Ethereal
Na Galipedia, a wikipedia en galego.
Ethereal é un analizador de protocolos, un sniffer, evidentemente é usado para analisar e solucionar posíbeis problemas en redes de comunicacións.Tamén é útil para desenvolvimento de software e protocolos de comunicacións, e como non, é unha ferramenta moi apropiada para o seu uso en proyectos de formación/ensino.
Para os que non teñan coñecementos sobre esta clase de ferramentas, un sniffer é unha aplicación capaz de capturar todos os pacotes de información que se é a través da rede para posteriormente interpretá-los .É, como podréis imaxinar, unha ferramenta que cofa o «lado oscuro» e coa que os hackers poden roubar determinada información con só conectarse ao lugar adecuado.Sen embargo, estas aplicacións tamén nos poden servir para analisar con detalle o que está a ocorrer na nosa rede de dados.
O sniffing de pacotes é a prática de capturar dados de rede que non están destinados á tua máquina, xéneralmente se ve como unha ameaza posto que se pode utilizar co propósito de ver tráfico confidencial ou sensíbel e non existe unha forma de detectar un sniffer de pacotes (ainda que hai maneiras de minimizar a ameaza).Se non somos mal pensados, poderemos dicer que as ferramentas de sniffing son imprescindibeis para calquera análise da rede.
Ethereal, conta con todas as características estándar dun software analisador de protocolos con unha funcionalidade similar á de tcpdump, engadindo unha interface gráfica e moitas opcións para organizar e filtrar información.Permite ver todo o tráfico que pasa a través dunha rede (xéneralmente Ethernet, ainda que suporta outras redes).
Xeitos importantes de Ethereal:
-
- É mantido baixo a Licenza GPL.
- Traballa tanto en modo promiscuo como en modo non promiscuo.
- Pode capturar dados da rede ou ler dados almacenados nun arquivo (dunha captura prévia).
- Ten unha interface moi flexibel.
- Capacidades de filtrado moi ricas.
- Suporta o formato estándar de arquivos TCPDump.
- Reconstrución de sesións TCP.
- Executa-se en mais de 20 plataformas.
- Suporta mais de 480 protocolos.
- Pode ler arquivos de captura de mais de 20 productos.
A continuación explicamos cada unha das 3 seccións principais:
- 1- Aparece a lista de pacotes individuais coa sua información mais relevante.En orixe (source) e destino (destination) mostra-se o enderezo IP correspondiente.Se algun pacote fose do protocolo IPX/SPX en lugar de TCP/IP se mostraria os enderezos relativos a ese protocolo.Se algun pacote non contén enderezos de capa 3, entón mostraria enderezos de capa 2, é dicer, enderezos MAC.En protocolo mostra información relativa ao protocolo da capa mais alta.Se é unha mensaxe contendo unha transmisión de correo electrónico mostraria SMTP.neste caso a capa mais alta contén o protocolo ICMP.
- 2- Sección na que podemos observar os detalles do protocolo selecionado na sección 1.Observamos o conteúdo de cada un dos encabezados de cada capa.Podemos observar información relativa a capa 1 en onde comeza con "Frame 1".En onde comeza con "Etherenet II" observamos a información relativa a este protocolo e asi sucesivamente.Colle sinalar que cada un destes renglons ten unha breve flecha.Ao esmagar a data poderás observar mais detalles relativos a ese protocolo.Aqui podemos ver que o pacote selecionado na sección 1 ten un enderezo MAC orixe 00:a0:c9:13:54:a7 e enderezo IP orixe 192.168.1.55
- 3- Na última sección observan-se os pacotes en bruto, é dicer, tal e como foron capturados no cartón de rede.En realidade é a mesma información que se apresenta nas duas seccións anteriores, pero sen acomodar a información de forma legibel ao ollo humano.Podemos observar que na sección 2 se ten selecionada a información relativa ao protocolo IP (Internet Protocol) e Ethereal seleciona tamén na sección 3 a parte que contén dita información.En outras palabras, parte-a selecionada na sección 3 é o encabezado do protocolo IP.
[editar] INTRODUCCIÓN AOS FILTROS DE ETHEREAL
Cando capturas tráfico con Ethereal, o comportamento normal é capturar todos os pacotes que recebe polo seu cartón de rede.Isto é asi, sempre e cando selecionamos a opción de "Capture packets in promiscuous mode".
Ethereal real conta cos filtros de captura que che permiten indicar en que tipo de pacotes estás interesado.Por meio dos filtros de captura, o sistema operativo entregará a Ethereal só os pacotes que cumplen cos requerimentos indicados.
Unha vez que os pacotes son carregados en Ethereal, ainda asi pode ser posíbel que teñas demasiados pacotes para resolver o problema que estás a tratar de solucionar.Para solucionar isto existen os filtros de display.Por meio dos filtros de display podes ocultar á vista alguns pacotes e mostrar outros.Todos os pacotes capturados manteñen-se en memória e poden ser mostrados se se elimina o filtro de captura.
[editar] FILTROS DE CAPTURA
Estes filtros son chamados filtros TCPDump xa que utiliza a mesma sintaxe que ese famoso programa.En realidade, calquera programa que usa as librarias pcap utilizan a mesma sintaxe.
Para filtrar en base a enderezos IP ou nomee de equipa utiliza-se a palabra reservada "host".Se desexamos capturar somente o tráfico que vaia cara ou desde o enderezo 192.168.1.1 utilizaríamos o seguinte filtro:
host 192.168.1.1 OU para capturar pacotes de IPv6 seria asi: host 2::8100:2:30a:c392:fc5a
Para capturar pacotes de acordo ao nome da equipa podemos utilizar un filtro como o seguinte: host www.ethereal.com Estes exemplos capturarán calquera pacote IP, incluindo a información de capa 4 (TCP ou UDP) e calquera protocolo en capas superiores.