Lucrarea nr.

CAPTURAREA ŞI ANALIZAREA TRAFICULUI DE REŢEA

4.1 Analizoarele de trafic de reţea. Prezentare generală.

Analizoarele de trafic de reţea sunt instrumente software capabile să capteze şi să analizeze

traficul transmis sau recepţionat de către un calculator care este conectat într-o reţea. Ele pot fi utilizate
atât în scop de studiu al funcţionării protocoalelor de reţea (mecanisme, structura cadrelor, etc.), cât şi
pentru îmbunătăţirea funcţionalităţii şi securităţii reţelei. Cele mai multe dintre aceste instrumente se
descarcă gratuit de pe Internet, unele dintre ele fiind chiar părţi integrante ale unor sisteme de operare.
Câteva analizoare de reţea (în limba engleză "packet sniffer") des folosite sunt: Ethereal,
Wireshark (versiunea nouă a lui Ethereal), tcpdump (asemănător cu cele două programe
anterioare, dar apelabil doar în linia de comandă), Microsoft Network Monitor (pachet
suplimentar al sistemelor de operare Windows), ettercap (program ce poate fi folosit pentru
capturarea parolelor transmise într-o reţea de către unele protocoale de nivel aplicaţie), etc.
Într-o reţea locală, în funcţie de structura acesteia, se poate captura traficul din întreaga reţea,
sau doar cel destinat calculatorului pe care s-a instalat software-ul de analiză. Spre exemplu, într-o reţea
Ethernet care foloseşte comutatoare (switch-uri), este posibilă "ocolirea" în scopuri rău intenţionate a
filtrării de pachete pe care switch-urile o pun în practică şi accesarea traficului destinat altor staţii de
reţea (o metodă cunoscută este ARP spoofing). Capturarea traficului întregii reţele poate servi însă şi
unor scopuri de administrare, deoarece ea furnizează o imagine globală asupra reţelei în cauză. De
exemplu, o tehnică folosită este configurarea pe un switch a unui port special denumit port de
"mirroring", care va "oglindi" toate pachetele ce trec prin toate porturile switch-ului.
Atât în reţelele cu fir (cablate) cât şi în acelea fără fir (wireless), pentru ca analizorul de reţea să
fie capabil să captureze şi pachete de date care nu îi sunt explicit dedicate (în această categorie intrând
pachete unicast sau de difuzare în LAN-ul din care respectiva staţie face parte), va trebui ca adaptorul de
reţea să fie setat într-un mod de operare special (mod neselectiv - "promiscuous mode1"). Este de
notat că nu orice analizor de reţea suportă acest mod de operare. În reţelele fără fir, chiar dacă este
posibilă setarea adaptorului de reţea wireless în "promiscuous mode", pachetele care nu corespund
setului de servicii pentru care adaptorul este configurat, vor fi de obicei ignorate. Pentru a putea vizualiza
şi aceste pachete este nevoie de setarea unui alt mod de operare, şi anume acela de monitorizare a
reţelei.

4.2 Funcţionalităţi ale softurilor de analiză de reţea

Printre funcţionalităţile analizoarelor de reţea, putem menţiona:

 analiza problemelor de reţea;
 detectarea încercărilor de intruziune;
 monitorizarea utilizării reţelei;
 colectarea şi raportarea unor statistici de reţea;
 filtrarea pachetelor suspecte din traficul de reţea;
 spionarea altor utilizatori de reţea şi capturarea parolelor acestora;
 depanarea problemelor protocoalelor de reţea.
Câteva exemple practice de folosire a analizoarelor de reţea, legate de aspectele menţionate mai
sus ar putea fi:

1
În reţelele locale (LAN), modul promiscuous este un mod de lucru în care fiecare pachet de date transmis
de-a lungul reţelei va putea fi recepţionat şi citit de oricare dintre adaptoarele de reţea. Acest mod este folosit
pentru o mai bună monitorizare a activităţilor din reţea. Modul promiscuous este opus modului non-promiscuous.
Când pachetul de date este transmis în mod non-promiscuous, toate adaptoarele de reţea pot “asculta” datele
pentru a determina dacă adresa de reţea inclusă este identică cu cea proprie. Dacă este, atunci pachetul este
recepţionat.
1
  detectarea pierderii token-ului sau prezenţa prea multor token-uri pe inel pentru o reţea
token ring;
 detectarea faptului că mesajele primite de către adaptorul de reţea nu sunt sesizate
(procesate) de către acesta, lucru ce reprezintă un indiciu al funcţionării necorespunzătoare a
acestuia;
 posibilitatea colectării de statistici referitoare la volumul de trafic (numărul de mesaje) legat
de un anumit proces, detectând astfel necesitatea unei nevoi de lăţime de bandă sporite a
acestui proces;
 diagnosticarea problemelor de conectivitate ale sistemului de operare, legate de web, ftp,
active directory, ş.a.m.d.;
 utilizarea pentru analiza datelor trimise către/recepţionate dinspre un sistem securizat,
pentru înţelegerea măsurilor de securitate în scopul testării penetrabilităţii sistemului în
vederea prevenirii efectuării unor acţiuni ilegale pe acesta.

4.3 Prezentarea programului Wireshark

Wireshark este un pachet software ce poate fi utilizat în mod interactiv pentru capturarea şi
analiza traficului de reţea. El permite înţelegerea sub ce formă are loc schimbul de mesaje între două
dispozitive situate în reţeaua locală sau în Internet.
Wireshark rulează pe un calculator, dispozitiv terminal, la care ajunge aproape în exclusivitate
trafic destinat acelui dispozitiv, datorită segmentării reţelelor locale cu switch-uri.
Acest instrument software beneficiază de o interfaţă grafică, care îl face simplu de utilizat (figura
4.1).

Fig. 4.1 Interfaţa grafică utilizator a programului Wireshark

La fel ca şi alte analizoare de pachete, fereastra principală din Wireshark prezintă trei secţiuni
cu informaţii graduale asupra unui pachet. În primul rând, este ilustrată o descriere sumară a pachetului,
dându-se informaţii de bază despre acesta. Apoi, în cadrul unei o a doua secţiuni, se dau detalii asupra
protocoalelor care compun pachetul (tipul protocolului, dimensiunea antetului, etc.). În cele din urmă, în
2
secţiunea a treia, avem ilustrată imaginea exactă a şirului de octeţi (codificaţi în hexadecimal) care
compun pachetul. În figura 4.1 se poate vedea o imagine a interfeţei grafice utilizator a programului
Wireshark, şi cele trei secţiuni.
Cadrele de informaţie sunt capturate cu ajutorul unei colecţii cuprinzătoare de filtre. Acestea pot
fi preinstalate sau definite de către utilizator, care poate preciza ce fel de pachete să fie capturate, cât
timp să dureze captura, dimensiunea maximă a pachetelor şi alte detalii (figura 4.2). Mai mult, pachetele
capturate pe durata unei conversaţii TCP/IP pot fi afişate într-un format ASCII uşor de utilizat.

Fig. 4.2 Fereastra Display Filter

4.3.1 Interceptarea pachetelor

Pentru a putea captura pachete se selectează din meniul Capture opţiunea Interfaces.
Aceasta este aceea prin care se alege interfaţa de reţea prin care Wireshark va intercepta pachete.
Este posibil ca pe sistem să existe instalate mai multe interfeţe (adaptoare) de reţea fizice sau virtuale.
Interfeţele de reţea apar în urma configurării driverelor unui adaptor fizic de reţea, cablat sau
wireless. Interfeţele virtuale sunt instalate de către programe de tip Vmware, maşini virtuale (figura
4.3).

Fig. 4.3 Fereastra Capture Interfaces

Dacă se selectează butonul Start aferent interfeţei reţea dorite, procesul de captură începe
imediat, cu opţiunile implicite. Modificarea acestora se face din meniul Capture al ferestrei principale,
opţiunea Options. Astfel, setarea în promiscuous mode indică analizorului de protocol să capteze
toate mesajele care ajung la calculatorul nostru, şi nu doar pe cele destinate acestuia. Pentru a avea o
3
statistică în timp real a pachetelor interceptate se va debifa opţiunea Hide capture info dialog
(figura 4.4).

Fig. 4.4 Capture Options

În momentul când captura este lansată (butonul Start din fereastra Capture Options), dar
încă nu avem nici un program care foloseşte conexiunea de reţea, nu ar trebui să se intercepteze decât
pachete ARP iar alte categorii, în număr mic sau deloc. Pachetele ARP (Address Resolution
Protocol) reprezintă interogări trimise de dispozitive din reţeaua locală către toate celelalte
dispozitive, aşadar este normal să capturăm astfel de mesaje. Dacă în afară de ARP se primesc alte tipuri
de pachete în număr mare, atunci ne confruntăm cu situaţia în care, deşi nu folosim efectiv conexiunea la
reţea, canalul de transmisiune este parţial ocupat de transmisiuni de date nedorite. De cele mai multe ori
traficul inutil este generat de propriul sistem de operare pe care rulează procese ascunse, acestea pot fi
viruşi dar pot fi şi procese ale unor programe instalate şi administrate defectuos.
În situaţia în care dorim să captăm mesaje de tipul celor prin care un server web livrează site-ul
către browser-ul Internet, vom deschide browser-ul Internet Explorer (sau altul) şi acesta va
afişa home page-ul setat, de exemplu: www.google.ro. După ce site-ul s-a încărcat în browser oprim
captura din Wireshark.
Aşa cum am menţionat, fereastra Wireshark va fi împărţită în trei secţiuni: lista de pachete,
detalii ale pachetului şi octeţii (informaţie binară) care compun pachetul.
În lista de pachete, secţiunea de sus, pachetele vor fi afişate în ordine cronologică, în funcţie de
sursă, în funcţie de destinaţie, în funcţie de protocol şi în funcţie de informaţiile prezente în pachet (figura
4.5).

4
 Fig. 4.5 Fereastra principală Wireshark

Ne alegem un pachet pe care îl vom analiza (de exemplu, un mesaj TCP), şi ne îndreptăm atenţia
către secţiunea detaliată. De fiecare dată când selectăm o informaţie în această secţiune se vor marca un
număr de octeţi din secţiunea de jos. Astfel se face analiza binară a unui pachet.

Exerciţii

1. Să se aleagă un adaptor de reţea folosit pentru capturarea traficului şi să se verifice tipul

acestuia. La sfârşitul acestei etape, se va răspunde la următoarele întrebări:
a). Cărui tip de protocol îi corespunde adaptorul de reţea (Ethernet, Fast Ethernet,
Gigabit Ethernet, Wireless, etc.) ?
b). Cine este producătorul adaptorului de reţea ?
c). Care este adresa MAC a acestuia ?
d). Care este dimensiunea pachetelor suportată de către această interfaţă ?
e). Care este viteza legăturii ?

2. Să se definească opţiunile de capturare şi să se pornească capturarea. Se face o trecere în

revistă a filtrelor predefinite care pot fi utilizate. Înainte de pornirea capturii, se vor identifica şi nota
următoarele informaţii:
a). Care este numărul total de interfeţe de reţea din care se poate alege şi care sunt proprietăţile
şi semnificaţia fiecăreia dintre aceste interfeţe?
b). Să se enumere 5 filtre predefinite care pot fi utilizate pentru capturarea traficului şi să li se
explice semnificaţia.

3. Să se pornească o captură care să se oprească automat după 20 de secunde. Pentru această

captură, nu se va utiliza nici un fel de filtrare după tipul de pachete. Să se identifice pachetele care se
folosesc la nivelul transport TCP, respectiv UDP şi să se răspundă la următoarele întrebări:
a). Care sunt protocoalele utilizate (ce apar în partea de jos a ferestrei), atunci când se selectează
un pachet în secţiunea de sus a interfeţei grafice?
b). Care este lungimea pachetelor? Este identică această lungime pentru toate protocoalele de nivel
superior (TCP, UDP, etc.)?

5
 c). Să se treacă în revistă protocoalele afişate, de sus în jos. Să se identifice şi să se noteze
lungimea antetelor pentru fiecare protocol listat şi să se stabilească poziţia în cadrul pachetului capturat a
antetului fiecărui tip de protocol. Mai jos este ilustrat un exemplu de stabilire a poziţiei antetului
pachetelor IP (figura 4.6).

Fig. 4.6 Identificarea poziţiei antetelor diverselor protocoale

d). Care este lungimea datelor utile? Să se compare această lungime cu lungimea totală a
pachetului transmis prin cablu.

4. Să se identifice informaţii statistice referitoare la pachetele transmise pe durata capturii. Se vor

nota următoarele informaţii: numărul total al pachetelor capturate, debitul mediu, dimensiunea medie a
pachetelor. Care dintre protocoalele de pe lista de conversaţie nu au fost folosite pe durata capturii?

5. Să se construiască un filtru care este capabil să capteze doar pachetele HTTP/IP, atât pentru
protocolul TCP cât şi pentru UDP. Captura trebuie să se oprească automat după 30 de secunde. Se
porneşte captura, şi apoi se accesează o pagină web. Când captura se opreşte, să se identifice şi să se
noteze următoarele informaţii: ierarhia protocoalelor, conversaţiile desfăşurate (adresele IP implicate în
transmisia pachetelor), numerele de port sursă şi destinaţie marcate în antetul protocoalelor de nivel
transport TCP şi UDP. Care dintre aceste două protcoale este cel mai utilizat?