Запуск сеанса перехвата
Имеется множество допустимых опций и фильтров. Начните с максимально открытого сеанса перехвата. Выберите Start в меню Capture. Появится окно Capture Options (рис. 6.3)
Рис. 6.3. Опции перехвата Ethereal
В табл. 6.7. описаны опции, которые можно задавать перед началом сеанса.
Interface (Интерфейс) | Выбирает интерфейс для перехвата из выпадающего меню. Ethereal автоматически определяет все доступные интерфейсы и выдает их. Можно также задать одновременный перехват на всех интерфейсах, совсем как в Tcpdump |
Limit each packet to x bytes (Ограничить каждый пакет x байтами) | Задает максимальный размер перехватываемых пакетов. Это полезно, если есть вероятность, что некоторые из пакетов могут быть очень большими, а вы не хотите чрезмерно нагружать свою машину |
Capture packets in promiscuous mode (Перехват пакетов в режиме прослушивания) | Подразумеваемая опция. Выключите ее, если хотите перехватывать только потоки данных, направленные в вашу машину-анализатор |
Filter (Фильтр) | Щелкните мышью на кнопке Filter, чтобы создать фильтр, используя выражения в стиле Tcpdump. Вам будет предложено задать имя фильтра (которое можно будет использовать в будущих сеансах) и ввести выражение |
Capture file(s) (Файлы перехвата) | Щелкните мышью на кнопке File, если хотите читать данные из файла, а не перехватывать их "вживую" |
Display options (Опции отображения) | По умолчанию отключены, но их можно включить, если вы хотите наблюдать движение пакетов в реальном масштабе времени. Если перехват происходит в загруженной сети или ваша машина слишком медленная, то поступать так не рекомендуется, поскольку это может затопить сеанс и вызвать потерю пакетов. Однако отображение весьма полезно, если вы хотите понаблюдать за трафиком, чтобы получить общее представление о природе потоков данных в сети |
Capture limits (Пределы перехвата) | Здесь представлено несколько дополнительных опций для задания условий завершения перехвата. Помимо остановки вручную, можно заставить Ethereal остановиться после перехвата некоторого числа x пакетов или килобайт данных или после того, как пройдет определенное число секунд |
Name resolution (Разрешение имен) | Можно указать, должен или нет Ethereal разрешать имена на различных уровнях сетевой модели. Можно выборочно разрешать имена MAC-адресов, сетевые имена (SMB или имена хостов), и/или имена транспортного уровня. Включение всех этих опций, особенно DNS, может существенно замедлить перехват |
После установки опций щелкните мышью на OK, и сеанс начнется. Появится окно, в котором в реальном масштабе времени отображается статистика сеанса (рис. 6.4). Если сеанс настроен для показа пакетов в реальном времени, вы будете наблюдать их в окне, по мере того как они проходят по среде передачи (рис. 6.2)
Рис. 6.4. Окно статистики сеанса Ethereal
Сеанс можно остановить в любое время, щелкнув мышью на кнопке Stop в окне статистики или выбрав Stop в меню Capture. Если вы задали опции пределов перехвата, то по их достижении сеанс остановится автоматически. Теперь можно анализировать результаты сеанса и манипулировать ими
Щелкая мышью на заголовках вверху окна, можно переупорядочить результаты по этому заголовку, так что можно сортировать вывод по исходным и целевым адресам, протоколу или информационному полю. Это помогает организовать данные, если вы ищите трафик определенного вида, например, все запросы DNS или весь трафик, связанный с почтой. Конечно, в первую очередь стоит написать фильтр для перехвата трафика определенного вида