Názory k článku
Průvodce programem ethereal (1)

Zbytek clanku se bude pridavat behem dne, nebo nekdo opravdu vazne povazuje tohle za jeden cely plnohodnoty dil serialu (dokonce!) o Etherealu? Rad bych si myslel, ze jde jen o technicke nedopatreni... bojim se ale, ze propadam naivite.

Taky jsem cekal trochu vic, protoze zatim jsem se nic nedozvedel

diky, rikal jsem to jiz x-krat. snizeni urovne root.cz prineslo odliv autoru a proto takle umele natahovane clanky. (nebo se mozna mylim a klesla uroven ctenaru, zrejme bychom delsi clanek nepobrali..) Zajimave je, ze editor mlci a dal otiskuje "dily serialu" o rozbalovani tarballu, stazeni gtkcka nebo nutnosti spustit sem tam xterm...

A to rozbalenie tarbalu je ešte k tomu zle :D :) (chýba tam z na odgzipovanie).
Nenapadá ma komu môže byť tento článok určený. Dalo by sa to zhrúť do dvoch slov - "nainštalujte to", + nejaké intro, ktoré by sa ešte celkom dalo, keby to nebol program ktorý každý pozná (nabudúce tu budú hovoriť k čomu slúži XMMS, nie ?) Stavil by som sa že ďalšie diely budú v stýle "man ethereal vlastnými slovami"

chm, to by stalo za anketu: VYSKYTNE SE NEKDO, KDO ETHEREAL NEZNA A KOMU BYLY INFORMACE V TOMTO CLANKU UZITECNE ? ozvete se prosim :)

Ja ethereal znam, ale neumim s nim. Je pravda, ze ten dil serialu o instalaci by stacil asi takhle: "Stáhněte a nainstalujte ethereal".

Co kdybys misto "rikani x-krat" radsi neco "na urovni" napsal?

Tak napis neco sam kdyz ses tak "chytrej". Bud rad, ze tu je aspon neco. Kritizovat umi kazdy.

Neumi. Nejen, ze to neumi kazdy, ale neumis to ani ty. Kritika nespociva v prohlaseni "jsi debil, jdi se zahrabat", nybrz v konstruktivnich navrzich zlepseni a oprav.

Taky obdivuju nazor, ze misto kritiky mel by kritizujici radeji vytvorit sve vlastni dilo, nebo mlcet. Co tim chce basnik ale rici? Ze by se kazde dilo melo prijimat nekriticky? Ze kritizovat dilo mohou jenom ti, co jsou zrucni pri jeho vytvareni? Takze kdyz clovek rozumi oboru, ale nevytvari dila (typicky literarni ci vytvarny teoretik), nesmi kritizovat?

Souhlasim s tebou, to co rikas ma logiku, ale zaroven take rozumim tux.martinovi. Tou jednoduchou vetou "...napis... Krititizovat umi kazdy." vyjadruje presne to, co citim, kdyz vyjde nejakej novej clanek a kvuli necemu (nejhorsi je, kdyz je to jeste kvuli nejake kravine, ktera by se dala vysvetlit v naprosto klidnem duchu) se na neho vrhne milion kritiku a dost nevybirave ho sepsujou. Muj nazor je ten, ze i kdyby treba nebyl na patricne odborne urovni, tak jeho snahu predat druhym to, co sam poznal, je treba ocenit a ne mu dat znat, jaka je nula. A i kdyz udela opravnenou chybu, vzdycky je rozdil rici kousave, nevybirave a nebo ohleduplne.Nekdy mam pocit, ze si nekteri v diskuzi pod tim taky kopnou, nebo ze toho vyuziji, aby si trochu vyhonili triko, aby kazdej videl, jak jsou dobri ;)
Zrejme jde o znamou ceskou povahu, kdy chlapi v hospode rozumi vsemu, od sportu az po ekonomiku, ale zel jim staci jen o tom klabosit v te hospode. Kritiku se mi zda, ze je v ceskem narode dost a dost, kez by (zvlaste ti nevybiravi) si nekdy taky vyzkouseli to co kritizuji, vychutnali si potom v diskuzi sobe podobne, mozna by pak zvysili i svou schopnost kritizovat a pritom neurazet.

Podobné reakce jsem čekal, nesnažím se nijak uměle zvětšovat počet dílu, ale první článek měl být pouze takový lehký a informativní úvod o tom, že nějaký seriál zde bude vycházet. Proto je díl krátký a jsou v něm podáný pouze základní informace.

a k čemu to potom je ? abych věděl, že něco bude vycházet ? na to slouží rss... jediný, čeho takle dosáhnete, bude to, že koho ethereal z prvního "dílu" zaujme, ten nebude chtít čekat na další díly, ale sežene si zatím dostatek informací na netu. A když už je to zoufalec, co potřebuje článek v češtině, stejně najde aspoň http://homel.vsb.cz/~voz29/voip/Ethereal.pdf

Řídil jsem se ostatními seriály, které jsem četl a jejichž úvodní díly jsou podobné tomu mému.
Také neočekávám, že všichni čtenáří root.cz používají rss čtečku tohoto serveru a že jsem chodí pravidelně každý den.
Ale můžu slíbit, že další díly budou už mnohem obsáhlejší, ale seriál je primárně zaměřen na začátečníky a tomu i bude odpovídat tempo.

Pane jo, to je mazec!

Rozepsat základní trio do devíti řádek, to už chce kus umění.

Mám nicméně k článku pár poznámek pro vylepšení:
- v článku se píše "stáhnout ethereal" - jak to mám udělat, stačí kliknutí v browseru nebo musím wget?
- pro začátečníky vhodné poznamenat že instalační procedura je v konzoli (příkaz xterm)
- balik.rpm jsem nenašel, jak se má jmenovat?
- chybí mi instalační procedura pro gentoo
- co mám dělat s instalačním balíkem etherealu pod windows?

Hello, world! Farewell, root.cz...

Nevím jak u jiných distribucí linuxu, ale na RedHat / Fedora se v balíčku ethereal-*.rpm nachází jenom textová verze !
Grafické rozhraní, které je popsané v článku, se musí doinstalovat balíčkem ethereal-gnome-*.rpm.

Tohle je dost zsadní věc, kterou jsem v článku o instalaci očekával !!

Asi jen preklep, ale informace
"Rozpakujeme archív tar -xvf ethereal-0.10.14.tar.gz"
je nepravdiva.

Zazipovany archiv se rozbaluje tar -zxf.

Tak se zkuste podivat na www.flukenetworks.com . Tam maji hw sitovych analyzatoru plno.

Psal jsem, že jsem se se žádným harware snifferem nesetkal (nepočítám-li do toho volmetr apod.), což je pravda. A za slovo hardware považuji pevně zapojený elektrický obvod - to znamená, že nemá žádnou paměť s instrukcemi podle kterých se vypisuje/ukazuje výsledek. A myslím si, že těchto zařízení existuje v dnešní době naprosté (možná i zanedbatelné) minimum.

Podľa tejto definície nepatrí medzi hardware ani obyčajný switch, lebo má pamäť na MAC adresy...

No celý switch samozřejmě ne, ale řídící část, tedy ten program, který se stará o správnou činost switche se za software dle mého názoru považovat dá. Ono je to dosti dvojsečné. Vemte si například staré pc, na které někdo nahodí titěrnou linux distribuci, např. linux router priject, nebo si v extremním případě napíše vlastní software i ovladače, nevyužije žádný plnohodnotný os, tak už bude software na tomto stroji také považován za část toho hardware? A takových příkladů by se dalo anjít více (teď mě třeba napadli ještě bb routery).

to bylo zbytecne kousave - komu slouzi vase informace o tom, co si dokazete, ci nedokazete predstavit? :(

CISCO switche a routre su plne konfigurovatelne, a kedze sa v tomto seriali bavime hlavne o ochrane pred utokom, zaujimalo by ma, ci sa sietova prevadzka neda analyzovat odchytavanim ramcov/*samozrejme potom aj paketov*/ priamo na switchi alebo routeri, resp. ci to tieto zariadenia dokazu. Nebolo by takato analyza pre sietoveho administratora lepsia ako instalovat sniffery a v pripade switchovanej siete co je dnes asi kazda robit arp poisoning-i?

tomk@post.sk

To se samozrejme da, ale co me udivuje vic, ze autor nejspis plete dohromady dve veci, jelikoz man in the middle rozhodne neni totez co arp poisoning. Jestli je ten serial urcen pro lidi, kteri to nevedi, mel by byt presny a jasny.

arp poisoning = zahltim switch tak, ze se zacne chovat jako HUB = posle vsechny pakety na vsechny rozhrani a ja je muzu v klidu sledovat, ale klient stale komunikuje s puvodnim cilem !!!

man in the middle = vlozim mezi klienta a jeho cil stroj, kteri se zacne tvarit jako cil sam a zprostredkuje dalsi komunikaci, kterou lze v tomto pripade libovolne upravovat, coz v pripade arp poisoningu mozne neni a vetsinou o to ani nejde.

Myslím, že nemáte tak úplně pravdu. Podle prvních dvou výsledků při hledání googlem dvojice slov "arp poisoning" (viz http://www.watchguard.com/infocenter/editorial/135324.asp a http://www.securitywarnings.com/encyclopedia/?id=12 ) i podle wikipedie ( viz http://en.wikipedia.org/wiki/ARP_poisoning ) sice můžete zkusit spáchat denial of service, ale podle mých informací už jsou dnešní switche dostatečně zabezpečeny proti těmto útokům ( i když nepopírám že je to stále možné), ale informace podaná v článku jsou podle těchto zdrojů naprosto v pořádku, tedy že pomocí arp poisoningu se může útočník dostat do pozice man in the midlle.

NO JA SOM POCUL O ARP POISONINGU V TOM SLOVAZMYSLE, ZE HOSTOVY SA POSLE ARP REPLY V KTOREJ BUDE DANEJ IP ADRESE PRIRADENA MAC ADRESA MAN IN THE MIDDLE HOSTA,A TO TREBA SAMOZREJME ROBIT V NEUSTALOM CYKLE

Pořiď si klávesnici bez zaseknutého CapsLocku.

Jsem kverulantní paranoik. Ethereal mi asi před měsícem reprodukovatelně spadnul na xlib error tak jsem jim poslal bugreport a testcase. Před pár dny mi přišel z bugzilly e-mail, že už to opravili.

Doufám, že tohle je jenom vtip... ;-)

Proc by to mel byt vtip? Se kouknete na FrSIRT a dejte si najit ethereal. To se nam to cervena, ze? ;-)

Měl jsem na mysli uživatele s přezdívkou BLEJK, trpícího mně doposud neznámou tzv. „kverulantní paranoiou.“ :-) Což je sice zřejmě nemoc, která existuje, ale na tomto serveru si nejsem jist, jak moc vážně je v tomto případě míněna... :-D

Proč je tento článek tak kritizován? Protože se autor rozhodl začít zvolna? To je přeci jeho právo! On sám musí mít představu o tom, jak pokročilému čtenáři je jeho seriál určen. Ti, pro které je instalace programu formální banalita, mohou přeci začít číst od 2,3,... či já nevím kolikátého dílu. Je velice jednoduché někoho otrávit, nebo zastrašit... a bylo by škoda, kdyby díky této atmosféře psalo na českých stránkách méně lidí, než by se za vlídnějšího publika odhodlalo.

podpis

souhlasim

Tiez si myslim, ze clanky na takomto serveri su urcene pre siroku verejnost. Aj menej technicky zdatni jedinci citaju tieto stranky. Nielen informatici potrebuju zistit, ze ci na ich skolskej, alebo domacej linke nedochadza k nezelanej komunikacii. Technicky zdatnejsi jedinci si precitaju wiki na stranke snifferu, alebo si informacie vyhladaju na internete, pokial su velmi nedockavi.

Pre informatikov by bol zaujimavejsi serial:"Programujeme s kniznicou libpcap". Divili by ste sa, ake jednoduche je napisat si vlastny malicky sniffer, usity na mieru :)

Ľudia ktorí tento program chcú používať si rtfm man ethereal

ono by potom nebolo odveci uverejnovat tie zaciatocnicke informacie SPRAVNE. napr. ako uz bolo spominane

tar -xvf ethereal-0.10.14.tar.gz

to akurat tak hodi pekny error.

to iste aj co sa tyka RPM pre RH klony, ktore obsahuje iba textoveho klienta. to si potom taky newbie toho vela neuzije, aj ked screenshoty mu autor poskytol.

takze asi by bolo produktivnejsie pre RH (fedora a tak) dat

yum -y install ethereal-gnome

my 2 cents..

To se mi snad zdá. Koho napdla že tar "xvf *.tgz" je error?
Už dejší dobu umí tar sám rozpoznávat archivy zapakované gzipem nebo bzipem. Zakze je to správně, jenom tady někdo k "starejm dobrejm verzím" nebo si jednoduše nevšim vývoje.

to neni kritika autora, ale editora. editor by mel vybirat clanky s ohledem na zamereni serveru a publikum. oboji bylo drive (pred rokem a pul mozna jeste) vyrazne odbornejsi, nez je dnesni "standard".
ale v jednom mate mozna zajimavou pravdu: mozna na _narodnich_ strankach (ceskych, slovenskych) se postupne budou objevovat navody pro newbies, kdezto odborna diskuze se stahne do odborne komunity v english...

Vite... u tisteneho periodika vitam, kdyz je zamereno na ctenare urcite urovne, protoze platim nejakou cenu a urcite nechci platit za neco, co cist nebudu. Nicmene na webu si mohu vybrat (myslim ze mam dostatecnou inteligenci na to, abych sam posoudil, co jeste nemohu cist, nebo co uz nemohu cist:) a proto naopak vitam jeste z ruznych jinych duvodu, kdyz je urcen pro sirsi skalu ruzne vzdelanych ctenaru. "ale v jednom mate mozna zajimavou pravdu: mozna na _narodnich_ strankach (ceskych, slovenskych) se postupne budou objevovat navody pro newbies, kdezto odborna diskuze se stahne do odborne komunity v english..." To jsem rozhodne rict nechtel. Domnivam se, ze i v posledni dobe vychazi na ceskych strankach krasne a vysoce odborne clanky. Je samozrejme jasne, ze to co nabizi ceska internetova komunita, se neda srovnat s tim,co se nabizi pro anglicky znale, take je zrejme, ze ti opravdu znali odbornici vetsinou nemaji problemy s jazykem a nejsou tim padem odkazani na nejaky clanek na rootu o etherealu. Tipoval bych, ze tito lide cas od casu nahlednou co se tu deje, nezabyvaji se diskuzi typu, jestli tento clanek sel napsat jednou vetou nebo ne, spis vyuziji cas k tomu, ze nekomu v diskuzi poradi, nebo si prectou neco tykajici se ceskych podminek a odchazi na sva oblibena mista... :)

Ti, pro které není instalace formální banalita, by především neměli být hnáni do kompilace a blíže nepopsaného dependency hell při stahování zdrojáků, když balíček pro ethereal je skoro v každé distribuci, a tudíž jej lze instalovat standardními nástroji oné distribuce! ... navíc jim mělo být řečeno, jak už ostatně v diskusi padlo, že ethereal je možno používat i v textové versi, a tudíž pro ta krásná wokýnka je třeba instalovat versi s podporou GTK (prostá zmínka, že "využívá GTK a glib", je hrubě nedostatečná)

btw, na un*xovém filesystému nemáme složky nýbrž adresáře

Zajimave tema...drzme se tedy technicke roviny - ethereal je vytecny nastroj.

Vypichl bych tyto veci:

-ethereal je idealni vyukovy nastroj na IP veci, umoznuje nazorne vysvetlit a ukazat kazdy bit v paketu
-pro narocnejsi sledovani lze pouzit obarvovani paketu, take obcas hodne pomuze
-etherealem lze detailne analyzovat RTP streamy, dokonce z nich dokaze hlas extrahovat
-pokud jste s etherealem mirne pokrocily, zacnete se zajimat o checkbox "allow dissector to reaseble fragmented packets" prinejmensim u HTTP, pravdepodobne je to co hledate
-pokud jste zacatacnik, zvyknete si sniffovat bez DNS a provoz na svych siti znat podle IP adres, protoze: a) DNS nefunguje vzdy nebo ho nelze vzdy pouzit b) zpusobuje zpozdeni a nahodne chovani snifferu c) a coz je nejdulezitejsi, sniffovani se zaplym dns PROZRAZUJE ze pocitac snifuje
-ethereal umoznuje analyzovat jitter RTP streamech a myslim ze i obecne a generovat z toho grafy.
-pokud s etherealem pracujete denne, meli by jste se zacit zajimat o etherenet tap - viz napriklad zde: http://www.snort.org/docs/tap/
-pokud etherealem sniffujete na WiFi karte v RFMON rezimu, uvidite i ridici ramce 802.11...docela zajimave.
-pokud na danem stroji nejsou Xy, muzete si vypomoci tim ze udelate tcpdump do souboru (tcpdump -w soubor). Nezapomente pridat paremetr "-s 0" jinak bude tcpdump ukladat pouze prvnich tusimze 64 bytu paketu.
-zda se to jen me, nebo ethereal verze mensi cca 0.10.5 nemel tendenci padat po odsnifnuti radove gigabajtu trafficu?

Pokud znate jeste nejake triky, nevahejte a piste je sem ;)
(pripadne na email...)

Vypsani vsech IAX paketu, ktere obsahuji informaci o jitteru, konkretne ty, kde delay je vetsi nez 80 a jeste k tomu se prida hodnota na konec vypisu kazdeho paketu + vypsani casu

tethereal -n -z "proto,colinfo, iax2.iax.rrdelay,iax2.iax.rrdelay" -z 'proto,colinfo,frame.time,frame.time' -R'iax2.iax.rrdelay > 80 && iax2.iax.subclass == 3'

Ahojte lidi,mám takovej problém.Po spuštění programu Ethereal 0.99.0
se zobrazí hláška:

15:37:31 Err file emem.c: line 252: assertion failed: (ret == TRUE)

Press any key to exit

unspecified fatal error encountered, aborting
Microsoft Visual C++ Runtime Library
Runtime Error!
C:\Program Files\Ethereal\ethereal.exe
abnormal program termination

...a tím to končí.Mám W98SE(4.10.2222A),nainstalované GTK+ 2.6.10,WinPcap 3.1,vbrun60sp6,MS NeT Framework 2.0,Layer for Unicode 1.1.3790.0.Nenapadá někoho v čem je problém,že to nejede?Jinak všechny existující záplaty pod W98SE mám naintalovány a vše šlape jak má.Všude je psáno,že to jede pod 98/ME/NT/2000/XP,takže systémem to asi nebude.Předem díky za nápady.

A co v případě, že nás někdo tímto programem sniffuje? Dá se proti tomu nějak bránit?

Projekt byl přejmenován na Wireshark z důvodu problémů s ochranou známkou Ethereal.

Due to trademark issues Ethereal has been renamed Wireshark http://www.wireshark.org.
Development under the name "Ethereal" has ceased, and the Ethereal bug tracking system is no longer actively monitored.