Wireshark

 

Povezava : http://www.wireshark.org/

 

Pogosto v omrežju potrebujemo orodje s katerim želimo zajemati promet in analizirati podatke, zato potrebujemo programe vrste “sniffer”. To je aplikacija, ki posluša promet na mrežni karticah in nam ga posreduje preko vmesnika. Podatke lahko sortiramo, filtriramo…

Poslušanje prometa začnemo tako, da prvo izberemo omrežno kartico oz. “interface”.

ws01

WireShark vam prikaže ves promet na vaši omrežni kartici. Sedaj imate možnost pregledati vsak paket posebaj.

ws02

 

Kratka razlaga nekaterih paketov, ki se ponavadi prisotni v omrežju:

– ARP ( Authentication request protocol) je osnova za komunikacijo v LAN omrežjih.  Veliko število ARP zahtev je opozorilo o nedovoljenih aktivnostih na vašem LAN-u (skeniranje, virus…).Primer skeniranja celotne mreže z orodjem ZenMap.

ws04

 

– ICMP (Internet Control Message Protocol) echo request,echo replay,timestamp. Za primer lahko na ta način preverimo ali računalnik v omrežju živ.  Veliko število ICMP zahtev je lahko znak skeniranja vašega omrežja ali pa DDOS napada. Ker pa ima večina operacijskih sistemov zaprt port 7  in ne odgovarja na zahteve “echo requests”, se ICMP skoraj več ne uporablja za skeniranje.

*Window in Linux ukaz za preverjanje je : “ping 192.168.50.1”. Primer ICMP prometa:

ws03

 – NBNS (NetBIOS Name Service) podobno kot DNS pretvarja imena v IP-je. Protokol se v Windows okolju imenuje WINS ( Windows Internet Name Service), ki skrbi za določanje IP-jev računalnikom v omrežju na podlagi imena.

ws05

– DNS (Domain Name Server). Vsakič, ko v brskalnik vpišete ime določene strani, se pošlje DNS zahteva, ki vašemu računalniku posreduje IP naslov strežnika, katerega ste zahtevali.

ws06

– HTTP ( HyperText Transfer Protocol) deluje na aplikativnem novoju. Je osnova za podatkovno komunikacijo v WWW.

ws07

 

Poleg prikazanih sta še najbolj pogosta TCP in UDP protokola, ki sta odgovorna za prenos podatkov direktno med napravami. UDP se sicer bolj uporablja pri VoIP, streamingu, IPTV ( pošiljanje brez potrditve).

 

Primeri filtriranja:

-Filtriramo samo po PI naslovu:

ip.addr == 192.168.50.1

-Filtriranje po portu:

tcp.port eq 25

– Filtriranje po protokolu:

http

-Filtiranaje z uporabo OR (ali):

http || tcp

-Filtiranaje z uporabo AND (in):

http&&ip.src==192.168.50.143

 

Več v naslednjih prispevkih…

 

 

 

 

 

 

Leave a Reply

Your email address will not be published. Required fields are marked *

VNESITE ŠTEVILO V PRAZNO POLJE !!! *

Internetna zaščita

Copyright © 2013. All Rights Reserved.