Московский Государственный Институт Электроники и Математики
(технический университет)
Методические указания к лабораторной работе
№ 2
Анализ протоколов с помощью анализатора
Ethereal
Москва 2008
Лабораторная работа №2.
Анализ протоколов с помощью анализатора
Ethereal
1. Цель работы
Цель работы состоит в том, чтобы получить точную картину и вложенность сетевых протоколов в сети Ethernet
-
TCP
/
IP
.
2. Описание анализатора протоколов
Ethereal
Анализатор Ethereal - это программа, которая из сети посредством сетевого адаптера извлекает все кадры Ethernet для данного сегмента. Анализатор захватывает пакеты, попадающие на интерфейс компьютера, сохраняет и отображает информацию о каждом пакете: тип протокола, структуру полей, адрес источника и адрес назначения, а также другие параметры. Экран анализатора имеет три окна (рис. 1). В верхнем окне отображается список захваченных пакетов. Среднее окно показывает древовидную структуру (вложенность) полей пакета, выбранного в верхнем окне.
Рис.1. Экран анализатора Ethereal
Рис.2. Пример
Нижнее окно дает представление того же пакета в виде последовательности байтов, причем выделяются байты, соответствующие полю данных, выбранному в верхнем окне. В дополнение к трем окнам в нижней части экрана расположены пять элементов. Кнопка Filter позволяет инициировать диалог построения фильтра. Справа от этой кнопки расположено окно для ввода и редактирования фильтра. Это окно служит также для отображения действующего фильтра и просмотра в режиме прокрутки списка ранее использованных фильтров. Кнопка Reset очищает окно для ввода фильтра. Кнопка Apply инициирует применение выбранного фильтра. Справа от кнопки Apply окно сообщений, которое информирует, что анализатор работает в режиме захвата пакетов. Если режим захвата отключен, окно сообщений показывает имя файла, считанного в верхнее окно. Если возможна фильтрация по полю, выбранному в среднем окне, то окно сообщений показывает метку соответствующего фильтра.
В верхней части экрана расположена панель основных меню.
Меню File
позволяет открывать (
Open
...), закрывать (
Close
),
сохранять (Save и Save
as
...), перезагружать (
Reload
)
и выводить на печать (
Print
...) файлы захваченных пакетов, выводить на печать содержимое отдельных пакетов (
Print
Packet
),
а также выходить из программы (
Quit
).
Меню Edit
позволяет осуществлять поиск кадров (
Find
Frame
...), переходить к кадру с заданным номером (
Go
to
Frame
),
отмечать кадры (
Mark
Frame
,
Unmark
Frame
и Mark
All
Frames
...), задавать предпочтительные параметры (
Preferences
),
создавать фильтры (
Capture
Filters
),
просматривать фильтры (
Display
Filters
...), а также включать и отключать режим анализа протоколов (
Protocols
...).
Меню Capture
служит для включения (
Start
...) режима захвата кадров и выхода из него (
Stop
).
Меню Display
позволяет выбирать параметры отображения на экране (
Options
...), сравнивать выбранные кадры (
Match
Selected
),
использовать цветовую разметку (
Colorize
Display
),
развертывать и свертьгоать отображение кадров (
Expand
All
и Collapse
All
),
показывать пакет в отдельном окне (
Show
Packet
in
New
Window
),
а также конфигурировать пользовательские декодировки (
User
Specified
Decodes
...).
Меню Tools
позволяет отображать дополнительные подключаемые модули (plugins), отслеживать TCP-поток (
Follow
TCP
Stream
),
получать данные о протоколах захваченных пакетов (
Decode
As
...), а также выводить на экран статистику протоколов (
Summary
...
и Protocol
Hierarchy
).
Режим захвата пакетов
Если щелкнуть Start
из меню Capture
,
появится
:
позволяет ввести интерфейс, на котором требуется анализировать пакеты. Можно задать только один интерфейс, причем только из числа тех, которые обнаружены анализатором.
Кнопка и
поле Limit
each
packet
to
________
bytes
служат для задания
максимального объема данных, фиксируемого анализатором по каждому пакету. По умолчанию это 65535 байт, что достаточно для большинства протоколов.
Кнопка Capture
packets
in
promiscuous
mode
переводит интерфейс анализатора в режим "неразборчивого" захвата. Если этот режим не включен, анализатор будет захватывать только пакеты адресованные в компьютер, на котором установлен анализатор, или исходящие из него .
Кнопка и поле Filter
позволяют задать фильтр пакетов. Пустое значение означает захват без фильтрации. Если щелкнуть кнопку Filter
,
то появится диалоговое окно для построения или выбора готового фильтра.
Кнопка и поле File
служат для ввода имени файла, в котором будут сохранены результаты захвата.
Кнопка Use
ring
buffer
переводит буфер, принимающий пакеты, в
кольцевой режим. Поле Number
of
files
__
служат для числа файлов для
сохранения захваченных пакетов. Поле Rotate
capture
file
every
__
seconds
позволяет задать в секундах период прокрутки файла захваченных пакетов.
Ряд кнопок и полей служат для задания параметров отображения. Кнопка Update
list
of
packets
in
real
time
переводит окно списка пакетов в режим реального времени. Кнопка Automatic
scrolling
in
live
capture
переводит окно списка пакетов в режим автоматической прокрутки.
Ряд кнопок и полей служат для задания ограничений на число захваченных пакетов, на общий объем захваченных пакетов и длительность
сеанса захвата: Stop capture after_ packets captured, Stop capture after
_______________________________________________ kilobyte(s) captured, Stop capture after____ seconds.
Незаполненное поле
или нулевое содержимое любого из этих полей означает отсутствие соответствующего ограничения.
Кнопка Enable
MAC
name
resolution
устанавливает режим трансляции первых трех байт МАС-адреса в название изготовителя сетевой карты. Кнопка Enable
network
name
resolution
устанавливает режим перевода IP-адресов в доменные имена. Этот режим дает больше информации, но замедляет работу анализатора по захвату пакетов. Кнопка Enable
transport
name
resolution
устанавливает режим перевода номеров портов в протоколы.
После установки параметров можно щелкнуть ОК для начала процесса захвата или Cancel
для его прекращения.
Фильтрация в процессе захвата пакетов
Для записи фильтра используется последовательность простых выражений (примитивов), соединенных логическими связками and
или or
,
перед которыми может присутствовать отрицание not
:
[not]
<примитив> [and I or [not]
<примитив> ...]
Например, чтобы захватить трафик, адресованный к узлу с IP-адресом 192.168.12.14 или исходящий из него, используется фильтр tcp
port
23
and
host
192.168.12.14.
Если нужно захватить весь трафик, кроме трафика, адресованного узлу 192.168.12.14 или исходящего из него, используется фильтр tcp
port
23
and
not
host
192.168.12.14.
Просмотр захваченных пакетов
Щелкнув по выделенному пакету в окне захваченных пакетов, получим дерево полей пакета в среднем окне и байтовое представление - в нижнем. Чтобы развернуть элемент дерева полей, следует щелкнуть знак "+" слева от соответствующего элемента.
3. Задания
Задание 1.
Произвести захват и анализ пакетов, передающихся через сеть при авторизации компьютера в сети Microsoft
Windows
.
Задание 2.
Произвести эхо запрос определённого ПК и зафиксировать трафик, возникающий при этом в сети. Провести его анализ.
Задание 3.
Скопировать с удаленного ПК (сервера) на свой ПК файл. Зафиксировать и проанализировать затем трафик в сети в это время.
Задание 4.
Получить доступ с помощью proxy-сервера к интернету и зайти на интернет-страницу при помощи браузера. Зафиксировать трафик в сети и проанализировать его.
Выполнение
1. Щелкните пункт Start
из меню Capture
.
2. Щелкните ОК
, чтобы начать процесс захвата. Для того, чтобы этот процесс действительно развивался необходимо, чтобы некоторые рабочие станции проявляли активность в сети.
3. Щелкните Stop
,
чтобы остановить процесс захвата.
4. Просмотрите содержимое трех окон и выявите перечень протоколов.