Wireshark часть 1 из 3

Июль 24, 2017

Wireshark — программа с открытым исходным кодом, предназначенная для захвата и анализа сетевого трафика, и она должна быть практически у каждого сетевого администратора. Программа позволяет пользователю просматривать весь проходящий по сети трафик в режиме реального времени, переводя сетевую карту в неразборчивый режим (promiscuous mode). Много возможностей по сортировке и фильтрации информации. Будет плюсом при устройстве на работу Системным администратором.

Чуточку теории:

IP-адрес (Internet Protocol Address — адрес Интернет-протокола) — уникальный сетевой адрес узла в компьютерной сети, построенной на основе стека протоколов TCP/IP. В сети Интернет требуется глобальная уникальность адреса, в случае работы в локальной сети требуется уникальность адреса в пределах сети.
MAC (Media Access Control — управление доступом к среде) — управление доступом к среде уникальный идентификатор, присваиваемый каждой единице активного оборудования или некоторым их интерфейсам в компьютерных сетях Ethernet.
TCP (Transmission Control Protocol — протокол управления передачей) — один из основных протоколов передачи данных интернета, предназначенный для управления передачей данных. Предоставляет поток данных с предварительной установкой соединения, осуществляет повторный запрос данных в случае потери данных и устраняет дублирование при получении двух копий одного пакета, гарантируя целостность передаваемых данных и уведомление отправителя о результатах передачи.
UDP (User Datagram Protocol — протокол пользовательских датаграмм) — также один из основных протоколов передачи данных интернета, только в отличии от tcp не гарантирует доставку пакетов.
ICMP (Internet Control Message Protocol — протокол межсетевых управляющих сообщений) — используется для передачи сообщений об ошибках и других исключительных ситуациях, возникших при передаче данных, например, запрашиваемая услуга недоступна, или хост, или маршрутизатор не отвечают.

Есть два базовых типа адресов:
Статический — это постоянный IP-адрес в Интернете. Работать под статическим IP адресом имеет смысл, когда вы используете ваш компьютер в качестве сервера или же, когда возникает потребность постоянного обращения к нему из сети.
Динамический — понимается присвоение нового адреса для каждой сессии соединения, отсутствие постоянно закрепленного за узлом адреса.
Выделение статического IP-адреса – это задача провайдера, причем нестандартная и создающая дополнительную нагрузку на его мощности (в силу ограниченного числа свободных IP-адресов), поэтому в большинстве случаев эта услуга является платной.

Порт — число, записываемое в заголовках протоколов транспортного уровня модели OSI. Используется для определения процесса-получателя пакета в пределах одного хоста. Количество портов от 0 до 65536, все порты разделены на три диапазона: системные — 0—1023, пользовательские — 1024—49151 и частные — 49152—65535. Порты с 0 по 1023 наиболее часто используемые.
Самые популярные:
22 порт — ssh
23 порт — ftp (file transfer protocol) протокол передачи данных
80, 8080 порты — http
443 порт — https шифрованный http
53 порт — dns содержит доменные имена для ip адресовв
631 порт — ipp протокол межсетевой печати
137-139, 445 порты — NETBIOS

Сетевая модель OSI (open systems interconnection basic reference model — базовая эталонная модель взаимодействия открытых систем) — сетевая модель стека сетевых протоколов OSI/ISO.
Состоит из 7 слоёв:

Теперь перейдём к самой программе

Настроек много, опишу самое интересное:
Доступ к основным настройкам лежит через Edit—>Prefirences

Appearance — настройка интерфейса
Layout — расположение окон основной программы, всё прекрасно настроено и без вас, но можете поиграться.


Columns — добавляем дополнительные столбцы с нужным фильтром.


Capture — выбрать интерфейс захвата по умолчанию, а так жеCapture — выбрать интерфейс захвата по умолчанию, а так же Capture packets inpromiscuous mode — карта захватывает весь трафик, не только предназначенный для неё.
Filter Expressions — можно добавлять свои фильтры.


Name Resolution — тут одна из самых интересных опций — GeoIP database directories — база данных IP, позволяет узнать страну, город, определённого IP, по умолчанию база не подключена можно свободно скачать сети.

Теперь перейдём к фильтру — наиболее важная часть, собственно то ради чего и была создана программа, очень большое количество информации ею и будем фильтровать.

Строка для ввода фильтров за ней Expressions (выражения которые можно использовать для фильтрования трафика)

Основные команды для формирования фильтров:
is present присутствует
== утверждение равно
!= не равно
> больше чем
< Меньше чем
>= больше или равно
<= меньше или равно
contains содержит
matches совпадает
&& для связывания нескольких правил
|| тоже что or — или

Команда для явного обозначения чем является IP
src (source) — источник
dst (destination) — место назначение

При вводе фильтра в нижней части окна показывается количество найденных пакетов и их соотношение в процентах, на данный момент.

Примеры формирования фильтров:

показывать только пакеты во время пингования (ping google.com -t)
icmp

отфильтровали весь dns трафик
dns
аналогично просмотру трафика по порту, вместо того чтобы писать DNS
udp.port == 53
выведет всё tcp и udp на 53 порту
udp.port == 53 || tcp.port == 53

ip.src == фильтруем трафик с конкретного Ip в виде источника
ip.src == 192.168.0.105
ip.dst == фильтруем трафик с конкретного Ip в качестве места назначения
ip.dst == 192.168.0.105
ip.addr == общий фильтр конкретного Ip (src и dst)
ip.addr == 192.168.0.1 так мы будем слушать весь трафик с роутера TPLink, разумеется если роутер не ваш, делать этого не стоит.

вывести все tcp пакеты на 80 порту
tcp.port == 80
вывести все udp пакеты на 80 порту
udp.port == 80
вывести все tcp пакеты идущие с 80 порта
tcp.srcport == 80
вывести все tcp пакеты идущие на 80 порт
tcp.dstport == 80
вывести все DNS пакеты с Ip на экран (tcp и udp)
ip.addr == 192.168.1.2 && (tcp.port == 53) || udp.port == 53

Анализ самих пакетов

Проанализируем http пакет, они не шифруются, именно такие пакеты идут, когда мы заходим на большинство сайтов. На данном скриншоте перехвачен пакет аутентификации на роутер.

Frame — физический уровень, нет особо интересной информации.

Ethernet II — общемировой стандарт содержит MAC сетевой в Src (тут), Dst (MAC роутера)

Internet Protocol Version 4 — Src (наш ip), Dst (IP сайта на который зашли)
Также содержит такие интересные сведения как:
Source GeoIP: Покажет если подключен файл GeoIP
Destination GeoIP: Покажет если подключен файл GeoIP

Transmission Control Protocol — Показывает порт источник и порт назначение

Hypertext Transfer Protocol — прямо находка хакера
Host: доменное имя хоста
User-Agent: передаётся информация о нашем ПК, либо того ПК чей IP ответил сайту
Authorization -> Credentials: Логин:Пароль

Как видим на Hypertext Transfer Protocol в графе Authorization->Credentials содержится логин и пароль (для теста, роутер был сброшен, использование стандартных admin:admin не рекомендуется). Вообще весь трафик в http идёт в текстовом формате и никак не шифруется. Подобное применимо для любой локальной сети, просматривается весь локальный трафик.

Читайте продолжение во второй части.

Теги статьи:
·
Категории статьи
Безопасность

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *