Читаем Защита от хакеров корпоративных сетей полностью

Ethereal является одним из самых новых анализаторов протоколов, впервые появившимся в 1998 году. Однако благодаря своей природе системы с открытым кодом Ethereal стал одним из самых популярных анализаторов протоколов. Вследствие его разработки сообществом разработчиков он расшифровывает больше протоколов, чем многие коммерческие реализации. Данный анализатор протоколов является самым лучшим для UNIX-систем. Однако, несмотря на то что он работает и из-под Windows, анализатор не имеет такого «блеска», который ожидают пользователи Windows. Интерфейс пользователя основан на Gtk, таким образом, он очень UNIX-подобен.

На рисунке 10.1 показано окно перехвата Ethereal. Одной из полезных отличительных возможностей Ethereal является live decodes. Многие анализаторы протоколов не могут демонстрировать перехваченную информацию до остановки перехвата. Прямое декодирование считалось плохой отличительной возможностью вследствие того, что сетевой трафик может протекать со скоростью 10 000 пакетов в секунду, намного быстрее, чем человек может воспринимать. Однако большинство пользователей анализаторов трафика создают фильтры захвата, которые так или иначе отбрасывают наибольшую часть трафика.

Рис. 10.1. Свойства захвата Ethereal

После перехвата пакеты хранятся в буфере и демонстрируются на дисплее в стандартном трехоконном варианте (см. рис. 10.2). Данный формат отображения был выбран для первоначального анализатора протокола и в дальнейшем был принят всеми другими продуктами. Верхнее окно показывает построчно краткое изложение каждого пакета. Второе окно показывает детальную расшифровку текущего пакета выделенного в окне краткого изложения. Третье окно показывает шестнадцатеричный дамп того же пакета. Выбор щелчком по кнопке мыши поля в окне детализации вызывает подсветку эквивалентных символов в окне шестнадцатеричного дампа.

Рис. 10.2. Расшифровка протокола программой Ethereal

Network Associates Sniffer Pro

Sniffer Pro – коммерческий продукт (название «Sniffer» является торговой маркой корпорации Network Associates, Inc.). Продукт может быть очень популярным, если его имя образовано из хакерского сленга, так как он существовал задолго до появления программ для перехвата паролей. Продукт Sniffer Pro компании Network Associates предоставляет легкий в использовании интерфейс для перехвата и просмотра сетевого трафика. Одно из основных преимуществ коммерческих продуктов заключается в том, что они поддерживают обширный диапазон сетевых протоколов и показывают расшифрованные данные протокола в очень легком для чтения виде. Sniffer Pro работает в двух основных режимах: в первом он перехватывает сетевой трафик, а во втором расшифровывает и демонстрирует его.

Сетевая статистика и данные Sniffer Pro в режиме перехвата в деталях показаны на рис. 10.3.