Documente Academic
Documente Profesional
Documente Cultură
1. Introducere. 2 2. Date generale despre Wireshark.3 3. Familiarizarea cu programul Wireshark.3 4. Capturarea pachetelor..5 5. Filtrearea pachetelor primite/transmise prin intermediul protocolului HTTP ...7 6. Dictionar de termini..9 7. Bibliografie.9
1. INTRODUCERE
n cadrul reelelor de calculatoare transmiterea informaiei de la o staie la alta se realizeaz prin intermediul unor mesaje scurte numite pachete care au n structura lor un camp pentru desemnarea expeditorului i unul pentru desemnarea destinatarului. Instrumentul de baz pentru observarea mesajelor schimbate ntre entitile de protocol executante se numete interceptor de pachete (eng. packet sniffer). Aa cum sugereaz i numele un interceptor de pachete copiaz n mod pasiv mesajele care sunt trimise i recepionate de ctre calculator; de asemenea acesta n mod tipic va stoca i/sau afia coninutul diverselor cmpuri de protocol din componena mesajelor capturate. Interceptorul de pachete este n sine pasiv. Acesta observ mesajele trimise i recepionate de aplicaiile i protocoalele ce ruleaz pe calculator, ns nu trimite niciodat pachete. Similar pachetele recepionate nu sunt niciodat adresate n mod explicit interceptorului de pachete. n schimb un interceptor de pachete recepioneaz o copie a pachetelor care sunt trimise/recepionate de aplicaia i protocoalele care se execut pe acea gazd. Figura de mai jos prezint structura unui interceptor de pachete. n partea dreapt a Figurii 1se gsesc protocoalele (n acest caz protocoalele Internet) i aplicaiile (cum ar fi un navigator web sau client ftp) care ruleaz n mod normal pe acel calculator. Interceptorul de pachete figurat n dreptunghiul punctat din Figura 1 reprezint un supliment la software-ul instalat pe calculator i const din dou pri. Biblioteca de interceptare a pachetelor recepioneaz o copie a fiecrui cadru de nivel legtur de date care este trimis sau recepionat pe acel calculator. Reamintii-v faptul c mesajele schimbate ntre protocoalele de nivel nalt cum ar fi HTTP, FTP, TCP, UDP, DNS sau IP sunt eventual ncapsulate n cadre de nivel legtur de date ce sunt transmise pe mediul fizic cum ar fi cablul UTP de la Ethernet. n Figura de mai jos se presupune c mediul fizic aparine tehnologiei Ethernet iar astfel toate protocoalele de nivel superior sunt ncapsulate n cadre Ethernet. Interceptarea tuturor cadrelor de nivel legtur de date furnizeaz toate mesajele trimise/recepionate de toate protocoalele i aplicaiile care se execut pe acel calculator.
Cea de a doua component a unui interceptor de pachete este analizorul de pachete, care afieaz coninutul tuturor cmpurilor dintr-un mesaj de protocol. Pentru a putea proceda astfel analizorul de pachete trebuie s neleag structura tuturor mesajelor schimbate de protocoale. Spre exemplu s presupunem c am fi interesai de afiarea diverselor cmpuri din mesajele schimbate de protocolul HTTP din Figura 1. Analizorul de pachete nelege formatul cadrelor Ethernet i poate astfel s identifice datagrama IP dintr-un cadru Ethernet. De asemenea nelege formatul datagramei IP i astfel poate extrage segmentul TCP din datagrama IP. n final nelege structura segmentului TCP i poate extrage mesajul HTTP coninut n acel segment. n cele din urm analizorul nelege protocolul HTTP i astfel, de exemplu, tie c primii octei dintrun mesaj HTTP conin irul de caractere GET , POST sau HEAD.
Interfaa grafic a Wireshark dispune de urmtoarele componente: A. Meniurile de comand - sunt meniuri de comand de tip DropDown care sunt localizate n partea de sus a ferestrei. Noi vom utiliza n mare parte doar meniurile File i Capture. Meniul File ne pune la dispoziie mai multe funcii printer care salvarea pachetelor capturate, deschiderea fiierelor cu pachete capturate salvate anterior, printarea pachetelor afiate respective i prsirea programului . Meniul Capture ne permite demararea procesului de capturare a pachetelor. B. Fereastra cu listingul pachetelor afieaz sumarul pe o linie pentru fiecare pachet capturat, incluznd numrul de ordine al pachetului (asignat de Wireshark; acesta nu este un numr de secevena coninut n vreun antet de protocol), momentul de timp la care pachetul a fost capturat, adresa surs i destinaie a pachetului, tipul de protocol precum i informaii specifice protocolului cruia i aparine pachetul respectiv. Tipul de informai afiate n linia de sumar poate fi modificat din meniul Edit->Preferences->User Interface->Columns (Pentru detalii consultai manualul). Lista pachetelor poate fi sortat n funcie de oricare din criteriile enumerate fcnd clic pe numele coloanei. Cmpul protocol indic protocolul de la cel mai nalt nivel din stiv care a trimis sau recepionat pachetul, sau cu alte cuvinte protocolul care este sursa sau destinaia final pentru acel pachet (cu condiia s poat fi interpretat de Wireshark). C. Fereastra cu detaliile antetelor pachetelor pune la dispoziie detalii despre pachetul selectat n fereastra de listare a pachetelor. (Pentru a selec ta un pachet n fereastra de listare a pachetelor plasai cursorul mausului deasupra liniei de sumar a pachetului din fereastra de listare i efectuai clic cu butonul din stnga). Aceste detalii includ informaii despre cadrul Ethernet (considernd c pachetul a fost trimis/recepionat pe o interfaa Ethernet) i datagrama IP coninut n acel pachet. Detaliile IP sau Ethernet afiate pot fi extinse sau restrnse fcnd clic pe csuele plus sau minus din stnga cadrului Ethernet sau datagramei IP din fereastra de detalii. Dac pachetul conine un segment TCP sau UDP vor fi afiate detaliile TCP sau UDP acestea putnd fi extinse sau restrnse. n final sunt afiate detalii despre protocolul care a emis sau recepionat pachetul, protocol aflat la cel mai nalt nivel. D. Fereastra cu coninutul pachetului afieaz ntregul coninut al cadrului capturat, att n format hexazecimal (coloana din mijloc) ct i n format ASCII (coloana din dreapta). E. n bara de stare aflata n extremitatea inferioar este afiat numele fiierului n care se salveaz datele precum i numrul de pachete capturate, afiate sau respinse . F. n partea superioar a interfeei grafice utilizator se gsete cmpul de specificare a filtrului de afiare, unde poate fi introdus un nume de protocol
sau alte informaii pentru a filtra pachetele afiate n fereastra de listare (precum i n fereastra cu detalii sau coninut). n exemplul de mai jos vom folosi filtrul de pachete pentru a ascunde pachetele ce nu conin mesaje HTTP.
A. B.
C.
D.
E.
F.
4. CAPTURAREA PACHETELOR
Dup cum tim cea mai bun metod de a nva s utilizezi un program nou este s ncepi s experimentezi cu el. Pentru nceput trebuie s ne asigurm c dispunem de un calculator conectat la Internet ( n modelul dat vom utilza un calculator conectat printr-o interfa wireless). Deci s ncepem: Pentru nceput vom lansa navigatorul Web i vom atepta pn acesta va afia pagina de start configurat. Apoi vom lansa Wireshark cu drepturi de Administrator (click dreapta pe iconi > Run as Administrator).
Pentru a ncepe capturarea pachetelor vom selecta din meniu Capture > Options i pe ecran se va afia fereastra urmtoare unde vor fi afiate interfeele care pot fi captate i un ir de opiuni pentru demararea procesului de captare. Din acest fereastr noi vom alege doar interfaa de pe care dorim s fie capturate pachetele (n cazul dat aceasta este Microsoft:\Device\NPF_...) i vom las toate celelalte opiuni la valoarea lor implicit. Atenie: n cazul n care calculatorul dispune de mai multe interfee de reea active este necesar s o alegei pe acea care va fi utilizat pentru interceptarea pachetelor trimise/recepionate.
Dup ce ai urmat toate aceste instruciuni apsai butonul Start. Din acest moment Wireshark va ncepe interceparea pachetelor adic va capta toate pachetele trimise/recepionate de ctre calculator prin interfaa selectat anterior. n timp ce ruleaz Wireshark, introducem n linia de comand a browserului o adres (ex: HTTP://www.yahoo.com ).Ct timp navigatorul ncarc pagina putem vedeam cum Wireshark capteaz pachetele transmise/primite:
Dup ce browserul a finisat s ncarce pagina putem opri captarea pachetelor acionnd butonul Stop .
Selectm primul mesaj HTTP care apare n fereastra de listare a pachetelor. Acesta ar trebui s fie un mesaj HTTP GET care a fost trimis de calculatorul vostru ctre serverul HTTP yahoo.com . Atunci cnd selectai mesajul HTTP GET se vor afia n fereastra de detalii antete informaii cu privire la cadrul Ethernet, datagrama IP, segmentul TCP i antetul mesajului HTTP Fcnd click pe csuele minus din stnga ferestrei cu detaliile pachetului restrngei informaia afiat despre cadru, Ethernet, Protocolul Internet i TCP. Extindei informaia afisat cu privire la protocolul HTTP.
DICTIONAR DE TERMENI:
Protocol de reea - Reprezint un standard sau o convenie asupra modului de desfurare a unui anumit lucru n cazul reelelor: protocoalele permit calculatoarelor s comunice ntre ele printr-un limbaj comun. (HTTP) - Hypertext Transfer Protocol - stiva de protocoale OSI prin care serverul web i browserul clientului (utilizatorului) comunic ntre ele. Pachete - mesaje scurte prin intermediul crora se transmite informaia de la un calculator la altul i care au n structura lor un camp pentru desemnarea expeditorului i unul pentru desemnarea destinatarului. (TCP) Trasmission Control Protocol - este un protocol sigur orientat pe conexiune care permite ca un flux de octei trimii de pe o main s ajung fr erori pe orice alt main din inter-reea. Acest protocol fragmenteaz fluxul de octei n mesaje discrete i paseaz fiecare mesaj nivelului internet. TCP trateaz totodat controlul fluxului pentru a se asigura c un emitor rapid nu inund un receptor lent cu mai multe mesaje dect poate acesta s prelucreze.
BIBLIOGRAFIE
http://www.wireshark.org/faq.html http://www.wireshark.org/docs/wsug_html_chunked/ https://www.youtube.com/watch?v=6X5TwvGXHP0 http://openmaniak.com/ro/wireshark.php http://en.wikipedia.org/wiki/Wireshark http://forum.antichat.ru/thread97460.html http://en.wikipedia.org/wiki/POST_%28HTTP%29 http://en.wikipedia.org/wiki/Hypertext_Transfer_Protocol http://ro.wikipedia.org/wiki/TCP/IP http://ro.wikipedia.org/wiki/World_Wide_Web