02
2015Laboratorium 2 – Analizator sieciowy WireShark
Cel ćwiczenia
Celem ćwiczenia jest zapoznanie się z programem WireShark (Ethereal) służącym do analizy ruchu
sieciowego oraz poznanie i analiza wybranych protokołów sieciowych.
UWAGA DODATKOWO ZADANIE DOMOWE:
Obejrzeć kurs : Bezpieczeństwo chmury publicznej
UWAGA: każdy musi posiadać własne konto – będziemy go także używać w przyszłości do wirtualnych laboratoriów
Wprowadzenie
Wireshark to popularny sniffer dostępny na wiele systemów operacyjnych – narzędzie pozwalające przechwytywać pakiety, analizować wydajność sieci, testować ją, budować raporty oraz wykonywać szereg innych, niezwykle przydatnych dla administratora, zadań.
Narzędzie jest dostępne w wersji Windows i dla większości platform uniksowych, i jest udostępniane bezpłatnie
Analizatory sieciowe umożliwiają dokładną analizę przesyłanych danych w podsieci, do której jest podłączony komputer z odpowiednim programem. Można dzięki temu uzyskać informacje o rodzaju usług i protokołach wykorzystywanych w sieci, adresach komputerów z którymi się łączą użytkownicy danej podsieci, treści przesyłanych danych, itd. Umożliwia to lepsze zrozumienie działania sieci, ułatwia ewentualną lokalizację błędów lub intruzów, daje informacje służące do poprawy działania sieci lub jej modernizacji.
Sniffery są też jednymi z ulubionych narzędzi sieciowych włamywaczy. W sieci lokalnej, poprzez odpowiednią manipulację jej infrastrukturą, np. za pomocą ARP poisoningu, pozwalają przechwytywać pakiety innych użytkowników i w ten sposób ich podsłuchiwać.
Literatura oraz wymagane informacje
Instrukcja obsługi programu Wireshark
Model ISO/OSI .
Wybrane protokoły sieciowe (IP, ICMP, TCP, UDP , HTTP, DNS, ARP, FTP- dokumenty
RFC (np. www.ietf.org), książki, artykuły, strony WWW).
Podstawy technologii Ethernet (książki, artykuły, strony WWW).
Zadania do wykonania
Dla wybranego zadania (podanych poniżej) zapoznać się z opisem odpowiednich protokołów
sieciowych z wykorzystaniem: dokumentów RFC (Request For Comments), materiałów o
sieciach komputerowych (wikipedia, wazniak.mimuw.edu.pl itp.)
Zapoznać się z instrukcją programu Wireshark oraz jego działaniem.
Z pomocą programu Wireshark wykonać CZTERY spośród następujących zadań oraz obowiązkowo ostatnie ÓSME zadanie:
- Uruchomić program ping podając adres domenowy. Przeanalizować w pliku przechwyconych danych – protokoły ARP, ICMP, DNS . (TO ZADANIE ROBIĘ JA)
- Uruchomić program tracert dla różnych stacji podając adres domenowy. Przeanalizować w pliku przechwyconych danych – protokoły ARP, ICMP, DNS .
- Uruchomić przeglądarkę WWW dla wybranych adresów sieciowych i przeanalizować w pliku przechwyconych danych – protokoły HTTP, DNS .
- Uruchomić program FTP, zalogować się na dowolny adres, przesłać plik i przeanalizować w pliku przechwyconych danych oraz przechwycić hasło – protokoły FTP, DNS .
- Przechwycić transmisję komunikatora Gadu-Gadu – protokół GG (filtr na dole strony)
- Przechwycić wysyłanie lub odbiór maila z programu pocztowego (outlook, thunderbird) oraz przechwycić hasło przy logowaniu programu pocztowego się do serwera – protokół smtp, pop3
- Uruchomić wybraną stronę https i przeanalizować przechwycone dane.
- Wejść na wybraną stronę gdzie jest panel logowania (nie zabezpieczoną https) wpisać hasło i przechwycić to hasło w wiresharku. Proces ten pokazać na printscreenach.
W formie pisemnego sprawozdania przygotować dokładną analizę wykonanych zadań.
Sprawozdanie należy zrealizować według następującego planu:
- Wprowadzenie, cel ćwiczenia.
- Opis najważniejszych cech wybranych protokółów sieciowych (wymiana informacji, format pakietów, itp.).
- Analiza otrzymanych logów z programu Wireshark (dla danego protokołu, po wcześniejszym przefiltrowaniu).
- Wnioski.
Przykład analizy otrzymanego logu dla protokołu ARP:
No. | Time | Source | Destination | Protocol | Info |
15 | 6.481702 | 156.17.43.50 | Broadcast | ARP | Who has 156.17.43.62? Tell 156.17.43.50 |
16 | 6.481937 | 156.17.43.62 | 156.17.43.50 | ARP | 156.17.43.62 is at 00:02:bb:55:45:56 |
Ocena
Na ocenę z tego ćwiczenia będzie wpływać: przygotowanie teoretyczne do ćwiczenia z
zakresu wybranych protokołów, praca w czasie realizacji zadań w laboratorium oraz
sprawozdanie oddane na następnych (po wykonaniu zadania) zajęciach.
Sprawozdzania proszę przesłać w pliku pdf w ciągu 7 dni od ćwiczeń na (pawel.chrobak@ue.wroc.pl)
Pobierz WireShark
opis warstw TCP / IP I linki do protokołów
warstwa aplikacji – obejmuje protokoły HTTP, SMTP, FTP, NFS, NIS, LPD, Telnet. Protokoły warstwy aplikacji zawierają się jako dane w protokołach warstwy transportowej.
warstwa transportowa – obejmuje protokoły UDP i TCP. Pierwszy dostarcza pakiety prawie bez sprawdzania poprawności transmisji, drugi natomiast gwarantuje bezstratne ich dostarczenie. Ramki warstwy transportowej zawierają się jako dane w protokole IP z warstwy sieciowej.
warstwa sieciowa – zawiera protokoły DNS, ICMP, IP, IGMP, RIP, OSPF i EGP. Protokół IP odpowiada za odnalezienie adresata danych w sieci. Ramki tych protokołów są transportowane przez protokoły z warstwy łącza.
warstwa łącza – zawiera protokoły ARP i RARP obsługujące niskopoziomową transmisję pakietów
Przykłady sprawozdań
Przykład pierwszy
Przykład drugi
UWAGA – podczas racy w laboratorium uzyć tego filtru !!! (użyć IP terminala)
POMOC – jak filtrować dane:
Jeśli zależy nam na tym, alby filtrować komputer po adresie IP, w pole filtru wpisujemy
ip.addr == 1.2.3.4
Jeśli zależy nam na odszukaniu hosta po adresie fizycznym MAC, to wpisujemy
eth.addr == 11:22:ff:ff:22:11
Jeśli szukamy kilku komputerów, możemy posłużyć się spójnikiem or
eth.addr == 11:22:ff:ff:22:11 or eth.addr == 11:33:ff:ff:33:11
Aby zastosowad wykluczenie – czyli wszystkie adresy poza określonym, dodajemy z przodu
wykrzyknik:
!(ip.addr == 1.2.3.4)
analiza ruchu na porcie 80
tcp.port == 80
dedykowany filtr do analizy protokołu http
http
http.host == www.onet.pl
Więcej informacji o filtrze http pod adresem: www.wireshark.org/docs/dfref/h/http.html
analiza sesji gadu-gaadu
Gadu-Gadu to jeden z najpopularniejszych komunikatorów w Polsce. Dzięki Panu Arturowi
Kołodziejowi możemy ściągnąd wtyczkę do Wiresharka, umożliwiającą analizę protokołu GG.
Opis instalacji oraz plik z wtyczką można znaleźć na stronie http://www.wireshark-gg.xt.pl/
Po skopiowaniu pliku GG.dll do katalogu plugins/ restartujemy Wiresharka.
Do okna filtrów wpisujemy
gg
a następnie obserwujemy pakiety z żądaniami logowania, wysyłanymi wiadomościami,
a także zmianami statusów.
Transmisja HTTPS
ssl
Transmisja FTP
ftp or ftp-data
przechwytywanie hasła w czystym FTP:
ftp.request.command == „USER” or ftp.request.command == „PASS”
poczta elektroniczna
smtp i pop3
Jeśli chcemy odfiltrowywać wstępnie tylko źródłowe adresy e-mail, z których wysyłane są
wiadomości stosujemy filtr:
smtp.req.command == „MAIL” and
smtp.req.parameter contains „FROM”
Jeśli zaś interesują nas odbiorcy wiadomości, możemy ustawić filtr
smtp.req.command == „RCPT”
Aby odfiltrowywać jedynie wiadomości, wpisujemy jako filtr
pop.response.indicator == „+OK”
and pop.response.description contains „octets”
Jeśli zainteresowani jesteśmy przechwyceniem jawnego hasła, stosujemy
pop.request.command == „PASS”