IRCERT - بخش دوم - ابزارها Ethereal

صفحه اول > ابزارها

Ethereal، بخش دوم

در بخش اول، ضمن ارايه‌ي جمع‌بندي در مورد Snifferها، که Ethereal يکي از معروف‌ترين و قدرتمندترين نرم‌افزارهاي اين دسته از ابزارهاست، به ويژگي‌هاي برجسته‌ي اين نرم‌افزار اشاره کرديم. بررسي قابليت‌هاي اين نرم‌افزار بر اساس جنبه‌هاي مختلف و متنوعي صورت گرفت که در مورد اين دسته از ابزارها مد نظر قرار مي‌گيرد.

شکل زير، رابط کاربري اين نرم‌افزار پيش از شروع عمليات را نشان مي‌دهد :

همان‌گونه که مشاهده مي‌کنيد، رابط کاربري اين نرم‌افزار بسيار شبيه به رابط‌هاي گرافيکي متداول سيستم‌هاي عامل Linux است، محيط‌هايي همچون KDE و GNOME.

در منوي فايل، مي‌توان خروجي عمليات انجام شده را در قالب‌هاي مختلف درون فايل ذخيره کرد يا فايل‌هاي ذخيره شده در قالب‌هاي مختلف، ايجاد شده توسط نرم‌افزارهاي گوناگون، را باز کرد و تحليل نمود.

شروع عمکرد اين نرم‌افزار با استفاده از منوي Capture صورت مي‌گيرد. شکل زير صفحه‌ي مربوط به اين منو را نشان مي‌دهد :

در قسمت بالا، رابط شبکه‌اي که عمليات دريافت بسته‌ها بر روي آن انجام مي‌گيرد مشخص مي‌شود. اين رابط شبکه مي‌تواند به ارتباط مودم ما با اينترنت نيز اشاره کند. به عبارت ديگر توسط چنين نرم‌افزارهايي، مي‌توان به بررسي وضعيت ارسال و دريافت بسته‌ها و تحليل آن‌ها در ارتباطات ميان مودم‌ها و ارايه‌کنندگان سرويس اينترنت نيز پرداخت. خروجي اين عمليات مي‌تواند اطلاعات مفيدي از حملات احتمالي در حال انجام به سيستم ما را نشان دهد.

قسمت‌هاي ديگر اين صفحه شامل تعيين نام فايلي که بسته‌هاي دريافت شده در آنها قرار مي‌گيرد و همچنين شرايط که در صورت حصول آنها عمل Capture خاتمه مي‌پذيرد. سمت راست اين صفحه نيز يکي از ويژگي‌هاي مهم عمل Capture را تعيين مي‌کند که تعيين نام مترادف آدرس‌ها در شبکه است. اين عمل، ضمن آن‌که اطلاعات جامع و مفيدي را در اختيار ما قرار مي‌دهد، عمل دريافت و جمع‌آوري بسته‌ها را کند مي‌کند.

شکل زير، وضعيت پس از آغاز عمليات Capture را نشان مي‌دهد. رابط شبکه‌ي مورد استفاده، ارتباط PPP برقرار شده است :

همان‌گونه که در شکل نيز مشخص است، انواع پروتکل‌ها در خروجي مورد نظر دسته‌بندي شده‌اند و در مقابل نام آنها تعداد دريافت شده از آن پروتکل درج مي‌شود.

پس از قطع عمل Capture، فهرستي از بسته‌هاي دريافت شده در پنجره‌ي اصلي نمايش داده مي‌شود :

بسته‌هاي دريافت شده، به ترتيب و بر اساس زمان دريافت مرتب شده‌اند. اين فهرست شامل شماره‌ي بسته، زمان دريافت/ارسال آن، آدرس‌هاي مبدأ و مقصد و نوع بسته نمايش داده شده است. در قسمت پايين‌تر، نوع بسته و اطلاعاتي که از ابتداي بسته استخراج شده‌اند، مانند مبدأ و مقصد، پورت و ديگر اطلاعات درج مي‌شود و در قسمت پايين پنجره‌ي اصلي محتواي خام بسته نمايش داده شده است.

خروجي به دست آمده را مي‌توان با تعيين قالب مورد نظر براي دسترسي‌هاي آتي ذخيره نمود. شکل زير صفحه‌اي که در آن امکان ذخيره سازي پرونده با تعيين قالب مورد نظر وجود دارد را نشان مي‌دهد :

شکل بالا، تعدادي از قالب‌هاي قابل استفاده براي ذخيره پرونده توسط اين نرم‌افزار را نشان مي‌دهد. انواع اين قالب‌ها در بخش اول از بررسي اين نرم‌افزار معرفي شده‌اند.

در بخش بعدي از بررسي اين نرم‌افزار به روش تعريف فيلتر‌ها و چگونگي جستجو و تحليل در بسته‌هاي دريافت/ارسال شده، با استفاده از فايل‌هاي پيشين ذخيره شده، خواهيم پرداخت.