Інтерфейс користувача програми

ВИКОНАТИ

5 У командному рядку сеансу MS-DOS для очищення кеша протоколу ARP ви-конайте команду arp-d У Ethereal для запуску процесу захоплення натисни-ті кнопку «Capture» У командному рядку виконайте команду ping <ім'я_сервера> (Як параметр команди можна вико-ти IP-адреса сервера) По завершенні команди Ping зупиніть захоплення, натиснувши кнопку «Stop»

На екрані монітора в програмі Ethereal ви побачите кілька панелей з відображенням мережевих пакетів, щойно записаних у буфер Загальний вид вікна програми представлений на рис 12 Інтерфейс користувача про-грами містить наступні компоненти:

– Меню команд і панель інструментів

– Фільтр відображення пакетів

– Список пакетів в буфері

– Панель відображення декодера протоколів

– Панель відображення пакета в шістнадцятковому коді і символах ASCII

Панель зі списком пакетів построчно відображає характеристики того чи іншого пакета (номер по порядку в буфері, час захоплення, адреси источни-

ка та одержувача, тип протоколу та загальна інформація про нього) Переміщення за списком здійснюється за допомогою миші або клавіатури, причому інфор-ція на двох інших панелях оновлюється автоматично На панелі декодера протоколів, натискаючи покажчиком миші на символи «+» або «-», можна ото-

бражать інформацію про полях заголовків протоколів з необхідним рівнем деталізації При виборі того чи іншого службового поля в заголовку воно ав-томатически виділяється на нижній панелі, де відображається поточний пакет в

шістнадцятковому вигляді

Рис 12 Загальний вигляд програми Ethereal

14 Фільтр відображення пакетів

За допомогою фільтра відображення можна швидко прибрати «сміття» Ви-ражение фільтрації може являти собою просто назва протоколу, який присутній в пакеті на тому чи іншому рівні вкладеності Напри- заходів: arp – для відображення пакетів протоколу ARP, tcp – для відображення пакетів, в яких присутня заголовок протоколу TCP

ВИКОНАТИ

6 Для відображення лише ICMP-повідомлень в рядку введення «Filter» (рис 12)

наберіть «icmp» і натисніть кнопку «Apply»

Більш складні вираження фільтрації будуються за допомогою зарезерві-рова слів, зазвичай представляють собою назви полів заголовків то-го чи іншого протоколу, знака операції порівняння і конкретного значення в шістнадцятковому або десятковому вигляді Найбільш часто використовувані ви-ражения фільтрації та їх значення наведені в табл 11

Вирази фільтрації та їх значення

Таблиця 11

Вираз Значення виразу і приклад запису

Значення виразу і приклад запису

framemarked

Маркований кадр

framemarked == true

framenumber

Номер кадру

framenumber == 150

frametime

Час захоплення кадру

frametime == &quotFeb 1, 2006 09:00:00&quot

framepkt_len

Довжина кадру

framepkt_len == 48

ethdst

Тема Ethernet: MAC-адресу призначення

ethdst == 01:00:5e:00:00:02

ethsrc

Тема Ethernet: MAC-адресу джерела

ethsrc == 00:a0:cc:30:c8:db

ethtype

Тема Ethernet: тип вкладеного протоколу

ethtype == 0x0800

arphwtype

Заголовок протоколу ARP: тип протоколу канального рівня

arphwtype == 0x0001

arpprototype

Заголовок протоколу ARP: тип протоколу мережевого рівня

arpprototype == 0x0800

arpopcode

Заголовок протоколу ARP: код операції

arpopcode == 0x0001

arpsrchw_mac

Заголовок протоколу ARP: MAC-адресу джерела

arpsrchw_mac == 00:10:4b:30:c4:4a

arpsrcproto_ipv

4

Заголовок протоколу ARP: IP-адресу джерела

arpsrcproto_ipv4 == 10101

arpdsthw_mac

Заголовок протоколу ARP: MAC-адресу призначення

arpdsthw_mac == 00:00:00:00:00:00

arpdstproto_ipv

4

Заголовок протоколу ARP: IP-адреса призначення

arpdstproto_ipv4 == 10102

ipversion

Заголовок протоколу IP: версія протоколу IP

ipversion == 4

iphdr_len

Заголовок протоколу IP: довжина заголовка

iphdr_len == 24

ipflagsdf

Заголовок протоколу IP: прапор фрагментації

ipflagsdf == 0

ipflagsmf

Заголовок протоколу IP: прапор не останнього фрагмента

ipflagsmf == 0

Вираз

Значення виразу і приклад запису

ipfrag_offset

Заголовок протоколу IP: зсув фрагмента

ipfrag_offset == 0

ipttl

Заголовок протоколу IP: час життя пакета

ipttl == 1

ipproto

Заголовок протоколу IP: протокол вищого рівня

ipproto == 0x01

ipsrc

Заголовок протоколу IP: IP-адресу джерела

ipsrc == 100099

ipdst

Заголовок протоколу IP: IP-адреса призначення

ipdst == 224002

ipaddr

Заголовок протоколу IP: IP-адреса

ipaddr == 10200/16

tcpsrcport

Заголовок протоколу IP: порт джерела

tcpsrcport == 1054

tcpdstport

Заголовок протоколу IP: порт призначення

tcpdstport == 21

tcpseq

Заголовок протоколу IP: послідовний номер

tcpseq == 4856133

tcpack

Заголовок протоколу IP: номер підтвердження

tcpack == 4856134

tcpflagsurg

Заголовок протоколу IP: біт присутності термінових даних

tcpflagsurg == 0

tcpflagsack

Заголовок протоколу IP: біт присутності підтвердження

tcpflagsack == 1

tcpflagspush

Заголовок протоколу IP: біт виштовхування даних

tcpflagspush == 0

tcpflagsreset

Заголовок протоколу IP: біт скидання зєднання

tcpflagsreset == 0

tcpflagssyn

Заголовок протоколу IP: біт синхронізації сесії

tcpflagssyn == 1

tcpflagsfin

Заголовок протоколу IP: біт завершення сесії

tcpflagsfin == 0

tcpwindow_size

Заголовок протоколу IP: розмір приймального вікна

tcpwindow_size == 8760

udpsrcport

Заголовок протоколу UDP: порт джерела

udpsrcport == 2364

udpdstport

Заголовок протоколу UDP: порт призначення

udpdstport == 53

Вираз Значення виразу і приклад запису

Значення виразу і приклад запису

icmptype

Заголовок протоколу ICMP: тип повідомлення

icmptype == 8

icmpcode

Заголовок протоколу ICMP: уточнююче код повідомлення

icmpcode == 0x00

У прикладах запису виразів табл 11 наведені вирази з опера-цією порівняння «дорівнює», яка записується за допомогою подвійного знака ра-венства «==» (допустимо використання «eq») Інші операції порівняння записуються за допомогою наступних операторів:

a = (Ne) – не одно, приклад: ethtype = 0x0800

b > (Gt) – більше, приклад: tcpsrcport> 1023

c < (Lt) - менше, приклад: frame.pkt_len lt 60; d. > = (Ge) – більше або дорівнює, приклад: framepkt_len ge 60 e <= (Le) - менше або дорівнює, приклад: tcp.dstport <= 1023.

ВИКОНАТИ

7 Зясуйте, що буде відображено в буфері захоплення у разі використання фільтру, описаного за допомогою виразів, наведених як ви-шеопісанних прикладів

Значення будь-якого виразу фільтрації повертає змінну бу-Левського типу Таким чином, вираз udp означає присутність в кадрі заголовка протоколу UDP, за аналогією з цим вираз tcpflagssyn означає присутність в заголовку протоколу TCP біта синхронізації сесії у встановленому стані (значення 1) До будь-якого з виразів можна застосувати операцію логічного заперечення, уклавши його в дужки і поста-вив перед ним знак заперечення «NOT» або «» Наприклад, вираз

! (Ipaddr == 10001) означає, що з буфера відображення необ-

димо прибрати всі пакети, в яких зустрічається IP-адреса 10001

ВИКОНАТИ

8 Поясніть різницю між результатами використання виразів фильт-рації (Ipaddr == XXXX) і ipaddr == XXXX Для вико-нання вправи у виразах фільтрації використовуйте замість адре-са XXXX реальний IP-адресу вашого вузла

В якості виразів фільтрації можна використовувати і складові вирази, які утворюються за допомогою наступних логічних операто-рів:

a && (AND) – логічне І,

приклад: (ipdst == 10001) AND tcpflagssyn

b | | (OR) – логічне АБО,

приклад: (ipaddr == 10001) OR (ipaddr == 10002)

Інший зручний спосіб введення виразу фільтрації полягає в сле-ступному На панелі декодера протоколів відображається необхідне поле, в контекстному меню вибирається пункт «Apply as Filter» і далі виповнюється або команда «Selected», або «Not Selected» залежно від завдання фильт-рації (рис 13)

ВИКОНАТИ

9 Відобразите тільки ICMP-запити (використовуйте поле «тип» у заголовку ICMP) Вкажіть результуюче вираз фільтрації з необхідними поясненнями Після перегляду результату для відображення пакетів без фільтрації натисніть кнопку «Clear» у рядку фільтра

При необхідності створення складного виразу фільтрації в меню

«Apply as Filter» (рис 13) вибирайте команди, що починаються з крапки, при цьому новий вираз буде додано до результуючого висловом фільтрації

10Отобразіте всі кадри, передані вашим вузлом, виключаючи повідомлення

ICMP

       При створенні вираження фільтрації майте на увазі, що в буфері можуть перебувати кадри інших вузлів

Вкажіть результуюче вираз фільтрації з необхідними пояс-нениями Після перегляду результату для відображення пакетів без фільтрів рації натисніть кнопку «Clear» у рядку фільтра

У виразах фільтрації перший операнд операції порівняння допус-кає використання покажчика діапазону, якщо другий операнд являє собою масив байт або рядок символів Покажчик діапазону визначається за допомогою квадратних дужок і може бути використаний як стосовно до кадру в цілому (frame), так і з будь-яким полем заголовка Покажчик діапазону допускає наступний синтаксис:

a [I: j] початкове зміщення i, довжина j

b [Ij] початкове зміщення i, кінцеве зміщення j, включно

c [I] початкове зміщення i, довжина 1

d [: J] початкове зміщення 0, довжина j

e [I:] початкове зміщення i, до кінця поля

Наприклад, записи frame [6:3] і ethsrc [: 3] ідентичні і можуть бути використані для вказівки на код фірми-виробника мережевого адап-тера, що передав кадр Початкове зміщення може мати негативний значення, в цьому випадку воно відраховується від кінця поля, причому останній байт поля має зсув, рівне -1, передостанній -2 і так далі Напри-

заходів, вираз frame [-5:] == hello визначає кадр, закінчую-

щійся рядком «hello»

Рис 13 Контекстне меню створення фільтра

Рядок, як видно з попереднього прикладу, записується в лапках Запис масиву байт здійснюється побайтно в шістнадцятковому вигляді з роздільником «» Або «:», наприклад 0045f52d

Використовуючи символ «,» в покажчику діапазону, можна перерахувати НЕ-

скільки непересічних діапазонів, обєднавши їх в одному операнді На-

приклад, вираз tcp [2,10,13-16] == 0001c0f80166 порівняй-

кість в заголовку протоколу TCP полі «Тип обслуговування» з «0x00», поле

«Протокол» з «0x01» і поле «IP-адреса джерела» з «0xc0f80166»

ВИКОНАТИ

11 Відобразите ICMP-відповіді, використовуючи у вираженні фільтрації операнд

«Frame» з покажчиком діапазону

       При створенні вираження фільтрації майте на увазі, що в буфері можуть перебувати кадри інших вузлів

Вкажіть результуюче вираз фільтрації з необхідними пояс-нениями Після перегляду результату для відображення пакетів без фільтрів рації натисніть кнопку «Clear» у рядку фільтра

Швидко повернутися до того чи іншого раніше запроваджуваному висловом фільтрації можна за допомогою списку історії введення, доступ до якого здійснюється натисканням на кнопку з символом «▼», розташовану в рядку фільтра (не забувайте натискати кнопку «Apply» для застосування того чи іншого фільтра до буферу кадрів)

Джерело: Андрончик А Н, Богданов В В, Домуховскій Н А, Коллеров А С, Синадський Н І, Хорьков Д А, Щербаков М Ю, Захист інформації в компютерних мережах Практичний курс

Схожі статті:


Сподобалася стаття? Ви можете залишити відгук або підписатися на RSS , щоб автоматично отримувати інформацію про нові статтях.

Коментарів поки що немає.

Ваш отзыв

Поділ на параграфи відбувається автоматично, адреса електронної пошти ніколи не буде опублікований, допустимий HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*

*