Az előadás letöltése folymat van. Kérjük, várjon

Az előadás letöltése folymat van. Kérjük, várjon

Hálózatok monitorozása Mobil és vezetéknélküli hálózatkezelés Linux és * BSD operációs rendszerek alatt Bokor László BME-HT

Hasonló előadás


Az előadások a következő témára: "Hálózatok monitorozása Mobil és vezetéknélküli hálózatkezelés Linux és * BSD operációs rendszerek alatt Bokor László BME-HT"— Előadás másolata:

1 Hálózatok monitorozása Mobil és vezetéknélküli hálózatkezelés Linux és * BSD operációs rendszerek alatt Bokor László BME-HT

2 Hálózatok monitorozása2 Áttekintés  A hálózati protokoll-analizátorokról röviden  Mi az a Wireshark?  Wireshark alapok –lipPcap, WinPcap –Capture opciók –Capture szűrők –Display szűrők  Adatok elemzése  GUI vs. CLI  Wireshark CLI eszközei  Capture vezeték nélküli környezetben  Amire a Wireshark sem képes  Összefoglalás

3 Hálózatok monitorozása3 Hálózati protokoll-analizátor  Számítógép hw/sw, ami lehallgatja és tárolja a hálózat forgalmát  Elfogja a csomagokat (capture) és analizálja a tartalmukat  A hálózati protokoll-analizátor feladatai: –Hibakeresés –Hálózati szűk keresztmetszetek felderítése –Behatolás-észlelés (intrusion detection) –Alkalmazások és szolgáltatások működésének elemzése

4 A hálózat-analízis öt lépése  A nyers adatok gyűjtése (capture)  A nyers adatok szűrése (filter)  Adatból információ  Az információ megjelenítése  Az információ validálása  Kérdések, melyeket tegyünk fel a hálózat-analízis előtt: –Milyen információra van szükségem? A kimenet vizualizációja –Milyen adatforrásaim vannak a nyers adatok gyűjtéséhez? Az adatforrások kimeneti formátumával legyünk tisztában –Milyen eszközök állnak rendelkezésemre? Mire képesek, mik az opciók: manual!  Gyakorlat + Tapasztalat + kreativitás! Hálózatok monitorozása4

5 Mi az a Wireshark?  A wireshark egy hálózati protokoll- és csomag-analizátor  Megpróbálja elfogni a hálózaton közlekedő csomagokat és a lehető legtöbb információt tartalmazva megpróbálja megjeleníteni a csomag adatait  UNIX és Windows környezet  Sniffer, vagyis lehallgató számítógépes program  Hasonlít a tcpdump-hoz  Fejlett GUI rengeteg szűrési és osztályozó opcióval  eWeek” Labs szerint a Wireshark "The Most Important Open- Source Apps of All Time" as of May 2, 2007“  Eredeti szerő: Gerald Combs, Ethereal néven, 1998-ban  A Wireshark nevet 2006 júniusában kapta Hálózatok monitorozása5

6 Mire jó a Wireshark?  Hálózati adminisztrátorok: hibakeresés, problémaelhárítás  Biztonsági szakemberek: biztonsági problémák és rések felderítése  Fejlesztők: protokoll-implementációk debugja  Bárki: hálózat elemzése, protokollok működésének elsajátítása  Fontos: –A Wireshark nem behatolás-jelző –A Wireshark nem képes a hálózaton beavatkozásra, csak mérni és adatot gyűjteni tud róla Hálózatok monitorozása6

7 Legfontosabb Wireshark szolgáltatások  „Megérti” a különböző hálózati protokollok felépítését  Megjeleníti a beágyazásokat és a protokoll-fejléc szerkezeteket, megmagyarázza szerepüket  Csak a pcap könytár által támogatott hálózatokon működőképes  Cross-platfrom szoftver: Linux, Mac OS X, Microsoft windows Hálózatok monitorozása7

8 libPcap, WinPcap  libPcap –Rendszerfüggetlen interfész csomagok felhasználói szintű elfogására –Hordozható keretrendszer alacsonyszintű hálózatmonitorozási célokra –Támogatja a hálózati statisztikák gyűjtését, biztonsági monitorozást, hálzat debuggolását, stb.  WinPcap: A Pcap megfelelője –Szabványos eszköz Windows rendszereken történő link-szintű hozzáférés biztosításához –Lehetővé teszi a csomagok elfogását és küldését is –Egy speciális illesztőprogram is a része, mely kiegészíti az operációs rendszert és biztosítja az alacsony szintű hálózati hozzáférést –Függvénykönyvtár –A lipPcap UNIX API windows változatát is tartalmazza Hálózatok monitorozása8

9 Wireshark telepítés: Windows  letöltés  next, klikk, next, klikk, finish Hálózatok monitorozása9

10 Wireshark telepítés: Linux (Ubuntu)  # apt-get install wireshark Hálózatok monitorozása10

11 Hogyan szerzek adatot?  Capture lehetőségek –Vezetékes –Vezeték nélküli  Capture kikötések –Vezetékes Hubs Mirrors/Monitors/SPANs –Vezeték nélküli Promiscuous mód („válogatás nélkül”) AirPcap ( adat, menedzsment és vezérlő keretek) Hálózatok monitorozása11

12 Capture opciók Hálózatok monitorozása12

13 Capture szűrők  Szintaxis: –protokoll, irány, host(s), érték, logikai operátorok, egyéb kifejezések –Protokoll ether, fddi, ip, arp, rarp, decnet, lat, sca, moprc, mopdl, tcp and udp. –irány src, dst, src and dst, src or dst –Logikai operátorok not, and, or  Pl.: –tcp dst and tcp dst Hálózatok monitorozása13

14 Display szűrők  Ha nem vagy biztos a dolgodban: jobb klikk –Találd meg a számodra érdekes mezőt, majd építsd fel a szűrőt egy jobb egérkattintással!  Filter Bar –A Filter bar színekkel jelzi, hogy a megadott kifejezés szintaxisa helyes-e. Zöld: helyes Vörös: helytelen Sárga: kérdéses –A legördülő menü a 10 legkorábban megadott szűrési feltételt is felkínálja Hálózatok monitorozása14

15 Display szűrő operátorok  display.field.name operator érték eq, == egyenlő ne, != nem egyenlő gt, > nagyobb lt, < kisebb ge, >= nagyobb vagy egyenlő le, <= kisebb vagy egyenlő contains, speciális adatot tartalmaz  Kombinálás az and/or segítségével, negálás a NOT-tal  Zárójelek használhatók a nagyobb kifejezéseknél

16 Display szűrő példa Don't show me beacons or control frames: "wlan.fc.type_subtype ne 8 and wlan.fc.type ne 1"

17 Display személyre szabása: Oszlopok  A Libpcap PrismAVS vagy Radiotap fejlécekkel látja el a csomagokat, így téve értelmezhetővé az RSSI értéket és a rate információkat  WinPcap az AiroPeek NX-et használja: RSSI százalék, rate  Mindezt meg is jeleníthetjük az oszlopokban, személyre szabással!  Edit  Preferences  Columns –New, name column, select format "IEEE TX Rate" –Ugyanezt "IEEE RSSI„-re is  Wireshark >= esetében újra se kell indítani a programot és már meg is jelenik az új oszlop az újonnan felvett információkkal!

18 Wireshark Column Preferences menü

19 Display színezése I.  A kereteknek sajátságainak megfelelően színeket rendelhetünk a csomagokhoz a csomaglitában –Egyszerűén értelmezhető csomaglista, display szűrők működésének gyors elemzése  Néhány színezett sor is nagyban segít a nagy capture fájlok elemzésekor!  Click View  Coloring Rules –Nevezd meg a view-t, add meg a display szűrőt, állítsd be az elő- és háttér színeket  Az egyedi szabályok elmenthetők

20 Display színezése II. Hálózatok monitorozása20  A hibák gyorsan kiszúrhatók, és segítenek a kérdéses csomagokra fókuszálni!  Hogyan érdemes? –A színezési szabályok ACL-szerűen kerülnek felhasználásra: az első illeszkedő szabály nyer! –A szabályok megoszthatók (Import/Export) –Ha nincs szükség a színezésre, akkor üres szabályrendszert használj: a fájlok hamarabb betöltődnek így!

21 Display makrók WiFi címekhez  A makrók egyszerűsítik a komplex display szűrők használatát  többféle címmezőt használ: Source, Destination, Transmitter, Receiver, BSSID  "wlan.addr" csak a Source, Destination mezőket tartalmazza  Makró: wlanalladdr "(wlan.addr eq $1 or wlan.bssid eq $1 or wlan.ta eq $1 or wlan.ra eq $1)"

22 Adatok elemzése: Statistics>Summary  A statisztikák segítségével egyszerűen felmérhető a mérési környezet  Használd a statisztikákat, hogy meghatározd a mérésed fókuszpontjait!  Használd a grafikonokat, hogy ellenőrizd a hipotéziseidet! Hálózatok monitorozása22

23 Adatok elemzése : Statistics>Protocol Hierarchy Hálózatok monitorozása23

24 Adatok elemzése : Statistics>Conversations Hálózatok monitorozása24

25 Adatok elemzése : Statistics>End Points Hálózatok monitorozása25

26 Adatok elemzése : I/O grafikon Hálózatok monitorozása26

27 Grafikus interpretáció I. Hálózatok monitorozása27

28 Grafikus interpretáció II. Hálózatok monitorozása28  Folyamatok és folyamok (strams) követése – Kiváló szolgáltatás!

29 GUI vs. CLI  Graphical USER Interface vs. COMMAND Line Interface  GUI -> szolgáltatásgazdag, de “rögzített” funkcionalitás  CLI egyéb eszközökkel -> flexibilitás!  CLI -> automatikusan ismétlődő feladatokra!  CLI-t nem csak akkor használunk, mikor a GUI nem elérhető! Hálózatok monitorozása29

30 A Wireshark CLI eszközei  Wireshark CLI eszközök –tshark –dumpcap –editcap –mergecap –capinfos  Egyéb CLI eszközök –|, >, for … do … done, ` ` –cut, sort, uniq, tr –sed, awk –szkriptnyelvek (sh/perl/python/…) Hálózatok monitorozása30

31 tshark  A Wireshark CLI verziója  Hasonló a tcpdump-hoz, de –Állapottartó –Bővebb kimeneti opciók –Display szűrők  dumpcap a capture motor  standard opciók: -D, -i, -c, -n, -l, -f, -R, -s, -w, -r  névfeloldás (-n)  Időbélyegek formátuma (-t )  „decode as” (-d tcp.port==8080,http)  alapértékek felülírása (-o : )  kimeneti formátumok (-V -T )  summary, use of column prefs  Verbose (-V), hex dump (-x)  dekódolt csomagok formátumának meghatározása: Packet Details Markup Language (-T pdml)  mezők (-T fields -E -e -e …)  statisztikagyűjtés (-z …)  protokoll hierarchia (-qz io,phs)  Folyamatok (conversations) (-qz conv,eth, -qz conv,tcp)  i/o statisztikák (-qz io,stat,10,ip,icmp,udp,tcp) Hálózatok monitorozása31

32 dumpcap  (wire|t)shark használja  külön is használható  tshark-hoz hasonló opciók, de állapotmentes! (örökké futhat )  gyors!  „ring buffer” –dumpcap -i 5 -s0 -b filesize: files:1024 -w ring.cap Hálózatok monitorozása32

33 capinfos  tracefile-ból összegző jelentés készítése  minden információ vs. specifikus információ Hálózatok monitorozása33 $ capinfos valami.cap File name: valami.cap File type: Wireshark/tcpdump/... - libpcap File encapsulation: Ethernet Number of packets: 3973 File size: bytes Data size: bytes Capture duration: seconds Start time: Thu Jan 17 11:37: End time: Thu Jan 17 11:58: Data rate: bytes/s Data rate: bits/s Average packet size: bytes

34 editcap  A capture fájlok manipulálására szolgál  „editcap –h” a barátunk  Működés: –keret- vagy időtartományok megadása editcap -r valami.cap tmp.cap editcap -A " :40:00" -B " :49:59" valami.cap tmp.cap –Fájl darabolása editcap -c 1000 valami.cap tmp.cap Hálózatok monitorozása34

35 mergecap  A capture fájlok összefésülésére szolgál  „mergecap –h” is barátunk  Időbélyeg alapú összefésülés –mergecap -w out.cap in-1.cap in-2.cap  Egyszerű append –mergecap -a -w out.cap in-1.cap in-2.cap Hálózatok monitorozása35

36 Egyéb CLI eszközök: bash  Parancs csővezeték | –ls -1t | head  Kimenet átirányítása > –ls -1t | head > newfiles.txt  Ciklusok for … do … done –for word in ‘one’ ‘two’ ‘three’; do echo $word; done  parancskiértékelés (``) jelek között –for file in `ls -1t | head`; do echo $file; head -1 $file;echo "";done > firstlines.txt  Változók értékadása –newfile=`echo ${file}.bak` Hálózatok monitorozása36

37 Egyéb CLI eszközök: cut, sort, uniq, tr  cut (szövegfájl minden sorából részek eltávolítása) –-c (by position)cut -c1-10 /etc/passwd –-f [-d ‘ ’] (by field) cut -d ':‘ -f1 /etc/passwd  sort (szövegfájl sorainak rendezése) –with no optionsort names.txt –-r (reverse sorting)sort -r names.txt –-n (numerical sort)du -ks * | sort -rn | head  uniq (sorismétlések jelentése vagy megszüntetése) –with no optionsort names.txt | uniq –-d (only ‘doubles’)sort names.txt | uniq -d –-c (show count)sort names.txt | uniq -c  tr (karakterek törlése vagy ) –“ ” “_”echo “one two” | tr “ “ “_” –-d “\015”cat dosfile.txt | tr –d “\015” > unixfile.txt Hálózatok monitorozása37

38 Egyéb CLI eszközök: sed, awk  szkriptnyelv erejű alkalmazások! –sed – adatfolyam feldolgozása szűrési és átalakítási célokból –awk – mintafelismerő és feldolgozó nyelv Hálózatok monitorozása38

39 Sniffing és Capture vezeték nélküli környezetben  A vezeték nélküli környezet komplikált –A fizikai réteg kiszámíthatatlansága nehézzé teszi a hibakeresést és felismerést  Ezért van szükség a vezeték nélküli forgalom lehallgatására és a csomagok elfogására/elemzésére  Nincs szükség authentikációra és hozzáférési privilégiumokra a lehallgatáshoz (osztott közeg!)  Hasznos a biztonsági elemzésekhez, audithoz  A vezeték nélküli interfészek különböző működési módokat ismernek  Master, Managed, Ad-Hoc, Monitor  A monitor mód: keretinformációk  A managed mód: Ethernet információk Hálózatok monitorozása39

40 Managed mód vs. Monitor mód Hálózatok monitorozása40 > tshark -np -i 4 Capturing on Intel(R) PRO/Wireless 2915ABG Network Connection > Oncoming Buddy: thenickde > prelude > aol [ACK] Seq=1 Ack=133 Win=65083 Len= > AIM SST, Download Buddy Icon Request :0b:86:01:87:00 -> ff:ff:ff:ff:ff:ff Who has ? Tell > tshark -n -i 2 Capturing on AirPcap N Wireless Capture Device :0b:86:d5:e4:02 -> ff:ff:ff:ff:ff:ff Beacon frame, SN=1297, FN=0, Flags= , BI=100, SSID="ethersphere-voip" :19:7e:b4:fb:47 -> ff:ff:ff:ff:ff:ff Data, SN=1321, FN=0, Flags=.p....F :13:ce:55:98:ef -> ff:ff:ff:ff:ff:ff Probe Request, SN=350, FN=0, Flags= , SSID=Broadcast[Malformed Packet] > 00:14:bf:0f:03:32 (RA) Acknowledgement, Flags= Managed mód Monitor mód (RFMON)

41 RFMON implementáció  A módot az illesztőprogramok határozzák meg  Linux: RFMON támogatott –nyílt forráskód!  Windows: RFMON nem támogatott –nehogy olyasmire használjuk már az eszközt, amit a gyártó nem akar…" –Megoldás: Airpcap (CACE Technologies) –Egyszerre csak egy csatornán tud hallgatózni Az áthallások a közeli csatornákon utazó adatokat is „belerakhatják” Hálózatok monitorozása41

42 Linux – RFMON mód beállítása I.‏  iwconfig – vezeték nélküli paraméterek konfigurálása  ifconfig - IP cím, up/down, stb.  Használhatjuk Centrino, HostAP, RealTek, RTL, Prism54, new Mac80211, és MADWIFI-old illesztők esetében iwconfig wlan0 mode monitor channel 1 iwconfig wlan0 | grep Mode Mode:Monitor Frequency:2.412GHz Access Point: 00:00:00:00:00:00 ifconfig wlan0 | grep HWaddr wlan0 Link encap:UNSPEC HWaddr F1-0E-51-1F

43 Linux – RFMON mód beállítása II.‏  MADWIFI-NG kártyákhoz a “wlanconfig” szükséges (create/destroy)  Szülő/gyermek referenciákat használ a wifi0 (szülő) és a tetszőlegesen létrehozott gyermek eszközök (pl. ath0) kezeléséhez  Monitor mód csak akkor használható, ha nincs más internfész –Az összes gyermek interfészre ki kell adni a "destroy" parancsot wlanconfig ath0 destroy wlanconfig ath0 create wlandev wifi0 wlanmode monitor ath0 ifconfig ath0 up iwconfig ath0 | grep Mode Mode:monitor Frequency:2.412 GHz Access Point: 00:00:00:00:00:00

44 Linux – RFMON mód beállítása III.  Madwifi-NG eléggé “válogatós” ha monitor módról van szó –Elvileg lehetésges a managed + monitor vagy a master + monitor kombináció, de a gyakorlat mást mutat –Monitor módban nem kedveli a csatornák között váltást –A “nem kedveli” azt jelenti, hogy megáll az adatok közlése pár percre, mindenféle ésszerű ok nélkül –Illesztőprogram újratöltése, mint csodamódszer “autocreate=none” rmmod ath_pci modprobe ath_pci autocreate=none

45 AP hiba- Authentikációs algoritmus nem támogatott

46 Amire a Wireshark sem képes  Nem tud térképet készíteni a hálózatról  Nem képes csomagok injektálására, generálására: Passzív eszköz!  Csak azokat a protokollokat képes részletezni, melyekre fel van készítve!  Csak olyan adatot képes elfogni, amit az OS\Interface\Interface driver támogat –Pl. vezetéknélküli környezetben! Hálózatok monitorozása46

47 Összefoglalás  A Wireshark valóban nélkülözhetetlen mindenki számára, aki a hálózatok működésével foglalkozik, bármilyen szinten!  Hibakeresés és elemzés  A Display és Capture szűrők nagy potenciállal bíró eszközök!  A hatékony alkalmazás gyakorlatot igényel, de kifizetődik! Hálózatok monitorozása47

48 Felhasznált források, irodalom  Wireless Sniffing with Wireshark –http://www.willhackforsushi.com/books/377_eth_2e_06.pdfhttp://www.willhackforsushi.com/books/377_eth_2e_06.pdf  Wireshark irodalomgyűjtemény: –http://wiki.wireshark.org/Presentations  Sharkfest előadások: –http://www.cacetech.com/SHARKFEST.08/ –http://www.cacetech.com/sharkfest.09/

49 Köszönöm a figyelmet! Bokor László BME-HT


Letölteni ppt "Hálózatok monitorozása Mobil és vezetéknélküli hálózatkezelés Linux és * BSD operációs rendszerek alatt Bokor László BME-HT"

Hasonló előadás


Google Hirdetések