ПредисловиеПриведенное здесь описание не является переводом пользовательской документации для программы Ethereal, хотя в нем используются фрагменты такого перевода. Документ описывает возможности программы на уровне версии 0.9.16. данный документ является частью курса "Системы безопасности на открытых платформах", подготовленного автором
Ethereal представляет собой анализатор сетевых протоколов с графическим интерфейсом (GUI). Программа позволяет просматривать и анализировать пакеты, полученные из сетевого интерфейса или ранее собранного файла. В Ethereal по умолчанию используется для файлов захвата формат libpcap, используемый программой tcpdump и другими анализаторами. Кроме того, Ethereal может читать файлы в форматах snoop и atmsnoop, Shomiti/Finisar Surveyor, Novell LANalyzer, Network General/Network Associates Sniffer (в сжатом и несжатом формате) (DOS-версии), Microsoft Network Monitor, AIX iptrace, Cinco Networks NetXRay, Network Associates Sniffer (Windows-версии), AG Group/WildPackets EtherPeek/TokenPeek/AiroPeek, RADCOM WAN/LAN, Lucent/Ascend router debug, HP-UX nettl, Toshiba ISDN router dump, ISDN4BSD, Cisco Secure IDS IPLog, pppd (формат pppdump), VMS TCPIPtrace/TCPtrace/UCX$TRACE, DBS Etherwatch VMS (текстовый формат, Visual Networks Visual UpTime, CoSine L2, Accellent 5Views LAN agent, Endace Measurement Systems ERF, Linux Bluez Bluetooth, Network Instruments Observer v9. Программе даже не нужно указывать тип исходного файла, она распознает форматы автоматически. Ethereal может также читать файлы перечисленных выше форматов, сжатые с использованием gzip. Получить более подробную информацию о поддерживаемых программой форматах и других возможностях Ethereal можно из руководства пользователя, доступного на сайте.
Подобно другим анализаторам протоколов окно Ethereal включает 3 области просмотра с разными уровнями детализации (см. рисунок 1). Верхнее окно содержит список собранных пакетов с кратким описанием, в среднем окне показывается дерево протоколов, инкапсулированных в кадр. Ветви дерево могут быть раскрыты для повышения уровня детализации выбранного протокола. Последнее окно содержит дамп пакета в шестнадцатеричном и текстовом представлении.
Рисунок 1 Интерфейс программы Ethereal
Программа Ethereal предоставляет пользователю ряд уникальных возможностей, не поддерживаемых другими анализаторами протоколов. Программа обеспечивает возможность сбора всех пакетов заданного соединения TCP и представления данных в удобном для просмотра формате (ASCII, EBCDIC или шестнадцатеричный). При выводе пакетов можно использовать мощную систему фильтрации Ethereal, отбирающую пакеты по большему, нежели в других анализаторах, числу полей.
Сбор пакетов осуществляется с использованием библиотеки pcap, входящей во все дистрибутивы UNIX (Windows-версия Ethereal работает с библиотекой winpcap, доступной на сайте http://winpcap.polito.it). Синтаксис фильтров сбора пакетов соответствует правилам, используемым библиотекой pcap и программой tcpdump.
Для поддержки анализа данных из сжатых файлов требуется библиотека zlib. Отсутствие этой библиотеки не мешает компиляции Ethereal, но в этом случае работа со сжатыми файлами не поддерживается.
Опции Ethereal
Большинство пользователей запускает графический интерфейс Ethereal без каких-либо опций, однако приведенная в этом параграфе информация позволяет более эффективно использовать возможности программы за счет выбора режима работы с помощью опций командной строки.
-a
задает для программы Ethereal критерий прекращения записи в файл захвата. Критерий может иметь формат test:value, где параметр test может принимать значения:
duration
задает продолжительность сбора пакетов в секундах.
filesize
задает максимальный размер файла в тысячах байтов (не килобайтах = 1024 байт).
-b
если задан максимальный размер файла захвата, эта опция заставляет Ethereal работать в режиме кольцевого буфера (ring buffer) с указанным числом файлов. В режиме кольцевого буфера Ethereal будет записывать собранные данные в несколько файлов, давая им имена по дате и времени создания файла.
После заполнения первого файла Ethereal перейдет к записи во второй и так далее, пока не будет создано указанное число файлов. При достижении максимального числа файлов первый файл (самый старый) будет уничтожен перед созданием нового файла. Если для максимального числа файлов указано значение 0, сбор данных будет продолжаться неограниченно долго.
Если задана продолжительность сбора пакетов, Ethereal будет создавать новый файл по истечении заданного времени даже в тех случаях когда текущий файл не достиг максимального размера.
-B <высота>
задает начальную высоту (в пикселях) панели дампа пакетов (нижняя часть окна программы, показанного на рисунке 1).
-c <число пакетов>
задает используемое по умолчанию число пакетов для чтения при сборе “живых” данных.
-f <фильтр>
задает выражение для фильтра захвата пакетов.
-h
выводит информацию о номере версии и опциях программы, после чего завершает работу.
-i <интерфейс>
задает имя сетевого интерфейса или канала (pipe), используемого для сбора пакетов.
Имена сетевых интерфейсов должны соответствовать именам из списка поддерживаемых системой, которым можно получить по команде tethereal -D. Для Unix-систем список присутствующих в системе интерфейсов можно получить также по команде netstat -i или ifconfig -a (последняя команда может не работать в старых версиях Unix).
В качестве имен каналов могут использоваться имена буферов FIFO (named pipe – именованные каналы) или символ “-” для сбора пакетов со стандартного устройства ввода. Получаемые из канала данные должны использовать стандартный формат libpcap.
-k
инициирует начало сбора пакетов. Если задан флаг -i, пакеты собираются только с указанного этим параметром интерфейса. Если интерфейс не задан, Ethereal находит список интерфейсов системы и выбирает из него первый интерфейс, пропуская loopback. Если в системе присутствует только интерфейс loopback, Ethereal выводит сообщение об ошибке, не начиная сбор пакетов.
-l
включает автоматическую прокрутку списка пакетов, если включен режим автоматического обновления списка по мере захвата пакетов (опция -S).
-L
выводит список поддерживаемых типов кадров канального уровня, после чего работа программы завершается.
-m <имя шрифта>
задает имя растрового шрифта, используемого программой Ethereal в большинстве случаев. Для вывода в панели дампа данных, соответствующих выбранному в панели дерева протоколов полю, жирным шрифтом (bold) Ethereal будет создавать имя шрифта на основе имени, заданного этой опцией.
-n
отключает функцию определения имен сетевых объектов (например, названий портов TCP и UDP, имен хостов).
-N <тип>
включает функцию определения имен для отдельных типов адресов и номеров портов; прочие типы адресов и номера портов выводятся в цифровом представлении. Поле <тип> содержать значение m для преобразования MAC-адресов, n для преобразования адресов сетевого уровня (IP) или t для преобразования номеров портов. Данная опция отменяет действие флага -n при одновременном использовании. Значение C добавляет поддержку асинхронных запросов DNS.
-o <имя:значение> [<имя:значение> ...]
задает предпочтительное значение указанного параметра. Это значение отменяет принятое по умолчанию и указанное в файле предпочтений значение параметра. Имена параметров должны совпадать с именами в файле предпочтений.
-p
указывает программе, что интерфейс не нужно переводить в режим захвата.
Интерфейс может быть переведен в режим захвата другими программами, поэтому использование флага -p отнюдь не гарантирует работу интерфейса в обычном режиме – программа просто не будет переводить этот интерфейс в режим захвата. Кроме того, даже в обычном режиме захватываться будут не только пакеты, адресованные этому интерфейсу, поскольку в сети всегда присутствуют широковещательные пакеты и могут использоваться пакеты с групповыми адресами (multicast).
-P <число пикселей>
задает начальную высоту панели со списком пакетов (верхняя панель программы, см. рис. 1).
-Q
задает завершение работы программы Ethereal после окончания сеанса сбора пакетов. Эта опция полезна при работе в пакетом режиме, задаваемом флагом -c. Для использования данной опции в командной строке должны присутствовать также флаги -i и -w.
-r <имя файла>
задает чтение пакетов из файла.
-R <фильтр>
при использовании совместно с флагом чтения данных из файла (-r) эта опция активизирует указанный фильтр (для этого фильтра используется синтаксис фильтров отображения, а не фильтров захвата.) для всех читаемых из файла пакетов. Не соответствующие фильтру пакеты просто отбрасываются.
-S
задает выполнение операций по захвату пакетов в форме отдельного процесса с автоматическим обновлением отображаемого списка собранных пакетов.
-s <размер захвата>
задает принятый по умолчанию размер захвата (snapshot length) для использования при “живом” сборе данных. Для каждого пакета в память или на диск записывается не более заданного этим параметром числа байтов.
-T <число пикселей>
задает начальную высоту панели дерева протоколов (средняя панель на рисунке 1).
-t <формат>
задает формат временных меток для списка пакетов - r (relative – относительно времени старта), a (absolute – абсолютное время), ad (absolute with date - абсолютное время с указанием даты) или d (delta – интервал после захвата предыдущего пакета). По умолчанию временные метки выводятся относительно начала захвата (r).
-v
задает вывод номера версии программы и завершение работы.
-w <имя файла>
задает используемое по умолчанию имя файла захвата.
-y <тип>
при захвате пакетов, инициированном флагом -k, эта опция задает тип канального уровня для сеанса сбора. В качестве значения параметра могут использоваться значения, идентификаторы типов, выводимые при использовании команды с флагом -L.
-z <параметры>
задает программе Ethereal необходимость сбора статистики и вывода результатов в окне с периодическим обновлением содержимого. В настоящее время поддерживается несколько параметров сбора статистики:
-z dcerpc,srt,uuid,major.minor[,filter]
Рисунок 2 Окно IO-Stat
Программа собирает данные SRT (Service Response Time – время отклика службы) для вызовов/откликов интерфейса DCERPC с идентификатором uuid, версии major.minor. К собираемым данным относятся число вызовов каждой процедуры, MinSRT, MaxSRT и AvgSRT (минимальное, максимальное и среднее время отклика, соответственно.). Например опция -z dcerpc,srt,12345778-1234-abcd-ef00-0123456789ac,1.0 будет обеспечивать сбор информации для интерфейса CIFS SAMR. Такие опции можно использовать в командной строке неоднократно.
При использовании необязательного фильтра в результатах будут учитываться только соответствующие фильтру статистические данные. Например, опция -z dcerpc,srt,12345778-1234-abcd-ef00-0123456789ac,1.0,ip.addr==1.2.3.4 будет обеспечивать сбор статистики SAMR SRT только для хоста с IP-адресом 1.2.3.4. Опция
-z io,stat
будет обеспечивать статистику по захвату кадров и байтов в течение каждой секунды. При использовании такой опции будет открываться диалоговое окно IO-Stat (см. рисунок 2), содержащее статистическую информацию с отдельным графиком для каждого фильтра. Такие опции можно использовать в командной строке неоднократно.
Окно статистики, показанное на рисунке 2, можно открыть также с использованием меню Tools|Statistics|Traffic|IO-Stat .
-z rpc,srt,program,version[,]
обеспечивает сбор статистики вызовов/откликов SRT для указанной программы и версии. Данные включают число вызовов для каждой процедуры, MinSRT, MaxSRT и AvgSRT. Например, опция -z rpc,srt,100003,3 позволит собрать статистику вызовов для NFS v3. Допускается неоднократное использование опции в командной строке.
При указании в строке необязательного фильтра статистика будет выводиться только для соответствующих этому фильтру пакетов. Например, опция -z rpc,srt,100003,3,nfs.fh.hash==0x12345678 задает сбор статистики NFS v3 SRT только для указанного файла.
-z rpc,programs
задает сбор статистики вызовов/откликов RTT для всех известных программ и версий ONC-RPC. Данные включают число вызовов, MinRTT, MaxRTT и AvgRTT.
-z smb,srt[,filter]
задает сбор статистики SRT для протокола SMB. Данные включают число вызовов каждой команды SMB, MinSRT, MaxSRT и AvgSRT.
Данные представляются в отдельных таблицах для всех нормальных команд каждой SMB, а также команд Transaction2 и всех команд NT. Отображается статистика только для тех команд, которые встретились в собранных пакетах. В цепочке команд xAndX для расчета используется только первая команда. Так, для распространенных цепочек SessionSetupAndX + TreeConnectAndX в статистике будут учитываться только вызовы SessionSetupAndX. Это ограничение планируется снять в будущих версиях программы. Допускается неоднократное использование опции в командной строке.
При использовании в командной строке необязательного фильтра статистика рассчитывается только с учетом пакетов, соответствующих заданному фильтру. Например, опция -z "smb,srt,ip.addr==1.2.3.4" будет выводить статистику только для пакетов SMB, обмен которыми происходит с сайтом, имеющим IP-адрес 1.2.3.4 .
-z fc,srt[,filter]
собирает статистику SRT для FC (Fibre Channel). Данные включают число вызовов каждой команды Fibre Channel, MinSRT, MaxSRT и AvgSRT. Значение времени отклика SRT рассчитывается как временной интервал от первого до последнего кадра в сеансе обмена данными. Данные представляются в виде отдельной таблицы для каждой нормальной команды FC. Выводятся, данные только для тех команд, которые встречались в собранных пакетах. Допускается неоднократное использование опции в командной строке.
При использовании фильтра статистика рассчитывается с использованием только тех данных, которые соответствуют заданному фильтру. Например, опция -z "fc,srt,fc.id==01.02.03" задает сбор статистики только для обмена данными с хостом, имеющим FC-адрес 01.02.03 .
-z mgcp,srt[,filter]
задает сбор статистики SRT для MGCP. Выводятся данные по вызовам для каждого известного типа MGCP Type, Minimum SRT, Maximum SRT и Average SRT. Допускается неоднократное использование опции в командной строке.
При указании в командной строке фильтра, расчет статистики проводится только с учетом тех данных, которые соответствуют условиям фильтрации. Например, опция -z "mgcp,srt,ip.addr==1.2.3.4" задает сбор статистики MGCP только для пакетов, обмен которыми осуществляется с IP-хостом 1.2.3.4 .
-z conv,type[,filter]
создает таблицу, в которой указываются список всех сеансов обмена данными (conversation - “разговор”) в собранных пакетах. Параметр type задает тип соединений, для которых нужно генерировать статистику. Поддерживаются типы
eth – Ethernet;
fc – адреса Fibre Channel;
fddi – адреса FDDI;
ip – IP-адреса;
ipx – адреса IPX;
tcp – пары сокетов TCP/IP (поддерживаются протоколы IPv4 и IPv6);
tr – Token Ring;
udp – пары сокетов UDP/IP (поддерживаются протоколы IPv4 и IPv6).
Если командная строка включает фильтр, статистика генерируется только для тех соединений, которые соответствуют заданному фильтру.
Выводимая таблица содержит по одной строке для каждого соединения и показывает число пакетов/байтов, переданных в каждом направлении, а также общее число пакетов/кадров. Строки таблицы сортируются в в соответствии с общим числом кадров для соединения.
Для просмотра таблицы можно также воспользоваться во время сбора пакетов опцией меню Tools|Statistics|Conversation List .
-z h225,counter[,filter]
собирает сообщения ITU-T H.225 и сведения о причинах (reason) их генерации. В первой колонке создаваемой этой опцией таблицы указывается список сообщений H.225 и их причин для собранных программой пакетов. Вторая колонка таблицы указывает количество для каждого сообщения и причины. Допускается неоднократное использование опции в командной строке.
При указании в командной строке фильтра статистика будет рассчитываться только с учетом соответствующих этому фильтру пакетов. Например, опция -z "h225,counter,ip.addr==1.2.3.4" задает расчет статистики H.225 только для пакетов, обмен которыми ведется с IP-хостом 1.2.3.4.
|
