Loading…

Flash Player 9 (or above) is needed to view presentations.
We have detected that you do not have it on your computer. To install it, go here.

Like this document? Why not share!

Wireshark sniffer – שיעור ראשון – הכרת הממשק

on

  • 8,258 views

 

Statistics

Views

Total Views
8,258
Views on SlideShare
8,242
Embed Views
16

Actions

Likes
1
Downloads
125
Comments
0

2 Embeds 16

http://www.the-fountainhead.net 15
http://www.slideshare.net 1

Accessibility

Categories

Upload Details

Uploaded via as Adobe PDF

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

    Wireshark sniffer – שיעור ראשון – הכרת הממשק Wireshark sniffer – שיעור ראשון – הכרת הממשק Document Transcript

    • ‫‪ – Wireshark Sniffer‬שיעור ראשון – הכרת הממשק‬‫מדריך זה הוכן בהתוויות הספר ‪2007 J.F. Kurose, ,Computer Networking: A Topdown Approach, 4th edition‬‬ ‫‪ .K.W. Ross‬מטרת מדריך זה היא לתת הכרה בסיסית של העבודה עם הממשק של תוכנת ה- ‪.Wireshark‬‬ ‫הקדמה‬‫פתגם סיני עתיק אומר:" ‪.“Tell me and I forget. Show me and I remember. Involve me and I understand‬‬‫מטרת ה- ‪ Sniffer‬הוא למעשה להוריד את כל הידע התיאורטי העמוס על פרוטוקולי ‪ IP/TCP‬ולהראות לחניכים כיצד הדברים‬‫עובדים באמת ואפילו לתת להם לשחק ולחקור בעצמם איך הדברים מתרחשים באמת מעבר להמחשות שאנחנו מנסים‬‫לעשות עם טוש ולוח או אפילו עם ה- ‪ .Packet Tracer‬אנו ממליצים על שילוב העבודה עם ‪ Wireshark‬בצורה בסיסית כבר‬‫אחרי שהחניכים מכירים את מודל ה - ‪ OSI‬ו- ‪ ,TCP/IP‬וכמובן, רצוי מאוד להשתמש בכלי זה בשיעורים על אפליקציות שונות‬ ‫של בפרוטוקול זה.‬ ‫מהו ה- ‪ Sniffer‬ומיהו ה- ‪?Wireshark‬‬‫שמו של הכלי הזה למעשה מדמה את התוכנה למעין "מסניף" של כל התעבורה העוברת ברשת. קיימים סוגים רבים של‬‫‪ ,Sniffers‬ה- ‪ Sniffer‬החינמי של ‪ Wireshark‬הוא כלי תוכנתי פאסיבי אשר מעתיק את תוכן ה- ‪ Frames‬העוברים במחשב‬‫עליו אתם מרי צים אותו מכרטיס רשת מסוים אותו תבחרו, היות והוא רק מעתיק, לא נפגעים קבלה או שידור של הודעות‬‫‪ TCP/IP‬השונות והמחשב ממשיך לעבוד כרגיל. ה - ‪ Wireshark‬פותח את ה- ‪ Frames‬אותם הוא מעתיק ולמעשה מציג לנו את‬ ‫תוכנן ברמות השונות, מה שמאפשר לנו לצפות בתכונות רבות של פרוטוקול ה- ‪.TCP/IP‬‬ ‫כפי שניתן לראות באיור, ‪ Sniffer‬מורכב למעשה משני מרכיבים:‬ ‫1. ‪ – Packet Capture‬או בקיצור ‪ ,pcap‬תפקידו לבצע‬ ‫העתקה של ה- ‪ Frame‬שעובר דרך כרטיס הרשת. לרב ,‬ ‫המחשבים איתם נעבוד יחוברו לרשת באמצעות‬ ‫‪ Ethernet LAN‬ומעשה ההעתקה תהיה של ‪Ethernet‬‬ ‫‪ Frame‬כולל העתקה של כל ‪Encapsulated Date‬‬ ‫שבתוכו.‬ ‫2. ‪ – Packet Analyzer‬לאחר קבלת תוכן זה, ה- ‪Analyzer‬‬ ‫למעשה מחלק את המידע לפרוטוקולים השונים ברמות‬ ‫השונות ולמעשה מכיר את תוכנו העמוק של כל‬ ‫פרוטוקול – כך לדוגמא תוכלו לצפות בתכונות ה- ‪TCP‬‬‫לעומת ה- ‪ UDP‬ע"י חקירת ה- ‪ Sequence Numbering‬או להכיר את הפקודות השונות של ‪ HTTP‬כמו ‪Post ,Get‬‬ ‫וכן הלאה.‬‫באופן עקרוני ניתן לומר שה- ‪ Wireshark‬הוא ‪ Analyzer‬שמשתמש ב- ‪ pcap‬שאנחנו מייצרים על המחשב שלנו. להלן כמה‬ ‫לינקים שימושיים:‬‫להורדת התוכנה - ‪ http://www.wireshark.org/download.html‬במשך ההתקנה יותקן אצלכם כלי הנקרא‬ ‫‪‬‬ ‫‪ WinPCap‬שהוא למעשה ה- ‪.Packet Capture‬‬ ‫המדריך לעבודה עם התוכנה - ‪/http://www.wireshark.org/docs/wsug_html_chunked‬‬ ‫‪‬‬ ‫דפי עזר - ‪/http://www.wireshark.org/docs/man-pages‬‬ ‫‪‬‬ ‫שאלות ותשובות - ‪http://www.wireshark.org/faq.html‬‬ ‫‪‬‬
    • ‫הכרת ממשק ה- ‪Wireshark‬‬ ‫עם טעינת התוכנה, ייפתח ה- ‪ . GUI‬באופן עקרוני, בפתיחת התוכנה לא יופיע מידע באף אחד מהחלונות אותם תראו.‬‫‪ – Commands Menu‬שורה זו מכילה מספר אפשרויות שניתן לבצע באמצעות התוכנה לדוגמא ב- ‪ File‬נוכל‬ ‫1.‬‫לשמור קובץ ‪ pcap‬או לטעון קובץ ששמרנו בעבר, כמו כן בתפריט ה- ‪ Capture‬ניתן להתחיל "העתקה" של ה-‬ ‫‪( Frame‬יצירת קובץ ‪ pcap‬זמני ) מממשקי הרשת הקיימים במחשב.‬‫‪ – Packet-listing window‬בחלון זה יופיעו בסדר רץ כל ה- ‪ Frames‬אותן העתיק ה - ‪ .pcap‬לגבי כל אחד מהם‬ ‫2.‬‫ניתן לראות גם מתי הוא התקבל, מה כתובת ה- ‪ IP‬של המקור ושל היעד, מהו הפרוטוקול וכן מידע מעט מעמיק‬ ‫י ותר על סוג ההודעה. ניתן לבצע סינון על פי כל אחד מעמודות אלו על ידי לחיצה על כותרתה.‬‫‪ – Packet-header details window‬בבחירת ‪ Frame‬מתוך ‪ ,Packet-listing window‬יופיע בשדה זה פירוט‬ ‫3.‬‫לגבי כל הרמות של אותו ‪ Capture‬החל מרמת ה - ‪ Frame‬ועד ה- ‪ ,Application‬ניתן ללחוץ על ה - + ולקבל מידע‬‫מפורט יותר לדוגמא לקבל מידע על שדות נוספות ב- ‪ ,Frame‬לצפות בתוכן ההודעה הספציפית בפרוטוקול ‪HTTP‬‬ ‫וכן הלאה..‬‫‪ – Packet-contents window‬מציג את כל תוכן ה - ‪ Frame‬על כל הרמות השונות בצופן בינארי או ‪.HEX‬‬ ‫4.‬ ‫בבחירת רמה מסוימת בחלון ה - ‪ Packet-head‬יודגש החלק הרלוונטי בתוך ה- ‪.Packet-contents‬‬‫‪ – Filter field‬במידה וביצענו ‪ Capture‬למספר גדול מאוד של ‪ ,Frames‬ניתן לבצע סינון בשדה זה, לדוגמא אם‬ ‫5.‬‫אנחנו מחפשים רק את מה שקשור לפרוטוקול ה- ‪ ,ARP‬נוכל לרשום זאת ב- ‪ Filter‬ולקבל רק את ה- ‪Frames‬‬ ‫הרלוונטיים לפרוטוקול זה.‬
    • ‫‪Getting Started‬‬ ‫1. פתחו את הדפדפן בו אתם נוהגים להשתמש (וודאו כי אתם מצליחים לבצע גלישה לאתר כלשהו).‬‫2. פתחו את תוכנת ה- ‪ ,Wireshark‬חלון ה - ‪ listing of captured packets‬אותו אתם אמורים לראות יהיה ריק‬ ‫לחלוטין, תחילה כאמור לא יופיע כלום היות ולא יצרנו ‪.pcap‬‬ ‫3. ליצירת ‪ ,Capture‬כנסו לתפריט זה, ובתת התפריט ‪ ,Options‬מה שאמור לפתוח לכם את החלון הבא:‬‫בחלון זה ניתן להגדיר הגדרות שונות הקשורות ל- ‪ ,Capture‬אותנו בשלב זה יעניינו רק ה- ‪ Interface‬בו עליכם‬‫לבחור את כרטיס הרשת עליו אתם רוצים לבצע חקירה. כמו כן הסירו את ה- ‪ v‬משדה ‪ Options‬תחת ‪Hide‬‬ ‫‪.capture info dialog‬‬ ‫שימו לב, במידה ובחרתם בכרטיס רשת אלחוטי, עליכם להסיר את –‪ v‬מהשורה‬ ‫‪.Capture packets in promiscuous mode‬‬ ‫4. עם לחיצה על כפתור ‪ Start‬תתחיל להתבצע העתקה של ה- ‪ Frame‬שיופיעו בשדות‬ ‫הרלוונטיים. בחלון הראשי, כמו כן עם לחיצה על ה- ‪ Start‬יופיע החלון המופיע כאן‬ ‫בצד שמאל.‬ ‫בחלון זה ניתן לראות כמה ‪ Frames‬הועתקו מכל פרוטוקול, נניח אם היינו רוצים‬ ‫לחקור ‪ ,ARP‬היינו ממשיכים לבצע את ההקלטה או אפילו להתערב ע"י שליחת ‪Ping‬‬ ‫מהמחשב שלנו לתחנה אחרת ב- ‪ LAN‬על מנת לאלץ פעולת ‪ ARP‬שתוקלט ותנותח.‬ ‫לאחר שהופיעו מספיק אלמנטים על פי מה שנרצה לחקור, נלחץ על ‪.Stop‬‬ ‫-‬ ‫הבא‬ ‫‪URL‬‬ ‫ה-‬ ‫על‬ ‫לחצו‬ ‫‪Frame‬‬ ‫של‬ ‫העתקה‬ ‫מבצעים‬ ‫5. בעודכם‬ ‫-‪http://gaia.cs.umass.edu/wireshark-labs/INTRO-wireshark‬‬ ‫‪ file1.html‬לאחר מכן שהאתר עלה לחלוטין לחצו על ‪.Stop‬‬‫6. לאחר שסיימתם, יופיעו במסך הראשי העתקות ‪ Frame‬רבות שהצליחה התוכנה להקליט. כמו שתוכלו לראות ה-‬ ‫‪ Frame‬יהיו מסוגים רבים בינהם יהיו גם הודעות אל שרת ה - ‪.gaia.cs.umass.edu‬‬ ‫7. כדי לחפש רק את הודעות ‪ http‬תוכלו להשתמש בשורת הסינון, לחצו שם ‪ http‬ולאחר מכן על ‪.Apply‬‬
    • ‫חפשו את הודעת ה- ‪ Get‬אל שרת ה - ‪ ,HTTP‬הם תוכלו לנחש למה משמשת פקודה זו?‬ ‫א.‬‫מהי כתובת ה- ‪ IP‬של שרת ה- ‪ HTTP‬אליו נגשתם? אמתו זאת על ידי שליחת ‪ Ping‬אל כתובת זו באמצעות‬ ‫ב.‬ ‫המחשב שלכם.‬‫מהם כתובות ה- ‪ MAC‬של המקור והיעד? מיהו ה- ‪ MAC‬אשר מופיע ב- ‪ Source‬של ‪ Frame‬זה? אמתו זאת‬ ‫ג.‬ ‫על ידי הפקודה ‪ Arp –a‬במחשב שלכם.‬ ‫מהם כתובות ה- ‪ IP‬במקור וביעד?‬ ‫ד.‬ ‫באיזה פרוטוקול נעשה שימוש ברמת האפליקציה? איזה פרוטוקול ברמת התעבורה?‬ ‫ה.‬ ‫איזה ‪ Source Port‬פתח המחשב שלכם בבקשה זו? מהו ‪ Port‬היעד?‬ ‫ו.‬‫איזה פרוטוקול נדרש כדי לייבא את כתובת ה- ‪ IP‬של שרת ה - ‪ HTTP‬אליו גלשתם? בצעו סינון על פי‬ ‫ז.‬ ‫פרוטוקול זה.‬‫מה כתובת השרת שמספק את שירות זה? כיצד ידע ה - ‪ PC‬שלכם לבצע בקשה זו? אמתו את כתובת שרת‬ ‫ח.‬ ‫זה עם הפלט של פקודת ‪ ipconfig/all‬במחשב שעליו אתם עובדים.‬‫בהמשך לשאלה הקודמת, איזה פרוטוקול ברמה 4 היה בשימוש וכן מהם מספרי הפורטים של המקור‬ ‫ט.‬‫והיעד בשליחת הבקשה מהמחשב שלכם לשרת זה? איך נקראת הודעת הבקשה של פרוטוקול זה? איך‬ ‫נקראת התגובה לבקשה זו על פי הפרוטוקול?‬ ‫כמו כן מהם כתובות ה- ‪ MAC‬של המקור והיעד? האם הן זהות לתשובתכם לשאלה ב? האם זה הגיוני?‬ ‫י.‬ ‫בצעו שמירה של קובץ זה על ידי תפריט ‪.File‬‬ ‫יא.‬