Documente Academic
Documente Profesional
Documente Cultură
Capturarea și analizarea
pachetelor din rețea
1. Introducere
Unealta de bază folosită pentru a observa mesajele schimbate între entităţile
de protocol ce comunică este un program numit sniffer de pachete (en. packet
sniffer).
Un program de tip sniffer are rolul de a adulmeca (to sniff) sau mai bine spus a
captura pachetele ce trec prin placa de reţea a calculatorului pe care rulează. De re-
gulă, un sniffer va stoca şi afişa conţinutul pachetelor capturate cu un grad de detali-
ere ce poate ajunge până la identificarea semnificaţiei ce o are fiecare octet din pa-
chet, pentru fiecare nivel al stivei TCP/IP.
O aplicaţie de tip interceptor de pachete este de regulă una pasivă: aceasta
observă pachetele trimise respectiv recepţionate de către alte aplicaţii de pe sistem
fără a trimite ea însăşi pachete pe reţea.
În mod similar, pachetele recepţionate nu sunt niciodată adresate în mod ex-
plicit aplicaţiei sniffer ci aplicaţia de interceptare va primi o copie fidelă a pachetelor
primite/trimise de către aplicaţiile ce rulează pe sistem, fără a afecta funcţionarea
acestor aplicaţii.
În Figura 1 este prezentată structura generală şi modul de funcţionare al unei
aplicaţii de interceptare a pachetelor. În partea din dreapta sunt sugerate protocoale-
le (în cazul de faţă protocoale Internet) şi aplicaţiile (cum ar fi un navigator web sau
un client FTP) ce rulează în mod uzual pe un calculator.
Interceptorul de pachete prezentat în dreptunghiul punctat din stânga este un
software adiţional pe PC şi constă din două părţi:
Biblioteca de captură a pachetelor
Analizatorul de pachete
2. Utilitarul Wireshark
2.1 Introducere
3
După cum se poate observa şi în Figura 3, interfaţa grafică este alcătuită din 5
componente majore:
4
Figura 4. Afișarea exclusivă a pachetelor generate de aplicaţii ce folosesc HTTP
5
Deschideţi o instanţă a aplicaţiei Wireshark. Iniţial va fi afişată o fereastră goală,
similară celei din Figura 2. Motivul pentru care fereastra este goală e unul simplu:
încă nu a fost pornită capturarea;
Selectaţi Capture din meniul aplicaţiei şi apoi Options. Va fi deschisă o fereastră
de configurare cu titlul „Wireshark: Capture Options”, similară cu cea din Figura 5.
Puteţi folosi majoritatea parametrilor din această fereastră cu valorile lor impli-
cite, dar debifaţi „Hide capture info dialog” (care în Figura 5 este bifat). În cazul în
care PC-ul pe care rulează aplicaţia wireshark este dotat cu mai multe interfeţe de
reţea, selectaţi-o pe cea dorită folosind caseta combo „Interface” din partea de sus a
ferestrei. După ce aţi setat parametrii doriţi, efectuaţi click pe butonul „Start”. Din
acest moment WireShark va primi o copie a fiecărui pachet ce soseşte la interfaţa de
reţea selectată sau este trimis pe reţea de către aceasta.
Odată ce a fost declanşată captura, va fi afişată o fereastră informativă legată de
numărul de pachete capturate şi de tipul acestora, similară celei din Figura 6.
6
Figura 6. Fereastră informativă asupra numărului de pachete capturate
Folosind navigatorul web deschis anterior, solicitaţi o pagină web (de exemplu
http://fcim.utm.md ).
După ce pagina s-a încărcat cu succes în navigator, reveniţi la aplicaţia
wireshark şi apăsaţi butonul „Stop” (situat în partea dreapta-jos în Figura 6). Fereas-
tra informativă va dispare.
Acum fereastra principală arată toate pachetele capturate în intervalul de timp
cât capturarea era pornită. Deoarece numărul de pachete este foarte mare, găsirea
unui anume pachet este dificilă. Trebuie găsită o metodă de limitare: folosind filtrul de
afişare din partea de sus a ferestrei principale (vezi Figura 4) tastaţi http cu litere
mici. Apăsaţi tasta enter. Acum în lista de pachete capturate apar exclusiv pachetele
HTTP.
Selectaţi pachetul conţinând cererea HTTP emisă de către navigator în
momentul în care a fost solicitată pagina de bază de la http://fcim.utm.md)
Acum puteti afla informaţii detaliate legate de acest pachet, aşa cum a fost
ilustrat în Figura 7 unde, după cum se remarcă, pot fi vizualizate date foarte detaliat
legate de câmpurile antetului HTTP, ceea ce ajută la o mai bună înţelegere a proto-
colului în sine.
7
Figura 7. Informaţii detaliate legate de un pachet HTTP
3. Desfăşurarea lucrării:
Folosind exclusive Wireshark şi o serie de capturi de pachete folosind un
navigator pentru a lansa cereri HTTP pentru diverse pagini web. Răspundeţi la
următoarele întrebări:
1. Care este adresa MAC a calculatorului pe care lucrati?
2. Care este numele producătorului placii de reţea?
3. Care este adresa IP a calculatorului la care lucraţi?
4. Care este adresa MAC sursă pentru pachetele răspuns HTTP?
5. Care este adresa IP sursă pentru pachetele răspuns HTTP?
6. Cum diferențiați o cerere HTTP de un răspuns HTTP folosind strict adresele IP?
7. Porniți captura pe Wireshark, deschideți navigatorul web și conecta ți-vă la un
server http nesecurizat (de ex, http://www.vbsca.ca/login/login.asp) , introduceți
informații pe ecranul de logare (nume și parola fictive), trimite ți-le pe server. Opri ți
8
captura și analizați conținutul pachetelor aplicând filtre de afișare ca să fie vizibile
doar cele care participa la comunicația cu serverul moodle. Găsi ți în capturile de
pachete informațiile de logare introduse (pentru aceasta consulta ți internetul dacă
e necesar). Explicați cu ați procedat. Faceți capturi de ecran care dovedesc
acțiunile respective .
8. Porniți o captura, conectați-vă la serverul else care utilizează https, autentifica ți-vă
în partea sus cu un login și o parola fictive (nu cu butonul de jos), opri ți captura și
analizați schimbul de date. Faceți captură de ecran. Ce a ți observat?