Introducció

• http://www.howtoforge.com/network-analysis-with-wireshark-on-ubuntu-9.10
• http://www.wireshark.org/docs/wsug_html_chunked/

Instal.lació

$ sudo apt-get install wireshark

$ sudo wireshark

Com que tcpdump s'ha d'executar com a root, també ho haurem de fer amb wireshark.

Desenvolupament

Wireshark és ben fàcil d'utilitzar. Bàsicament el que hem de veure és que les diferents opcions que teníem amb tcpdump ara les tenim de forma gràfica, i que ara és molt més fàcil interpretar els paquets, així com aplicar filtres.

Per tant, el primer que has de fer és jugar una estona amb el wireshark per familiaritzar-te amb les diferents opcions. Bàsicament has de clicar sobre el primer botó (available interfaces), mirar que eth1 està activa, escollir les opcions que vulguis (hi ha filtres predefinits, escollir un fitxer de captura), i Start.

Una pràctica típica és veure la diferència entre telnet i SSH a nivell de seguretat. En el cas de Telnet la informació viatja per la xarxa sense encriptar i pots veure el login i el password en text pla.

Telnet

Concretament, com a pràcticament veurem que telnet no és un protocol segure i que les dades de quan fem telnet viatgen sense encriptar a través de la xarxa.

En el wireshark, en la casella Filter posem: telnet.

Fem login al nostre servidor de telnet, i ens demana el login i el password.

$ telnet 192.168.1.131
login: joan
password:

A Wireshark hem capturat múltiples paquets. Podem fer doble click sobre els paquets, i anar al final de tot on posa Data. Aquí surt la informació rellevant. Encara que sigui una mica engorrós, encadenant els bytes, podràs veure el login i el password amb què t'has logat a la sessió de telnet.

Truco per fer més fàcil la pràctica:

Telnet sends characters one by one, that's why you don't see the username/password straight away. But with "Follow TCP Stream", wireshark will put all data together and you will be able to see the username/password. Just rightclick on a packet of the telnet session and choose: "Follow TCP Stream".

SSH

Ara farem el mateix amb SSH. Si no tens instal.lat el servidor de SSH, ara és el moment de fer-ho:

$ sudo apt-get install ssh

Des d'una altra màquina pots realitzar una connexió al teu servidor SSH. La forma més fàcil:

$ ssh joan@192.168.1.131
password:

i ara quan mires la informació rebuda amb el wireshark és totalment críptic:

(Oah.O0Dx..jb3.$...#{....Wgi=z.}'C1I|..}.i...^.......NF..T.p.f....KQa.Q`T..s2.....d..R..x.D8n.r|..........l.....0..r.y.&)'.......}G`.u..z......j.P1..-0.."..Q....$....[.;.......c...`mo.A..!.c1uY
.q...X...........y.....q.@...-..T.eQQ../.xy5..........lOI..m...5.!1.L?......x6..Hc.M....?nq.........G..._....A9.;1
.7..aA.a..7..p.'...A-.k..q..#b(Ay.j.=/..............r.
 i..l......)...)/..l.....$;.k.,F..a.....]BN.._Q.(..]....t..P....Y..70.....,..#c.0.....{.9......<.o......).t7..m...^.[.......?.wQ...H;U.H...Y..'.....0..........[X.N.&w.....-...?..eR.......N....^.....)1.e...
.6..^.7.8...PJ.}.j.G...>.....w....._....].....Y +.MT..4.6.%...n.-..P-}#.Ta.6\.....J....z..|..#......\.?.....
&...&.:.'..Bq.U,...=.S....|.>.....Ii.....OWF..r.L....7....g....64v...,.O..h.....,t..g.
PhLo.r7PD.S...
F...g...).i.Z.......PK<F......6.y\.^..@._..x..M.'..z....e)..|........p.....B9.H=.=m...Q...'..5.:.k...T.B.N..kj.
p....T..E{.`......?...2.r..p....#o..$?.N~m.......;.U. E..A...H.~%..'...cA.._.{*.r.>.j.;......FB/...gj...I...C....Q2.....^.......N..\PR..Y.d...^._.,..w...W6#..8e......]...$.9u.=U..{.D.&M...xr0...dC......R#....C.~...>`.W.%....<...cu..s?Dd....xQ........0.u.q.'..,..angd._...E#....J.......6.+O.....+_...t..W.1}...(.'.^..CQ.>..{....!o.;!}....F>.......1md.o.,...a...${~...`Q..6\.:..y.r.k

Entrega

Els diferents protocols que tens disponibles per fer les pràctiques són http (80), https (recorda la pràctica que vam fer en l'assignatura IAW, https://www.sad.org), SSH, Telnet, mysql,... i d'altres. Com a mínim hauràs de fer:

• capturar paquets provinents d'una consulta que facis a Google.
• captura d'una sessió telnet (descobrir el password)
• captura d'una sessió SSH (password encriptat)
• captura d'un paquet ICMP (ping)

# tcpdump icmp

Recorda la normativa per entregar les pràctiques al Moodle: ASIX-M11-SAD#Normativa_d.27entrega_de_les_pr.C3.A0ctiques_al_Moodle

creat per Joan Quintana Compte, novembre 2011