..............................
使用Ethereal可以很方便地对截获的数据包进行分析,包括该数据包的源地址、目的地址、所属协议等。图4是在Ethereal中对一个HTTP数据包进行分析时的情形。
在图3最上边的数据包列表中,显示了被截获的数据包的基本信息。从图中可以看出,当前选中数据包的源地址是10.1.197.162,目的地址为61.135.150.65,该数据包所属的协议是超文本传输协议(HTTP)。更详细的信息表明该数据包中含有一个HTTP的GET命令,要求下载starrtlog.js文件到客户端的Web浏览器。
图4 用Ethereal分析数据包内容
图4中间是协议树,通过协议树可以得到被截获的数据包的更多信息,如主机的MAC地址(Ethernet II)、IP地址(Internet Protocol)、TCP端口号(Transmission Control Protocol),以及HTTP协议的具体内容(Hypertext Trnasfer Protocol)。通过扩展协议树中的相应节点,可以得到该数据包中携带的更详尽的信息。
图4最下边是以十六制显示的数据包的具体内容,这是被截获的数据包在物理媒体上传输时的最终形式,当在协议树中选中某行时,与其对应的十六进制代码同样会被选中,这样就可以很方便地对各种协议的数据包进行分析。
Ethereal提供的图形化用户界面非常友好,管理员可以很方便地查看到每个数据包的详细信息,协议树及其对应的十六进制表示对分析每个数据包的目的很有帮助,综合使用Ethereal和Tcpdump能够基本满足网络管理员在Linux系统上的所有嗅探要示。
用EtherApe查看网络流量
EtherApe也是一个图形化的网络嗅探器。与Ehtereal不同,EtherApe通过验证主机与主机之间的链接,图形化地显示网络目前所处的状态。EtherApe使用不同颜色的连线来表示位于不同主机之间的连接,而连线的粗细则表明主机间数据流量的大小。这些信息都是实时变化的,因而能够协助管理员随时了解到网络中各部分流量的变化情况。
EtherApe的安装
EhterApe支持Ethernet、FDDI和Token Ring等多种网络,能够实时地从网络或文件中读取网络流量的变化情况。此外它还可以将网络流量信息保存下来,以便在之后需要时再显示出来。在http://www.sourceforge.net/projects/etherape/网站上可以下载到最新的EtherApe源码包。下面以Ethereal 0.8.2为例,讲述如何安装EtherApe(使用的操作系统是RedHat 8.0)。
首先下载最新的源码包并将其解压缩,代码如下:
# cp etherape-0.8.2.tar.gz /usr/local/src/
# cd /usr/local/src/
# tar xzvf etherape-0.8.2.tar.gz
EtherApe使用的是GNOME这一图形用户接口库。与Ethereal和Tcpdump一样,它也使用pcap库(libpcap)对网络上传输的数据包进行截获和过滤。在编译EtherApe之前,应先确定所需的这些库已经安装好,因为这是编译EtherApe时所必需的。如果这些库已经安装,就可以执行下面的命令来编译并安装EtherApe:
# cd etherape-0.8.2
# ./configure
# make
# make install
用EtherApe分析网络流量
当编译并安装好EtherApe后,就可以执行“etherape”命令来启动EtherApe。
当用EtherApe截获在网络上传输的数据包时,也需要先为其指定过滤规则,否则EthreApe将捕获网络中的所有数据包。单击工具栏上的“Pref.”按钮,打开“Preferences”对话框,在该对话框中的“Capture”属性页中,可以找到用于设置过滤规则的“Capture filter”下拉框。由于采用的都是pcap库,因此EtherApe过滤规则的设置与Tcpdump和Ethereal是相同的。
设置好过滤规则后,单击工具栏上的“Start”按钮,就可以开始对网络中感兴趣的数据包进行嗅探。EhterApe图形化地显示网络流量,图5是当EtherApe处于Ethernet模式下时的网络流量图。
图5 EtherApe监测的Ethernet流量图
EtherApe提供了Token Ring、FDDI、Ethernet、IP和TCP五种监听模式。当处于Ethernet模式下时,EtherApe会截获所有符合过滤规则的以太网数据包,但有时网络管理员可能只对IP数据包感兴趣,这时可以将EtherApe切换到IP模式。单击“Capture”菜单,选择“Mode”菜单项,然后再选择相应的模式,就可以完成模式之间的切换。图6是当EhterApe处于IP模式下时的网络流量图。
图6 EtherApe监测的IP流量图
EtherApe能够以图形的方式显示网络流量。用户看到的是一个很直观的用于表示网络上各主机间流量大小的图,而不是单个的数据包,因而更容易从整体上把握整个网络的运行状况,在定位网络故障时相对来说也变得更加容易。
Chuxiangshuai建议:
科来网络分析系统在功能上与EtherApe相仿,纯中文操作,更适合中国网络管理,而且是免费软件。操作更加便捷,它通过对协议数据包的解码分析,透视网络的全景信息,从而全面监测和分析,快速排查全网的网络故障和单一的应用故障,精确并快速定位各种恶意攻击行为。并且能够快速诊断网络错误,准确发现潜在隐患,及时判断危害等级,为网络安全防御做好分析和支持。
科来网络分析系统技术交流版下载地址:http://www.colasoft.com.cn/download/
| 
发表于 2010-6-9 10:27:10
发表于 2010-6-10 12:39:25
xia zai kan kan