Előadást letölteni
Az előadás letöltése folymat van. Kérjük, várjon
1
WireShark - Forgalom elemzés
Ingyenes forgalom elemző eszköz: Ha nincs fent a gépen, akkor töltsük le a Portable verziót! Telepítésnél a forgalomszűrésére alkalmas modul telepítéséhez adminisztrátori jogok szükségesek.
2
Wireshark Szűrő megadása (Display filter)
Csomagok a felvett forgalomban A kiválasztott csomag protokoll-fejléc információi PDU-k A csomag tartalma hexadecimális és ASCII formátumban
3
Felvett forgalom elemzése
Display filter Korábban rögzített forgalom utólagos elemzésére, részek kiszűrésére használható Szintakszis általánosan:
4
Display filter - Protocol
ip, tcp, dns, ssh, http … Expression… gombra kattintva láthatjuk a teljes listát VAGY Help->Supported protocols
5
Display filter String1, String2: Összehasonlító operátorok
A protokoll mezőire is rákérdezhetünk Megadásuk opcionális és a protokolltól függő A teljes lista Expression… gomb alatt Összehasonlító operátorok ==,!=,>=,<=,>,<,eq,ne,ge,le,gt,lt Logikai kifejezések &&, ||, ^^, !, and, or, xor, not
6
Pédák: http || dns || icmp ip.addr==10.0.0.1
Megjeleníti a http, dns és icmp forgalom csomagjait ip.addr== Olyan csomagok, ahol a cél vagy forrás IP címe ip.src!= && ip.dst== Olyan ip csomagok, ahol a címzett a és a forrás nem es IP címmel rendelkezik tcp.port==53 Olyan tcp kapcsolatok, ahol vagy a küldő vagy a fogadó az 53-as portot használja
7
Példák: tcp.dstport==25 tcp.flags tcp.flags.syn==1
http contains "js.yimg.com"
8
Feladat - sample3.pcap: Hány udp csomag szerepel a felvételben?
Adja meg, hogy az első http kapcsolat mely webes tartalom elérését szolgálja? Sikerül a belépés az oldalra? Kideríthetők-e a felhasználó adatai? Username, password Adja meg azokat a csomagokat, melyek esetén a keret hossza kisebb mint 100 Byte vagy pontosan 618! Szűkítse a lekérdezést azokra a csomagokra, melyek a tcp es portját használják!
Hasonló előadás
© 2024 SlidePlayer.hu Inc.
All rights reserved.