Предисловие
Приведенное здесь описание не является переводом пользовательской документации для программы Ethereal, хотя в нем используются фрагменты такого перевода. Документ описывает возможности программы на уровне версии 0.9.16. данный документ является частью курса "Системы безопасности на открытых платформах", подготовленного автором
StatisticsСубменю Statistics включает команды просмотра статистической информации, описанные ниже.
Watch protocol
Рисунок 30 Диалоговое окно генерации статистики
Субменю Watch protocol позволяет просматривать статистику для протоколов BOOTP-DHCP, ITU-T H.225, HTTP и WAP-WSP. При активизации любой из команд этого субменю на экране появится диалоговое окно выбора фильтра и генерации статистики, показанное на рисунке 30. Вы можете использовать фильтр для учета соответствующего ему трафика или проста нажать кнопку Create Stat для генерации статистики по всем собранным пакетам интересующего протокола. Кнопка Filter позволяет выбрать из числа готовых или создать заново фильтр (стр. 8), который будет использоваться для отбора пакетов, принимаемых во внимание при расчете статистики. Выражение для фильтрации пакетов можно задать непосредственно в поле ввода справа от кнопки Filter. BOOTP-DHCP
Рисунок 31 Статистика DHCP
Диалоговое окно BOOTP-DHCP содержит статистику использования протоколов удаленной конфигурации хостов, включающую сведения о полученных запросах и откликах серверов DHCP-BOOTP, как показано на рисунке 31.
ITU-T H.225
Рисунок 32 Статистика H.225
Диалоговое окно ITU-T H.225 Message and Message Reason Counter содержит статистику обмена сообщениями H.225. Форма диалогового окна показана на рисунке 32. Первая колонка списка содержит список сообщений H.225 и вызвавших их причин, а во второй указано количество сообщений в текущем файле захвата. Содержимое окна динамически обновляется в процессе сбора пакетов или загрузки новых файлов данных в программу Ethereal. Вы можете использовать фильтр для отбора интересующих вас сообщений, указав его в диалоговом окне генерации статистики (см. рисунок 30).
HTTP
Рисунок 33 Статистика HTTP
Диалоговое окно статистики HTTP содержит сведения о количестве запросов и откликов HTTP в собранных программой пакетах. Содержимое окна статистики динамически обновляется при добавлении новых пакетов или загрузке новых файлов захвата. Форма окна статистики HTTP показана на рисунке 33.
Вы можете использовать фильтр для отбора интересующих вас сообщений, указав его в диалоговом окне генерации статистики (см. рисунок 30).
WAP-WSP
Окно статистики WAP-WSP (рисунок 34) включает сведения о количестве пакетов различных типов и данные о состоянии.
Рисунок 34 Статистика WAP-WSP
При подготовке статистического отчета можно задать фильтр, который позволит просматривать сведения только для интересующего вас трафика. Фильтр указывается в диалоговом окне генерации статистики (см. рисунок 30).
Service Response Time
Это субменю позволяет получить статистические сведения о времени отклика различных сетевых приложений и служб. Для выбора программы и номера версии, а также задания фильтра служит диалоговое окно Compute ... SRT Statistics, показанное на рисунке 35. Окно включает кнопки выбора программы, для которой генерируется статистика и номера версии. Кнопка Filter позволяет выбрать из числа готовых или создать заново фильтр (стр. 8), который будет использоваться для отбора пакетов, принимаемых во внимание при расчете статистики. Выражение для фильтрации пакетов можно задать непосредственно в поле ввода справа от кнопки Filter.
Рисунок 35 Диалоговое окно генерации статистики SRT
DCE-RPC
Команда открывает диалоговое окно Compute DCE-RPC SRT Statistics (рисунок 35) для выбора программы и номера версии, а также задания фильтра (если вы хотите собрать статистику для части трафика). После выбора опций генерации отчета нажмите кнопку Create Stat для генерации статистического отчета. Диалоговое окно статистики DCE-RCP (Distributed Computing Environment – среда распределенных вычислений, Remote Procedure Call – удаленный вызов процедур) (рисунок 36) включает информацию о количестве вызовов процедур выбранной программы и времени отклика для каждой процедуры (минимальное, максимальное и среднее). Содержимое окна будет автоматически обновляться, если процесс сбора пакетов продолжается.
Рисунок 36 Статистика SRT для программ DCE-RPC
Fibre Channel
Команда открывает диалоговое окно Compute Fibre Channel SRT Statistics (рисунок 35) для задания фильтра (если вы хотите собрать статистику для части трафика). После нажатия кнопки Create Stat создается статистический отчет (см. рисунок 37), содержащий в каждой строке тип FC, число вызовов, минимальное, максимальное и среднее время отклика для всех типов FC. Информация в окне автоматически обновляется по мере получения новых пакетов.
Рисунок 37 Статистика SRT для Fibre Channel
Время отклика рассчитывается как интервал между первым и последним кадром сеанса обмена данными.
Если при расчете статистики фильтр не был задан, принимаются во внимание все пары запрос-отклик.
MGCP
Рисунок 38 Статистика SRT для MGCP
Эта команда служит для генерации и просмотра статистики MGCP (Media Gateway Control Protocol – протокол управления шлюзом сред). Диалоговое окно Compute MGCP Statistics (рисунок 35) позволяет задать фильтр, используемый для генерации статистики. После нажатия кнопки Create Stat создается статистический отчет (см. рисунок 38), содержащий в каждой строке тип, сообщение, количество вызовов и время отклика сервиса (минимальное, максимальное и среднее). Статистика выводится для всех известных типов MGCP. Выводимые в отчете значения автоматически обновляются по мере получения новых пакетов MGCP. ONC-RPC
Рисунок 39 Статистика SRT для ONC-RPC
Команда обеспечивает генерацию статистики вызовов ONC-RPC (Open Network Computing Remote Procedure Call) для выбранной в диалоговом окне Compute ONC-RPC Statistics (рисунок 35) программы и номера версии. Если вы хотите получить статистику для части трафика, можно использовать фильтр. После нажатия кнопки Create Stat создается статистический отчет и на экран выводится диалоговое окно (рисунок 3939), содержащее имена процедур, количество вызовов, минимальное, максимальное и среднее время отклика для всех процедур выбранной версии программы. Если процесс сбора пакетов продолжается, статистические данные в диалоговом окне будут автоматически обновляться.
SMB
Рисунок 40 Статистика SRT для SMB
Эта команда обеспечивает генерацию и просмотр статистики SRT для трафика SMB. При вызове команды на экране появляется диалоговое окно Compute ONC-RPC Statistics (рисунок 35), позволяющее задать фильтр при генерации статистического отчета. После нажатия на кнопку Create Stat создается отчет и выводится диалоговое окно (см. рисунок 40), содержащее список всех команд SMB с числом вызовов и временем отклика (минимальное, максимальное и среднее) для каждой команды.
Отчет представляется в форме трех списков, содержащих обычные команды SMB, команды Transaction2 и команды NT Transaction. При расчете статистики используется только первая команда цепочек xAndX (т.е., для цепочки SessionSetupAndX + TreeConnectAndX)при подготовке статистики будет учитываться только команда SessionSetupAndX).
Conversation List
Это субменю позволяет просматривать обмен кадрами между парами конечных точек. Список содержит одну строку для каждого уникального “разговора” - в этой строке указываются адреса узлов, общее количество байтов и пакетов для этого “разговора”, а также количества пакетов и байтов, переданные в каждом направлении. На рисунке 41 показан пример такого списка для протокола IPv4.
Рисунок 41 Статистика трафика между парами хостов IP
По умолчанию строки списка сортируются в порядке убывания числа кадров, но вы можете поменять порядок сортировки, щелкнув кнопкой мыши на заголовке соответствующей колонки. Повторный щелчок по тому же заголовку изменит порядок сортировки на обратный.
Статистика обеспечивается для протоколов:
-
Ethernet
-
Fibre Channel
-
FDDI
-
IPv4
-
IPX
-
TCP (IPv4/v6)
-
Token Ring
-
UDP (Ipv4/v6)
IO
Команда IO-Stat открывает одноименное диалоговое окно (рисунок 42), содержащее до 5 графиков, выведенных различными цветами и показывающих число пакетов или байтов в секунду для кадров, соответствующих каждому из пяти поддерживаемых фильтров. По умолчанию выводится один график, показывающий количество кадров, собранных программой в секунду.
Рисунок 42 Статистика сбора кадров
Верхняя часть окна содержит графики сбора пакетов. При продолжительном сборе данных график перестает помещаться в окне и для возможности его просмотра по частям выводится горизонтальное поле прокрутки. По горизонтальной оси графика откладывается время, а по вертикальной – количественная характеристика скорости сбора пакетов, соответствующих фильтру.
Под графиком размещены элементы управления сбором и выводом статистики. В левой части окна расположены 5 строк, каждая из которых содержит однотипный набор полей:
|
Элемент
|
Описание
|
|
Номер фильтра
|
Filter1, Filter2, Filter3, Filter4, Filter5
|
|
Кнопка активизации
|
Нажатие кнопки мыши на небольшое поле между номером фильтра и цветовым маркером включает или отключает вывод графика для пакетов, соответствующих данному фильтру.
|
|
Цвет графика
|
Показывает предопределенный цвет (изменение цвета графика возможно только при включенной поддержке GTK+ версии 2.x) вывода графика для данного фильтра.
|
|
Кнопка выбора фильтра
|
Активизирует окно выбора фильтров.
|
|
Фильтр
|
Выражение, используемое для фильтрации при сборе статистики.
|
|
Стиль графика
|
Задает линейный, импульсный или столбчатый график для данного фильтра.
|
Если поле имени фильтра пусто, соответствующий график будет строиться с учетом всех собранных пакетов (без фильтрации), в противном случае будут приниматься во внимание только пакеты, соответствующие выбранному фильтру.
В правой части окна находятся общие для всех графиков элементы управления выводом.
|
Элемент
|
Описание
|
|
Unit
|
Задает единицы измерения по вертикальной оси (пакеты или байты). Вы можете также выбрать для этого поля значение advanced... (см. ниже)
|
|
Tick Interval
|
Задает гранулярность отсчета времени для построения графиков (10 мсек, 100 мсек, 1 сек или 10 сек).
|
|
Pixels per Tick
|
Задает размер временного интервала на графике в пикселях (1, 2, 5 или 10).
|
|
Y-scale
|
Задает масштаб вертикальной оси. Вы можете выбрать одно из приведенных в списке значений или задать режим Auto для автоматического масштабирования.
|
В режиме advanced... каждая строка слева будет включать два дополнительных элемента. Один элемент (текстовое поле) задает имя одного поля используемого для этого графика фильтра отображения, а второй – способ расчета значения – SUM (сумма), COUNT (текущее значение счетчика), MAX (максимум), MIN (минимум), AVG (среднее) или LOAD (загрузка). Значение SUM может использоваться для любых целочисленных полей, COUNT – для всех полей, MAX, MIN и AVG – для численных и временных (время отклика) полей, LOAD – только для временных полей.
Указанное в строке ввода имя поля должно быть частью фильтра, используемого для данного графика, в противном случае вычисление станет невозможным.
Например, для просмотра изменений времени отклика NFS (MAX/MIN/AVG) можно установить для первого графика
filter:nfs&&rpc.time Calc:MAX rpc.time
для второго
filter:nfs&&rpc.time Calc:AVG rpc.time
и для третьего
filter:nfs&&rpc.time Calc:MIN rpc.time
Для просмотра среднего количества размера от хоста a.b.c.d можно установить для графика
filter:ip.addr==a.b.c.d&&frame.pkt_len Calc:AVG frame.pkt_len
ONC-RPC
Рисунок 43 Статистика RTT для программ ONC-RPC
Programs
Эта команда активизирует диалоговое окно, содержащее статистические данные RTT (Round-trip Time – время кругового обхода) для всех программ ONC-RPC, с которыми связаны пакеты из файла захвата. Выводимые сведения включают имя и номер версии программ, типы вызовов RPC, а также минимальное, максимальное и среднее время кругового обхода. RTP Streams
Рисунок 44 Диалоговое окно RTP Streams
Это субменю позволяет генерировать и просматривать статистику трафика для приложений, работающих в реальном масштабе времени на базе протокола RTP (Real Time Protocol).
Show All
Это диалоговое окно выводит информацию обо всех потоках RTP, для которых были собраны пакеты, включая адреса и номера портов, источник синхронизации, тип данных, число пакетов. Формат окна показан на рисунке 44.
Выбрав в списке интересующий вас поток RTP, вы можете проанализировать этот поток (кнопка Analyse).
Для списка доступных потоков обеспечивается возможность записи на диск, маркировки кадров, фильтрации и анализа. Analyse
Рисунок 45 Диалоговое окно RTP Stream Analysis
Результаты анализа выбранных потоков RTP выводятся в диалоговом окне RTP Stream Analysis (см. рисунок 45). В окне выводится список пакетов проанализированного потока с указанием порядковых номеров, задержки и ее флуктуаций, маркеров и состояния.
Кроме того, в нижней части диалогового окна выводятся сведения для всего потока в целом (число пакетов, число потерянных пакетов, количество пакетов с нарушением порядка доставки). Обеспечивается возможность просмотра списка пакетов для обоих направлений потока RTP.
Вы можете сохранить результаты анализа данных из потока в файле.
Меню Help
Рисунок 46 Диалоговое окно справочной системы Ethereal
Это меню обеспечивает доступ к справочной системе программы Ethereal. При активизации команды на экране появляется диалоговое окно Help (рисунок 46), обеспечивающее доступ к справочной информации. Окно включает 5 страниц:
Overview – обзорные сведения о программе.
Protocols – список поддерживаемых протоколов с краткой информацией о них.
Display Filters – информация о возможностях фильтрации выводимых в окне программы пакетов.
Capture Filters - информация о возможностях фильтрации пакетов в процессе их сбора.
FAQ – ответы на часто задаваемые вопросы.
About
Команда About выводит на экран окно с информацией о программе, включающей опции компиляции и версию используемой библиотеки libpcap.
|
