ethereal

• Im ersten Schritt wollen wir einen PING verfolgen der bei der Station ankommt. Dazu sollten alle Browser-Fenster und andere Programme wie E-Mail-Client oder MSN Messenger, die regelmäßig über das Netz kommunizieren, abgeschaltet sein, damit wir nicht zuviel Verkehr haben. Den könnte man zwar mit Filtern herausfiltern, aber unsere vmware-Container haben nur wenig Memory zugeteilt bekommen, da ja bis zu 8 Boxen gleichzeitig laufen sollen.

Wir starten ethereal und erhalten folgendes Eingangsbild
Wir wählen die Option Capture/Interfaces um das Interface festzulegen
Jetzt können wir mit dem Button Prepare Einstellungen für den Capture-Vorgang vornehmen.
:Glücklichwerweise haben wir erstmal nicht viel einzustellen Der Container hat nur eine Netzwerkkarte, somit bleibt es bei eth0 Wir wollen alle Pakete sehen, deshalb der Haken bei "promiscuous mode" (obwohl da noch ein Problem zu lösen bleibt) Die zu speichernde Paketgrösse belassen wir erstmal bei 68 Byte. Wenn wir später Daten trnsportieren und diese sehen wollen können wird das erhöhen. Die Pakete in "real time" anzuzeigen macht nicht soviel Sinn, da wir wenn wir das System überlasten Pakete verlieren. Besser ist es alle Pakete zu speichern und danach in Ruhe auszuwerten. Namensauflösung wollen wir für MAC und transport name Wir bestätigen mit OK
:Nachdem wir die Protokollierung über den Capture-Button gestartet haben, bekomen wird diese Anzeige. Es ist anscheinend nichts los auf dem Netz. Wir wechseln auf eien anderen Rechner und setzen dort mal einen PING ab. Danch stoppen wir die Aufzeichnung.
: Hier sehen wir welche Pakete von Ethereal protokolliert wurden
: Wir wollen die Aufzeichnung im Klartext speichern. Dazu benutzen wir Export Wir können das auch pdml (xml) speichern. Eine binary Version speichern wir über das Dateimenu, diese können wir dann später auch wieder laden
: Beim speichern bietet uns Ethereal an, wie die Speicherung erfolgen soll. wenn alles angezeigt werden soll, bietet sich "all expanded" an

Wenn wir wissen wollen, welche Pakete versendet werden, wenn wir mit einem Container ins Internet gehen, dann müssen wir die Netzwerkkarte unseres virtuellen Gateways belauschen. Diese muß "bridged" mit dem realen Host konfiguriert sein. Wi installieren Ethereal im Host-Betriebssystem und lassen Sie den Sniffer an der Hardware-Netzwerkkarte lauschen, an der die virtuelle Maschine angeschlossen ist. Aus einem Mitschnitt lassen sich leicht IP-Pakete herausfiltern, die Anwendungen aus der virtuellen Maschine versenden: Dazu tragen Sie als Filter ip.addr == gefolgt von der IP-Adresse der VM ein.

Next