Előadást letölteni
Az előadás letöltése folymat van. Kérjük, várjon
1
Hálózatok monitorozása
Mobil és vezetéknélküli hálózatkezelés Linux és * BSD operációs rendszerek alatt Bokor László BME-HT
2
Áttekintés A hálózati protokoll-analizátorokról röviden
Mi az a Wireshark? Wireshark alapok lipPcap, WinPcap Capture opciók Capture szűrők Display szűrők Adatok elemzése GUI vs. CLI Wireshark CLI eszközei Capture vezeték nélküli környezetben Amire a Wireshark sem képes Összefoglalás Hálózatok monitorozása
3
Hálózati protokoll-analizátor
Számítógép hw/sw, ami lehallgatja és tárolja a hálózat forgalmát Elfogja a csomagokat (capture) és analizálja a tartalmukat A hálózati protokoll-analizátor feladatai: Hibakeresés Hálózati szűk keresztmetszetek felderítése Behatolás-észlelés (intrusion detection) Alkalmazások és szolgáltatások működésének elemzése Hálózatok monitorozása
4
A hálózat-analízis öt lépése
A nyers adatok gyűjtése (capture) A nyers adatok szűrése (filter) Adatból információ Az információ megjelenítése Az információ validálása Kérdések, melyeket tegyünk fel a hálózat-analízis előtt: Milyen információra van szükségem? A kimenet vizualizációja Milyen adatforrásaim vannak a nyers adatok gyűjtéséhez? Az adatforrások kimeneti formátumával legyünk tisztában Milyen eszközök állnak rendelkezésemre? Mire képesek, mik az opciók: manual! Gyakorlat + Tapasztalat + kreativitás! Hálózatok monitorozása
5
Mi az a Wireshark? A wireshark egy hálózati protokoll- és csomag-analizátor Megpróbálja elfogni a hálózaton közlekedő csomagokat és a lehető legtöbb információt tartalmazva megpróbálja megjeleníteni a csomag adatait UNIX és Windows környezet Sniffer, vagyis lehallgató számítógépes program Hasonlít a tcpdump-hoz Fejlett GUI rengeteg szűrési és osztályozó opcióval eWeek” Labs szerint a Wireshark "The Most Important Open-Source Apps of All Time" as of May 2, 2007“ Eredeti szerő: Gerald Combs, Ethereal néven, 1998-ban A Wireshark nevet 2006 júniusában kapta Hálózatok monitorozása
6
Mire jó a Wireshark? Hálózati adminisztrátorok: hibakeresés, problémaelhárítás Biztonsági szakemberek: biztonsági problémák és rések felderítése Fejlesztők: protokoll-implementációk debugja Bárki: hálózat elemzése, protokollok működésének elsajátítása Fontos: A Wireshark nem behatolás-jelző A Wireshark nem képes a hálózaton beavatkozásra, csak mérni és adatot gyűjteni tud róla Hálózatok monitorozása
7
Legfontosabb Wireshark szolgáltatások
„Megérti” a különböző hálózati protokollok felépítését Megjeleníti a beágyazásokat és a protokoll-fejléc szerkezeteket, megmagyarázza szerepüket Csak a pcap könytár által támogatott hálózatokon működőképes Cross-platfrom szoftver: Linux, Mac OS X, Microsoft windows Hálózatok monitorozása
8
libPcap, WinPcap libPcap WinPcap: A Pcap megfelelője
Rendszerfüggetlen interfész csomagok felhasználói szintű elfogására Hordozható keretrendszer alacsonyszintű hálózatmonitorozási célokra Támogatja a hálózati statisztikák gyűjtését, biztonsági monitorozást, hálzat debuggolását, stb. WinPcap: A Pcap megfelelője Szabványos eszköz Windows rendszereken történő link-szintű hozzáférés biztosításához Lehetővé teszi a csomagok elfogását és küldését is Egy speciális illesztőprogram is a része, mely kiegészíti az operációs rendszert és biztosítja az alacsony szintű hálózati hozzáférést Függvénykönyvtár A lipPcap UNIX API windows változatát is tartalmazza Hálózatok monitorozása
9
Wireshark telepítés: Windows
letöltés next, klikk, next, klikk, finish Hálózatok monitorozása
10
Wireshark telepítés: Linux (Ubuntu)
# apt-get install wireshark Hálózatok monitorozása
11
Hogyan szerzek adatot? Capture lehetőségek Capture kikötések Vezetékes
Vezeték nélküli Capture kikötések Hubs Mirrors/Monitors/SPANs Promiscuous mód („válogatás nélkül”) AirPcap ( adat, menedzsment és vezérlő keretek) Hálózatok monitorozása
12
Capture opciók Hálózatok monitorozása
13
Capture szűrők Szintaxis: Pl.:
protokoll, irány, host(s), érték, logikai operátorok, egyéb kifejezések Protokoll ether, fddi, ip, arp, rarp, decnet, lat, sca, moprc, mopdl, tcp and udp. irány src, dst, src and dst, src or dst Logikai operátorok not, and, or Pl.: tcp dst and tcp dst Hálózatok monitorozása
14
Display szűrők Ha nem vagy biztos a dolgodban: jobb klikk Filter Bar
Találd meg a számodra érdekes mezőt, majd építsd fel a szűrőt egy jobb egérkattintással! Filter Bar A Filter bar színekkel jelzi, hogy a megadott kifejezés szintaxisa helyes-e. Zöld: helyes Vörös: helytelen Sárga: kérdéses A legördülő menü a 10 legkorábban megadott szűrési feltételt is felkínálja Hálózatok monitorozása
15
Display szűrő operátorok
display.field.name operator érték eq, == egyenlő ne, != nem egyenlő gt, > nagyobb lt, < kisebb ge, >= nagyobb vagy egyenlő le, <= kisebb vagy egyenlő contains, speciális adatot tartalmaz Kombinálás az and/or segítségével, negálás a NOT-tal Zárójelek használhatók a nagyobb kifejezéseknél
16
Display szűrő példa Don't show me beacons or control frames: "wlan.fc.type_subtype ne 8 and wlan.fc.type ne 1"
17
Display személyre szabása: Oszlopok
A Libpcap PrismAVS vagy Radiotap fejlécekkel látja el a csomagokat, így téve értelmezhetővé az RSSI értéket és a rate információkat WinPcap az AiroPeek NX-et használja: RSSI százalék, rate Mindezt meg is jeleníthetjük az oszlopokban, személyre szabással! Edit Preferences Columns New, name column, select format "IEEE TX Rate" Ugyanezt "IEEE RSSI„-re is Wireshark >= esetében újra se kell indítani a programot és már meg is jelenik az új oszlop az újonnan felvett információkkal!
18
Wireshark Column Preferences menü
19
Display színezése I. A kereteknek sajátságainak megfelelően színeket rendelhetünk a csomagokhoz a csomaglitában Egyszerűén értelmezhető csomaglista, display szűrők működésének gyors elemzése Néhány színezett sor is nagyban segít a nagy capture fájlok elemzésekor! Click View Coloring Rules Nevezd meg a view-t, add meg a display szűrőt, állítsd be az elő- és háttér színeket Az egyedi szabályok elmenthetők
20
Display színezése II. A hibák gyorsan kiszúrhatók, és segítenek a kérdéses csomagokra fókuszálni! Hogyan érdemes? A színezési szabályok ACL-szerűen kerülnek felhasználásra: az első illeszkedő szabály nyer! A szabályok megoszthatók (Import/Export) Ha nincs szükség a színezésre, akkor üres szabályrendszert használj: a fájlok hamarabb betöltődnek így! Hálózatok monitorozása
21
Display makrók WiFi címekhez
A makrók egyszerűsítik a komplex display szűrők használatát többféle címmezőt használ: Source, Destination, Transmitter, Receiver, BSSID "wlan.addr" csak a Source, Destination mezőket tartalmazza Makró: wlanalladdr "(wlan.addr eq $1 or wlan.bssid eq $1 or wlan.ta eq $1 or wlan.ra eq $1)"
22
Adatok elemzése: Statistics>Summary
A statisztikák segítségével egyszerűen felmérhető a mérési környezet Használd a statisztikákat, hogy meghatározd a mérésed fókuszpontjait! Használd a grafikonokat, hogy ellenőrizd a hipotéziseidet! Hálózatok monitorozása
23
Adatok elemzése : Statistics>Protocol Hierarchy
Hálózatok monitorozása
24
Adatok elemzése : Statistics>Conversations
Hálózatok monitorozása
25
Adatok elemzése : Statistics>End Points
Hálózatok monitorozása
26
Adatok elemzése : I/O grafikon
Hálózatok monitorozása
27
Grafikus interpretáció I.
Hálózatok monitorozása
28
Grafikus interpretáció II.
Folyamatok és folyamok (strams) követése – Kiváló szolgáltatás! Hálózatok monitorozása
29
GUI vs. CLI Graphical USER Interface vs. COMMAND Line Interface
GUI -> szolgáltatásgazdag, de “rögzített” funkcionalitás CLI egyéb eszközökkel -> flexibilitás! CLI -> automatikusan ismétlődő feladatokra! CLI-t nem csak akkor használunk, mikor a GUI nem elérhető! Hálózatok monitorozása
30
A Wireshark CLI eszközei
Wireshark CLI eszközök tshark dumpcap editcap mergecap capinfos Egyéb CLI eszközök |, >, for … do … done, `<command>` cut, sort, uniq, tr sed, awk szkriptnyelvek (sh/perl/python/…) Hálózatok monitorozása
31
tshark A Wireshark CLI verziója Hasonló a tcpdump-hoz, de
Állapottartó Bővebb kimeneti opciók Display szűrők dumpcap a capture motor standard opciók: -D, -i, -c, -n, -l, -f, -R, -s, -w, -r névfeloldás (-n) Időbélyegek formátuma (-t<format>) „decode as” (-d tcp.port==8080,http) alapértékek felülírása (-o <pref>:<value>) kimeneti formátumok (-V -T <format>) summary, use of column prefs Verbose (-V), hex dump (-x) dekódolt csomagok formátumának meghatározása: Packet Details Markup Language (-T pdml) mezők (-T fields -E <sep> -e <field1> -e <field2> …) statisztikagyűjtés (-z …) protokoll hierarchia (-qz io,phs) Folyamatok (conversations) (-qz conv,eth , -qz conv,tcp) i/o statisztikák (-qz io,stat,10,ip,icmp,udp,tcp) Hálózatok monitorozása
32
dumpcap (wire|t)shark használja külön is használható
tshark-hoz hasonló opciók, de állapotmentes! (örökké futhat ) gyors! „ring buffer” dumpcap -i 5 -s0 -b filesize: files:1024 -w ring.cap Hálózatok monitorozása
33
capinfos tracefile-ból összegző jelentés készítése
minden információ vs. specifikus információ $ capinfos valami.cap File name: valami.cap File type: Wireshark/tcpdump/... - libpcap File encapsulation: Ethernet Number of packets: 3973 File size: bytes Data size: bytes Capture duration: seconds Start time: Thu Jan 17 11:37: End time: Thu Jan 17 11:58: Data rate: bytes/s Data rate: bits/s Average packet size: bytes Hálózatok monitorozása
34
editcap A capture fájlok manipulálására szolgál
„editcap –h” a barátunk Működés: keret- vagy időtartományok megadása editcap -r valami.cap tmp.cap editcap -A " :40:00" -B " :49:59" valami.cap tmp.cap Fájl darabolása editcap -c valami.cap tmp.cap Hálózatok monitorozása
35
mergecap A capture fájlok összefésülésére szolgál
„mergecap –h” is barátunk Időbélyeg alapú összefésülés mergecap -w out.cap in-1.cap in-2.cap Egyszerű append mergecap -a -w out.cap in-1.cap in-2.cap Hálózatok monitorozása
36
Egyéb CLI eszközök: bash
Parancs csővezeték | ls -1t | head Kimenet átirányítása > ls -1t | head > newfiles.txt Ciklusok for … do … done for word in ‘one’ ‘two’ ‘three’; do echo $word; done parancskiértékelés (``) jelek között for file in `ls -1t | head`; do echo $file; head -1 $file;echo "";done > firstlines.txt Változók értékadása newfile=`echo ${file}.bak` Hálózatok monitorozása
37
Egyéb CLI eszközök: cut, sort, uniq, tr
cut (szövegfájl minden sorából részek eltávolítása) -c (by position) cut -c1-10 /etc/passwd -f [-d ‘<delimiter>’] (by field) cut -d ':‘ -f1 /etc/passwd sort (szövegfájl sorainak rendezése) with no option sort names.txt -r (reverse sorting) sort -r names.txt -n (numerical sort) du -ks * | sort -rn | head uniq (sorismétlések jelentése vagy megszüntetése) with no option sort names.txt | uniq -d (only ‘doubles’) sort names.txt | uniq -d -c (show count) sort names.txt | uniq -c tr (karakterek törlése vagy ) “ ” “_” echo “one two” | tr “ “ “_” -d “\015” cat dosfile.txt | tr –d “\015” > unixfile.txt Hálózatok monitorozása
38
Egyéb CLI eszközök: sed, awk
szkriptnyelv erejű alkalmazások! sed – adatfolyam feldolgozása szűrési és átalakítási célokból awk – mintafelismerő és feldolgozó nyelv Hálózatok monitorozása
39
Sniffing és Capture vezeték nélküli környezetben
A vezeték nélküli környezet komplikált A fizikai réteg kiszámíthatatlansága nehézzé teszi a hibakeresést és felismerést Ezért van szükség a vezeték nélküli forgalom lehallgatására és a csomagok elfogására/elemzésére Nincs szükség authentikációra és hozzáférési privilégiumokra a lehallgatáshoz (osztott közeg!) Hasznos a biztonsági elemzésekhez, audithoz A vezeték nélküli interfészek különböző működési módokat ismernek Master, Managed, Ad-Hoc, Monitor A monitor mód: keretinformációk A managed mód: Ethernet információk Hálózatok monitorozása
40
Managed mód vs. Monitor mód
> tshark -np -i 4 Capturing on Intel(R) PRO/Wireless 2915ABG Network Connection > Oncoming Buddy: thenickde > prelude > aol [ACK] Seq=1 Ack=133 Win=65083 Len=0 > AIM SST, Download Buddy Icon Request :0b:86:01:87:00 -> ff:ff:ff:ff:ff:ff Who has ? Tell Monitor mód (RFMON) > tshark -n -i 2 Capturing on AirPcap N Wireless Capture Device :0b:86:d5:e4:02 -> ff:ff:ff:ff:ff:ff Beacon frame, SN=1297, FN=0, Flags= , BI=100, SSID="ethersphere-voip" :19:7e:b4:fb:47 -> ff:ff:ff:ff:ff:ff Data, SN=1321, FN=0, Flags=.p....F. :13:ce:55:98:ef -> ff:ff:ff:ff:ff:ff Probe Request, SN=350, FN=0, Flags= , SSID=Broadcast[Malformed Packet] > 00:14:bf:0f:03:32 (RA) Acknowledgement, Flags= Hálózatok monitorozása
41
RFMON implementáció A módot az illesztőprogramok határozzák meg
Linux: RFMON támogatott nyílt forráskód! Windows: RFMON nem támogatott nehogy olyasmire használjuk már az eszközt, amit a gyártó nem akar…" Megoldás: Airpcap (CACE Technologies) Egyszerre csak egy csatornán tud hallgatózni Az áthallások a közeli csatornákon utazó adatokat is „belerakhatják” Hálózatok monitorozása
42
Linux – RFMON mód beállítása I.
iwconfig – vezeték nélküli paraméterek konfigurálása ifconfig - IP cím, up/down, stb. Használhatjuk Centrino, HostAP, RealTek, RTL, Prism54, new Mac80211, és MADWIFI-old illesztők esetében iwconfig wlan0 mode monitor channel 1 iwconfig wlan0 | grep Mode Mode:Monitor Frequency:2.412GHz Access Point: 00:00:00:00:00:00 ifconfig wlan0 | grep HWaddr wlan0 Link encap:UNSPEC HWaddr F1-0E-51-1F
43
Linux – RFMON mód beállítása II.
MADWIFI-NG kártyákhoz a “wlanconfig” szükséges (create/destroy) Szülő/gyermek referenciákat használ a wifi0 (szülő) és a tetszőlegesen létrehozott gyermek eszközök (pl. ath0) kezeléséhez Monitor mód csak akkor használható, ha nincs más internfész Az összes gyermek interfészre ki kell adni a "destroy" parancsot wlanconfig ath0 destroy wlanconfig ath0 create wlandev wifi0 wlanmode monitor ath0 ifconfig ath0 up iwconfig ath0 | grep Mode Mode:monitor Frequency:2.412 GHz Access Point: 00:00:00:00:00:00
44
Linux – RFMON mód beállítása III.
Madwifi-NG eléggé “válogatós” ha monitor módról van szó Elvileg lehetésges a managed + monitor vagy a master + monitor kombináció, de a gyakorlat mást mutat Monitor módban nem kedveli a csatornák között váltást A “nem kedveli” azt jelenti, hogy megáll az adatok közlése pár percre, mindenféle ésszerű ok nélkül Illesztőprogram újratöltése, mint csodamódszer “autocreate=none” rmmod ath_pci modprobe ath_pci autocreate=none
45
AP hiba- Authentikációs algoritmus nem támogatott
46
Amire a Wireshark sem képes
Nem tud térképet készíteni a hálózatról Nem képes csomagok injektálására, generálására: Passzív eszköz! Csak azokat a protokollokat képes részletezni, melyekre fel van készítve! Csak olyan adatot képes elfogni, amit az OS\Interface\Interface driver támogat Pl. vezetéknélküli környezetben! Hálózatok monitorozása
47
Összefoglalás A Wireshark valóban nélkülözhetetlen mindenki számára, aki a hálózatok működésével foglalkozik, bármilyen szinten! Hibakeresés és elemzés A Display és Capture szűrők nagy potenciállal bíró eszközök! A hatékony alkalmazás gyakorlatot igényel, de kifizetődik! Hálózatok monitorozása
48
Felhasznált források, irodalom
Wireless Sniffing with Wireshark Wireshark irodalomgyűjtemény: Sharkfest előadások:
49
Bokor László BME-HT goodzi@mcl.hu
Köszönöm a figyelmet! Bokor László BME-HT
Hasonló előadás
© 2024 SlidePlayer.hu Inc.
All rights reserved.