Inledning
Ethereal är ett program som används för att lyssna av datorns nätverkskort, för att sedan kunna analysera trafiken och nätverksprotokollen som passerar. Programmet finns både för Unix och Windows.
Det tillåter dig att undersöka och analysera data direkt från nätverket eller från en fil. Du kan interaktivt undersöka och genomsöka data och få detaljerad information om varje paket såväl som översiktsinformation. För att kunna köra programmet, krävs det att man först hämtar några grundrutiner som behöver installeras. För Windows heter dessa WinPcap. (Kan hämtas på www.ethereal.com).
Användning
När programmet startas ser man först en ruta indelad i tre fönster (Se bild nedan). Dessa är till för
att visa paketen i tre olika delar.
Det översta fönstret (1) visar en beskrivning av varje paket, (2) nästa visar protokoll (ex vis TCP, ARP osv..) ,
och slutligen det nedersta fönstret (3) visar en hexadecimal kod, precis över hur paketet ser ut
när det skickas över nätverket.
För att börja lyssna av nätverkstrafiken, välj menyn Capture och sedan Start.
Nu kommer ett nytt fönster där man kan ställa in olika selekteringsvillkor mm. Gör detta vid behov,
tryck annars bara på OK.
Efter detta börjar Ethereal att lyssna och i ett litet fönster ser man ett sammandrag av vilka slags meddelanden
som nätverkskortet har sett och hur många av varje sort som kommit. Om inga andra inställningar har gjorts,
kommer ethereal att söka på alla protokoll som finns anpassade för programmet. Vill man ändra detta,
t.ex. bara söka på vissa protokoll som TCP och UDP, kan man ändra detta i menyn EDIT och sedan välja PROTOCOLS.
Så efter en stunds avlyssnade av nätverket, kan man stoppa avlyssningen genom att trycka på Stop.
När detta sker kan man se den trafik som programmet har lyssnat av i huvudfönstret.
Varje rad i resultatlistan (övre fönstret) är ett Ethernet-meddelande. På varje rad ser man tiden när det kom,
från vem det sändes och till vem det ska samt vilket protokoll som används samt en liten "förklaring".
Kom ihåg att ALLA meddelanden är Ethernet-meddelanden som i sin tur innehåller ett meddelande (av typ ...)
som i sin tur kan innehålla ett meddelande av typ ... som i sin tur etc. Det protokollnamn som man här redovisar
är det som är mest intressant, dvs det som svarar mot det "innersta" meddelandet (högst upp på protokollstacken).
Om meddelandet innehåller ett IP-meddelande så finns det alltid IP-adresser och då redovisas dessa,
annars finns inga IP-adresser och då redovisas MAC-adressen eller ett symboliskt namn på den nod i nätverket
som har motsvarande MAC-adress.
Du kan filtrera meddelandena dels när man registrerar dem, dels efteråt när man tittar på dem.
I filterrutan längst ner till höger om knappen filter skriver man in villkor för vilka man vill titta på.
Vill man bara se TCP-meddelanden skriver man tcp följt av vagnretur. Vill man titta på t.ex både TCP och HTTP
skriver man tcp or http i filter -rutan. Glöm inte vagnretur!
Vill man bara se meddelanden som har "min egen ip-adress i sig" skriver man ip.addr==130.238.174.153
(eller vad man nu har för en adress).
Mer information finns på ethereals hemsida
Ethereal
Ett arbete gjort av:
Jukka Lauronen, Michael Siegl och Henrik Corlin, Grafit Säkerhet 7