Московский Государственный Институт Электроники и Математики
(технический университет)
Методические указания к лабораторной работе № 2
Анализ протоколов с помощью анализатора Ethereal
Москва 2008
Лабораторная работа №2.
Анализ протоколов с помощью анализатора Ethereal
1. Цель работы
Цель работы состоит в том, чтобы получить точную картину и вложенность сетевых протоколов в сети Ethernet-TCP/IP.
2. Описание анализатора протоколов Ethereal
Анализатор Ethereal - это программа, которая из сети посредством сетевого адаптера извлекает все кадры Ethernet для данного сегмента. Анализатор захватывает пакеты, попадающие на интерфейс компьютера, сохраняет и отображает информацию о каждом пакете: тип протокола, структуру полей, адрес источника и адрес назначения, а также другие параметры. Экран анализатора имеет три окна (рис. 1). В верхнем окне отображается список захваченных пакетов. Среднее окно показывает древовидную структуру (вложенность) полей пакета, выбранного в верхнем окне.
Рис.1. Экран анализатора Ethereal
Рис.2. Пример
Нижнее окно дает представление того же пакета в виде последовательности байтов, причем выделяются байты, соответствующие полю данных, выбранному в верхнем окне. В дополнение к трем окнам в нижней части экрана расположены пять элементов. Кнопка Filter позволяет инициировать диалог построения фильтра. Справа от этой кнопки расположено окно для ввода и редактирования фильтра. Это окно служит также для отображения действующего фильтра и просмотра в режиме прокрутки списка ранее использованных фильтров. Кнопка Reset очищает окно для ввода фильтра. Кнопка Apply инициирует применение выбранного фильтра. Справа от кнопки Apply окно сообщений, которое информирует, что анализатор работает в режиме захвата пакетов. Если режим захвата отключен, окно сообщений показывает имя файла, считанного в верхнее окно. Если возможна фильтрация по полю, выбранному в среднем окне, то окно сообщений показывает метку соответствующего фильтра.
В верхней части экрана расположена панель основных меню.
Меню File позволяет открывать (Open ...), закрывать (Close), сохранять (Save и Save as ...), перезагружать (Reload) и выводить на печать (Print ...) файлы захваченных пакетов, выводить на печать содержимое отдельных пакетов (Print Packet), а также выходить из программы (Quit).
Меню Edit позволяет осуществлять поиск кадров (Find Frame ...), переходить к кадру с заданным номером (Go to Frame), отмечать кадры (Mark Frame, Unmark Frame и Mark All Frames ...), задавать предпочтительные параметры (Preferences), создавать фильтры (Capture Filters), просматривать фильтры (Display Filters ...), а также включать и отключать режим анализа протоколов (Protocols...).
Меню Capture служит для включения (Start...) режима захвата кадров и выхода из него (Stop).
Меню Display позволяет выбирать параметры отображения на экране (Options ...), сравнивать выбранные кадры (Match Selected), использовать цветовую разметку (Colorize Display), развертывать и свертьгоать отображение кадров (Expand All и Collapse All), показывать пакет в отдельном окне (Show Packet in New Window), а также конфигурировать пользовательские декодировки (User Specified Decodes ...).
Меню Tools позволяет отображать дополнительные подключаемые модули (plugins), отслеживать TCP-поток (Follow TCP Stream), получать данные о протоколах захваченных пакетов (Decode As ...), а также выводить на экран статистику протоколов (Summary ... и Protocol Hierarchy).
Режим захвата пакетов
Если щелкнуть Start из меню Capture, появится диалоговое окно (Capture Options) для выбора параметров режима захвата пакетов. Поле Interface: позволяет ввести интерфейс, на котором требуется анализировать пакеты. Можно задать только один интерфейс, причем только из числа тех, которые обнаружены анализатором.
Кнопка и поле Limit each packet to ________ bytes служат для задания
максимального объема данных, фиксируемого анализатором по каждому пакету. По умолчанию это 65535 байт, что достаточно для большинства протоколов.
Кнопка Capture packets in promiscuous mode переводит интерфейс анализатора в режим "неразборчивого" захвата. Если этот режим не включен, анализатор будет захватывать только пакеты адресованные в компьютер, на котором установлен анализатор, или исходящие из него .
Кнопка и поле Filter позволяют задать фильтр пакетов. Пустое значение означает захват без фильтрации. Если щелкнуть кнопку Filter, то появится диалоговое окно для построения или выбора готового фильтра.
Кнопка и поле File служат для ввода имени файла, в котором будут сохранены результаты захвата.
Кнопка Use ring buffer переводит буфер, принимающий пакеты, в
кольцевой режим. Поле Number of files__ служат для числа файлов для
сохранения захваченных пакетов. Поле Rotate capture file every__ seconds
позволяет задать в секундах период прокрутки файла захваченных пакетов.
Ряд кнопок и полей служат для задания параметров отображения. Кнопка Update list of packets in real time переводит окно списка пакетов в режим реального времени. Кнопка Automatic scrolling in live capture переводит окно списка пакетов в режим автоматической прокрутки.
Ряд кнопок и полей служат для задания ограничений на число захваченных пакетов, на общий объем захваченных пакетов и длительность
сеанса захвата: Stop capture after_ packets captured, Stop capture after
_______________________________________________ kilobyte(s) captured, Stop capture after____ seconds. Незаполненное поле
или нулевое содержимое любого из этих полей означает отсутствие соответствующего ограничения.
Кнопка Enable MAC name resolution устанавливает режим трансляции первых трех байт МАС-адреса в название изготовителя сетевой карты. Кнопка Enable network name resolution устанавливает режим перевода IP-адресов в доменные имена. Этот режим дает больше информации, но замедляет работу анализатора по захвату пакетов. Кнопка Enable transport name resolution устанавливает режим перевода номеров портов в протоколы.
После установки параметров можно щелкнуть ОК для начала процесса захвата или Cancel для его прекращения.
Фильтрация в процессе захвата пакетов
Для записи фильтра используется последовательность простых выражений (примитивов), соединенных логическими связками and или or, перед которыми может присутствовать отрицание not:
[not] <примитив> [and I or [not] <примитив> ...]
Например, чтобы захватить трафик, адресованный к узлу с IP-адресом 192.168.12.14 или исходящий из него, используется фильтр tcp port 23 and host 192.168.12.14. Если нужно захватить весь трафик, кроме трафика, адресованного узлу 192.168.12.14 или исходящего из него, используется фильтр tcp port 23 and not host 192.168.12.14.
Просмотр захваченных пакетов
Щелкнув по выделенному пакету в окне захваченных пакетов, получим дерево полей пакета в среднем окне и байтовое представление - в нижнем. Чтобы развернуть элемент дерева полей, следует щелкнуть знак "+" слева от соответствующего элемента.
3. Задания
Задание 1. Произвести захват и анализ пакетов, передающихся через сеть при авторизации компьютера в сети Microsoft Windows.
Задание 2. Произвести эхо запрос определённого ПК и зафиксировать трафик, возникающий при этом в сети. Провести его анализ.
Задание 3. Скопировать с удаленного ПК (сервера) на свой ПК файл. Зафиксировать и проанализировать затем трафик в сети в это время.
Задание 4. Получить доступ с помощью proxy-сервера к интернету и зайти на интернет-страницу при помощи браузера. Зафиксировать трафик в сети и проанализировать его.
1. Щелкните пункт Start из меню Capture.
2. Щелкните ОК, чтобы начать процесс захвата. Для того, чтобы этот
процесс действительно развивался необходимо, чтобы некоторые рабочие
станции проявляли активность в сети.
3. Щелкните Stop, чтобы остановить процесс захвата.
4. Просмотрите содержимое трех окон и выявите перечень протоколов.