of 8 /8
Wireshark –analizator ruchu sieciowego Informacje ogólne Wireshark jest graficznym analizatorem ruchu sieciowego (snifferem). Umożliwia przechwytywanie danych transmitowanych przez określone interfejsy sieciowe na poziomie datagramów lub ramek protokołów warstw 2-7 modelu ISO/OSI. Ponadto szczegółowo wizualizuje strukturę przechwyconych danych dla wielu protokołów sieciowych. Wireshark działa w sposób pasywny, tzn. nie wysyła żadnych informacji, a tylko przechwytuje dane docierające do interfejsu sieciowego. Nie wpływa także w żaden sposób na działanie aplikacji przesyłających dane przez sieć. Podstawy obsługi Uruchom program Wireshark poprzez skrót na pulpicie Live CD Ubuntu. Program musi działać z uprawnieniami użytkownika administracyjnego (root), potwierdź komunikat ostrzegawczy.

Wireshark –analizator ruchu sieciowegotmaczka.prz-rzeszow.pl/files/2012_13/inf_eezi/lab3_sieci_wireshark.pdf · strukturę przechwyconych danych dla wielu protokołów sieciowych

Embed Size (px)

Text of Wireshark –analizator ruchu...

Wireshark analizator ruchu sieciowegoInformacje oglneWireshark jest graficznym analizatorem ruchu sieciowego (snifferem). Umoliwia przechwytywanie danych transmitowanych przez okrelone interfejsy sieciowe na poziomie datagramw lub ramek protokow warstw 2-7 modelu ISO/OSI. Ponadto szczegowo wizualizuje struktur przechwyconych danych dla wielu protokow sieciowych.

Wireshark dziaa w sposb pasywny, tzn. nie wysya adnych informacji, a tylko przechwytuje dane docierajce do interfejsu sieciowego. Nie wpywa take w aden sposb na dziaanie aplikacji przesyajcych dane przez sie.

Podstawy obsugiUruchom program Wireshark poprzez skrt na pulpicie Live CD Ubuntu.

Program musi dziaa z uprawnieniami uytkownika administracyjnego (root), potwierd komunikat ostrzegawczy.

Komputer wykorzystywany w trakcie wiczenia moe mie zainstalowanych wiele interfejsw (kart) sieciowych. Naley wywietli list dostpnych interfejsw, wybierajc zaznaczony przycisk.

W kolejnym kroku naley wskaza interfejs, z ktrego maj by przechwytywane dane. Dokonaj wyboru, sugerujc si przydzielonym adresem IP i/lub nazw interfejsu (domylnie ethX karta sieciowa przewodowa, wlanX karta sieciowa bezprzewodowa, lo interfejs lokalny, tzw. loopback).

Kliknij przycisk Start, aby rozpocz przechwytywanie danych.

Wywietli si okno przechwytywania, ktrego struktur opisano na poniszym zrzucie ekranu.

W centralnej czci okna wywietlaj si przechwycone dane. Jeeli jest pusta, wygeneruj ruch sieciowy np. uruchamiajc przegldark internetow i otwierajc dowoln stron internetow.

Atrybuty przechwytywanych ramek omwiono w tabeli.

Atrybut OpisNo. Numer kolejny przechwyconej ramkiTime Czas przechwycenia ramki w sekundach, liczony od uruchomienia

przechwytywaniaSource Adres rdowy dla danego protokouDestination Adres docelowy dla danego protokouProtocol Nazwa protokou (http://en.wikipedia.org/wiki/List_of_network_protocols)Info Szczegowa informacja o zawartoci ramki

Aby zatrzyma przechwytywanie danych, kliknij przycisk . Przycisk resetuje przechwytywanie czyci list przechwyconych ramek.

Przechwycone dane,zaznaczenie wiersza wywietla

w dolnych oknach strukturi surow zawarto ramki

Struktura zaznaczonej ramki, widoczne opakowane danychprzez protokoy poszczeglnych

warstw ISO/OSI

Surowa zawarto zaznaczonejramki

Moliwo filtrowania danych

http://en.wikipedia.org/wiki/List_of_network_protocols

Filtrowanie przechwytywanych danychMoesz odfiltrowa przechwycone datagramy na bazie rnych atrybutw: protokou, adresu IP, adresu MAC, klikajc w grnej czci okna gwnego przycisk Filter. Poniszy filtr wywietli tylko datagramy, w ktrych rdowy lub docelowy adres IP to 10.0.0.25.

Aby usun wszystkie aktywne filtry, kliknij przycisk Clear w grnej czci gwnego okna.Analiza przechwyconych danychGdy klikniesz dwukrotnie w obrbie jednej z przechwyconych ramek, wywietli si szczegowe okno ze struktur zawartych w niej danych.

Poniszy przykad pokazuje struktur ramki, zawierajcej dane z protokou HTTP, przechwycone w trakcie wywietlania strony internetowej w przegldarce. Rozwijajc poszczeglne wpisy moesz zaobserwowa opakowywanie protokow warstw wyszych modelu ISO/OSI w struktury protokow warstw niszych. W tym przykadzie dane protokou HTTP (warstwa 7-aplikacji) s przesyane w segmentach TCP (warstwa 4-transportowa), segmenty TCP w datagramach IP (warstwa 3-sieciowa), a datagramy IP w ramkach Ethernet (warstwa 2-cza danych). Te ostatnie s transmitowanie midzy urzdzeniami przy pomocy warstwy fizycznej jako cig bitw.

Zauwa, e Wireshark szczegowo interpretuje dane przesyane przy pomocy niektrych protokow. Dla protokou HTTP moesz odczyta np. nagwki zawierajce informacje o dacie dania wywietlenia strony, serwerze WWW, a take kod HTML fragmentu danej strony internetowej.

W dolnej czci okna szczegowego wywietlana jest ramka/datagram w wersji surowej, jako cig bajtw w postaci szesnastkowej, interpretowanych jako znaki ASCII.

wiczeniaW celu realizacji wicze zestaw stanowisko laboratoryjne z 2 stanowiskami PC ([1] i [2]) podczonymi do tej samej podsieci z dostpem do internetu. Na obydwu stanowiskach uruchom system operacyjny Ubuntu z Live CD. Na stanowisku [1] uruchom sniffer Wireshark i przechwytywanie danych.

1. Na stanowisku [2] uruchom konsol (skrt Terminal na pulpicie). Wykonaj polecenie:

ping ADRES_IP_STANOWISKA_1(ADRES_IP_STANOWISKA_1 zamie na waciwy adres IP komputera 1, odczytany np. poleceniem konsolowym ifconfig). Zaobserwuj i skomentuj dane przechwycone na stanowisku [1]. Jakie protokoy s wykorzystywane do komunikacji?

2. Na stanowisku [2] wykonaj w konsoli polecenie

ping NIEISTNIEJACY_ADRES_IP(NIEISTNIEJACY_ADRES_IP to adres z podsieci [1] i [2], ale nieprzydzielony adnemu z tych komputerw i innych urzdze).

Czy na stanowisku [1] zostay przechwycone jakie dane? Skomentuj dlaczego.

3. Na stanowisku [1] wykonaj w konsoli polecenie (nie zamykaj programu Wireshark)

ping prz.edu.plZaobserwuj i skomentuj przechwycone przez Wireshark dane. Jakie protokoy s wykorzystywane do komunikacji?

4. Na stanowisku [1] uruchom przegldark internetow (nie zamykaj programu Wireshark) i otwrz dowoln stron.

Zaobserwuj przechwycone przez Wireshark dane. Wywietl tylko dane zwizane z protokoem HTTP i sprbuj skomentowa ich struktur.

Zenmap skaner portwZenmap to graficzna nakadka na program nmap, ktry jest tzw. skanerem portw. Przy pomocy tego typu oprogramowania mona uzyska informacj, jakie usugi sieciowe udostpniaj urzdzenia o okrelonych adresach IP.

Nmap zosta przewidzany jako narzdzie do audytu bezpieczestwa w sieci lokalnej, nie powinien by stosowany do skanowania hostw w sieci Internet czy sieci lokalnej, ktr nie administrujemy.

Nmap jest narzdziem dziaajcym w sposb inwazyjny, ktre nawizuje wiele pocze sieciowych ze skanowanymi hostami. Jego (nad)uywanie w nieznanych sieciach moe spowodowa zablokowanie dostpu przez administratora lub, w przypadku internetu, wysanie przez administratora skanowanych urzdze zgoszenia naduycia (abuse) do operatora telekomunikacyjnego osoby skanujcej i dodanie adresu IP do tzw. czarnych list, co skutkuje blokad dostpu do niektrych witryn i usug.

W trakcie wiczenia laboratoryjnego, do testw zenmap naley zestawi rodowisko w wydzielonej sieci lokalnej (kilka komputerw poczonych przy pomocy switcha) bez dostpu do internetu.

Podstawy obsugiUruchom program Zenmap poprzez skrt na pulpicie Live CD Ubuntu.

Z listy Profile wybierz opcj Quick scan, w polu Target wpisz adres lub zakres adresw IP, ktre maj zosta przeskanowane pod ktem otwartych portw.

Jeeli chcesz poda pojedynczy adres, wprowad go w notacji kropkowo-dziesitnej, np. 10.0.0.1.

Zakres adresw wprowadzaj w formacie np. 10.0.0.1-100. W tym przykadzie przeskanowanych zostanie 100 adresw od 10.0.0.1 do 10.0.0.100.

Przykadowe opcje skanowania zaprezentowano na zrzucie ekranu. Dostosuj zakres adresw IP do adresacji uywanej w laboratoryjnej sieci lokalnej, np. 192.168.0.1-255.

Kliknij przycisk Scan, aby rozpocz skanowanie portw. Koniec procesu zostanie zasygnalizowany zaznaczonym komunikatem.

W przykadzie powyej przeskanowano 100 adresw IP w sieci lokalnej z zakresu 10.0.0.1 10.0.0.100. W tym zakresie wykryto 4 aktywne urzdzenia, ktrych lista wywietla si w lewym panelu.

Dla kadego z urzdze wypisane zostay dostpne usugi (otwarte porty). W analizowanym przykadzie, urzdzenie o adresie IP 10.0.0.10 udostpnia usugi: serwera FTP (port 21), serwera SSH (port 22), serwera DNS (port 53), serwera HTTP (port 80), udostpniania plikw Samba (porty 139 i 445).

W zakadce Topology mona podejrze przyblion topologi skanowanej sieci, przedstawion w postaci grafu.

wiczenieWykonaj skanowanie wydzielonej podsieci laboratoryjnej przy pomocy programu Zenmap. Do sieci docz komputery pracujce pod kontrol rnych systemw: Windows Server, Windows 7, Linux (Ubuntu). Omw rezultaty skanowania.

Wireshark analizator ruchu sieciowegoZenmap skaner portw