Wireshark (packet sniffer)

Documenti analoghi
Introduzione allo sniffing

Ethereal A cura di Donato Emma demma@napoli.consorzio-cini.it

Fondamenti di Internet e Reti. Antonio Capone, Matteo Cesana, Ilario Filippini, Guido Maier

University of Modena and Reggio Emilia. Laboratorio di Comunicazioni Multimediali WIRESHARK. Daniela Saladino

Elementi di Sicurezza e Privatezza Laboratorio 6 - Sniffing. Chiara Braghin chiara.braghin@unimi.it

Introduzione a Wireshark Andrea Atzeni < shocked@polito.it > Marco Vallini < marco.vallini@polito.it >

Protocollo IP. Pacchetto e comandi

Configurazione delle interfacce di rete

Introduzione allo sniffing

Dispense parte di laboratorio corso Introduzione alle reti telematiche

Un sistema di Network Intrusion Detection basato su tcpdump

Progettazione di Servizi Web e Reti di Calcolatori

Uso di sniffer ed intercettazione del traffico IP

Il protocollo IP A.A. 2005/2006. Walter Cerroni. Internet Protocol (IP) - RFC 791

Wireless Network Esercitazioni. Alessandro Villani

Packet Tracer: simulare utility PING

Corso di Reti di Telecomunicazioni. Giovanni Schembra. Trasmissione trame su canale broadcast

SNIFFING. Università Degli Studi Di Salerno. SCENARIO Annarella Invia Un Messaggio a Biagio SNIFFER SNIFFER SNIFFER SNIFFER. Uso lecito.

Reti. Reti. IPv4: concetti fondamentali. arp (address resolution protocol) Architettura a livelli (modello OSI)

Protocolli ARP e RARP

Reti di comunicazione

BOLLETTINO DI SICUREZZA INFORMATICA

Esercitazione 05. Sommario. Packet Filtering [ ICMP ] Esercitazione Descrizione generale. Angelo Di Iorio (Paolo Marinelli)

4b. Esercizi sul livello di Rete Inoltro in IP

Raw socket. L intercettazione di un pacchetto IP

TCP/IP un introduzione

Prima di iniziare la procedura d installazione, verificare che siano disponibili tutte le informazioni e le attrezzature necessarie

Wireshark revealed. Dario Lombardo Linuxday Torino 2010

Software per l individuazione dei malfunzionamenti di rete

Iptables. Mauro Piccolo

IL PROTOCOLLO ICMP. La famiglia dei protocolli TCP/IP. Applicazioni ,ftp,telnet,www. IEEE 802-Ethernet-X25-Aloha ecc. Collegamento fisico

Sommario. Oggetto: Istruzioni configurazione client VPN SSL per piattaforma Mac OSX Data: 25/01/2016 Versione: 1.0

Internet Protocol Versione 4: aspetti generali

Come visualizzare l indirizzo IP

Il protocollo TCP. Obiettivo. Procedura

ICMP. (Internet Control Message Protocol) Cosa è l ICMP? Messaggi di ICMP. Applicazioni di ICMP: ULP, Ping, Traceroute, Path MTU discovery

Pacchetti e imbustamento. Ethereal (1)

Un po di pra+ca. Gaia Maselli 2-1

Firewall e NAT A.A. 2005/2006. Walter Cerroni. Protezione di host: personal firewall

Laboratorio Wireshark: ICMP

Introduzione ad hping

ACCESS CONTROL LIST. ACCESS CONTROL LIST standard

Strato di rete (parte 2) Autoconfigurazione Protocollo DHCP

Il protocollo IP (Internet Protocol)

Server di rete USB over IP con 4 porte USB 2.0

IL LIVELLO RETE IN INTERNET Protocollo IP

Sommario. Configurazione della rete con DHCP. Funzionamento Configurazione lato server Configurazione lato client

Tecnologie di Sviluppo per il Web

Tappe evolutive della rete Internet

Internet Protocol Versione 4: instradamento e routing. Aspetti di forwarding e routing del protocollo IPv4

IP forwarding Firewall e NAT

Routing (instradamento) in Internet. Internet globalmente consiste di Sistemi Autonomi (AS) interconnessi:

Guida all uso di TCPDUMP

Esercitazione 5 Firewall

Tre catene (chains) di base, si possono definire altre catene (convenzionalmente in minuscolo)

Laboratorio di Networking Operating Systems. Lezione 2 Principali strumenti di diagnostica

Linux Network Testing

TCP/IP. Principali caratteristiche

Quando mi collego ad alcuni servizi hosting ricevo un messaggio relativo al certificato di protezione del sito SSL, come mai?


Come registrare la SoundStation IP7000 a un Server SIP HOME


ICMP OSI. Internet Protocol Suite. Telnet FTP SMTP SNMP TCP e UDP NFS. Application XDR. Presentation. Session RPC. Transport.

IP versione 6 Mobilità nelle reti IP

(parte 2) DHCP e NAT

Architetture di router IP

Dipartimento Affari Interni e Territoriali Direzione Centrale per i Servizi Demografici INA-SAIA. SSLProxy. Manuale Utente. versione 1.

Packet Tracer: simulatore di RETE

Guida alla Configurazione di Rete

Imagicle Hotel. Guida alla configurazione delle centrali Alcatel OXO fino alla Rel. 5.x 6.x

Funzione di Bridging su Windows XP

CONFIGURATION MANUAL

IPv4 Internet Protocol Versione 4

Xesar. Messa in funzione Scheda di rete

Strumenti di sicurezza delle reti:

Guida alla configurazione Configuration Guide

Transcript:

Wireshark (packet sniffer) Introduzione In computing, Wireshark (ex Ethereal) is a protocol analyzer, or "packet sniffer" application, used for network troubleshooting, analysis, software and protocol development, and education. It has all of the standard features of a protocol analyzer. The functionality Wireshark provides is very similar to tcpdump (c.f.), but it has a GUI front-end, and many more information sorting and filtering options. It allows the user to see all traffic being passed over the network (usually an Ethernet network but support is being added for others) by putting the network card into promiscuous mode. Wireshark is released under an open source license, and it runs on most Unix and Unix-compatible systems, including Linux, Solaris, FreeBSD, NetBSD, OpenBSD, Mac OS X and Windows, as it uses the cross-platform GTK+ widget toolkit (although GTK+ only works with X11 on Mac OS X, so the user will need to run an X server such as X11.app). Wireshark is software that "understands" the structure of different network protocols. Thus it's able to display encapsulation and single fields and interpret their meaning. Ethereal doesn't have its own code to capture packets. It uses libpcap/winpcap for this task, so it can only capture on networks supported by libcap/winpcap. Fonte: Wikipedia Nota: nelle versioni di Knoppix precedenti a quella utilizzata nei laboratori il software da utilizzare è Ethereal mentre nelle versioni più recenti questo ha cambiato nome in Wireshark Utilizzo E' possibile lanciare l'esecuzione di Wireshark sia tramite menu ( K >> Internet >> Wireshark (as root) ) che tramite console (scrivere nella shell wireshark, tutto in minuscolo, e premere invio). Si ricorda che il programma Wireshark, per essere completamente operativo, va lanciato come utente root, vista la necessità che ha il software di settare la scheda ethernet in modalità promiscua, condizione necessaria per effettuare lo sniffing dei pacchetti. 1

Fig. 1: La schermata di Wireshark Appena sotto la barra dei menu è presentata una serie di icone che permettono di accedere alle funzionalità più utili. La prima icona apre una nuova finestra che visualizza le interfacce dalle quali è possibile catturare il traffico. Oltre all'interfaccia eth0 e al loopback selezionabili singolarmente, è possibile catturare il traffico di entrambi i device contemporaneamente. Cliccando sul pulsante Options è possibile accedere ai settaggi relativi alla cattura che si intende eseguire. Si selezioni quindi di configurare la cattura per l'interfaccia eth0. Tramite le opzioni in Display options è possibile settare la visualizzazione in tempo reale dei pacchetti catturati (evita di aspettare la fine della cattura per analizzare i pacchetti); dalle opzioni in Name resolution è possibile rendere più leggibile i dati catturati a livello di identificazione dei mac address e degli IP address. E' possibile fermare in ogni momento la cattura dei pacchetti cliccando sull'apposito pulsante Stop ( Ferma ). La finestra principale di Wireshark viene suddivisa orizzontalmente in tre parti principali; nella parte più in alto vengono elencati i frame fino a quel momento catturati dal programma, riportando le informazioni principali che lo contraddistinguono (indirizzo IP sorgente e destinazione, tipo di protocollo). Subito sotto, una volta evidenziato con il mouse un frame particolare, vengono riportati i dettagli del frame che si intende esaminare; in base al tipo di pacchetto vengono interpretati e visualizzati una serie di dati riguardanti il contenuto del pacchetto stesso. Nell'ultima parte dello 2

schermo vengono riportate le codifiche esadecimali e ASCII della parte i pacchetto evidenziata nell'area appena sopra. Esercizio 1 Lanciare la cattura di traffico sulla interfaccia eth0 (ad esempio mentre si naviga in rete) e analizzare un pacchetto tra quelli catturati: verificare che a livello ethernet vengono specificati in modo corretto i MAC address relativi alle due schede di rete in comunicazione tra loro verificare la corrispondenza dei campi del pacchetto a livello IP con quanto riportato nella figura che segue 0100 1 8 16 19 24 32 Version (4 bits) Header length (4 bits) Identification (16 bits) Time to Live (8 bits) TOS (8 bits) Total Length (16 bits) Flags (3) Fragment Offset (13 bits) Protocol (8 bits) 1=ICMP, 6=TCP, Header Checksum (16 bits) 17=UDP Source IP Address (32 bits) Destination IP Address (32 bits) Options (if any) Padding Data Field 20 byte Fig. 2: La trama di un pacchetto IP Esercizio 2 Nel pacchetto catturato identificare il parametro relativo al TTL. In Wireshark è possibile creare dei filtri di cattura che restringono il numero dei pacchetti catturati in base a vari parametri. E' necessario, per impostarli, utilizzare la schermata che compare prima di iniziare ogni cattura ed in particolare la voce Capture filter (v. Fig. 3). 3

Fig. 3: Impostazione dei filtri di cattura in Wireshark Ad esempio: per catturare il traffico in/out verso un dato host: host <IP> per catturare il traffico destinato solo ad un determinato IP: dst host <IP> per catturare il traffico per una determinata porta: port <PORT_#> per catturare solo traffico ICMP: ip proto \icmp 4

E' anche possibile, alla fine della cattura, stabilire dei filtri di visualizzazione nella toolbar Filter. I filtri vanno impostati alla fine della cattura, nella schermata principale alla voce Filter : per visualizzare solo il traffico web: tcp.port eq 80 per visualizzare solo il traffico relativo ai protocolli HTTP e ARP: HTTP ARP per visualizzare solo il traffico tra due particolari host: ip.src == <SRC_HOST> or ip.dst == <DST_HOST> Attenzione I filtri di cattura intervengono durante la cattura del traffico di rete mentre i filtri di visualizzazione sono utilizzati per visualizzare porzioni di traffico di interesse una volta che le informazioni sono state acquisite. La sintassi dei due tipi di filtri è differente! Esercizio 3 Eseguire delle catture con filtri sia per traffico destinato a un host della rete LAN interna sia per traffico destinato alla rete Internet esterna. Esercizio 4 Spiegare per quale motivo non è possibile sniffare tutto il traffico generato da altri host (a meno che il traffico sia tra l'host su cui gira Wireshark e l'host che si vuole monitorare oppure si tratti di traffico di tipo broadcast) Hint: http://en.wikipedia.org/wiki/network_switch#layer-1_hubs_versus_higher-layer_switches Approfondimenti Wireshark http://www.wireshark.org/ Filtri per la cattura: http://wiki.wireshark.org/capturefilters Filtri per la visualizzazione: http://wiki.wireshark.org/displayfilters Manuale utente: v. sito ufficiale e sito docente 5

2026 © DocPlayer.it Privacy Policy | Condizioni del servizio | Feed-back