Приведенное здесь описание не является переводом пользовательской документации для программы Ethereal, хотя в нем используются фрагменты такого перевода. Документ описывает возможности программы на уровне версии 0.9.16. данный документ является частью курса "Системы безопасности на открытых платформах", подготовленного автором и читаемого в Network Training Center.
http://www.ethereal.com
Ethereal представляет собой анализатор сетевых протоколов с графическим интерфейсом (GUI). Программа позволяет просматривать и анализировать пакеты, полученные из сетевого интерфейса или ранее собранного файла. В Ethereal по умолчанию используется для файлов захвата формат libpcap, используемый программой tcpdump и другими анализаторами. Кроме того, Ethereal может читать файлы в форматах snoop и atmsnoop, Shomiti/Finisar Surveyor, Novell LANalyzer, Network General/Network Associates Sniffer (в сжатом и несжатом формате) (DOS-версии), Microsoft Network Monitor, AIX iptrace, Cinco Networks NetXRay, Network Associates Sniffer (Windows-версии), AG Group/WildPackets EtherPeek/TokenPeek/AiroPeek, RADCOM WAN/LAN, Lucent/Ascend router debug, HP-UX nettl, Toshiba ISDN router dump, ISDN4BSD, Cisco Secure IDS IPLog, pppd (формат pppdump), VMS TCPIPtrace/TCPtrace/UCX$TRACE, DBS Etherwatch VMS (текстовый формат, Visual Networks Visual UpTime, CoSine L2, Accellent 5Views LAN agent, Endace Measurement Systems ERF, Linux Bluez Bluetooth, Network Instruments Observer v9. Программе даже не нужно указывать тип исходного файла, она распознает форматы автоматически. Ethereal может также читать файлы перечисленных выше форматов, сжатые с использованием gzip. Получить более подробную информацию о поддерживаемых программой форматах и других возможностях Ethereal можно из руководства пользователя, доступного на сайте.
Подобно другим анализаторам протоколов окно Ethereal включает 3 области просмотра с разными уровнями детализации (см. рисунок 1). Верхнее окно содержит список собранных пакетов с кратким описанием, в среднем окне показывается дерево протоколов, инкапсулированных в кадр. Ветви дерево могут быть раскрыты для повышения уровня детализации выбранного протокола. Последнее окно содержит дамп пакета в шестнадцатеричном и текстовом представлении.
Рисунок 1 Интерфейс программы Ethereal
Программа Ethereal предоставляет пользователю ряд уникальных возможностей, не поддерживаемых другими анализаторами протоколов. Программа обеспечивает возможность сбора всех пакетов заданного соединения TCP и представления данных в удобном для просмотра формате (ASCII, EBCDIC или шестнадцатеричный). При выводе пакетов можно использовать мощную систему фильтрации Ethereal, отбирающую пакеты по большему, нежели в других анализаторах, числу полей.
Сбор пакетов осуществляется с использованием библиотеки pcap, входящей во все дистрибутивы UNIX (Windows-версия Ethereal работает с библиотекой winpcap, доступной на сайте http://winpcap.polito.it). Синтаксис фильтров сбора пакетов соответствует правилам, используемым библиотекой pcap и программой tcpdump.
Для поддержки анализа данных из сжатых файлов требуется библиотека zlib. Отсутствие этой библиотеки не мешает компиляции Ethereal, но в этом случае работа со сжатыми файлами не поддерживается.
далее ...
Дата обновления 14.02.2005
[an error occurred while processing this directive] [an error occurred while processing this directive]