HướngdẫnsửdụngEthereal Môn Mạng Máy Tính Khoa CNTT – Bộ môn MMT&VT - 1 - HƯỚNG DẪNSỬDỤNG ETHEREAL I. Mục đích sửdụng - Bắt và phân tích các gói tin (Capture and Analyze packets) II. Công cụ sửdụng - Ethereal III. Các bước sửdụng Thiết lập các tùy chọn Chọn Capture/Options Đầu tiên ta chọn card mạng (Interface) để quan sát các gói tin. Interface là card mạng vật lý, nơi các gói tin sẽ đi qua (in/out), chọn card mạng muốn bắt các gói tin đi qua đó. (Lưu ý: Card mạng ảo được sửdụng bởi phần mềm máy ảo VMWare bắt đầu bằng chữ Vmware-). HướngdẫnsửdụngEthereal Môn Mạng Máy Tính Khoa CNTT – Bộ môn MMT&VT - 2 - Chọn các tùy chọn khác Buffer size: Buffer được sửdụng trong quá trình capture. Đây là kích thước của Kernel buffer, nơi sẽ giữ các packet đã được capture cho đến khi lưu nó và đĩa cứng. Nếu như bạn bị huỷ các gói packet thì nên gia tăng chỉ số này. Capture packets in promiscuous mode: Thông thường card mạng chỉ bắt được các gói đến địa chỉ mạng của nó, chọn tùy chọn này card mạng sẽ thấy được tất cả các gói tin. Limit each packet to xy bytes: Giới hạn kích thước tối đa mỗi gói tin được bắt (mặc định là 65535 bytes), bao gồm link-layer header và tất cả các subsequent header khác (khi đi lên các tầng khác). Đây là biện pháp chúng ta có thể làm giảm tải cho CPU và giảm được tối thiểu dung lượng của buffer. Capture Filter: Etherealsửdụng ngôn ngữ libpcap filter để lọc capture. Sau đây là cú pháp của câu lệnh: [not] primitive [and | or [not] primitive . . . ] Hướng dẫnsửdụng Ethereal Môn Mạng Máy Tính Khoa CNTT – Bộ môn MMT&VT - 3 - Dùng để giảm khối lượng các gói tin mà ethereal bắt. Ví dụ: “tcp port 23 and host 192.168.2.1” . Lúc này ta chỉ thấy Ethereal chỉ làm 1 nhiệm vụ là capture các traffic telnet từ host 192.168.2.1 File: Chứa thông tin các gói tin được bắt. Nếu không chọn file thì mặc định 1 file tạm sẽ được dùng. Use multiple files: Dùng nhiều file lưu trữ thông tin bắt được, các tên file được tạo chứa các số thứ tự tăng dần và thời gian bắt đầu capture. Dùng trong trường hợp capture trong khỏang thời gian lâu thì kích thước file chứa có thể lên hàng GB rất khó theo dõi và tìm thông tin không được nhanh. Ví dụ: nếu gõ “/foo.cap” trong trường “File” thì các file sẽ được tạo là "/foo_00001_20040205110102.cap", "/foo_00002_20040205110102.cap", . Update list of packets in real time: Hiển thị các gói tin bắt được lên Packet List trên màn hình ngay lập tức. Automatic scrolling in live capture: Cuộn “Packet List” tự động khi add thêm thông tin gói tin vừa được bắt. Dùng option này khi tùy chọn “Update List of packets in real time” được dùng. Name resolution: thực hiện phân giải tên liên quan khi capture. Hướng dẫnsửdụng Ethereal Môn Mạng Máy Tính Khoa CNTT – Bộ môn MMT&VT - 4 - Sửdụng filter: Lọc các packet theo protocol mong muốn Ví dụ: thông tin các gói ICMP Ấn Start Cửa sổ chính sẽ hiển thị 3 cửa sổ con như sau Hướng dẫnsửdụng Ethereal Môn Mạng Máy Tính Khoa CNTT – Bộ môn MMT&VT - 5 - Hướng dẫnsửdụng Ethereal Môn Mạng Máy Tính Khoa CNTT – Bộ môn MMT&VT - 6 - Packet List: Chứa thông tin chung của các packet bắt được với các cột thông tin: thứ tự của packet (No.), TimeStamp, Destination Address, Source Address, Information (thông tin chung của gói). Packet Detail: Chi tiết của gói được click chọn ở Packet List, click chọn dấu „+‟ để xem chi tiết về packet. Packet Byte: Tất cả dữ liệu được biểu diễn dưới dạng dump hexa. Khi chọn một trường trong Packet Detail thì bên dưới Packet Byte tương ứng sẽ được chọn và ngược lại. Cửa sổ cho biết tỷ lệ các gói tin bắt được theo các dạng phương thức mà Ethereal hỗ trợ . Hướng dẫn sử dụng Ethereal Môn Mạng Máy Tính Khoa CNTT – Bộ môn MMT&VT - 1 - HƯỚNG DẪN SỬ DỤNG ETHEREAL I. Mục đích sử dụng - Bắt và. thị 3 cửa sổ con như sau Hướng dẫn sử dụng Ethereal Môn Mạng Máy Tính Khoa CNTT – Bộ môn MMT&VT - 5 - Hướng dẫn sử dụng Ethereal Môn Mạng Máy Tính