Lucrare practică

Capturarea și analizarea
pachetelor din rețea

1. Introducere
Unealta de bază folosită pentru a observa mesajele schimbate între entităţile
de protocol ce comunică este un program numit sniffer de pachete (en. packet
sniffer).
Un program de tip sniffer are rolul de a adulmeca (to sniff) sau mai bine spus a
captura pachetele ce trec prin placa de reţea a calculatorului pe care rulează. De re-
gulă, un sniffer va stoca şi afişa conţinutul pachetelor capturate cu un grad de detali-
ere ce poate ajunge până la identificarea semnificaţiei ce o are fiecare octet din pa-
chet, pentru fiecare nivel al stivei TCP/IP.
O aplicaţie de tip interceptor de pachete este de regulă una pasivă: aceasta
observă pachetele trimise respectiv recepţionate de către alte aplicaţii de pe sistem
fără a trimite ea însăşi pachete pe reţea.
În mod similar, pachetele recepţionate nu sunt niciodată adresate în mod ex-
plicit aplicaţiei sniffer ci aplicaţia de interceptare va primi o copie fidelă a pachetelor
primite/trimise de către aplicaţiile ce rulează pe sistem, fără a afecta funcţionarea
acestor aplicaţii.
În Figura 1 este prezentată structura generală şi modul de funcţionare al unei
aplicaţii de interceptare a pachetelor. În partea din dreapta sunt sugerate protocoale-
le (în cazul de faţă protocoale Internet) şi aplicaţiile (cum ar fi un navigator web sau
un client FTP) ce rulează în mod uzual pe un calculator.
Interceptorul de pachete prezentat în dreptunghiul punctat din stânga este un
software adiţional pe PC şi constă din două părţi:
 Biblioteca de captură a pachetelor
 Analizatorul de pachete

1.1 Biblioteca de captură a pachetelor

Aceasta primeşte o copie a fiecărui cadru de la nivelul legăturii de date care

este trimis sau primit de către calculatorul în cauză (reamintim că toate pachetele ge-
nerate de către aplicaţiile ce folosesc protocoale de nivel mai înalt sunt în cele din
urmă încapsulate sub formă de cadre la nivelul legăturii de date). În cazul de faţă,
mediul de transmisie este bazat pe Ethernet, astfel încât toate pachetele produse de
către nivelurile superioare sunt în cele din urmă încapsulate sub formă de cadre
Ethernet;

1.2 Analizatorul de pachete

Acesta afişează conţinutul tuturor câmpurilor asociate unui protocol pentru un

mesaj. Pentru a putea face asta, analizatorul de pachete trebuie să „înţeleagă” struc-
tura tuturor mesajelor interschimbate în cadrul diverselor protocoale. Presupunând că
avem de-a face cu o cerere HTTP, analizatorul înţelege semnificaţia câmpurilor dintr-
1
un cadru Ethernet şi este apoi capabil să identifice antetul IP, mai departe antetul
TCP şi în cele din urmă poate extrage antetul HTTP, conţinut în segmentul TCP. În
cele din urmă înţelege protocolul HTTP şi, de exemplu, este capabil să îşi dea seama
că primii octeţi conţin cuvântul „GET”, deci are de-a face cu o cerere HTTP, ş.a.m.d.

Figura 1.. Structura şi modul de funcţionare a unei aplicaţii interceptor de pachete

2. Utilitarul Wireshark

2.1 Introducere

Această aplicaţie este un interceptor de pachete ce poate fi descărcat în mod

gratuit de la adresa http://www.wireshark.org/download.html şi instalat fără a fi nece-
sară plata unei licenţe. WireShark permite capturarea şi apoi afişarea conţinutului
pentru pachetele ce constituie traficul de reţea curent al calculatorului pe care rulea-
ză. Pentru detalii suplimentare poate fi consultat portalul oficial
(http://www.wireshark.org/) unde poate fi descărcată documentaţia pusă la dispoziţie.

2.2 Descărcare şi instalare

Pentru a putea rula WireShark trebuie să aveţi acces la o staţie PC ce poate

rula atât wireshark cât şi una din bibliotecile de intercepţie a pachetelor – libpcap sau
WinPCap. Dacă biblioteca libpcap nu este deja instalată, atunci va fi instalată în mod
automat în momentul rulării kitului de instalare al wireshark

2.3 Rularea aplicaţiei

La prima rulare după instalarea aplicaţiei va fi afişată o interfaţă grafică simila-

ră celei din Figura 2.
2
 După cum se poate observa, interfaţa iniţială nu oferă prea multe informaţii le-
gate de pachetele care circulă pe reţea. Aceasta se întâmplă deoarece este necesa-
ră pornirea procesului de capturare a pachetelor (obţinerea de copii ale pachetelor
respectiv afişarea de detalii privind câmpurile specifice diverselor protocoale).
În Figura 3 este prezentată interfaţa grafică a aplicaţiei şi sunt detaliate
principalele componente ale acesteia.

Figura 2. Aplicaţia WireShark la start

Figura 3. Interfaţa grafică – detalii

3
 După cum se poate observa şi în Figura 3, interfaţa grafică este alcătuită din 5
componente majore:

 Meniurile de comandă: meniuri standard pentru aplicaţiile windows. De un in-

teres mai mare sunt File şi Capture. Meniul File permite salvarea de capturi în
fişiere sub diverse formate, sau încărcarea unor capturi salvate anterior. Este
suportat inclusiv formatul de fişier creat de către Microsoft Network Monitor (un
interceptor de pachete oferit de către Microsoft).

 Fereastra de listare a pachetelor: afişează un sumar de o linie pentru fiecare

pachet capturat. Ordonarea pachetelor se poate realiza dupa oricare din câm-
purile afişate pentru acestea. Sumarul afişat conţine un număr de ordine alo-
cat de către wireshark (acesta nu face parte din nici un antet), momentul de
timp la care s-a realizat captura, adresa sursă respectiv destinaţie a pachetu-
lui, tipul protocolului şi informaţii specifice protocolului pentru pachetul curent.

 Fereastra de listare a detaliilor de antet: aceasta oferă detalii legate de pache-

tul selectat în fereastra de listare a pachetelor. Informaţiile se referă la antetul
Ethernet şi la datagrama IP care conţine pachetul curent. Nivelul de detalii le-
gate de Ethernet sau IP poate fi controlat prin expandarea sau ascunderea in-
formaţiilor detaliate cu ajutorul semnelor „+” sau „-”. Dacă pachetul a fost
transferat la nivelul transport golosinf TCP sau UDP, atunci vor fi afişate detalii
legate de antetul TCP sau UDP, detalii ce pot fi din nou expandate sau ascun-
se ca şi în cazul IP. În final sunt oferite detalii legate de cel mai înalt protocol
folosit – cel de la nivelul Aplicaţie. Dacă protocolul este unul comun (cum ar fi
HTTP) atunci antetul HTTP va putea fi expandat în detaliu până la nivelul co-
menzilor şi parametrilor elementari. În Figura 3 a fost ilustrat un exemplu pen-
tru care este afişat identificatorul de sesiune folosit de către o aplicaţie de tipul
Instant Messenger.

 Fereastra de afişare a conţinutului pachetului: aceasta fereastră afişează con-

ţinutul întregului cadru Ethernet capturat, atât hexazecimal cât şi valorile echi-
valente ASCII (lucru util daca la nivelul Aplicaţie avem de-a face cu un protocol
bazat pe text, cum este HTTP sau SMPT). După cum se observă în Figura 3,
detaliile selectate în fereastra de listare a detaliilor sunt evidenţiate şi din punct
de vedere al conţinutului în fereastra de afişare a conţinutului pachetului (a se
vedea valoarea identificatorului de sesiune).

 Filtrul de control: această casetă permite specificarea unui filtru ce va fi aplicat

asupra pachetelor afişate. Astfel, dacă este specificat HTTP în această case-
tă, în fereastra de listare a pachetelor vor apare exclusiv pachetele ce au fost
generate de aplicaţii ce implementează acest protocol. Un astfel de exemplu a
fost ilustrat în Figura 4.

4
 Figura 4. Afișarea exclusivă a pachetelor generate de aplicaţii ce folosesc HTTP

2.4 Prima captură de pachete

În cele ce urmează va fi prezentată succesiunea de paşi ce sunt urmaţi atunci

când se realizează o captură de pachete ce va permite ulterior analiza conţinutului
acestora.
Pentru început deschideți un browser web.

5
 Deschideţi o instanţă a aplicaţiei Wireshark. Iniţial va fi afişată o fereastră goală,
similară celei din Figura 2. Motivul pentru care fereastra este goală e unul simplu:
încă nu a fost pornită capturarea;
Selectaţi Capture din meniul aplicaţiei şi apoi Options. Va fi deschisă o fereastră
de configurare cu titlul „Wireshark: Capture Options”, similară cu cea din Figura 5.

Figura 5. Fereastra de configurări “Capture Options”

Puteţi folosi majoritatea parametrilor din această fereastră cu valorile lor impli-
cite, dar debifaţi „Hide capture info dialog” (care în Figura 5 este bifat). În cazul în
care PC-ul pe care rulează aplicaţia wireshark este dotat cu mai multe interfeţe de
reţea, selectaţi-o pe cea dorită folosind caseta combo „Interface” din partea de sus a
ferestrei. După ce aţi setat parametrii doriţi, efectuaţi click pe butonul „Start”. Din
acest moment WireShark va primi o copie a fiecărui pachet ce soseşte la interfaţa de
reţea selectată sau este trimis pe reţea de către aceasta.
Odată ce a fost declanşată captura, va fi afişată o fereastră informativă legată de
numărul de pachete capturate şi de tipul acestora, similară celei din Figura 6.

6
 Figura 6. Fereastră informativă asupra numărului de pachete capturate

Folosind navigatorul web deschis anterior, solicitaţi o pagină web (de exemplu
http://fcim.utm.md ).
După ce pagina s-a încărcat cu succes în navigator, reveniţi la aplicaţia
wireshark şi apăsaţi butonul „Stop” (situat în partea dreapta-jos în Figura 6). Fereas-
tra informativă va dispare.
Acum fereastra principală arată toate pachetele capturate în intervalul de timp
cât capturarea era pornită. Deoarece numărul de pachete este foarte mare, găsirea
unui anume pachet este dificilă. Trebuie găsită o metodă de limitare: folosind filtrul de
afişare din partea de sus a ferestrei principale (vezi Figura 4) tastaţi http cu litere
mici. Apăsaţi tasta enter. Acum în lista de pachete capturate apar exclusiv pachetele
HTTP.
Selectaţi pachetul conţinând cererea HTTP emisă de către navigator în
momentul în care a fost solicitată pagina de bază de la http://fcim.utm.md)
Acum puteti afla informaţii detaliate legate de acest pachet, aşa cum a fost
ilustrat în Figura 7 unde, după cum se remarcă, pot fi vizualizate date foarte detaliat
legate de câmpurile antetului HTTP, ceea ce ajută la o mai bună înţelegere a proto-
colului în sine.

7
 Figura 7. Informaţii detaliate legate de un pachet HTTP

3. Desfăşurarea lucrării:
Folosind exclusive Wireshark şi o serie de capturi de pachete folosind un
navigator pentru a lansa cereri HTTP pentru diverse pagini web. Răspundeţi la
următoarele întrebări:
1. Care este adresa MAC a calculatorului pe care lucrati?
2. Care este numele producătorului placii de reţea?
3. Care este adresa IP a calculatorului la care lucraţi?
4. Care este adresa MAC sursă pentru pachetele răspuns HTTP?
5. Care este adresa IP sursă pentru pachetele răspuns HTTP?
6. Cum diferențiați o cerere HTTP de un răspuns HTTP folosind strict adresele IP?
7. Porniți captura pe Wireshark, deschideți navigatorul web și conecta ți-vă la un
server http nesecurizat (de ex, http://www.vbsca.ca/login/login.asp) , introduceți
informații pe ecranul de logare (nume și parola fictive), trimite ți-le pe server. Opri ți
8
 captura și analizați conținutul pachetelor aplicând filtre de afișare ca să fie vizibile
doar cele care participa la comunicația cu serverul moodle. Găsi ți în capturile de
pachete informațiile de logare introduse (pentru aceasta consulta ți internetul dacă
e necesar). Explicați cu ați procedat. Faceți capturi de ecran care dovedesc
acțiunile respective .
8. Porniți o captura, conectați-vă la serverul else care utilizează https, autentifica ți-vă
în partea sus cu un login și o parola fictive (nu cu butonul de jos), opri ți captura și
analizați schimbul de date. Faceți captură de ecran. Ce a ți observat?

Faceți un mic raport incluzând în el răspunsurile la întrebări și capturile de ecran

respective și depuneți-l pe server