CUPRINS:

1. Introducere. 2 2. Date generale despre Wireshark.3 3. Familiarizarea cu programul Wireshark.3 4. Capturarea pachetelor..5 5. Filtrearea pachetelor primite/transmise prin intermediul protocolului HTTP ...7 6. Dictionar de termini..9 7. Bibliografie.9

Esan Sergiu, Grupa 1121 A

1. INTRODUCERE
n cadrul reelelor de calculatoare transmiterea informaiei de la o staie la alta se realizeaz prin intermediul unor mesaje scurte numite pachete care au n structura lor un camp pentru desemnarea expeditorului i unul pentru desemnarea destinatarului. Instrumentul de baz pentru observarea mesajelor schimbate ntre entitile de protocol executante se numete interceptor de pachete (eng. packet sniffer). Aa cum sugereaz i numele un interceptor de pachete copiaz n mod pasiv mesajele care sunt trimise i recepionate de ctre calculator; de asemenea acesta n mod tipic va stoca i/sau afia coninutul diverselor cmpuri de protocol din componena mesajelor capturate. Interceptorul de pachete este n sine pasiv. Acesta observ mesajele trimise i recepionate de aplicaiile i protocoalele ce ruleaz pe calculator, ns nu trimite niciodat pachete. Similar pachetele recepionate nu sunt niciodat adresate n mod explicit interceptorului de pachete. n schimb un interceptor de pachete recepioneaz o copie a pachetelor care sunt trimise/recepionate de aplicaia i protocoalele care se execut pe acea gazd. Figura de mai jos prezint structura unui interceptor de pachete. n partea dreapt a Figurii 1se gsesc protocoalele (n acest caz protocoalele Internet) i aplicaiile (cum ar fi un navigator web sau client ftp) care ruleaz n mod normal pe acel calculator. Interceptorul de pachete figurat n dreptunghiul punctat din Figura 1 reprezint un supliment la software-ul instalat pe calculator i const din dou pri. Biblioteca de interceptare a pachetelor recepioneaz o copie a fiecrui cadru de nivel legtur de date care este trimis sau recepionat pe acel calculator. Reamintii-v faptul c mesajele schimbate ntre protocoalele de nivel nalt cum ar fi HTTP, FTP, TCP, UDP, DNS sau IP sunt eventual ncapsulate n cadre de nivel legtur de date ce sunt transmise pe mediul fizic cum ar fi cablul UTP de la Ethernet. n Figura de mai jos se presupune c mediul fizic aparine tehnologiei Ethernet iar astfel toate protocoalele de nivel superior sunt ncapsulate n cadre Ethernet. Interceptarea tuturor cadrelor de nivel legtur de date furnizeaz toate mesajele trimise/recepionate de toate protocoalele i aplicaiile care se execut pe acel calculator.

Figura 1: Structura itereceptorului de pachete Esan Sergiu, Grupa 1121 A

Cea de a doua component a unui interceptor de pachete este analizorul de pachete, care afieaz coninutul tuturor cmpurilor dintr-un mesaj de protocol. Pentru a putea proceda astfel analizorul de pachete trebuie s neleag structura tuturor mesajelor schimbate de protocoale. Spre exemplu s presupunem c am fi interesai de afiarea diverselor cmpuri din mesajele schimbate de protocolul HTTP din Figura 1. Analizorul de pachete nelege formatul cadrelor Ethernet i poate astfel s identifice datagrama IP dintr-un cadru Ethernet. De asemenea nelege formatul datagramei IP i astfel poate extrage segmentul TCP din datagrama IP. n final nelege structura segmentului TCP i poate extrage mesajul HTTP coninut n acel segment. n cele din urm analizorul nelege protocolul HTTP i astfel, de exemplu, tie c primii octei dintrun mesaj HTTP conin irul de caractere GET , POST sau HEAD.

2. DATE GENERALE DESPRE WIRESHARK

n cadrul acestei lucrri vom utiliza unul din cele mai populare softuri pentru capturarea pachetelor Wireshark. Wireshark este unul din cele mai populare softuri pentru analiza traficului de reea. Aa precum o fac i alte programe cu destinaie similar, Wireshark folosete librria de reea pcap pentru capturarea pachetelor i este considerat unul din cele mai stabile softuri de gen. Wireshark este o aplicae FREEWARE i poate fi descrcat de pe pagina oficial : HTTP://www.wireshark.org/download.html . Programul este disponibil att pentru platforma Unix (Linux, Solaris, FreeBSD, NetBSD, OpenBSD, Mac OS X) ct i pe Windows. De asemenea softul este disponibil i pentru Android i poate fi descrcat gratui direct de pe GooglePlay. Wireshark dispune de o interfa grafic (GUI) i de asemenea este disponibil cu interfa de tip consol sub numele de Tshark. Acest soft dispune de o documentaie foarte detaliat: un manual care poate fi gsit la adresa : HTTP://www.wireshark.org/docs/wsug_html_chunked/ i de asemenea de un forum unde putei gsi rspuns la cele mai recente ntrebri legate de wireshark i de utilizarea acestuia: HTTP://www.wireshark.org/faq.html.

3. FAMILIARIZAREA CU PROGRAMUL WIRESHARK

La porinirea aplicaiei va aprea aprea o fereastr cum este prezentat n Figura 2. ns iniial nu vor fi afiate nici un fel de date.

Esan Sergiu, Grupa 1121 A

Interfaa grafic a Wireshark dispune de urmtoarele componente: A. Meniurile de comand - sunt meniuri de comand de tip DropDown care sunt localizate n partea de sus a ferestrei. Noi vom utiliza n mare parte doar meniurile File i Capture. Meniul File ne pune la dispoziie mai multe funcii printer care salvarea pachetelor capturate, deschiderea fiierelor cu pachete capturate salvate anterior, printarea pachetelor afiate respective i prsirea programului . Meniul Capture ne permite demararea procesului de capturare a pachetelor. B. Fereastra cu listingul pachetelor afieaz sumarul pe o linie pentru fiecare pachet capturat, incluznd numrul de ordine al pachetului (asignat de Wireshark; acesta nu este un numr de secevena coninut n vreun antet de protocol), momentul de timp la care pachetul a fost capturat, adresa surs i destinaie a pachetului, tipul de protocol precum i informaii specifice protocolului cruia i aparine pachetul respectiv. Tipul de informai afiate n linia de sumar poate fi modificat din meniul Edit->Preferences->User Interface->Columns (Pentru detalii consultai manualul). Lista pachetelor poate fi sortat n funcie de oricare din criteriile enumerate fcnd clic pe numele coloanei. Cmpul protocol indic protocolul de la cel mai nalt nivel din stiv care a trimis sau recepionat pachetul, sau cu alte cuvinte protocolul care este sursa sau destinaia final pentru acel pachet (cu condiia s poat fi interpretat de Wireshark). C. Fereastra cu detaliile antetelor pachetelor pune la dispoziie detalii despre pachetul selectat n fereastra de listare a pachetelor. (Pentru a selec ta un pachet n fereastra de listare a pachetelor plasai cursorul mausului deasupra liniei de sumar a pachetului din fereastra de listare i efectuai clic cu butonul din stnga). Aceste detalii includ informaii despre cadrul Ethernet (considernd c pachetul a fost trimis/recepionat pe o interfaa Ethernet) i datagrama IP coninut n acel pachet. Detaliile IP sau Ethernet afiate pot fi extinse sau restrnse fcnd clic pe csuele plus sau minus din stnga cadrului Ethernet sau datagramei IP din fereastra de detalii. Dac pachetul conine un segment TCP sau UDP vor fi afiate detaliile TCP sau UDP acestea putnd fi extinse sau restrnse. n final sunt afiate detalii despre protocolul care a emis sau recepionat pachetul, protocol aflat la cel mai nalt nivel. D. Fereastra cu coninutul pachetului afieaz ntregul coninut al cadrului capturat, att n format hexazecimal (coloana din mijloc) ct i n format ASCII (coloana din dreapta). E. n bara de stare aflata n extremitatea inferioar este afiat numele fiierului n care se salveaz datele precum i numrul de pachete capturate, afiate sau respinse . F. n partea superioar a interfeei grafice utilizator se gsete cmpul de specificare a filtrului de afiare, unde poate fi introdus un nume de protocol

Esan Sergiu, Grupa 1121 A

sau alte informaii pentru a filtra pachetele afiate n fereastra de listare (precum i n fereastra cu detalii sau coninut). n exemplul de mai jos vom folosi filtrul de pachete pentru a ascunde pachetele ce nu conin mesaje HTTP.

A. B.

C.

D.

E.

F.

Figura 2: Interfaa Grafic a programului Wireshark

4. CAPTURAREA PACHETELOR
Dup cum tim cea mai bun metod de a nva s utilizezi un program nou este s ncepi s experimentezi cu el. Pentru nceput trebuie s ne asigurm c dispunem de un calculator conectat la Internet ( n modelul dat vom utilza un calculator conectat printr-o interfa wireless). Deci s ncepem: Pentru nceput vom lansa navigatorul Web i vom atepta pn acesta va afia pagina de start configurat. Apoi vom lansa Wireshark cu drepturi de Administrator (click dreapta pe iconi > Run as Administrator).

Esan Sergiu, Grupa 1121 A

Se va deschide o fereastr similar cu aceasta:

Pentru a ncepe capturarea pachetelor vom selecta din meniu Capture > Options i pe ecran se va afia fereastra urmtoare unde vor fi afiate interfeele care pot fi captate i un ir de opiuni pentru demararea procesului de captare. Din acest fereastr noi vom alege doar interfaa de pe care dorim s fie capturate pachetele (n cazul dat aceasta este Microsoft:\Device\NPF_...) i vom las toate celelalte opiuni la valoarea lor implicit. Atenie: n cazul n care calculatorul dispune de mai multe interfee de reea active este necesar s o alegei pe acea care va fi utilizat pentru interceptarea pachetelor trimise/recepionate.

Esan Sergiu, Grupa 1121 A

Dup ce ai urmat toate aceste instruciuni apsai butonul Start. Din acest moment Wireshark va ncepe interceparea pachetelor adic va capta toate pachetele trimise/recepionate de ctre calculator prin interfaa selectat anterior. n timp ce ruleaz Wireshark, introducem n linia de comand a browserului o adres (ex: HTTP://www.yahoo.com ).Ct timp navigatorul ncarc pagina putem vedeam cum Wireshark capteaz pachetele transmise/primite:

Dup ce browserul a finisat s ncarce pagina putem opri captarea pachetelor acionnd butonul Stop .

5. FILTRAREA PACHETELOR HTTP

Dei am capturat pachetele de la o simpl pagin web vom vedeam c pe parcurs sau activat mai multe protocoale care n mod evident ruleaz pe calculator i nu sunt vizibile utilizatorului i cum scopul nostru este captarea pachetelor transmise prin protocolul HTTP , vom trece la filtrarea nemrginit a acestora. Pentru aceasta vom accesa butonul Expression... care se afl exact lng fereastra cu listingul pachetelor i vom vedea o fereastr n care vor aprea un ir de expresii care ne permite s filtrm pachetele dup diverse protocoale . Vom derula lista pn vom gsi protocolul HTTP. Dup cum observm prin tastarea butonulu + din faa protocolului HTTP, Wireshark ne permite filtrarea mai minuioas a pachetelor care trec prin acest protocol. ns pentru nceput vom capta inegral toate tipurile de pachete furnizate de protocolul HTTP. Astfel selectm din lista HTTP - Hypertext Transfer Protocol i acionm butnul OK, apoi actionm tasta Apply.

Esan Sergiu, Grupa 1121 A

Selectm primul mesaj HTTP care apare n fereastra de listare a pachetelor. Acesta ar trebui s fie un mesaj HTTP GET care a fost trimis de calculatorul vostru ctre serverul HTTP yahoo.com . Atunci cnd selectai mesajul HTTP GET se vor afia n fereastra de detalii antete informaii cu privire la cadrul Ethernet, datagrama IP, segmentul TCP i antetul mesajului HTTP Fcnd click pe csuele minus din stnga ferestrei cu detaliile pachetului restrngei informaia afiat despre cadru, Ethernet, Protocolul Internet i TCP. Extindei informaia afisat cu privire la protocolul HTTP.

Esan Sergiu, Grupa 1121 A

DICTIONAR DE TERMENI:
Protocol de reea - Reprezint un standard sau o convenie asupra modului de desfurare a unui anumit lucru n cazul reelelor: protocoalele permit calculatoarelor s comunice ntre ele printr-un limbaj comun. (HTTP) - Hypertext Transfer Protocol - stiva de protocoale OSI prin care serverul web i browserul clientului (utilizatorului) comunic ntre ele. Pachete - mesaje scurte prin intermediul crora se transmite informaia de la un calculator la altul i care au n structura lor un camp pentru desemnarea expeditorului i unul pentru desemnarea destinatarului. (TCP) Trasmission Control Protocol - este un protocol sigur orientat pe conexiune care permite ca un flux de octei trimii de pe o main s ajung fr erori pe orice alt main din inter-reea. Acest protocol fragmenteaz fluxul de octei n mesaje discrete i paseaz fiecare mesaj nivelului internet. TCP trateaz totodat controlul fluxului pentru a se asigura c un emitor rapid nu inund un receptor lent cu mai multe mesaje dect poate acesta s prelucreze.

BIBLIOGRAFIE
http://www.wireshark.org/faq.html http://www.wireshark.org/docs/wsug_html_chunked/ https://www.youtube.com/watch?v=6X5TwvGXHP0 http://openmaniak.com/ro/wireshark.php http://en.wikipedia.org/wiki/Wireshark http://forum.antichat.ru/thread97460.html http://en.wikipedia.org/wiki/POST_%28HTTP%29 http://en.wikipedia.org/wiki/Hypertext_Transfer_Protocol http://ro.wikipedia.org/wiki/TCP/IP http://ro.wikipedia.org/wiki/World_Wide_Web

Esan Sergiu, Grupa 1121 A