Podstawy pracy z analizatorem sieci
7 grudnia 2007 13:17
Kamil Folga
Do przykładowego pokazu wybraliśmy oprogramowanie Wireshark. Pierwszą rzeczą, którą powinniśmy zrobić jest pobranie wersji instalacyjnej oprogramowania. Na stronie www.wireshark.org dostępne są wersje przeznaczone dla większości platform systemowych. Najnowsza wersji programu będzie stanowiła z pewnością dobry wybór. Po zakończeniu pobierania pliku, uruchamiamy program instalacyjny. Niezbędne okaże się posiadanie biblioteki WinPcap, którą instalator Wireshark samodzielnie zainstaluje w systemie.
Gdy mamy już zainstalowany Wireshark, najwyższa pora przystąpić do uruchomienia narzędzia. Omawiany analizator nie jest skomplikowany w obsłudze. Zaczniemy od bardzo prostych elementów.
Główny ekran oprogramowania Wireshark
Analizator pakietów pozwala na przechwytywanie i analizę danych, które są przesyłane przez sieć. W łatwy sposób możemy "obejrzeć" cały ruch w naszej sieci. Możemy sprawdzić jakie porty wykorzystuje dane oprogramowanie oraz wysyłany/odbierany ruch przez nasz komputer. Zbierając wszystkie możliwe dane, możemy spotkać się z problemem przepełnienia bufora zapamiętującego pakiety. Wireshark pozwala uszczegółowić zbierane dane przez wykorzystanie użytecznych filtrów. Filtry pozwalają na sortowanie ruchu, który został przechwycony. Zdecydowanie ułatwia to analizę. Pracę rozpoczniemy od zebrania danych do analizy. Na początek rozwijamy zakładkę menu o nazwie Capture, a następnie wybieramy funkcję Options.
Wybór interfejsu i opcji przechwytywania w Wireshark
To jest okno, które pozwala zdefiniować sposób przechwytywania danych przez analizator. Podstawowym wyborem jest wskazanie z rozwijanego menu interfejsu sieciowego, na którym analizator ma operować. Istnieje możliwość wyboru spośród interfejsów sieciowych dostępnych w komputerze. Klikając na przycisk Capture Filter musimy wskazać, co chcemy przechwytywać. W przypadku wersji pracującej pod kontrolą systemu Windows oraz niektórych kart, może pojawić się problem z przechwytywaniem pakietów z sieci bezprzewodowej. Szczegółowy opis problemu możemy znaleźć na tej
stronie.
Wybór filtrów przechwytywania
W polu Filter Name podajemy nazwę naszego filtra. Jeżeli chcemy przechwytywać pakiety, które trafiają wyłącznie do naszego adresu IP, w polu Filter string wpisujemy następujący łańcuch: host 192.168.0.32. W wyniku przeprowadzonych operacji otrzymamy zapis całego ruchu, który przychodził lub wychodził z naszego komputera. Po wprowadzeniu omawianych zmian klikamy przycisk OK. Powracamy do poprzedniego okna, które umożliwia nam rozpoczęcie przechwytywania pakietów przez kliknięcie przycisku Start. Praca z filtrami jest podstawową czynnością, konieczną do sprawnego posługiwania się analizatorem. Filtracje można także przeprowadzać na przechwyconych danych. Szczegółowy opis składni i budowy reguł filtrujących, można znaleźć na
stronie.
Prezentacja danych zebranych w trakcie przechwytywania
Na ekranie monitora zobaczymy pakiety wysyłane od i do naszego komputera. Jeżeli nie widzimy żadnych pakietów, dobrym pomysłem będzie wygenerowanie ruchu przez otworzenie strony internetowej lub wysłanie komunikatu ICMP. Jeżeli nadal będą występowały problemy ze przechwytywaniem danych, prawdopodobnie źle został określony interfejs sieciowy. Gdy już zbierzemy odpowiednią ilość pakietów, wystarczy kliknąć menu Capture, a następnie opcję Stop.
Wireshark zbiera dane, których przykładową reprezentację można zaobserwować na rysunku 4. Ekran programu składa się z trzech ramek. Pierwsza ramka pokazuje adres IP źródłowy i docelowy, protokół oraz krótką informację o zebranych pakietach. Ramka druga prezentuje szczegółowe informacje o danym pakiecie. Ramka trzecie przedstawia zawartość pakietu w formacie HEX.
Wiele informacji na temat konfiguracji programu, możemy znaleźć w dołączonych plikach pomocy. Wireshark to potężne narzędzie - współpracuje z sieciami przewodowymi i bezprzewodowymi. Dane mogą być zbierane z interfejsów Ethernet, IEEE 802.11, PPP/HDLC, ATM, Bluetooth, USB, Token Ring, Frame Relay, FDDI i inne. Warto podkreślić bogate możliwości analizy VoIP oraz wsparcie deszyfrowania m.in. IPSec, ISAKMP, Kerberos, SNMPv3, SSL/TLS. WEP oraz WPA/WPA2. Warto podkreślić bardzo dobrą realizację mechanizmów analizy i statystyk.
Komentarze
Redakcja NetWorld nie ponosi odpowiedzialności za wypowiedzi Internautów opublikowane na stronach serwisu oraz zastrzega sobie prawo do redagowania, skracania bądź usuwania komentarzy zawierających treści zabronione przez prawo, uznawane za obraźliwie lub naruszające zasady współżycia społecznego. Osoby zamieszczające wypowiedzi naruszające prawo lub prawem chronione dobra osób trzecich mogą ponieść z tego tytułu odpowiedzialność karną lub cywilną.
Ta wiadomość nie ma jeszcze żadnych komentarzy. Twój może być pierwszy...
AudioBot - odsłuchaj materiał
wydrukuj
wyślij do znajomego
odpowiada...