08

Fall

Tavasz
2012
UNIVERSITAS SCIENTIARUM SZEGEDIENSIS
UNIVERSITY OF SZEGED
Department of Software Engineering

Szmtgp-hlzatok 2.
gyakorlat Wireshark
Bord Sndor

S z e g e d i Tu d o m n y e g y e t e m
Tartalmojegyzk
Bevezets......................................................................... 3
Wireshark.........................................................................3
Elmleti htter.......................................................................3
OSI model............................................................................................. 3
IP (Internet Protocol)............................................................................. 4
TCP (Transmission Control Protocol).....................................................4
Ismertebb portszmok..........................................................................4
Gyakorlati httr....................................................................4
Elfogsi szrk (Capture filter).............................................................6
Munka az elfogott csomagokkal...........................................................6
Megjelentsi szrk (Display filters)....................................................8
Szrkifejezsek ltrehozsa, trolsa.................................................8
Csomagok keresse.............................................................................. 8
Csomagok megjellse, ignorlsa......................................................8
Adatok mentse, betltse...................................................................9
Minta beugr krdsek...........................................................9

2
Bevezets
Ez a gyakorlat a Wireshark nev hlzati forgalom figyel program
hasznlatrl fog szlni. Segtsgvel elkaphatjuk s elemezhetjk a
hlzaton kzleked csomagokat.
A program nhny felhasznlsi terlete:
hlzati problmk feldertse rendszergazdk szmra
hlzati biztonsgi szakembereknek biztonsgi rsek
feldertse
fejlesztk hasznlhatjk a protokoll implementcik
tesztelsre, debuggolsra
segtsgvel megrthet a hlzatok mkdse (pl. ez a
kurzus)
s mg sok ms felhasznlsi terlet
A program nhny fbb jellemzje:
ingyenesen elrhet (wireshark.org), ugyan itt tutorial is
tallhat
Linuxos s Windowsos verzi is van belle
elkapja egy hlzati interfszre rkez adatcsomagokat,
ezekrl rszletes informcit szolgltat
korltozhat az elfogni kvnt, illetve elfogs utn a
megjelentett csomagok kre
a csomagok kereshetk tbb mdon
a forgalmi adatok elmenthetk s betlthetk
s vgl: mire nem j a Wireshark?
Nem akadlyozza meg, illetve nem figyelmeztet kls
behatols esetn. Ennek ellenre, felhasznlhatk a klns
dolgok feldertsre.
Nem lehet vele manipullni a hlzatot, hanem csak mrni,
megfigyelni lehet azt.

Wireshark
Elmleti htter
Mivel a program segtsgvel a hlzaton kzleked csomagokat
lehet elkapni s megvizsglni, rdemes megismerkedni az ehhez
kapcsold fogalmakkal.

3
OSI model
A modell a klnbz protokollok ltal nyjtott funkcikat egy
rendszerbe szervezi. Jellemzje, hogy minden rgete csak a
kzvetlenl felette lv rtegnek adhat s csak a kzvetlenl alatta
lvtl krhet szolgltatst. Az egyes rtegek megvalsthatk
szoftveresen, hardveresen vagy a kett keverkeknt. A szabvny
lehetv teszi, hogy a ms gyrtk ltal ksztett hardverek s
szoftverek gondtalanul egyttmkdhessenek, feltve, ha kvetik az
elrsokat.
Bvebben: http://hu.wikipedia.org/wiki/OSI_modell
Angolul: http://en.wikipedia.org/wiki/OSI_model

IP (Internet Protocol)
A legismertebb protokoll a hlzati rtegben. Az IP a szlltsi
rtegtl kapott adatokat datagramokra bontja. Egy datagram egy
fej- s egy szvegrszbl ll. A fejrszben eltrolsra kerl a kld
s a cmzett szmtgp IP cme is.
Bvebben: http://hu.wikipedia.org/wiki/IP
Angolul: http://en.wikipedia.org/wiki/Internet_Protocol

TCP (Transmission Control Protocol)

A TCP a szlltsi rteg protocolja ( 4. az OSI modellben ). A
szmtgpes hlzatokon mkd alkalmazsok tbbsgnek
megbzhat tvitelre van szksge. Az IP ltal tovbbtott
datagramok elveszhetnek a hlzaton, esetleg mdosulhatnak. A
TCP protocol feladata az adatok hibtlan, helyes sorrend,
hinytalan s dupliktumok nlkl val tovbbtsa. Kpes az
elveszett csomagokat jrakldeni, a helytelen sorrendet pedig
visszarendezni. A TCP az adatokat szegmensek formjban
tovbbtja.
Bvebben:
http://hu.wikipedia.org/wiki/Transmission_Control_Protocol
Angolul: http://en.wikipedia.org/wiki/Transmission_Control_Protocol

Ismertebb portszmok
7 echo
21 FTP
22 SSH
23 TELNET
25 SMTP
53 DNS
80 HTTP

4
 110 POP3
143 IMAP
443 HTTPS

Gyakorlati httr
A mrs indtshoz a Capture men Interfaces menpontjra
kell kattintani (az eszkztron balrl az els ikon). Ekkor a felugr
ablakban lthatjuk az elrhet hlzati interfszeket, amiknek a
forgalmt figyelhetjk.

1. bra Interfsz vlaszt ablak

Ha megfelelnek az alaprtelmezett belltsok, akkor a Start
gombra kattintva azonnal indthatjuk a mrst. Hogy melyik
interfszre van szksgnk, az IP cme alapjn tudjuk eldnteni (az
1. brn a msodik kell neknk). Az Options gombra kattintva
bellthatjuk a mrs paramtereit.

5
 2. bra Belltsok
Itt most csak egy-kt rdekesebb belltst fogunk megnzni, de a
teljes lers megtallhat a hivatalos tutorialban
(http://www.wireshark.org/docs/wsug_html_chunked/ChCapCaptureO
ptions.html).
Az els ilyen belltsi lehetsg a Capture packets in promiscuous
mode jellngyzet. Alaphelyzetben a program csak a sajt
szmtgpnknek cmzett csomagokat fogja el. Ha bekapcsoljuk
ezt a mdot (teht kipipljuk a jellngyzetet), akkor minden, a
hlzati adapteren tfoly csomagot elkapunk, nem csak ami
neknk jn.
A Capture filter felirat melletti sorba adhatunk meg elfogsi
szrt.

Elfogsi szrk (Capture filter)

Ezek a szrk arra jk, hogy leszktsk az elfogott csomagok krt.
A szrk ltalnos alakja:
[not] primitive [and|or [not] primitive ...]

6
A szr alap esetben egy primitvbl, vagy tbb primitv ssel vagy
vaggyal trtn sszekapcsolsbl ll. Az egyes primitveket
neglhatjuk is a not szval.
Nhny ilyen primitv:
tcp port <portszm>
host <hostszm>
Tovbbi primitvek:
http://www.wireshark.org/docs/wsug_html_chunked/ChCapCaptureFil
terSection.html#ChCapExFilt2
Plda:
A telnet port (23) forgalmnak elfogsa:
tcp port 23
Csak a 10.0.0.5 IP cmre/cmrl rkez telnet csomagokat fogja el:
tcp port 23 and host 10.0.0.5
Tovbbi pldk:
http://wiki.wireshark.org/CaptureFilters

Munka az elfogott csomagokkal

Bellts utn a Start gombra kattintva elindul a forgalom
figyelse. A listban vals idben jelennek meg az elkapott
csomagok.

3. bra Csomagok listja

7
A listban lthat a csomagok legfbb adatai: az elkaps ideje,
sorszma (ezzel tudunk rjuk hivatkozni), felad s fogad IP cme,
a protokoll tpusa s egyb informci. Ha rkattintunk egy
csomagra, alul megjelennek a rszletes informcii (dupla kattints
utn j ablakban).
Bizonyos helyekre (fejlc, csomag a listban, rszletes nzet) jobb
egrgombbal kattintva helyi felugr ment hozhatunk el. A helyi
menkben tallhat menpontok rszletes lersait a
http://www.wireshark.org/docs/wsug_html_chunked/ChWorkDisplayP
opUpSection.html oldalon olvashatjtok. Ezek kzl nhnyat
emelek ki (de a tbbi is hasznos).
Fejlcre kattintva:
Sort Ascending/Sort Descending: rendezi a csomagokat az
adott mez szerint nvekv/cskken sorrendbe
A listban egy csomagra kattintva:
Apply as Filter: a kivlasztott csomag alapjn szrt hoz
ltre s azt alkalmazza a listra
Follow TCP Stream: megjelenti egy csompont pr kztti
TCP forgalmat
A rszletes nzeten kattintva:
Wiki Protocol Page: megnyitja a bngszben az adott
protokoll lerst
Filter Field Reference: az adott protokoll szrjnek
referencijt nyitja meg a bngszben

Megjelentsi szrk (Display filters)

Az elfogott s kilistzott csomagokat tovbb szrhetjk. A
szrfelttelnek nem megfelel csomagok nem tnnek el a listbl,
csak nem lesznek lthatak. Szrhetnk egy adott mez megltre,
mez rtkre, protokollra
Nhny plda szrkre:
egy adott IP cmre/rl jv csomagok
ip.addr==192.168.0.1
A 25-s (SMTP) port csomagjait jelentsk csak meg
tcp.port eq 25
Csak a 10.0.0.5 cmrl rkez csomagokat mutassuk meg
ip.src==10.0.0.5
Tovbbi pldk: http://wiki.wireshark.org/DisplayFilters
Szrprimitvek: http://www.wireshark.org/docs/dfref/

8
Szrkifejezsek ltrehozsa, trolsa
Ha mg nem vagyunk gyakorlottak a szrkifejezsek
ltrehozsban, vagy egy adott protokollra vonatkoz primitvekben,
akkor segtsgnkre lehet a Filter Expression dialgusablak. Ez a
Analyze menpont, azon bell Display filters menpontbl
rhet el. Itt lthatk a mr korbban ltrehozott szrk (van
nhny alapbl). Az Expression gombra kattintva kapunk egy
listt, ahol protokollok szerint rendezve megtalljuk az sszes
primitvet valamint relcit. Ezek segtsgvel knnyen
sszellthatjuk a sajt szrkifejezsnket. Ha nevet is adunk neki,
akkor ksbb jra felhasznlhatjuk.

Csomagok keresse
Lehetsgnk van egy adott csomag megkeressre. Erre az Edit
men Find packet menpont (vagy a kis nagyt ikon az
eszkztron) szolgl. Kereshetnk szr alapjn, byte szekvencira
vagy szvegrszre.

Csomagok megjellse, ignorlsa

A csomagok listjban megjellhetnk, ignorlhatunk egyes
csomagokat. Ezt gy tehetjk meg, hogy a kvnt csomagra jobb
gombbal kattintunk, s ott a Mark packet (jells) vagy Ignore
packet (ignorls) ment vlasztjuk.
Megjellskor fekete httrsznt kap a csomag, gy ksbb knnyebb
lesz megtallni.
Ignorlskor fehr htterre s szrke betsznre vlt a csomag. Az
ignorlt csomagok nem kerlnek mentsre, teht a program
bezrsa utn ez elveszik.

9
Adatok mentse, betltse
Lehetsgnk van korbban elfogott adatok betltsre, illetve az
aktulis forgalom elmentsre (ekkor az ignorlt csomagok nem
mentdnek). ssze is fzhetnk tbb fjlt (pldul, mikor klnbz
interfszrl gyjtnk adatokat), ezt a File men Merge
menpontjval tehetjk meg.
Egyszerbb md, ha a kvnt fjlokat egyszerre rhzzuk a
munkaterletre.

Beugr krdsek
Az albbiak kzl melyik a Wireshark elnye?
A Wireshark mire nem alkalmas?
Az OSI modell szerint melyik rtegbe tartozik az IP (Internet
Protocol)?
Az OSI modell szerint melyik rtegbe tartozik a TCP
(Transmission Control Protocol)?
Melyik a HTTP portszma?
Melyik kifejezssel (capture filter) szrhetnk csak az FTP (21
es port) forgalomra?
Melyik kifejezssel (capture filter) szrhetnk csak a
192.168.2.133 hostrl s hostra rkez csomokra?
Melyik megjelentsi szrvel (display filter) szrhetnk csak a
POP3 (110-es port) prtokoll forgalmra?
Melyik megjelentsi szrvel (display filter) szrhetnk csak a
127.0.0.1 hostrl rkez forgalomra?
Hogy lehet ignorlni egy csomagot a listban?

10