Sunteți pe pagina 1din 23

Facultatea de Sisteme Electronice şi Securitate Cibernetică

Ingineria și Securitatea Sistemelor Informatice Militare

Analiza traficului la nivel de rețea


- Utilitarul Wireshark -

Corlan Eduard-Mihăiță
Grupa C124
Cuprins
Analizoarele de trafic...................................................................................................................................3
Modelul OSI.................................................................................................................................................4
Mod de funcționare.....................................................................................................................................6
Wireshark....................................................................................................................................................8
Protocoale – Ierarhie.................................................................................................................................12
Filtre..........................................................................................................................................................13
Exportarea obiectelor................................................................................................................................14
Tipuri de trafic...........................................................................................................................................15
Trafic nefiltrat vs trafic filtrat.....................................................................................................................17
Concluzii....................................................................................................................................................22
Bibliografie................................................................................................................................................23

Analizoarele de trafic
Analizoarele de trafic de reţea sunt în general instrumente software care
sunt capabile să capteze şi să analizeze traficul transmis sau recepţionat de către un
calculator care este conectat într-o reţea. Aceste instrumente pot fi utilizate atât în
scop de studiu al funcţionării protocoalelor de reţea (mecanisme, structura cadrelor
etc), cât şi pentru îmbunătăţirea funcţionalităţii şi a securităţii reţelei. Cele mai
multe dintre aceste instrumente se descarcă gratuit de pe Internet, unele dintre ele
fiind chiar părţi integrante ale unor sisteme de operare. Câteva analizoare de reţea
(uneori denumite în limba engleză "packet sniffer") des folosite sunt: Ethereal,
Wireshark (versiunea nouă a lui Ethereal), tcpdump (asemănător cu cele două
programe anterioare, dar apelabil doar în linia de comandă), Microsoft Network
Monitor (pachet suplimentar al sistemelor de operare Windows), ettercap (program
ce poate fi folosit pentru capturarea parolelor transmise într-o reţea de către unele
protocoale de nivel aplicaţie) etc.

Într-o reţea locală, în funcţie de structura acesteia, se poate captura traficul


din întreaga reţea, sau doar traficul destinat calculatorului pe care s-a instalat
software-ul de analiză. Spre exemplu, într-o reţea Ethernet care foloseşte switchuri,
este posibilă "ocolirea" în scopuri rău intenţionate a filtrării de pachete pe care
switchurile o pun în practică şi accesarea traficului destinat altor staţii de reţea (o
metodă cunoscută este denumită ARP spoofing). Capturarea traficului întregii
reţele poate servi însă şi unor scopuri de administrare, deoarece ea furnizează o
imagine globală asupra reţelei în cauză. De exemplu, o tehnică folosită este
configurarea pe un switch a unui port special denumit port de "mirroring", care va
"oglindi" toate pachetele ce trec prin toate porturile switchului. Aşadar, în reţelele
care folosesc switchuri mai degrabă decât huburi, analizorul de reţea va fi incapabil
să capteze datele de reţea, datorită naturii intrinsece a switchurilor (a "izolării" pe
care ele o introduc).

Atât în reţelele cu fir cât şi în acelea fără fir, pentru ca analizorul de reţea să
fie capabil să captureze şi pachete de date care nu îi sunt explicit dedicate (în
această categorie intrând pachete unicast sau de difuzare în LANul din care
respectiva staţie face parte), adaptorul de reţea trebuie setat într-un mod de operare
special, care de obicei se numeşte "promiscous mode". Este de notat că nu orice
analizor de reţea suportă acest mod de operare. În reţelele fără fir, chiar dacă este
posibilă setarea plăcii de reţea wireless în "promiscous mode", pachetele care nu
corespund setului de servicii pentru care adaptorul este configurat vor fi de obicei
ignorate. Pentru a putea vizualiza şi aceste pachete este nevoie de setarea unui alt
mod de operare, şi anume acela de monitorizare a reţelei.

Modelul OSI
Pentru descrierea modului de comunicare la nivelul arhitecturii de
protocoale între calculatoarele interconectate în cadrul unei rețele se utilizează în
mod curent modele structurate pe nivele (layers). Un astfel de model este modelul
OSI (Open System Interconnection) structurat pe șapte nivele dupa cum urmează:

7. Aplicație

6. Prezentare

5. Sesiune

4. Transport

3. Rețea

2. Legătură de date

1. Fizic

Fiecare din nivelele modelului OSI


include o serie de specificatii (standarde, protocoale) care descriu functionalități
ale respectivului nivel. Specificațiile prezente la un nivel fac uz de specificațiile
nivelului inferior (in linii mari, se poate spune ca un nivel ofera servicii nivelului
superior si utilizeaza serviciile oferite de un nivel inferior). O descriere sumară a
fiecaruia din cele șapte nivele care cuprinde principalele operații ce au loc în
comunicarea în cadrul unei rețele de calculatoare a doua sau mai multe aplicații
rulate de utilizator ar fi urmatoarea:
 Nivelul Aplicație - este cel mai apropiat nivel de utilizator, aici integrandu-
se în linii mari funcționalitatea unei aplicații rulate de acesta ce include o
componentă care inițiază comunicarea în rețea prin intermediul unui
protocol ce se încadrează la acest nivel (exemplu: inițierea unui transfer de
fișiere prin FTP)
 Nivelul Prezentare - are ca rol principal stabilirea unui format de
reprezentare a datelor atât dinspre nivelul Aplicație spre nivelele inferioare
pentru trimiterea în final în cadrul rețelei cât și invers
 Nivelul Sesiune - protocoalele ce acționează aici administrează o sesiune
între parțile ce comunică având rol de exemplu în sincronizarea acțiunilor
participanților
 Nivelul Transport - are rolul de a oferi servicii independente de nivelele
inferioare privind transferul datelor între participanții din cadrul unei sesiuni
de comunicație către nivelele superioare, aici fiind incluse și aspecte precum
asigurarea transferului sigur, controlul fluxului, evitarea congestiei, etc
 Nivelul Rețea - are rolul de a oferi servicii efective de transfer a datelor în
rețea între sursă si destinație, fiind incluse functionalități ce privesc rutarea,
fragmentarea și reasamblarea unitaților de date transmise, controlul erorilor,
etc
 Nivelul Legatură de Date - in linii mari, asigură funcționalități în ceea ce
privește transferul datelor în rețea între echipamentele hardware prezente
între sursă și destinație, de asemeni aici fiind incluse și detecția și corecția
erorilor ce pot fi cauzate de nivelul Fizic
 Nivelul Fizic - include specificațiile la nivel fizic în ce privește
echipamentele ce asigură transferul datelor
Mod de funcționare

Instrumentul de bază pentru observarea schimbului de mesaje dintre două


entități la nivel de protocol se numește sniffer de pachete. După cum sugerează și
numele, un sniffer de pachete surprinde mesajele trimise / primite de la / de către
computer; de asemenea, va stoca și / sau va afișa conținutul diferitelor câmpuri de
protocol din aceste mesaje capturate. Un sniffer de pachete în sine este pasiv.
Observă mesajele trimise și primite de aplicațiile și protocoalele care rulează pe
computer, dar nu trimite niciodată pachete în sine. În mod similar, pachetele
primite nu sunt niciodată adresate în mod explicit snifferului de pachete. În
schimb, un sniffer de pachete primește o copie a pachetelor care sunt trimise /
primite de la / prin aplicație și protocoale care se execută pe un sistem.

Fig.1 Structura unui sniffer de pachete

Figura 1 prezintă structura unui sniffer de pachete. În partea dreaptă a figurii


1 se află protocoalele (în acest caz, protocoalele Internet) și aplicațiile (cum ar fi un
browser web sau un client ftp) care rulează în mod normal pe computer. Snifferul
de pachete, prezentat în dreptunghiul cu linie punctata din figura 1 este o
completare a software-ului de baza și este format din două părți. Biblioteca
responsabila de capturarea pachetelor primește o copie a fiecărui cadru de la
nivelul fiecarui layer din stiva OSI care este trimis sau primit de la computer.
Mesajele schimbate prin protocoale cu nivel superior, cum ar fi HTTP, FTP, TCP,
UDP, DNS sau IP sunt în cele din urmă încapsulate în cadre la nivelul legaturii de
date și care sunt transmise prin suporturi fizice, cum ar fi un cablu Ethernet. În
figura 1, suportul fizic presupus este un Ethernet și astfel, toate protocoalele de
nivel superior sunt în cele din urmă încapsulate într-un cadru Ethernet. Capturarea
tuturor cadrelor de la nivelul legaturii de date oferă astfel toate mesaje trimise /
primite de la toate protocoalele și aplicațiile care se execută în computer.

A doua componentă a unui sniffer de pachete este analizatorul de pachete,


care afișează conținutul tuturor câmpurilor dintr-un mesaj de protocol. Pentru a
face acest lucru, analizatorul de pachete trebuie să „înțeleagă” structura tuturor
mesajelor schimbate de protocoale. De exemplu, să presupunem că suntem
interesați să afișăm diferitele câmpuri din mesajele schimbate prin protocolul
HTTP din figura 1. Analizatorul de pachete înțelege formatul cadrelor Ethernet și
astfel poate sa identifice datagrama IP într-un cadru Ethernet. De asemenea,
înțelege formatul datagramei IP, astfel încât aceasta este capabil sa extraga
segmentul TCP din datagrama IP. În cele din urmă, înțelege structura segmentului
TCP, astfel încât poate extrage mesajul HTTP conținut în segmentul TCP. În cele
din urmă, înțelege protocolul HTTP și, de exemplu, știe că primii octeți ai unui
mesaj HTTP vor conține șirul „GET”, „POST” sau „HEAD”.
Wireshark

Wireshark este cel mai important și utilizat analizator pe scară largă de


protocoale de rețea din lume. Acesta permite să vedeți ce se întâmplă în rețeaua
dvs. la nivel microscopic și este standardul de baza în multe întreprinderi
comerciale și non-profit, agenții guvernamentale și instituții de învățământ.
Dezvoltarea Wireshark prosperă datorită contribuțiilor voluntare ale experților în
rețea de pe glob și este continuarea unui proiect demarat de Gerald Combs în 1998.

Wireshark are un set bogat de caracteristici care include următoarele:

 Inspecție profundă a sute de protocoale, mereu adăugându-se mai multe


 Captura live și analiza offline
 Navigator standard de pachete cu trei panouri
 Multi-platform: rulează pe Windows, Linux, macOS, Solaris, FreeBSD,
NetBSD și multe altele
 Datele de rețea capturate pot fi răsfoite printr-o interfata grafica sau prin
utilitatea TShark în modul TTY
 Cele mai puternice filtre de afișare din industrie
 Analiză VoIP bogată
 Citeste si scrie multe formate de fișiere de captura precum: tcpdump
(libpcap), Pcap NG, Catapult DCT2000, Cisco Secure IDS iplog, Microsoft
Network Monitor, Network General Sniffer® (comprimat și necomprimat),
Sniffer® Pro și NetXray®, Network Instruments Observer , NetScreen
snoop, Novell LANalyzer, RADCOM WAN / LAN Analyzer, Shomiti /
Finisar Surveyor, Tektronix K12xx, Visual Networks Visual UpTime,
WildPackets EtherPeek / TokenPeek / AiroPeek și multe altele
 Fișierele de captură comprimate cu gzip pot fi decomprimate
 Datele live pot fi citite de la Ethernet, IEEE 802.11, PPP / HDLC, ATM,
Bluetooth, USB, Token Ring, Frame Relay, FDDI și altele (în funcție de
platforma dvs.)
 Suport de decriptare pentru multe protocoale, inclusiv IPsec, ISAKMP,
Kerberos, SNMPv3, SSL / TLS, WEP și WPA / WPA2
 Reguli de colorat pot fi aplicate pe lista de pachete pentru o analiză rapidă și
intuitivă

Fig.2 Interfața Wireshark-ului

In figura 2 este prezentată interfața generală a Wireshark-ului. Acesta pune


la dispoziție o serie de taburi precum “File”, “Edit”, “View”,etc pentru a oferi
posibilitatea utilitarului de a salva/incarca o capura de trafic, posibilitatea de a
customiza interfața aplicației pentru a o face cât mai pe placul utilizatorului cât și
pentru alte funcții.

In partea din mijloc a interfeței grafice a aplicației se pot obeserva interfețele


de rețea pe care putem realiza captura de trafic.Dupa ce alegem o interfață,
Wireshark va captura toate pachetele de pe interfața respectivă. Dacă faceți clic pe
una dintre aceste interfețe pentru a începe capturarea pachetelor, va fi afișat un
ecran precum cel de mai jos, care va afișa informații despre pachetele care sunt
capturate. Odată ce începeți captarea pachetelor, îl puteți opri folosind meniul
derulant Capture și selectând Stop.
Fig.3 Componentele majore ale Wireshark-ului

Interfața Wireshark are cinci componente majore:

 Meniurile de comandă sunt meniuri standard, situate în partea de sus a


ferestrei. Meniul File vă permite să salvați datele de pachete capturate sau să
deschideți un fișier care conține pachete capturate anterior și să ieșiți din
aplicația Wireshark. Meniul Capture vă permite să începeți captarea
pachetelor.
 Fereastra de listare a pachetelor afișează un rezumat pe o linie pentru fiecare
pachet capturat, inclusiv numărul pachetului (atribuit de Wireshark),
momentul în care pachetul a fost capturat, sursa pachetului și adresele de
destinație, tipul de protocol și informațiile specifice protocolului conținute în
pachet. Listarea pachetelor poate să fie sortate în funcție de oricare dintre
aceste categorii, făcând clic pe un nume de coloană. Câmpul de tip protocol
listează cel mai înalt nivel de protocol care a trimis sau a primit acest pachet,
adică protocolul care este sursă pentru acest pachet.
 Fereastra de detalii a antetului pachetelor oferă detalii despre pachetul
selectat (evidențiat) în fereastra de listare a pachetelor. Aceste detalii includ
informații despre cadrul Ethernet (presupunând că pachetul a fost trimis /
primit printr-o interfață Ethernet) și datagrama IP care conține acest pachet.
Cantitatea de detalii Ethernet și stratul IP afișat poate fi extins sau redus la
minimum făcând clic pe casetele plus minus din stânga cadrului Ethernet sau
a liniei de date IP din fereastra cu detalii a pachetului. Dacă pachetul a fost
transportat prin TCP sau UDP, vor fi afișate și detalii TCP sau UDP, care
pot fi extinse sau reduse în mod similar. În sfârșit, sunt furnizate și detalii
despre protocolul la cel mai înalt nivel care a trimis sau a primit acest
pachet.
 Fereastra de conținut de pachete afișează întregul conținut al cadrului
capturat, atât în format ASCII cât și în format hexadecimal.
 Spre partea de sus a interfeței grafice, se află câmpul de filtrare a afișajului
de pachete, în care poate fi introdus un nume de protocol sau alte informații
pentru a filtra informațiile afișate în fereastra de listare a pachetelor. În
exemplul de mai jos, vom folosi câmpul de filtru de afișare a pachetelor
pentru a afișa pachetele Wireshark care ruleaza pe portul 80 TCP sau UDP.

Fig. 4 Filtrarea traficului


Protocoale – Ierarhie

Utilitarul Wireshark dispune de o fereastră în care se poate analiza traficul în


funcție de ierarhie. Această fereastră poate fi accesată din tab-ul Statistics ->
Protocol Hierarchy.

Fig. 5. Stiva de protocoale

Acesta stivă este în fapt un arbore al tuturor protocoalelor din captură.


Fiecare rând conține valorile statistice ale unui protocol. Din aceasta se poate filtra
întregul trafic în funcție de un anume protocol prin selectarea protocolului din lista
afișată ierarhic și selectând opțiunea „Apply as Filter”. Pachetele conțin de obicei
mai multe protocoale. Drept urmare, mai multe protocoale vor fi contorizate pentru
fiecare pachet.
Stiva de protocoale poate consta din pachete care nu conțin niciun protocol
de nivel superior, astfel încât suma tuturor pachetelor de niveluri superioare poate
să nu se ridice la numărul de pachete de protocoale.

Un singur pachet poate conține același protocol de mai multe ori. În acest caz,
protocolul este numărat de mai multe ori. De exemplu, răspunsurile ICMP și multe
protocoale de tunel vor purta mai mult de un antet IP.

Filtre

Wireshark pune la dispoziția utilizatorilor un câmp pentru filtre. Acesta este


utilizat pentru a selecta doar acele cadre ce corespund unei anumite reguli sau unui
anumit protocol.

Exemple:

 Afișarea traficului SMTP (port 25) și ICMP:


tcp.port eq 25 or icmp

 Afișați numai traficul în LAN (192.168.x.x), între stațiile de lucru și


serverele - fără internet:

ip.src==192.168.0.0/16 and ip.dst==192.168.0.0/16


 Buffer TCP plin - Sursa indică destinației să nu mai trimită date

tcp.window_size == 0 && tcp.flags.reset != 1

 Afișarea solicitărilor HTTP în cazul în care ultimele caractere din URI sunt
caracterele "gl = se":

http.request.uri matches "gl=se$"

 Unele câmpuri de filtru se potrivesc cu mai multe câmpuri de protocol. De


exemplu, „ip.addr” se potrivește atât cu sursa IP cât și cu adresele de
destinație din antetul IP. Același lucru este valabil și pentru „tcp.port”,
„udp.port”, „eth.addr” ,etc.
ip.src == 10.43.54.65 or ip.dst == 10.43.54.65

Exportarea obiectelor

Această caracteristică scanează fluxurile de protocol selectate din captura


deschisă sau în curs de capturare și permite utilizatorului să exporte obiecte
reasamblate pe disc. De exemplu, dacă selectați HTTP, puteți exporta documente
HTML, imagini, executabile și orice alte fișiere transferate prin HTTP pe disc.
Dacă aveți o capturare în curs, această listă este actualizată automat la fiecare
câteva secunde cu orice obiecte noi văzute. Obiectele salvate pot fi apoi deschise
sau examinate independent de Wireshark.
Fig 6. Fereastra de exportare obiecte

Tipuri de trafic

Cu ajutorul Wireshark-ului putem vizualiza întregul trafic de la nivelul


porturilor USB. Traficul astfel generat se poate vedea în următoarea figură.

Fig.7 Trafic USB

Cele mai importante pachete sunt cele legate de GET DESCRIPTOR


Response/Request Device. In cererea de tip Request, computer-ul cere informațiile
despre dispozitivul inserat pe portul USB. „Descriptor Response Device” este
pachetul în care se afla informațiile despre dispozitiv. Câmpurile cele mai
importante sunt IdVendor și idProduct. IdVendor reprezinta vendor-ul care a creat
dispozitivul, în cazul nostru fiind Logitech iar idProduct este modelul, respectiv
M90/M100 Optical Mouse. După ce host-ul primește informațiile necesare
stabilirii conexiunii, vor avea loc întreruperile la nivelul USB-ului
(URB_INTERRUPT in). Aceste pachete conțin coordonatele punctului în care s-a
deplasat mouse-ul precum și starea celor 3 butoane (click stâng/click dreapta/click
scroll).

Alt tip de trafic este cel generat între un dispozitiv mobil și un router. In
încercarea mobilului de a se conecta la router, se va genera un trafic în care va avea
loc un schimb de informații. Acest schimb de informații se bazează pe protocolul
EAPOL. Protocolul de autentificare extensibilă (EAP) prin LAN (EAPoL) este un
protocol de autentificare a portului de rețea folosit în IEEE 802.1X (Controlul
accesului în rețea bazat pe port) dezvoltat pentru a da o conectare generică a unui
dispozitiv la resursele rețelei.

Fig.8 Trafic EAPOL

Întregul trafic este criptat, acesta putând fi decriptat doar prin introducerea corectă
a ESSID-ului și a parolei Access Point-ului.
In cazul unui trafic în care un host cere anumite resurse unui server web,
utilitarul Wireshark va salva pachetele fiecărei resurse in parte. Prin reasamblarea
pachetelor, Wireshark-ul oferă posibilitatea de a exporta aceste resurse. Aceste
resurse pot fi documente HTML, imagini, executabile și orice alte fișiere care pot
fi transferate prin HTTP. In figura următoare putem observa fișiere de tip php, js ,
css, jpg, png, sau alte fișiere fără extensie care nu sunt recunoscute de către
Wireshark.

Fig.9 Exportarea de resurse

Trafic nefiltrat vs trafic filtrat

Pentru a vizualiza diferența dintre cele doua tipuri de trafic, am folosit


proiectul XAMPP care pune la dispoziție serviciul Apache. În primă instanța,
am pornit serviciul Apache, dar nu înainte de a crea o pagina web de test, pe
care am salvat-o la locația “xampp\htdocs”. Serverul lucrează pe adresa de
localhost si anume la adresa 127.0.0.1 pe portul 80 specific HTTP. In acest
folder am creat fișierul index.html in care se afla o simpla pagina web ce
conține un form prin metoda POST. Form-ul transmite un username și o parola
care ulterior sunt trimise scriptului php denumit script.php, care se afla la fel ca
si pagina principala in folderul de configurare al servciului Apache din care se
extrag resursele ce urmează a fi trimise către client. Script-ul verifică dacă
username-ul și parola introdusă sunt corecte, iar in caz de succes se va afișa un
mesaj corespunzător, iar în caz contrat, se va întoarce un mesaj de eroare și un
buton către pagina anterioară.

Fig.10 Pagina web principală și codul atașat


In cazul in care utilizatorul introduce username-ul “student” si parola
“123456”, va fi afișat mesajul “Hello! Logged successfully!”, iar in caz contrat
se va afișa mesajul “Username or password wrong!”.
Nefiind atașat niciun certificat SSL, datele transmise către server sunt afișate
“în clar” (plaintext) și pot fi interceptate foarte ușor printr-un atac de tip Man-
in-the-Middle. Pentru a capta aceste date, am folosit Wireshark-ul pe interfața
de loopback (127.0.0.1). Acesta poate captura pachetele trimise sau receptionațe
către sau de la server, permițându-ne să facem o analiza a traficului transmis.
Captura va fi salvata sub numele de Non_SSL.pcap.
Pentru a realiza testul necesar, după pornirea utilitarului vom accesa site-ul
web si vom încerca sa introducem câteva credențiale false de test pentru ca
acestea sa fie interceptate. După 3 încercări nereușite vom introduce
credențialele valide. Aceste încercări pot fi ușor vizualizate in utilitarul
WireShark care este un analizator de trafic. Oferind ca fișier de intrate captura
“Non_SSL.pcap” realizată, vom vedea cele 3 încercări nereușite cât și validarea
credențialelor care ne coduc la pagina de succes. Vom impune Wireshark-ului
sa ne afișeze doar pachetele protocolului HTTP stabilind următorul filtru
“tcp.port ==80 || udp.port ==80”. Portul folosit de către Apache nu a fost
modificat, așadar serverul HTTP va rula implicit la adresa de loopback
127.0.0.1 pe portul implicit 80, nefiind aplicat un nivel de securitate SSL.
In figura 3 se pot observa cele 3 accesări ale scriptului script.php si
credențialele introduse greșit.

Fig.11 Trafic interceptat fără SSL


Pentru un atacator, aceasta reprezintă o metoda de preluare a datelor unui
utilizator care încearcă să se conecteze la un server ce nu are implementat un
certificat SSL.
Astfel, pentru a avea un server sigur, care nu pune în pericol datele
utilizatorilor conectați, trebuie implementat un certificat SSL care să fie atașat
serviciului Apache. Acest lucru poate fi realizat cu ajutorul utilitarului
OpenSSL.
Dupa configurarea fișierului SSL pentru Apache vom reseta serviciul Apache
pentru a testa funcționalitatea implementată. Vom încerca sa accesăm site-ul
https://site.test. Serverul va răspunde si va afișa un mesaj de tip “Your
connection is not secure”, asta pentru ca certificatul nostru este unul self-signed
(auto-semnat) și nu este semnat de o companie autorizată. Putem vedea însă ca
certificatul a fost instalat fără probleme și ca acesta conține datele despre
persoana care a realizat cererea pentru certificat.

Fig.13 Certificat valid

Vom repeta procesul descris anterior pentru a stabili daca s-a aplicat stratul
de securitate peste datele pe care le transmitem către server sau pe care le oferă
acesta. Realizăm o noua captură denumită SSL.pcap pe care o vom introduce in
Wireshark.
Fig.14 Trafic interceptat cu SSL
Observam că la nivelul protocoalelor s-a adăugat un nou nivel denumit
“Transport Layer Security” și care este de fapt nivelul de securitate oferit de
standardul SSL. Datele transmise către și de la server sunt acum criptate cu
cheia publică creată de către utilizator, lucru care face ca datele transmise prin
form-ul de tip POST să fie și ele criptate. Atacul de tip Man-in-the-Middle nu
mai este eficient în acest caz, însă poate constitui un pericol dacă atacatorul face
rost de cheia privată cu care a fost realizată criptarea datelor.
Serverul va decripta datele transmise către acesta prin folosind cheia privată
care se află in fișierul de configurare al serverului Apache, urmând ca aceste
date sa fie interpretate și care vor furniza sau nu un răspuns înapoi către
utilizator.
In prezent, versiunea aprobată a protocolului TLS este versiunea TLS 1.1.
Această vine cu câteva îmbunătățiri față de versiunea 1.0 prin clarificarea
anumitor ambiguități si prin introducerea unui număr de recomandări pe care
utilizatorul ar trebui să le respecte pentru a combate posibile atacuri împotriva
protocolului TLS.
Concluzii

Wireshark este cel mai important analizator de trafic de rețea din lume și un
instrument esențial pentru orice profesionist în securitate sau administrator de
sisteme.

Având în vedere volumul mare de trafic care traversează o rețea tipică,


instrumentele Wireshark ajută forte mult la filtrarea traficului, motiv pentru care
fac ca acest utilitar sa fie unic. Filtrele de captură vor colecta doar tipurile de trafic
care vă interesează, iar filtrele afișate vă vor ajuta să măriți traficul pe care doriți să
îl inspectați
Bibliografie

 https://en.wikipedia.org/wiki/Wireshark
 https://tools.kali.org/information-gathering/wireshark
 https://wiki.wireshark.org/

S-ar putea să vă placă și