SOFTWARE

SOFTWARE

62

PC

 

Format

 

6/2007

Istnieją  dwie  techniki  prowadze-

nia  nasłuchu  sieciowego.  Starsza 

jest  oparta  na  założeniu,  że  wszyst-

kie  komputery  w  sieci  korzystają 

z tego samego połączenia lokalnego 

i  ze  wszystkich  można  obserwować 

ruch  w  całej  sieci,  co  ma  miej-

sce,  gdy  komputery  są  połączone 

za  pośrednictwem  koncentrato-

rów  (hubów).  W  takim  przypadku 

program  do  monitorowania  ruchu 

(sniffer) wyłącza filtrowanie pakietów 

w  karcie  sieciowej,  wprowadzając  ją 

w  tzw.  tryb  nasłuchu  (ang.  promis- 

cuous mode). Tym samym interfejs 

sieciowy  wybranego  komputera 

przechwytuje  wszystkie  pakiety 

krążące  w  danej  sieci.  Dane  po 

przechwyceniu  mogą  być  poddane 

dalszej  analizie  celem  wyłowienia  

z  zalewu  pakietów  poufnych  infor-

macji,  takich  jak  hasła  dostępowe 

czy  nazwy  kont  użytkowników.

Obecnie  komputery  są  łączone 

poprzez tzw. przełączniki (ang. swit-

ches).  W  takim  przypadku  wprowa-

dzenie  karty  sieciowej  komputera  

w tryb nasłuchu nie daje możliwo-

ści przechwytywania całego ruchu, 

lecz  tylko  pakietów  adresowanych 

do  danego  komputera.  Jednak  na-

wet  w  takim  przypadku  działający 

w tle program przechwytujący może 

monitorować  pracę  w  sieci  różnych 

osób  zalogowanych  na  komputerze 

i  posłużyć  do  wyłowienia  nazwy 

użytkownika  i  haseł  dostępowych 

do  usług  sieciowych.

CD 6/2007

Grupa:  INTERNET

Wireshark  0.99.5

darmowy sniffer (program do śledze-

nia  ruchu  w  sieci)

Podsłuchiwanie sieci lokalnych

Ú

Sposób śledzenia ruchu przebiegającego w sieci lokalnej

Do monitorowania ruchu w sieci wykorzystamy 

program Wireshark – darmowy, a zarazem jeden 

z najpopularniejszych analizatorów protokołów.

 

Instalacja programu Wireshark

1

 

Uruchom program instalacyjny Wireshark 

znajdujący się na naszym krążku (np. kli-

kając dwukrotnie ikon-

kę 

n

.

2

 

W oknie kreatora instalacji kliknij przycisk 

, następnie 

, potem jeszcze 

trzykrotnie 

, a następnie 

.

3

 

Rozpocznie się kopiowanie plików i insta-

lacja sterowników przechwytywania sieci 

(WinPcap). Sterowniki te są domyślnie instalo-

wane jako program i w tej formie ze sniffera 

może korzystać tylko użytkownik o uprawnie-

niach administratorskich. Na ekranie pojawi się 

ekran kreatora instalacji sterowników WinPcap. 

Kliknij 

.

4

 

Kliknij 

 jeszcze dwukrotnie, po 

czym kliknij 

. Po przekopiowaniu 

sterowników kliknij 

.

Komputer podłączony do sieci wymienia ze światem mnóstwo danych. Chcesz 

wiedzieć, jakie to dane? Skorzystaj z programu do śledzenia ruchu w sieci.

 

Techniki nasłuchu

Sniffing to inaczej monitorowanie 

komunikacji sieciowej. Taki moni-

toring polega na przechwytywaniu 

pakietów krążących w sieci, a na-

stępnie ich analizowaniu. Dlatego 

zaawansowane sniffery są niekiedy 

nazywane analizatorami protoko-

łów. Podsłuchując sieć, można się 

przekonać, jak łatwo jest podejrzeć 

wiele przesyłanych danych, m.in. 

adresy odwiedzanych stron, dane 

wpisywane w formularzach na stro-

nach WWW czy nawet nazwy użyt-

kowników i przyporządkowane im 

hasła, np. do poczty e-mailowej.

www.pcformat.pl/ocena

Ú

Oceń  lub  skomentuj  na

5

 

Powrócisz do kreatora instalacji programu 

Wireshark. Kliknij 

, a następnie 

. Program wraz ze sterownikami został 

zainstalowany.

 

Pierwsze uruchomienie 

i konfiguracja przechwytywania

1

 

Uruchom program Wireshark, wybierając 

jego skrót z menu 

.

2

 

Zanim rozpoczniesz monitorowanie ruchu 

sieciowego, musisz wskazać programowi 

kartę sieciową, za której pomocą mają być prze-

chwytywane pakiety. W programie Wireshark 

da się to zrobić na dwa sposoby. Możesz wskazać 

kartę sieciową na czas jednej sesji przechwyty-

wania  albo  ustawić  kartę  sieciową  jako  stały 

interfejs przechwytywania.

3

 

Jeżeli chcesz wskazać kartę sieciową tyl-

ko na czas 

jednej sesji pro-

gramu, w oknie 

głównym kliknij 

ikonę 

List  the 

available capture interfaces…

 

n

.

4

 

Zobaczysz okno 

, 

w którym wymienione zostaną wszystkie wy-

kryte na danym komputerze interfejsy siecio-

we (karty sieciowe, modemy, karty Wi-Fi itd.). 

Jeżeli  chcesz  rozpocząć  przechwytywanie  za 

pomocą wybranej karty, wystarczy kliknąć przy-

cisk 

 znajdujący się po prawej stronie okna 

w wierszu z nazwą danej karty. Aby przerwać 

przechwytywanie, wciśnij kombinację klawiszy  

[Ctrl+E]

.

5

 

Gdy chcesz ustawić na stałe wybraną kar-

tę sieciową jako interfejs przechwytywania, 

wybierz z menu 

 pozycję 

.

6

 

W oknie 

 na liście 

kategorii znajdującej się po lewej stronie 

okna zaznacz 

. Następnie rozwiń listę 

, klikając przycisk ze strzałką 

,  

i wybierz kartę sieciową. Kliknij 

, by 

potwierdzić nowe ustawienia. Dalsze wskazówki 

dotyczące programu Wireshark będą się opierać 

na założeniu, że ustawiłeś na stałe kartę sieciową, 

za pomocą której program ma przechwytywać 

ruch sieciowy.

Sniff znaczy węszyć

Podsluchiwanie sieci_1.indd   62

2007-04-25   15:56:54

Certyfikacja PitStop - Wydawnictwo BAUER

Podsłuchiwanie sieci lokalnych

Przechwytywanie za pomocą programu Wire-

shark możesz wykonać na kilka sposobów. My 

przedstawimy dwa: przechwytywanie pełne oraz 

przechwytywanie z włączonym filtrowaniem.

 

Pełne przechwytywanie

1

 

W 

głów-

nym  oknie 

programu kliknij 

ikonę 

Start a new 

live capture

 

n

.

2

 

W centralnej części okna pojawią się trzy 

panele przechwytywania, w których są wy-

pisywane dane dotyczące wyławianych z sieci 

pakietów. Jeżeli w momencie rozpoczęcia prze-

chwytywania nie jest uruchomiona na kompu-

terze żadna aplikacja czy usługa korzystająca 

z sieci, nic się nie będzie pojawiało. O aktywno-

ści sniffera będzie świadczył jedynie zapis na 

pasku stanu – 

.

3

 

Wystarczy, że włączysz przeglądarkę WWW, 

program pocztowy czy jakąkolwiek inną apli-

kację, która korzysta z sieci, by panel przechwyty-

wania zaczął się szybko wypełniać informacjami 

o pakietach. Przyjrzyj się tabeli pakietów: 

Krótkie wyjaśnienie poszczególnych kolumn:

 – numer przechwyconego pakietu, numera-

cja rozpoczyna się od momentu włączenia prze-

chwytywania,

 – czas względny danego pakietu (liczony 

w  sekundach  od  rozpoczęcia  przechwytywa-

nia),

 – adres IP źródła (skąd pakiet został wy-

słany),

 – adres IP celu (dokąd pakiet trafia),

 – protokół, jaki został wykorzystany pod-

czas przesłania danego pakietu,

 – dodatkowe informacje o pakiecie; tutaj 

znajdziesz m.in. numery portów (wyjściowy–wej-

ściowy), typ pakietu (np. ACK – oznacza pakiet 

potwierdzający, SYN – synchronizacyjny itp.).

4

 

Pod listą pakietów znajduje się panel, w któ-

rym są bardziej szczegółowe informacje 

o aktualnie zaznaczonym pakiecie na liście pa-

kietów:

5

 

Ostatni panel umieszczony w dolnej części 

okna zawiera po prostu każdy bajt danego 

pakietu: 

Przydatny trik: jeżeli w panelu środkowym za-

znaczysz jakieś pole (wiersz), to na panelu dolnym 

program zaznaczy fragment pakietu odpowia-

dający zaznaczonemu polu.

Ú

Jak przechwytywać ruch sieciowy

6

 

Już wiesz, jak przechwytywać cały ruch 

sieciowy. Czas na przechwytywanie filtro-

wane.

 

Przechwytywanie z filtrem

1

 

Jeżeli nie chcesz przechwytywać każdego 

pakietu, który trafił do twojego komputera 

lub został z niego wysłany, wystarczy, że odpo-

wiednio odfiltrujesz pakiety. 

W tym celu musisz ustawić 

parametry przechwytywania. 

Kliknij ikonę 

Show the cap-

ture options… 

n

.

2

 

W oknie 

 kliknij 

przycisk 

.

3

 

Zobaczysz okno 

,  

w którym z listy 

 możesz wybrać jeden 

z predefiniowanych filtrów. Na przykład, jeżeli 

chcesz, by rejestrowane były tylko pakiety zwią-

zane  z  ko-

rzystaniem 

z 

WWW, 

zaznacz  na 

liście 

n

 

i kliknij przy-

cisk  

. Dzięki temu możliwe będzie śle-

dzenie haseł i innych danych wprowadzanych 

przez użytkownika komputera w formularzach 

na nieszyfrowanych stronach WWW. 

4

 

Jeżeli interesują cię tylko wywołania DNS 

(czyli pakiety wysyłane wtedy, kiedy ktoś 

w pasku adresowym przeglądarki wpisuje adres 

strony internetowej), musisz utworzyć nowy filtr. 

W  tym  celu  kliknij 

,  a  następnie  w  polu 

 wpisz 

dns

. i wciśnij z klawiatury 

[En-

ter],

 by potwierdzić utworzenie filtra.

5

 

Powrócisz do okna z opcjami przechwy-

tywania. Zanim rozpoczniesz przechwy-

tywanie, warto jeszcze określić warunki jego 

zakończenia. W zależności od tego, które pole 

w sekcji 

 zaznaczysz, przechwyty-

wanie może się zakończyć po przesłaniu okre-

ślonej liczby pakietów, określonej ilości danych 

lub po ściśle określonym czasie 

n

. 

Przechwytywanie  rozpoczynasz  kliknięciem 

przycisku 

. Od tej pory pakiety będą 

przechwytywane wg zadanych wcześniej kryte-

riów filtrowania. Dane niepasujące do filtra będą 

automatycznie przez program odrzucane.

RE

KL

AM

A

Podsluchiwanie sieci_1.indd   63

2007-04-25   15:57:06

Certyfikacja PitStop - Wydawnictwo BAUER