Laboratorium 2 – Analizator sieciowy WireShark

Cel ćwiczenia

Celem ćwiczenia jest zapoznanie się z programem WireShark (Ethereal) służącym do analizy ruchu
sieciowego oraz poznanie i analiza wybranych protokołów sieciowych.

UWAGA DODATKOWO ZADANIE DOMOWE:

Obejrzeć kurs (wszystkie 3 moduły) – wprowadzenie do sieci komputerowych.  Wymaga zalogowania się kontem Microsoft ID

Polish version – www.microsoftvirtualacademy.com/training-courses/podstawy-dzialania-sieci

English version – www.microsoftvirtualacademy.com/training-courses/networking-fundamentals

UWAGA:  każdy musi posiadać własne konto – będziemy go także używać w przyszłości do wirtualnych laboratoriów


Wprowadzenie

Wireshark to popularny sniffer dostępny na wiele systemów operacyjnych – narzędzie pozwalające przechwytywać pakiety, analizować wydajność sieci, testować ją, budować raporty oraz wykonywać szereg innych, niezwykle przydatnych dla administratora, zadań.
Narzędzie jest dostępne w wersji Windows i dla większości platform uniksowych, i jest udostępniane bezpłatnie
Analizatory sieciowe umożliwiają dokładną analizę przesyłanych danych w podsieci, do której jest podłączony komputer z odpowiednim programem. Można dzięki temu uzyskać informacje o rodzaju usług i protokołach wykorzystywanych w sieci, adresach komputerów z którymi się łączą użytkownicy danej podsieci, treści przesyłanych danych, itd. Umożliwia to lepsze zrozumienie działania sieci, ułatwia ewentualną lokalizację błędów lub intruzów, daje informacje służące do poprawy działania sieci lub jej modernizacji.

Sniffery są też jednymi z ulubionych narzędzi sieciowych włamywaczy. W sieci lokalnej, poprzez odpowiednią manipulację jej infrastrukturą, np. za pomocą ARP poisoningu, pozwalają przechwytywać pakiety innych użytkowników i w ten sposób ich podsłuchiwać.

Literatura oraz wymagane informacje

Instrukcja obsługi programu Wireshark
Model ISO/OSI .
Wybrane protokoły sieciowe (IP, ICMP, TCP, UDP , HTTP, DNS, ARP, FTP- dokumenty
RFC (np. www.ietf.org), książki, artykuły, strony WWW).
Podstawy technologii Ethernet (książki, artykuły, strony WWW).

Zadania do wykonania

Dla wybranego zadania (podanych poniżej) zapoznać się z opisem odpowiednich protokołów
sieciowych z wykorzystaniem: dokumentów RFC (Request For Comments), materiałów o
sieciach komputerowych (wikipedia, wazniak.mimuw.edu.pl itp.)
Zapoznać się z instrukcją programu Wireshark oraz jego działaniem.

Z pomocą programu Wireshark wykonać CZTERY spośród następujących zadań oraz obowiązkowo ostatnie ÓSME zadanie:

  1. Uruchomić program ping podając adres domenowy. Przeanalizować w pliku przechwyconych danych – protokoły ARP, ICMP, DNS .  (TO ZADANIE ROBIĘ JA)
  2. Uruchomić program tracert dla różnych stacji podając adres domenowy. Przeanalizować w pliku przechwyconych danych – protokoły ARP, ICMP, DNS .
  3. Uruchomić przeglądarkę WWW dla wybranych adresów sieciowych i przeanalizować w pliku przechwyconych danych – protokoły HTTP, DNS .
  4. Uruchomić program FTP, zalogować się na dowolny adres, przesłać plik i przeanalizować w pliku przechwyconych danych oraz przechwycić hasło – protokoły FTP, DNS .
  5. Przechwycić transmisję komunikatora Gadu-Gadu – protokół GG (filtr na dole strony)
  6. Przechwycić wysyłanie lub odbiór maila z programu pocztowego   (outlook, thunderbird) oraz przechwycić hasło przy logowaniu programu pocztowego się do serwera – protokół smtp, pop3
  7. Uruchomić wybraną stronę https i przeanalizować przechwycone dane.
  8. Wejść na wybraną stronę gdzie jest panel logowania (nie zabezpieczoną https) wpisać hasło i przechwycić to hasło w wiresharku.  Proces ten pokazać na printscreenach.

W formie pisemnego sprawozdania przygotować dokładną analizę wykonanych zadań.
Sprawozdanie należy zrealizować według następującego planu:

  1. Wprowadzenie, cel ćwiczenia.
  2. Opis najważniejszych cech wybranych protokółów sieciowych (wymiana informacji, format pakietów, itp.).
  3. Analiza otrzymanych logów z programu Wireshark (dla danego protokołu, po wcześniejszym przefiltrowaniu).
  4.  Wnioski.

 

Przykład analizy otrzymanego logu dla protokołu ARP:
No. Time Source Destination  Protocol  Info
 15  6.481702  156.17.43.50  Broadcast  ARP  Who has 156.17.43.62?
Tell 156.17.43.50
 16  6.481937  156.17.43.62  156.17.43.50  ARP  156.17.43.62 is at
00:02:bb:55:45:56
Opis Protokół ARP (Adress Resolution Protocol) służy do uzyskania przez stację A adresu MAC(czyli adresu Ethernet) stacji, która jest bramą dla stacji A.
No. 15. Stacja o adresie IP 156.17.43.50 potrzebuje adresu MAC stacji o adresie156.17.43.62, która jest bramą (gateway) dla stacji 156.17.43.50. Dlatego wysyła ramkę rozgłoszeniową (broadcast) o adresie docelowymMAC w postaci ff:ff:ff:ff:ff:ff .
No. 16. Z definicji bramy wynika, że musi się znajdować w tej samej podsieci co stacja, dla której jest bramą. Dlatego otrzyma ramkę rozgłoszeniową i odpowie na nią przesyłając swój adres MAC. W tym momencie stacja o adresie IP 156.17.43.50 zna adres MAC swojej bramy, więc może zacząć wysyłać pakiety IP do stacji znajdujących się w innych podsieciach.

Ocena
Na ocenę z tego ćwiczenia będzie wpływać: przygotowanie teoretyczne do ćwiczenia z
zakresu wybranych protokołów, praca w czasie realizacji zadań w laboratorium oraz
sprawozdanie oddane na następnych (po wykonaniu zadania) zajęciach.

Sprawozdzania proszę przesłać w pliku pdf w ciągu 7 dni od ćwiczeń na (pawel.chrobak@ue.wroc.pl)

Pobierz WireShark

opis warstw TCP / IP I linki do protokołów

warstwa aplikacji – obejmuje protokoły HTTPSMTPFTPNFSNISLPDTelnet. Protokoły warstwy aplikacji zawierają się jako dane w protokołach warstwy transportowej.

warstwa transportowa – obejmuje protokoły UDP i TCP. Pierwszy dostarcza pakiety prawie bez sprawdzania poprawności transmisji, drugi natomiast gwarantuje bezstratne ich dostarczenie. Ramki warstwy transportowej zawierają się jako dane w protokole IP z warstwy sieciowej.

warstwa sieciowa – zawiera protokoły DNSICMPIPIGMPRIPOSPF i EGP. Protokół IP odpowiada za odnalezienie adresata danych w sieci. Ramki tych protokołów są transportowane przez protokoły z warstwy łącza.

warstwa łącza – zawiera protokoły ARP i RARP obsługujące niskopoziomową transmisję pakietów

Przykłady sprawozdań

Przykład pierwszy
Przykład drugi

POMOC – jak filtrować dane:

Jeśli zależy nam na tym, alby filtrować komputer po adresie IP, w pole filtru wpisujemy

ip.addr == 1.2.3.4

Jeśli zależy nam na odszukaniu hosta po adresie fizycznym MAC, to wpisujemy

eth.addr == 11:22:ff:ff:22:11

Jeśli szukamy kilku komputerów, możemy posłużyć się spójnikiem or

eth.addr == 11:22:ff:ff:22:11 or eth.addr == 11:33:ff:ff:33:11

Aby zastosowad wykluczenie – czyli wszystkie adresy poza określonym, dodajemy z przodu
wykrzyknik:

!(ip.addr == 1.2.3.4)

analiza ruchu na porcie 80

tcp.port == 80

dedykowany filtr do analizy protokołu http

http

http.host == www.onet.pl

Więcej informacji o filtrze http pod adresem: www.wireshark.org/docs/dfref/h/http.html

analiza sesji gadu-gaadu

Gadu-Gadu to jeden z najpopularniejszych komunikatorów w Polsce. Dzięki Panu Arturowi
Kołodziejowi możemy ściągnąd wtyczkę do Wiresharka, umożliwiającą analizę protokołu GG.
Opis instalacji oraz plik z wtyczką można znaleźć na stronie http://www.wireshark-gg.xt.pl/
Po skopiowaniu pliku GG.dll do katalogu plugins/ restartujemy Wiresharka.
Do okna filtrów wpisujemy
gg
a następnie obserwujemy pakiety z żądaniami logowania, wysyłanymi wiadomościami,
a także zmianami statusów.

Transmisja HTTPS

ssl

Transmisja FTP

ftp or ftp-data

przechwytywanie hasła w czystym FTP:

ftp.request.command == „USER” or ftp.request.command == „PASS”

poczta elektroniczna

smtp i pop3

Jeśli chcemy odfiltrowywać wstępnie tylko źródłowe adresy e-mail, z których wysyłane są
wiadomości stosujemy filtr:

smtp.req.command == „MAIL” and
smtp.req.parameter contains „FROM”

Jeśli zaś interesują nas odbiorcy wiadomości, możemy ustawić filtr
smtp.req.command == „RCPT”

Aby odfiltrowywać jedynie wiadomości, wpisujemy jako filtr
pop.response.indicator == „+OK”
and pop.response.description contains „octets”

Jeśli zainteresowani jesteśmy przechwyceniem jawnego hasła, stosujemy
pop.request.command == „PASS”