Сетевые анализаторы

Установка Ethereal для Linux

1. Прежде чем загружать Ethereal, необходимо располагать библиотеками libpcap и библиотеками разработки GTK. Если вы загружали описанные в предыдущих лекциях сканеры портов или уязвимостей, то все библиотеки должны быть уже установлены. В противном случае следует загрузить библиотеки GTK или установить их с дистрибутивных компакт-дисков вашей ОС. libpcap можно взять с прилагаемого к книге компакт-диска или на сайте http://www.tcpdump.org, GTK - на http://www.gtk.org.
2. Затем необходимо решить, использовать ли RPM или компилировать исходные тексты. Существует множество пакетов RPM для различных версий Linux. Если такой пакет есть для вашего дистрибутива, то можно использовать его и пропустить процесс компиляции. В противном случае придется выполнить компиляцию.
3. Чтобы скомпилировать Ethereal, сначала загрузите и распакуйте самый свежий дистрибутив. Стандартная установка должна годиться для большинства применений. Просмотрите файл INSTALL, если захотите задать дополнительные параметры времени компиляции.
4. Перейдите в каталог установки и, как обычно, наберите

   ./configure
   make
   make install

Теперь можно запустить Ethereal, набрав ./ethereal в командной строке или щелкнув мышью на исполнимом файле в X-Window. Чтобы запускать Ethereal в среде X-Window, необходимо быть пользователем root. Для запуска Ethereal в режиме командной строки можно набрать ./tethereal.

Установка Ethereal для Windows

1. Прежде чем запускать Ethereal, необходимо установить библиотеки WinPcap. Если вы уже установили в своей Windows-системе описанные в предыдущих лекциях сканеры портов или уязвимостей, то библиотеки у вас уже есть и можно переходить к шагу 2. Убедитесь, что ваша версия WinPcap не ниже, чем 2.3. Если вы работаете на многопроцессорной машине или на машине с новыми процессорами Pentium с технологией многопоточности, то необходимо использовать WinPcap 3.0 или выше, но результаты все равно могут быть непредсказуемы, так как Ethereal не очень хорошо работает с несколькими процессорами.
2. Средства GTK для графического интерфейса включены в пакет установки Ethereal. Загрузите с web-сайта Ethereal самораспаковывающийся файл установки. (Я рекомендую устанавливать бинарный файл, а не заниматься компиляцией на Windows-машине. Это существенно проще и не требует компилятора под Windows.)
3. После загрузки файла сделайте на нем двойной щелчок мышью. Программа проведет вас через процесс установки. Когда это будет сделано, на рабочем столе появится иконка, после чего можно начинать работу с Ethereal.

Применение Ethereal

Независимо от применяемой версии, Windows или Linux, почти все операции и интерфейсы схожи. После запуска Ethereal вы увидите экран с тремя разделами. В этих окнах отображаются перехваченные данные и другая информация о сеансе. На рис. 6.2 показан пример основного окна с активным сеансом.

Рис. 6.2. Основной экран Ethereal

В верхней трети экрана выводится поток пакетов в порядке получения, хотя результаты можно отсортировать почти любым образом, щелкая мышью на заголовках колонок. В табл. 6.6 перечислены выводимые данные для каждого пакета или кадра.

В следующем разделе экрана более детально отображается каждый выделенный пакет. Вывод организован таким образом, чтобы в целом соответствовать модели ВОС, поэтому сначала идут детали канального уровня и т.д. Небольшие символы плюс можно раскрыть, чтобы отобразить еще больше информации на каждом уровне. Удивительно, как много подробностей о каждом пакете можно увидеть. Ethereal действует как электронный микроскоп для сетевых пакетов!

В последнем разделе показано реальное содержимое пакета в шестнадцатеричном и, где возможно, в текстовом виде. Бинарные файлы и зашифрованный трафик по-прежнему будут выглядеть как мусор, но весь открытый текст станет виден. В этом проявляется мощь анализатора (и опасность его присутствия в сети).