1. Trang chủ
  2. Công Nghệ Thông Tin

Tài liệu hướng dẫn về Etheral

18 929 1
Tài liệu hướng dẫn về Etheral

Đang tải... (xem toàn văn)

Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống

Thông tin tài liệu

Tài liệu hướng dẫn về Etheral

HƯỚNG DẪN SỬ DỤNG PHẦN MỀM ETHEREAL Mục lục Giới thiệu 1.1 Ethereal gì? 1.2 Mục đích sử dụng 1.3 Tính 1.4 Ethereal ñược phát âm nào? Cài ñặt Ethereal 2.1 Các thành phần 2.2 Các công cụ 2.3 Các chức khác 2.4 Về chương trình WinPCap Giao diện người dùng 3.1 Giới thiệu 3.2 Cửa sổ 3.3 Thanh Menu 3.4 Thanh cơng cụ (Main Toolbar) 3.5 Thanh lọc (Filter Toolbar) 3.6 Ô liệt kê gói tin (Packet List Pane) 3.7 Ô chi tiết gói tin (Packet Details Pane) 3.8 Ô mã nhị phân gói tin (Packet Bytes Pane) 3.9 Thanh trạng thái (Statusbar) Thu thập ñộng liệu mạng (Capturing Live Network Data) 4.1 Giới thiệu 4.2 Các tùy chọn (Menu Capture/ Options) 11 4.3 Bộ lọc 13 Làm việc với gói tin bắt ñược 13 5.1 Xem gói tin bắt 13 5.2 Lọc gói tin xem 14 5.3 Tạo biểu thức lọc hiển thị 15 5.4 Hộp thoại biểu thức lọc (Filter Expression Dialog box) 16 5.5 Tìm kiếm gói tin 17 Phụ lục – Phân tích gói tin HTTP Error! Bookmark not defined 6.1 Giới thiệu giao thức HTTP Error! Bookmark not defined 6.2 Thực hành phân tích gói tin HTTP .Error! Bookmark not defined Giới thiệu Ethereal Ethereal phần mềm thu thập gói tin truyền mạng, sau thực phân tích để hiển thị khn dạng liệu gói tin dạng tường minh Ethereal sử dụng thiết bị giám sát truyền ñường dây mạng - tức hoạt ñộng giống Vơn kế đường dây điện Trước đây, cơng cụ đắt tiền độc quyền Ethereal lại phần mềm mã nguồn mở phân tích gói tin tốt Phiên Ethereal tải từ website http://www.ethereal.com/download.html M c đích s d ng • • • • • Người quản trị mạng khắc phục lỗi mạng Kĩ sư an ninh mạng xem xét vấn ñề bảo mật Người phát triển phân tích gỡ rối hoạt động giao thức Người dùng nghiên cứu chất giao thức mạng … Tính • • • • • • • • ðược cài ñặt hai HðH phổ biến UNIX Windows Thu thập gói tin lan tỏa đến card mạng Hiển thị gói tin với thơng tin giao thức chi tiết Có thể lưu giữ liệu thu thập ñược vào file ñể sau sử dụng lại Lọc gói tin theo nhiều tiêu chuẩn Tìm kiếm gói tin theo nhiều tiêu chuẩn Hiển thị màu sắc gói tin dựa chế lọc (để nhìn rõ hơn) Tạo nhiều thống kê khác Hình sau biểu diễn gói tin Ethereal thu thập sẵn sàng để phân tích Ethereal đưc phát âm th nào? Ethereal phát âm theo cách: • E’thereal: trọng âm ‘the’ (xem thêm từ ñiển Anh-Việt) • Ether-real • E-the-real Bạn phát âm theo cách riêng mình, miễn bạn cảm thấy thoải mái Ethereal User’s Guide ñưa cách phát âm thức là: “e-the-real” Cài đặt Ethereal File cài đặt chương trình cài đặt Ethereal (File Ethereal-setup-x.y.z.exe) ñược tải từ trang: http://www.Ethereal.com/download.html#releases Các thành ph n • Ethereal GTK 2: chương trình đồ họa phân tích giao thức mạng (Ethereal GTK2 khuyến nghị sử dụng cơng cụ đại GTK2 GUI) • GTK-Wimp: giả lập GTK2 windows • Tethereal: chương trình phân tích giao thức mạng dựa dịng lệnh Các cơng c • Editcap: chương trình đọc file liệu ñã thu thập ghi số chọn lọc (hoặc tất cả) gói tin sang file liệu khác • Text2Pcap: chương trình đọc mã ASCII ghi liệu vào file • Mergecap: chương trình kết hợp nhiều file liệu thành file • Capinfos: chương trình cung cấp thơng tin file liệu Các ch"c khác • Start Menu ShortCuts: thêm shortcuts vào Start Menu • Desktop Icon: thêm biểu tượng Ethereal vào hình Desktop • Quick Launch Icon: thêm biểu tượng Ethereal vào Explorer Quick launch Chương trình WinPCap WinPCap chương trình dùng để thu thập tức luồng liệu mạng Nếu chưa cài đặt WinPcap, bạn sử dụng Ethereal ñể mở file thu thập liệu có sẵn Vì vậy, Ethereal WinPcap thường cài ñặt Tuy nhiên, kể từ phiên Ethereal 0.10.12, cài WinPcap tích hợp vào cài Ethereal nên bạn không cần phải tải cài đặt hai gói phần mềm riêng biệt Thơng tin thêm WinPcap: • http://wiki.Ethereal.com/WinPcap • http://www.winpcap.org Giao diện người dùng Gi,i thi-u Sau cài ñặt thành cơng, bắt đầu nghiên cứu giao diện cách sử dụng chương trình Ethreal : • Giao diện người dùng Ethereal • Cách bắt gói tin • Cách xem gói tin • Cách lọc gói tin Ca s/ Cửa sổ Ethereal giống chương trình máy tính khác Dưới ñây giao diện mà người dùng thường gặp sau gói tin bắt hiển thị: Figure – Giao diện tổng quát chương trình Bố cục cửa sổ chỉnh lại cách thiết lập Preference Thanh Menu • File: chứa lệnh mở hay kết hợp file liệu thu thập, lệnh lưu/ in/ kết xuất toàn phần file liệu thu thập, lệnh đóng chương trình Ethereal • Edit: chứa lệnh tìm gói tin, tham chiếu thời gian đánh dấu hay nhiều gói tin, thiết lập tùy chọn • View: chứa lệnh ñiều khiển việc hiển thị liệu thu được, bao gồm việc tơ màu gói tin, phóng to cỡ font, biểu diễn gói tin cửa số riêng, mở rộng thu hẹp chi tiết gói tin… • Capture: chứa lệnh bắt đầu kết thúc việc thu thập gói tin lệnh hiệu chỉnh lọc • Analyze: chứa lệnh thao tác lọc hiển thị, cho phép không cho phép phân tích chi tiết giao thức, định cấu hình giải mã cho người dùng “lần” theo vết luồng TCP • Statistics: chứa lệnh hiển thị kết thống kê khác nhau, bao gồm bảng tóm tắt gói tin ñược bắt, hiển thị cấu trúc phan tầng giao thức • Help: giúp đỡ người dùng sử dụng chức bản, xem danh sách giao thức ñược hỗ trợ, trang hướng dẫn, trang web, hộp thoại About thường lệ Thanh công c (Main Toolbar) Thanh cơng cụ có nút lệnh giúp người sử dụng nhanh chóng lệnh cần thiết Thanh l5c (Filter Toolbar) Thanh công cụ lọc cung cấp thao tác trực tiếp lọc hiển thị sử dụng Ơ li-t kê gói tin (Packet List Pane) Ơ liệt kê gói tin hiển thị tóm tắt gói tin bắt Mỗi dịng danh sách ứng với gói tin file liệu thu thập Nếu chọn dòng ô này, ô Packet Details Packet Bytes hiển thị thơng tin chi tiết gói tin tương ứng Khi phân tích gói tin, Ethereal lấy thơng tin từ phân tích giao thức đặt vào cột Vì thơng tin giao thức tầng cao ghi đè lên thơng tin giao thức tầng thấp nên bạn nhìn thấy thơng tin giao thức tầng cao Ví dụ, giả sử gói tin TCP nằm bên gói tin IP, gói tin IP lại nằm bên frame Ethernet Bộ phân tích Ethernet ghi liệu (chẳng hạn địa card mạng), sau phân tích IP ghi đè liệu IP (ví dụ địa IP), cuối phân tích TCP ghi đè lên thơng tin IP Có nhiều cột thơng tin khác chọn hiển thị cột cách thiết lập tùy chọn (Preference settings) The default columns will show: • • • • • • No The number of the packet in the capture file This number won't change, even if a display filter is used Time The timestamp of the packet The presentation format of this timestamp can be changed, see Section 6.9, “Time display formats and time references” Source The address where this packet is coming from Destination The address where this packet is going to Protocol The protocol name in a short (perhaps abbreviated) version Info Additional information about the packet content Ơ chi tit gói tin (Packet Details Pane) Ơ chi tiết gói tin hiển thị chi tiết gói tin chọn liệt kê gói tin Giao thức trường gói tin biểu diễn dạng cây, dễ dàng mở rộng thu gọn lại Some protocol fields are specially displayed • • Generated fields Ethereal itself will generate additional protocol fields which are surrounded by brackets The information in these fields is derived from the known context to other packets in the capture file For example, Ethereal is doing a sequence/acknowledge analysis of each TCP stream, which is displayed in the [SEQ/ACK analysis] fields of the TCP protocol Links If Ethereal detected a relationship to another packet in the capture file, it will generate a link to that packet Links are underlined and displayed in blue If double-clicked, Ethereal jumps to the corresponding packet Ơ mã nh< phân gói tin (Packet Bytes Pane) Ô mã nhị phân hiển thị liệu biểu diễn dạng số 16 gói tin chọn (là gói tin chọn ô gói tin chi tiết) Cột bên trái ghi vị trí tương đối (offset) liệu gói tin, cột liệu ñược biểu diễn dạng số 16 cột bên phải kí tự ASCII tương ứng (hoặc dấu chấm (‘.’) kí tự khơng hiển thị được) Tùy thuộc vào liệu gói tin, đơi chứa nhiều trang, chẳng hạn Ethereal ráp nhiều gói tin lại thành khối liệu Trong trường hợp này, vài tab xuất ñáy để lựa chọn trang cần xem Thanh tr?ng thái (Statusbar) Thanh trạng thái biểu diễn số thông tin thêm trạng thái chương trình liệu thu thập Thơng thường phần bên trái hiển thị thông tin liên quan đến ngữ cảnh (tên, kích thước file liệu thu thập, thời gian thực thu thập), phần bên phải hiển thị số lượng gói tin thu thập Các thích viết tắt: • P: số gói tin bắt • D: số gói tin hiển thị • M: số gói tin đánh dấu Thu thập tức liệu mạng 4.1 Gi,i thi-u Thu thập tức liệu mạng tính chủ yếu Ethereal Ethereal cung cấp chức sau: • Thu thập thơng tin từ kiểu kiến trúc phần cứng mạng khác (Ethernet, Token Ring, ATM,…) • Chấm dứt việc thu thập thông tin số tiêu sau ñạt ñược: ñộ lớn liệu thu thập, thời gian thu thập hay tổng số gói tin bắt • Hiển thị gói tin phân tích tiếp tục thu thập thơng tin • Lọc gói tin, giảm độ lớn liệu • Ghi nhiều file khác Có thể lựa chọn để ghi liệu thu ñược theo thứ tự xoay tròn vào file giữ lại x file cuối ðiều có ích cần thu thập liệu thời gian dài Tuy nhiên, tính sau chưa có Ethereal: • Bắt thơng tin ñồng thời từ nhiều card mạng khác (tuy nhiên, chạy nhiều chương trình Ethereal ứng với card mạng khác lúc sau kết hợp – file liệu ñược thu thập lại) • Chấm dứt việc bắt thông tin (hay thực hành động đó) dựa liệu thu thập Các thao tác thực việc thu thập liệu (khởi ñộng/ dừng/ khởi ñộng lại) ñược chọn từ menu Capture Menu 4.2 Start Capturing ðể thu thập gói tin Ethereal, sử dụng phương thức sau: • Nhấn vào biểu tượng cơng cụ Q trình thu thập khởi tạo sau bấm vào nút "Capture" hộp hội thoại • Nhấn vào biểu tượng • Nếu đặt hết tham số, ấn vào nút cơng cụ để bắt ñầu trình thu thập Nếu biết ñược tên card mạng , bạn khởi tạo Ethereal cách đánh lệnh ethereal -i eth0 -k • cơng cụ để đặt tham số tùy chọn Lệnh khởi tạo chương trình Ethereal thu thập gói tin đến card eth0 4.3 HFp hFi tho?i "Capture Interfaces" Khi chọn "Interfaces " từ menu Capture, xuất hộp hội thoại "Capture Interfaces" minh họa Hình ?? Description HðH cung cấp tham số chi tiết cho card mạng IP Là ñịa IP ứng với card mạng Nếu khơng xác định địa IP (chẳng hạn khơng có DHCP server) unknown Nếu máy tính có hai địa IP, hai địa hiển thị (nhưng khơng xác định địa nào) 10 Packets Số lượng packet bắt ñược kể từ mở Hộp hội thoại Packets/s Số lượng packet bắt giây cuối Stop Dừng q trình thu thập Capture Bắt đầu q trình thu thập với cấu hình từ lần thu thập trước Prepare : Mở hộp hội thoại Capture Options card mạng ñược lựa chọn Close ðóng hộp hội thoại 4.2 Các tùy ch5n (Menu Capture/ Options) Khi khởi ñộng việc bắt liệu, Ethereal hiển thị hộp thoại tùy chọn (Capture Options) Nếu không tuỳ chọn đó, để chế độ mặc định Trong nhiều trường hợp điều khơng ảnh hưởng nhiều đến kết hiển thị Khung Capture: • Interface: chọn card mạng bạn sử dụng • IP address: địa IP ứng với card mạng 11 • Link-layer header type: Trong nhiều trường hợp để mặc định • Buffer size: Nhập kích cỡ đệm sử dụng bắt liệu • Capture packets in promiscuous mode: Tắt chế độ bạn muốn bắt liệu ñến từ máy tính bạn • Limit each packet to n bytes: Kích cỡ liệu lớn gói tin • Capture Filter: thiết lập lọc Khung Caputure File(s) • File: tên file sử dụng để ghi lại liệu thu thập • Use multiple files: Thay dùng file nhất, Ethereal tự ñộng chuyển sang file ñiều kiện thỏa mãn • Next file every n megabyte(s): Chuyển sang file sau thu thập byte(s)/kilobyte(s)/megabyte(s)/gigabyte(s) • Next file every n minute(s): Chuyển sang file sau khoảng thời gian giây/ phút/ giờ/ ngày • Ring buffer with n files: Tạo vòng file liệu thu thập, sau ñã ghi vào file cuối quay lại ghi ñè vào file ñầu tiên • Stop capture after n file(s): Dừng việc bắt liệu sau ñã ghi ñủ vào n file Khung Stop Capture : • …after n packet(s): Ngừng việc bắt liệu sau ñã thu thập ñược số lượng gói tin • …after n megabyte(s): Ngừng việc bắt liệu sau ñã thu thập số lượng liệu • …after n minute(s): Ngừng việc thu thập liệu sau số giây/ phút/ giờ/ ngày Display Options Frame: • Update list of packets in real time: Yêu cầu Ethereal cập nhật liệt kê gói tin thời gian thực Nếu khơng có lựa chọn này, Ethereal hiển thị gói tin sau ngừng q trình thu thập liệu • Automatic scrolling in live capture: Tùy chọn cho phép Ethereal cuộn ô liệt kê gói tin có thêm gói tin mới, để người sử dụng ln ln nhìn thấy gói tin • Hide capture info dialog: Nếu ñược chọn, hộp thoại hiển thị thơng tin thu thậo liệu ẩn Name Resolution Frame: • Enable MAC name resolution: Giải mã địa MAC q trình thu thập • Enable network name resolution: Giải mã ñịa mạng q trình thu thập • Enable transport name resolution: Giải mã địa tầng giao vận q trình thu thập 12 4.5 BF l5c Có thể điền biểu thức lọc vào trường Filter hộp thoại Capture Options Biểu thức xem tổ hợp biểu thức nguyên thủy (primitive) kết nối với theo phép tốn AND OR NOT Khn dạng tổng quát biểu thức: [not] primitive [and|or [not] primitive …] Ví dụ 1: Bắt thơng tin ứng dụng telnet ñến ñi từ host cụ thể ñó: tcp port 23 and host 10.0.0.5 Ví dụ 2: Bắt thơng tin telnet khơng xuất phát từ địa IP 10.0.05: tcp port 23 and not host 10.0.0.5 Dưới ñây biểu thức nguyên thủy thường ñược sử dụng: • [src|dst] host : lọc dựa tên ñịa IP máy tính Nếu có thêm từ khóa src (hoặc dst) lấy gói tin có địa gửi (hoặc địa nhận) host Nếu khơng có hai từ khóa này, hệ thống thu giữ tất gói tin có địa gửi nhận host • ether [src|dst] host : lọc dựa địa Ethernet host Từ khóa src dst giống • gateway host : lọc gói tin sử dụng host gateway (router) Có nghĩa địa Ethernet địa host địa IP khơng phải địa host • [src|dst] net [{mask }|{len }] Lọc theo địa subnet mạng Từ khóa src dst cần lấy gói tin gửi từ (hoặc đến) mạng cụ thể Có thể bạn phải mặt nạ mạng tiền tố CIDR trường hợp bạn ñịa subnet khác subnet máy tính cài Ethereal • [tcp|udp] [src|dst] port : lọc theo cổng TCP UDP • less|greater : lọc gói tin theo độ dài cho trước • ip|ether proto : lọc dựa giao thức cho trước thuộc tâng Ethernet tầng IP Làm việc với gói tin bắt 5.1 Xem gói tin bOt Sau bạn bắt số gói tin, hay mở file liệu thu thập, chọn xem gói tin hiển thị liệt kê gói tin cách nhấn chuột vào Chi tiết gói tin hiển thị phía – theo dạng dạng nhị phân Có thể mở rộng hiển thị gói tin cách ấn vào dấu (+), thơng tin chi tiết giao thức hình 13 Ngồi ra, bạn xem gói tin cửa sổ riêng ðiều cho phép bạn dễ dàng so sánh hai hay nhiều gói tin ðể xem vậy, nhấn chuột phải vào gói tin chọn Show Packet in New Window L5c gói tin xem Bộ lọc hiển thị cho phép bạn tập trung vào gói tin bạn quan tâm ẩn gói tin khác Bạn chọn gói tin dựa trên: • Giao thức • Sự xuất trường • Giá trị trường 14 • So sánh trường • … nhiều thế! Bạn lọc nhiều trường khác cách chọn hộp thoại Add Expression… Chẳng hạn, để thu hẹp danh sách gói tin thành gói tin đến địa IP 192.168.0.1, ta dùng biểu diễn ip.addr = = 192.168.0.1 T?o biQu th"c l5c hiQn th< Ethereal cung cấp ngôn ngữ lọc hiển thị ñơn giản hiệu Bạn so sánh giá trị gói tin kết hợp biểu thức thành phép lọc phức tạp Các bảng sau cung cấp nhiều thơng tin để bạn sử dụng 15 Bảng tốn tử so sánh: Viết tắt tiếng Anh Cú pháp C Mơ tả ví dụ eq == Equal ip.addr==10.0.0.5 ne != Not equal ip.addr!=10.0.0.5 gt > Greater than frame.pkt_len > 10 lt < Less than frame.pkt_len < 128 ge >= Greater than or equal to frame.pkt_len ge 0x100 le

Ngày đăng: 14/08/2012, 08:36

Xem thêm: Tài liệu hướng dẫn về Etheral , Tài liệu hướng dẫn về Etheral

Từ khóa liên quan

Tài liệu cùng người dùng

Tài liệu liên quan