Securitate: Wireshark (analiza WI-FI trafic de pachete)

Configurare noua (How To)

Situatie

In primul rand ce este Wireshark?

Este un program care „asculta” tot traficul (care iese si intra de pe o interfata) si il afiseaza pe masura ce acesta este generat. Iti recomand sa downloadezi programul si sa-l instalezi pe PC de AICI:

https://www.wireshark.org/#download

Cum vezi traficul din retea cu Wireshark ?

Dupa cum spuneam si mai devreme, acesta captura de pachete reprezinta Traficul care INTRA si IESE din calculatorul nostru, de pe o anumita interfata (ex: Wireless sau Ethernet/LAN). Acum sa vedem concret cum putem vedea traficul din retea.

  • Pentru inceput porneste Wireshark cu drepturi de administrator Acum ca l-ai deschis este timpul sa alegem o interfata pe care sa „ascultam” (vedem) traficul. Avem mai multe interfete la dispozitie aici: Ethernet, Wireless si Virtuale (VMware si VirtualBox).
  • Voi selecta interfata Wireless (acesta captura este facuta din Windows. Daca esti pe Linux sau macOS, interfetele vor avea o cu totul alta denumire: eth0, en0 depinde).

cum vezi traficul din retea cu wireshark din linux

Dupa ce am selectat interfata este timpul ca traficul „sa curga” pe ecran, iar lucrurile vor arata asa:

cum vezi traficul din retea cu wireshark

Cand vorbim de un pachet de retea el este impartit in mai multe nivele, sub forma unei stive (vezi Stiva OSI: https://goo.gl/LP8AWt). Aceasta Stiva / Model se numeste OSI si contine 7 nivele: Fizic, Data Link (Legatura de Date), Network (Retea), Transport, Sesiune, Prezentare, Aplicatie. Fiecare Nivel are caracteristicile lui:

Astfel sunt grupate si elementele din Wireshark, dupa cum poti vedea si in exemplele de mai jos:

cum vad adresa mac a unui dispozitiv din retea cu wireshark

In figura de mai sus poti sa vezi adresele MAC sursa si destinatie a dispozitivelor care comunica. Mai jos poti vedea (pentru acelasi exemplu) adresele IP sursa si destinatie. Observa, te rog, faptul ca adresa IP sursa este privata (172.20.10.2), iar cea destinatie publica (46.97.101.240).

cum vad ip din retea cu wireshark

Alte informati importante pe care le poti observa sunt cele de TTL (Time To Live) care are valoarea 128. Acesta este un mecanism folosit pentru a mitiga buclele dintr-o retea. Aceasta numar este decrementat la fiecare hop in parte, in momentul in care atinge valoarea 0, va fi aruncat pachetul. De asemenea, mai apar si alte informatii legate de protocolul de mai sus (Nivelul 4 – TCP), informatii de QoS (Quality of Service).

cum aflu portul unei aplicatii din retea

In ultima categorie apar informatii despre nivelul 4, mai exact (in acest caz) despre TCP. Elementele importante de aici sunt portul sursa (63701) si cel destinatie (443). Mai apar si alte informatii care tin de functionarea corecta a TCP-ului (sau a UDP-ului)- Sequence Nr., ACK nr, Windows Size etc. Pe baza portului destinatie (443), ne putem da seama ca este vorba de traficul web  securizat prin HTTPS. Acest port face parte din categoria port-urilor well known.

Solutie

Tip solutie

Permanent

Voteaza

Up Down
(3 din 7 persoane apreciaza acest articol)
Share
Tweet
Share

Despre Autor

Leave A Comment?