Documente Academic
Documente Profesional
Documente Cultură
1
În reţelele locale (LAN), modul promiscuous este un mod de lucru în care fiecare pachet de date transmis
de-a lungul reţelei va putea fi recepţionat şi citit de oricare dintre adaptoarele de reţea. Acest mod este folosit
pentru o mai bună monitorizare a activităţilor din reţea. Modul promiscuous este opus modului non-promiscuous.
Când pachetul de date este transmis în mod non-promiscuous, toate adaptoarele de reţea pot “asculta” datele
pentru a determina dacă adresa de reţea inclusă este identică cu cea proprie. Dacă este, atunci pachetul este
recepţionat.
1
detectarea pierderii token-ului sau prezenţa prea multor token-uri pe inel pentru o reţea
token ring;
detectarea faptului că mesajele primite de către adaptorul de reţea nu sunt sesizate
(procesate) de către acesta, lucru ce reprezintă un indiciu al funcţionării necorespunzătoare a
acestuia;
posibilitatea colectării de statistici referitoare la volumul de trafic (numărul de mesaje) legat
de un anumit proces, detectând astfel necesitatea unei nevoi de lăţime de bandă sporite a
acestui proces;
diagnosticarea problemelor de conectivitate ale sistemului de operare, legate de web, ftp,
active directory, ş.a.m.d.;
utilizarea pentru analiza datelor trimise către/recepţionate dinspre un sistem securizat,
pentru înţelegerea măsurilor de securitate în scopul testării penetrabilităţii sistemului în
vederea prevenirii efectuării unor acţiuni ilegale pe acesta.
Wireshark este un pachet software ce poate fi utilizat în mod interactiv pentru capturarea şi
analiza traficului de reţea. El permite înţelegerea sub ce formă are loc schimbul de mesaje între două
dispozitive situate în reţeaua locală sau în Internet.
Wireshark rulează pe un calculator, dispozitiv terminal, la care ajunge aproape în exclusivitate
trafic destinat acelui dispozitiv, datorită segmentării reţelelor locale cu switch-uri.
Acest instrument software beneficiază de o interfaţă grafică, care îl face simplu de utilizat (figura
4.1).
La fel ca şi alte analizoare de pachete, fereastra principală din Wireshark prezintă trei secţiuni
cu informaţii graduale asupra unui pachet. În primul rând, este ilustrată o descriere sumară a pachetului,
dându-se informaţii de bază despre acesta. Apoi, în cadrul unei o a doua secţiuni, se dau detalii asupra
protocoalelor care compun pachetul (tipul protocolului, dimensiunea antetului, etc.). În cele din urmă, în
2
secţiunea a treia, avem ilustrată imaginea exactă a şirului de octeţi (codificaţi în hexadecimal) care
compun pachetul. În figura 4.1 se poate vedea o imagine a interfeţei grafice utilizator a programului
Wireshark, şi cele trei secţiuni.
Cadrele de informaţie sunt capturate cu ajutorul unei colecţii cuprinzătoare de filtre. Acestea pot
fi preinstalate sau definite de către utilizator, care poate preciza ce fel de pachete să fie capturate, cât
timp să dureze captura, dimensiunea maximă a pachetelor şi alte detalii (figura 4.2). Mai mult, pachetele
capturate pe durata unei conversaţii TCP/IP pot fi afişate într-un format ASCII uşor de utilizat.
Pentru a putea captura pachete se selectează din meniul Capture opţiunea Interfaces.
Aceasta este aceea prin care se alege interfaţa de reţea prin care Wireshark va intercepta pachete.
Este posibil ca pe sistem să existe instalate mai multe interfeţe (adaptoare) de reţea fizice sau virtuale.
Interfeţele de reţea apar în urma configurării driverelor unui adaptor fizic de reţea, cablat sau
wireless. Interfeţele virtuale sunt instalate de către programe de tip Vmware, maşini virtuale (figura
4.3).
Dacă se selectează butonul Start aferent interfeţei reţea dorite, procesul de captură începe
imediat, cu opţiunile implicite. Modificarea acestora se face din meniul Capture al ferestrei principale,
opţiunea Options. Astfel, setarea în promiscuous mode indică analizorului de protocol să capteze
toate mesajele care ajung la calculatorul nostru, şi nu doar pe cele destinate acestuia. Pentru a avea o
3
statistică în timp real a pachetelor interceptate se va debifa opţiunea Hide capture info dialog
(figura 4.4).
În momentul când captura este lansată (butonul Start din fereastra Capture Options), dar
încă nu avem nici un program care foloseşte conexiunea de reţea, nu ar trebui să se intercepteze decât
pachete ARP iar alte categorii, în număr mic sau deloc. Pachetele ARP (Address Resolution
Protocol) reprezintă interogări trimise de dispozitive din reţeaua locală către toate celelalte
dispozitive, aşadar este normal să capturăm astfel de mesaje. Dacă în afară de ARP se primesc alte tipuri
de pachete în număr mare, atunci ne confruntăm cu situaţia în care, deşi nu folosim efectiv conexiunea la
reţea, canalul de transmisiune este parţial ocupat de transmisiuni de date nedorite. De cele mai multe ori
traficul inutil este generat de propriul sistem de operare pe care rulează procese ascunse, acestea pot fi
viruşi dar pot fi şi procese ale unor programe instalate şi administrate defectuos.
În situaţia în care dorim să captăm mesaje de tipul celor prin care un server web livrează site-ul
către browser-ul Internet, vom deschide browser-ul Internet Explorer (sau altul) şi acesta va
afişa home page-ul setat, de exemplu: www.google.ro. După ce site-ul s-a încărcat în browser oprim
captura din Wireshark.
Aşa cum am menţionat, fereastra Wireshark va fi împărţită în trei secţiuni: lista de pachete,
detalii ale pachetului şi octeţii (informaţie binară) care compun pachetul.
În lista de pachete, secţiunea de sus, pachetele vor fi afişate în ordine cronologică, în funcţie de
sursă, în funcţie de destinaţie, în funcţie de protocol şi în funcţie de informaţiile prezente în pachet (figura
4.5).
4
Fig. 4.5 Fereastra principală Wireshark
Ne alegem un pachet pe care îl vom analiza (de exemplu, un mesaj TCP), şi ne îndreptăm atenţia
către secţiunea detaliată. De fiecare dată când selectăm o informaţie în această secţiune se vor marca un
număr de octeţi din secţiunea de jos. Astfel se face analiza binară a unui pachet.
Exerciţii
5
c). Să se treacă în revistă protocoalele afişate, de sus în jos. Să se identifice şi să se noteze
lungimea antetelor pentru fiecare protocol listat şi să se stabilească poziţia în cadrul pachetului capturat a
antetului fiecărui tip de protocol. Mai jos este ilustrat un exemplu de stabilire a poziţiei antetului
pachetelor IP (figura 4.6).
d). Care este lungimea datelor utile? Să se compare această lungime cu lungimea totală a
pachetului transmis prin cablu.
5. Să se construiască un filtru care este capabil să capteze doar pachetele HTTP/IP, atât pentru
protocolul TCP cât şi pentru UDP. Captura trebuie să se oprească automat după 30 de secunde. Se
porneşte captura, şi apoi se accesează o pagină web. Când captura se opreşte, să se identifice şi să se
noteze următoarele informaţii: ierarhia protocoalelor, conversaţiile desfăşurate (adresele IP implicate în
transmisia pachetelor), numerele de port sursă şi destinaţie marcate în antetul protocoalelor de nivel
transport TCP şi UDP. Care dintre aceste două protcoale este cel mai utilizat?