.addr==10.0.0.1) Jak widać, możliwe jest stosowanie operatorów logicznych
|
