Professional Documents
Culture Documents
Fall
Tavasz
2012
UNIVERSITAS SCIENTIARUM SZEGEDIENSIS
UNIVERSITY OF SZEGED
Department of Software Engineering
Szmtgp-hlzatok 2.
gyakorlat Wireshark
Bord Sndor
S z e g e d i Tu d o m n y e g y e t e m
Tartalmojegyzk
Bevezets......................................................................... 3
Wireshark.........................................................................3
Elmleti htter.......................................................................3
OSI model............................................................................................. 3
IP (Internet Protocol)............................................................................. 4
TCP (Transmission Control Protocol).....................................................4
Ismertebb portszmok..........................................................................4
Gyakorlati httr....................................................................4
Elfogsi szrk (Capture filter).............................................................6
Munka az elfogott csomagokkal...........................................................6
Megjelentsi szrk (Display filters)....................................................8
Szrkifejezsek ltrehozsa, trolsa.................................................8
Csomagok keresse.............................................................................. 8
Csomagok megjellse, ignorlsa......................................................8
Adatok mentse, betltse...................................................................9
Minta beugr krdsek...........................................................9
2
Bevezets
Ez a gyakorlat a Wireshark nev hlzati forgalom figyel program
hasznlatrl fog szlni. Segtsgvel elkaphatjuk s elemezhetjk a
hlzaton kzleked csomagokat.
A program nhny felhasznlsi terlete:
hlzati problmk feldertse rendszergazdk szmra
hlzati biztonsgi szakembereknek biztonsgi rsek
feldertse
fejlesztk hasznlhatjk a protokoll implementcik
tesztelsre, debuggolsra
segtsgvel megrthet a hlzatok mkdse (pl. ez a
kurzus)
s mg sok ms felhasznlsi terlet
A program nhny fbb jellemzje:
ingyenesen elrhet (wireshark.org), ugyan itt tutorial is
tallhat
Linuxos s Windowsos verzi is van belle
elkapja egy hlzati interfszre rkez adatcsomagokat,
ezekrl rszletes informcit szolgltat
korltozhat az elfogni kvnt, illetve elfogs utn a
megjelentett csomagok kre
a csomagok kereshetk tbb mdon
a forgalmi adatok elmenthetk s betlthetk
s vgl: mire nem j a Wireshark?
Nem akadlyozza meg, illetve nem figyelmeztet kls
behatols esetn. Ennek ellenre, felhasznlhatk a klns
dolgok feldertsre.
Nem lehet vele manipullni a hlzatot, hanem csak mrni,
megfigyelni lehet azt.
Wireshark
Elmleti htter
Mivel a program segtsgvel a hlzaton kzleked csomagokat
lehet elkapni s megvizsglni, rdemes megismerkedni az ehhez
kapcsold fogalmakkal.
3
OSI model
A modell a klnbz protokollok ltal nyjtott funkcikat egy
rendszerbe szervezi. Jellemzje, hogy minden rgete csak a
kzvetlenl felette lv rtegnek adhat s csak a kzvetlenl alatta
lvtl krhet szolgltatst. Az egyes rtegek megvalsthatk
szoftveresen, hardveresen vagy a kett keverkeknt. A szabvny
lehetv teszi, hogy a ms gyrtk ltal ksztett hardverek s
szoftverek gondtalanul egyttmkdhessenek, feltve, ha kvetik az
elrsokat.
Bvebben: http://hu.wikipedia.org/wiki/OSI_modell
Angolul: http://en.wikipedia.org/wiki/OSI_model
IP (Internet Protocol)
A legismertebb protokoll a hlzati rtegben. Az IP a szlltsi
rtegtl kapott adatokat datagramokra bontja. Egy datagram egy
fej- s egy szvegrszbl ll. A fejrszben eltrolsra kerl a kld
s a cmzett szmtgp IP cme is.
Bvebben: http://hu.wikipedia.org/wiki/IP
Angolul: http://en.wikipedia.org/wiki/Internet_Protocol
Ismertebb portszmok
7 echo
21 FTP
22 SSH
23 TELNET
25 SMTP
53 DNS
80 HTTP
4
110 POP3
143 IMAP
443 HTTPS
Gyakorlati httr
A mrs indtshoz a Capture men Interfaces menpontjra
kell kattintani (az eszkztron balrl az els ikon). Ekkor a felugr
ablakban lthatjuk az elrhet hlzati interfszeket, amiknek a
forgalmt figyelhetjk.
5
2. bra Belltsok
Itt most csak egy-kt rdekesebb belltst fogunk megnzni, de a
teljes lers megtallhat a hivatalos tutorialban
(http://www.wireshark.org/docs/wsug_html_chunked/ChCapCaptureO
ptions.html).
Az els ilyen belltsi lehetsg a Capture packets in promiscuous
mode jellngyzet. Alaphelyzetben a program csak a sajt
szmtgpnknek cmzett csomagokat fogja el. Ha bekapcsoljuk
ezt a mdot (teht kipipljuk a jellngyzetet), akkor minden, a
hlzati adapteren tfoly csomagot elkapunk, nem csak ami
neknk jn.
A Capture filter felirat melletti sorba adhatunk meg elfogsi
szrt.
6
A szr alap esetben egy primitvbl, vagy tbb primitv ssel vagy
vaggyal trtn sszekapcsolsbl ll. Az egyes primitveket
neglhatjuk is a not szval.
Nhny ilyen primitv:
tcp port <portszm>
host <hostszm>
Tovbbi primitvek:
http://www.wireshark.org/docs/wsug_html_chunked/ChCapCaptureFil
terSection.html#ChCapExFilt2
Plda:
A telnet port (23) forgalmnak elfogsa:
tcp port 23
Csak a 10.0.0.5 IP cmre/cmrl rkez telnet csomagokat fogja el:
tcp port 23 and host 10.0.0.5
Tovbbi pldk:
http://wiki.wireshark.org/CaptureFilters
7
A listban lthat a csomagok legfbb adatai: az elkaps ideje,
sorszma (ezzel tudunk rjuk hivatkozni), felad s fogad IP cme,
a protokoll tpusa s egyb informci. Ha rkattintunk egy
csomagra, alul megjelennek a rszletes informcii (dupla kattints
utn j ablakban).
Bizonyos helyekre (fejlc, csomag a listban, rszletes nzet) jobb
egrgombbal kattintva helyi felugr ment hozhatunk el. A helyi
menkben tallhat menpontok rszletes lersait a
http://www.wireshark.org/docs/wsug_html_chunked/ChWorkDisplayP
opUpSection.html oldalon olvashatjtok. Ezek kzl nhnyat
emelek ki (de a tbbi is hasznos).
Fejlcre kattintva:
Sort Ascending/Sort Descending: rendezi a csomagokat az
adott mez szerint nvekv/cskken sorrendbe
A listban egy csomagra kattintva:
Apply as Filter: a kivlasztott csomag alapjn szrt hoz
ltre s azt alkalmazza a listra
Follow TCP Stream: megjelenti egy csompont pr kztti
TCP forgalmat
A rszletes nzeten kattintva:
Wiki Protocol Page: megnyitja a bngszben az adott
protokoll lerst
Filter Field Reference: az adott protokoll szrjnek
referencijt nyitja meg a bngszben
8
Szrkifejezsek ltrehozsa, trolsa
Ha mg nem vagyunk gyakorlottak a szrkifejezsek
ltrehozsban, vagy egy adott protokollra vonatkoz primitvekben,
akkor segtsgnkre lehet a Filter Expression dialgusablak. Ez a
Analyze menpont, azon bell Display filters menpontbl
rhet el. Itt lthatk a mr korbban ltrehozott szrk (van
nhny alapbl). Az Expression gombra kattintva kapunk egy
listt, ahol protokollok szerint rendezve megtalljuk az sszes
primitvet valamint relcit. Ezek segtsgvel knnyen
sszellthatjuk a sajt szrkifejezsnket. Ha nevet is adunk neki,
akkor ksbb jra felhasznlhatjuk.
Csomagok keresse
Lehetsgnk van egy adott csomag megkeressre. Erre az Edit
men Find packet menpont (vagy a kis nagyt ikon az
eszkztron) szolgl. Kereshetnk szr alapjn, byte szekvencira
vagy szvegrszre.
9
Adatok mentse, betltse
Lehetsgnk van korbban elfogott adatok betltsre, illetve az
aktulis forgalom elmentsre (ekkor az ignorlt csomagok nem
mentdnek). ssze is fzhetnk tbb fjlt (pldul, mikor klnbz
interfszrl gyjtnk adatokat), ezt a File men Merge
menpontjval tehetjk meg.
Egyszerbb md, ha a kvnt fjlokat egyszerre rhzzuk a
munkaterletre.
Beugr krdsek
Az albbiak kzl melyik a Wireshark elnye?
A Wireshark mire nem alkalmas?
Az OSI modell szerint melyik rtegbe tartozik az IP (Internet
Protocol)?
Az OSI modell szerint melyik rtegbe tartozik a TCP
(Transmission Control Protocol)?
Melyik a HTTP portszma?
Melyik kifejezssel (capture filter) szrhetnk csak az FTP (21
es port) forgalomra?
Melyik kifejezssel (capture filter) szrhetnk csak a
192.168.2.133 hostrl s hostra rkez csomokra?
Melyik megjelentsi szrvel (display filter) szrhetnk csak a
POP3 (110-es port) prtokoll forgalmra?
Melyik megjelentsi szrvel (display filter) szrhetnk csak a
127.0.0.1 hostrl rkez forgalomra?
Hogy lehet ignorlni egy csomagot a listban?
10