Tweet
Lab 1-2: Ethereal
Ethereal đây là phần mềm phân tích các gói của mạng. Nó cố gắng bắt lấy những gói tin và hiển thị phần dữ liệu càng chi tiết càng tốt. Nhà quản trị mạng có thể sử dụng phần mềm này cho việc giải quyết vấn đề về mạng (Network Troubleshoot). Chúng ta có thể dùng phần này để thấy được sự thực thi của các protocol ma. Có thể dùng để học các giao thức mạng ở bên trong. Các đặc điểm của phần mềm này: Có thể chạy trên môi trường UNIX hay là Window. Capture các packet với những thông tin cực kỳ chi tiết. Có thể mở ra và lưu những dữ liệu capture. Có thể import và export nhũng packet đến và từ nhiều chương trình capture. Lọc các gói packet trên nhiều tiêu chuẩn. Tìm các gói trên nhiều tiêu chuẩn . Có thể bôi màu những gói dựa trên những tiêu chuẩn filter
Cài đặt phầm mềm Ethereal
Chúng ta có thể vào Link này download phần mềm Ethereal về: http://www.ethereal.com/download.html. Sau khi tải về chúng ta bắt đầu cài đặt phần mềm này.Việc cài đặt phần mềm này rất dễ dàng, khi chúng ta khởi động, ta vào mục chọn Capture. Sau đó chọn nút Start. Nhưng lúc này sẽ xảy ra trường hợp như sau :
Chúng ta sẽ thấy thiếu một phần mềm để capture các packet lại. Trong bài viết này sẽ sử dụng Winpcap. Địa chỉ download như sau http: // winpcap.polito.it/. Sau khi load phần mềm này từ Internet ta bắt đầu cài vào máy.
Sử dụng phần mềm Ethereal giám sát các port của Switching 2950
Tổng quan về lý thuyết về port SPAN (Switched port Analyzer) chúng ta có thể tham khảo ở các chương sau . Ta xây dụng đồ hình như sau :
Bước 1: Cấu hình Switch 2950 như sau:
!
hostname Switch
!
enable password cisco
!
interface FastEthernet0/1
no ip address
!
interface FastEthernet0/2
no ip address
!
interface FastEthernet0/3
no ip address
!
interface FastEthernet0/4
no ip address
duplex full
speed 100
!
interface FastEthernet0/5
no ip address
!
interface Vlan1
no ip address
no ip route-cache
shutdown
!
ip http server
!
monitor session 1 source interface Fa0/2
monitor session 1 destination interface Fa0/4
end
Bước 2: ta bật start của phần mềm Ethereal lên . Lúc đó chỉ có rất nhiều ô cho chúng ta chọn lựa như sau :
Interface: chỉ ra interface ma ta muốn capture gói packet lại. Chúng ta chỉ có thể capture trên 1 interface duy nhất trong một thời điểm
Link-layer header time : trong trường hợp bình thường chúng ta thường không đụng đến chứ năng này . Chúng ta có thể chọn link-layer header cho phù hợp với đường truyền.
Buffer size : có chức năng bộ đệm trong khi đang capture .Đây là kích thước của Kernel buffer cái mà sẽ giữ các packet đã được capture cho đến khi lưu nó và đĩa cứng . Nếu như bạn bị huỷ các gói packet thì bạn hãy nghĩ đến viêc gia tăng chỉ số này .
Capture packet in promiscuous mode : box này chỉ ra rằng Ethereal có đặt interface của mình trong promiscuous mode khi đang capture.Nếu không chỉ ra chức năng này ,Ethereal chỉ làm công việc là capture packet đến hay từ máy tính của bạn đi .
Limit each packet to n byte : Nếu bạn không quan tâm tất cả dữ liệu của các gói tin thì bạn sẽ sử dụng chức năng này(default là 65535). Đây là biện pháp chúng ta có thể làm cho CPU ít phải hoạt động nhiều hơn, và giảm được tối thiểu dung lượng của buffer.
Capture filter : Ethereal sử dụng ngôn libpcap filter để lọc capture. Sau đây là cú pháp của câu lệnh :
[not] primitive [and or [not] primitive . . . ]
Ta có thể xét ví dụ sau đây cho vấn đề rõ ràng hơn . Giả sử ta đánh vào
“tcp port 23 and host 192.168.2.1”. Lúc này ta chỉ thấy Ethereal chỉ làm 1 nhiệm vụ là capture các traffic telnet từ host 192.168.2.1
Fil: Chúng ta phải chỉ ra đường dẫn để sao lưu các dữ liệu đã capture
Use multiple file : thay vì sử dụng 1 file ,Ethereal tự động chuyển qua 1 file mới , nếu như mà điều kiện kích hoạt đã đầy đủ.
Stop capture: định nghĩa dừng khi thoả mãn các điều kiện lựa chọn
Display Options frame :
-update list of packets in real time: Chọn lựa này cho phép bạn chỉ ra rằng Ethereal có thể update packet vào các list trong thời gian thực. Thường thì chúng ta chỉ thấy được các packet sau khi chúng ta nhấn stop quá trình của Ethereal
Name Resolution frame: Hiển thị chi tiết hơn hoạt động của các layer. Sau khi ta chọn những thông số này, nhấn vào nút “Ok”. Như vậy quá trình giám sát đã bắt đầu. Bây giờ ta lấy một máy trạm ping vào máy Laptop để tạo ra các ICMP traffic, ta sẽ thấy các gói tin ICMP tăng lên. Như vậy port giám sát đã hoạt động.
Bây giờ ta lấy một máy trạm vào trang web yahoo. Tất cả traffic từ máy tính để bàn đều đưa về port fa0/4 của Switch 2950. Vì vậy phần mềm Ethereal có thể giám sát được quá trình này. Hầu hết các traffic vào yahoo đều thuộc giao thức TCP, ta thấy ô TCP sẽ tăng dần lên. Sau khi chọn nút stop, chúng ta quay lại với bảng thống kê các gói tin. Ta click vào một dòng bất kỳ để xem thông tin các gói. Chúng ta có thể lọc các gói packet này ra bằng thanh công cụ Filter và tô màu cho nó (dùng lệnh ip.addr=192.168.1.9>0. Ở phía dưới là nội dung thông tin của gói tin mà chúng ta bắt được bao gồm dạng file, địa chỉ nguồn, đích, nội dung thông tin bằng hexa, hay là dạng string. Dựa vào những thông tin chúng ta có thể kiểm soát được những gì đang chạy trong mạng này. Các bạn có thể tìm hiểu thêm thông tin tại trang web www.ethereal.com để download về phiên bản study guide .
Ethereal đây là phần mềm phân tích các gói của mạng. Nó cố gắng bắt lấy những gói tin và hiển thị phần dữ liệu càng chi tiết càng tốt. Nhà quản trị mạng có thể sử dụng phần mềm này cho việc giải quyết vấn đề về mạng (Network Troubleshoot). Chúng ta có thể dùng phần này để thấy được sự thực thi của các protocol ma. Có thể dùng để học các giao thức mạng ở bên trong. Các đặc điểm của phần mềm này: Có thể chạy trên môi trường UNIX hay là Window. Capture các packet với những thông tin cực kỳ chi tiết. Có thể mở ra và lưu những dữ liệu capture. Có thể import và export nhũng packet đến và từ nhiều chương trình capture. Lọc các gói packet trên nhiều tiêu chuẩn. Tìm các gói trên nhiều tiêu chuẩn . Có thể bôi màu những gói dựa trên những tiêu chuẩn filter
Cài đặt phầm mềm Ethereal
Chúng ta có thể vào Link này download phần mềm Ethereal về: http://www.ethereal.com/download.html. Sau khi tải về chúng ta bắt đầu cài đặt phần mềm này.Việc cài đặt phần mềm này rất dễ dàng, khi chúng ta khởi động, ta vào mục chọn Capture. Sau đó chọn nút Start. Nhưng lúc này sẽ xảy ra trường hợp như sau :
Chúng ta sẽ thấy thiếu một phần mềm để capture các packet lại. Trong bài viết này sẽ sử dụng Winpcap. Địa chỉ download như sau http: // winpcap.polito.it/. Sau khi load phần mềm này từ Internet ta bắt đầu cài vào máy.
Sử dụng phần mềm Ethereal giám sát các port của Switching 2950
Tổng quan về lý thuyết về port SPAN (Switched port Analyzer) chúng ta có thể tham khảo ở các chương sau . Ta xây dụng đồ hình như sau :
Bước 1: Cấu hình Switch 2950 như sau:
!
hostname Switch
!
enable password cisco
!
interface FastEthernet0/1
no ip address
!
interface FastEthernet0/2
no ip address
!
interface FastEthernet0/3
no ip address
!
interface FastEthernet0/4
no ip address
duplex full
speed 100
!
interface FastEthernet0/5
no ip address
!
interface Vlan1
no ip address
no ip route-cache
shutdown
!
ip http server
!
monitor session 1 source interface Fa0/2
monitor session 1 destination interface Fa0/4
end
Bước 2: ta bật start của phần mềm Ethereal lên . Lúc đó chỉ có rất nhiều ô cho chúng ta chọn lựa như sau :
Interface: chỉ ra interface ma ta muốn capture gói packet lại. Chúng ta chỉ có thể capture trên 1 interface duy nhất trong một thời điểm
Link-layer header time : trong trường hợp bình thường chúng ta thường không đụng đến chứ năng này . Chúng ta có thể chọn link-layer header cho phù hợp với đường truyền.
Buffer size : có chức năng bộ đệm trong khi đang capture .Đây là kích thước của Kernel buffer cái mà sẽ giữ các packet đã được capture cho đến khi lưu nó và đĩa cứng . Nếu như bạn bị huỷ các gói packet thì bạn hãy nghĩ đến viêc gia tăng chỉ số này .
Capture packet in promiscuous mode : box này chỉ ra rằng Ethereal có đặt interface của mình trong promiscuous mode khi đang capture.Nếu không chỉ ra chức năng này ,Ethereal chỉ làm công việc là capture packet đến hay từ máy tính của bạn đi .
Limit each packet to n byte : Nếu bạn không quan tâm tất cả dữ liệu của các gói tin thì bạn sẽ sử dụng chức năng này(default là 65535). Đây là biện pháp chúng ta có thể làm cho CPU ít phải hoạt động nhiều hơn, và giảm được tối thiểu dung lượng của buffer.
Capture filter : Ethereal sử dụng ngôn libpcap filter để lọc capture. Sau đây là cú pháp của câu lệnh :
[not] primitive [and or [not] primitive . . . ]
Ta có thể xét ví dụ sau đây cho vấn đề rõ ràng hơn . Giả sử ta đánh vào
“tcp port 23 and host 192.168.2.1”. Lúc này ta chỉ thấy Ethereal chỉ làm 1 nhiệm vụ là capture các traffic telnet từ host 192.168.2.1
Fil: Chúng ta phải chỉ ra đường dẫn để sao lưu các dữ liệu đã capture
Use multiple file : thay vì sử dụng 1 file ,Ethereal tự động chuyển qua 1 file mới , nếu như mà điều kiện kích hoạt đã đầy đủ.
Stop capture: định nghĩa dừng khi thoả mãn các điều kiện lựa chọn
Display Options frame :
-update list of packets in real time: Chọn lựa này cho phép bạn chỉ ra rằng Ethereal có thể update packet vào các list trong thời gian thực. Thường thì chúng ta chỉ thấy được các packet sau khi chúng ta nhấn stop quá trình của Ethereal
Name Resolution frame: Hiển thị chi tiết hơn hoạt động của các layer. Sau khi ta chọn những thông số này, nhấn vào nút “Ok”. Như vậy quá trình giám sát đã bắt đầu. Bây giờ ta lấy một máy trạm ping vào máy Laptop để tạo ra các ICMP traffic, ta sẽ thấy các gói tin ICMP tăng lên. Như vậy port giám sát đã hoạt động.
Bây giờ ta lấy một máy trạm vào trang web yahoo. Tất cả traffic từ máy tính để bàn đều đưa về port fa0/4 của Switch 2950. Vì vậy phần mềm Ethereal có thể giám sát được quá trình này. Hầu hết các traffic vào yahoo đều thuộc giao thức TCP, ta thấy ô TCP sẽ tăng dần lên. Sau khi chọn nút stop, chúng ta quay lại với bảng thống kê các gói tin. Ta click vào một dòng bất kỳ để xem thông tin các gói. Chúng ta có thể lọc các gói packet này ra bằng thanh công cụ Filter và tô màu cho nó (dùng lệnh ip.addr=192.168.1.9>0. Ở phía dưới là nội dung thông tin của gói tin mà chúng ta bắt được bao gồm dạng file, địa chỉ nguồn, đích, nội dung thông tin bằng hexa, hay là dạng string. Dựa vào những thông tin chúng ta có thể kiểm soát được những gì đang chạy trong mạng này. Các bạn có thể tìm hiểu thêm thông tin tại trang web www.ethereal.com để download về phiên bản study guide .
Comment