Sunteți pe pagina 1din 22

Tema: Estimarea traficului de reea prin intermediul programului

interactiv Wireshark
1.1 Scopul lucrrii: Vizualizarea i evaluarea traficului de reea
cu ajutorul interfeei programului interactiv Wireshark.
1.2 Sarcina teoretic:
1.2.1 S se studieze noiunile de baz referitoare la sistemul OSI si
protocoalele ce pot fi vizualizate la fiecare nivel.
1.2.2S se ia cunotin de tehnicile de baz pentru instalarea si
configurarea programului Wireshark pe sistemul de operare Linux
Ubuntu.
1.2.3Analiza si interpretarea datelor reprezentate n urma sesiunii de
estimare a traficului de reea cu ajutorul programului Wireshark.
1.3 Sarcina practic
1.3.1 Noiuni generale:
Un protocol este un set de reguli care stabilete modul n care
dou dispozitive schimb informaii ntr-o reea de calculatoare.
Scopul final al unei reele este s asigure comunicaia ntre dou
aplicaii oarecare. De exemplu comunicaia dintre un browser i un
server web trebuie s funcioneze indiferent de productorii
echipamentelor de interconectare (Cisco, Juniper, etc), ai sistemului
3

de operare ce reguleaz pe staia de calcul (Linux, Windows,


MacOS) sau ai implementrii ce asigur interfaa cu utilizatorul
(Firefox,

Chrome,

Internet

Explorer,

etc).

Practic

trebuie

asiguratinteroperabilitatea ntre oricare dou aplicaii. Acestea


trebuie s mpacheteze informaia, s o transmit pe mediu, s se
asigure c a ajuns la destinaie, s preia rspunsul, etc. Dac toate
acestea ar trebui implementate de fiecare aplicaie, timpul de
dezvoltare ar fi foarte mare i bineneles c ar introduce probleme
de incompatibilitate. Prin urmare, protocolul trebuie respectat de
toate echipamentele dintr-o reea. Acestea sunt dezvoltate de diferii
productori, fiind diferite din punct de vedere hardware i software.
Pentru a simplifica paii necesari n care se realizeaz
comunicaia ntr-o reea de calculatoare, protocoalele sunt dispuse
ntr-o stiv, avnd un rol bine definit la fiecare nivel. Astfel,
protocoalele de pe un anumit nivel se folosesc de serviciile oferite de
protocoalele de la niveluri inferioare i ofer servicii, la rndul lor,
protocoalelor de la nivelurile superioare, reducndu-se complexitatea
implementrii unui nou protocol. Cel mai important beneficiu este
acela c programele ce ruleaz ntr-un sistem de operare pot trimite
sau primi date din reea, nefiind necesar s se ocupe de modul n care
sunt transmise. Acest concept de separaie este folosit i n
programare, fiind filozofia lumii UNIX: do one thing and do it well.
Un exemplu de stiv de protocoale este modelul OSI (Open
System Interconnections), avnd apte niveluri. Acesta este un model
4

teoretic, de referin, nefiind implementat. Nivelul 1 (fizic) se ocup


de transmisia unui ir de bii pe un canal de comunicaie. Nivelul 2
(legtur de date) se ocup cu adresarea fizic a staiilor ntr-o reea
i cu accesul la mediu (reglementnd cnd poate un dispozitiv s
trimit cadre astfel nct acestea s nu interfereze cu alte
echipamente din reea). Cu ajutorul nivelului 3 (de reea) se
determin calea ctre destinaia unui pachet. Nivelul 4 este nivelul
transport, aici asigurndu-se controlul fluxului de date (verificarea
integritii unui pachet, ordinea corect a pachetelor primite etc.).
Astfel, pachetele primite de acest nivel sunt asociate n ordinea
corect ntr-un segment. Nivelul 5 (sesiune) gestioneaz conexiunile
ntre aplicaii (nchide i deschide conexiuni).

Nivelul 6

(prezentare) asigur compresia i criptarea datelor.


Ultimul nivel (aplicaie) specific interfaa cu utilizatorul
(atunci cnd este dezvoltat o aplicaie, programatorul folosete
interfaa pus la dispoziie de acest nivel pentru a trimite mesaje).
Dup cum s-a menionat anterior, modelul OSI este un model
teoretic. n Internet se folosete stiva de protocoale TCP/IP, o form
simplificat a modelului OSI. Denumirea TCP/IP provine din faptul
c IP este principalul protocol de nivelul 3, iar TCP este principalul
protocol de la nivelul de transport.

Tabelul 1.1 Modelul OSI vs. Modelul TCP/IP


Modelul

Modelul

ISO/OSI/RM

TCP/IP

Nivelul Aplicaie

FTP
TFTP

Nivelul

HTTP

Prezentare

Telnet
SMTP

Nivelul sesiune

SNMP
DNS

Nivelul transport

DHCP, BOOTP
NTP NNTP Kerberos
Nivelul transport
Nivelul reea

TCP UDP
Nivelul Internet

Nivelul Legturii

IP ICMP ARP RARP RP

de date
Acces la reea
Nivelul fizic

Software driver reea i placa de interfa


reea (NIC)

ProgramulWireshark este cel ma popular analizator de reea


din

lume.

La

fel

ca

majoritatea

pogramelor

de

reea, Wireshark foloseste librria de reea pcap pentru a captura


pachete.
6

Popularitateaprogramului Wireshark vine din:


- simplitatea n instalare.
- simplitatea n folosirea interfeei GUI.
- numrul foarte mare de funcii oferite.
1.3.2 ndrumar privind ndeplinirea compartimentului practic
1. Rulm programul Wireshark i ni se deschide
interfaa interactiv a programului n urmtorul
mod:

Fig.1.2 Interfaa de lucru a programului


2. Din bara de meniu, plasat n partea de sus a paginii, alegem
opiunea Capture Interfaces i ne va fi prezentat o
fereastr interactiv, care ne permite s alegem interfaa ruterului
7

pe care dorim s o ascultam .


Pentru a alege interfaa Ethernet a ruterului, este necesar s bifm
rubrica cu eth0.

Fig.1.3 Lista de interfee propuse spre ascultare


n drept cu rubrica eth0 este butonul Start, care
va declana procesul de capturare a
pachetelor.Fereastra generat n urma acestei
comenzi conine urmtoarele coloane cu
urmtoarele date:

Fig.1.4 Fereastra interactiv Wireshark


8

1-Numrul pachetului (No.).


2-Timpul nregistrtrii pachetului n reea(Time).
3-Adresa sursei (Source).
4-Adresa destinaiei (Destination).
5-Protocolul prin intermediul cruia a avut loc transmisiunea
pachetului (Protocol).
6-Lungimea pachetului (Length).
7-Informaie adiional despre pachet (Info).
n partea de sus a paginii este un filtru n care putem indica
protocolul ce este specific unui anumit nivel i vom putea vizualiza
care pachete au fost transmise prin intermediul protocolului dat.

Fig.1.5 Fereastra interactiv cu lista de interfee propuse spre


ascultare
9

n acest mod apare interfaa grafic a aplicaiei i mai jos vor


fi explicitate toate componentele ei.Dup cum se poate observa i n
Figura 1.5, interfaa grafic este alctuit din 5 componente majore:
- Meniurile de comand: meniuri standard pentru aplicaiile
windows. De un interes mai mare sunt File i Capture. Meniul File
permite salvarea de capturi n fiiere sub diverse formate, sau
ncrcarea unor capturi salvate anterior. Este suportat inclusiv
formatul de fiier creat de ctre Microsoft Network Monitor (un
interceptor de pachete oferit de ctre Microsoft).
- Fereastra de listare a pachetelor: afieaz un sumar de o
linie pentru fiecare pachet capturat. Ordonarea pachetelor se poate
realiza dupa oricare din cmpurile afiate pentru acestea. Sumarul
afiat conine un numr de ordine alocat de ctre wireshark (acesta
nu face parte din nici un antet), momentul de timp la care s-a realizat
captura, adresa surs respectiv destinaie a pachetului, tipul
protocolului i informaii specifice protocolului pentru pachetul
curent.
- Fereastra de listare a detaliilor de antet: aceasta ofer
detalii legate de pachetul selectat n fereastra de listare a pachetelor.
Informaiile se refer la antetul Ethernet i la datagrama IP care
conine pachetul curent. Nivelul de detalii legate de Ethernet sau IP
poate fi controlat prin expandarea sau ascunderea informaiilor
detaliate cu ajutorul semnelor + sau -. Dac pachetul a fost
10

transferat la nivelul transport golosinf TCP sau UDP (User Datagram


Protocol), atunci vor fi afiate detalii legate de antetul TCP sau UDP,
detalii ce pot fi din nou expandate sau ascunse ca i n cazul IP. n
final sunt oferite detalii legate de cel mai nalt protocol folosit cel
de la nivelul Aplicaie. Dac protocolul este unul comun (cum ar fi
HTTP) atunci antetul HTTP(Hypertext Transfer Protocol) va putea fi
expandat n detaliu pn la nivelul comenzilor i parametrilor
elementari. n Figura 1.5 a fost ilustrat un exemplu pentru care este
afiat identificatorul de sesiune folosit de ctre o aplicaie de tipul
Instant Messenger.
- Fereastra de afiare a coninutului pachetului: aceasta
fereastr afieaz coninutul ntregului cadru Ethernet capturat, att
hexazecimal ct i valorile echivalente ASCII (lucru util daca la
nivelul Aplicaie avem de-a face cu un protocol bazat pe text, cum
este HTTP sau SMPT). Dup cum se observ n Figura 3, detaliile
selectate n fereastra de listare a detaliilor sunt evideniate i din
punct de vedere al coninutului n fereastra de afiare a coninutului
pachetului (a se vedea valoarea identificatorului de sesiune).
- Filtrul de control: aceast caset permite specificarea unui
filtru ce va fi aplicat asupra pachetelor afiate. Astfel, dac este
specificat HTTP n aceast caset, n fereastra de listare a pachetelor
vor apare exclusiv pachetele ce au fost generate de aplicaii ce
implementeaz acest protocol. Un astfel de exemplu a fost ilustrat n
Figura 1.6.
11

Fig. 1.6 Filtru de protocol


Selectai din meniul principal al aplicaiei
categoria Capture i apoi selectai Options. Va
aprea o fereastr interactiv cu denumirea
Wireshark Capture Options, asemntoare celei din
Fig.1.7.

Fig 1.7 Wireshark Capture Options


Putei folosi majoritatea parametrilor din aceast fereastr cu
valorile lor implicite, dar debifai Hide capture info dialog (care
n Figura 1.7 este bifat). n cazul n care PC-ul pe care ruleaz
aplicaia wireshark este dotat cu mai multe interfee de reea,
selectai-o pe cea dorit folosind caseta combo Interface din partea
12

de sus a ferestrei. Dup ce ai setat parametrii dorii, efectuai click


pe butonul Start. Din acest moment WireShark va primi o copie a
fiecrui pachet ce sosete la intefaa de reea selectat sau este trimis
pe reea de ctre aceasta.
Odat ce a fost declanat captura, va fi afiat o fereastr
informativ legat de numrul de pachete capturate i de tipul
acestora, similar celei din figura de mai jos :

Fig.1.8 Informaie despre numrul de pachete capturate


5. Revenii la aplicaia wireshark i apsai butonul
13

Stop.

Fereastra

informativ

va

dispare.Acum

fereastra

principal arat toate pachetele capturate n intervalul de timp ct


capturarea era pornit. Deoarece numrul de pachete este foarte
mare, gsirea unui anume pachet este dificil. Trebuie gsit o
metod de limitare: folosind filtrul de afiare din partea de sus a
ferestrei principale.Tastai http cu litere mici.
6. Apsai tasta enter. Acum n lista de pachete capturate
apar exclusiv pachetele HTTP.

Fig.1.9Reprezentarea exclusiv a pachetelor dup tipul


protocolului introdus n filtru
7. Selectai pachetul ce urmeaz a fi supus analizei emis
de ctre navigator i puteti afla informaii detaliate legate de acest
pachet.
14

Fig.1.10 Componena pachetului


Dup cum se observ, n figura de mai sus, n aceast
fereastr este inclus informaia detalizat despre fiecare pachet n
formatul ASCII. Aceste coduri sunt grupate n antete. Dac vom
selecta unul din aceste antete, putem, n mod automat, care grup de
cod este caracteristic pentru fiecare antet. n fiecare din figurile de
mai jos, vei putea vizualiza fiecare grup de cod.

15

Fig. 1.11 Chenarul antetului de cod

Fig. 1.12 Codul caracteristic pentru interfaa ethernet

16

Fi
g. 1.13 Codul caratceristic pentru versiunea IP protocol utilizat

Fig. 1.14 Codul caracteristic pentru protocolul


de transmisie i control

17

Fi
g.1.15 Prezena flguleului
Meniul de comand conine foarte multe instruciuni,
care ne pot oferi foarte
multe informaii statistice i analitice.
Una dintre aceste instruciuni este vizualizarea statisticii ce
reflect cte pachete pot fi transmise prin intermediul unuia i acelai
protocol pe parcursul unei sesiuni.
8. Pentru realizarea acestei statistici este necesar de a alege
din meniul principal categoria Statistics, dup care alegem opiunea
summary. Aceast opiune va genera o fereastr, n care se conine
informaia general despre captura de pachete:

18

Fig. 1.16 Crearea statisticii sumare


Dac dorim s crem o statistic n dependen de protocolul
utilizat n procesul de transmisiune este necesar mai nti ca in filtru
de protocol sa tastm cu litere mici denumirea protocolului i apoi
urmm aceleai instruciuni ca i n cazul
precedent. n aa situaie vom obine acelai tip de statistic, doar c
va fi indicat i protocolul cerut:
19

Fig.1.17 Statistica sumar dup protocol


9. Pentru a analiza cum variaz lungimea pachetelor ,
transmise prin acelai
protocol generm urmatoarea instruciune: accesm Statistics
packet lengths. Aceast instruciune genereaz o caset care cere
specificarea tipului de protocol cercetat.

20

Fig.1.18 Caseta pentru indicarea protocolului


Dup aceasta vom obine urmtoarul raport:

Fig. 1.19 Clasificarea pachetelor dup lungime i dup tipul


protocolului
21

O foarte important opiune este gruparea pachetelor , dup


tipul de protocol, care vin de la una i aceeai adres IP. Acest lucru
poate fi obinut din acelai meniu accesnd Statistics IP address
source. n rezultat vom obine urmtoarea statistic:

Fig. 1.20 Clasificarea pachetelor dup adresa IP a sursei


Dup acelai principiu putem viziualiza statistica lund in
consideraie adresa IP a destinaiei.

22

1.3.3 ntrebari de control:

Ce este sistemul OSI i care sunt nivelele acestuia?

1.

Specificai semnificaia i funcia fiecrui nivel al stivei de


protocoale OSI?

2.

Ce protocoale sunt specifice fiecrui nivel al sistemului OSI?

3.

Ce reprent programul Wireshark?

4.

Ce informaie conine interfaa de lucru n timpul sesiunii de


capturare a pachetelor?

5.

Enumerai i explicai parile componente ale interfeei de lucru a


programului Wireshark?

6.

Enumerai antetele de cod ce se conin n structura fiecrui


pachet.

7.

Explicai modul de interpretare a fiecrui grup de cod din antetul


pachetului transmis?

8.

Ce posibiliti de sortare a pachetelor capturate cunoatei? Care


sunt aceste criterii de sortare?

9.

Ce fel de statistici putem obine cu ajutorul programului


23

Wireshark ?
10.

La ce ne pot servi aceste statistici?

11.

Cum putem obine , n mod automat, statistica despre numrul de


pachete transmis corespunztor dup tipul protocolului utilizat
pentru transmisiune?

12.

Care sunt paii ce trebuie urmai pentru a obine tabelul sortrii


pachetelor dup Ip adres surs i tipul protocolului?

24