Průvodce programem ethereal (1)

Dominik Pintér 27. 4. 2006

Program ethereal patří k nejpoužívanějším síťovým snifferům na světě. Navíc je šířen pod GPL licencí, takže ho můžeme používat zdarma legálně. V tomto právě začínajícím seriálu se vás pokusím provést celým programem a podrobně Vás seznámit se všemi jeho vlastnostmi.

Hned na úvod článku se vás pokusím navnadit tím, že vám prozradím, čím vším že se budeme zabývat. Obsah seriálu tedy plánuji takto:

  1. Úvod – Popis funkce programu a instalace
  2. Popis programu
  3. Odchytávání živé komunikace
  4. Práce se soubory
  5. Offline práce se zachycenou komunikací
  6. Další funkce programu
  7. Závěr

Takto nějak si představuji průběh seriálu, v jehož průběhu se podíváme na všechny zákoutí tohoto programu. Pustíme se hned do díla.

Co je to ethereal?

Už v úvodu jsem napsal, že ethereal je sniffer, ale co to vůbec sniffer je? Sniffery též známy jako síťové analyzátory jsou programy (na Wikipedii se píše, že sniffer může být i hardware, ale osobně jsem nic podobného neviděl), které odposlouchávají síťovovou komunikaci na určitém síťovém zařízení. Zachycené informace potom většinou dekóduje podle RFC norem a výsledky nějakým způsobem zaznamená.

Teď záleží na tom, zda síťové zařízení podporuje tzv. promiskuidní mód, pří kterém zachycuje sniffer všechny pakety, které projdou skrz dané síťové zařízení a nebo pouze ty, které jsou směřovány přímo jemu. Pokud tedy nastavíme promiskuidní mód, může sniffer zachycovat veškerou komunikaci na síti v případě, že síť je tvořena hubem, nebo se tak může stát po úspěšném útoku na switchovanou síť (man in the middle).

Ovšem důvodů k použití takovýchto programů existuje více:

  • analyzování síťového provozu
  • obrana proti napadení počítače – (IDS systémy mohou být založené právě na sniffování paketů)
  • analýza problémů na síti
  • rekonstrukce špatně zdokumentovaných nebo uzavřených protokolů
  • již zmíněné špehování ostatních uživatelů sítě
  • odlaďování vlastních síťových aplikací

Určitě jsem nevyčerpal všechny možnosti, ale pro představu to myslím stačí. Samozřejmě všechny předcházející řádky platí i pro ethereal, který se navíc pyšní kvalitním grafickým i textovým prostředím, dostupností na velkém počtu operačních systémů, implementací 750 síťových protokolů, možností importu a exportu různých formátů, propracovaným systémem filtrování, sestavování statistik atd.

Podle oficiální příručky je program dostupný pro následující platformy:

  • Apple Mac Os X
  • BeOS
  • FreeBSD
  • HP-UX
  • IBM AIX
  • NetBSD
  • OpenBSD
  • SCOUnixWare/O­penUnix
  • SGI Irix
  • Sun Solaris
  • Tru64 UNIX
  • všechny významné linuxové distribuce
  • Microsoft Windows Xp, 2000 , NT4.0, W98, ME

Přitom jeho požadavky nejsou nijak přehnané. Jádro programu je postaveno na knihovně libpcap na unixech a na Winpcap na windows systémech. Grafické zpracování zajišťuje knihovna GTK+ a některé jeho funkce jsou realizovány pomocí knihovny Glib. Protože je program šířen pod licencí GNU GPL, tak v případě že se výše zmíněné knihovny nachází na vašem disku v použitelném stavu už vám nic nebrání v nainstalování samotného programu. K tomu se dostaneme ještě níže.

Ovšem aby nedošlo k omylu, musím podotknout, že ethereal je zcela pasivní nástroj. To znamená, že nedokáže pakety přetvářet, vytvářet nebo dokonce odesílat. Také nedokáže na zachytávanou komunikaci nijak reagovat či snad odvracet případný útok. Pro takovou činnost tento nástroj vyvíjen není. Ale na druhou stranu se dozvíte, co útoku předcházelo, jak probíhal a z toho můžete usuzovat, kde se stala chyba, což také nejsou informace k zahození.

Instalace pod *nixy

Co potřebujeme:

  • GTK+ – pokud chybí, můžeme knihovnu stáhnout z www.gtk.org/dow­nload/
  • Glib – možnost stáhnout ze stejné stránky jako GTK+
  • Libpcap – možnost stáhnout z www.tcpdump­.org/
  • Zdrojový kód nebo binární balíček programu ethereal – možno stáhnout z www.ethereal­.com/download­.html
  • V případě kompilace ze zdrojové kód ještě nějaký c kompilátor (např.: gcc)

Postup:

a) zdrojový kód

  1. Stáhneme Ethereal ( v mém případě ethereal-0.10.14.tar.gz)
  2. Rozpakujeme archív tar -xzvf ethereal-0.10.14.tar.gz
  3. Přemístíme se do složky se zdrojovým kódem cd ethereal-0.10.14
  4. Spustíme konfigurační skript, pomocí argumentů je možno nastavit co chceme a co nechceme nainstalovat (ve většině případů stačí spustit základní verzi)  ./configure
  5. Kompilace make
  6. Přepneme se na uživatele root su root
  7. Nainstalujeme make install

Stejným způsobem nainstalujeme i chybějící balíky. Ethereal při instalaci kontroluje závislosti, takže se o chybějících balících dozvíme a musíme je instalovat před samotným etherealem.

b) binární balíček

  • Debian: apt-get install ethereal
  • Redhat a distra využívající RPM: rpm -ivh balik.rpm

Instalace pod Windows

Co potřebujeme: knihovnu Winpcap – možno stáhnout z www.winpcap­.org/install/de­fault.htm Instalační balík etherealu – možno stáhnout opět z www.ethereal­.com/download­.html.

Postup:

Instalační balík programu ethereal klasicky nainstalujeme (GTK+ a glib by měl instalátor obsahovat také). Totéž platí pro knihovnu winpcap. Co se týče vlastní kompilace ze zdrojového kódu, samozřejmě je možná také, ale nedoporučuje se. A proč dělat věci složitější než jsou, že?

widgety

První spuštění

A místo „hello word” programu v programátorských seriálech spustíme ehtereal. Pokud se všechno povedlo, měli byste mít zhruba tento pohled (grafické vykreslení se může malinko lišit v závislosti na operačním systému a verzi GTK+ knihovny):

Ethereal 1

A to je z prvního dílu vše. V příštím díle se zaměříme na popis grafického rozhraní a také podrobněji na vlastnosti a možnosti programu.

Našli jste v článku chybu?
Vitalia.cz: Tradiční čínská medicína a rakovina

Tradiční čínská medicína a rakovina

Lupa.cz: Další Češi si nechali vložit do těla čip

Další Češi si nechali vložit do těla čip

Vitalia.cz: Tesco nabízí desítky tun jídla zdarma

Tesco nabízí desítky tun jídla zdarma

120na80.cz: Pálení žáhy: která jídla ne a co nás uzdraví?

Pálení žáhy: která jídla ne a co nás uzdraví?

Vitalia.cz: Voda z Vltavy před a po úpravě na pitnou

Voda z Vltavy před a po úpravě na pitnou

DigiZone.cz: Digi Slovakia zařazuje stanice SPI

Digi Slovakia zařazuje stanice SPI

Vitalia.cz: Fyzioterapeutka: Chůze naboso? Rozhodně ano!

Fyzioterapeutka: Chůze naboso? Rozhodně ano!

DigiZone.cz: Technisat připravuje trojici DAB

Technisat připravuje trojici DAB

Vitalia.cz: 5 chyb, které děláme při skladování potravin

5 chyb, které děláme při skladování potravin

DigiZone.cz: Wimbledon na Nova Sport až do 2019

Wimbledon na Nova Sport až do 2019

Lupa.cz: Jak se prodává firma za miliardu?

Jak se prodává firma za miliardu?

Vitalia.cz: Tohle jsou nejlepší česká piva podle odborníků

Tohle jsou nejlepší česká piva podle odborníků

Vitalia.cz: Jak Ondra o astma přišel

Jak Ondra o astma přišel

Vitalia.cz: Tahák, jak vyzrát nad zápachem z úst

Tahák, jak vyzrát nad zápachem z úst

Podnikatel.cz: Tyto pojmy k #EET byste měli znát

Tyto pojmy k #EET byste měli znát

DigiZone.cz: DVB-T2 ověřeno: seznam TV zveřejněn

DVB-T2 ověřeno: seznam TV zveřejněn

Podnikatel.cz: Udělali jsme velkou chybu, napsal Čupr

Udělali jsme velkou chybu, napsal Čupr

Vitalia.cz: Pryč se zastaralým stravováním ve školách

Pryč se zastaralým stravováním ve školách

DigiZone.cz: Nova opět stahuje „milionáře“

Nova opět stahuje „milionáře“

DigiZone.cz: Světový pohár v přímém přenosu na ČT

Světový pohár v přímém přenosu na ČT