Анализаторы сетевого трафика.


Анализатор сетевого трафика IRIS.
Анализатор сетевого трафика ETHERSCAN ANALYZER.
Анализатор сетевого трафика WIRESHARK (бывший ETHEREAL).


Анализатор сетевого трафика IRIS.


    Сайт программы - http://www.eeye.com/iris/
    Пожалуй, это самый удобный сниффер/анализатор сетевого трафика под Windows. Незаменим при изучении сетевых протоколов, работы сетевых приложений, разрешении различных проблем в сети и т.п.

Основные возможности:

  •     Перехват сетевого трафика (Capture)
  •     Декодирование перехваченного трафика и реконструкция перехваченных сессий (Decode).
  •     Фиксирование попыток подключения к компьютеру (Guard).
  •     Ведение журналов перехваченных (Capture) и декодированных (Decode) сессий.
  •     Возможность создания различных фильтров для сессий перехвата (Filter), позволяющих осуществлять выборочный перехват по множеству критериев (MAC-адрес, тип протокола, номер порта, направление обмена, ключевые слова и т.п.).
  •     Отображение сетевой статистики по протоколам, хостам, размерам пакетов и т.п.
  •     Возможность использования встроенного планировщика для перехвата пакетов в выбранные интервалы времени.
  •     Имеется редактор пакетов, позволяющий просматривать их структуру и данные, изменять содержимое, создавать свои пакеты и выполнять их отправку как поодиночке, так и группами, однократно, циклически или заданное количество раз.
  •     Удобное отображение структуры пакета (заголовки MAC, IP, ICMP, TCP, UDP, данные отображаются в виде дерева с декодированными значениями)
  •     Возможность ведения внутренней адресной книги, позволяющей делать более удобным вид сессий за счет замены физических адресов и элементов соединений символическими именами.
  •     Возможность отображения декодированных сессий в виде пакетов, текста, или HTML, что позволяет в удобном виде просматривать сессии обмена клиента с сервером.
  •     Поддержка печати с предпросмотром, буфера обмена, возможность сохранения пакетов на диск, сохранение перехваченных сессий и их загрузка для последующего анализа.
  •     Удобный интерфейс. При огромных возможностях, IRIS - одна из самых простых и удобных в использовании программ - анализаторов.

        IRIS относится к классу программам-снифферов, позволяющих выполнять перехват "чужого" сетевого трафика. В обычном режиме работы сетевая плата (и ее программное обеспечение) принимают кадры, которые адресуются ее MAC- адресом или являются широковещательными (Broadcast) посылками, имеющими в поле MAC-адреса шестнадцатиричное значение FFFFFFFFFFFF. Снифферы же переводят ее в так называемый "неразборчивый режим" (Promiscuous mode), когда принимается все кадры, независимо от того, куда они адресованы. Таким образом, можно собирать и анализировать весь сетевой трафик на выбранном сетевом адаптере (или контроллере удаленного доступа). Если сеть построена с использованием (редко, но бывает) "хабов" (Hub), то компьютер с IRIS может перехватить весь трафик коллизионного сегмента сети. После инсталляции, IRIS готова к работе, но я рекомендую сделать некоторые настройки, выбрав "Tools -- Settings -- Miscellaneous" для увеличения размера буфера для перехвата пакетов (по умолчанию - 2000). Иногда этого маловато, и в некоторых случаях вызывает зависание системы (по крайней мере, на комбинации IRIS 2.0 в режиме непрерывного перехвата и Win2k с сетевым адаптером на базе RTL8139)

    Настройки Iris

    Рис.1 Настройка размера буфера для перехваченных пакетов.

        После этого нужно выбрать сетевой адаптер (если их несколько), на котором будет осуществляться перехват "Tools -- Settings-- Adapters". Теперь при выборе "Capture -- Start", нажатии CTRL-A, или на кнопку старт/стоп перехвата (см. Рис.2) начнет выполняться перехват пакетов. Краткая информация о пакетах отображается в области "Перехваченные пакеты" в виде таблицы. Колонки в отображаемой области можно выбрать самому (правая кнопка мыши на заголовке таблицы). Если подсветить мышью какой-либо пакет, то слева в области структуры пакета можно просматривать его содержимое в виде дерева элементов. Нажатие кнопки "Toogle packet hexa editor" в группе кнопок управления отображением, открывает или закрывает окно шестнадцатеричного редактора данных пакета. Выбор элемента структуры пакета вызывает подсветку его шестнадцатеричного эквивалента красным цветом. Это удобно, если вам нужно посмотреть или изменить какой-либо элемент структуры пакета с помощью редактора. Учтите, что изменение данных пакета приводит к необходимости изменения контрольной суммы, вычисленной для данного поля. Когда выменяете данные в шестнадцатиричном редакторе, то в области просмотра структуры пакета напротив поля контрольной суммы появляется строка: "Incorrect ! Should be 0xxxx", где xxxx - правильно вычисленная контрольная сумма. Вам остается только подсветить элемент контрольной суммы в структуре пакета и занести правильно вычисленное значение с помощью шестнадцатеричного редактора пакета.

    Основное окно Iris

    Рис.2 Основное окно программы.

        Для освоения IRIS могу порекомендовать решить следующую задачу - создать "Magic Packet" для дистанционного включения чужого компьютера в локальной сети. Попробуйте создать правильный пакет и отправьте его на выбранный выключенный компьютер. Если вы все сделаете верно, то компьютер должен включиться. Конечно, есть определенные условия, которые должны быть соблюдены. Некоторые подсказки можете найти в короткой статье "Технология Wake On Lan", ссылку на которую найдете на главной странице.


    Анализатор сетевого трафика ETHERSCAN ANALYZER.


        Сайт программы - http://www.etherscan.com/
        Анализатор сетевого трафика ETHERSCAN является почти полным близнецом IRIS, те же окна и кнопки, основные функции и возможности. Отсутствует (очевидно, пока) полноценный редактор пакетов и Packet sender (посылка пакетов ). Может быть, чуть более современный интерфейс:

    Etherscan Analyser




    Анализатор сетевого трафика WIRESHARK (бывший ETHEREAL).


        Сайт программы Wireshark -
    http://wireshark.org/
        В отличие от предыдущих продуктов, Ethereal является кросс-платформенным продуктом с открытым кодом и распространяется абсолютно бесплатно, как под Linux, так и под Windows. Позволяет перехватывать и декодировать трафик с использованием гибких правил фильтрации, в том числе не только на сетевых интерфейсах реальных карт, но и PPP/WAN - интерфейсах. В последних версиях в пакет входит консольная утилита (в том числе и для Windows) tethereal, очень похожая на классику из мира Unix/Linux - tcpdump. С 2007 года ETHEREAL сменил имя на WIRESHARK. Команда разработчиков, поддерживаемые платформы, внешний вид и т.п. остались прежними. Дополнительно появился модуль для работы с беспроводными сетями (Wireless).
    Новый сайт программы -
    www.wireshark.org
    Консольная утилита tethereal.exe сменила имя на tshark.exe.

        Wireshark умеет импортировать данные из файлов сессий, созданных другими анализаторами, и может сохранять свои данные в различных форматах, доступных для импорта другими программами. Очень удобно использовать WIRESHARK для просмотра файлов, созданных линуксовым tcpdump-ом. Нужно только не забывать задать размер пакета, поскольку по умолчанию tcpdump записывает только первые 68 байт. Например:
    tcpdump -i <интерфейс> -s 1500 -w <имя файла>
        К недостаткам можно отнести некоторую "тормознутость" и относительную сложность в использовании. Нет также возможности редактирования и посылки пакетов, как у IRIS.


    Окно Wireshark



        Параметры перехвата легко настраиваются через меню "Capture" - "Capture Options", где можно выбрать сетевой интерфейс, задать фильтр для перехвачиваемых пакетов, параметры сохранения перехваченных данных, условия прерывания сессии и некоторые опции отображения.

       

    Настройка параметров перехвата пакетов



        Примеры синтаксиса фильтров можно посмотреть в "Capture" - "Capture filters"

    Утилиты командной строки tethereal и tshark практически ничем не различаются. Краткую справку можно получить при задании ключа -h:

    tethereal -h
    tshark -h

    В ответ вы получите:

    TShark 0.99.5 (SVN Rev 20677)
    Dump and analyze network traffic.
    See http://www.wireshark.org for more information.

    Copyright 1998-2007 Gerald Combs and contributors.
    This is free software; see the source for copying conditions. There is NO
    warranty; not even for MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE.

    Usage: tshark [options] ...
    Capture interface:
    -i name or idx of interface (def: first non-loopback)
    -f packet filter in libpcap filter syntax
    -s packet snapshot length (def: 65535)
    -p don't capture in promiscuous mode
    -B size of kernel buffer (def: 1MB)
    -y link layer type (def: first appropriate)
    -D print list of interfaces and exit
    -L print list of link-layer types of iface and exit

    Capture stop conditions:
    -c stop after n packets (def: infinite)
    -a ... duration:NUM - stop after NUM seconds
    filesize:NUM - stop this file after NUM KB
    files:NUM - stop after NUM files
    Capture output:
    -b ... duration:NUM - switch to next file after NUM secs
    filesize:NUM - switch to next file after NUM KB
    files:NUM - ringbuffer: replace after NUM files

    Input file:
    -r set the filename to read from (no pipes or stdin!)

    Processing:
    -R packet filter in Wireshark display filter syntax
    -n disable all name resolutions (def: all enabled)
    -N enable specific name resolution(s): "mntC"
    -d ==, ...
    "Decode As", see the man page for details
    Example: tcp.port==8888,http

    Output:
    -w set the output filename (or '-' for stdout)
    -F set the output file type, default is libpcap
    an empty "-F" option will list the file types
    -V add output of packet tree (Packet Details)
    -S display packets even when writing to a file
    -x add output of hex and ASCII dump (Packet Bytes)
    -T pdml|ps|psml|text output format of text output (def: text)
    -t ad|a|r|d|e output format of time stamps (def: r: rel. to first)
    -l flush output after each packet
    -q be more quiet on stdout (e.g. when using statistics)
    -X : eXtension options, see the man page for details
    -z various statistics, see the man page for details

    Miscellaneous:
    -h display this help and exit
    -v display version info and exit
    -o : ... override preference setting

        Строчные и заглавные буквы различаются. Количество опций впечатляет. Но, на самом деле все не так сложно. Основная опция - это сетевой интерфейс, с него все и начинается. Посмотрим список интерфейсов:

    tshark -D
    В ответ получим список:
    1. \Device\NPF_{6BD6EE74-B38D-460E-ADE0-BBDF3F8B98EC} (HP DeskDirect LAN Adapter.)
    2. \Device\NPF_{F08B6606-8203-4CDB-AFAB-54BA3104ECA2} (Marvell Gigabit Ethernet Controller)
    3. \Device\NPF_{2745F7CF-8142-4E8E-9862-BBDA4C5A2254} (Realtek RTL8139/810x Family Fast Ethernet NIC )

    Здесь для примера - список из 3-х сетевых интерфейсов. В начале строки выдается номер интерфейса - именно он и используется с ключом -i. Для запуска анализатора на 3-м интерфейсе (Realtek RTL8139/810x Family Fast Ethernet NIC ) команда будет выглядеть так:
    tshark -i 3
    Перехват будет выполняться с опциями по умолчанию. Для выхода из программы нажимаем CTRL-C. Если номер интерфейса не указан, перехват будет выполняться на первом обнаруженном непетлевом интерфейсе.

    Примеры параметров командной строки tshark.exe для выборочного перехвата трафика с использованием фильтров ( -f):

    tshark -i 3 -f icmp - только ICMP-трафик.
    tshark -i 3 -f "not broadcast and not multicast" - Без broadcast и multicast.
    tshark -i 3 -f "port 80" - UDP и TCP трафик на порт 80.
    tshark -i 3 -f "tcp port 80" - Только HTTP-трафик.
    tshark -i 3 -f "tcp port 110 or tcp port 25" - Только почтовый трафик.
    tshark -i 3 -f "host yandex.ru" - Трафик по yandex.ru.
    tshark -i 3 -f "host 212.245.4.23" - Только трафик по IP 212.245.4.23.
    tshark -i 3 -f "not host 212.245.4.23" - Исключая трафик по IP.
    tshark -i 3 -f "not host 192.168.0.100 and not icmp"" - Исключая IP 192.168.0.100 и icmp-трафик.
    tshark -i 3 -f "host 212.345.4.23" -w C:\log.txt - То же с записью в файл C:\log.txt.
    tshark -i 3 -f "host 212.345.4.23" -w C:\log.txt -S - C записью в файл C:\log.txt и выдачей на экран.
    tshark -r C:\log.txt -w C:\visnet.txt -F visual - Преобразовать файл C:\log.txt в формат Wisual Network Traffic Capture.
    tshark -r C:\log.txt - Обработать ранее записанный файл C:\log.txt.
    tshark -r C:\log.txt -V | more - То же, но с выдачей подробной информации и в постраничном режиме.
    tshark -r C:\log.txt -V > C:\output.txt - То же, но с выдачей результатов в файл C:\output.txt.


        Файл с записанной сессией удобнее анализировать с использованием графической оболочки WIRESHARK, загрузив его через меню "File" -- "Open".







    В начало страницы | На главную страницу


  • Hosted by uCoz