Průvodce programem ethereal (1)

Dominik Pintér 27. 4. 2006

Program ethereal patří k nejpoužívanějším síťovým snifferům na světě. Navíc je šířen pod GPL licencí, takže ho můžeme používat zdarma legálně. V tomto právě začínajícím seriálu se vás pokusím provést celým programem a podrobně Vás seznámit se všemi jeho vlastnostmi.

Hned na úvod článku se vás pokusím navnadit tím, že vám prozradím, čím vším že se budeme zabývat. Obsah seriálu tedy plánuji takto:

  1. Úvod – Popis funkce programu a instalace
  2. Popis programu
  3. Odchytávání živé komunikace
  4. Práce se soubory
  5. Offline práce se zachycenou komunikací
  6. Další funkce programu
  7. Závěr

Takto nějak si představuji průběh seriálu, v jehož průběhu se podíváme na všechny zákoutí tohoto programu. Pustíme se hned do díla.

Co je to ethereal?

Už v úvodu jsem napsal, že ethereal je sniffer, ale co to vůbec sniffer je? Sniffery též známy jako síťové analyzátory jsou programy (na Wikipedii se píše, že sniffer může být i hardware, ale osobně jsem nic podobného neviděl), které odposlouchávají síťovovou komunikaci na určitém síťovém zařízení. Zachycené informace potom většinou dekóduje podle RFC norem a výsledky nějakým způsobem zaznamená.

Teď záleží na tom, zda síťové zařízení podporuje tzv. promiskuidní mód, pří kterém zachycuje sniffer všechny pakety, které projdou skrz dané síťové zařízení a nebo pouze ty, které jsou směřovány přímo jemu. Pokud tedy nastavíme promiskuidní mód, může sniffer zachycovat veškerou komunikaci na síti v případě, že síť je tvořena hubem, nebo se tak může stát po úspěšném útoku na switchovanou síť (man in the middle).

Ovšem důvodů k použití takovýchto programů existuje více:

  • analyzování síťového provozu
  • obrana proti napadení počítače – (IDS systémy mohou být založené právě na sniffování paketů)
  • analýza problémů na síti
  • rekonstrukce špatně zdokumentovaných nebo uzavřených protokolů
  • již zmíněné špehování ostatních uživatelů sítě
  • odlaďování vlastních síťových aplikací

Určitě jsem nevyčerpal všechny možnosti, ale pro představu to myslím stačí. Samozřejmě všechny předcházející řádky platí i pro ethereal, který se navíc pyšní kvalitním grafickým i textovým prostředím, dostupností na velkém počtu operačních systémů, implementací 750 síťových protokolů, možností importu a exportu různých formátů, propracovaným systémem filtrování, sestavování statistik atd.

Podle oficiální příručky je program dostupný pro následující platformy:

  • Apple Mac Os X
  • BeOS
  • FreeBSD
  • HP-UX
  • IBM AIX
  • NetBSD
  • OpenBSD
  • SCOUnixWare/O­penUnix
  • SGI Irix
  • Sun Solaris
  • Tru64 UNIX
  • všechny významné linuxové distribuce
  • Microsoft Windows Xp, 2000 , NT4.0, W98, ME

Přitom jeho požadavky nejsou nijak přehnané. Jádro programu je postaveno na knihovně libpcap na unixech a na Winpcap na windows systémech. Grafické zpracování zajišťuje knihovna GTK+ a některé jeho funkce jsou realizovány pomocí knihovny Glib. Protože je program šířen pod licencí GNU GPL, tak v případě že se výše zmíněné knihovny nachází na vašem disku v použitelném stavu už vám nic nebrání v nainstalování samotného programu. K tomu se dostaneme ještě níže.

Ovšem aby nedošlo k omylu, musím podotknout, že ethereal je zcela pasivní nástroj. To znamená, že nedokáže pakety přetvářet, vytvářet nebo dokonce odesílat. Také nedokáže na zachytávanou komunikaci nijak reagovat či snad odvracet případný útok. Pro takovou činnost tento nástroj vyvíjen není. Ale na druhou stranu se dozvíte, co útoku předcházelo, jak probíhal a z toho můžete usuzovat, kde se stala chyba, což také nejsou informace k zahození.

Instalace pod *nixy

Co potřebujeme:

  • GTK+ – pokud chybí, můžeme knihovnu stáhnout z www.gtk.org/dow­nload/
  • Glib – možnost stáhnout ze stejné stránky jako GTK+
  • Libpcap – možnost stáhnout z www.tcpdump­.org/
  • Zdrojový kód nebo binární balíček programu ethereal – možno stáhnout z www.ethereal­.com/download­.html
  • V případě kompilace ze zdrojové kód ještě nějaký c kompilátor (např.: gcc)

Postup:

a) zdrojový kód

  1. Stáhneme Ethereal ( v mém případě ethereal-0.10.14.tar.gz)
  2. Rozpakujeme archív tar -xzvf ethereal-0.10.14.tar.gz
  3. Přemístíme se do složky se zdrojovým kódem cd ethereal-0.10.14
  4. Spustíme konfigurační skript, pomocí argumentů je možno nastavit co chceme a co nechceme nainstalovat (ve většině případů stačí spustit základní verzi)  ./configure
  5. Kompilace make
  6. Přepneme se na uživatele root su root
  7. Nainstalujeme make install

Stejným způsobem nainstalujeme i chybějící balíky. Ethereal při instalaci kontroluje závislosti, takže se o chybějících balících dozvíme a musíme je instalovat před samotným etherealem.

b) binární balíček

  • Debian: apt-get install ethereal
  • Redhat a distra využívající RPM: rpm -ivh balik.rpm

Instalace pod Windows

Co potřebujeme: knihovnu Winpcap – možno stáhnout z www.winpcap­.org/install/de­fault.htm Instalační balík etherealu – možno stáhnout opět z www.ethereal­.com/download­.html.

Postup:

Instalační balík programu ethereal klasicky nainstalujeme (GTK+ a glib by měl instalátor obsahovat také). Totéž platí pro knihovnu winpcap. Co se týče vlastní kompilace ze zdrojového kódu, samozřejmě je možná také, ale nedoporučuje se. A proč dělat věci složitější než jsou, že?

První spuštění

A místo „hello word” programu v programátorských seriálech spustíme ehtereal. Pokud se všechno povedlo, měli byste mít zhruba tento pohled (grafické vykreslení se může malinko lišit v závislosti na operačním systému a verzi GTK+ knihovny):

Ethereal 1

A to je z prvního dílu vše. V příštím díle se zaměříme na popis grafického rozhraní a také podrobněji na vlastnosti a možnosti programu.

Ohodnoťte jako ve škole:

Průměrná známka 2,54

Našli jste v článku chybu?
Zasílat nově přidané příspěvky e-mailem
120na80.cz: Mamograf: kdo má nárok na vyšetření zdarma?

Mamograf: kdo má nárok na vyšetření zdarma?

Vitalia.cz: Vývar s knedlíčky: kupujte „mladá“ játra

Vývar s knedlíčky: kupujte „mladá“ játra

Lupa.cz: Pokud chcete být špičkový programátor…

Pokud chcete být špičkový programátor…

120na80.cz: V zákulisí farmafirmy: růžový, ale i bílý Ibalgin

V zákulisí farmafirmy: růžový, ale i bílý Ibalgin

Měšec.cz: Co zanést do účtárny abyste měli nižší daň?

Co zanést do účtárny abyste měli nižší daň?

Root.cz: EU chce zrušit anonymní platby

EU chce zrušit anonymní platby

Vitalia.cz: Incest: Tabu nad jiné

Incest: Tabu nad jiné

Podnikatel.cz: Nové lejstro k doložení životního pojištění

Nové lejstro k doložení životního pojištění

120na80.cz: Domácí homeopatická lékárnička

Domácí homeopatická lékárnička

Lupa.cz: Tip: tucet užitečných shieldů pro Arduino

Tip: tucet užitečných shieldů pro Arduino

Lupa.cz: Foto: Jak se skladuje zboží pro Koloniál.cz

Foto: Jak se skladuje zboží pro Koloniál.cz

Podnikatel.cz: Nechtějí vrátit odpočet DPH? Chtějte úrok

Nechtějí vrátit odpočet DPH? Chtějte úrok

Root.cz: Orange Pi Plus: malý počítač s Wi-Fi a SATA

Orange Pi Plus: malý počítač s Wi-Fi a SATA

Vitalia.cz: Proč si černý kašel cestu zpátky našel

Proč si černý kašel cestu zpátky našel

Lupa.cz: Google navádí, jak krást fotky, stěžuje si ČTK

Google navádí, jak krást fotky, stěžuje si ČTK

Lupa.cz: Stream koupil Červeného trpaslíka a další seriály

Stream koupil Červeného trpaslíka a další seriály

Vitalia.cz: Pro otrlé: 42 obrázků, které budou na cigaretách

Pro otrlé: 42 obrázků, které budou na cigaretách

Měšec.cz: Braňte se zdražování elektřiny. Pošlete úřadu svůj názor

Braňte se zdražování elektřiny. Pošlete úřadu svůj názor

Podnikatel.cz: Sick day ve hře. Ale s přísnými pravidly

Sick day ve hře. Ale s přísnými pravidly

Podnikatel.cz: Podal přiznání, má přeplatek. Nevrátí mu ho

Podal přiznání, má přeplatek. Nevrátí mu ho

Ušetřete