ETHEREAL

Ethereal è un analizzatore di protocollo open source  (i sorgenti sono disponibili sulla rete ed è quindi soggetto a continue modifiche), rilasciato sotto licenza GNU GPL, disponibile per diverse piattaforme e sistemi operativi.

Per ammissione degli stessi autori è un prodotto non ancora completo ma, anche se in versione beta, rappresenta uno strumento essenziale per ogni amministratore di rete, ed il fatto che il programma occupi da diversi anni una posizione di rilievo all'interno della lista dei principali strumenti di sicurezza, stilata da insecure.org, ne è sicuramente la riprova.

Diversamente dagli altri sniffer, ethereal, oltre a sniffare tutti i pacchetti ed i relativi headers riesce anche a ricostruire, da questi ultimi, tutta la comunicazione che avviene tra client e server.

In entrambe le versioni può essere avviato da linea di comando, oppure utilizzando un'interfaccia grafica.

Dalla linea di comando basta digitare il comando "ethereal" seguito dai seguenti parametri:

bullet n-i <interfaccia>: seleziona l’interfaccia da cui sniffare
bullet n-k: specifica che la cattura dei pacchetti deve avvenire immediatamente
bullet n-c <count>: specifica il numero di pacchetti da catturare
bullet n-f <capture filter>: setta l’espressione
bullet n-w <savefile>: scrive l’output nel file specificati

Per esempio la linea : Ethereal –i eth0 –k -w <output> specifica che bisogna catturare e scrivere nel file "output" tutti i pacchetti in transito sull'interfaccia "eth0".

INTERFACCIA GRAFICA

Dopo aver installato ed avviato ethereal in ambiente grafico, ci si trova ad interagire con la seguente finestra:

                     

Per avviare la cattura dei pacchetti bisogna cliccare sul tasto "Capture".

A questo punto appare la finestra delle opzioni di cattura:

                               

In questa finestra si imposta:

bulletl'interfaccia di rete da utilizzare per la cattura, e da porre in modalità promiscua
bulletquanti byte catturare per ogni pacchetto
bulletil filtro da utilizzare
bulletnumero massimo di pacchetti da catturare
bullet

Il file di output dei pacchetti catturati

Inoltre è possibile specificare se ethereal deve effettuare la risoluzione dei nomi (richieste DNS).

Una volta impostato il tutto, cliccando su "ok" si avvia la cattura dei pacchetti.

Durante la cattura appare la seguente finestra:

                                               

Questa finestra oltre a permettere di bloccare la cattura, mostra le seguenti informazioni:

 
bullet

totale pacchetti catturati

bullet

specifica quanti pacchetti per ogni tipologia ha catturato (TCP, UDP, ICMP, etc.)

Terminata la cattura, tutte le informazioni riguardanti i pacchetti catturati appaiono nella seguente finestra:

                

La sezione 1 mostra delle informazioni riassuntive sui pacchetti catturati come: indirizzo origine e destinazione, tipo di protocollo utilizzato per le trasmissione, specifica del tipo di pacchetto (ping, richiesta ARP, dati).

La sezione 2 mostra tutte le informazioni dettagliate dei pacchetti catturati.  

La sezione 3 mostra in esadecimale il contenuto della sezione dati del pacchetto catturato.

Il tasto A=Filter permette di impostare il filtro.

Nella casella B si inserisce la stringa del filtro.

I tasti della sezione C servono a resettare e ad applicare il filtro specificato.

La casella D mostra delle informazioni generali.

Al seguente indirizzo potrete scaricare una versione di ethereal:

http://www.assenet.org/software_download.php/414,ethereal,0.htm

mentre potrete trovare i codici sorgente ed i file binari al seguente sito:

http://www.ethereal.com/download.html