Laborator Wireshark: Introducere Laboratoare Wireshark nelegerea noastr asupra protocoalelor de reea poate fi adesea aprofundat observnd protocoalele

n aciune i experimentnd cu protocoalele sau cu alte cuvinte observnd secvena de mesaje schimbate ntre dou entiti de protocol, studiind detaliile funcionrii protocolului, determinnd protocoalele s execute anumite aciuni iar apoi observnd aceste aciuni precum i consecinele lor. Aceste lucruri se pot efectua ntru-un mediu simulat (spre exemplu Omnet++) sau ntr-o reea real cum ar fi Internet-ul. Unele applet-uri Java din manual1 abordeaz prima variant. n cadrul laboratoarelor Wireshark vom aborda cea dea doua variant. Vei rula diverse aplicaii de reea n diverse scenarii folosind calculatorul din laborator, de acas sau de la birou. Vei observa n aciune protocoalele din calculatorul vostru, interacionnd i schimbnd mesaje cu entiti de protocol care se execut n alt parte undeva n Internet. fcnd. Instrumentul de baz pentru observarea mesajelor schimbate ntre entitile de protocol executante se numete interceptor de pachete (eng. packet sniffer). Aa cum sugereaz i numele un interceptor de pachete copiaz n mod pasiv mesajele care sunt trimise i recepionate de ctre calculator; de asemenea acesta n mod tipic va stoca i/sau afia coninutul diverselor cmpuri de protocol din componena mesajelor capturate. Interceptorul de pachete este n sine pasiv. Acesta observ mesajele trimise i recepionate de aplicaiile i protocoalele ce ruleaz pe calculator, ns nu trimite niciodat pachete. Similar pachetele recepionate nu sunt niciodat adresate n mod explicit interceptorului de pachete. n schimb un interceptor de pachete recepioneaz o copie a pachetelor care sunt trimise/recepionate de aplicaia i protocoalele care se execut pe acea gazd. Figura 1 prezint structura unui interceptor de pachete. n partea dreapt a Figurii 1 se gsesc protocoalele (n acest caz protocoalele Internet) i aplicaiile (cum ar fi un navigator web sau client ftp) care ruleaz n mod normal pe acel calculator. Interceptorul de pachete figurat n dreptunghiul punctat din Figura 1 reprezint un supliment la software-ul instalat pe calculator i const din dou pri. Biblioteca de interceptare a pachetelor recepioneaz o copie a fiecrui cadru de nivel legtur de date care este trimis sau recepionat pe acel calculator. Reamintii-v faptul c mesajele schimbate ntre protocoalele de nivel nalt cum ar fi HTTP, FTP, TCP, UDP, DNS sau IP sunt eventual ncapsulate n cadre de nivel legtur de date ce sunt transmise pe mediul fizic cum ar fi cablul UTP de la Ethernet. n Figura 1 se presupune c mediul fizic aparine tehnologiei Ethernet iar astfel toate protocoalele de nivel superior sunt ncapsulate n cadre
1

Astfel voi i

calculatorul vostru vei fi o parte integrat a acestor laboratoare live. Vei observa i vei nv

Toate referinele din acest laborator sunt relative la Computer Networking: A Top-down Approach, 5th edition.

Laborator Wireshark: Introducere Ethernet. Interceptarea tuturor cadrelor de nivel legtur de date furnizeaz toate mesajele trimise/recepionate de toate protocoalele i aplicaiile care se execut pe acel calculator.
Interceptor de pachete Analizor de pachete aplicaie Aplicaie (ex: navigator www, client ftp)

sistem de operare interceptare pachete (pcap) spre/de la reea Copie a cadrelor

Eth. trimise/primite

Transport (TCP/UDP) Reea (IP) Leg. de date (Eth.) Fizic spre/de la reea

Figura1: Structura interceptorului de pachete Cea de a doua component a unui interceptor de pachete este analizorul de pachete, care afieaz coninutul tuturor cmpurilor dintr-un mesaj de protocol. Pentru a putea proceda astfel analizorul de pachete trebuie s neleag structura tuturor mesajelor schimbate de protocoale. Spre exemplu s presupunem c am fi interesai de afiarea diverselor cmpuri din mesajele schimbate de protocolul HTTP din Figura 1. Analizorul de pachete nelege formatul cadrelor Ethernet i poate astfel s identifice datagrama IP dintr-un cadru Ethernet. De asemenea nelege formatul datagramei IP i astfel poate extrage segmentul TCP din datagrama IP. n final nelege structura segmentului TCP i poate extrage mesajul HTTP coninut n acel segment. n cele din urm analizorul nelege protocolul HTTP i astfel, de exemplu, tie c primii octei dintr-un mesaj HTTP conin irul de caractere GET , POST sau HEAD, aa cum este indicat n Figura 2.8 din text. Pentru aceste laboratoare vom utiliza interceptorul de pachete Wireshark (http://www.wireshark.org) ce permite afiarea coninutului mesajelor trimise/recepionate de protocoalele aflate pe diverse niveluri ale stivei de protocoale. (Tehnic Wireshark este un analizor de pachete ce folosete o bibliotec din calculator ce permite interceptarea pachetelor -- libpcap). Wireshark este un analizor liber de protocoale de reea ce ruleaz pe sistemele de operare Windows, Linux/Unix i Mac. Este un analizor de pachete ideal pentru laboratoarele noastre este stabil, dispune de documentaie detaliat (http://www.wireshark.org/docs/wsug_html_chunked/), pagini de manual (http://www.wireshark.org/docs/wsug_html_chunked/), precum i o list detaliat de ntrebri frecvente (http://www.wireshark.org/faq.hrml), funcionalitate bogat ce include capabilitatea de a analiza sute de protocoale precum i o bun interfa utilizator. Funcioneaz pe

Laborator Wireshark: Introducere calculatoare cu Ethernet, Token-Ring, FDDI, serial (PPP sau SLIP), WLAN 802.11 sau conexiuni ATM (cu condiia ca sistemul de operare s permit).

Obinerea Wireshark
Pentru a putea rula Wireshark avei nevoie de acces la un calculator care dispune att de Wireshark ct i de biblioteca de captur libpcap sau WinPCap. Atunci cnd instalai Wireshark se va instala n mod automat i biblioteca libpcap dac aceasta nu este deja instalat. Pentru o list a sistemelor de operare suportate precum i o list a site-urilor de unde se poate descrca Wireshark vizitai http://www.wireshark.org/download.html . Descrcai i instalai programul Wireshark: Accesai http://www.wireshark.org/download.html , descrcai i instalai Wireshark pe calculatorul vostru (Windows). Pe sistemele de operare de tip Linux putei instala Wireshark folosind managerul de pachete: yum install wireshark (Fedora) sau apt-get install wireshark (Ubuntu). Descrcai ghidul de utilizare Wireshark Lista de ntrebri frecvente (FAQ) a Wireshark-ului pune la dispoziie o serie de sugestii utile precum i alte informaii interesante mai ales dac ntmpinai dificulti la instalarea sau rularea Wireshark.

Rularea Wireshark
Atunci cnd rulai programul Wireshark se va afia o interfaa grafic utilizator similar cu cea din Figura 2. Iniial n ferestre nu vor fi afiate nici un fel de date. Interfaa grafic a Wireshark dispune de ase componente majore: Meniurile de comand sunt meniuri standard de tip trage jos localizate n partea superioar a ferestrei. De interes pentru noi sunt meniurile File i Capture. Meniul File permite salvarea pachetelor de date capturate sau deschiderea unui fiier ce conine pachete de date capturate anterior precum i prsirea aplicaiei Wireshark. Meniul Capture permite demararea procesului de capturare a pachetelor.

Laborator Wireshark: Introducere

Meniuri de command Specificare filtru de afiare

Lista pachetelor capturate

Detaliile antetului pachetului selectat

Coninutul pachetului n ASCII sau hexazecimal Bar de stare

Figura 2. Interfaa grafic utilizator a programului Wireshark Fereastra cu listingul pachetelor afieaz sumarul pe o linie pentru fiecare pachet capturat, incluznd numrul de ordine al pachetului (asignat de Wireshark; acesta nu este un numr de secevena coninut n vreun antet de protocol), momentul de timp la care pachetul a fost capturat, adresa surs i destinaie a pachetului, tipul de protocol precum i informaii specifice protocolului cruia i aparine pachetul respectiv. Tipul de informai afiate n linia de sumar poate fi modificat din meniul Edit->Preferences->User Interface->Columns (Pentru detalii consultai manualul). Lista pachetelor poate fi sortat n funcie de oricare din criteriile enumerate fcnd clic pe numele coloanei. Cmpul protocol indic protocolul de la cel mai nalt nivel din stiv care a trimis sau recepionat pachetul, sau cu alte cuvinte protocolul care este sursa sau destinaia final pentru acel pachet (cu condiia s poat fi interpretat de Wireshark). Fereastra cu detaliile antetelor pachetelor pune la dispoziie detalii despre pachetul selectat n fereastra de listare a pachetelor. (Pentru a selecta un pachet n fereastra de listare a pachetelor plasai cursorul mausului deasupra liniei de sumar a pachetului din fereastra de listare i efectuai clic cu butonul din stnga). Aceste detalii includ informaii despre cadrul Ethernet (considernd c pachetul a fost trimis/recepionat pe o interfaa Ethernet) i datagrama IP coninut n acel pachet. Detaliile IP sau Ethernet afiate pot fi extinse sau restrnse fcnd clic pe csuele plus sau minus din stnga cadrului Ethernet sau datagramei IP din fereastra de detalii. Dac 4

Laborator Wireshark: Introducere pachetul conine un segment TCP sau UDP vor fi afiate detaliile TCP sau UDP acestea putnd fi extinse sau restrnse. n final sunt afiate detalii despre protocolul care a emis sau recepionat pachetul, protocol aflat la cel mai nalt nivel. Fereastra cu coninutul pachetului afieaz ntregul coninut al cadrului capturat, att n format hexazecimal (coloana din mijloc) ct i n format ASCII (coloana din dreapta). In bara de stare aflata n extremitatea inferioar este afiat numele fiierului n care se salveaz datele precum i numrul de pachete capturate, afiate sau respinse . n partea superioar a interfeei grafice utilizator se gsete cmpul de specificare a filtrului de afiare, unde poate fi introdus un nume de protocol sau alte informaii pentru a filtra pachetele afiate n fereastra de listare (precum i n fereastra cu detalii sau coninut). n exemplul de mai jos vom folosi filtrul de pachete pentru a ascunde pachetele ce nu conin mesaje HTTP.

Efectuarea unei rulri de test cu Wireshark

Cea mai buna metoda de a nva s utilizai un program nou este s experimentai cu el. Vom considera c dispunei de un calculator conectat la Internet printr-o interfaa Ethernet cablat. Efectuai urmtorii pai: Lansai navigatorul vostru Web preferat; acesta va afia pagina de start configurat. Lansai programul Wireshark cu drepturi de administrator (root). Vei vedea iniial o fereastr similar cu cea din Figura 2, ns fr pachete n fereastra de listare, detalii sau coninut ntruct Wireshark nu a demarat procesul de capturare a pachetelor. Pentru a ncepe capturarea pachetelor selectai meniul Capture apoi selectai Options. Se va afia fereastra Wireshark: Capture Options aa cum este indicat n Figura 3. Putei folosi valorile implicite din aceast fereastr, ns debifai Hide capture info dialog (rom. Ascunde dialogul informaii captur) de la Display Options (rom. Opiuni afiare). Interfeele de reea (conexiunile fizice) de care dispune calculatorul sunt afiate n meniul de tip trage-jos Interface aflat n extremitatea superioar a ferestrei Capture Options. n situaia n care calculatorul dispune de mai multe interfee de reea active (avei att o interfaa radio ct i o interfa Ethernet cablat) este necesar s selectai interfaa care va fi utilizat pentru interceptarea pachetelor trimise/recepionate. Dup ce ai selectat interfaa de reea (sau dac folosii interfaa implicit din Wireshark) apsai Start. Din acest moment va ncepe interceptarea pachetelor toate pachetele trimise/recepionate de calculator folosind interfaa selectat vor fi interceptate de Wireshark.

Laborator Wireshark: Introducere

Figura 3. Fereastra Wireshark cu opiuni pentru capturare Dup demararea procesului de capturare a pachetelor se va afia o fereastr cu sumarul pachetelor capturate aa cum este artat n Figura 4. n aceast fereastr este prezentat o statistic a numrului de pachete de diverse tipuri capturate i de asemenea (foarte important) fereastra conine butonul Stop ce permite oprirea procesului de capturare. Nu oprii nc procesul de capturare!

Figura 4. Sumarul pachetelor capturate 6

Laborator Wireshark: Introducere n timpul n care Wireshark ruleaz introducei urmtorul URL:

http://gaia.cs.umass.edu/wireshark-labs/INTRO-wireshark-file1.html i ateptai ca pagina cerut s fie afiat n navigator. Pentru a afia pagina navigatorul va contacta server-ul http gaia.cs.umass.edu cu care va efectua un schimb de mesaje HTTP pentru a descrca pagina, aa cum s-a discutat n seciunea 2.2. Cadrele Ethernet ce conin aceste mesaje HTTP vor fi interceptate de Wireshark. Dup ce navigatorul a afiat pagina INTRO-wireshark-file1.html oprii interceptarea pachetelor apsnd butonul Stop din fereastra de captur. Aceast aciune va avea ca afect dispariia ferestrei de captur iar Wireshark va afia n fereastra principal toate pachetele interceptate de la nceputul procesului de captur. Fereastra principal Wireshark va arat similar cu imaginea din Figura 2. n acest moment dispunei de pachetele de date ce conin toate mesajele protocoalelor schimbate ntre calculatorul vostru i celelalte entiti de reea. Mesajele HTTP schimbate cu serverul gaia.cs.umass.edu trebuie s apar undeva n listingul pachetelor. Vor exista afiate de asemenea i alte tipuri de pachete (diverse tipuri de protocoale afiate n coloana Protocol din Figura 2). Dei singura aciune pe care ai executat-o a fost descrcarea unei pagini web au existat n mod evident mai multe protocoale ce ruleaz pe calculator care nu sunt vizibile pentru utilizator. Vei nva mai multe despre aceste protocoale pe msur ce avanseaz cursul. Pentru moment este suficient s tii c n fundal au loc mai multe aciuni dect ceea ce se vede cu ochiul liber. Tastai http (fr ghilimele i cu litere mici n Wireshark toate numele de protocoale se scriu cu litere mici) n zona de specificare a filtrului de afiare din partea superioar a ferestrei Wireshark. Apoi apsai Apply (n dreapta cmpului de dialog unde ai scris http). Aceasta aciune va avea ca efect afiarea n fereastra de listare doar a mesajelor HTTP. Selectai primul mesaj http care apare n fereastra de listare a pachetelor. Acesta ar trebui s fie un mesaj HTTP GET care a fost trimis de calculatorul vostru ctre serverul HTTP gaia.cs.umass.edu. Atunci cnd selectai mesajul HTTP GET se vor afia n fereastra de detalii antete informaii cu privire la cadrul Ethernet, datagrama IP, segmentul TCP i antetul mesajului HTTP2. Fcnd clic pe csuele minus din stnga ferestrei cu detaliile pachetului restrngei informaia afiat despre cadru, Ethernet, Protocolul Internet i TCP. Extindei informaia afisat cu privire la protocolul HTTP. Imaginea obinut ar trebui s arate similar cu Figura 5. (Observai informaia restrns afiat pentru toate protocoalele cu excepia HTTP, precum i informaia extins cu privire la protocol pentru HTTP afiat n fereastra cu antetele pachetului). Prsii aplicaia Wireshark.

Reamintii-v c mesajul HTTP GET trimis ctre serverul web gaia.cs.umass.edu este coninut ntr-un segment TCP, care este coninut (ncapsulat) ntr-o datagram IP, care este ncapsulat ntr-un cadrul Ethernet. Dac procesul de ncapsulare nu va este familiar recitii seciunea 1.5 din manual.

Laborator Wireshark: Introducere Felicitti! Ai parcurs primul laborator.

Ce trebuie s reinei
Scopul acestui prim laborator a fost s v iniieze n utilizarea Wireshark. Abilitatea de a rspunde la urmtoarele ntrebri va demonstra c suntei capabili s pornii Wireshark, s demarai interceptarea i c ai explorat unele din capabilitile programului. Pe baza experimentelor efectuate cu Wireshark rspundei la urmtoarele ntrebri: 1. Enumerai diversele protocoale care apar n coloana protocol din lista de pachete nefiltrat obinut de la pasul 7. 2. Care a fost durata de timp scurs din momentul trimiterii mesajului HTTP GET i pn la obinerea rspunsului HTTP OK.? (n mod implicit valoarea din coloana Time a ferestrei de listare a pachetelor reprezint timpul n secunde scurs din momentul demarrii precesului de captur. Pentru a afia cmpul timp n format ora, mergei n meniul View, alegei Time Display Format i selectai Time of Day). 3. Care este adresa Internet a gaia.cs.umass.edu (cunoscut i ca www-net.cs.umass.edu)? Care este adresa Internet a calculatorului pe care lucrai? 4. Tiprii mesajele HTTP afiate la pasul 9. Pentru a face acest lucru, mergei in meniul File, selectai Print iar apoi alegei Selected Packets Only i Print as displayed dup care apsai OK.

Laborator Wireshark: Introducere

Figura 5. Fereastra Wireshark dup pasul 9 Adaptat dup

http://gaia.cs.umass.edu/wireshark-

labs/Wireshark_INTRO_Sept_15_2009.pdf