WireShark - Forgalom elemzés

Az előadások a következő témára: "WireShark - Forgalom elemzés"— Előadás másolata:

1 WireShark - Forgalom elemzés
Ingyenes forgalom elemző eszköz: Ha nincs fent a gépen, akkor töltsük le a Portable verziót! Telepítésnél a forgalomszűrésére alkalmas modul telepítéséhez adminisztrátori jogok szükségesek.

2 Wireshark Szűrő megadása (Display filter)
Csomagok a felvett forgalomban A kiválasztott csomag protokoll-fejléc információi PDU-k A csomag tartalma hexadecimális és ASCII formátumban

3 Felvett forgalom elemzése
Display filter Korábban rögzített forgalom utólagos elemzésére, részek kiszűrésére használható Szintakszis általánosan:

4 Display filter - Protocol
ip, tcp, dns, ssh, http … Expression… gombra kattintva láthatjuk a teljes listát VAGY Help->Supported protocols

5 Display filter String1, String2: Összehasonlító operátorok
A protokoll mezőire is rákérdezhetünk Megadásuk opcionális és a protokolltól függő A teljes lista Expression… gomb alatt Összehasonlító operátorok ==,!=,>=,<=,>,<,eq,ne,ge,le,gt,lt Logikai kifejezések &&, ||, ^^, !, and, or, xor, not

6 Pédák: http || dns || icmp ip.addr==10.0.0.1
Megjeleníti a http, dns és icmp forgalom csomagjait ip.addr== Olyan csomagok, ahol a cél vagy forrás IP címe ip.src!= && ip.dst== Olyan ip csomagok, ahol a címzett a és a forrás nem es IP címmel rendelkezik tcp.port==53 Olyan tcp kapcsolatok, ahol vagy a küldő vagy a fogadó az 53-as portot használja

7 Példák: tcp.dstport==25 tcp.flags tcp.flags.syn==1
http contains "js.yimg.com"

8 Feladat - sample3.pcap: Hány udp csomag szerepel a felvételben?
Adja meg, hogy az első http kapcsolat mely webes tartalom elérését szolgálja? Sikerül a belépés az oldalra? Kideríthetők-e a felhasználó adatai? Username, password Adja meg azokat a csomagokat, melyek esetén a keret hossza kisebb mint 100 Byte vagy pontosan 618! Szűkítse a lekérdezést azokra a csomagokra, melyek a tcp es portját használják!