Curriculum KBB

Appearance

On this page

Wireshark a Tcpdump

Nyní se dostáváme do sekce síťových útoků, u kterých naším cílem většinou není dostat se do cílového zařízení, ale chceme nějákým způsobem zařídit aby data z cizích počítačů chodily i nám, tedy abychom i mohli číst například hesla, které uživatel posílá. Pokud se nám toto podaří, musíme však být schopni data přečíst, jelikož síťové data jsou jen jedničky a nuly poslané sériově, existuje na to spousta programů, ale primárně se používají dva programy, wireshark a tshark.

Wireshark

Wireshark je nástroj na analýzu síťového provozu, pokud ho máte stažený, stačí rozkliknout .pcap, .cap nebo jiný soubor se zaznamenaným provozem, případně přes soubor > otevřít najděte soubor který chcete zobrazit. Pokud otevření souboru bylo úspěšné, zobrazí se vám 3 podokna, jedno připomínající list, (většinou plný růzdně barevných záznamů) informační menu, kde jsou vidět jednotlivé síťové vrstvy a obsah jejich hlaviček a poslední menu, kde je hexdump dat, vybraného záznamu, jednotlivé 1 a 0 reprezentované v 16 matematické soustavě, tedy 0-9 a-f.

Používání programu je celkem jednoduché, nebudu zajíždět do nějáké hloubky, na vše se dá přijít po chvíli používání, vždy v listu packetů najdete ten, jehož detaily si chcete zobrazit, rozkliknete si ho a v levém dolním podmenu s detaily o packetu si můžete přečíst více informací, jako odkud kam směřuje, jaké data v něm jsou atd.

Pokud ještě nemáte zaznamenaný žádný síťový provoz, je možné ho zaznamenat kliknutím ploutve, v levém horním rohu. Pokud zaznamenávání není možné, je nutné uživatele přidat do skupiny wireshark, záleží na vaší distribuci.

Tcpdump

Ikdyž wireshark má i terminálový nástroj (tshark), na serverech se asi spíše setkáte s nástrojem tcpdump, bohužel nemám dostatek zkušeností na vysvětlení analýzy v terminálu, ale můžeme zaznamenat síťový provoz do pcap souboru, který můžete stáhnout a zobrazit v uživatelském rozhraní wiresharku.

bash
doas tcpdump -w zaznam.pcap -i eth0

tento příkaz vytvori soubor zaznam.pcap. (soubor se vší komunikací na zařízení eth0 za dobu co tcpdump běžel) Zaznamenávání ukončíme pomocí ctrl+C.

Shrnutí

  • Někdy po provedení útoku musíme analyzovat síťovou komunikaci zaznamenanou během útoku
  • Analyzovat síťovou komunikaci můžeme v uživatelském rozhraní pomocí nástroje wireshark
  • Analýza je možná i pomocí terminálových nástrojů jako tcpdump nebo tshark (terminálový wireshark)
  • Většina nástrojů na analýzu komunikace ji umí i zaznamenávat a ukládat