Professional Documents
Culture Documents
Whireshark PDF
Whireshark PDF
NCERT-PUBDOC-2010-09-312
u s u r a d n j i s
Sigurnosni problemi u raunalnim programima i operativnim sustavima
podruje je na kojem Nacionalni CERT kontinuirano radi.
Rezultat toga rada je i ovaj dokument, koji je nastao suradnjom Nacionalnog
CERTa i LS&Sa, a za koji se nadamo se da e Vam koristiti u poboljanju
sigurnosti Vaeg sustava.
LS&S, www.LSS.hr
Laboratorij za sustave i signale pri Zavodu za elektronike sustave i obradbu
informacija Fakulteta elektrotehnike i raunarstva Sveuilita u Zagrebu.
Ovaj dokument je vlasnitvo Nacionalnog CERT-a. Namijenjen je za javnu objavu, njime se moe svatko
koristiti, na njega se pozivati, ali samo u izvornom obliku, bez ikakvih izmjena, uz obavezno navoenje izvora
podataka. Koritenje ovog dokumenta protivno gornjim navodima, povreda je autorskih prava CARNeta,
sukladno Zakonu o autorskim pravima. Poinitelj takve aktivnosti podlijee kaznenoj odgovornosti koja je
regulirana Kaznenim zakonom RH.
Kao to je ve spomenuto, Wireshark je izdan pod GNU GPL licencom. Sav izvorni kod se moe besplatno
preuzeti na web stranicama projekta [2].
Gotovo svi dijelovi Wiresharka su implementirani u programskom jeziku C. Osim uobiajenog razvoja
programa u jeziku C, neki programski alati, kasnije dodavani u Wireshark, napisani su u drugim programskim
jezicima. Neki od tih alata, odnosno programskih jezika, su:
Perl - slui za izradu dokumentacije,
Pyton i Sed - mogu posluiti za generiranje nekih protokola, funkcija ili biblioteka te
Flex i Bison - mogu se koristiti pri izradi biblioteka.
Podatke unutar mrenih paketa Wireshark moe oitati s vie razliitih vrsta mrea, a najpoznatije koje
podrava su:
Ethernet najuestalija LAN (eng. Local Area Networking) tehnologija koja se, s 10 gigabitnom
izvedbom, koristi i kao WAN (eng. Wide Area Networking) tehnologija. Ethernet alje pakete od
poiljaoca prema jednom (Unicast) ili vie (Multicast/Broadcast) prijamnika.
Format datoteke za spremanje paketa uhvaenih na mrei je standardni libpcap format podran od strane
mrenih biblioteka Libpcap i WinPcap. To znai da Wireshark moe proitati i podatke iz aplikacija kao to su
tcpdump i CA NetMaster koje takoer koriste isti format. Osim toga, podatke uhvaene Wiresharkom moe
se proitati i s drugim aplikacijama koje koriste Libpcap i WinPcap za itanje uhvaenih podataka. Tako
Wireshark moe itati i podatke uhvaene mrenim analizatorima kao to su Snoop, Network General's
Sniffer te Microsoft Network Monitor.
Neke od rairenijih porodica protokola koji se koriste u komunikacijskim mreama, a koje Wireshark podrava
su:
Internet protokoli TCP/IP skup protokola koji ukljuuju ARP, IP, TCP, itd.
Protokoli mobilne telefonije skup protokola sadranih u GSM-u (WCDMA, CDMA2000,).
VOIP protokoli skup protokola za prijenos zvuka mreom (SIP, H323,).
WAP protokoli skup WAP protokola za omoguavanje servisa na beinim komunikacijskim
mreama (WTP, WSP,..).
Vie o vrstama protokola koje Wireshark podrava moe se nai na stranicama alata:
http://wiki.wireshark.org/ProtocolReference
Odabirom opcije Start pokree se hvatanje paketa, dok se odabirom opcije Options pristupa prozoru
Capture Options prikazanom na slici 9. Prozor Capture Options slui za odreivanje vrste mree s koje s
hvataju podaci te za ureivanje razliitih prekidaa za prekid hvatanja uz odreeni uvjet.
Osim hvatanja podataka s lokalne mree, Wireshark je sposoban hvatati podatke i sa udaljenih mrenih
suelja. Na operacijskom sustavu Microsoft Windows tome slui tzv. Capture Daemon servis, dok se na
operacijskim sustavima Unix/Linux isti uinak postie preko SSH tunela (eng. Secure Shell). Za hvatanje
podataka s udaljenih suelja Wireshark koristi opciju Remote Capture Interfaces prikazanu na slici 10. U
tom se prozoru, upisom udaljene IP adrese, pristupa mrenom prometu i tada se, na isti nain kao i kod
lokalne mree, mogu hvatati i analizirati mreni podaci.
Slika 10. Prozor Remote Capture Interfaces na operacijskom sustavu Microsoft Windows
Izvor: Wireshark
Slika 11. Prozor Remote Capture Interfaces na operacijskom sustavu Microsoft Windows
Izvor: Wireshark
Slika 12. Prozor Capture Info prozor na operacijskom sustavu Microsoft Windows
Izvor: Wireshark
Slika 13. Open Capture File prozor na operacijskom sustavu Microsoft Windows
Izvor: Wireshark
Wireshark podrava vie formata za izvoz podataka. Najjednostavniji i najee koriteni nain izvoza
podataka je u ASCII tekstualnom formatu prikazanom na slici 13. Takav nain izvoza podataka u
Wiresharku je mogue napraviti odabirom opcije File/Export. Izvoz podataka iz Wiresharka mogu je i u
drugim formatima, a oni su:
PostScript,
CSV (eng. Comma Separated Values),
polja programskog jezika C,
PSML i
PDML.
Wireshark ima i opciju ispisa uhvaenih paketa. Odabirom opcije File/Print otvara se prozor za ispis
paketa prikazan na slici 14.
Uhvaene pakete mogue je filtrirati po mnogim uvjetima. Wireshark omoguava izradu vlastitih filtera i
uvjeta filtriranja te njihovo spremanje i kasnije koritenje. Izrada vlastitog filtra obavlja se unutar prozora
Filter Expression prikazanog na slici 16. Ugraeni filtri unutar alata Wireshark omoguuju selekciju
paketa po uvjetima kao to su:
protokol,
postojanje podataka u paketu,
vrijednost podatka,
slinost meu podacima, kao i mnoge druge selekcije.
Primjerice, filter koji prikazuje promet samo SMTP (ulaz 25) i ICMP protokola moe se zadati kao:
tcp.port eq 25 or icmp
Zatim, filter koji e prikazivati samo pakete koji sadre podatke je:
data
Wireshark omoguuje pronalazak uhvaenog paketa preko opcije Find Packet (slika 17.). Na slian
nain, opcija Go To Packet (slika 18.) omoguuje prikaz odabranog paketa. Osim ovih opcija mogue je
oznaiti pakete da ih se istakne, ignorirati ih da se Wireshark ponaa kao da oni ne postoje i slino.
Izuzev Wiresharka, najpoznatiji i najraireniji meu mrenim analizatorima su dSniff i tcpdump. Tcpdump je
alat za analizu mree koji se koristi za praenje problema na mrei i nadgledanje aktivnosti. Nema grafiko
suelje, nego samo konzolno, pa je potrebno upisivati naredbe za koritenje. Wireshark, s druge strane, ima i
grafiko suelje te omoguuje upravljanje pomou upisa naredbi. Tcpdump je besplatni alat licenciran BSD
licencom, dok je Wireshark licenciran ve spomenutom GNU GPL licencom. I Wireshark i tcpdump podravaju
veinu operacijskih sustava (Microsoft Windows, Mac OS X, Linux, Solaris itd.). Posebna inaica alata tcpdump
za operacijski sustav Microsoft Windows zove se WinDump.
DSniff je alat po svojstvima vrlo slian tcpdumpu. Informacije koje dSniff moe proitati su korisnika imena,
lozinke, posjeene internetske stranice, sadraj e-pote i drugi. Nema grafiko suelje, licenciran je od strane
BSD Licence i primarno napravljen za Unix operacijske sustave.
Wireshark alat podrava velik broj protokola pa je tako mogue i vrlo jednostavno prenositi pakete uhvaene
od strane tcpdump-a i dSniff-a u Wireshark, kao i obrnuto.