Московский Государственный Институт Электроники и Математики
(технический университет)
Методические указания к лабораторной работе № 2
Анализ протоколов с помощью анализатора Ethereal
Москва 2008
Лабораторная работа №2.
Анализ протоколов с помощью анализатора Ethereal
1. Цель работы
Цель работы состоит в том, чтобы получить точную картину и вложенность сетевых протоколов в сети Ethernet-TCP/IP.
2. Описание анализатора протоколов Ethereal
Анализатор Ethereal - это программа, которая из сети посредством сетевого адаптера извлекает все кадры Ethernet для данного сегмента. Анализатор захватывает пакеты, попадающие на интерфейс компьютера, сохраняет и отображает информацию о каждом пакете: тип протокола, структуру полей, адрес источника и адрес назначения, а также другие параметры. Экран анализатора имеет три окна (рис. 1). В верхнем окне отображается список захваченных пакетов. Среднее окно показывает древовидную структуру (вложенность) полей пакета, выбранного в верхнем окне.
Рис.1. Экран анализатора Ethereal
Рис.2. Пример
Нижнее окно дает представление того же пакета в виде последовательности байтов, причем выделяются байты, соответствующие полю данных, выбранному в верхнем окне. В дополнение к трем окнам в нижней части экрана расположены пять элементов. Кнопка Filter позволяет инициировать диалог построения фильтра. Справа от этой кнопки расположено окно для ввода и редактирования фильтра. Это окно служит также для отображения действующего фильтра и просмотра в режиме прокрутки списка ранее использованных фильтров. Кнопка Reset очищает окно для ввода фильтра. Кнопка Apply инициирует применение выбранного фильтра. Справа от кнопки Apply окно сообщений, которое информирует, что анализатор работает в режиме захвата пакетов. Если режим захвата отключен, окно сообщений показывает имя файла, считанного в верхнее окно. Если возможна фильтрация по полю, выбранному в среднем окне, то окно сообщений показывает метку соответствующего фильтра.
В верхней части экрана расположена панель основных меню.
Меню Fileпозволяет открывать (Open...), закрывать (Close), сохранять (Save и Saveas...), перезагружать (Reload) и выводить на печать (Print...) файлы захваченных пакетов, выводить на печать содержимое отдельных пакетов (PrintPacket), а также выходить из программы (Quit).
Меню Editпозволяет осуществлять поиск кадров (FindFrame...), переходить к кадру с заданным номером (GotoFrame), отмечать кадры (MarkFrame, UnmarkFrameи MarkAllFrames...), задавать предпочтительные параметры (Preferences), создавать фильтры (CaptureFilters), просматривать фильтры (DisplayFilters...), а также включать и отключать режим анализа протоколов (Protocols...).
Меню Captureслужит для включения (Start...) режима захвата кадров и выхода из него (Stop).
Меню Displayпозволяет выбирать параметры отображения на экране (Options...), сравнивать выбранные кадры (MatchSelected), использовать цветовую разметку (ColorizeDisplay), развертывать и свертьгоать отображение кадров (ExpandAllи CollapseAll), показывать пакет в отдельном окне (ShowPacketinNewWindow), а также конфигурировать пользовательские декодировки (UserSpecifiedDecodes...).
Меню Toolsпозволяет отображать дополнительные подключаемые модули (plugins), отслеживать TCP-поток (FollowTCPStream), получать данные о протоколах захваченных пакетов (DecodeAs...), а также выводить на экран статистику протоколов (Summary ... и ProtocolHierarchy).
Режим захвата пакетов
Если щелкнуть Startиз меню Capture, появится диалоговое окно (Capture Options) для выбора параметров режима захвата пакетов. Поле Interface: позволяет ввести интерфейс, на котором требуется анализировать пакеты. Можно задать только один интерфейс, причем только из числа тех, которые обнаружены анализатором.
Кнопка и поле Limiteachpackettobytesслужат для задания
максимального объема данных, фиксируемого анализатором по каждому пакету. По умолчанию это 65535 байт, что достаточно для большинства протоколов.
Кнопка Capturepacketsinpromiscuousmodeпереводит интерфейс анализатора в режим "неразборчивого" захвата. Если этот режим не включен, анализатор будет захватывать только пакеты адресованные в компьютер, на котором установлен анализатор, или исходящие из него .
Кнопка и поле Filterпозволяют задать фильтр пакетов. Пустое значение означает захват без фильтрации. Если щелкнуть кнопку Filter, то появится диалоговое окно для построения или выбора готового фильтра.
Кнопка и поле Fileслужат для ввода имени файла, в котором будут сохранены результаты захвата.
Кнопка Useringbufferпереводит буфер, принимающий пакеты, в
кольцевой режим. Поле Numberoffilesслужат для числа файлов для
сохранения захваченных пакетов. Поле Rotatecapturefileeveryseconds
позволяет задать в секундах период прокрутки файла захваченных пакетов.
Ряд кнопок и полей служат для задания параметров отображения. Кнопка Updatelistofpacketsinrealtimeпереводит окно списка пакетов в режим реального времени. Кнопка Automaticscrollinginlivecaptureпереводит окно списка пакетов в режим автоматической прокрутки.
Ряд кнопок и полей служат для задания ограничений на число захваченных пакетов, на общий объем захваченных пакетов и длительность
сеанса захвата: Stop capture after packets captured, Stop capture after
kilobyte(s) captured, Stop capture after seconds. Незаполненное поле
или нулевое содержимое любого из этих полей означает отсутствие соответствующего ограничения.
Кнопка EnableMACnameresolutionустанавливает режим трансляции первых трех байт МАС-адреса в название изготовителя сетевой карты. Кнопка Enablenetworknameresolutionустанавливает режим перевода IP-адресов в доменные имена. Этот режим дает больше информации, но замедляет работу анализатора по захвату пакетов. Кнопка Enabletransportnameresolutionустанавливает режим перевода номеров портов в протоколы.
После установки параметров можно щелкнуть ОК для начала процесса захвата или Cancelдля его прекращения.
Фильтрация в процессе захвата пакетов
Для записи фильтра используется последовательность простых выражений (примитивов), соединенных логическими связками andили or, перед которыми может присутствовать отрицание not:
[not] <примитив> [and I or [not] <примитив> ...]
Например, чтобы захватить трафик, адресованный к узлу с IP-адресом 192.168.12.14 или исходящий из него, используется фильтр tcpport 23 andhost192.168.12.14. Если нужно захватить весь трафик, кроме трафика, адресованного узлу 192.168.12.14 или исходящего из него, используется фильтр tcpport 23 andnothost192.168.12.14.
Просмотр захваченных пакетов
Щелкнув по выделенному пакету в окне захваченных пакетов, получим дерево полей пакета в среднем окне и байтовое представление - в нижнем. Чтобы развернуть элемент дерева полей, следует щелкнуть знак "+" слева от соответствующего элемента.
3. Задания
Задание 1. Произвести захват и анализ пакетов, передающихся через сеть при авторизации компьютера в сети MicrosoftWindows.
Задание 2. Произвести эхо запрос определённого ПК и зафиксировать трафик, возникающий при этом в сети. Провести его анализ.
Задание 3. Скопировать с удаленного ПК (сервера) на свой ПК файл. Зафиксировать и проанализировать затем трафик в сети в это время.
Задание 4. Получить доступ с помощью proxy-сервера к интернету и зайти на интернет-страницу при помощи браузера. Зафиксировать трафик в сети и проанализировать его.
Выполнение1. Щелкните пункт Start из меню Capture.
Щелкните ОК, чтобы начать процесс захвата. Для того, чтобы этот
процесс действительно развивался необходимо, чтобы некоторые рабочие
станции проявляли активность в сети.
Щелкните Stop, чтобы остановить процесс захвата.
Просмотрите содержимое трех окон и выявите перечень протоколов.