Documente Academic
Documente Profesional
Documente Cultură
Corlan Eduard-Mihăiță
Grupa C124
Cuprins
Analizoarele de trafic...................................................................................................................................3
Modelul OSI.................................................................................................................................................4
Mod de funcționare.....................................................................................................................................6
Wireshark....................................................................................................................................................8
Protocoale – Ierarhie.................................................................................................................................12
Filtre..........................................................................................................................................................13
Exportarea obiectelor................................................................................................................................14
Tipuri de trafic...........................................................................................................................................15
Trafic nefiltrat vs trafic filtrat.....................................................................................................................17
Concluzii....................................................................................................................................................22
Bibliografie................................................................................................................................................23
Analizoarele de trafic
Analizoarele de trafic de reţea sunt în general instrumente software care
sunt capabile să capteze şi să analizeze traficul transmis sau recepţionat de către un
calculator care este conectat într-o reţea. Aceste instrumente pot fi utilizate atât în
scop de studiu al funcţionării protocoalelor de reţea (mecanisme, structura cadrelor
etc), cât şi pentru îmbunătăţirea funcţionalităţii şi a securităţii reţelei. Cele mai
multe dintre aceste instrumente se descarcă gratuit de pe Internet, unele dintre ele
fiind chiar părţi integrante ale unor sisteme de operare. Câteva analizoare de reţea
(uneori denumite în limba engleză "packet sniffer") des folosite sunt: Ethereal,
Wireshark (versiunea nouă a lui Ethereal), tcpdump (asemănător cu cele două
programe anterioare, dar apelabil doar în linia de comandă), Microsoft Network
Monitor (pachet suplimentar al sistemelor de operare Windows), ettercap (program
ce poate fi folosit pentru capturarea parolelor transmise într-o reţea de către unele
protocoale de nivel aplicaţie) etc.
Atât în reţelele cu fir cât şi în acelea fără fir, pentru ca analizorul de reţea să
fie capabil să captureze şi pachete de date care nu îi sunt explicit dedicate (în
această categorie intrând pachete unicast sau de difuzare în LANul din care
respectiva staţie face parte), adaptorul de reţea trebuie setat într-un mod de operare
special, care de obicei se numeşte "promiscous mode". Este de notat că nu orice
analizor de reţea suportă acest mod de operare. În reţelele fără fir, chiar dacă este
posibilă setarea plăcii de reţea wireless în "promiscous mode", pachetele care nu
corespund setului de servicii pentru care adaptorul este configurat vor fi de obicei
ignorate. Pentru a putea vizualiza şi aceste pachete este nevoie de setarea unui alt
mod de operare, şi anume acela de monitorizare a reţelei.
Modelul OSI
Pentru descrierea modului de comunicare la nivelul arhitecturii de
protocoale între calculatoarele interconectate în cadrul unei rețele se utilizează în
mod curent modele structurate pe nivele (layers). Un astfel de model este modelul
OSI (Open System Interconnection) structurat pe șapte nivele dupa cum urmează:
7. Aplicație
6. Prezentare
5. Sesiune
4. Transport
3. Rețea
2. Legătură de date
1. Fizic
Un singur pachet poate conține același protocol de mai multe ori. În acest caz,
protocolul este numărat de mai multe ori. De exemplu, răspunsurile ICMP și multe
protocoale de tunel vor purta mai mult de un antet IP.
Filtre
Exemple:
Afișarea solicitărilor HTTP în cazul în care ultimele caractere din URI sunt
caracterele "gl = se":
Exportarea obiectelor
Tipuri de trafic
Alt tip de trafic este cel generat între un dispozitiv mobil și un router. In
încercarea mobilului de a se conecta la router, se va genera un trafic în care va avea
loc un schimb de informații. Acest schimb de informații se bazează pe protocolul
EAPOL. Protocolul de autentificare extensibilă (EAP) prin LAN (EAPoL) este un
protocol de autentificare a portului de rețea folosit în IEEE 802.1X (Controlul
accesului în rețea bazat pe port) dezvoltat pentru a da o conectare generică a unui
dispozitiv la resursele rețelei.
Întregul trafic este criptat, acesta putând fi decriptat doar prin introducerea corectă
a ESSID-ului și a parolei Access Point-ului.
In cazul unui trafic în care un host cere anumite resurse unui server web,
utilitarul Wireshark va salva pachetele fiecărei resurse in parte. Prin reasamblarea
pachetelor, Wireshark-ul oferă posibilitatea de a exporta aceste resurse. Aceste
resurse pot fi documente HTML, imagini, executabile și orice alte fișiere care pot
fi transferate prin HTTP. In figura următoare putem observa fișiere de tip php, js ,
css, jpg, png, sau alte fișiere fără extensie care nu sunt recunoscute de către
Wireshark.
Vom repeta procesul descris anterior pentru a stabili daca s-a aplicat stratul
de securitate peste datele pe care le transmitem către server sau pe care le oferă
acesta. Realizăm o noua captură denumită SSL.pcap pe care o vom introduce in
Wireshark.
Fig.14 Trafic interceptat cu SSL
Observam că la nivelul protocoalelor s-a adăugat un nou nivel denumit
“Transport Layer Security” și care este de fapt nivelul de securitate oferit de
standardul SSL. Datele transmise către și de la server sunt acum criptate cu
cheia publică creată de către utilizator, lucru care face ca datele transmise prin
form-ul de tip POST să fie și ele criptate. Atacul de tip Man-in-the-Middle nu
mai este eficient în acest caz, însă poate constitui un pericol dacă atacatorul face
rost de cheia privată cu care a fost realizată criptarea datelor.
Serverul va decripta datele transmise către acesta prin folosind cheia privată
care se află in fișierul de configurare al serverului Apache, urmând ca aceste
date sa fie interpretate și care vor furniza sau nu un răspuns înapoi către
utilizator.
In prezent, versiunea aprobată a protocolului TLS este versiunea TLS 1.1.
Această vine cu câteva îmbunătățiri față de versiunea 1.0 prin clarificarea
anumitor ambiguități si prin introducerea unui număr de recomandări pe care
utilizatorul ar trebui să le respecte pentru a combate posibile atacuri împotriva
protocolului TLS.
Concluzii
Wireshark este cel mai important analizator de trafic de rețea din lume și un
instrument esențial pentru orice profesionist în securitate sau administrator de
sisteme.
https://en.wikipedia.org/wiki/Wireshark
https://tools.kali.org/information-gathering/wireshark
https://wiki.wireshark.org/