МІНІСТЕРСТВО ОСВІТИ І НАУКИ УКРАЇНИ
НАЦІОНАЛЬНИЙ УНІВЕРСИТЕТ
«ЛЬВІВСЬКА ПОЛІТЕХНІКА»
АНАЛІЗ ПРОТОКОЛІВ ЗА ДОПОМОГОЮ АНАЛІЗАТОРА ETHEREAL
ІНСТРУКЦІЯ
ДО ЛАБОРАТОРНОЇ РОБОТИ № 5
З КУРСУ “СИСТЕМИ ТА МЕРЕЖІ ПЕРЕДАВАННЯ ДАНИХ”
для студентів базового напряму 6.0914
“Комп’ютеризовані системи, автоматика і управління” та базового напряму 050201 “Системна інженерія”
Затверджено
на засiданнi кафедри
"Комп’ютеризовані системи
автоматики"
Протокол N 10 вiд 5.03.2009p.
ЛЬВІВ 2009
Аналіз протоколів за допомогою аналізатора Ethereal: Інструкція до лабораторної роботи № 5 з курсу ”Системи та мережі передавання даних” для студентів базового напряму 6.0914 "Комп'ютеризовані системи, автоматика і управління" та базового напряму 050201 “Системна інженерія”/ Укл. Г.І. Влах, І.І. Лагун, П.В. Мокренко – Львiв : Львівська політехніка. – 2008. – 44 с.
Укладачі: Г.І. Влах, к.т.н. доцент,
І.І. Лагун, асистент,
П.В. Мокренко, к.т.н. доцент.
Вiдповiдальний за випуск:
А.Й. Наконечний, д.т.н., професор.
Рецензент: З.Р.Мичуда, д.т.н. професорМета роботи – ознайомлення з роботою аналізатора протоколів Ethereal для мережі Ethernet під керівництвом ОС Windows 2000, та набуття практичних навичок спостереження, аналізу трафіка та вирішення мережевих проблем.
ТЕОРЕТИЧНІ ВІДОМОСТІ
Загальні положення
Аналізатори протоколів це програмні або апаратні системи, які виконують моніторинг та аналіз трафіка. Як правило, ці системи захоплюють і декодують пакети широкого спектру протоколів. Вони виконують повне декодування, тобто в зручній для фахівця формі показують вкладеність пакетів протоколів різних рівнів з розшифровкою вмісту окремих полів кожного пакета.
Аналізатор мережевих протоколів використовується для:
локалізації проблем при роботі мережі;
виявлення й ідентифікації несанкціонованого програмного забезпечення;
одержання такої інформації, як базові моделі трафіка (baseline traffic patterns);
ідентифікації невикористовуваних протоколів для видалення їх з мережі;
генерації трафіка з метою перевірки системи захисту;
виявлення вторгнень Intrusion Detection System (IDS);
вивчення роботи мережі.
Програмні аналізатори протоколів це - програмне забезпечення, що складається з ядра, яке підтримує роботу адаптера, і програмного забезпечення, що декодує протокол канального рівня, з яким працює мережний адаптер, а також найпоширеніші протоколи верхніх рівнів: ІP, TCP, FTP, Telnet, HTTP, ІPX, NCP, DECnet, NetBEUі й т.д. До складу деяких програмних аналізаторів може входити експертна система, що дозволяє користувачеві отримати рекомендації про те, які дії можна розпочати в даній ситуації, що можуть означати ті або інші несправності та як їх усунути.
Більшість аналізаторів мережевих протоколів працюють за схемою, представленої на рис.1.
Рис.1. Принцип роботи аналізаторів мережевих протоколів
Аналізатор працює на станції хоста. Коли аналізатор запускається в безладному режимі (promiscuous mode), драйвер мережного адаптера, NIC, перехоплює весь трафік, що проходить через нього. Аналізатор протоколів передає перехоплений трафік декодеру пакетів аналізатора (packet-decoder engine), що ідентифікує й розщеплює пакети по відповідних рівнях ієрархії. Програмне забезпечення протокольного аналізатора вивчає пакети й відображає інформацію про них на екрані хоста у вікні аналізатора.
Аналіз декодованих пакетів - основне завдання будь-якого аналізатора мережевих протоколів. Аналізатор організовує перехоплені пакети по рівнях і протоколам. Кращі аналізатори пакетів можуть розпізнати протокол по його найбільш характерному рівні - верхньому - і відобразити перехоплену інформацію. Цей тип інформації звичайно відображається в другій області вікна аналізатора. Наприклад, будь-який аналізатор протоколів може розпізнавати трафік TCP.
Аналізатор протоколів Ethereal.
Пакетний сніффер Ethereal 0.10.14 є одним з кращих безкоштовних пакетних аналізаторів. Цей сніффер спочатку був створений під Linux-платформи і будувався на базі утиліти Libpcap. Згодом з'явилася Windows-версі...