Опубликован: 20.02.2006 | Уровень: специалист | Доступ: платный
Лекция 6:

Сетевые анализаторы

Установка Ethereal для Linux

  1. Прежде чем загружать Ethereal, необходимо располагать библиотеками libpcap и библиотеками разработки GTK. Если вы загружали описанные в предыдущих лекциях сканеры портов или уязвимостей, то все библиотеки должны быть уже установлены. В противном случае следует загрузить библиотеки GTK или установить их с дистрибутивных компакт-дисков вашей ОС. libpcap можно взять с прилагаемого к книге компакт-диска или на сайте http://www.tcpdump.org, GTK - на http://www.gtk.org.
  2. Затем необходимо решить, использовать ли RPM или компилировать исходные тексты. Существует множество пакетов RPM для различных версий Linux. Если такой пакет есть для вашего дистрибутива, то можно использовать его и пропустить процесс компиляции. В противном случае придется выполнить компиляцию.
  3. Чтобы скомпилировать Ethereal, сначала загрузите и распакуйте самый свежий дистрибутив. Стандартная установка должна годиться для большинства применений. Просмотрите файл INSTALL, если захотите задать дополнительные параметры времени компиляции.
  4. Перейдите в каталог установки и, как обычно, наберите
    ./configure
    make
    make install

Теперь можно запустить Ethereal, набрав ./ethereal в командной строке или щелкнув мышью на исполнимом файле в X-Window. Чтобы запускать Ethereal в среде X-Window, необходимо быть пользователем root. Для запуска Ethereal в режиме командной строки можно набрать ./tethereal.

Установка Ethereal для Windows

  1. Прежде чем запускать Ethereal, необходимо установить библиотеки WinPcap. Если вы уже установили в своей Windows-системе описанные в предыдущих лекциях сканеры портов или уязвимостей, то библиотеки у вас уже есть и можно переходить к шагу 2. Убедитесь, что ваша версия WinPcap не ниже, чем 2.3. Если вы работаете на многопроцессорной машине или на машине с новыми процессорами Pentium с технологией многопоточности, то необходимо использовать WinPcap 3.0 или выше, но результаты все равно могут быть непредсказуемы, так как Ethereal не очень хорошо работает с несколькими процессорами.
  2. Средства GTK для графического интерфейса включены в пакет установки Ethereal. Загрузите с web-сайта Ethereal самораспаковывающийся файл установки. (Я рекомендую устанавливать бинарный файл, а не заниматься компиляцией на Windows-машине. Это существенно проще и не требует компилятора под Windows.)
  3. После загрузки файла сделайте на нем двойной щелчок мышью. Программа проведет вас через процесс установки. Когда это будет сделано, на рабочем столе появится иконка, после чего можно начинать работу с Ethereal.

Применение Ethereal

Независимо от применяемой версии, Windows или Linux, почти все операции и интерфейсы схожи. После запуска Ethereal вы увидите экран с тремя разделами. В этих окнах отображаются перехваченные данные и другая информация о сеансе. На рис. 6.2 показан пример основного окна с активным сеансом.

Основной экран Ethereal

Рис. 6.2. Основной экран Ethereal

В верхней трети экрана выводится поток пакетов в порядке получения, хотя результаты можно отсортировать почти любым образом, щелкая мышью на заголовках колонок. В табл. 6.6 перечислены выводимые данные для каждого пакета или кадра.

В следующем разделе экрана более детально отображается каждый выделенный пакет. Вывод организован таким образом, чтобы в целом соответствовать модели ВОС, поэтому сначала идут детали канального уровня и т.д. Небольшие символы плюс можно раскрыть, чтобы отобразить еще больше информации на каждом уровне. Удивительно, как много подробностей о каждом пакете можно увидеть. Ethereal действует как электронный микроскоп для сетевых пакетов!

В последнем разделе показано реальное содержимое пакета в шестнадцатеричном и, где возможно, в текстовом виде. Бинарные файлы и зашифрованный трафик по-прежнему будут выглядеть как мусор, но весь открытый текст станет виден. В этом проявляется мощь анализатора (и опасность его присутствия в сети).

Таблица 6.6. Данные потока пакетов
Данные Описание
Номер пакета Присваивается Ethernet
Время Время получения пакета. По умолчанию, оно устанавливается как время, прошедшее с начала сеанса перехвата, но можно сконфигурировать вывод астрономического времени, даты и времени или даже интервалов между пакетами (это полезно для анализа функционирования сети)
Исходный адрес Адрес, откуда пришел пакет. В IP-сетях это IP-адрес
Целевой адрес Адрес, куда направляется пакет, также обычно IP-адрес
Протокол Протокол четвертого уровня, используемый пакетом
Информация Некоторая сводная информация о пакете, обычно поле типа
Роман Попов
Роман Попов

После прохождения курса Стандарты инфрмационной безопасности мне предложено получение Удостоверения о повышении квалификации от НИУ ВШЭ по программе Менеджмент информационной безопасности. Программа включает в себя ряд курсов которые я уже ранее проходил. Какой порядок действий в данном случае? Как прозводится перезачет результатов? И какие экщамены мне надо еще доздать чтобы получить удостоверение?

Александр Путятинский
Александр Путятинский

Добрый день по окончании данного курса выдается сертификат?

Елена Гогонова
Елена Гогонова
Россия, Магнитогорск
Алина Архипова
Алина Архипова
Россия, г белорецк