Tavasz

2014

UNIVERSITAS SCIENTIARUM SZEGEDIENSIS

UNIVERSITY OF SZEGED
Department of Software Engineering

Szmtgp-hlzatok 2. gyakorlat
Wireshark
Bord Sndor

Szegedi Tudomnyegyetem

Tartalmojegyzk
Bevezets ............................................................................................................................... 3
Wireshark.............................................................................................................................. 3
Elmleti htter .............................................................................................................................. 3
OSI model .................................................................................................................................................. 3
IP (Internet Protocol) ........................................................................................................................... 4
TCP (Transmission Control Protocol) ........................................................................................... 4
Ismertebb portszmok......................................................................................................................... 4
Gyakorlati httr ......................................................................................................................... 4
Elfogsi szrk (Capture filter) ........................................................................................................ 6
Munka az elfogott csomagokkal ....................................................................................................... 6
Megjelentsi szrk (Display filters)............................................................................................ 8
Szrkifejezsek ltrehozsa, trolsa ......................................................................................... 8
Csomagok keresse ............................................................................................................................... 8
Csomagok megjellse, ignorlsa ................................................................................................. 8
Adatok mentse, betltse ................................................................................................................. 9
Minta beugr krdsek ............................................................................................................. 9

Bevezets
Ez a gyakorlat a Wireshark nev hlzati forgalom figyel program hasznlatrl
fog szlni. Segtsgvel elkaphatjuk s elemezhetjk a hlzaton kzleked
csomagokat.
A program nhny felhasznlsi terlete:

hlzati problmk feldertse rendszergazdk szmra

hlzati biztonsgi szakembereknek biztonsgi rsek feldertse

fejlesztk hasznlhatjk a protokoll implementcik tesztelsre,

debuggolsra

segtsgvel megrthet a hlzatok mkdse (pl. ez a kurzus)

s mg sok ms felhasznlsi terlet

A program nhny fbb jellemzje:

ingyenesen elrhet (wireshark.org), ugyan itt tutorial is tallhat

Linuxos s Windowsos verzi is van belle

elkapja egy hlzati interfszre rkez adatcsomagokat, ezekrl rszletes

informcit szolgltat

korltozhat az elfogni kvnt, illetve elfogs utn a megjelentett

csomagok kre

a csomagok kereshetk tbb mdon

a forgalmi adatok elmenthetk s betlthetk

s vgl: mire nem j a Wireshark?

Nem akadlyozza meg, illetve nem figyelmeztet kls behatols esetn.

Ennek ellenre, felhasznlhatk a klns dolgok feldertsre.

Nem lehet vele manipullni a hlzatot, hanem csak mrni, megfigyelni

lehet azt.

Wireshark
Elmleti htter
Mivel a program segtsgvel a hlzaton kzleked csomagokat lehet elkapni s
megvizsglni, rdemes megismerkedni az ehhez kapcsold fogalmakkal.

OSI model
A modell a klnbz protokollok ltal nyjtott funkcikat egy rendszerbe
szervezi. Jellemzje, hogy minden rgete csak a kzvetlenl felette lv rtegnek
adhat s csak a kzvetlenl alatta lvtl krhet szolgltatst. Az egyes rtegek

megvalsthatk szoftveresen, hardveresen vagy a kett keverkeknt. A

szabvny lehetv teszi, hogy a ms gyrtk ltal ksztett hardverek s
szoftverek gondtalanul egyttmkdhessenek, feltve, ha kvetik az elrsokat.
Bvebben: http://hu.wikipedia.org/wiki/OSI_modell
Angolul: http://en.wikipedia.org/wiki/OSI_model

IP (Internet Protocol)
A legismertebb protokoll a hlzati rtegben. Az IP a szlltsi rtegtl kapott
adatokat datagramokra bontja. Egy datagram egy fej- s egy szvegrszbl ll. A
fejrszben eltrolsra kerl a kld s a cmzett szmtgp IP cme is.
Bvebben: http://hu.wikipedia.org/wiki/IP
Angolul: http://en.wikipedia.org/wiki/Internet_Protocol

TCP (Transmission Control Protocol)

A TCP a szlltsi rteg protocolja ( 4. az OSI modellben ). A szmtgpes
hlzatokon mkd alkalmazsok tbbsgnek megbzhat tvitelre van
szksge. Az IP ltal tovbbtott datagramok elveszhetnek a hlzaton, esetleg
mdosulhatnak. A TCP protocol feladata az adatok hibtlan, helyes sorrend,
hinytalan s dupliktumok nlkl val tovbbtsa. Kpes az elveszett
csomagokat jrakldeni, a helytelen sorrendet pedig visszarendezni. A TCP az
adatokat szegmensek formjban tovbbtja.
Bvebben: http://hu.wikipedia.org/wiki/Transmission_Control_Protocol
Angolul: http://en.wikipedia.org/wiki/Transmission_Control_Protocol

Ismertebb portszmok

7 echo

21 FTP

22 SSH

23 TELNET

25 SMTP

53 DNS

80 HTTP

110 POP3

143 IMAP

443 HTTPS

Gyakorlati httr
A mrs indtshoz a Capture men Interfaces menpontjra kell
kattintani (az eszkztron balrl az els ikon). Ekkor a felugr ablakban
lthatjuk az elrhet hlzati interfszeket, amiknek a forgalmt figyelhetjk.

1. bra Interfsz vlaszt ablak

Ha megfelelnek az alaprtelmezett belltsok, akkor a Start gombra kattintva

azonnal indthatjuk a mrst. Hogy melyik interfszre van szksgnk, az IP
cme alapjn tudjuk eldnteni (az 1. brn a msodik kell neknk). Az Options
gombra kattintva bellthatjuk a mrs paramtereit.

2. bra Belltsok

Itt most csak egy-kt rdekesebb belltst fogunk megnzni, de a teljes lers
megtallhat
a
hivatalos
tutorialban
(http://www.wireshark.org/docs/wsug_html_chunked/ChCapCaptureOptions.h
tml).

Az els ilyen belltsi lehetsg a Capture packets in promiscuous mode

jellngyzet. Alaphelyzetben a program csak a sajt szmtgpnknek cmzett
csomagokat fogja el. Ha bekapcsoljuk ezt a mdot (teht kipipljuk a
jellngyzetet), akkor minden, a hlzati adapteren tfoly csomagot elkapunk,
nem csak ami neknk jn.
A Capture filter felirat melletti sorba adhatunk meg elfogsi szrt.

Elfogsi szrk (Capture filter)

Ezek a szrk arra jk, hogy leszktsk az elfogott csomagok krt. A szrk
ltalnos alakja:
[not] primitive [and|or [not] primitive ...]
A szr alap esetben egy primitvbl, vagy tbb primitv ssel vagy vaggyal
trtn sszekapcsolsbl ll. Az egyes primitveket neglhatjuk is a not
szval.
Nhny ilyen primitv:

tcp port <portszm>

host <hostszm>

Tovbbi
primitvek:
http://www.wireshark.org/docs/wsug_html_chunked/ChCapCaptureFilterSecti
on.html#ChCapExFilt2
Plda:
A
telnet
tcp port 23

port

(23)

forgalmnak

elfogsa:

Csak a 10.0.0.5 IP cmre/cmrl rkez telnet csomagokat fogja el:

tcp port 23 and host 10.0.0.5
Tovbbi pldk:
http://wiki.wireshark.org/CaptureFilters

Munka az elfogott csomagokkal

Bellts utn a Start gombra kattintva elindul a forgalom figyelse. A listban
vals idben jelennek meg az elkapott csomagok.

3. bra Csomagok listja

A listban lthat a csomagok legfbb adatai: az elkaps ideje, sorszma (ezzel

tudunk rjuk hivatkozni), felad s fogad IP cme, a protokoll tpusa s egyb
informci. Ha rkattintunk egy csomagra, alul megjelennek a rszletes
informcii (dupla kattints utn j ablakban).
Bizonyos helyekre (fejlc, csomag a listban, rszletes nzet) jobb egrgombbal
kattintva helyi felugr ment hozhatunk el. A helyi menkben tallhat
menpontok
rszletes
lersait
a
http://www.wireshark.org/docs/wsug_html_chunked/ChWorkDisplayPopUpSe
ction.html oldalon olvashatjtok. Ezek kzl nhnyat emelek ki (de a tbbi is
hasznos).
Fejlcre kattintva:

Sort Ascending/Sort Descending: rendezi a csomagokat az adott mez

szerint nvekv/cskken sorrendbe

A listban egy csomagra kattintva:

Apply as Filter: a kivlasztott csomag alapjn szrt hoz ltre s azt

alkalmazza a listra

Follow TCP Stream: megjelenti egy csompont pr kztti TCP

forgalmat

A rszletes nzeten kattintva:

Wiki Protocol Page: megnyitja a bngszben az adott protokoll lerst

Filter Field Reference: az adott protokoll szrjnek referencijt nyitja

meg a bngszben
7

Megjelentsi szrk (Display filters)

Az elfogott s kilistzott csomagokat tovbb szrhetjk. A szrfelttelnek nem
megfelel csomagok nem tnnek el a listbl, csak nem lesznek lthatak.
Szrhetnk egy adott mez megltre, mez rtkre, protokollra
Nhny plda szrkre:

egy adott IP cmre/rl jv csomagok

ip.addr==192.168.0.1

A 25-s (SMTP) port csomagjait jelentsk csak meg

tcp.port eq 25

Csak a 10.0.0.5 cmrl rkez csomagokat mutassuk meg

ip.src==10.0.0.5

Tovbbi pldk: http://wiki.wireshark.org/DisplayFilters

Szrprimitvek: http://www.wireshark.org/docs/dfref/

Szrkifejezsek ltrehozsa, trolsa

Ha mg nem vagyunk gyakorlottak a szrkifejezsek ltrehozsban, vagy egy
adott protokollra vonatkoz primitvekben, akkor segtsgnkre lehet a Filter
Expression dialgusablak. Ez a Analyze menpont, azon bell Display
filters menpontbl rhet el. Itt lthatk a mr korbban ltrehozott szrk
(van nhny alapbl). Az Expression gombra kattintva kapunk egy listt, ahol
protokollok szerint rendezve megtalljuk az sszes primitvet valamint relcit.
Ezek segtsgvel knnyen sszellthatjuk a sajt szrkifejezsnket. Ha nevet
is adunk neki, akkor ksbb jra felhasznlhatjuk.

Csomagok keresse
Lehetsgnk van egy adott csomag megkeressre. Erre az Edit men Find
packet menpont (vagy a kis nagyt ikon az eszkztron) szolgl.
Kereshetnk szr alapjn, byte szekvencira vagy szvegrszre.

Csomagok megjellse, ignorlsa

A csomagok listjban megjellhetnk, ignorlhatunk egyes csomagokat. Ezt gy
tehetjk meg, hogy a kvnt csomagra jobb gombbal kattintunk, s ott a Mark
packet (jells) vagy Ignore packet (ignorls) ment vlasztjuk.
Megjellskor fekete httrsznt kap a csomag, gy ksbb knnyebb lesz
megtallni.
Ignorlskor fehr htterre s szrke betsznre vlt a csomag. Az ignorlt
csomagok nem kerlnek mentsre, teht a program bezrsa utn ez elveszik.

Adatok mentse, betltse

Lehetsgnk van korbban elfogott adatok betltsre, illetve az aktulis
forgalom elmentsre (ekkor az ignorlt csomagok nem mentdnek). ssze is
fzhetnk tbb fjlt (pldul, mikor klnbz interfszrl gyjtnk adatokat),
ezt a File men Merge menpontjval tehetjk meg.
Egyszerbb md, ha a kvnt fjlokat egyszerre rhzzuk a munkaterletre.

Beugr krdsek

Az albbiak kzl melyik a Wireshark elnye?

A Wireshark mire nem alkalmas?

Az OSI modell szerint melyik rtegbe tartozik az IP (Internet Protocol)?

Az OSI modell szerint melyik rtegbe tartozik a TCP (Transmission

Control Protocol)?

Melyik a HTTP portszma?

Melyik kifejezssel (capture filter) szrhetnk csak az FTP (21 es port)

forgalomra?

Melyik kifejezssel (capture filter) szrhetnk csak a 192.168.2.133

hostrl s hostra rkez csomokra?

Melyik megjelentsi szrvel (display filter) szrhetnk csak a POP3

(110-es port) prtokoll forgalmra?

Melyik megjelentsi szrvel (display filter) szrhetnk csak a 127.0.0.1

hostrl rkez forgalomra?

Hogy lehet ignorlni egy csomagot a listban?