tytuł oryginału: practical packet analysis: using …pdf.helion.pl/panpak/panpak.pdfspis treci 9 5...
TRANSCRIPT
Tytuł oryginału: Practical Packet Analysis: Using Wireshark to Solve Real-World Network Problems
Tłumaczenie: Robert Górczyński
ISBN: 978-83-246-5011-8
Original edition copyright © 2011 by Chris Sanders.All rights reserved.
Published by arrangement with No Starch Press, Inc.
Polish edition copyright 2013 by HELION SA.All rights reserved.
All rights reserved. No part of this book may be reproduced or transmitted in any form or by any means, electronic or mechanical, including photocopying, recording or by any information storage retrieval system, without permission from the Publisher.
Wszelkie prawa zastrzeżone. Nieautoryzowane rozpowszechnianie całości lub fragmentu niniejszej publikacji w jakiejkolwiek postaci jest zabronione. Wykonywanie kopii metodą kserograficzną, fotograficzną, a także kopiowanie książki na nośniku filmowym, magnetycznym lub innym powoduje naruszenie praw autorskich niniejszej publikacji.
Wszystkie znaki występujące w tekście są zastrzeżonymi znakami firmowymi bądź towarowymi ich właścicieli.
Wydawnictwo HELION dołożyło wszelkich starań, by zawarte w tej książce informacje były kompletnei rzetelne. Nie bierze jednak żadnej odpowiedzialności ani za ich wykorzystanie, ani za związane z tym ewentualne naruszenie praw patentowych lub autorskich. Wydawnictwo HELION nie ponosi również żadnej odpowiedzialności za ewentualne szkody wynikłe z wykorzystania informacji zawartych w książce.
Wydawnictwo HELIONul. Kościuszki 1c, 44-100 GLIWICEtel. 32 231 22 19, 32 230 98 63e-mail: [email protected]: http://helion.pl (księgarnia internetowa, katalog książek)
Drogi Czytelniku!Jeżeli chcesz ocenić tę książkę, zajrzyj pod adres http://helion.pl/user/opinie/panpakMożesz tam wpisać swoje uwagi, spostrzeżenia, recenzję.
Printed in Poland.
• Kup książkę• Poleć książkę • Oceń książkę
• Księgarnia internetowa• Lubię to! » Nasza społeczność
Spis tre�ci
Podzi�kowania 13
Wprowadzenie 15Dlaczego w�a�nie ta ksi��ka? ......................................................................................................15Koncepcje i podej�cie .................................................................................................................16Jak korzysta� z tej ksi��ki? ..........................................................................................................18Przyk�adowe pliki .......................................................................................................................18Fundusz The Rural Technology Fund .........................................................................................18Kontakt ze mn� ..........................................................................................................................19
1 Podstawy dzia�ania sieci i analizy pakietów 21Analiza pakietów i sniffery pakietów ..........................................................................................22
Ocena aplikacji typu sniffer pakietów .............................................................................22Jak dzia�a sniffer pakietów? .............................................................................................23
W jaki sposób komunikuj� si� komputery? ................................................................................24Protoko�y ........................................................................................................................24Siedem warstw modelu OSI ...........................................................................................25Hermetyzacja danych .....................................................................................................29Sprz�t sieciowy ...............................................................................................................31
Klasyfikacje ruchu sieciowego ....................................................................................................35Ruch typu broadcast .......................................................................................................36Ruch typu multicast .........................................................................................................37Ruch typu unicast ............................................................................................................37
Podsumowanie ...........................................................................................................................38
2 Dobranie si� do sieci 39Tryb mieszany ............................................................................................................................40Przechwytywanie pakietów z koncentratorów .........................................................................41Przechwytywanie pakietów w �rodowisku sieci opartej na prze��czniku sieciowym ................43
Kopiowanie ruchu na wskazany port ..............................................................................43Technika hubbing out .....................................................................................................45
8 S p i s t r e � c i
U�ycie rozga���nika ....................................................................................................... 46Zatrucie bufora ARP ....................................................................................................... 49
Przechwytywanie pakietów w �rodowisku sieci opartej na routerze ....................................... 54Praktyczne wskazówki dotycz�ce umieszczania sniffera pakietów ........................................... 55
3 Wprowadzenie do narz�dzia Wireshark 59Krótka historia narz�dzia Wireshark ......................................................................................... 59Zalety narz�dzia Wireshark ....................................................................................................... 60Instalowanie narz�dzia Wireshark ............................................................................................. 61
Instalowanie Wireshark w systemie Windows ............................................................... 62Instalowanie narz�dzia Wireshark w systemie Linux ..................................................... 63Instalowanie narz�dzia Wireshark w systemie Mac OS X ............................................. 64
Podstawy u�ywania narz�dzia Wireshark .................................................................................. 65Twoje pierwsze przechwycone pakiety ......................................................................... 65Okno g�ówne narz�dzia Wireshark ................................................................................ 67Preferencje narz�dzia Wireshark ................................................................................... 68Kolorowanie pakietów ................................................................................................... 69
4 Praca z przechwyconymi pakietami 73Praca z plikami zawieraj�cymi przechwycone dane .................................................................. 73
Zapis i eksport plików zawieraj�cych przechwycone dane ........................................... 74�czenie plików zawieraj�cych przechwycone dane ..................................................... 75
Praca z pakietami ....................................................................................................................... 76Wyszukiwanie pakietów ................................................................................................. 76Oznaczanie pakietów ..................................................................................................... 77Wydruk pakietów ........................................................................................................... 77
Konfiguracja formatu wy�wietlania czasu i odniesie ................................................................ 78Format wy�wietlania czasu ............................................................................................. 78Odniesienie czasu do pakietu ......................................................................................... 79
Konfiguracja opcji przechwytywania danych ............................................................................. 80Sekcja Capture ............................................................................................................... 81Sekcja Capture File(s) ..................................................................................................... 81Sekcja Stop Capture ....................................................................................................... 82Sekcja Display Options ................................................................................................... 83Sekcja Name Resolution ................................................................................................. 83
U�ywanie filtrów ....................................................................................................................... 83Pliki zawieraj�ce przechwycone dane ............................................................................ 84Filtry wy�wietlania .......................................................................................................... 90Zapis filtrów ................................................................................................................... 93
S p i s t r e � c i 9
5 Zaawansowane funkcje narz�dzia Wireshark 97Konwersacje i punkty kocowe sieci .........................................................................................97
Przegl�danie punktów kocowych .................................................................................98Przegl�danie konwersacji sieciowych .............................................................................99Rozwi�zywanie problemów za pomoc� okien Endpoints i Conversations ...................100
Okno Protocol Hierarchy Statistics .........................................................................................102Okre�lanie nazw .......................................................................................................................103
W��czenie funkcji okre�lania nazw ................................................................................103Potencjalne wady okre�lania nazw ...............................................................................104
Szczegó�owa analiza protoko�u ................................................................................................104Zmiana dekodera ..........................................................................................................105Wy�wietlanie kodu �ród�owego dekodera ...................................................................107
Funkcja Follow TCP Stream ....................................................................................................108Wielko�� pakietu ......................................................................................................................109Grafika ......................................................................................................................................110
Wykres operacji wej�cia-wyj�cia ...................................................................................110Wykres czasu podró�y ..................................................................................................112Wykres przep�ywu danych ............................................................................................113
Informacje zaawansowane .......................................................................................................114
6 Najcz��ciej u�ywane protoko�y ni�szych warstw 117Protokó� ARP ...........................................................................................................................118
Nag�ówek pakietu ARP .................................................................................................119Pakiet 1.: ��danie ARP ..................................................................................................120Pakiet 2.: odpowied� ARP ............................................................................................121Bezp�atny pakiet ARP ....................................................................................................122
Protokó� IP ...............................................................................................................................123Adres IP ........................................................................................................................123Nag�ówek IPv4 ..............................................................................................................125Warto�� Time to Live ...................................................................................................126Fragmentacja IP ............................................................................................................128
Protokó� TCP ...........................................................................................................................130Nag�ówek TCP .............................................................................................................131Porty TCP .....................................................................................................................132Trzyetapowy proces negocjacji TCP ............................................................................135Zakoczenie komunikacji TCP .....................................................................................137Zerowanie TCP ............................................................................................................138
Protokó� UDP ..........................................................................................................................139Nag�ówek UDP .............................................................................................................140
Protokó� ICMP .........................................................................................................................141Nag�ówek ICMP ...........................................................................................................141Wiadomo�ci i typy ICMP ..............................................................................................142��dania echo i odpowiedzi na nie .................................................................................142Polecenie traceroute .....................................................................................................145
10 S p i s t r e � c i
7 Najcz��ciej u�ywane protoko�y wy�szych warstw 149Protokó� DHCP ....................................................................................................................... 149
Struktura pakietu DHCP .............................................................................................. 150Proces odnowy DHCP ................................................................................................. 150Proces odnowy dzier�awy DHCP ............................................................................... 156Opcje DHCP i typy wiadomo�ci .................................................................................. 156
Protokó� DNS .......................................................................................................................... 156Struktura pakietu DNS ................................................................................................. 157Proste zapytanie DNS .................................................................................................. 158Typy zapyta DNS ....................................................................................................... 159Rekurencja DNS ........................................................................................................... 160Transfer strefy DNS ..................................................................................................... 164
Protokó� HTTP ....................................................................................................................... 166Przegl�danie zasobów za pomoc� HTTP ..................................................................... 166Przekazywanie danych za pomoc� HTTP .................................................................... 168
Podsumowanie ........................................................................................................................ 170
8 Najcz��ciej spotykane sytuacje 171Serwisy spo�eczno�ciowe na poziomie pakietów .................................................................... 172
Przechwycenie ruchu sieciowego serwisu Twitter ...................................................... 172Przechwycenie ruchu sieciowego serwisu Facebook .................................................. 176Porównanie metod stosowanych przez serwisy Twitter i Facebook .......................... 178
Przechwycenie ruchu sieciowego z ESPN.com ...................................................................... 179U�ycie okna Conversations .......................................................................................... 179U�ywanie okna Protocol Hierarchy Statistics .............................................................. 179Przegl�danie ruchu DNS .............................................................................................. 181Wy�wietlanie ��da HTTP ........................................................................................... 182
Rzeczywiste problemy ............................................................................................................ 183Brak dost�pu do internetu: problem zwi�zany z konfiguracj� ..................................... 183Brak dost�pu do internetu: niechciane przekierowanie .............................................. 187Brak dost�pu do internetu: problemy zwi�zane z przekazywaniem danych ............... 190Nieprawid�owo dzia�aj�ca drukarka ............................................................................. 193Uwi�zieni w oddziale ................................................................................................... 196B��d programisty .......................................................................................................... 199
Podsumowanie ........................................................................................................................ 204
9 Zmagania z wolno dzia�aj�c� sieci� 205Funkcje usuwania b��dów protoko�u TCP .............................................................................. 206
Ponowna transmisja pakietu TCP ................................................................................ 206Duplikaty potwierdze TCP i szybka retransmisja ...................................................... 209
S p i s t r e � c i 11
Kontrola przep�ywu danych TCP .............................................................................................213Dostosowanie wielko�ci okna .......................................................................................215Wstrzymanie przep�ywu danych i powiadomienie
o zerowej wielko�ci okna odbiorcy ...........................................................................216Mechanizm przesuwaj�cego si� okna TCP w praktyce ................................................217
Wnioski p�yn�ce z usuwania b��dów protoko�u TCP i kontroli przep�ywu danych .................220Lokalizacja �ród�a opó�nie .....................................................................................................221
Normalna komunikacja .................................................................................................221Wolna komunikacja — opó�nienie z winy sieci ............................................................222Wolna komunikacja — opó�nienie po stronie klienta ..................................................223Wolna komunikacja — opó�nienie po stronie serwera ................................................224Struktury pozwalaj�ce na wyszukiwanie opó�nie .......................................................224
Punkt odniesienia dla sieci ........................................................................................................225Punkt odniesienia dla miejsca ........................................................................................226Punkt odniesienia dla komputera ..................................................................................227Punkt odniesienia dla aplikacji .......................................................................................228Informacje dodatkowe dotycz�ce punktów odniesienia ...............................................229
Podsumowanie .........................................................................................................................229
10 Analiza pakietów i zapewnianie bezpiecze�stwa 231Rozpoznanie systemu ...............................................................................................................232
Skanowanie TCP SYN ..................................................................................................232Wykrywanie systemu operacyjnego .............................................................................237
W�amanie .................................................................................................................................240Operacja Aurora ...........................................................................................................240Zatrucie bufora ARP .....................................................................................................246Ko trojaski umo�liwiaj�cy zdalny dost�p ..................................................................248
Podsumowanie .........................................................................................................................257
11 Analiza pakietów w sieci bezprzewodowej 259Wzgl�dy fizyczne ......................................................................................................................260
Przechwytywanie danych tylko jednego kana�u w danej chwili ....................................260Zak�ócenia sygna�u bezprzewodowego ........................................................................261Wykrywanie i analizowanie zak�óce sygna�u ...............................................................261
Tryby dzia�ania kart sieci bezprzewodowych ..........................................................................263Bezprzewodowe przechwytywanie pakietów w systemie Windows ......................................264
Konfiguracja AirPcap .....................................................................................................264Przechwytywanie ruchu sieciowego za pomoc� urz�dzenia AirPcap ...........................266
Bezprzewodowe przechwytywanie pakietów w systemie Linux ............................................268Struktura pakietu 802.11 ..........................................................................................................269Dodanie do panelu Packet List kolumn charakterystycznych dla sieci bezprzewodowej ........271Filtry przeznaczone dla sieci bezprzewodowej .......................................................................272
Filtrowanie ruchu sieciowego nale��cego do okre�lonego BSS ID ................................273
12 S p i s t r e � c i
Filtrowanie okre�lonych typów pakietów sieci bezprzewodowej ............................... 273Odfiltrowanie okre�lonej cz�stotliwo�ci ...................................................................... 273
Bezpieczestwo w sieci bezprzewodowej .............................................................................. 275Zakoczone powodzeniem uwierzytelnienie WEP ..................................................... 275Nieudane uwierzytelnienie WEP .................................................................................. 277Zakoczone powodzeniem uwierzytelnienie WPA ..................................................... 278Nieudane uwierzytelnienie WPA ................................................................................. 279
Podsumowanie ........................................................................................................................ 281
Dodatek. Co dalej? 283Narz�dzia analizy pakietów ..................................................................................................... 283
tcpdump i Windump .................................................................................................... 284Cain & Abel .................................................................................................................. 284Scapy ............................................................................................................................ 284Netdude ....................................................................................................................... 284Colsoft Packet Builder .................................................................................................. 284CloudShark ................................................................................................................... 285pcapr ............................................................................................................................ 285NetworkMiner ............................................................................................................. 287Tcpreplay ..................................................................................................................... 287ngrep ............................................................................................................................ 287libpcap .......................................................................................................................... 287hping ............................................................................................................................. 287Domain Dossier ........................................................................................................... 288Perl i Python ................................................................................................................. 288
Zasoby dotycz�ce analizy pakietów ........................................................................................ 288Witryna domowa narz�dzia Wireshark ........................................................................ 288Kurs SANS Security Intrusion Detection In-Depth ...................................................... 288Blog Chrisa Sandersa .................................................................................................... 289Blog Packetstan ............................................................................................................ 289Uniwersytet Wireshark ................................................................................................ 289IANA ............................................................................................................................ 289TCP/IP Illustrated (Addison-Wesley) ........................................................................... 289The TCP/IP Guide (No Starch Press) .......................................................................... 289
Skorowidz 291
4Praca z przechwyconymi
pakietami
PO KRÓTKIM WPROWADZENIU DO NARZ�DZIA WIRESHARK PRZEDSTA-WIONYM W ROZDZIALE 3. JESTE GOTOWY DO ROZPOCZ�CIA PRZE-CHWYTYWANIA I ANALIZY PAKIETÓW. W TYM ROZDZIALE DOWIESZ si�,jak pracowa� z plikami zawieraj�cymi przechwycone dane, z prze-
chwyconymi pakietami oraz z formatami wy�wietlania czasu. Omówionezostan� tak�e bardziej zaawansowane opcje dotycz�ce przechwytywania pakietów,a ponadto zag��bimy si� w �wiat filtrów.
Praca z plikamizawieraj�cymi przechwycone dane
Podczas przeprowadzania analizy pakietu przekonasz si�, �e znaczna jej cz���nast�puje ju� po przechwyceniu danych. Najcz��ciej w ró�nym czasie przeprowa-dzasz kilka operacji przechwytywania i zapisywania danych, a nast�pnie ana-lizujesz jednocze�nie wszystkie zebrane w ten sposób dane. Narz�dzie Wi-reshark umo�liwia zapisywanie plików z przechwyconymi danymi, które b�dzieszmóg� pó�niej przeanalizowa�. Oczywi�cie masz mo�liwo�� ��czenia ze sob� wielutakich plików.
74 R o z d z i a � 4
Zapis i eksport plików zawieraj�cych przechwycone daneAby zapisa� przechwycony pakiet, wybierz opcj� menu File/Save As. Na ekraniepowinno wy�wietli� si� okno dialogowe Save As (zob. rysunek 4.1). W oknie tymmo�esz poda� katalog, w którym zostanie zapisany plik, oraz okre�li� format pliku.Je�eli nie podasz formatu pliku, narz�dzie Wireshark u�yje domy�lnego formatupliku dla przechwyconych danych — .pcap.
Rysunek 4.1. Za pomoc� okna dialogowego Save As mo�esz zapisywa�przechwycone pakiety
Jedn� z najmocniejszych stron okna dialogowego Save As jest mo�liwo�� zapisuokre�lonego zakresu pakietu. To doskona�y sposób na zmniejszenie przero�ni�tychplików zawieraj�cych przechwycone dane pakietu. Mo�esz wi�c zapisywa� pakietypochodz�ce jedynie z podanego zakresu, pakiety oznaczone lub pakiety widocznepo zastosowaniu okre�lonego filtru wy�wietlania. (Pakiety oznaczone i filtry zostan�omówione w dalszej cz��ci rozdzia�u).
Dane przechwycone przez narz�dzie Wireshark mo�esz eksportowa� do wieluró�nych formatów w celu wy�wietlania danych w innych mediach lub przeanali-zowania zebranych danych w innych narz�dziach. Dost�pne formaty to mi�dzyinnymi: zwyk�y tekst, PostScript, CSV (ang. Comma Separated Values — warto�ci
P r a c a z p r zec h wyc onym i p a k i e t am i 75
rozdzielone przecinkami) oraz XML. Aby wyeksportowa� przechwycone danepakietu, wybierz opcj� menu File/Export, a nast�pnie wska� format pliku, w któ-rym maj� zosta� zapisane dane. Na ekranie wy�wietli si� okno dialogowe Save Aszawieraj�ce opcje zwi�zane z wybranym formatem.
��czenie plików zawieraj�cych przechwycone danePewne rodzaje analizy wymagaj� po��czenia ze sob� wielu plików zawieraj�cychprzechwycone dane. Jest to praktyka cz�sto stosowana podczas porównywaniadwóch strumieni danych lub ��czenia strumieni tego samego ruchu sieciowego,które zosta�y przechwycone oddzielnie.
Aby po��czy� ze sob� pliki zawieraj�ce przechwycone dane, otwórz jedenz nich, a nast�pnie wybierz opcj� menu File/Merge. Na ekranie wy�wietli si� oknodialogowe zatytu�owane Merge with capture file (zob. rysunek 4.2). W oknie tymwska� plik, który ma zosta� po��czony z ju� otwartym plikiem, a nast�pnie wybierzmetod� po��czenia plików. Plik wybrany w oknie dialogowym mo�esz umie�ci�przed ju� otworzonym plikiem, do��czy� go na ko�cu b�d� po��czy� oba plikichronologicznie na podstawie ich znaczników czasu.
Rysunek 4.2. Okno dialogowe Merge with capture file pozwala ��czy� dwa plikizawieraj�ce przechwycone dane
76 R o z d z i a � 4
Praca z pakietamiMo�e si� zdarzy� sytuacja, w której wykorzystywana b�dzie ogromna liczba pakie-tów. W przypadku wzrostu liczby pakietów do rz�du tysi�cy lub nawet milionówmusisz mie� mo�liwo�� efektywnego poruszania si� pomi�dzy nimi. Narz�dzieWireshark umo�liwia wyszukiwanie i oznaczanie pakietów spe�niaj�cych okre-�lone kryteria. Pakiety mo�na równie� wydrukowa�.
Wyszukiwanie pakietówAby wyszuka� pakiety spe�niaj�ce okre�lone kryteria, musisz przej�� do okna dia-logowego Find Packet (zob. rysunek 4.3) poprzez naci�ni�cie klawiszy Ctrl+F.
Rysunek 4.3. Wyszukiwanie pakietów w narz�dziu Wiresharkna podstawie okre�lonych kryteriów
Pokazane na rysunku 4.3 okno dialogowe zawiera trzy nast�puj�ce opcje pozwa-laj�ce na wyszukiwanie pakietów:� Display filter. W tej opcji mo�esz poda� filtr oparty na wyra�eniu. Dzi�ki
temu filtrowi zostan� wyszukane jedynie pakiety spe�niaj�ce zdefiniowanetutaj wyra�enie.
� Hex value. Ta opcja powoduje wyszukanie pakietów zawieraj�cych podan�warto�� szesnastkow� (bajty powinny by� rozdzielone dwukropkami).
� String. Ta opcja powoduje wyszukanie pakietów zawieraj�cych podany ci�gtekstowy.
Powy�sze rodzaje wyszukiwania przedstawiono w tabeli 4.1.Inne opcje pozwalaj� na wybór u�ywanego systemu kodowania znaków, okre-
�lenie kierunku wyszukiwania oraz wskazanie okna, w którym ma zosta� przepro-wadzona operacja wyszukiwania. Wyszukiwanie z u�yciem ci�gu tekstowego mo�narozbudowa� poprzez podanie u�ywanego systemu kodowania, okre�lenie, czy maby� rozró�niana wielko�� znaków, oraz wskazanie panelu, w którym b�dzie prze-prowadzona operacja wyszukiwania.
Po wybraniu odpowiednich opcji w polu tekstowym nale�y wprowadzi� kry-teria wyszukiwania, a nast�pnie nacisn�� przycisk Find w celu znalezienia pierw-
P r a c a z p r zec h wyc onym i p a k i e t am i 77
Tabela 4.1. Dost�pne rodzaje operacji wyszukiwania pakietów
Rodzaj wyszukiwania Przyk�ady
filtr not ipip.addr==192.168.0.1arp
warto�� szesnastkowa 00:ffff:ff00:ab:b1:f0
ci�g tekstowy StacjaRobocza1U�ytkownikBdomena
szego pakietu spe�niaj�cego zdefiniowane kryteria. Aby znale�� kolejny pakietdopasowany do kryteriów, trzeba nacisn�� klawisze Ctrl+N, natomiast przej�cie dopoprzedniego znalezionego pakietu nast�puje po naci�ni�ciu klawiszy Ctrl+B.
Oznaczanie pakietówPo znalezieniu pakietów spe�niaj�cych zdefiniowane kryteria mo�na je oznakowa�.Przyk�adowo: pakiety mo�esz oznakowa�, aby mie� mo�liwo�� ich oddzielnegozapisania lub szybkiego odszukania na podstawie koloru. Oznaczone pakietywyró�niaj� si� bia�ym tekstem na czarnym tle, jak pokazano na rysunku 4.4.(Podczas zapisywania przechwyconych pakietów mo�esz zdecydowa� o zacho-waniu jedynie oznaczonych pakietów).
Rysunek 4.4. Oznaczony pakiet jest pod�wietlony na ekranie. Na rysunku wida�, �e pakiet pierwszyzosta� oznaczony — ma czarne t�o i bia�y tekst
W celu oznaczenia pakietu kliknij go prawym przyciskiem myszy w paneluPacket List, a nast�pnie wybierz opcj� Mark Packet z rozwijanego menu lub naci�nijklawisze Ctrl+M. Natomiast usuni�cie zaznaczenia pakietu nast�puje po ponow-nym wybraniu wspomnianej opcji lub po ponownym naci�ni�ciu klawiszy Ctrl+M.W przechwyconych danych mo�esz oznaczy� dowoln� liczb� pakietów. Do poru-szania si� do przodu i do ty�u po oznaczonych pakietach s�u�� klawisze odpowied-nio Shift+Ctrl+N i Shift+Ctrl+B.
Wydruk pakietówWprawdzie wi�kszo�� analizy pakietów przeprowadza si� na ekranie komputera,ale zdarzaj� si� sytuacje, gdy trzeba wydrukowa� przechwycone dane. Sam cz�stodrukuj� pakiety i umieszczam je na biurku; w ten sposób mog� bardzo szybkosprawdzi� ich zawarto�� podczas przeprowadzania innych analiz. Mo�liwo��zapisu pakietów do pliku w formacie PDF równie� jest bardzo wygodna, zw�asz-cza podczas przygotowywania raportów.
78 R o z d z i a � 4
Aby wydrukowa� przechwycone pakiety, wy�wietl okno dialogowe Print poprzezwybór opcji menu File/Print. Na ekranie pojawi si� pokazane na rysunku 4.5 oknodialogowe Print.
Rysunek 4.5. Okno dialogowe Print umo�liwia wydruk wskazanych pakietów
Wskazane dane mo�na wydrukowa� jako zwyk�y tekst, PostScript lub do pliku.Podobnie jak w przypadku okna dialogowego Save As, tak�e tutaj mo�na wybra�wydruk jedynie okre�lonego zakresu pakietów, pakietów oznaczonych lub wy�wie-tlanych na ekranie jako wynik dzia�ania filtru. Ponadto masz mo�liwo�� wyborupanelu (jednego z trzech g�ównych paneli okna Wireshark), z którego b�dziewydrukowany pakiet. Po zaznaczeniu wszystkich opcji naci�nij przycisk Print.
Konfiguracja formatu wy�wietlania czasui odniesie�
Czas ma istotne znaczenie zw�aszcza podczas przeprowadzania analizy pakietu.Dla wszystkich zdarze� zachodz�cych w sieci czas jest wa�ny, a Twoim zadaniemjest analiza trendów i opó�nie� w sieci w niemal ka�dym pliku zawieraj�cymprzechwycone dane. Twórcy narz�dzia Wireshark zdaj� sobie spraw� ze znacze-nia czasu, dlatego dostarczyli wiele powi�zanych z nim opcji konfiguracyjnych.W tym podrozdziale skoncentrujemy si� na formacie wy�wietlania czasu oraz naodniesieniach czasu do pakietu.
Format wy�wietlania czasuKa�dy pakiet przechwycony przez narz�dzie Wireshark ma znacznik czasu, któryjest mu przypisany przez system operacyjny. Wireshark ma mo�liwo�� wy�wietlenia
P r a c a z p r zec h wyc onym i p a k i e t am i 79
zarówno bezwzgl�dnego znacznika czasu, wskazuj�cego dok�adny moment prze-chwycenia danego pakietu, jak równie� czasu, który up�yn�� od ostatniego prze-chwyconego pakietu, a tak�e od pocz�tku i ko�ca operacji przechwytywania.
Opcje zwi�zane z wy�wietlaniem czasu znajduj� si� w menu g�ównym zaty-tu�owanym View. Pokazana na rysunku 4.6 grupa Time Display Format umo�liwiawybór formatu wy�wietlania czasu oraz dok�adno�� czasu. Masz mo�liwo�� wybra-nia automatycznego lub r�cznego ustawienia dok�adno�ci czasu, na przyk�ad:sekundy, milisekundy, mikrosekundy. Obie opcje b�dziemy modyfikowa� w dalszejcz��ci ksi��ki, wi�c powiniene� si� teraz z nimi zapozna�.
Rysunek 4.6. Dost�pnych jest kilka formatów wy�wietlania czasu
Odniesienie czasu do pakietuFunkcja odniesienia czasu do pakietu pozwala skonfigurowa� okre�lony pakietw taki sposób, aby kolejne obliczenia dotycz�ce czasu by�y przeprowadzane wzgl�-dem danego pakietu. Ta funkcja jest wyj�tkowo u�yteczna podczas analizy wielukolejnych zdarze�, które s� wywo�ywane gdzie� w �rodku pliku zawieraj�cegoprzechwycone dane.
Aby ustawi� odniesienie czasu do okre�lonego pakietu, nale�y w pierwszejkolejno�ci zaznaczy� pakiet w panelu Packet List, a nast�pnie wybra� opcj� menuEdit/Set Time Reference. Usuni�cie odniesienia czasu do pakietu nast�puje pozaznaczeniu pakietu i usuni�ciu opcji Edit/Set Time Reference.
Po w��czeniu funkcji odniesienia czasu do okre�lonego pakietu kolumna Timew panelu Packet List b�dzie zawiera�a ci�g tekstowy *REF* (zob. rysunek 4.7).
80 R o z d z i a � 4
Rysunek 4.7. Pakiet wraz z w��czonym odniesieniem czasu wzgl�dem wskazanego pakietu
W��czenie opcji odniesienia czasu do danego pakietu jest u�yteczne tylkowtedy, gdy format wy�wietlania czasu przechwyconych danych jest zdefiniowanyjako czas wy�wietlany wzgl�dem pocz�tku tych danych. Wszelkie inne ustawieniaspowoduj� otrzymanie nieprzewidywalnych wyników oraz utworzenie bardzomyl�cych znaczników czasu.
Konfiguracja opcji przechwytywania danychWyj�tkowo prosty proces przechwytywania danych zosta� przedstawiony w roz-dziale 3. W pokazanym na rysunku 4.8 oknie dialogowym Capture Options narz�-dzie Wireshark oferuje znacznie wi�cej opcji zwi�zanych z przechwytywaniemdanych. Wy�wietlenie tego okna dialogowego nast�puje po wybraniu opcjiCapture/Interfaces i klikni�ciu przycisku Options znajduj�cego si� obok nazwyinterfejsu, z którego maj� zosta� przechwycone pakiety.
Rysunek 4.8. Okno dialogowe Capture Options
P r a c a z p r zec h wyc onym i p a k i e t am i 81
Okno dialogowe Capture Options ma wi�cej wodotrysków, ni� b�dziesz w sta-nie wykorzysta�, umo�liwiaj�cych jak najwi�ksz� elastyczno�� podczas przechwy-tywania pakietów. Opcje zosta�y zgrupowane w kilku sekcjach, które teraz omówi�.
Sekcja CaptureRozwijane menu Interface w sekcji Capture pozwala wybra� konfigurowanyinterfejs sieciowy. W menu po lewej stronie wybierasz interfejs lokalny b�d� zdalny,natomiast menu po prawej stronie pokazuje dost�pne interfejsy pozwalaj�ce naprzechwytywanie danych. Adres IP wybranego interfejsu jest wy�wietlany bez-po�rednio pod rozwijanym menu.
Trzy pola wyboru umieszczone po lewej stronie sekcji Capture s�u�� do w��-czenia lub wy��czenia trybu mieszanego (domy�lnie zawsze jest w��czony), prze-chwytywania pakietów w aktualnie eksperymentalnym formacie pcap-ng oraz dozdefiniowanego w bajtach ograniczenia wielko�ci ka�dego przechwyconego pakietu.
Przyciski po prawej stronie sekcji Capture pozwalaj� uzyska� dost�p do usta-wie� sieci bezprzewodowej lub zdalnej (pod warunkiem, �e s� dost�pne). Poni�ejznajduje si� opcja konfiguracji wielko�ci bufora, dost�pna jedynie w systemachMicrosoft Windows. W tym miejscu mo�esz okre�li� wielko�� przechwyconychdanych pakietów, które b�d� przechowywane w buforze j�dra, zanim zostan�zapisane na dysku. (Tej warto�ci nie powiniene� modyfikowa�, chyba �e zauwa�yszgubienie du�ej liczby pakietów). Opcja Capture Filter pozwala zdefiniowa� filtrprzechwytywania danych.
Sekcja Capture File(s)W sekcji Capture File(s) mo�esz skonfigurowa� automatyczne przechowywanieprzechwyconych pakietów w pliku zamiast najpierw przechwytywania danych,a dopiero pó�niej ich zapisywania w pliku. Dost�pne tutaj opcje oferuj� du��elastyczno�� w zarz�dzaniu sposobem zapisu pakietów. Dane mog� by� zapisywanew pojedynczym pliku, w zestawie plików, a nawet mo�na u�y� bufora wielopier-�cieniowego (ang. ring buffer) do zarz�dzania liczb� tworzonych plików. W��cze-nie opcji zapisu danych do pliku (lub plików) wymaga podania pe�nej �cie�kidost�pu w polu File.
Podczas przechwytywania ogromnego ruchu sieciowego lub przeprowadzaniad�ugotrwa�ej operacji przechwytywania danych u�yteczne jest utworzenie zestawuplików. Zestaw ten to grupa wielu plików, ka�dy z nich zawiera dane spe�niaj�ceokre�lony warunek. Aby wykorzysta� zestaw plików, nale�y u�y� opcji UseMultiple Files.
Przy zarz�dzaniu zestawem plików narz�dzie Wireshark korzysta z ró�nychwyzwalaczy opartych na wielko�ci pliku lub na warunku dotycz�cym czasu. W��-czenie tych opcji wymaga zaznaczenia pola wyboru znajduj�cego si� obok opcjiNext File Every (to górne dotyczy wyzwalaczy opartych na wielko�ci pliku,natomiast dolne — opartych na czasie), a tak�e podania warto�ci oraz jednostki
82 R o z d z i a � 4
powoduj�cej aktywacj� wyzwalacza. Przyk�adowo: mo�esz zdefiniowa� wyzwalacztworz�cy nowy plik po przechwyceniu ka�dego 1 MB danych lub po up�ywieminuty przechwytywania danych (zob. rysunek 4.9).
Rysunek 4.9. Zestaw plików utworzonych przez narz�dzie Wireshark w odst�piejednej minuty
Wymienione opcje mo�na ze sob� ��czy�. Przyk�adowo: po zaznaczeniu obuwyzwalaczy nowy plik zostanie utworzony po przechwyceniu 1 MB danych lub poup�ywie jednej minuty — w zale�no�ci od tego, co nast�pi wcze�niej.
Opcja Ring Buffer Width pozwala na u�ycie bufora wielopier�cieniowego pod-czas tworzenia zestawu plików. Ta opcja jest wykorzystywana przez narz�dzieWireshark do zastosowania metody FIFO (ang. First In, First Out — pierwszyna wej�ciu, pierwszy na wyj�ciu) podczas zapisu wielu plików. Poj�cie buforawielopier�cieniowego ma wiele znacze� w informatyce. W narz�dziu Wiresharkoznacza zestaw plików, gdzie po zapisaniu ostatniego pliku rozpocznie si� nadpi-sywanie pierwszego, kiedy pojawi� si� kolejne dane konieczne do zachowania.Mo�esz zaznaczy� t� opcj� i zdefiniowa� maksymaln� liczb� plików u�ywanychprzez bufor wielopier�cieniowy. Przyk�adowo: mo�esz zdecydowa� si� na u�yciezestawu plików do zapisu przechwytywanych danych i okre�li� tworzenie nowegopliku co godzin�, a maksymaln� liczb� plików ustali� na 6. W takim przypadku poutworzeniu ostatniego, szóstego pliku bufor wielopier�cieniowy rozpocznie nad-pisywanie pierwszego pliku, zamiast utworzy� siódmy. W ten sposób na dyskutwardym b�dzie si� znajdowa�o maksymalnie sze�� plików zawieraj�cych prze-chwycone dane (w tym przypadku z sze�ciu ostatnich godzin) i nadal b�dzie zacho-wana mo�liwo�� zapisu nowych danych.
Opcja Stop Capture After powoduje zatrzymanie przechwytywania danych poutworzeniu wcze�niej zdefiniowanej liczby plików.
Sekcja Stop CaptureSekcja Stop Capture pozwala zatrzyma� trwaj�c� operacj� przechwytywania danychpo wyst�pieniu okre�lonego wyzwalacza. Podobnie jak w przypadku zestawuplików, tak�e tutaj wyzwalacz mo�e opiera� si� na wielko�ci pliku, odst�pachczasu, jak równie� na liczbie pakietów. Te opcje mo�esz wykorzystywa� w po��cze-niu z omówionymi wcze�niej opcjami dotycz�cymi zestawu plików.
P r a c a z p r zec h wyc onym i p a k i e t am i 83
Sekcja Display OptionsSekcja Display Options okre�la sposób wy�wietlania pakietów po ich przechwy-ceniu. Dzia�anie opcji zatytu�owanej Update List of Packets in Real Time (uaktual-niaj list� pakietów w czasie rzeczywistym) jest oczywiste; ponadto mo�e by� onapo��czona z opcj� Automatic Scrolling in Live Capture (automatyczne przewijaniew panelu Live Capture). Po w��czeniu obu opcji na ekranie wy�wietl� si� wszyst-kie przechwycone pakiety, przy czym przechwytywane pakiety b�d� wy�wietlanenatychmiast.
Po��czenie opcji Update List of Packets in Real Time i Automatic Scrolling in LiveCapture mo�e spowodowa� znaczne obci��enie procesora podczas przechwyty-wania du�ych ilo�ci danych. Je�eli nie masz szczególnego powodu do wy�wietlaniapakietów w czasie rzeczywistym, najlepiej wy��cz obie opcje.
Opcja Hide Capture Info Dialog wy�wietla ma�e okno pokazuj�ce liczb� orazwarto�� procentow� pakietów przechwyconych dla danego protoko�u.
Sekcja Name ResolutionOpcje w tej sekcji umo�liwiaj� w��czenie automatycznego okre�lania nazw MAC(warstwa 2.), sieci (warstwa 3.) i transportu (warstwa 4.) dla przechwytywanychdanych. Szczegó�owe omówienie okre�lania nazw w narz�dziu Wireshark orazwad tego procesu zostanie przedstawione w rozdziale 5.
U�ywanie filtrówFiltry pozwalaj� dok�adnie wskaza� dane, które chcesz przeanalizowa�. Ujmuj�crzecz najpro�ciej: filtr to wyra�enie definiuj�ce kryteria do��czania pakietów doprzechwyconych danych lub usuwania pakietów z tych danych. Je�eli dane zawie-raj� nieinteresuj�ce Ci� pakiety, mo�esz utworzy� odpowiedni filtr powoduj�cypozbycie si� tych pakietów. Je�li natomiast chcesz otrzymywa� wy��cznie okre�lonepakiety, wystarczy utworzy� filtr pokazuj�cy jedynie interesuj�ce Ci� pakiety.
Narz�dzie Wireshark oferuje dwa podstawowe rodzaje filtrów:� Filtr przechwytywania zostaje zdefiniowany na pocz�tku operacji
przechwytywania danych i zawiera tylko te pakiety, które wskazanodo do��czenia w danym wyra�eniu.
� Filtr wy�wietlania zostanie zastosowany wzgl�dem istniej�cego zestawuprzechwyconych pakietów w celu ukrycia niepo��danych lub wy�wietleniainteresuj�cych Ci� pakietów na podstawie okre�lonego wyra�enia.
W pierwszej kolejno�ci zapoznamy si� z plikami zawieraj�cymi przechwy-cone dane.
OSTRZE�ENIE
84 R o z d z i a � 4
Pliki zawieraj�ce przechwycone danePliki zawieraj�ce przechwycone dane s� u�ywane we faktycznym procesie prze-chwytywania pakietów. Jednym z podstawowych powodów u�ywania filtru prze-chwytywania jest zachowanie maksymalnej wydajno�ci dzia�ania. Je�eli wiesz, �enie b�dziesz analizowa� okre�lonych form ruchu sieciowego, mo�esz odfiltrowa�jego dane za pomoc� filtru przechwytywania. W ten sposób zaoszcz�dzisz niecomocy procesora, która musia�aby zosta� wykorzystana do przechwycenia nieinte-resuj�cych Ci� pakietów.
Mo�liwo�� utworzenia w�asnych filtrów przechwytywania jest bardzo u�y-teczna w przypadku obs�ugi ogromnych ilo�ci danych. Proces analizy mo�na znacz-nie przy�pieszy� poprzez zagwarantowanie, �e patrzysz tylko na te pakiety, któremaj� zwi�zek z rozwi�zywanym problemem.
Prosty przyk�ad u�ycia filtru przechwytywania to sytuacja, w której prze-chwytujesz ruch z serwera sieciowego o wielu rolach. Przypu��my, �e rozwi�-zujesz problem z us�ug� udost�pnian� na porcie 262. Je�eli analizowany serwerudost�pnia tak�e wiele innych us�ug na ró�nych portach, to wyszukanie i prze-analizowanie ruchu przep�ywaj�cego jedynie przez port 262 b�dzie samo w sobieju� wymagaj�cym zadaniem. Aby przechwyci� jedynie ruch przep�ywaj�cy przezport 262, mo�esz u�y� filtru przechwytywania. W tym celu przejd� do omówio-nego wcze�niej okna dialogowego Capture Options i wykonaj nast�puj�ce kroki:
1. Wybierz opcj� menu Capture/Interfaces i naci�nij przycisk Optionsznajduj�cy si� obok nazwy interfejsu, z którego chcesz przechwyci� dane.
2. Wybierz interfejs, z którego b�d� przechwytywane pakiety, a nast�pniewska� filtr przechwytywania.
3. Filtr przechwytywania mo�esz zastosowa� poprzez podanie odpowiedniegowyra�enia w polu tekstowym znajduj�cym si� obok przycisku Capture Filter.W omawianym przyk�adzie interesuje nas tylko ruch przep�ywaj�cyprzez port 262, zatem w polu tym wpisujemy port 262, jak pokazanona rysunku 4.10. (Wprowadzone tutaj wyra�enie zostanie dok�adnieomówione w kolejnej sekcji).
4. Po zdefiniowaniu filtru wystarczy nacisn�� przycisk Start rozpoczynaj�cyprzechwytywanie pakietów.
Po zebraniu odpowiedniej wielko�ci próbki danych zobaczysz, �e próbkazawiera jedynie dane ruchu sieciowego przep�ywaj�cego przez port 262. Dzi�kitemu mo�esz znacznie efektywniej przeprowadzi� analiz� tych danych.
Przechwytywanie i sk�adnia BPFFiltry przechwytywania s� stosowane przez WinPcap i u�ywaj� sk�adni BPF (ang.Berkeley Packet Filter). Sk�adnia ta jest stosowana w wielu aplikacjach typu snifferpakietów najcz��ciej z powodu wykorzystywania przez te aplikacje biblioteklibpcap/WinPcap, które pozwalaj� na stosowanie sk�adni BPF. Znajomo�� sk�adniBPF ma wi�c znacznie krytyczne, je�li chcesz zag��bi� si� w sie� na poziomiepakietów.
P r a c a z p r zec h wyc onym i p a k i e t am i 85
Rysunek 4.10. Zdefiniowanie filtru przechwytywania w oknie dialogowymCapture Options
Filtr utworzony z u�yciem sk�adni BPF jest nazywany wyra�eniem, a ka�dewyra�enie sk�ada si� z co najmniej jednego sk�adnika podstawowego. Z koleisk�adniki sk�adaj� si� z co najmniej jednego kwalifikatora (kwalifikatory wymie-niono w tabeli 4.2) wraz z identyfikatorem, jak pokazano na rysunku 4.11.
Tabela 4.2. Kwalifikatory sk�adni BPF
Kwalifikator Opis Przyk�ady
typ okre�la nazw� lub numer identyfikatora, do któregosi� odwo�uje
host, net, port
kierunek okre�la kierunek transmisji do urz�dzenia o podanej nazwielub identyfikatorze albo od takiego urz�dzenia
src, dst
protokó� ogranicza dopasowanie do konkretnego protoko�u ether, ip, tcp,udp, http, ftp
Bior�c pod uwag� komponenty wyra�enia, kwalifikator src i identyfikator192.168.0.10 tworz� posta� sk�adnika podstawowego. Taki sk�adnik jest wyra�e-niem, które spowoduje przechwycenie ruchu sieciowego pochodz�cego jedyniez adresu IP 192.168.0.10.
86 R o z d z i a � 4
Rysunek 4.11. Prosty filtr przechwytywania
W celu ��czenia sk�adników i tworzenia bardziej zaawansowanych wyra�e�mo�esz wykorzysta� operatory logiczne. Poni�ej wymieniono trzy operatory logicznedost�pne podczas tworzenia wyra�e�:� operator konkatenacji AND (&&);� operator alternatywy OR (||);� operator negacji NOT (!).
Przyk�adowo: poni�sze wyra�enie spowoduje przechwycenie ruchu sieciowegopochodz�cego z adresu IP 192.168.0.10 oraz z portu 80 lub do tego portu:
src 192.168.0.10 && port 80
Filtr nazwy komputera i adresuWi�kszo�� tworzonych przez Ciebie filtrów b�dzie dotyczy�a danego urz�dzeniasieciowego lub grupy urz�dze�. W zale�no�ci od sytuacji filtrowanie mo�e opie-ra� si� na adresie MAC urz�dzenia, adresie IPv4, IPv6 lub nazwie komputeraDNS.
Przyk�adowo: chcesz si� dowiedzie�, jaki ruch sieciowy przep�ywa przezokre�lony komputer podczas komunikacji z serwerem znajduj�cym si� w danejsieci. Dla serwera mo�esz wi�c utworzy� filtr, u�ywaj�c kwalifikatora host. Takprzygotowany filtr b�dzie przechwytywa� ca�y ruch sieciowy zwi�zany z adresemIPv4 interesuj�cego Ci� komputera:
host 172.16.16.149
Je�eli w sieci u�ywasz protoko�u IPv6, to u�yty w kwalifikatorze host filtr musiopiera� si� na adresie IPv6, jak przedstawiono poni�ej:
host 2001:db8:85a3::8a2e:370:7334
P r a c a z p r zec h wyc onym i p a k i e t am i 87
W kwalifikatorze host mo�na tak�e u�y� filtru opartego na nazwie komputera,na przyk�ad:
host serwertestowy2
Je�li masz obawy, �e adres IP interesuj�cego Ci� komputera mo�e ulec zmia-nie, mo�esz przygotowa� filtr równie� na podstawie adresu MAC urz�dzenia,podaj�c kwalifikator ether:
ether host 00-1a-a0-52-e2-a0
Kwalifikatory kierunku transmisji danych s� bardzo cz�sto u�ywane w po��-czeniu z powy�szymi przyk�adami w celu przechwytywania ruchu przychodz�cegodo okre�lonego komputera lub wychodz�cego z niego. Przyk�adowo: aby prze-chwyci� jedynie ruch przychodz�cy do danego komputera, mo�na u�y� kwalifi-katora src:
src host 172.16.16.149
Aby przechwyci� jedynie dane opuszczaj�ce serwer o adresie 172.16.16.149i przeznaczone dla danego komputera, mo�esz u�y� kwalifikatora dst:
dst host 172.16.16.149
Kiedy nie podajesz kwalifikatora typu (host, net lub port) wraz ze sk�adnikiempodstawowym, domy�lnie zak�ada si�, �e zosta� u�yty kwalifikator host. Dlategoponi�sze wyra�enie jest odpowiednikiem zaprezentowanego w poprzednim przy-k�adzie:
dst 172.16.16.149
Filtry portówOprócz filtrowania na podstawie komputerów mo�na przeprowadzi� filtrowaniena podstawie portów u�ywanych w pakietach. Filtrowanie na podstawie portówmo�na wykorzysta� do filtrowania na podstawie us�ug i aplikacji u�ywaj�cychstandardowych portów. Poni�ej przedstawiono prosty filtr przechwytuj�cy jedy-nie ruch przep�ywaj�cy przez port 8080:
port 8080
W celu przechwycenia ca�ego ruchu sieciowego poza przep�ywaj�cym przezport 8080 mo�na wykorzysta� nast�puj�ce wyra�enie:
88 R o z d z i a � 4
!port 8080
Filtr portu mo�na po��czy� z kwalifikatorem kierunku transmisji danych.Przyk�adowo: aby przechwyci� jedynie ruch sieciowy przychodz�cy do serweraWWW nas�uchuj�cego na standardowym porcie HTTP 80, nale�y u�y� kwalifi-katora dst:
dst port 80
Filtry protoko�ówFiltry protoko�ów umo�liwiaj� filtrowanie pakietów na podstawie okre�lonychprotoko�ów. S� wykorzystywane w celu dopasowania protoko�ów innych ni� war-stwy aplikacji, przy czym te protoko�y nie mog� by� zdefiniowane poprzez poda-nie okre�lonego portu. Dlatego je�eli chcesz zobaczy� jedynie ruch sieciowy ICMP,mo�esz u�y� nast�puj�cego filtru:
icmp
Aby zobaczy� ca�y ruch sieciowy poza IPv6, nale�y u�y� filtru:
!ip6
Filtry pola protoko�uPrawdziwa pot�ga sk�adni BPF kryje si� w mo�liwo�ci przeanalizowania ka�degobajta nag�ówka protoko�u w celu utworzenia szczegó�owych filtrów opartych natych danych. Omówione w tej sekcji filtry zaawansowane umo�liwiaj� pobieranieokre�lonej liczby bajtów z pakietu rozpoczynaj�cego si� we wskazanym po�o�eniu.
Przyk�adowo: chcesz przeprowadzi� filtrowanie na podstawie pola typu nag�ówkaICMP. Pole to znajduje si� na pocz�tku pakietu, czyli jego pozycja wynosi 0. Abyokre�li� konkretne po�o�enie w pakiecie, nale�y poda� konkretn� pozycj�, u�y-waj�c do tego nawiasu kwadratowego umieszczonego obok kwalifikatora proto-ko�u — w omawianym przyk�adzie to icmp[0]. Warto�ci� zwrotn� b�dzie jedno-bajtowa liczba ca�kowita, wzgl�dem której mo�emy przeprowadzi� operacj�porównania. Na przyk�ad aby pobra� jedynie pakiety ICMP okre�laj�ce, �e pakietnie dotar� do celu (typ 3), w wyra�eniu filtru nale�y u�y� operatora równo�ci, coprzedstawiono poni�ej:
icmp[0] == 3
P r a c a z p r zec h wyc onym i p a k i e t am i 89
W celu przeanalizowania jedynie pakietów ICMP przedstawiaj�cych ��daniaecho (typ 8) lub odpowiedzi na nie (typ 0) nale�y u�y� dwóch sk�adników pod-stawowych wraz z operatorem OR:
icmp[0] == 8 || icmp[0] == 0
Przedstawione powy�ej filtry dzia�aj� doskonale, ale przeprowadzaj� filtrowa-nie jedynie na podstawie jednobajtowych informacji pochodz�cych z nag�ówkapakietu. Na szcz��cie mo�na równie� okre�li� wielko�� danych zwracanych przezwyra�enie filtru poprzez jej podanie w nawiasie kwadratowym tu� po warto�ciokre�laj�cej pozycj�. Obie liczby musz� by� rozdzielone dwukropkiem.
Przyk�adowo: chcemy utworzy� filtr przechwytuj�cy wszystkie pakiety ICMP,które nie dotar�y do celu — s� oznaczone jako typ 3 i kod 1. To jednobajtowe polaumieszczone obok siebie w pozycji 0 nag�ówka pakietu. Naszym celem jest wi�cutworzenie filtru sprawdzaj�cego dwa bajty danych znajduj�ce si� na pocz�tkunag�ówka pakietu (pozycja wynosi 0) i porównanie ich wzgl�dem warto�ci szes-nastkowej 0301 (typ 3, kod 1). Wyra�enie ma wi�c nast�puj�c� posta�:
icmp[0:2] == 0x0301
Bardzo cz�sto zdarza si� przechwytywanie jedynie pakietów TCP wraz z usta-wion� opcj� RST. Szczegó�owe omówienie protoko�u TCP znajdziesz w roz-dziale 6. Teraz musisz jedynie wiedzie�, �e opcje pakietu TCP s� umieszczonew pozycji 13. To interesuj�ce pole, poniewa� jako pole opcji ma wielko�� jednegobajta, a poszczególne opcje s� identyfikowane za pomoc� pojedynczych bitóww tym bajcie. W pakiecie TCP mo�na ustawi� jednocze�nie wiele opcji, co ozna-cza brak mo�liwo�ci efektywnego filtrowania za pomoc� prostego wyra�eniatcp[13], poniewa� ten bit RST móg� zosta� ustawiony z ró�nych powodów. Dla-tego konieczne jest dok�adne wskazanie w bajcie po�o�enia, które ma zosta� prze-analizowane. W tym celu do sk�adnika nale�y do��czy� znak & i poda� po�o�enietego sk�adnika. Opcja RST jest przedstawiana za pomoc� bitu o liczbie 4. Gotowyfiltr ma nast�puj�c� posta�:
tcp[13] & 4 == 4
Aby zobaczy� wszystkie pakiety wraz z ustawion� opcj� PSH, która w oma-wianym bajcie jest przedstawiona za pomoc� bitu znajduj�cego si� w po�o�eniu 8,filtr powinien mie� posta�:
tcp[13] & 8 == 8
90 R o z d z i a � 4
Przyk�adowe wyra�enia filtrów przechwytywania danychPrzekonasz si�, �e sukces lub pora�ka podczas analizy pakietów bardzo cz�stozale�y od Twoich mo�liwo�ci w dziedzinie tworzenia filtrów odpowiednich dodanej sytuacji. W tabeli 4.3 wymieniono kilka przyk�adowych filtrów przechwy-tywania danych, których u�ywam najcz��ciej.
Tabela 4.3. Najcz��ciej u�ywane filtry przechwytywania danych
Filtr Opis
tcp[13] & 32 == 32 pakiety TCP wraz z ustawion� opcj� URG
tcp[13] & 16 == 16 pakiety TCP wraz z ustawion� opcj� ACK
tcp[13] & 8 == 8 pakiety TCP wraz z ustawion� opcj� PSH
tcp[13] & 4 == 4 pakiety TCP wraz z ustawion� opcj� RST
tcp[13] & 2 == 2 pakiety TCP wraz z ustawion� opcj� SYN
tcp[13] & 1 == 1 pakiety TCP wraz z ustawion� opcj� FIN
tcp[13] == 18 pakiety TCP SYN-ACK
ether host 00:00:00:00:00:00(adres zast�p swoim adresem MAC)
ruch do podanego adresu MAC oraz z tego adresu
!ether host 00:00:00:00:00:00(adres zast�p swoim adresem MAC)
ruch, który nie przychodzi do podanego adresu MACoraz nie wychodzi z niego
broadcast tylko ruch rozg�aszaj�cy
icmp tylko ruch ICMP
icmp[0:2] == 0x0301 urz�dzenie docelowe ICMP jest niedost�pne,komputer jest niedost�pny
ip tylko ruch IPv4
ip6 tylko ruch IPv6
udp tylko ruch UDP
Filtry wy�wietlaniaFiltr wy�wietlania to ten, który po zastosowaniu wzgl�dem pliku zawieraj�cegoprzechwycone dane nakazuje narz�dziu Wireshark wy�wietlenie jedynie pakie-tów spe�niaj�cych kryteria tego filtru. Filtr wy�wietlania mo�na zdefiniowa�w polu Filter znajduj�cym si� nad panelem Packet List.
Filtry wy�wietlania s� u�ywane cz��ciej ni� filtry przechwytywania danych,poniewa� pozwalaj� filtrowa� pakiety bez rzeczywistego pomini�cia pozosta�ychdanych zebranych w pliku. W ten sposób, je�li b�dziesz musia� powróci� do pocz�t-kowego zbioru zebranych danych, wystarczy po prostu usun�� wyra�enie filtru.
Filtr wy�wietlania mo�esz wykorzysta� do ukrycia nieistotnego w danej chwiliruchu sieciowego zebranego w pliku przechwyconych danych. Przyk�adowo:mo�esz ukry� ruch pakietów ARP w panelu Packet List, kiedy te pakiety nie maj��adnego zwi�zku z aktualnie rozwi�zywanym problemem. Jednak poniewa� pakietyARP mog� by� u�yteczne pó�niej, lepszym rozwi�zaniem jest ich tymczasoweukrycie zamiast trwa�ego usuni�cia.
P r a c a z p r zec h wyc onym i p a k i e t am i 91
Aby odfiltrowa� wszystkie pakiety ARP w oknie przechwytywania, po prostuumie�� kursor w polu tekstowym Filter znajduj�cym si� na górze panelu PacketList, a nast�pnie wprowad� wyra�enie !arp, które spowoduje ukrycie wszystkichpakietów ARP w panelu Packet List (zob. rysunek 4.12). Usuni�cie filtru nast�pujepo naci�ni�ciu przycisku Clear.
Rysunek 4.12. Utworzenie filtru wy�wietlania za pomoc� pola Filterznajduj�cego si� nad panelem Packet List
Okno dialogowe Filter ExpressionPokazane na rysunku 4.13 okno dialogowe Filter Expression znacznie u�atwiapocz�tkuj�cym u�ytkownikom narz�dzia Wireshark tworzenie filtrów przechwy-tywania danych i filtrów wy�wietlania. Aby wy�wietli� to okno, nale�y nacisn��przycisk Capture Filter w oknie dialogowym Capture Options, a nast�pnie przyciskExpression.
Rysunek 4.13. Okno dialogowe Filter Expression umo�liwia �atwe tworzenie filtróww narz�dziu Wireshark
Po lewej stronie okna dialogowego znajduj� si� wszystkie dost�pne do u�yciaprotoko�y. W tych polach mo�na okre�li� wszystkie mo�liwe kryteria filtru. Abyutworzy� filtr, wykonaj nast�puj�ce kroki:
92 R o z d z i a � 4
1. W celu wy�wietlenia kryteriów zwi�zanych z danym protoko�em rozwi�ten protokó�, klikaj�c symbol plusa znajduj�cy si� obok jego nazwy.Po znalezieniu szukanego kryterium, na którym b�dzie oparty filtr,kliknij je w celu zaznaczenia.
2. Nast�pnie okre�l, w jaki sposób wybrane kryterium b�dzie zale�a�o odzdefiniowanej dla niego warto�ci. Dost�pne opcje to: równy, wi�kszy ni�,mniejszy ni� itd.
3. Utwórz wyra�enie filtru poprzez podanie warto�ci kryterium, która b�dziemia�a zwi�zek z wybranym polem. T� warto�� mo�esz zdefiniowa� samlub mo�esz wybra� jedn� ze zdefiniowanych w narz�dziu Wireshark.
4. Na ko�cu kliknij przycisk OK i wy�wietl tekstow� wersj� przygotowanegofiltru.
Okno dialogowe Filter Expression to doskona�a pomoc dla pocz�tkuj�cychu�ytkowników. Po nabyciu pewnej wprawy przekonasz si�, �e r�czne tworzeniewyra�e� filtrów znacznie zwi�ksza ich efektywno��. Sk�adnia wyra�enia filtruwy�wietlania jest bardzo prosta i daje ogromne mo�liwo�ci.
Struktura sk�adni wyra�enia filtru (trudniejszy sposób)Filtry przechwytywania lub wy�wietlania danych najcz��ciej b�dziesz wykorzy-stywa� do przeprowadzania filtrowania na podstawie danego protoko�u. Za�ó�my,�e rozwi�zujesz problem zwi�zany z TCP, wi�c w pliku zawieraj�cym przechwy-cone dane chcesz widzie� tylko ruch sieciowy TCP. W takim przypadku prostyfiltr tcp jest idealnym rozwi�zaniem.
Spójrzmy jednak na to z innej strony. Wyobra� sobie, �e w trakcie procesuusuwania problemu zwi�zanego z TCP bardzo cz�sto u�ywasz polecenia ping,generuj�c w ten sposób znaczn� ilo�� ruchu sieciowego ICMP. Ruch ICMP mo�eszukry� w pliku zawieraj�cym przechwycone dane poprzez u�ycie wyra�enia filtruo postaci !icmp.
Operatory porównania umo�liwiaj� porównywanie warto�ci. Przyk�adowo:podczas usuwania problemów w sieciach TCP/IP bardzo cz�sto zachodzi potrzebawy�wietlenia wszystkich pakietów odwo�uj�cych si� do konkretnego adresu IP.Operator porównania (==) pozwala na utworzenie filtru wy�wietlaj�cego wszystkiepakiety powi�zane z adresem IP, na przyk�ad 192.168.0.1:
ip.addr==192.168.0.1
Za�ó�my, �e chcesz wy�wietli� tylko te pakiety, których wielko�� jest mniejszani� 128 bajtów. W takim przypadku mo�na u�y� operatora „mniejszy lub równy”(<=) w celu przygotowania nast�puj�cego wyra�enia filtru:
frame.len <= 128
P r a c a z p r zec h wyc onym i p a k i e t am i 93
Operatory porównania wykorzystywane w narz�dziu Wireshark zosta�y wymie-nione w tabeli 4.4.
Operatory logiczne pozwalaj� ��czy� wiele wyra�e� filtrów w pojedynczewyra�enie, co znacznie zwi�ksza efektywno�� dzia�ania filtru. Przyk�adowo: chcemywy�wietli� pakiety wysy�ane tylko do dwóch adresów IP. W tym celu mo�emyu�y� operatora OR do utworzenia pojedynczego wyra�enia filtru, które b�dziewy�wietla�o pakiety zawieraj�ce jeden ze zdefiniowanych adresów:
Tabela 4.4. Operatory porównania stosowane w wyra�eniach filtrów narz�dzia Wireshark
Operator Opis
== równo��
!= nierówno��
> wi�kszy ni�
< mniejszy ni�
>= wi�kszy lub równy
<= mniejszy lub równy
ip.addr==192.168.0.1 or ip.addr==192.168.0.2
Operatory logiczne wykorzystywane w narz�dziu Wireshark zosta�y wymie-nione w tabeli 4.5.
Tabela 4.5. Operatory logiczne stosowane w wyra�eniach filtrów narz�dzia Wireshark
Operator Opis
and obydwa warunki musz� przyj�� warto�� true
or jeden z warunków musi przyj�� warto�� true
xor jeden i tylko jeden warunek mo�e przyj�� warto�� true
not �aden z warunków nie mo�e przyj�� warto�ci true
Przyk�adowe wyra�enia filtrów wy�wietlaniaKoncepcje zwi�zane z tworzeniem wyra�e� filtrów s� ca�kiem proste, ale czasempodczas rozwi�zywania ró�nych problemów trzeba u�ywa� kilku okre�lonychs�ów kluczowych i operatorów. W tabeli 4.6 wymieniono filtry wy�wietlania,z których najcz��ciej korzystam. Pe�n� list� filtrów wy�wietlania w narz�dziuWireshark znajdziesz w dokumentacji dost�pnej na stronie http://www.wireshark.org/docs/dfref/.
Zapis filtrówKiedy rozpoczniesz tworzenie ogromnej liczby filtrów przechwytywania i wy�wie-tlania danych, przekonasz si�, �e pewne z nich s� cz�sto wykorzystywane. Na
94 R o z d z i a � 4
szcz��cie filtru nie musisz wpisywa� za ka�dym razem, gdy chcesz go u�y�, ponie-wa� narz�dzie Wireshark pozwala zapisywa� filtry i pó�niej je wykorzystywa�.Aby zapisa� samodzielnie przygotowany filtr przechwytywania danych, wykonajnast�puj�ce kroki.
Tabela 4.6. Najcz��ciej u�ywane filtry wy�wietlania
Filtr Opis
!tcp.port==3389 wy��cznie ruch RDP
tcp.flags.syn==1 pakiety TCP wraz z ustawion� opcj� SYN
tcp.flags.rst==1 pakiety TCP wraz z ustawion� opcj� RST
!arp wy��cznie ruch ARP
http ca�y ruch HTTP
tcp.port==23 || tcp.port 21 ruch administracyjny w postaci zwyk�ego tekstu (Telnet lub FTP)
smtp || pop || imap ruch poczty elektronicznej w postaci zwyk�ego tekstu (SMTP, POPlub IMAP)
1. Wybierz opcj� menu Capture/Capture Filters w celu wy�wietlenia oknadialogowego Capture Filter.
2. Utwórz nowy filtr, klikaj�c przycisk New znajduj�cy si� po lewej stroniewy�wietlonego okna dialogowego.
3. W polu Filter Name podaj nazw� filtru. 4. W polu Filter String podaj rzeczywiste wyra�enie filtru. 5. Kliknij przycisk Save w celu zapisania wyra�enia filtru na li�cie.
Aby zapisa� samodzielnie przygotowany filtr wy�wietlania danych, wykonajnast�puj�ce kroki.
1. Wybierz opcj� Analyze/Display Filters albo kliknij przycisk Filterznajduj�cy si� nad panelem Packet List. W ten sposób na ekraniewy�wietli si� okno dialogowe Display Filter (zob. rysunek 4.14).
2. Utwórz nowy filtr, klikaj�c przycisk New znajduj�cy si� po lewej stroniewy�wietlonego okna dialogowego.
3. W polu Filter Name podaj nazw� filtru. 4. W polu Filter String podaj rzeczywiste wyra�enie filtru. 5. Kliknij przycisk Save w celu zapisania wyra�enia filtru na li�cie.
Narz�dzie Wireshark zawiera wiele wbudowanych wzorcowych filtrów. Mo-�esz je wykorzysta� (wraz z dokumentacj� narz�dzia Wireshark) podczas tworze-nia w�asnych filtrów. Filtry b�dziemy stosowa� w wielu przyk�adach przedstawio-nych w tej ksi��ce.
P r a c a z p r zec h wyc onym i p a k i e t am i 95
Rysunek 4.14. Okno dialogowe Display Filter umo�liwia zapis wyra�e filtrów
96 R o z d z i a � 4
Skorowidz
Aadres IP, 123
adres sieci, 124adres urz�dzenia, 124alokacja bitów, 124maska sieci, 124skrót CIDR, 125
adres MAC, 31, 118AirPcap, 264
konfiguracja, 265Blink Led, 265Capture Type, 265Channel, 265FCS Filter, 266Include 802.11 FCS in
Frames, 265Interface, 265WEP Configuration, 266
WinPcap, 265analiza pakietów, 22
b��d programisty, 199przegl�danie komunikacji
FTP, 201tworzenie filtru, 200
brak dost�pu do internetu, 183odpowied� na zapytanie
DNS, 191próba okre�lenia nazwy DNS,
184próba ustalenia adresu MAC,
187szukanie bramy domy�lnej
sieci, 184zapytanie DNS dotycz�ce
rekordu A, 191brak dost�pu do serwerów
aplikacji sieciowych, 196ESPN.com, 179
okno Conversations, 179okno Protocol Hierarchy
Statistics, 179przechwytywanie, 179przegl�danie ruchu DNS, 181
wy�wietlanie ��da� HTTP, 182Facebook, 172
proces logowania, 176przechwytywanie, 176wiadomo�ci prywatne, 177
hermetyzacja danych, 29przedstawienie graficzne, 30jednostka danych protoko�u, 29praktyczny przyk�ad, 29
koncentrator, 41kolizja, 42
pocz�tkowy proces negocjacjiTCP, 221
protoko�y, 24wspólne cechy, 24
przechwytywanie, 40ESPN.com, 179Facebook, 176koncentrator, 41lokalizacja sniffera, 56prze��cznik sieciowy, 43, 57router, 54Twitter, 172Wireshark, 65WLAN, 260
prze��cznik sieciowy, 43okno widoczno�ci, 43
punkt odniesienia, 225sniffer, 22
czynniki wyboru, 22OmniPeek, 22proces dzia�ania, 23tcpdump, 22Wireshark, 22wybór lokalizacji, 40
tryb mieszany, 40Twitter, 172
proces logowania, 172przechwytywanie, 172przekazywanie danych, 174wiadomo�ci bezpo�rednie, 175
Wireshark, 76dekoder protoko�u, 104, 114filtry, 83
format wy�wietlania czasu, 78funkcja odniesienia czasu, 79grafika, 110konwersacje sieciowe, 99konwersja strumieni TCP, 108okre�lanie nazw, 103oznaczanie pakietów, 77punkty ko�cowe, 98rozk�ad protoko�ów w pliku,
102szczegó�owa analiza
protoko�u, 104wielko��, 109wydruk pakietów, 77wymuszone dekodowane, 105wyszukiwanie pakietów, 76
WLAN, 260AIRPcap, 266iwconfig, 268przechwytywanie, 260tryby dzia�ania kart, 264
zapewnienie bezpiecze�stwa,231foolprinting, 232IDS, 231skanowanie TCP SYN, 232WEP, 275w�amanie, 240WPA, 275WPA2, 275
zasoby, 288analiza protoko�u, Patrz analiza
pakietów
Bbezpiecze�stwo, 231
foolprinting, 232skanowanie TCP SYN, 232wykrywanie systemu
operacyjnego, 237IDS, 231skanowanie TCP SYN, 232
292 S k o r o w i d z
bezpiecze�stwoskanowanie TCP SYN
identyfikacja otwartychi zamkni�tych portów, 236
mo�liwe odpowiedzi, 233u�ycie filtrów, 234
WEP, 275nieudany proces
uwierzytelnienia, 278udany proces
uwierzytelnienia, 277w�amanie, 240
ko� troja�ski, 248Operacja Aurora, 240zatrucie bufora ARP, 246
WPA, 275nieudane uwierzytelnienie, 280proces negocjacji, 279udane uwierzytelnienie, 278
WPA2, 275wykrywanie systemu
operacyjnego, 237aktywne, 239pasywne, 238
broadcast, 35adres rozg�oszeniowy, 36domena rozg�oszeniowa, 36
CCain & Abel, 51, 284
aktywowanie sniffera, 51zatrucie bufora ARP, 53
CloudShark, 285przegl�danie pliku, 286
Colasoft Packet Builder, 284
Ddekoder protoko�u, 104
informacje zaawansowane, 114Chat, 114, 115Error, 115, 116Note, 114, 116Warning, 115, 116
Domain Dossier, 288
EESPN.com, 179
przechwytywanie pakietów, 179okno Conversations, 179okno Protocol Hierarchy
Statistics, 179przegl�danie ruchu DNS, 181wy�wietlanie ��da� HTTP, 182
FFacebook, 172
proces logowania, 176przechwytywanie pakietów, 176wiadomo�ci prywatne, 177
filtry, 83, 272nazwy komputera i adresu, 86pola protoko�u, 88portów, 87protoko�ów, 88przechwytywania, 83
najcz��ciej u�ywane, 90schemat prostego filtra, 86sk�adnia BPF, 84zapis, 94
WLAN, 272filtrowanie cz�stotliwo�ci, 275filtrowanie typów pakietów, 274wskazany punkt dost�powy,
273wy�wietlania, 83, 90
najcz��ciej u�ywane, 94zapis, 94
fragmentacja pakietu, 128MTU, 128
Hhermetyzacja danych, 29
przedstawienie graficzne, 30jednostka danych protoko�u, 29praktyczny przyk�ad, 29
hping, 287hubbing out, 45
Iiwconfig, 268
Jjeden do jednego, Patrz unicastjeden do wielu, Patrz multicastjeden do wszystkich, Patrz
broadcast
Kkoncentrator, 31
przechwytywanie pakietów, 41przep�yw ruchu sieciowego, 32
kontrola przep�ywu danych TCP, 213mechanizm przesuwaj�cego si�
okna, 214bufor TCP, 214dostosowanie wielko�ci
okna, 215
okno odbiorcy, 214pakiet keep-alive, 216, 219, 221powiadomienie o zerowej
wielko�ci okna, 216, 219, 221konwersacja sieciowa, 98ko� troja�ski, 248
komunikat ostrze�enia z systemuIDS, 257
konwersacje pomi�dzyatakuj�cym i ofiar�, 252
predefiniowane sygnaturyataków, 249
RAT, 250regu�a Snort, 251usuni�cie zb�dnych bajtów z
pliku JPG, 256wykres operacji wej�cia-wyj�cia,
254
LLAN, 123
adres sieci, 124libpcap, 287
Mmapa sieci, 56maska sieci, 124
skrót CIDR, 125model OSI, 25
protoko�y, 27hermetyzacja danych, 29
przep�yw danych, 27warstwy, 25
aplikacji, 25fizyczna, 27graficzny model, 28hierarchia, 26��cza danych, 27prezentacji, 25protoko�y, 28sesji, 26sieciowa, 26transportowa, 26
multicast, 35, 37
Nnarz�dzia
Cain & Abel, 51, 284CloudShark, 285
przegl�danie pliku, 286Colasoft Packet Builder, 284Domain Dossier, 288hping, 287libpcap, 287Netdude, 284
modyfikowanie pakietów, 285
S k o r o w i d z 293
NetworkMiner, 287ngrep, 287Nmap, 233pcapr, 285
przegl�danie DHCP, 286Scapy, 284tcpdump, 284Tcpreplay, 287Wireshark, 59
filtry, 83grupa Time Display Format, 79okno Capture Options, 80, 85,
104okno Coloring Rules, 70okno Conversations, 99, 101,
180okno Decode As, 106okno Display Filter, 95okno Edit Color Filter, 70okno Endpoints, 99, 101okno Expert Infos, 115okno Filter Expression, 91okno Find Packet, 76okno Follow TCP Stream, 108okno g�ówne, 67okno IO Graphs, 110okno Merge with capture
file, 75okno Packet Lengths, 109okno preferencji, 68okno Print, 78okno Protocol Hierarchy
Statistics, 102, 180okno Save As, 74okno Summary, 183pole Filter, 91sekcja Capture, 81sekcja Capture File(s), 81sekcja Display Options, 83sekcja Name Resolution, 83sekcja Stop Capture, 82
Netdude, 284modyfikowanie pakietów, 285
NetworkMiner, 287ngrep, 287Nmap, 233
skanowanie SYN, 233
Ookre�lanie nazw, 103Operacja Aurora, 240
atak spear phishing, 240interakcja z wierszem polece�
ofiary, 244sposób dzia�ania luki
w zabezpieczeniach, 244
tre�� w znaczniku <script>, 242��danie HTTP GET, 241
opó�nienie, 206duplikaty potwierdze� TCP, 209lokalizacja �ród�a opó�nie�, 221
analiza pocz�tkowego procesunegocjacji TCP, 221
po stronie klienta, 223po stronie serwera, 224punkt odniesienia, 221, 225punkt odniesienia
dla aplikacji, 228punkt odniesienia
dla komputera, 227punkt odniesienia dla miejsca,
226struktura poszukiwa�, 225z winy sieci, 222
mechanizm przesuwaj�cego si�okna, 214
ponowna transmisja pakietuTCP, 206
Ppakiety, 21
analiza, 22dekoder protoko�u, 104, 114filtry, 83format wy�wietlania czasu, 78funkcja odniesienia czasu, 79grafika, 110hermetyzacja danych, 29konwersacje sieciowe, 99konwersja strumieni TCP, 108okre�lanie nazw, 103oznaczanie, 77protoko�y, 24punkty ko�cowe, 98rozk�ad protoko�ów w pliku,
102sniffer, 22szczegó�owa analiza
protoko�u, 104Wireshark, 76wydruk, 77wyszukiwanie, 76zapewnienie bezpiecze�stwa,
231zasoby, 288
jednostka danych protoko�u, 29przechwytywanie, 40
ESPN.com, 179Facebook, 176koncentrator, 41konfiguracja opcji, 80lokalizacja sniffera, 56
prze��cznik sieciowy, 43, 57router, 54tryb mieszany, 40Twitter, 172WLAN, 260Wireshark, 65
struktura pakietu 802.11, 269transmisja, 24
adresy MAC, 118broadcast, 35koncentrator, 31konwersacje sieciowe, 98model OSI, 25multicast, 35prze��cznik sieciowy, 32punkty ko�cowe, 97router, 33routing, 34tabele CAM, 118unicast, 35
wielko��, 109pcapr, 285
przegl�danie DHCP, 286Perl, 288ping, 142
proces dzia�ania, 143proces DORA, Patrz proces odnowy
DHCPproces negocjacji TCP, 135
flaga SYN, 135maksymalna wielko�� segmentu,
135odpowied� SYN/ACK, 137pakiet ACK, 136, 137pakiet SYN/ACK, 136pocz�tkowy numer sekwencyjny,
135pocz�tkowy pakiet SYN, 136
proces odnowy DHCP, 150pakiet odkrycia, 151
Client identifier, 153DHCP Message type, 153Parameter Request List, 153Requested IP Address, 153
pakiet oferty, 153pakiet potwierdzenia, 155pakiet ��dania, 154
proces odnowy dzier�awy DHCP,156
protoko�y, 24ARP, 40, 118
bezp�atny pakiet, 122nag�ówek, 119odpowied�, 118, 121okre�lanie adresu
docelowego, 119przetwarzanie, 50
294 S k o r o w i d z
protoko�yARPstruktura, 120��danie, 118, 120
BOOTP, 149dekoder, 104
analiza kodu �ród�owego, 107informacje zaawansowane, 114zmiana, 105
DHCP, 150opcje, 156pakiet odkrycia, 151pakiet oferty, 153pakiet potwierdzenia, 155pakiet ��dania, 154proces odnowy, 150proces odnowy dzier�awy, 156struktura, 150typy wiadomo�ci, 157
DNS, 156architektura serwera, 156odpowied�, 160rekurencja, 160strefa DNS, 164struktura, 157typy rekordów zasobów, 160zapytanie, 159
HTTP, 29, 166kody odpowiedzi, 168pakiet HTTP POST, 169przegl�danie zasobów, 166przekazywanie danych, 168��danie HTTP GET, 167
ICMP, 141nag�ówek, 141odpowiedzi na ��danie, 144ping, 142traceroute, 145typy, 142��dania echo, 144
IP, 29, 123adres IP, 123fragmentacja, 128nag�ówek, 125, 127struktura, 126TTL, 127
model OSI, 25, 27hermetyzacja danych, 29
okre�lanie nazw, 103RFC, 118routing, 34SSL, 105stos, 24TCP, 130
bufor TCP, 214duplikat ACK, 209, 212kontrola przep�ywu danych, 213
mechanizm przesuwaj�cegosi� okna, 214
nag�ówek, 131ponowna transmisja pakietu,
206porty, 132porty standardowe, 133porty ulotne, 133potwierdzenia selektywne, 213proces negocjacji, 135RTO, 206RTT, 206sekwencje i potwierdzenia, 210usuwanie b��dów, 206wykres procesu retransmisji,
207zako�czenie komunikacji, 137zerowanie, 138zw�oka retransmisji, 206
UDP, 139nag�ówek, 140
wspólne cechy, 24przechwytywanie pakietów, 40
ESPN.com, 179okno Conversations, 179okno Protocol Hierarchy
Statistics, 179Facebook, 176
proces logowania, 176wiadomo�ci prywatne, 177
koncentrator, 41pod��czenie sniffera, 42
lokalizacja sniffera, 56prze��cznik sieciowy, 43
hubbing out, 45kopiowanie ruchu na
wskazany port, 43rozga���nik sieciowy, 46techniki przechwytywania, 57zatrucie bufora ARP, 49
router, 54lokalizacja sniffera, 54
tryb mieszany, 40Twitter, 172
proces logowania, 172przekazywanie danych, 174wiadomo�ci bezpo�rednie, 175
Wireshark, 66, 80konfiguracja, 80��czenie plików, 75okno Capture Options, 80sekcja Capture, 81sekcja Capture File(s), 81sekcja Display Options, 83sekcja Name Resolution, 83sekcja Stop Capture, 82wybór interfejsu, 66
zapis pakietów, 74WLAN, 260
AirPcap, 266iwconfig, 268tryby dzia�ania kart, 264zak�ócenia sygna�u, 261
prze��cznik sieciowy, 32przechwytywanie pakietów, 43, 57
hubbing out, 45kopiowanie ruchu na
wskazany port, 43rozga���nik sieciowy, 46zatrucie bufora ARP, 49
przep�yw ruchu sieciowego, 34tabele CAM, 118zarz�dzany, 33
punkt ko�cowy, 97punkt odniesienia, 221, 225
dla aplikacji, 228szybko�� transferu danych, 228uruchamianie i zamykanie, 228u�ywane protoko�y, 228zwi�zki i zale�no�ci, 228
dla komputera, 227ruch sieciowy, 227sekwencje uwierzytelnienia,
227uruchamianie i zamykanie, 227u�ywane protoko�y, 227zwi�zki i zale�no�ci, 228
dla miejsca, 226rozg�oszeniowy ruch sieciowy,
226sekwencje uwierzytelniania,
226szybko�� transferu danych, 226u�ywane protoko�y, 226
tworzenie, 229Python, 288
RRFC, 118router, 33
przechwytywanie pakietów, 54lokalizacja sniffera, 54
przep�yw ruchu sieciowego, 36routing, 34
zilustrowanie koncepcji, 34rozga���nik sieciowy, 46
agregowany, 47pod��czenie, 48
nieagregowany, 48pod��czenie, 49
wybór, 49RTT, 112
S k o r o w i d z 295
SScapy, 284sie� lokalna, Patrz LANsk�adnia BPF, 84
kwalifikatory, 85sk�adnik podstawowy, 85wyra�enie, 85
skrót CIDR, 125sniffing pakietów, Patrz analiza
pakietówstrefa DNS, 164
transfer strefy, 164pe�ny, 164przyrostowy, 164
Ttabele CAM, 118tcpdump, 284
Windump, 284Tcpreplay, 287traceroute, 145
proces dzia�ania, 145przyk�adowe dane wyj�ciowe, 147
TTL, 126Twitter, 172
proces logowania, 172proces uwierzytelnienia, 173zaszyfrowany proces
negocjacji, 173przechwytywanie pakietów, 172
proces logowania, 172przekazywanie danych, 174wiadomo�ci bezpo�rednie, 175
Uunicast, 35, 37usuwanie b��dów protoko�u TCP,
206duplikaty potwierdze�, 209
duplikat ACK, 209, 210, 212,220
sekwencje i potwierdzenia, 210ponowna transmisja pakietu, 206,
220maksymalna liczba prób
retransmisji, 207przyk�ad retransmisji, 208RTO, 206RTT, 206wykres procesu retransmisji,
207zw�oka retransmisji, 206
potwierdzenia selektywne, 213
WWEP, 275Wireshark, 59
dekoder protoko�u, 104analiza kodu �ród�owego, 107informacje zaawansowane,
114okno Expert Infos, 115zmiana, 105
ESPN.com, 180okno Conversations, 180okno Protocol Hierarchy
Statistics, 180okno Summary, 183
filtry, 83nazwy komputera i adresu, 86okno Capture Options, 85okno Display Filter, 95okno Filter Expression, 91operatory, 93operatory porównania, 93pola protoko�u, 88pole Filter, 91portów, 87protoko�ów, 88przechwytywania, 84, 86, 90rodzaje, 83sk�adnia BPF, 84struktura sk�adni wyra�enia, 92tworzenie, 91wy�wietlania, 90zapis, 93
format wy�wietlania czasu, 78grupa Time Display Format, 79
funkcja odniesienia czasu, 79grafika, 110
okno IO Graphs, 110wykres operacji wej�cia-
wyj�cia, 111, 112wykres przep�ywu danych, 113wykres RTT, 112
kolorowanie pakietów, 69okno Coloring Rules, 70okno Edit Color Filter, 70
konwersacje sieciowe, 99okno Conversations, 99
konwersja strumieni TCP, 108okno Follow TCP Stream, 108
koszt, 60��czenie plików, 75
okno Merge with capture file,75
obs�ugiwane protoko�y, 60obs�ugiwane systemy operacyjne,
61okno g�ówne, 67
Packet Bytes, 68
Packet Details, 68Packet List, 67
okno preferencji, 68Capture, 69Name Resolution, 69Printing, 69Protocols, 69Statistics, 69User Interface, 68
okre�lanie nazw, 103Enable MAC name
resolution, 103Enable network name
resolution, 103Enable transport name
resolution, 103okno Capture Options, 104wady, 104w��czenie funkcji, 103
oznaczanie pakietów, 77pomoc techniczna, 61proces instalacyjny, 61
Linux, 63Mac OS X, 64minimalne wymagania
systemowe, 61Windows, 62
przechwytywanie pakietów, 66, 80��czenie plików, 75okno Capture Options, 80sekcja Capture, 81sekcja Capture File(s), 81sekcja Display Options, 83sekcja Name Resolution, 83sekcja Stop Capture, 82wybór interfejsu, 66zapis pakietów, 74
przyjazno�� dla u�ytkownika, 60punkty ko�cowe, 98
okno Endpoints, 99rozk�ad protoko�ów w pliku, 102
okno Protocol HierarchyStatistics, 102
wielko�� pakietów, 109okno Packet Lengths, 109
WLAN, 272okno Preferences, 272
wydruk pakietów, 77okno Print, 78
wymuszone dekodowanie, 105okno Decode As, 106
wyszukiwanie pakietów, 76Display filter, 76Hex value, 76okno Find Packet, 76rodzaje operacji, 77String, 76
296 S k o r o w i d z
Wiresharkzalety, 60zapisywanie przechwyconych
pakietów, 74okno Save As, 74
WLAN, 260AirPcap, 264
narz�dzie konfiguracyjne, 266BSS ID, 273filtry, 272
filtrowanie cz�stotliwo�ci, 275filtrowanie typów pakietów,
274wskazany punkt dost�powy,
273iwconfig, 268Kana�, 260
pakiety 802.11, 269Dane, 270Kontrola, 269nag�ówek, 270struktura, 270Zarz�dzanie, 269
przechwytywanie pakietów, 260AirPcap, 266iwconfig, 268tryby dzia�ania kart, 264zak�ócenia sygna�u, 261
tryby dzia�ania kart, 263dora�ny, 263master, 263monitorowania, 263zarz�dzany, 263
zak�ócenia sygna�u, 261analizator spektrum, 262
WPA, 275WPA2, 275wymuszone dekodowanie, 105
Zzako�czenie komunikacji TCP, 137
flagi FIN/ACK, 138zatrucie bufora ARP, 49
atak MITM, 246, 249Cain & Abel, 53monitorowane punkty ko�cowe,
247przetwarzanie, 50zasada dzia�ania, 50