Laborator Wireshark: Introducere

Laboratoare Wireshark
nelegerea noastr asupra protocoalelor de reea poate fi adesea aprofundat observnd
protocoalele n aciune i experimentnd cu protocoalele sau cu alte cuvinte observnd
secvena de mesaje schimbate ntre dou entiti de protocol, studiind detaliile funcionrii
protocolului, determinnd protocoalele s execute anumite aciuni iar apoi observnd aceste aciuni
precum i consecinele lor. Aceste lucruri se pot efectua ntru-un mediu simulat (spre exemplu
Omnet++) sau ntr-o reea real cum ar fi Internet-ul. Unele applet-uri Java din manual1 abordeaz
prima variant. n cadrul laboratoarelor Wireshark vom aborda cea dea doua variant. Vei rula
diverse aplicaii de reea n diverse scenarii folosind calculatorul din laborator, de acas sau de la
birou. Vei observa n aciune protocoalele din calculatorul vostru, interacionnd i schimbnd
mesaje cu entiti de protocol care se execut n alt parte undeva n Internet.

Astfel voi i

calculatorul vostru vei fi o parte integrat a acestor laboratoare live. Vei observa i vei nv
fcnd.
Instrumentul de baz pentru observarea mesajelor schimbate ntre entitile de protocol
executante se numete interceptor de pachete (eng. packet sniffer). Aa cum sugereaz i numele
un interceptor de pachete copiaz n mod pasiv mesajele care sunt trimise i recepionate de ctre
calculator; de asemenea acesta n mod tipic va stoca i/sau afia coninutul diverselor cmpuri de
protocol din componena mesajelor capturate. Interceptorul de pachete este n sine pasiv. Acesta
observ mesajele trimise i recepionate de aplicaiile i protocoalele ce ruleaz pe calculator, ns
nu trimite niciodat pachete. Similar pachetele recepionate nu sunt niciodat adresate n mod
explicit interceptorului de pachete. n schimb un interceptor de pachete recepioneaz o copie a
pachetelor care sunt trimise/recepionate de aplicaia i protocoalele care se execut pe acea gazd.
Figura 1 prezint structura unui interceptor de pachete. n partea dreapt a Figurii 1 se
gsesc protocoalele (n acest caz protocoalele Internet) i aplicaiile (cum ar fi un navigator web sau
client ftp) care ruleaz n mod normal pe acel calculator. Interceptorul de pachete figurat n
dreptunghiul punctat din Figura 1 reprezint un supliment la software-ul instalat pe calculator i
const din dou pri. Biblioteca de interceptare a pachetelor recepioneaz o copie a fiecrui
cadru de nivel legtur de date care este trimis sau recepionat pe acel calculator. Reamintii-v
faptul c mesajele schimbate ntre protocoalele de nivel nalt cum ar fi HTTP, FTP, TCP, UDP,
DNS sau IP sunt eventual ncapsulate n cadre de nivel legtur de date ce sunt transmise pe mediul
fizic cum ar fi cablul UTP de la Ethernet. n Figura 1 se presupune c mediul fizic aparine
tehnologiei Ethernet iar astfel toate protocoalele de nivel superior sunt ncapsulate n cadre
1

Toate referinele din acest laborator sunt relative la Computer Networking: A Top-down Approach, 5th edition.

Laborator Wireshark: Introducere

Ethernet. Interceptarea tuturor cadrelor de nivel legtur de date furnizeaz toate mesajele
trimise/recepionate de toate protocoalele i aplicaiile care se execut pe acel calculator.
Interceptor de
pachete
Analizor de
pachete

interceptare
pachete
(pcap)

aplicaie

Aplicaie (ex: navigator

www, client ftp)

sistem de
operare

Transport (TCP/UDP)

Copie a cadrelor
Eth. trimise/primite

Reea (IP)
Leg. de date (Eth.)

spre/de la reea

Fizic
spre/de la reea

Figura1: Structura interceptorului de pachete

Cea de a doua component a unui interceptor de pachete este analizorul de pachete, care
afieaz coninutul tuturor cmpurilor dintr-un mesaj de protocol. Pentru a putea proceda astfel
analizorul de pachete trebuie s neleag structura tuturor mesajelor schimbate de protocoale.
Spre exemplu s presupunem c am fi interesai de afiarea diverselor cmpuri din mesajele
schimbate de protocolul HTTP din Figura 1. Analizorul de pachete nelege formatul cadrelor
Ethernet i poate astfel s identifice datagrama IP dintr-un cadru Ethernet. De asemenea nelege
formatul datagramei IP i astfel poate extrage segmentul TCP din datagrama IP. n final nelege
structura segmentului TCP i poate extrage mesajul HTTP coninut n acel segment. n cele din
urm analizorul nelege protocolul HTTP i astfel, de exemplu, tie c primii octei dintr-un mesaj
HTTP conin irul de caractere GET , POST sau HEAD, aa cum este indicat n Figura 2.8
din text.
Pentru

aceste

laboratoare

vom

utiliza

interceptorul

de

pachete

Wireshark

(http://www.wireshark.org) ce permite afiarea coninutului mesajelor trimise/recepionate de

protocoalele aflate pe diverse niveluri ale stivei de protocoale. (Tehnic Wireshark este un analizor
de pachete ce folosete o bibliotec din calculator ce permite interceptarea pachetelor -- libpcap).
Wireshark este un analizor liber de protocoale de reea ce ruleaz pe sistemele de operare Windows,
Linux/Unix i Mac. Este un analizor de pachete ideal pentru laboratoarele noastre este stabil,
dispune de documentaie detaliat (http://www.wireshark.org/docs/wsug_html_chunked/), pagini de
manual (http://www.wireshark.org/docs/wsug_html_chunked/), precum i o list detaliat de
ntrebri frecvente (http://www.wireshark.org/faq.hrml), funcionalitate bogat ce include
capabilitatea de a analiza sute de protocoale precum i o bun interfa utilizator. Funcioneaz pe

Laborator Wireshark: Introducere

calculatoare cu Ethernet, Token-Ring, FDDI, serial (PPP sau SLIP), WLAN 802.11 sau conexiuni
ATM (cu condiia ca sistemul de operare s permit).

Obinerea Wireshark
Pentru a putea rula Wireshark avei nevoie de acces la un calculator care dispune att de
Wireshark ct i de biblioteca de captur libpcap sau WinPCap. Atunci cnd instalai Wireshark se
va instala n mod automat i biblioteca libpcap dac aceasta nu este deja instalat. Pentru o list a
sistemelor de operare suportate precum i o list a site-urilor de unde se poate descrca Wireshark
vizitai http://www.wireshark.org/download.html .
Descrcai i instalai programul Wireshark:

Accesai http://www.wireshark.org/download.html , descrcai i instalai Wireshark

pe calculatorul vostru (Windows). Pe sistemele de operare de tip Linux putei instala

Wireshark folosind managerul de pachete: yum install wireshark (Fedora) sau apt-get install
wireshark (Ubuntu).

Descrcai ghidul de utilizare Wireshark

Lista de ntrebri frecvente (FAQ) a Wireshark-ului pune la dispoziie o serie de sugestii

utile precum i alte informaii interesante mai ales dac ntmpinai dificulti la instalarea sau
rularea Wireshark.

Rularea Wireshark
Atunci cnd rulai programul Wireshark se va afia o interfaa grafic utilizator similar cu
cea din Figura 2. Iniial n ferestre nu vor fi afiate nici un fel de date.
Interfaa grafic a Wireshark dispune de ase componente majore:
Meniurile de comand sunt meniuri standard de tip trage jos localizate n partea superioar
a ferestrei. De interes pentru noi sunt meniurile File i Capture. Meniul File permite salvarea
pachetelor de date capturate sau deschiderea unui fiier ce conine pachete de date capturate anterior
precum i prsirea aplicaiei Wireshark. Meniul Capture permite demararea procesului de
capturare a pachetelor.

Laborator Wireshark: Introducere

Meniuri de
command
Specificare
filtru de afiare

Lista
pachetelor
capturate

Detaliile
antetului
pachetului
selectat

Coninutul
pachetului n
ASCII sau
hexazecimal
Bar de
stare

Figura 2. Interfaa grafic utilizator a programului Wireshark

Fereastra cu listingul pachetelor afieaz sumarul pe o linie pentru fiecare pachet capturat,
incluznd numrul de ordine al pachetului (asignat de Wireshark; acesta nu este un numr de
secevena coninut n vreun antet de protocol), momentul de timp la care pachetul a fost capturat,
adresa surs i destinaie a pachetului, tipul de protocol precum i informaii specifice protocolului
cruia i aparine pachetul respectiv. Tipul de informai afiate n linia de sumar poate fi modificat
din meniul Edit->Preferences->User Interface->Columns (Pentru detalii consultai manualul). Lista
pachetelor poate fi sortat n funcie de oricare din criteriile enumerate fcnd clic pe numele
coloanei. Cmpul protocol indic protocolul de la cel mai nalt nivel din stiv care a trimis sau
recepionat pachetul, sau cu alte cuvinte protocolul care este sursa sau destinaia final pentru acel
pachet (cu condiia s poat fi interpretat de Wireshark).
Fereastra cu detaliile antetelor pachetelor pune la dispoziie detalii despre pachetul
selectat n fereastra de listare a pachetelor. (Pentru a selecta un pachet n fereastra de listare a
pachetelor plasai cursorul mausului deasupra liniei de sumar a pachetului din fereastra de listare i
efectuai clic cu butonul din stnga). Aceste detalii includ informaii despre cadrul Ethernet
(considernd c pachetul a fost trimis/recepionat pe o interfaa Ethernet) i datagrama IP coninut
n acel pachet. Detaliile IP sau Ethernet afiate pot fi extinse sau restrnse fcnd clic pe csuele
plus sau minus din stnga cadrului Ethernet sau datagramei IP din fereastra de detalii. Dac
4

Laborator Wireshark: Introducere

pachetul conine un segment TCP sau UDP vor fi afiate detaliile TCP sau UDP acestea putnd fi
extinse sau restrnse. n final sunt afiate detalii despre protocolul care a emis sau recepionat
pachetul, protocol aflat la cel mai nalt nivel.
Fereastra cu coninutul pachetului afieaz ntregul coninut al cadrului capturat, att n
format hexazecimal (coloana din mijloc) ct i n format ASCII (coloana din dreapta).
In bara de stare aflata n extremitatea inferioar este afiat numele fiierului n care se
salveaz datele precum i numrul de pachete capturate, afiate sau respinse .
n partea superioar a interfeei grafice utilizator se gsete cmpul de specificare a
filtrului de afiare, unde poate fi introdus un nume de protocol sau alte informaii pentru a filtra
pachetele afiate n fereastra de listare (precum i n fereastra cu detalii sau coninut). n exemplul
de mai jos vom folosi filtrul de pachete pentru a ascunde pachetele ce nu conin mesaje HTTP.

Efectuarea unei rulri de test cu Wireshark

Cea mai buna metoda de a nva s utilizai un program nou este s experimentai cu el.
Vom considera c dispunei de un calculator conectat la Internet printr-o interfaa Ethernet cablat.
Efectuai urmtorii pai:
Lansai navigatorul vostru Web preferat; acesta va afia pagina de start configurat.
Lansai programul Wireshark cu drepturi de administrator (root). Vei vedea iniial o
fereastr similar cu cea din Figura 2, ns fr pachete n fereastra de listare, detalii sau coninut
ntruct Wireshark nu a demarat procesul de capturare a pachetelor.
Pentru a ncepe capturarea pachetelor selectai meniul Capture apoi selectai Options. Se va
afia fereastra Wireshark: Capture Options aa cum este indicat n Figura 3.
Putei folosi valorile implicite din aceast fereastr, ns debifai Hide capture info dialog
(rom. Ascunde dialogul informaii captur) de la Display Options (rom. Opiuni afiare). Interfeele
de reea (conexiunile fizice) de care dispune calculatorul sunt afiate n meniul de tip trage-jos
Interface aflat n extremitatea superioar a ferestrei Capture Options. n situaia n care calculatorul
dispune de mai multe interfee de reea active (avei att o interfaa radio ct i o interfa Ethernet
cablat) este necesar s selectai interfaa care va fi utilizat pentru interceptarea pachetelor
trimise/recepionate. Dup ce ai selectat interfaa de reea (sau dac folosii interfaa implicit din
Wireshark) apsai Start. Din acest moment va ncepe interceptarea pachetelor toate pachetele
trimise/recepionate de calculator folosind interfaa selectat vor fi interceptate de Wireshark.

Laborator Wireshark: Introducere

Figura 3. Fereastra Wireshark cu opiuni pentru capturare

Dup demararea procesului de capturare a pachetelor se va afia o fereastr cu sumarul
pachetelor capturate aa cum este artat n Figura 4. n aceast fereastr este prezentat o statistic a
numrului de pachete de diverse tipuri capturate i de asemenea (foarte important) fereastra conine
butonul Stop ce permite oprirea procesului de capturare. Nu oprii nc procesul de capturare!

Figura 4. Sumarul pachetelor capturate

6

Laborator Wireshark: Introducere

n

timpul

care

Wireshark

ruleaz

introducei

urmtorul

URL:

http://gaia.cs.umass.edu/wireshark-labs/INTRO-wireshark-file1.html
i ateptai ca pagina cerut s fie afiat n navigator. Pentru a afia pagina navigatorul va contacta
server-ul http gaia.cs.umass.edu cu care va efectua un schimb de mesaje HTTP pentru a descrca
pagina, aa cum s-a discutat n seciunea 2.2. Cadrele Ethernet ce conin aceste mesaje HTTP vor fi
interceptate de Wireshark.
Dup ce navigatorul a afiat pagina INTRO-wireshark-file1.html oprii interceptarea
pachetelor apsnd butonul Stop din fereastra de captur. Aceast aciune va avea ca afect dispariia
ferestrei de captur iar Wireshark va afia n fereastra principal toate pachetele interceptate de la
nceputul procesului de captur. Fereastra principal Wireshark va arat similar cu imaginea din
Figura 2. n acest moment dispunei de pachetele de date ce conin toate mesajele protocoalelor
schimbate ntre calculatorul vostru i celelalte entiti de reea. Mesajele HTTP schimbate cu
serverul gaia.cs.umass.edu trebuie s apar undeva n listingul pachetelor. Vor exista afiate de
asemenea i alte tipuri de pachete (diverse tipuri de protocoale afiate n coloana Protocol din
Figura 2). Dei singura aciune pe care ai executat-o a fost descrcarea unei pagini web au existat
n mod evident mai multe protocoale ce ruleaz pe calculator care nu sunt vizibile pentru utilizator.
Vei nva mai multe despre aceste protocoale pe msur ce avanseaz cursul. Pentru moment este
suficient s tii c n fundal au loc mai multe aciuni dect ceea ce se vede cu ochiul liber.
Tastai http (fr ghilimele i cu litere mici n Wireshark toate numele de protocoale se
scriu cu litere mici) n zona de specificare a filtrului de afiare din partea superioar a ferestrei
Wireshark. Apoi apsai Apply (n dreapta cmpului de dialog unde ai scris http). Aceasta
aciune va avea ca efect afiarea n fereastra de listare doar a mesajelor HTTP.
Selectai primul mesaj http care apare n fereastra de listare a pachetelor. Acesta ar trebui s
fie un mesaj HTTP GET care a fost trimis de calculatorul vostru ctre serverul HTTP
gaia.cs.umass.edu. Atunci cnd selectai mesajul HTTP GET se vor afia n fereastra de detalii
antete informaii cu privire la cadrul Ethernet, datagrama IP, segmentul TCP i antetul mesajului
HTTP2. Fcnd clic pe csuele minus din stnga ferestrei cu detaliile pachetului restrngei
informaia afiat despre cadru, Ethernet, Protocolul Internet i TCP. Extindei informaia afisat cu
privire la protocolul HTTP. Imaginea obinut ar trebui s arate similar cu Figura 5. (Observai
informaia restrns afiat pentru toate protocoalele cu excepia HTTP, precum i informaia
extins cu privire la protocol pentru HTTP afiat n fereastra cu antetele pachetului).
Prsii aplicaia Wireshark.

Reamintii-v c mesajul HTTP GET trimis ctre serverul web gaia.cs.umass.edu este coninut ntr-un segment TCP,
care este coninut (ncapsulat) ntr-o datagram IP, care este ncapsulat ntr-un cadrul Ethernet. Dac procesul de
ncapsulare nu va este familiar recitii seciunea 1.5 din manual.

Laborator Wireshark: Introducere

Felicitti! Ai parcurs primul laborator.

Ce trebuie s reinei
Scopul acestui prim laborator a fost s v iniieze n utilizarea Wireshark. Abilitatea de a
rspunde la urmtoarele ntrebri va demonstra c suntei capabili s pornii Wireshark, s demarai
interceptarea i c ai explorat unele din capabilitile programului. Pe baza experimentelor
efectuate cu Wireshark rspundei la urmtoarele ntrebri:
1. Enumerai diversele protocoale care apar n coloana protocol din lista de pachete nefiltrat
obinut de la pasul 7.
2. Care a fost durata de timp scurs din momentul trimiterii mesajului HTTP GET i pn la
obinerea rspunsului HTTP OK.? (n mod implicit valoarea din coloana Time a ferestrei de listare a
pachetelor reprezint timpul n secunde scurs din momentul demarrii precesului de captur. Pentru
a afia cmpul timp n format ora, mergei n meniul View, alegei Time Display Format i selectai
Time of Day).
3. Care este adresa Internet a gaia.cs.umass.edu (cunoscut i ca www-net.cs.umass.edu)?
Care este adresa Internet a calculatorului pe care lucrai?
4. Tiprii mesajele HTTP afiate la pasul 9. Pentru a face acest lucru, mergei in meniul
File, selectai Print iar apoi alegei Selected Packets Only i Print as displayed dup care
apsai OK.

Laborator Wireshark: Introducere

Figura 5. Fereastra Wireshark dup pasul 9

Adaptat

dup

http://gaia.cs.umass.edu/wireshark-

labs/Wireshark_INTRO_Sept_15_2009.pdf