Инструменты безопасности с открытым исходным кодом

Применение WinDump


WinDump применяется точно так же, как и Tcpdump - из командной строки. Просто перейдите в командный режим в Windows и выполните команду в каталоге, в котором находится исполнимый файл WinDump. Все команды и выражения работают так же, но в табл. 6.5 представлены несколько команд, специфических для Windows-версии.

На Web-сайте также доступны исходные тексты для тех, кто хочет внести свой вклад или сделать собственные усовершенствования. Однако, одно предостережение: данный вид программирования для Windows - удел крутых парней, хорошо разбирающихся в сетевых протоколах.

Это все, что нужно для работы в Windows или UNIX. Если вы хотите иметь что-то большее, чем просто интерфейс командной строки, воспользуйтесь описанным ниже средством, предлагающим для вынюхивания графический интерфейс.

Таблица 6.5. Дополнительные команды WinDump

КомандаОписание
-BУстанавливает размер буфера драйвера в килобайтах для сеанса перехвата. Если пакеты теряются слишком часто, попробуйте немного увеличить это значение. По умолчанию используется 1 МБ (-В 1000)
-DПечатает список доступных сетевых интерфейсов в вашей системе. Выводится имя интерфейса, его номер и описание, если таковое имеется. Эти параметры можно использовать для задания интерфейса перехвата с помощью ключа Tcpdump -i

Ethereal: Анализатор сетевых протоколов для UNIX и Windows

Ethereal

Автор/основной контакт: Gerald Combs

Web-сайт: http://www.ethereal.com

Платформы: Большинство UNIX, Windows 95, 98, ME, NT4, 2000, XP

Лицензия: GPL

Рассмотренная версия: 0.10.2

Списки почтовой рассылки:

Ethereal-announce

Общий список объявлений. Не принимает сообщения.

Подписка по адресу http://www.ethereal.com/mailman/listinfo/ethereal-announce.



Ethereal-users

Общие вопросы использования Ethereal. Отправляйте свои вопросы сюда.

Подписка по адресу http://www.ethereal.com/mailman/listinfo/ethereal-users.

Ethereal-dev

Дискуссии разработчиков.

Подписка по адресу http://www.ethereal.com/mailman/listinfo/ethereal-dev.

Ethereal-doc

Для тех, кто пишет документацию Ethereal или хочет в этом участвовать.

Подписка по адресу http://www.ethereal.com/mailman/listinfo/ethereal-doc.

Ethereal-cvs

Для отслеживания изменений в CVS-дереве Ethereal, в котором поддерживается самая свежая версия кода для разработчиков. Сообщения не принимаются, любые вопросы должны направляться в Ethereal-users или dev в зависимости от их содержания.

Подписка по адресу http://www.ethereal.com/mailman/listinfo/ethereal-cvs.

<
Ethereal предлагает все выгоды средства командной строки, такого как Tcpdump, а также ряд дополнительных преимуществ. Он обладает удобным пользовательским графическим интерфейсом, поэтому не нужно изучать все опции командной строки. Кроме того, он предлагает значительно больше аналитических и статистических возможностей. К числу прочих достоинств Ethereal относятся:

  • Более ясный формат вывода. По сравнению с необработанными наборами перехваченных пакетов в Tcpdump, выдачу Ethereal значительно легче читать и понимать.
  • Поддержка значительно большего числа форматов протоколов. Ethereal может интерпретировать более 300 различных сетевых протоколов, что охватывает почти все когда-либо изобретенные виды сетей.
  • Поддержка большего числа физических форматов сетей. Сюда входят новые протоколы, такие как IP поверх ATM и FDDI.
  • Возможность интерактивно просматривать и сортировать перехваченные сетевые данные.
  • Возможность сохранения выдачи в виде обычного текста или в формате PostScript.
  • Наличие режима фильтрации вывода с широкими возможностями, включая выделение цветом некоторых пакетов. Имеется графический интерфейс создания фильтра, облегчающий данный процесс.
  • Возможность следить за потоком TCP и просматривать его содержимое в текстовом виде. Это может быть очень полезно, когда требуется читать межсерверные сообщения, чтобы отслеживать проблемы электронной почты или Web. Данная возможность позволяет оперативно следить за общением между взаимодействующими узлами.
  • Возможность работать с рядом программ и библиотек перехвата. Ethereal, помимо libpcap, работает также со специализированным оборудованием. В число поддерживаемых программ входят Sniffer и Sniffer Pro от Network Associates; LANalyser от Novell; некоторые устройства от Cisco, Lucent и Toshiba; некоторые беспроводные устройства анализа, такие как NetStumbler и Kismet Wireless. Ethereal работает как встраиваемый модуль для многих из этих программ и устройств.
  • Возможность сохранять сеансы в нескольких форматах. Это полезно, если вы хотите проводить дополнительный анализ с помощью других средств, таких как libcap (по умолчанию), Sun Snoop, Microsoft Network Monitor и Sniffer от Network Associates.
  • Поддержка терминального режима командной строки, предназначенного для тех, кому не по душе графический интерфейс, хотя подавляющая часть полезных свойств Ethereal проистекает из его графического инструментария.


Ethereal настолько полезен в качестве сетевого средства, что он был оценен на web-сайте Insecure.org, посвященном безопасности, как занимающий вторую позицию по популярности среди доступных средств сетевой безопасности. Помимо собственно безопасности, Ethereal допускает множество применений; на самом деле его можно использовать и как универсальное средство анализа сети.


Содержание раздела