ethereal發(fā)展簡史

1997年底，Gerald Combs需要一個能夠追蹤網(wǎng)絡(luò)流量的工具軟件作為其工作上的輔助。因此他開始撰寫Ethereal軟件。

Ethereal 在經(jīng)過幾次中斷開發(fā)的事件過后，終于在1998年7月發(fā)布其第一個版本 v0.2.0。自此之后，Combs收到了來自全世界的補丁、錯誤回報與鼓勵信件。Ethereal的發(fā)展就此開始。不久之后，Gilbert Ramirez 看到了這套軟件的開發(fā)潛力并開始參予低級程序的開發(fā)。1998年10月，來自 Network Appliance 公司的 Guy Harris 在查找一套比 tcpview(另外一套網(wǎng)絡(luò)數(shù)據(jù)包截取程序)更好的軟件。于是他也開始參與Ethereal的開發(fā)工作。

1998年底，一位在教授 TCP/IP 課程的講師 Richard Sharpe，看到了這套軟件的發(fā)展?jié)摿?，而后開始參與開發(fā)與加入新協(xié)定的功能。在當(dāng)時，新的通信協(xié)定的制定并不復(fù)雜，因此他開始在Ethereal上新增的數(shù)據(jù)包截取功能，幾乎包含了當(dāng)時所有通信協(xié)定。

自此之后，數(shù)以千計的人開始參與Ethereal的開發(fā)，多半是因為希望能讓Ethereal截取特定的，尚未包含在Ethereal默認的網(wǎng)絡(luò)協(xié)定的數(shù)據(jù)包而參予新的開發(fā)。

2006年6月，因為商目標(biāo)問題，

Ethereal是一個開放源碼的網(wǎng)絡(luò)分析系統(tǒng)，也是是目前最好的開放源碼的網(wǎng)絡(luò)協(xié)議分析器，支持Linux和windows平臺。Ethereal起初由Gerald Combs開發(fā)，隨后由一個松散的Etheral團隊組織進行維護開發(fā)。它目前所提供的強大的協(xié)議分析功能完全可以媲美商業(yè)的網(wǎng)絡(luò)分析系統(tǒng)，自從1998年發(fā)布最早的0.2版本至今，大量的志愿者為Ethereal添加新的協(xié)議解析器，如今Ethereal已經(jīng)支持五百多種協(xié)議解析。很難想象如此多的人開發(fā)的代碼可以很好的融入系統(tǒng)中;并且在系統(tǒng)中加入一個新的協(xié)議解析器很簡單，一個不了解系統(tǒng)的結(jié)構(gòu)的新手也可以根據(jù)留出的接口進行自己的協(xié)議開發(fā)。這都歸功于Ehereal良好的設(shè)計結(jié)構(gòu)。事實上由于網(wǎng)絡(luò)上各種協(xié)議種類繁多，各種新的協(xié)議層出不窮。一個好的協(xié)議分析器必需有很好的可擴展性和結(jié)構(gòu)。這樣才能適應(yīng)網(wǎng)絡(luò)發(fā)展的需要不斷加入新的協(xié)議解析器。

1 Ethereal的捕包平臺

網(wǎng)絡(luò)分析系統(tǒng)首先依賴于一套捕捉網(wǎng)絡(luò)數(shù)據(jù)包的函數(shù)庫。這套函數(shù)庫工作在在網(wǎng)絡(luò)分析系統(tǒng)模塊的最底層。作用是從網(wǎng)卡取得數(shù)據(jù)包或者根據(jù)過濾規(guī)則取出數(shù)據(jù)包的子集，再轉(zhuǎn)交給上層分析模塊。從協(xié)議上說，這套函數(shù)庫將一個數(shù)據(jù)包從鏈路層接收，至少將其還原至傳輸層以上，以供上層分析。

在Linux系統(tǒng)中， 1992年Lawrence Berkeley Lab的Steven McCanne和Van Jacobson提出了包過濾器的一種的實現(xiàn)，BPF(BSD Packet Filter)。Libpcap是一個基于BPF的開放源碼的捕包函數(shù)庫?，F(xiàn)有的大部分Linux捕包系統(tǒng)都是基于這套函數(shù)庫或者是在它基礎(chǔ)上做一些針對性的改進。

在window系統(tǒng)中，意大利人Fulvio Risso和Loris Degioanni提出并實現(xiàn)了Winpcap函數(shù)庫，作者稱之為NPF。由于NPF的主要思想就是來源于BPF，它的設(shè)計目標(biāo)就是為windows系統(tǒng)提供一個功能強大的開發(fā)式數(shù)據(jù)包捕獲平臺，希望在Linux系統(tǒng)中的網(wǎng)絡(luò)分析工具經(jīng)過簡單編譯以后也可以移植到windows中，因此這兩種捕包架構(gòu)是非常相似的。就實現(xiàn)來說提供的函數(shù)調(diào)用接口也是一致的。

Ethereal網(wǎng)絡(luò)分析系統(tǒng)也需要一個底層的抓包平臺，在Linux中是采用Libpcap函數(shù)庫抓包，在windows系統(tǒng)中采用winpcap函數(shù)庫抓包。

2 層次化的數(shù)據(jù)包協(xié)議分析方法

取得捕包函數(shù)捕回的數(shù)據(jù)包后就需要進行協(xié)議分析和協(xié)議還原工作了。由于OSI的7層協(xié)議模型，協(xié)議數(shù)據(jù)是從上到下封裝后發(fā)送的。對于協(xié)議分析需要從下至上進行。首先對網(wǎng)絡(luò)層的協(xié)議識別后進行組包還原然后脫去網(wǎng)絡(luò)層協(xié)議頭。將里面的數(shù)據(jù)交給傳輸層分析，這樣一直進行下去直到應(yīng)用層。

Ip

| \

Tcp udp

| \

HTTP TFTP

由于網(wǎng)絡(luò)協(xié)議種類很多，就Ethereal所識別的500多種協(xié)議來說，為了使協(xié)議和協(xié)議間層次關(guān)系明顯。從而對數(shù)據(jù)流里的各個層次的協(xié)議能夠逐層處理。Ethereal系統(tǒng)采用了協(xié)議樹的方式。上圖就是一個簡單的協(xié)議樹。如果協(xié)議A的所有數(shù)據(jù)都是封裝在協(xié)議B里的，那么這個協(xié)議A就是協(xié)議B是另外一個協(xié)議的兒子節(jié)點。我們將最低層的無結(jié)構(gòu)數(shù)據(jù)流作為根接點。那么具有相同父節(jié)點的協(xié)議成為兄弟節(jié)點。那么這些擁有同樣父協(xié)議兄弟節(jié)點協(xié)議如何互相區(qū)分了?Ethereal系統(tǒng)采用協(xié)議的特征字來識別。每個協(xié)議會注冊自己的特征字。這些特征字給自己的子節(jié)點協(xié)議提供可以互相區(qū)分開來的標(biāo)識。比如tcp協(xié)議的port字段注冊后。 Tcp.port=21就可以認為是ftp協(xié)議， 特征字可以是協(xié)議規(guī)范定義的任何一個字段。比如ip協(xié)議就可以定義proto字段為一個特征字。

在Ethereal中注冊一個協(xié)議解析器首先要指出它的父協(xié)議是什么。另外還要指出自己區(qū)別于父節(jié)點下的兄弟接點協(xié)議的特征。比如ftp協(xié)議。在Ethereal中他的父接點是tcp協(xié)議，它的特征就是tcp協(xié)議的port字段為21。

這樣當(dāng)一個端口為21的tcp數(shù)據(jù)流來到時。首先由tcp協(xié)議注冊的解析模塊處理，處理完之后通過查找協(xié)議樹找到自己協(xié)議下面的子協(xié)議，判斷應(yīng)該由那個子協(xié)議來執(zhí)行，找到正確的子協(xié)議后，就轉(zhuǎn)交給ftp注冊的解析模塊處理。這樣由根節(jié)點開始一層層解析下去。

由于采用了協(xié)議樹加特征字的設(shè)計，這個系統(tǒng)在協(xié)議解析上由了很強的擴展性，增加一個協(xié)議解析器只需要將解析函數(shù)掛到協(xié)議樹的相應(yīng)節(jié)點上即可。

3 基于插件技術(shù)的協(xié)議分析器

所謂插件技術(shù)，就是在程序的設(shè)計開發(fā)過程中，把整個應(yīng)用程序分成宿主程序和插件兩個部分，宿主程序與插件能夠相互通信，并且，在宿主程序不變的情況下，可以通過增減插件或修改插件來調(diào)整應(yīng)用程序的功能。運用插件技術(shù)可以開發(fā)出伸縮性良好、便于維護的應(yīng)用程序。它著名的應(yīng)用實例有:媒體播放器winamp、微軟的網(wǎng)絡(luò)瀏覽器ie等。

由于現(xiàn)在網(wǎng)絡(luò)協(xié)議種類繁多，為了可以隨時增加新的協(xié)議分析器，一般的協(xié)議分析器都采用插件技術(shù)，這樣如果需要對一個新的協(xié)議分析只需要開發(fā)編寫這個協(xié)議分析器并調(diào)用注冊函數(shù)在系統(tǒng)注冊就可以使用了。通過增加插件使程序有很強的可擴展性，各個功能模塊內(nèi)聚。

在協(xié)議分析器中新增加一個協(xié)議插件一般需要插件安裝或者注冊，插件初始化，插件處理3個步驟，下面以Ethereal為例進行分析如何利用插件技術(shù)新增加一個協(xié)議分析模塊。

Ethereal由于采用插件技術(shù)，一個新加入開發(fā)的程序員開發(fā)一種新的協(xié)議分析模塊的時候不需要了解所有的代碼，他只需要寫好這個協(xié)議模塊的函數(shù)后，寫一個格式為proto_reg_handoff_XXX的函數(shù)，在函數(shù)內(nèi)調(diào)用注冊函數(shù)告訴系統(tǒng)在什么時候需要調(diào)用這個協(xié)議模塊。比如

你事先寫好了一個名為dissect_myprot的協(xié)議解析模塊，它是用來解析tcp協(xié)議端口為250的數(shù)據(jù)?？梢岳眠@些語句來將這個解析器注冊到系統(tǒng)中

proto_reg_handoff_myprot(void)

{

dissector_handle_t myprot_handle;

myprot_handle = create_dissector_handle(dissect_myprot,

proto_myprot);

dissector_add("tcp.port", 250, myprot_handle);

}

這段代碼告訴系統(tǒng)當(dāng)tcp協(xié)議數(shù)據(jù)流端口為250的時候要調(diào)用dissect_myprot這個函數(shù)模塊。

在Ethereal中有一個腳本專門來發(fā)現(xiàn)開發(fā)者定義的類式proto_reg_handoff_xxx這樣的注冊函數(shù)名，然后自動生成調(diào)用這些注冊函數(shù)的代碼。這樣開發(fā)者不需要知道自己的注冊函數(shù)如何被調(diào)用的。這樣一個新的協(xié)議分析模塊就加入到系統(tǒng)中了。

由于采用了插件方式，Ethereal良好的結(jié)構(gòu)設(shè)計讓開發(fā)者只需要關(guān)系自己開發(fā)的協(xié)議模塊，不需要關(guān)心整個系統(tǒng)結(jié)構(gòu)，需要將模塊整合進系統(tǒng)只需要寫一個注冊函數(shù)即可，連初始化時調(diào)用這個注冊函數(shù)都由腳本自動完成了。正是因為有很好的體系結(jié)構(gòu)，這個系統(tǒng)才能夠開發(fā)出如此多的協(xié)議解析器。

盡管Ethereal是目前最好的開放源碼的網(wǎng)絡(luò)分析系統(tǒng)，但Ethereal仍然有一些可以改進的地方，一個優(yōu)秀的網(wǎng)絡(luò)分析器，盡可能的正確分析出數(shù)據(jù)協(xié)議和高效的處理數(shù)據(jù)是兩個重要的指標(biāo)。在協(xié)議識別方面Ethereal大多采用端口識別，有少量協(xié)議采用內(nèi)容識別。這就讓一些非標(biāo)準(zhǔn)端口的協(xié)議數(shù)據(jù)沒有正確解析出來。比如ftp協(xié)議如果不是21端口的話，Ethereal就無法識別出來，只能作為tcp數(shù)據(jù)處理。另外對于內(nèi)容識別式。Ethereal是將所以內(nèi)容識別的函數(shù)組成一張入口表。每次協(xié)議數(shù)據(jù)需要內(nèi)容識別時，按字母順序逐個調(diào)用表里的每個識別函數(shù)。比如對于識別yahoo massanger協(xié)議。主要是看數(shù)據(jù)前幾個字節(jié)是不是'ymsg'.由于協(xié)議名為y開頭。所以當(dāng)識別出協(xié)議時已經(jīng)把所有內(nèi)容識別函數(shù)調(diào)用了一遍。這些都是由于Ethereal沒有實現(xiàn)tcp協(xié)議棧，無法做到流級別的識別。導(dǎo)致在協(xié)議識別方面有點缺陷。

Ethereal 是一種開放源代碼的許可軟件，允許用戶向其中添加改進方案。Ethereal 適用于當(dāng)前所有較為流行的計算機系統(tǒng)，包括 Unix、Linux 和 Windows 。

TCP協(xié)議支持

協(xié)議名稱 TCP端口號 協(xié)議名稱解釋

ACAP 674

AIM 5190

BEEP 10288

CAST 4224

CMP 829

COPS 3288

PKTCABLE_COPS 2126

PKTCABLE_MM_COPS 3918

DAAP 3689

DHCPFO 519

DIAMETER 3868

DISTCC 3632

DLSW 2065

NP 20000

NS 53

DNS 5353

DSI 548

FTPDATA 20

FTP 21

GIFT 1213

CS 1720

HTTP 80

PROXY_HTTP 3128

PROXY_ADMIN_HTTP 3132

HKP 11371

DAAP 3689

SSDP 1900

IB 3050

ICAP 1344

IMAP 143

IRC 6667

ISAKMP 500

JABBER 5222

KERBEROS 88

LAPLINK 1547

LDAP 389

GLOBALCAT_LDAP 3268

LDP 646

PRINTER 515

MBTCP 502

MSNMS 1863

MSRP 0

MySQL 3306

NBSS 139

CIFS 445

NCP 524

NDMP 10000

PA 0x0d44

BROKER 0x0bc6

SRS 0x0bca

ENS 0x0bc8

RMS 0x0bcb

NOTIFY_LISTENER 0x0bc9

NETSYNC 5253

NNTP 119

NTP 123

POP 110

PPTP 1723

PVFS2 3334

RMI 1099

RSH 514

RSYNC 873

RTSP 554

SIP 5060

SKINNY 2000

SLSK_1 2234

SLSK_2 5534

SLSK_3 2240

SMRSE 4321

SMTP 25

SNMP 161

SNMP_TRAP 162

SMUX 199

SOCKS 1080

SRVLOC 427

SSH 22

SSL 443

SSL_LDAP 636

SSL_IMAP 993

SSL_POP 995

STUN 3478

TACACS 49

TELNET 23

TNS 1521

TPKT 102

X11 6000

X11_2 6001

X11_3 6002

XOT 1998

YHOO 5050

YMSG 23

YMSG_2 25

YMSG_3 5050

ZEBRA 2600

NINEPORT 564

ajp13 8009

ax4000 3357

BGP 179

COPS 3288

DCM 104

DHCPFO 519 desegmentation of DHCP failover over TCP

distcc 3632

ECHO 7

edonkey 4661/4662/4663

ENIP_ENCAP_PORT 44818 EtherNet/IP located on port 44818

etheric 1806/10002

giop 0

GNUTELLA 6346

http_alternate_tcp_port 未知

Ipdc 6668

ISNS 3205

MSMMS 1755

msdp 639

MSNMS 1863

msrp 0

Pgsq

Rlogin 513

Rpc 111

rtsp 未知

Sigcomp 5555/6666

synergy 24800

tds 1433/2433

uma 0

vnc 5901

一共129=94+35種

UDP協(xié)議支持

協(xié)議名稱 UDP端口號 協(xié)議名稱解釋

3GA11 699 3com Network Jack

5264:Packets to Managementstation

5265:Packets to Switch

ACTRACE 2428 Port used for Mobile IP based Tunneling Protocol (A11)

T_AODV 654

ARMAGETRONAD 4534

MASTER 4533

ADP 8200

PIM_RP_DISC 496

BFD_CONTROL 3784

BOOTPS 67

BOOTPC 68

PHA 8116

CUPS 631

DDTP 1052

DHCPV6_DOWNSTREAM 546

DHCPV6_UPSTREAM 547

DLSW 2067

DNP 20000

DNS 53

MDNS 5353

RAS1 1718

RAS2 1719

HSRP 1985

SSDP 1900

IAPP 2313

ICP 3130

ICQ 4000

IPX 213

ISAKMP 500

KERBEROS 88

KRB4 750

KPASSWD 464

L2TP 1701

LAPLINK 1547

CLDAP 389

LDP 646

LLC1 12000

LLC2 12001

LLC3 12002

LLC4 12003

LLC5 12004

LMP_DEFAULT 701

MIP 434

MPLS_ECHO 3503

MSPROXY 1745

NBNS 137

NBDGM 138

NCP 524

NETFLOW 2055

TPCP 3121

NTP 123

OLSR 698

RADIUS 1645

RADIUS_NEW 1812

RADACCT 1646

RADACCT_NEW 1813

RIP 520

RIPNG 521

RMCP 623

RMCP_SECURE 664

RX_LOW 7000

RX_HIGH 7009

RX_AFS_BACKUPS 7021

SAP 9875

SEBEK 1101

SFLOW 6343

SIP 5060

SLIMP3_V1 1069

SLIMP3_V2 3483

SNMP 161

SNMP_TRAP 162

SRVLOC 427

STUN 3478

SYSLOG 514

TACACS 49

TEREDO 3544

TFTP 69

TIME 37

TIMED 525

TZSP 0x9090

VINES 573

WSP 9200

WTP_WSP 9201

WTLS_WSP 9202

WTLS_WTP_WSP 9203

WSP_PUSH 2948

WTLS_WSP_PUSH 2949

WCCP 2048

WHO 513

XDMCP 177

XYPLEX 173

NJACK1 5264

NJACK2 5265

ASAP 3863

AX4000 3357

bvlc 0xBAC0

CPFI 5000

cpfi_ttot 5001

dis 3000

ECHO 7

edonkey 4665

edonkey 4672

ENIP_ENCAP 44818

ENIP_IO 2222

IAX2 4569

udpencap 4500

IPVS_SYNCD 8848

ISNS 3205

KINK 57203

lwapp 12220/12222/12223

manolito 41170

MSMMS 1755

udp_encap_ucast_port 3055 Udp port for UDP encapsulation

udp_encap_mcast_port 3056

PKTC_PORT 1293

PKTC_MTAFQDN_PORT 2246

EVENT_PORT_PTP 319

GENERAL_PORT_PTP 320

radius 1645/1646/1812/1813

Rpc 111

SigCompUDPPort1 5555

SigCompUDPPort2 6666

Rdt 6970

rmt-alc 未知 從配置文件中讀取

SSCOP 未知 從配置文件中讀取

T38 6004

quakeworldServerPort 27500

quakeServerPort 26000

quake2ServerPort 27910

quake3_server_port 27960-27963

quake3_master_port 27965-27968

一共137=90+47種

IP協(xié)議支持

協(xié)議名稱 IP端口號 協(xié)議名稱解釋

AX4000 173 AX/4000 Testblock - non IANA

TP 29 ISO Transport Protocol Class 4

DCCP 33 Sequential Exchange Protocol(和標(biāo)準(zhǔn)的不一樣)

EIGRP 88

EtherIP 97 Ethernet-within-IP Encapsulation

GRE 47 General Routing Encapsulation

ICMPV6 58 ICMP for IPv6

IGMP 2

IGRP 9 any private interior gateway(used by Cisco for their IGRP)

IPIP 4 IP in IP (encapsulation)

ICMP 1

AH 51 Authentication Header

ESP 50 Encap Security Payload

IPCOMP 108 IP Payload Compression Protocol

IPV6 41

L2TP 115 Layer Two Tunneling Protocol

MIPV6_OLD 62 CFTP 這個和標(biāo)準(zhǔn)不一致――Mobile IPv6

MIPV6 135 Mobility Header ―― Mobile IPv6

NCS_HEARTBEAT 224 Novell NCS Heartbeat -

http://support.novell.com/cgi-bin/search/searchtid.cgi?/10071158.htm

NARP 54 NBMA Address resolution protocol - RFC1735

OSPF 89

PGM 113 PGM Reliable Transport Protocol

PIM 103 Protocol Independent Multicast

RSVP 46

SCTP 132 Stream Control Transmission Protocol

TCP 6

UDP 17

UDPLITE 136 UDPLite

VINES 83 Vines over raw IP

VRRP 112 Virtual Router Redundancy Protocol

一共30種

網(wǎng)絡(luò)協(xié)議分析器網(wǎng)絡(luò)協(xié)議分析器Ethereal 是目前最好的、開放源碼的、獲得廣泛應(yīng)用的網(wǎng)絡(luò)協(xié)議分析器，支持Linux 和windows 平臺。在該系統(tǒng)中加入新的協(xié)議解析器十分簡單，自從1998年發(fā)布最早的Ethereal 0.2版本發(fā)布以來，志愿者為Ethereal 添加了大量新的協(xié)議解析器，如今Ethereal 已經(jīng)支持五百多種協(xié)議解析。其原因是Ehereal 具有一個良好的可擴展性的設(shè)計結(jié)構(gòu)，這樣才能適應(yīng)網(wǎng)絡(luò)發(fā)展的需要不斷加入新的協(xié)議解析器。

Ethereal 抓包后的界面有三個部分，上部為報文列表窗口，顯示的是對抓到的每個數(shù)據(jù)報文進行分析后的總結(jié)型信息，包括編號、時間、源地址、目標(biāo)地址、協(xié)議、信息。中部為協(xié)議樹窗口，顯示的是數(shù)據(jù)報文的協(xié)議信息。在報文列表窗口選擇不同條目則協(xié)議樹窗口的內(nèi)容隨之改變?yōu)橄鄳?yīng)的協(xié)議信息。下部為16 進制報文窗口，可以顯示報文在物理層的數(shù)據(jù)形式。

在抓包完成后，顯示過濾器可以用來找到你感興趣的包，也可根據(jù)協(xié)議、是否存在某個域、域值、域值之間的關(guān)系來查找你感興趣的包。

* 可以從不同類別的網(wǎng)絡(luò)硬件抓包，如Ethernet、 Token Ring、ATM 等;

* 停止抓包時不同的觸發(fā)器相似:如抓獲數(shù)據(jù)的總數(shù)、抓包時間，抓獲包的數(shù)目;

* 抓包過程中同時顯示編譯后(解析)的包。

* 根據(jù)包過濾器的條件，從抓獲的全部數(shù)據(jù)中進行過濾，減去符合條件的包。

使用Ethereal 進行網(wǎng)絡(luò)協(xié)議分析時應(yīng)當(dāng)注意:必須有管理員權(quán)限才能開始抓包過程;必須選擇正確的網(wǎng)絡(luò)接口來抓獲包數(shù)據(jù);必須在網(wǎng)絡(luò)的正確的位置抓包才能看到想看到的業(yè)務(wù)流量。

本屬植物含有香精油細胞(ethereal oil cells) 、粘質(zhì)細胞和具分支的石細胞。常積聚有茴香亭(anisatin)為有毒內(nèi)酯(a toxic lactone)，通常也含有丹寧、花青素昔(proarthocyanins)，但無鞣花酸(ellegic acid)。

網(wǎng)絡(luò)管理

RF計劃和AP設(shè)計工具包

集中的AP部署和image管理

實時覆蓋的可視heat map

用于監(jiān)控的詳細統(tǒng)計

遠程抓包用于RF排錯

可與Ethereal，Airopeek和AirMagnet分析軟件同時工作

多控制器配置和管理

定位可視及設(shè)備跟蹤

系統(tǒng)范圍的事件采集和報告

安全管理

有線和無線的用戶認證

Captive portal，802.1x和MAC地址認證

通過用戶名，IP地址，MAC地址和密鑰創(chuàng)建強健的網(wǎng)絡(luò)身份認證

每個包的一致性校驗，防止身份欺詐

基于AAA服務(wù)器的RADIUS

內(nèi)部的用戶數(shù)據(jù)庫作為AAA服務(wù)器的失效保護

每用戶的使用統(tǒng)計

可為訪客接入配置允許的策略

NETGEAR WFS709TP