Sunteți pe pagina 1din 5

Lucrarea 6

Capturarea i analizarea traficului de reea


1. Obiective

Deprinderea unor cunotine generale despre instrumentele de captur i analiz a traficului


i nelegerea utilitii acestora

Familiarizarea cu unul dintre aceste instrumente, un software denumit Wireshark

nelegerea cu ajutorul acestui instrument software a structurii ierarhizate a arhitecturii


Internet

Analizarea, pe scurt, a ctorva protocoale din stiva TCP/IP: UDP, TCP, IP, Ethernet etc.

2. Analizoarele de trafic de reea


2.1 Prezentare general
Analizoarele de trafic de reea sunt n general instrumente software care sunt capabile s capteze i
s analizeze traficul transmis sau recepionat de ctre un calculator care este conectat ntr-o reea.
Aceste instrumente pot fi utilizate att n scop de studiu al funcionrii protocoalelor de reea
(mecanisme, structura cadrelor etc), ct i pentru mbuntirea funcionalitii i a securitii reelei.
Cele mai multe dintre aceste instrumente se descarc gratuit de pe Internet, unele dintre ele fiind
chiar pri integrante ale unor sisteme de operare. Cteva analizoare de reea (uneori denumite n
limba englez "packet sniffer") des folosite sunt: Ethereal, Wireshark (versiunea nou a lui Ethereal),
tcpdump (asemntor cu cele dou programe anterioare, dar apelabil doar n linia de comand),
Microsoft Network Monitor (pachet suplimentar al sistemelor de operare Windows), ettercap
(program ce poate fi folosit pentru capturarea parolelor transmise ntr-o reea de ctre unele
protocoale de nivel aplicaie) etc.
ntr-o reea local, n funcie de structura acesteia, se poate captura traficul din
ntreaga reea, sau doar traficul destinat calculatorului pe care s-a instalat software-ul de analiz.
Spre exemplu, ntr-o reea Ethernet care folosete comutatoare (switchuri), este posibil "ocolirea"
n scopuri ru intenionate a filtrrii de pachete pe care switchurile o pun n practic i accesarea

traficului destinat altor staii de reea (o metod cunoscut este denumit ARP spoofing). Capturarea
traficului ntregii reele poate servi ns i unor scopuri de administrare, deoarece ea furnizeaz o
imagine global asupra reelei n cauz. De exemplu, o tehnic folosit este configurarea pe un
switch a unui port special denumit port de "mirroring", care va "oglindi" toate pachetele ce trec prin
toate porturile switchului.
Aadar, n reelele care folosesc switchuri mai degrab dect huburi, analizorul de reea va fi
incapabil s capteze datele de reea, datorit naturii intrinsece a switchurilor (a "izolrii" pe care ele
o introduc). Att n reelele cu fir ct i n acelea fr fir, pentru ca analizorul de reea s fie capabil
s captureze i pachete de date care nu i sunt explicit dedicate (n aceast categorie intrnd pachete
unicast sau de difuzare n LANul din care respectiva staie face parte), adaptorul de reea trebuie
setat ntr-un mod de operare special, care de obicei se numete "promiscous mode". Este de notat c
nu orice analizor de reea suport acest mod de operare. n reelele fr fir, chiar dac este posibil
setarea plcii de reea wireless n "promiscous mode", pachetele care nu corespund setului de
servicii pentru care adaptorul este configurat vor fi de obicei ignorate. Pentru a putea vizualiza i
aceste pachete este nevoie de setarea unui alt mod de operare, i anume acela de monitorizare a
reelei.
2.2 Funcionaliti ale softurilor de analiz de reea
Printre funcionalitile analizoarelor de reea, putem meniona:

Analiza problemelor de reea

Detectarea ncercrilor de intruziune

Monitorizarea utilizrii reelei

Colectarea i raportarea unor statistici de reea

Filtrarea pachetelor suspecte din traficul de reea

Spionarea altor utilizatori de reea i capturarea parolelor acestora

Depanarea problemelor protocoalelor de reea

Cteva exemple practice de folosire a analizoarelor de reea, legate de aspectele menionate mai sus
ar putea fi:

Un analizor de pachete pentru o reea token ring ar putea detecta pierderea tokenului sau
prezena prea multor tokenuri pe inel

Un analizor de pachete ar putea detecta c mesajele primite de ctre placa de reea nu sunt
sesizate (procesate) de ctre aceasta, ceea ce este un indiciu al funcionrii
necorespunztoare a adaptoarelor de reea

Un analizor de pachete ar putea colecta statistici referitoare la volumul de trafic (numrul de


mesaje) legate de un anumit proces, detectnd astfel necesitatea unei nevoi de band sporite
a acestui proces

Un analizor poate fi folosit pentru diagnosticarea problemelor de conectivitate ale sistemului


de operare, legate de web, ftp, active directory .a.m.d.

Un analizor de pachete poate fi utilizat pentru a analiza datele trimise ctre/recepionate


dinspre un sistem securizat, pentru nelegerea msurilor de securitate n scopul testrii
penetrabilitii sistemului n vederea prevenirii efecturii unor aciuni ilegale pe acesta.

3. Prezentarea programului Wireshark


Wireshark (al crui versiune mai veche se numete Ethereal) este un pachet software gratuit care
poate fi utilizat n mod interactiv pentru capturarea i analiza traficului de reea. Acest instrument
sofware beneficiaz de o interfa grafic utilizator, care l face simplu de utilizat. La fel ca i alte
analizoare de pachete, fereastra principal din Wireshark prezint trei imagini graduale asupra unui
pachet. n primul rnd, o descriere sumar a pachetului, n care se dau informaii de baz despre
pachetul respectiv. Aceasta este completat de o fereastr de detaliu n care se dau detalii asupra
protocoalelor care compun pachetul (tipul protocolului, dimensiunea headerului etc). n cele din
urm, avem imaginea exact a irului de octei (codai n hexadecimal) care compun pachetul. n
figura 1 se poate vedea o imagine a interfeei grafice utilizator a programului Wireshark.

Fig. 1: Interfaa grafic a utilitarului Wireshark

Fig.1: Interfaa grafic utilizator a programului Wireshark

Cadrele de informaie sunt capturate cu ajutorul unei colecii cuprinztoare de filtre. Aceste filtre pot
fi preinstalate sau definite de ctre utilizator, care poate preciza ce fel de pachete s fie capturate, ct
s dureze captura, dimensiunea maxim a pachetelor i alte detalii. Mai mult dect att, pachetele
capturate pe durata unei conversaii "TCP/IP" pot fi afiate ntr-un format ASCII uor de utilizat.
4. Parte practic
Studenii vor trebui s urmeze paii descrii n cele ce urmeaz:
1. Alegerea plcii de reea folosite pentru capturarea traficului
n acest scop se va utilizea meniul Capture-Interface-Details. Studenii vor verifica tipul plcii de
reea folosite la capturarea traficului. La sfritul acestei etape, studenii vor rspunde n scris la
urmtoarele ntrebri:
a. Crui tip de protocol i corespunde placa de reea (Ethernet, Fast Ethernet, Gigabit Ethernet,
Wireless etc)?
b. Cine este productorul plcii de reea?
c. Care este adresa MAC a plcii?
d. Care este dimensiunea pachetelor suportat de ctre aceast interfa?
e. Care este viteza legturii?
2. Definirea opiunilor de capturare i pornirea capturrii.
Meniul uilizat n acest scop este Capture-Options. Ca i interfa de captur trebuie aleas placa de
reea din familia Ethernet (n caz c exist mai multe plci de reea instalate). Se face o trecere n
revist a filtrelor pre-definite care pot fi utilizate. nainte de pornirea capturii (folosind butonul Start
plasat n colul din stnga-jos al ferestrei), studenii vor trebui s identifice i s noteze urmtoarele
informaii:
a. Care este numrul total de interfee de reea din care se poate alege i care sunt proprietile
i semnificaia fiecreia dintre aceste interfee?
b. Enumerai 5 filtre predefinite care pot fi utilizate pentru capturarea traficului i ncercai s le
explicai nelesul. Aceste filtre pot fi identificate cu ajutorul meniului Capture-Filter.
3. Pornii o captur care s se opreasc automat dup 20 de secunde. Durata capturii poate fi
stabilit din meniul Capture-Options. Pentru aceast captur, nu se va utiliza nici un fel de filtrare
dup tipul de pachete. ncercai s identificai pachetele care folosesc la nivelul transport TCP,
respectiv UDP i s rspundei la urmtoarele ntrebri:

a. Carele sunt protocoalele utilizate (ce apar n partea de jos a ferestrei), atunci cnd selectai un
pachet n partea de sus a interfeei grafice, folosind tastatura sau mouse-ul?
b. Care este lungimea pachetelor? Este identic aceast lungime pentru toate protocoalele de nivel
superior (TCP, UDP etc)?
c. Trecei n revist protocoalele afiate, de sus n jos. ncercai s identificai i s notai lungimea
headerelor pentru fiecare protocol listat i s stabilii poziia n cadrul pachetului capturat a antetului
fiecrui tip de protocol. Mai jos avei une exemplu de stabilire a poziiei antetului pachetelor IP.

Fig. 2: Identificarea poziiei antetelor diverselor protocoale


d. Care este lungimea datelor utile? Comparai aceast lungime cu lungimea total a pachetului
transmis prin cablu.
4. Identificai informaii statistice referitoare la pachetele transmise pe durata capturii. Astfel,
cutnd n submeniurile ce se deschid accesnd opiunea Statistics (Summary, Convesation List),
ncercai s extragei i s notai urmtoarele informaii: numrul total al pachetelor capturate,
debitul mediu, dimensiunea medie a pachetelor. Care dintre protocoalele de pe lista de conversaie
nu au fost folosite pe durata capturii?
5. Construii un filtru care este capabil s capteze doar pachetele HTTP/IP, att pentru
protocolul TCP ct i pentru UDP. Captura trebuie s se opreasc automat dup 30 de secunde.
Pornii captura, i apoi ncercai s accesai o pagin web. Cnd captura se oprete, ncercai s
identificai i s notai urmtoarele informaii: ierarhia protocoalelor, conversaiile desfurate
(adresele IP implicate n transmisia pachetelor), numerele de port surs i destinaie marcate n
antetul protocoalelor de nivel transport TCP i UDP. Care dintre aceste dou protcoale este cel mai
utilizat?

S-ar putea să vă placă și