Wireshark –analizator ruchu sieciowegoInformacje ogólneWireshark jest graficznym analizatorem ruchu sieciowego (snifferem). Umożliwia przechwytywanie danych transmitowanych przez określone interfejsy sieciowe na poziomie datagramów lub ramek protokołów warstw 2-7 modelu ISO/OSI. Ponadto szczegółowo wizualizuje strukturę przechwyconych danych dla wielu protokołów sieciowych.
Wireshark działa w sposób pasywny, tzn. nie wysyła żadnych informacji, a tylko przechwytuje dane docierające do interfejsu sieciowego. Nie wpływa także w żaden sposób na działanie aplikacji przesyłających dane przez sieć.
Podstawy obsługiUruchom program Wireshark poprzez skrót na pulpicie Live CD Ubuntu.
Program musi działać z uprawnieniami użytkownika administracyjnego (root), potwierdź komunikat ostrzegawczy.
Komputer wykorzystywany w trakcie ćwiczenia może mieć zainstalowanych wiele interfejsów (kart) sieciowych. Należy wyświetlić listę dostępnych interfejsów, wybierając zaznaczony przycisk.
W kolejnym kroku należy wskazać interfejs, z którego mają być przechwytywane dane. Dokonaj wyboru, sugerując się przydzielonym adresem IP i/lub nazwą interfejsu (domyślnie ethX – karta sieciowa przewodowa, wlanX – karta sieciowa bezprzewodowa, lo – interfejs lokalny, tzw. loopback).
Kliknij przycisk Start, aby rozpocząć przechwytywanie danych.
Wyświetli się okno przechwytywania, którego strukturę opisano na poniższym zrzucie ekranu.
W centralnej części okna wyświetlają się przechwycone dane. Jeżeli jest pusta, wygeneruj ruch sieciowy np. uruchamiając przeglądarkę internetową i otwierając dowolną stronę internetową.
Atrybuty przechwytywanych ramek omówiono w tabeli.
Atrybut OpisNo. Numer kolejny przechwyconej ramkiTime Czas przechwycenia ramki w sekundach, liczony od uruchomienia
przechwytywaniaSource Adres źródłowy dla danego protokołuDestination Adres docelowy dla danego protokołuProtocol Nazwa protokołu (http://en.wikipedia.org/wiki/List_of_network_protocols)Info Szczegółowa informacja o zawartości ramki
Aby zatrzymać przechwytywanie danych, kliknij przycisk . Przycisk resetuje przechwytywanie – czyści listę przechwyconych ramek.
Przechwycone dane,zaznaczenie wiersza wyświetla
w dolnych oknach strukturęi surową zawartość ramki
Struktura zaznaczonej ramki, widoczne „opakowane” danychprzez protokoły poszczególnych
warstw ISO/OSI
Surowa zawartość zaznaczonejramki
Możliwość filtrowania danych
Filtrowanie przechwytywanych danychMożesz odfiltrować przechwycone datagramy na bazie różnych atrybutów: protokołu, adresu IP, adresu MAC, klikając w górnej części okna głównego przycisk Filter. Poniższy filtr wyświetli tylko datagramy, w których źródłowy lub docelowy adres IP to 10.0.0.25.
Aby usunąć wszystkie aktywne filtry, kliknij przycisk Clear w górnej części głównego okna.
Analiza przechwyconych danychGdy klikniesz dwukrotnie w obrębie jednej z przechwyconych ramek, wyświetli się szczegółowe okno ze strukturą zawartych w niej danych.
Poniższy przykład pokazuje strukturę ramki, zawierającej dane z protokołu HTTP, przechwycone w trakcie wyświetlania strony internetowej w przeglądarce. Rozwijając poszczególne wpisy możesz zaobserwować „opakowywanie” protokołów warstw wyższych modelu ISO/OSI w struktury protokołów warstw niższych. W tym przykładzie dane protokołu HTTP (warstwa 7-aplikacji) są przesyłane w segmentach TCP (warstwa 4-transportowa), segmenty TCP w datagramach IP (warstwa 3-sieciowa), a datagramy IP w ramkach Ethernet (warstwa 2-łącza danych). Te ostatnie są transmitowanie między urządzeniami przy pomocy warstwy fizycznej jako ciąg bitów.
Zauważ, że Wireshark szczegółowo interpretuje dane przesyłane przy pomocy niektórych protokołów. Dla protokołu HTTP możesz odczytać np. nagłówki zawierające informacje o dacie żądania wyświetlenia strony, serwerze WWW, a także kod HTML fragmentu żądanej strony internetowej.
W dolnej części okna szczegółowego wyświetlana jest ramka/datagram w wersji „surowej”, jako ciąg bajtów w postaci szesnastkowej, interpretowanych jako znaki ASCII.
ĆwiczeniaW celu realizacji ćwiczeń zestaw stanowisko laboratoryjne z 2 stanowiskami PC ([1] i [2]) podłączonymi do tej samej podsieci z dostępem do internetu. Na obydwu stanowiskach uruchom system operacyjny Ubuntu z Live CD. Na stanowisku [1] uruchom sniffer Wireshark i przechwytywanie danych.
1. Na stanowisku [2] uruchom konsolę (skrót Terminal na pulpicie). Wykonaj polecenie:
ping ADRES_IP_STANOWISKA_1(ADRES_IP_STANOWISKA_1 zamień na właściwy adres IP komputera 1, odczytany np. poleceniem konsolowym ifconfig). Zaobserwuj i skomentuj dane przechwycone na stanowisku [1]. Jakie protokoły są wykorzystywane do komunikacji?
2. Na stanowisku [2] wykonaj w konsoli polecenie
ping NIEISTNIEJACY_ADRES_IP(NIEISTNIEJACY_ADRES_IP to adres z podsieci [1] i [2], ale nieprzydzielony żadnemu z tych komputerów i innych urządzeń).
Czy na stanowisku [1] zostały przechwycone jakieś dane? Skomentuj dlaczego.
3. Na stanowisku [1] wykonaj w konsoli polecenie (nie zamykaj programu Wireshark)
ping prz.edu.plZaobserwuj i skomentuj przechwycone przez Wireshark dane. Jakie protokoły są wykorzystywane do komunikacji?
4. Na stanowisku [1] uruchom przeglądarkę internetową (nie zamykaj programu Wireshark) i otwórz dowolną stronę.
Zaobserwuj przechwycone przez Wireshark dane. Wyświetl tylko dane związane z protokołem HTTP i spróbuj skomentować ich strukturę.
Zenmap – skaner portówZenmap to graficzna nakładka na program nmap, który jest tzw. skanerem portów. Przy pomocy tego typu oprogramowania można uzyskać informację, jakie usługi sieciowe udostępniają urządzenia o określonych adresach IP.
Nmap został przewidzany jako narzędzie do audytu bezpieczeństwa w sieci lokalnej, nie powinien być stosowany do skanowania hostów w sieci Internet czy sieci lokalnej, którą nie administrujemy.
Nmap jest narzędziem działającym w sposób inwazyjny, które nawiązuje wiele połączeń sieciowych ze skanowanymi hostami. Jego (nad)używanie w nieznanych sieciach może spowodować zablokowanie dostępu przez administratora lub, w przypadku internetu, wysłanie przez administratora skanowanych urządzeń zgłoszenia nadużycia (abuse) do operatora telekomunikacyjnego osoby skanującej i dodanie adresu IP do tzw. czarnych list, co skutkuje blokadą dostępu do niektórych witryn i usług.
W trakcie ćwiczenia laboratoryjnego, do testów zenmap należy zestawić środowisko w wydzielonej sieci lokalnej (kilka komputerów połączonych przy pomocy switcha) bez dostępu do internetu.
Podstawy obsługiUruchom program Zenmap poprzez skrót na pulpicie Live CD Ubuntu.
Z listy Profile wybierz opcję Quick scan, w polu Target wpisz adres lub zakres adresów IP, które mają zostać przeskanowane pod kątem otwartych portów.
Jeżeli chcesz podać pojedynczy adres, wprowadź go w notacji kropkowo-dziesiętnej, np. 10.0.0.1.
Zakres adresów wprowadzaj w formacie np. 10.0.0.1-100. W tym przykładzie przeskanowanych zostanie 100 adresów od 10.0.0.1 do 10.0.0.100.
Przykładowe opcje skanowania zaprezentowano na zrzucie ekranu. Dostosuj zakres adresów IP do adresacji używanej w laboratoryjnej sieci lokalnej, np. 192.168.0.1-255.
Kliknij przycisk Scan, aby rozpocząć skanowanie portów. Koniec procesu zostanie zasygnalizowany zaznaczonym komunikatem.
W przykładzie powyżej przeskanowano 100 adresów IP w sieci lokalnej z zakresu 10.0.0.1 – 10.0.0.100. W tym zakresie wykryto 4 aktywne urządzenia, których lista wyświetla się w lewym panelu.
Dla każdego z urządzeń wypisane zostały dostępne usługi (otwarte porty). W analizowanym przykładzie, urządzenie o adresie IP 10.0.0.10 udostępnia usługi: serwera FTP (port 21), serwera SSH (port 22), serwera DNS (port 53), serwera HTTP (port 80), udostępniania plików Samba (porty 139 i 445).
W zakładce Topology można podejrzeć przybliżoną topologię skanowanej sieci, przedstawioną w postaci grafu.
ĆwiczenieWykonaj skanowanie wydzielonej podsieci laboratoryjnej przy pomocy programu Zenmap. Do sieci dołącz komputery pracujące pod kontrolą różnych systemów: Windows Server, Windows 7, Linux (Ubuntu). Omów rezultaty skanowania.
Recommended
