Đang tải... (xem toàn văn)
HƯỚNG DẪN SỬ DỤNG PHẦN MỀM ETHEREAL
1 HƯỚNG DẪN SỬ DỤNG PHẦN MỀM ETHEREAL 2Mục lục 1. Giới thiệu 3 1.1. Ethereal là gì? 3 1.2. Mục ñích sử dụng . 3 1.3. Tính năng 3 1.4. Ethereal ñược phát âm thế nào? 4 2. Cài ñặt Ethereal 4 2.1. Các thành phần 4 2.2. Các công cụ . 5 2.3. Các chức năng khác . 5 2.4. Về chương trình WinPCap 5 3. Giao diện người dùng 5 3.1. Giới thiệu 5 3.2. Cửa sổ chính . 6 3.3. Thanh Menu . 6 3.4. Thanh công cụ chính (Main Toolbar) 7 3.5. Thanh lọc (Filter Toolbar) . 7 3.6. Ô liệt kê gói tin (Packet List Pane) . 7 3.7. Ô chi tiết gói tin (Packet Details Pane) . 8 3.8. Ô mã nhị phân gói tin (Packet Bytes Pane) . 8 3.9. Thanh trạng thái (Statusbar) 9 4. Thu thập ñộng dữ liệu trong mạng (Capturing Live Network Data) . 9 4.1. Giới thiệu 9 4.2. Các tùy chọn (Menu Capture/ Options) . 11 4.3. Bộ lọc . 13 5. Làm việc với các gói tin bắt ñược 13 5.1. Xem các gói tin ñã bắt 13 5.2. Lọc các gói tin khi ñang xem . 14 5.3. Tạo các biểu thức lọc hiển thị 15 5.4. Hộp thoại các biểu thức lọc (Filter Expression Dialog box) . 16 5.5. Tìm kiếm các gói tin . 17 6. Phụ lục – Phân tích gói tin HTTP . Error! Bookmark not defined. 6.1. Giới thiệu giao thức HTTP .Error! Bookmark not defined. 6.2. Thực hành phân tích gói tin HTTP .Error! Bookmark not defined. 31. Giới thiệu Ethereal Ethereal là phần mềm thu thập các gói tin truyền trên mạng, sau ñó thực hiện phân tích ñể hiển thị khuôn dạng dữ liệu của từng gói tin dưới dạng tường minh nhất có thể. Ethereal có thể ñược sử dụng như một thiết bị giám sát những gì ñược truyền ñường dây mạng - tức là hoạt ñộng giống như một chiếc Vôn kế trên ñường dây ñiện. Trước ñây, những công cụ như vậy hoặc ñắt tiền hoặc ñộc quyền nhưng Ethereal lại là phần mềm mã nguồn mở phân tích gói tin tốt nhất hiện nay. Phiên bản mới nhất của Ethereal có thể tải từ website http://www.ethereal.com/download.html. Mc ñích s dng • Người quản trị mạng khắc phục lỗi mạng • Kĩ sư an ninh mạng xem xét các vấn ñề bảo mật • Người phát triển phân tích và gỡ rối hoạt ñộng của các giao thức. • Người dùng nghiên cứu bản chất giao thức mạng • … Tính năng • ðược cài ñặt trên hai HðH phổ biến là UNIX và Windows • Thu thập ngay lập tức các gói tin lan tỏa ñến card mạng • Hiển thị các gói tin với những thông tin về giao thức chi tiết • Có thể lưu giữ dữ liệu thu thập ñược vào file ñể sau này sử dụng lại • Lọc gói tin theo nhiều tiêu chuẩn • Tìm kiếm gói tin theo nhiều tiêu chuẩn • Hiển thị màu sắc các gói tin dựa trên cơ chế lọc (ñể nhìn rõ hơn) • Tạo nhiều thống kê khác nhau Hình sau biểu diễn các gói tin Ethereal ñã ñược thu thập và sẵn sàng ñể phân tích. 4 Ethereal ñưc phát âm th nào? Ethereal có thể ñược phát âm theo 3 cách: • E’thereal: trọng âm ở ‘the’ (xem thêm từ ñiển Anh-Việt) • Ether-real • E-the-real Bạn có thể phát âm theo cách riêng của mình, miễn là bạn cảm thấy thoải mái. Ethereal User’s Guide ñưa ra cách phát âm chính thức là: “e-the-real”. 2. Cài ñặt Ethereal File cài ñặt chương trình cài ñặt Ethereal (File Ethereal-setup-x.y.z.exe) có thể ñược tải về từ trang: http://www.Ethereal.com/download.html#releases Các thành phn • Ethereal GTK 1 hoặc 2: chương trình ñồ họa phân tích giao thức mạng (Ethereal GTK2 ñược khuyến nghị vì sử dụng bộ công cụ hiện ñại GTK2 GUI) 5• GTK-Wimp: giả lập GTK2 windows • Tethereal: chương trình phân tích giao thức mạng dựa trên dòng lệnh Các công c • Editcap: chương trình ñọc file dữ liệu ñã thu thập và ghi một số chọn lọc (hoặc tất cả) các gói tin sang một file dữ liệu khác. • Text2Pcap: chương trình ñọc mã ASCII và ghi dữ liệu vào một file. • Mergecap: chương trình kết hợp nhiều file dữ liệu thành một file duy nhất. • Capinfos: chương trình cung cấp thông tin về các file dữ liệu. Các chc năng khác • Start Menu ShortCuts: thêm shortcuts vào Start Menu • Desktop Icon: thêm biểu tượng Ethereal vào màn hình Desktop • Quick Launch Icon: thêm biểu tượng Ethereal vào thanh Explorer Quick launch Chương trình WinPCap WinPCap là chương trình dùng ñể thu thập tức thì các luồng dữ liệu trong mạng. Nếu chưa cài ñặt WinPcap, bạn chỉ có thể sử dụng Ethereal ñể mở các file thu thập dữ liệu có sẵn. Vì vậy, Ethereal và WinPcap thường ñược cài ñặt cùng nhau. Tuy nhiên, kể từ phiên bản Ethereal 0.10.12, bộ cài WinPcap ñã ñược tích hợp vào bộ cài Ethereal nên bạn không cần phải tải về và cài ñặt hai gói phần mềm riêng biệt nữa Thông tin thêm về WinPcap: • http://wiki.Ethereal.com/WinPcap • http://www.winpcap.org 3. Giao diện người dùng Gii thiu Sau khi cài ñặt thành công, chúng ta bắt ñầu nghiên cứu giao diện cũng như cách sử dụng của chương trình Ethreal : • Giao diện người dùng Ethereal • Cách bắt các gói tin • Cách xem các gói tin • Cách lọc gói tin 6Ca s chính Cửa sổ chính của Ethereal cũng giống như trong các chương trình máy tính khác. Dưới ñây là giao diện mà người dùng thường gặp sau khi các gói tin ñược bắt và hiển thị: Figure 1 – Giao diện tổng quát của chương trình Bố cục của cửa sổ chính có thể ñược chỉnh lại bằng cách thiết lập Preference. Thanh Menu • File: chứa các lệnh mở hay kết hợp các file dữ liệu thu thập, lệnh lưu/ in/ kết xuất toàn bộ hoặc một phần file dữ liệu thu thập, lệnh ñóng chương trình Ethereal. • Edit: chứa các lệnh tìm gói tin, tham chiếu thời gian hoặc ñánh dấu một hay nhiều gói tin, thiết lập các tùy chọn. • View: chứa lệnh ñiều khiển việc hiển thị dữ liệu thu ñược, bao gồm việc tô màu các gói tin, phóng to cỡ font, biểu diễn gói tin trong cửa số riêng, mở rộng hoặc thu hẹp cây chi tiết gói tin… 7• Capture: chứa lệnh bắt ñầu hoặc kết thúc việc thu thập các gói tin và lệnh hiệu chỉnh bộ lọc. • Analyze: chứa các lệnh thao tác trên bộ lọc hiển thị, cho phép hoặc không cho phép phân tích chi tiết các giao thức, ñịnh cấu hình bộ giải mã cho người dùng và “lần” theo vết của một luồng TCP. • Statistics: chứa các lệnh hiển thị các kết quả thống kê khác nhau, bao gồm bảng tóm tắt của các gói tin ñã ñược bắt, hiển thị cấu trúc phan tầng các giao thức. • Help: giúp ñỡ người dùng sử dụng các chức năng cơ bản, xem danh sách các giao thức ñược hỗ trợ, các trang hướng dẫn, các trang web, và hộp thoại About như thường lệ. Thanh công c chính (Main Toolbar) Thanh công cụ chính có các nút lệnh giúp người sử dụng nhanh chóng ra các lệnh cần thiết Thanh lc (Filter Toolbar) Thanh công cụ lọc cung cấp các thao tác trực tiếp trên bộ lọc hiển thị ñang ñược sử dụng. Ô lit kê gói tin (Packet List Pane) Ô liệt kê gói tin hiển thị tóm tắt về mỗi gói tin bắt ñược. Mỗi dòng trong danh sách ứng với một gói tin trong file dữ liệu thu thập. Nếu chọn một dòng trong ô này, ô Packet Details và Packet Bytes sẽ hiển thị thông tin chi tiết về gói tin tương ứng. Khi phân tích một gói tin, Ethereal sẽ lấy thông tin từ bộ phân tích giao thức và ñặt vào các cột. Vì thông tin về giao thức ở tầng cao sẽ ghi ñè lên thông tin của giao thức ở tầng thấp nên bạn sẽ chỉ nhìn thấy thông tin giao thức tầng cao nhất có thể. Ví dụ, giả sử một gói tin TCP nằm bên trong gói tin IP, gói tin IP lại nằm bên trong frame Ethernet. Bộ phân tích Ethernet ghi dữ liệu của mình (chẳng hạn ñịa chỉ card mạng), sau ñó bộ 8phân tích IP ghi ñè bằng dữ liệu IP (ví dụ ñịa chỉ IP), và cuối cùng bộ phân tích TCP sẽ ghi ñè lên thông tin về IP Có rất nhiều cột thông tin khác nhau và có thể chọn hiển thị cột nào bằng cách thiết lập tùy chọn (Preference settings). The default columns will show: • No. The number of the packet in the capture file. This number won't change, even if a display filter is used. • Time The timestamp of the packet. The presentation format of this timestamp can be changed, see Section 6.9, “Time display formats and time references”. • Source The address where this packet is coming from. • Destination The address where this packet is going to. • Protocol The protocol name in a short (perhaps abbreviated) version. • Info Additional information about the packet content Ô chi tit gói tin (Packet Details Pane) Ô chi tiết gói tin hiển thị chi tiết gói tin ñược chọn ở ô liệt kê gói tin. Giao thức và các trường của gói tin ñược biểu diễn dưới dạng cây, có thể dễ dàng mở rộng hoặc thu gọn lại. Some protocol fields are specially displayed. • Generated fields Ethereal itself will generate additional protocol fields which are surrounded by brackets. The information in these fields is derived from the known context to other packets in the capture file. For example, Ethereal is doing a sequence/acknowledge analysis of each TCP stream, which is displayed in the [SEQ/ACK analysis] fields of the TCP protocol. • Links If Ethereal detected a relationship to another packet in the capture file, it will generate a link to that packet. Links are underlined and displayed in blue. If double-clicked, Ethereal jumps to the corresponding packet Ô mã nh phân gói tin (Packet Bytes Pane) Ô mã nhị phân hiển thị dữ liệu biểu diễn dưới dạng cơ số 16 của gói tin ñược chọn (là gói tin ñược chọn trong ô gói tin chi tiết). 9Cột bên trái ghi vị trí tương ñối (offset) của dữ liệu trong gói tin, cột ở giữa là dữ liệu ñược biểu diễn dưới dạng cơ số 16 và cột bên phải là kí tự ASCII tương ứng (hoặc dấu chấm (‘.’) nếu kí tự không hiển thị ñược). Tùy thuộc vào dữ liệu gói tin, ñôi khi ô này chứa nhiều trang, chẳng hạn như khi Ethereal ráp nhiều gói tin lại thành một khối dữ liệu duy nhất. Trong trường hợp này, một vài tab sẽ xuất hiện ở ñáy của ô ñể có thể lựa chọn các trang cần xem. Thanh trng thái (Statusbar) Thanh trạng thái biểu diễn một số thông tin thêm về trạng thái hiện tại của chương trình và các dữ liệu thu thập ñược. Thông thường phần bên trái sẽ hiển thị thông tin liên quan ñến ngữ cảnh (tên, kích thước của file dữ liệu thu thập, thời gian thực hiện thu thập), trong khi phần bên phải hiển thị số lượng gói tin hiện ñã thu thập ñược. Các chú thích viết tắt: • P: số gói tin bắt ñược • D: số gói tin ñang ñược hiển thị • M: số gói tin ñược ñánh dấu 4. Thu thập tức thì dữ liệu trong mạng 4.1 Gii thiu Thu thập tức thì dữ liệu trong mạng là một trong những tính năng chủ yếu của Ethereal. Ethereal cung cấp các chức năng sau: • Thu thập thông tin từ các kiểu kiến trúc phần cứng mạng khác nhau (Ethernet, Token Ring, ATM,…). • Chấm dứt việc thu thập thông tin khi một trong số các chỉ tiêu sau ñạt ñược: ñộ lớn dữ liệu thu thập, thời gian thu thập hay tổng số gói tin bắt ñược. • Hiển thị các gói tin ñã ñược phân tích trong khi vẫn tiếp tục thu thập thông tin. • Lọc gói tin, giảm ñộ lớn của dữ liệu. • Ghi ra nhiều file khác nhau. Có thể lựa chọn ñể ghi dữ liệu thu ñược lần lượt và theo thứ tự xoay tròn vào các file và giữ lại x file cuối cùng. ðiều này cực kỳ có ích khi cần thu thập dữ liệu trong thời gian dài. 10Tuy nhiên, các tính năng sau chưa có trong Ethereal: • Bắt thông tin ñồng thời từ nhiều card mạng khác nhau (tuy nhiên, có thể chạy nhiều chương trình Ethereal ứng với các card mạng khác nhau cùng lúc và sau ñó kết hợp – các file dữ liệu ñược thu thập lại). • Chấm dứt việc bắt thông tin (hay thực hiện một hành ñộng nào ñó) dựa trên dữ liệu ñược thu thập. Các thao tác thực hiện việc thu thập dữ liệu (khởi ñộng/ dừng/ khởi ñộng lại) ñược chọn từ menu Capture trên thanh Menu. 4.2. Start Capturing ðể thu thập gói tin trong Ethereal, chúng ta có thể sử dụng một trong các phương thức sau: • Nhấn vào biểu tượng trên thanh công cụ. Quá trình thu thập có thể ñược khởi tạo sau khi bấm vào nút "Capture" trong hộp hội thoại. • Nhấn vào biểu tượng trên thanh công cụ ñể ñặt các tham số tùy chọn. • Nếu ñã ñặt hết các tham số, có thể ấn vào nút trên thanh công cụ ñể bắt ñầu quá trình thu thập • Nếu biết ñược tên của card mạng ñược , bạn có thể khởi tạo Ethereal bằng cách ñánh lệnh ethereal -i eth0 -k Lệnh này khởi tạo chương trình Ethereal thu thập các gói tin ñến ñược card eth0. 4.3. Hp hi thoi "Capture Interfaces" Khi chọn "Interfaces ." từ menu Capture, xuất hiện hộp hội thoại "Capture Interfaces" như minh họa trên Hình ??. Description HðH sẽ cung cấp các tham số chi tiết cho card mạng này. IP Là ñịa chỉ IP ứng với card mạng. Nếu không xác ñịnh ñược ñịa chỉ IP (chẳng hạn do không có DHCP server) thì sẽ là unknown. Nếu máy tính có hai ñịa chỉ IP, thì chỉ một trong hai ñịa chỉ ñược hiển thị (nhưng không xác ñịnh ñược là ñịa chỉ nào). [...]... 3 1. Giới thiệu Ethereal Ethereal là phần mềm thu thập các gói tin truyền trên mạng, sau đó thực hiện phân tích để hiển thị khn dạng dữ liệu của từng gói tin dưới dạng tường minh nhất có thể. Ethereal có thể được sử dụng như một thiết bị giám sát những gì được truyền đường dây mạng - tức là hoạt động giống như một... là hoạt động giống như một chiếc Vơn kế trên đường dây điện. Trước đây, những cơng cụ như vậy hoặc ñắt tiền hoặc ñộc quyền nhưng Ethereal lại là phần mềm mã nguồn mở phân tích gói tin tốt nhất hiện nay. Phiên bản mới nhất của Ethereal có thể tải từ website http://www .ethereal. com/download.html. Mc đích s dng • Người quản trị mạng khắc phục lỗi mạng • Kĩ sư an ninh mạng xem xét các vấn đề... thơng tin về giao thức chi tiết • Có thể lưu giữ dữ liệu thu thập ñược vào file ñể sau này sử dụng lại • Lọc gói tin theo nhiều tiêu chuẩn • Tìm kiếm gói tin theo nhiều tiêu chuẩn • Hiển thị màu sắc các gói tin dựa trên cơ chế lọc (để nhìn rõ hơn) • Tạo nhiều thống kê khác nhau Hình sau biểu diễn các gói tin Ethereal đã được thu thập và sẵn sàng ñể phân tích. 14 Ngồi ra, bạn có thể xem gói... Generated fields Ethereal itself will generate additional protocol fields which are surrounded by brackets. The information in these fields is derived from the known context to other packets in the capture file. For example, Ethereal is doing a sequence/acknowledge analysis of each TCP stream, which is displayed in the [SEQ/ACK analysis] fields of the TCP protocol. • Links If Ethereal detected... biểu thức: [not] primitive [and|or [not] primitive …] Ví dụ 1: Bắt thơng tin ứng dụng telnet đến hoặc ñi từ một host cụ thể nào ñó: tcp port 23 and host 10.0.0.5 Ví dụ 2: Bắt thơng tin telnet khơng xuất phát từ địa chỉ IP 10.0.05: tcp port 23 and not host 10.0.0.5 Dưới ñây là các biểu thức nguyên thủy thường ñược sử dụng: • [src|dst] host <host>: lọc dựa trên tên hoặc địa chỉ IP của máy... ñược thu thập. Các thao tác thực hiện việc thu thập dữ liệu (khởi ñộng/ dừng/ khởi ñộng lại) ñược chọn từ menu Capture trên thanh Menu. 4.2. Start Capturing ðể thu thập gói tin trong Ethereal, chúng ta có thể sử dụng một trong các phương thức sau: • Nhấn vào biểu tượng trên thanh cơng cụ. Q trình thu thập có thể được khởi tạo sau khi bấm vào nút "Capture" trong hộp hội thoại. • Nhấn... • Nếu ñã ñặt hết các tham số, có thể ấn vào nút trên thanh cơng cụ để bắt đầu q trình thu thập • Nếu biết được tên của card mạng được , bạn có thể khởi tạo Ethereal bằng cách đánh lệnh ethereal -i eth0 -k Lệnh này khởi tạo chương trình Ethereal thu thập các gói tin đến được card eth0. 4.3. Hp hi thoi "Capture Interfaces" Khi chọn "Interfaces " từ menu Capture, xuất hiện... gian thực hiện thu thập), trong khi phần bên phải hiển thị số lượng gói tin hiện đã thu thập được. Các chú thích viết tắt: • P: số gói tin bắt được • D: số gói tin đang được hiển thị • M: số gói tin được đánh dấu 4. Thu thập tức thì dữ liệu trong mạng 4.1 Gii thiu Thu thập tức thì dữ liệu trong mạng là một trong những tính năng chủ yếu của Ethereal. Ethereal cung cấp các chức năng sau:... tùy chn (Menu Capture/ Options). Khi khởi ñộng việc bắt dữ liệu, Ethereal có thể sẽ hiển thị một hộp thoại tùy chọn (Capture Options). Nếu không chắc về một tuỳ chọn nào đó, hãy để chế độ mặc định. Trong nhiều trường hợp điều đó sẽ khơng ảnh hưởng nhiều ñến kết quả hiển thị. Khung Capture: • Interface: chọn card mạng bạn sử dụng. • IP address: địa chỉ IP ứng với card mạng. ... tin có địa chỉ gửi hoặc nhận là host. • ether [src|dst] host <ehost>: lọc dựa trên địa chỉ của Ethernet host. Từ khóa src và dst giống như trên. • gateway host <host>: lọc các gói tin sử dụng host như một gateway (router). Có nghĩa là địa chỉ Ethernet là địa chỉ của host nhưng địa chỉ IP khơng phải là địa chỉ của host. • [src|dst] net <net> [{mask <mask>}|{len <len>}] . 1 HƯỚNG DẪN SỬ DỤNG PHẦN MỀM ETHEREAL 2Mục lục 1. Giới thiệu..................................................................................................................... nhưng Ethereal lại là phần mềm mã nguồn mở phân tích gói tin tốt nhất hiện nay. Phiên bản mới nhất của Ethereal có thể tải từ website http://www .ethereal. com/download.html.
