Инструменты безопасности с открытым исходным кодом

         

Запуск сеанса перехвата


Имеется множество допустимых опций и фильтров. Начните с максимально открытого сеанса перехвата. Выберите Start в меню Capture. Появится окно Capture Options (рис. 6.3)


Рис. 6.3.  Опции перехвата Ethereal

В табл. 6.7. описаны опции, которые можно задавать перед началом сеанса.

Таблица 6.7. Опции перехвата Ethereal

ОпцияОписание
Interface (Интерфейс)Выбирает интерфейс для перехвата из выпадающего меню. Ethereal автоматически определяет все доступные интерфейсы и выдает их. Можно также задать одновременный перехват на всех интерфейсах, совсем как в Tcpdump
Limit each packet to x bytes (Ограничить каждый пакет x байтами)Задает максимальный размер перехватываемых пакетов. Это полезно, если есть вероятность, что некоторые из пакетов могут быть очень большими, а вы не хотите чрезмерно нагружать свою машину
Capture packets in promiscuous mode (Перехват пакетов в режиме прослушивания)Подразумеваемая опция. Выключите ее, если хотите перехватывать только потоки данных, направленные в вашу машину-анализатор
Filter (Фильтр)Щелкните мышью на кнопке Filter, чтобы создать фильтр, используя выражения в стиле Tcpdump. Вам будет предложено задать имя фильтра (которое можно будет использовать в будущих сеансах) и ввести выражение
Capture file(s) (Файлы перехвата)Щелкните мышью на кнопке File, если хотите читать данные из файла, а не перехватывать их "вживую"
Display options (Опции отображения)По умолчанию отключены, но их можно включить, если вы хотите наблюдать движение пакетов в реальном масштабе времени. Если перехват происходит в загруженной сети или ваша машина слишком медленная, то поступать так не рекомендуется, поскольку это может затопить сеанс и вызвать потерю пакетов. Однако отображение весьма полезно, если вы хотите понаблюдать за трафиком, чтобы получить общее представление о природе потоков данных в сети
Capture limits (Пределы перехвата)Здесь представлено несколько дополнительных опций для задания условий завершения перехвата. Помимо остановки вручную, можно заставить Ethereal остановиться после перехвата некоторого числа x пакетов или килобайт данных или после того, как пройдет определенное число секунд
Name resolution (Разрешение имен)Можно указать, должен или нет Ethereal разрешать имена на различных уровнях сетевой модели. Можно выборочно разрешать имена MAC-адресов, сетевые имена (SMB или имена хостов), и/или имена транспортного уровня. Включение всех этих опций, особенно DNS, может существенно замедлить перехват
<
После установки опций щелкните мышью на OK, и сеанс начнется. Появится окно, в котором в реальном масштабе времени отображается статистика сеанса (рис. 6.4). Если сеанс настроен для показа пакетов в реальном времени, вы будете наблюдать их в окне, по мере того как они проходят по среде передачи (рис. 6.2)


Рис. 6.4.  Окно статистики сеанса Ethereal

Сеанс можно остановить в любое время, щелкнув мышью на кнопке Stop в окне статистики или выбрав Stop в меню Capture. Если вы задали опции пределов перехвата, то по их достижении сеанс остановится автоматически. Теперь можно анализировать результаты сеанса и манипулировать ими

Щелкая мышью на заголовках вверху окна, можно переупорядочить результаты по этому заголовку, так что можно сортировать вывод по исходным и целевым адресам, протоколу или информационному полю. Это помогает организовать данные, если вы ищите трафик определенного вида, например, все запросы DNS или весь трафик, связанный с почтой. Конечно, в первую очередь стоит написать фильтр для перехвата трафика определенного вида


Содержание раздела