Các bước sử dụng Thiết lập các tùy chọn Chọn Capture/Options Đầu tiên ta chọn card mạng Interface để quan sát các gói tin.. Interface là card mạng vật lý, nơi các gói tin sẽ đi qua
Trang 1Hướng dẫn sử dụng Ethereal Môn Mạng Máy Tính
HƯỚNG DẪN SỬ DỤNG ETHEREAL
I Mục đích sử dụng
- Bắt và phân tích các gói tin (Capture and Analyze packets)
II Công cụ sử dụng
- Ethereal
III Các bước sử dụng
Thiết lập các tùy chọn Chọn Capture/Options
Đầu tiên ta chọn card mạng (Interface) để quan sát các gói tin Interface là card mạng vật lý, nơi các gói tin sẽ đi qua (in/out), chọn card mạng muốn bắt các gói tin đi qua đó
(Lưu ý: Card mạng ảo được sử dụng bởi phần mềm máy ảo VMWare
bắt đầu bằng chữ Vmware-)
Trang 2 Chọn các tùy chọn khác
Buffer size: Buffer được sử dụng trong quá trình capture Đây là kích thước
của Kernel buffer, nơi sẽ giữ các packet đã được capture cho đến khi lưu nó
và đĩa cứng Nếu như bạn bị huỷ các gói packet thì nên gia tăng chỉ số này
Capture packets in promiscuous mode: Thông thường card mạng chỉ bắt
được các gói đến địa chỉ mạng của nó, chọn tùy chọn này card mạng sẽ thấy được tất cả các gói tin
Limit each packet to xy bytes: Giới hạn kích thước tối đa mỗi gói tin được
bắt (mặc định là 65535 bytes), bao gồm link-layer header và tất cả các
subsequent header khác (khi đi lên các tầng khác) Đây là biện pháp chúng ta
có thể làm giảm tải cho CPU và giảm được tối thiểu dung lượng của buffer
Capture Filter: Ethereal sử dụng ngôn ngữ libpcap filter để lọc capture Sau
đây là cú pháp của câu lệnh:
[not] primitive [and | or [not] primitive ]
Trang 3Hướng dẫn sử dụng Ethereal Môn Mạng Máy Tính
Dùng để giảm khối lượng các gói tin mà ethereal bắt
Ví dụ: “tcp port 23 and host 192.168.2.1” Lúc này ta chỉ thấy Ethereal chỉ làm 1 nhiệm vụ là capture các traffic telnet từ host 192.168.2.1
File: Chứa thông tin các gói tin được bắt Nếu không chọn file thì mặc định 1
file tạm sẽ được dùng
Use multiple files: Dùng nhiều file lưu trữ thông tin bắt được, các tên file
được tạo chứa các số thứ tự tăng dần và thời gian bắt đầu capture
Dùng trong trường hợp capture trong khỏang thời gian lâu thì kích thước file chứa có thể lên hàng GB rất khó theo dõi và tìm thông tin không được nhanh
Ví dụ: nếu gõ “/foo.cap” trong trường “File” thì các file sẽ được tạo là
"/foo_00001_20040205110102.cap", "/foo_00002_20040205110102.cap",
Update list of packets in real time: Hiển thị các gói tin bắt được lên Packet
List trên màn hình ngay lập tức
Automatic scrolling in live capture: Cuộn “Packet List” tự động khi add
thêm thông tin gói tin vừa được bắt Dùng option này khi tùy chọn “Update List of packets in real time” được dùng
Name resolution: thực hiện phân giải tên liên quan khi capture
Trang 4 Sử dụng filter: Lọc các packet theo protocol mong muốn
Ví dụ: thông tin các gói ICMP
Ấn Start Cửa sổ chính sẽ hiển thị 3 cửa sổ con như sau
Trang 5Hướng dẫn sử dụng Ethereal Môn Mạng Máy Tính
Trang 6 Packet List: Chứa thông tin chung của các packet bắt được với các cột thông
tin: thứ tự của packet (No.), TimeStamp, Destination Address, Source
Address, Information (thông tin chung của gói)
Packet Detail: Chi tiết của gói được click chọn ở Packet List, click chọn dấu
„+‟ để xem chi tiết về packet
Packet Byte: Tất cả dữ liệu được biểu diễn dưới dạng dump hexa
Khi chọn một trường trong Packet Detail thì bên dưới Packet Byte tương ứng sẽ được chọn và ngược lại
Cửa sổ cho biết tỷ lệ các gói tin bắt được theo các dạng phương thức mà Ethereal
hỗ trợ