Применение Ethereal
Независимо от применяемой версии, Windows или Linux, почти все операции и интерфейсы схожи. После запуска Ethereal вы увидите экран с тремя разделами. В этих окнах отображаются перехваченные данные и другая информация о сеансе. На рис. 6.2 показан пример основного окна с активным сеансом.
Рис. 6.2. Основной экран Ethereal
В верхней трети экрана выводится поток пакетов в порядке получения, хотя результаты можно отсортировать почти любым образом, щелкая мышью на заголовках колонок. В табл. 6.6 перечислены выводимые данные для каждого пакета или кадра.
В следующем разделе экрана более детально отображается каждый выделенный пакет. Вывод организован таким образом, чтобы в целом соответствовать модели ВОС, поэтому сначала идут детали канального уровня и т.д. Небольшие символы плюс можно раскрыть, чтобы отобразить еще больше информации на каждом уровне. Удивительно, как много подробностей о каждом пакете можно увидеть. Ethereal действует как электронный микроскоп для сетевых пакетов!
В последнем разделе показано реальное содержимое пакета в шестнадцатеричном и, где возможно, в текстовом виде. Бинарные файлы и зашифрованный трафик по-прежнему будут выглядеть как мусор, но весь открытый текст станет виден. В этом проявляется мощь анализатора (и опасность его присутствия в сети).
Номер пакета | Присваивается Ethernet |
Время | Время получения пакета. По умолчанию, оно устанавливается как время, прошедшее с начала сеанса перехвата, но можно сконфигурировать вывод астрономического времени, даты и времени или даже интервалов между пакетами (это полезно для анализа функционирования сети) |
Исходный адрес | Адрес, откуда пришел пакет. В IP-сетях это IP-адрес |
Целевой адрес | Адрес, куда направляется пакет, также обычно IP-адрес |
Протокол | Протокол четвертого уровня, используемый пакетом |
Информация | Некоторая сводная информация о пакете, обычно поле типа |