SIECI KOMPUTEROWE LABORATORIUM ĆWICZENIE 5. Analiza ruchu sieciowego z wykorzystaniem programu WIRESHARK Cz. I podstawy.

Podobne dokumenty
Katedra Inżynierii Komputerowej Politechnika Częstochowska. Filtry i statystyki w analizatorach protokołów Laboratorium Podstaw sieci komputerowych

Instrukcja 8 - Filtry w analizatorach protokołów

Laboratorium - Używanie programu Wireshark do obserwacji mechanizmu uzgodnienia trójetapowego TCP

Laboratorium - Przechwytywanie i badanie datagramów DNS w programie Wireshark

SIP Studia Podyplomowe Ćwiczenie laboratoryjne Instrukcja

LABORATORIUM SIECI KOMPUTEROWYCH (compnet.et.put.poznan.pl)

Wireshark analizator ruchu sieciowego

Laboratorium - Wykorzystanie programu Wireskark do badania ramek Ethernetowych

LABORATORIUM SIECI KOMPUTEROWYCH (compnet.et.put.poznan.pl)

SIECI KOMPUTEROWE I TECHNOLOGIE INTERNETOWE

Ćw. I. Środowisko sieciowe, połączenie internetowe, opcje internetowe

Zadanie1: Odszukaj w serwisie internetowym Wikipedii informacje na temat protokołu http.

PORADNIK KORZYSTANIA Z SERWERA FTP ftp.architekturaibiznes.com.pl

Konfiguracja zapory Firewall w systemie Debian.

Laboratorium - Używanie programu Wireshark do badania ruchu sieciowego

Laboratorium podstaw telekomunikacji

1 Moduł Diagnostyki Sieci

Przewodnik po Notowaniach Statica mdm 4

z paska narzędzi lub z polecenia Capture

Zadanie1: Odszukaj w serwisie internetowym Wikipedii informacje na temat usługi DHCP.

Laboratorium Sieci Komputerowych - 2

Instrukcja instalacji i konfiguracji Karty EDGE/GPRS SonyEricsson GC85

PRZEWODNIK PO SERWISIE BRe BROKERS Rozdział 6

Laboratorium - Podgląd informacji kart sieciowych bezprzewodowych i przewodowych

Instrukcja programu Wireshark (wersja 1.8.3) w zakresie TCP/IP

MODEL WARSTWOWY PROTOKOŁY TCP/IP

Systemy operacyjne i sieci komputerowe Szymon Wilk Adresowanie w sieciach Klasy adresów IP a) klasa A

Instytut Sterowania i Systemów Informatycznych Uniwersytet Zielonogórski SYSTEMY SCADA

Pracownia internetowa w każdej szkole (edycja jesień 2005)

Instrukcja EQU Kantech

Program w celu określenia stanu dostępności serwera/usługi oferuje trzy metody: ping echo socket connection

Instrukcja dla programu Ocena.XP

1.1 Ustawienie adresów IP oraz masek portów routera za pomocą konsoli

Opis instalacji i konfiguracji programu HW Virtual Serial Port z kasą PS3000Net

NetDrive czyli jak w prosty sposób zarządzać zawartością FTP

Laboratorium 6.7.2: Śledzenie pakietów ICMP

Rozdział ten zawiera informacje na temat zarządzania Modułem Modbus TCP oraz jego konfiguracji.

Laboratorium - Używanie programu Wireshark do badania ruchu sieciowego

OBSŁUGA I KONFIGURACJA SIECI W WINDOWS

Zadanie z lokalnych sieci komputerowych. 1. Cel zajęć

Windows 10 - Jak uruchomić system w trybie

4. Podstawowa konfiguracja

Packet Tracer - Badanie modeli TCP/IP i OSI w działaniu

Pakiet informacyjny dla nowych użytkowników usługi Multimedia Internet świadczonej przez Multimedia Polska S.A. z siedzibą w Gdyni

PRZEWODNIK PO ETRADER ROZDZIAŁ XII. ALERTY SPIS TREŚCI

VComNet Podręcznik użytkownika. VComNet. Podręcznik użytkownika Wstęp

Przesyłania danych przez protokół TCP/IP

Instrukcja połączenia z programem Compas LAN i import konfiguracji

Estomed2. 1. Wstęp. 2. Instalacja Systemu Estomed Jak zainstalować Estomed2. Hakon Software sp. z o. o. Podręcznik instalacji

OPERACJE NA PLIKACH I FOLDERACH

Sprawdzanie połączenia sieciowego

Instrukcja obsługi programu Do-Exp

Zapora systemu Windows Vista

Problemy techniczne SQL Server

Skrócona instrukcja konfiguracji skanowania iwysyłania wiadomości

Dodawanie nowego abonenta VOIP na serwerze Platan Libra

Akademia Techniczno-Humanistyczna w Bielsku-Białej

8. Sieci lokalne. Konfiguracja połączenia lokalnego

Funkcje standardowe. Filtrowanie

ZAKŁAD SYSTEMÓW ROZPROSZONYCH. Politechnika Rzeszowska BEZPIECZEŃSTWO I OCHRONA INFORAMCJI

Konfigurowanie sterownika CX1000 firmy Beckhoff wprowadzenie. 1. Konfiguracja pakietu TwinCAT do współpracy z sterownikiem CX1000

uczyć się bez zagłębiania się w formalnym otoczeniu,

Protokoły sieciowe - TCP/IP

INSTRUKCJA OBSŁUGI PROGRAMU TESTY UPRAWNIENIA BUDOWLANE 2015

Kadry Optivum, Płace Optivum

L2TP over IPSec Application

7. Konfiguracja zapory (firewall)

1. INSTALACJA I URUCHOMIENIE KOMUNIKATORA

Instrukcja użytkownika

Instrukcja instalacji certyfikatu kwalifikowanego w programie Płatnik. wersja 1.8

Instalacja Webroot SecureAnywhere przy użyciu GPO w Active Directory

Projekt e-deklaracje 2

Rozdział 8. Sieci lokalne

Konfiguracja serwera DNS w systemie Windows Server 2008 /2008 R2

Instrukcja użytkowania

Spis treści. 1 Moduł Modbus TCP 4

INTENSE PLATFORM Zmiany w wersji Wersja 7.2

Warsztaty z Sieci komputerowych Lista 1

Ćwiczenie 1: Pierwsze kroki

LABORATORIUM 8,9: BAZA DANYCH MS-ACCESS

Laboratorium 3.4.2: Zarządzanie serwerem WWW

INSTRUKCJE WIKAMP Dotyczy wersji systemu z dnia

Konfigurowanie sterownika CX9000 firmy Beckhoff wprowadzenie

SKRÓCONA INSTRUKCJA INSTALACJI MODEMU I KONFIGURACJA POŁĄCZENIA Z INTERNETEM NA WINDOWS 8 DLA AnyDATA ADU-520L

Snifery wbudowane w Microsoft Windows

Multiwyszukiwarka EBSCO Discovery Service - przewodnik

etrader Pekao Podręcznik użytkownika Strumieniowanie Excel

FAQ: /PL Data: 19/11/2007 Programowanie przez Internet: Przekierowanie portu na SCALANCE S 612 w celu umo

Instalowanie dodatku Message Broadcasting

INSTRUKCJA OBSŁUGI PANELU WEBMAIL

R o g e r A c c e s s C o n t r o l S y s t e m 5

INSTALACJA DOSTĘPU DO INTERNETU

SIECI KOMPUTEROWE I TECHNOLOGIE INTERNETOWE

Instalacja VPN Check Point Mobile Apple macos Hight Sierra (v )

onfiguracja serwera DNS w systemie Windows Server 2008 /2008 R2

Podgląd z rejestratorów IPOX na komputerze z systemem WINDOWS za pomocą programu NVMS-2.0 LITE

Laboratorium Badanie protokołu ARP w wierszu poleceń systemu Windows oraz w programie Wireshark

Instrukcja obsługi serwera FTP v

Transkrypt:

SIECI KOMPUTEROWE LABORATORIUM ĆWICZENIE 5 Analiza ruchu sieciowego z wykorzystaniem programu WIRESHARK Cz. I podstawy Opracował: dr inż. Piotr Czyżewski Warszawa 2009

WSTĘP Wireshark jest darmowym analizatorem pakietów (packet snifferem). Do przechwytywania pakietów wykorzystuje bibliotekę PCap. Początkowo (do roku 2006) był znany pod nazwą Ethereal. W chwili obecnej można go pobrać ze strony www.wireshark.org. W sieci dostępna jest cały szereg opisów prezentujących możliwości programu łącznie z przewodnikami wideo umieszczonymi w serwisie youtube. Celem ćwiczenia jest zapoznanie się z podstawowymi możliwościami pakietu. Po zakończeniu ćwiczenia student powinien umieć: uruchomić przechwytywanie ruchu dla wybranego interfejsu sieciowego, stworzyć prosty filtr przechwytywania, stworzyć prosty filtr wyświetlania.

Uruchomienie programu Po uruchomieniu programu wireshark (ikona znajduje się na pulpicie) widoczne jest okno początkowe programu. Wybierają z menu opcję capture możemy rozpocząć przechwytywanie pakietów. W tym celu z okna przedstawiającego listę interfejsów sieciowych wybieramy odpowiedni i klikamy przycisk start. W oknie Wireshark: Capture Interfaces przy każdej dostępnej karcie sieciowej dostępne są trzy przyciski: Start, Options, Details.

Przycisk Start powoduje uruchomienie przechwytywanie pakietów. Przycisk Details powoduje wyświetlenie szczegółów odnośnie wybranej karty sieciowej. Przycisk Options pozwala na zdefiniowanie różnych opcji dotyczących sposobu przechwytywania pakietów. Domyślnie w opcjach zaznaczone są pola Display Options i Name Resolution. Dodatkowo zaznaczona jest opcja Capture packet in promiscuous mode (jeżeli jest inaczej należy ją zaznaczyć). Opcja ta pozwala na przechwytywanie jedynie pakietów adresowanych do danej kart sieciowej a nie wszystkich trafiających do komputera. Najważniejszym polem jest pole Capture Filter. W polu tym można wpisywać reguły które powodują przechwytywanie tylko wybranych pakietów. Klikając przycisk Capture Filter mamy do dyspozycji listę predefiniowanych filtrów przechwytywania pakietów. Przykładowe okno przedstawia rysunek poniżej. W oknie tym możemy także definiować nowe filtry które będą trwale zapisane w opcjach programu. Można także modyfikować istniejące filtry. Zasady tworzenia własnych filtrów przechwytywania. Filtr przechwytywania musi być zdefiniowany i wybrany przed rozpoczęciem przechwytywania pakietów. Inaczej jest w przypadku filtrów wyświetlania które mogą być definiowane i wybierane w trakcie przechwytywania pakietów. Generalnie zasady tworzenia filtrów są takie same jak w przypadku pakietu TCPDump (opis na stronie http://www.ethereal.com/docs/man-pages/tcpdump.8.html ).

Ogólna zasada definiowania filtra przechwytywania: Składnia: Protocol Direction Host(s) Value Logical Operations Other expression Przykład: tcp dst 10.1.1.1 80 and tcp dst 10.2.2.2 3128 Protocol(Protokół): Wartości: ether, fddi, ip, arp, rarp, decnet, lat, sca, moprc, mopdl, tcp and udp. Jeśli nic nie zostanie zdefiniowane, użyte zostaną wszystkie występujące. Definicja protokołu dla którego mają zostać przechwycone pakiety. Direction (Kierunek): Wartości: src, dst, src and dst, src or dst Jeśli nie zdefiniowane jest źródło lub przeznaczenie, zostanie zastosowane "src or dst". Np.: "host 10.2.2.2" jest tożsame z "src or dst host 10.2.2.2". Określenie które pakiety mają zostac przechwycone: src pochodzące ze źródla IP. Dst pakiety kierowane do celu IP Host(s) (Maszyna główna): Numer IP komutera (interfejsu sieciowego) lub innego urządzenia dla którego mają być przechwytywane pakiety Logical Operations (Operacje logiczne): Wartości: not, and, or. Negacja [Logiczne "nie"] ("not") ma najwyższą wartość. Następstwo [Logiczne "lub"] ("or") oraz powiązanie [logiczne "i"] ("and") są równe sobie i łączą się z lewej do prawej. Np.: "not tcp port 3128 and tcp port 23" jest

tożsame z "(not tcp port 3128) and tcp port 23". "not tcp port 3128 and tcp port 23" jest różne od "not (tcp port 3128 and tcp port 23)". Przykłady: tcp dst port 3128 Wyświetla pakiety przesyłane do portu TCP 3128. ip src host 10.1.1.1 Wyświetla pakiety z źródłowego adresu IP 10.1.1.1. host 10.1.2.3 wyświetla pakiety z źródłowego lub docelowego adresu IP 10.1.2.3. src portrange 2000-2500 Wyświetla pakiety z źródłowych portów UDP lub TCP o zakresie 2000-2500. not imcp Wyświetla wszystko za wyjątkiem pakietów icmp (icmp jest typowo używany przez polecenie 'ping') src host 10.7.2.12 and not dst net 10.200.0.0/16 Wyświetla pakiety ze źródłowego adresu IP 10.7.2.12, które nie są przeznaczone dla sieci IP 10.200.0.0/16. (src host 10.4.1.12 or src net 10.6.0.0/16) and tcp dst portrange 200-10000 and dst net 10.0.0.0/8 Wyświetla adresu ze źródłowego adresu IP 10.4.1.12 lub sieci 10.6.0.0/16, koncentrując się na pakietach przeznaczonych dla portów TCP 200 do 10000 i docelowej sieci IP 10.0.0.0/8. Uwagi: Znak "\" jest używany jeśli słowo kluczowe użyte jest jako wartość. "ether proto \ip" (jest tożsame z "ip"). To będzie celem protokołów IP. "ip proto \icmp" (jest tożsame z "icmp"). To będzie celem dla pakietów icmp używanych przez ping. Wartość "multicast" i "broadcast" mogą być używane po "ip" lub "ether". "no broadcast" jest przydatne wówczas gdy chcemy wykluczyć zapytania broadcastowe. Więcej informacji i przykładów można znaleźć na stronie: http://wiki.wireshark.org/capturefilters

Zasady tworzenia filtrów wyświetlania Filtry wyświetlania służą do wyszukiwania danych wewnątrz zrzuconych z pomocą filtrów przechwytywania pakietów. Możliwości tych filtrów są znacznie rozszerzone niż wcześniejszych. Definiując je nie musimy uruchamiać ponownie przechwytywania. Filtry wyświetlania wpisujemy na pasku Filter: w menu głównym programu. Klikając przycisk Filter mamy dostęp do filtrów predefiniowanych filtrów. Dodatkowo klikając przycisk Expression mamy dostęp do całego mnóstwa predefiniowanych wyrażeń definiujących bardziej złożone filtry wyświetlania. Szczegółowy opis predefiniowanych wyrażeń dostępny jest na stronie: http://www.wireshark.org/docs/dfref/. Składania filtra Składnia: Protocol. String. String Comparison Logical Other Value 1 2 operator Operations expression Przykład: ftp passive ip = = 10.2.3.4 xor icmp.type Protocol (Protokół): Dostępna jest duża liczba protokołów zlokalizowana jest pomiędzy warstwami 2 i 7 modelu OSI. Widoczne są one jeśli wybierzemy przycisk "Expression..." w oknie głównym. Przykładami są: IP,TCP,DNS,SSH String1, String2 (Ustawienia opcjonalne): Kategorie podprotokołów wewnątrz protokołu. Comparison operators (Porównanie operatorów): : Dostępne jest porównanie sześciu: Format angielski: Format w stylu C: Znaczenie: eq == Jest równe (equal) ne!= Nie jest równe (Not Equal) gt > Większe od (Greater than) lt < Mniejsze od (Less than) ge >= Większe lib równe (Greater or equal) le <= Mniejsze lub równe (Less or equal) Logical expressions (Wyrażenia logiczne): Format angielski: Format w stylu C: Znaczenie: and && Logical AND (Logiczne "I") or Logical OR (Logiczne "LUB") xor ^^ Logical XOR (Logiczne "XOR") not! Logical NOT (Logiczne zaprzeczenie)

Logiczne "XOR", dobrze znane programistom. Użyte pomiędzy dwoma warunkami filtra daje wynik tylko wtedy gdy jeden z dwóch warunków jest spełniony ale nie dwa jak wyrażenie "LUB". Przykład zastosowania filtra wyświetlania: "tcp.dstport 80 xor tcp.dstport 1025" Tylko pakiety TCP docelowe na port 80 lub TCP źródłowy port 1025 (ale nie obydwa!) będą wyświetlane na ekranie jako wynik. Przykłady: snmp dns icmp Wyświetla ruch SNMP lub DNS lub ICMP. ip.addr == 10.1.1.1 Wyświetla pakiety pasujące do adresu źródłowego lub docelowego równego 10.1.1.1. ip.src!= 10.1.2.3 or ip.dst!= 10.4.5.6 Wyświetla pakiety o adresie źródłowym IP różnym od 10.1.2.3 lub adresie docelowym IP różnym od 10.4.5.6. Innymi słowy - wyświetlone pakiety posiadają: Adres źródłowy: wszystko ale 10.1.2.3, docelowy adres: wszystko i Adres źródłowy: wszystko, adres docelowy: wszystko ale 10.4.5.6 ip.src!= 10.1.2.3 and ip.dst!= 10.4.5.6 Wyświetla pakiety z adresem żródłowym różnym od 10.1.2.3 i w tym samym czasie z adresem docelowym różnym od 10.4.5.6 Innymi słowy - wyświetlone pakiety posiadają: Adres źródłowy: wszystko ale 10.1.2.3 i adres docelowy: wszystko ale 10.4.5.6 tcp.port == 25 Wyświetla pakiety docierające lub wychodzące z portu 25. tcp.dstport == 25 Wyświetla pakiety TCP z portem docelowym 25. tcp.flags Wyświetla pakiety zawierające flagę TCP. tcp.flags.syn == 0x02 Wyświetla pakiety z flagą TCP SYN. Jeśli skladni filtra jest poprawna, będzie ona podświetlona na zielono, w przeciwnym razie, jeśli będzie błędna, będzie podświetlona na czerwono. Prawidłowa składnia Błędna składnia Więcej informacji można znaleźć na stronie: http://wiki.wireshark.org/displayfilters.

2024 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres