Sniffing dengan Wireshark

WIRESHARK
Version : 2.0 @ 2007 J.F. Kurose, K.W. Ross. All Rights Reserved

Pemahaman protokol jaringan dapat diperdalam dengan "melihat protokol dalam aksi" dan " bermain-main dengan protokol-protokol " - mengamati urutan pesan yang dipertukarkan antara dua entitas protokol, menyelidiki ke dalam rincian operasi protokol, dan melakukan tindakan tertentu terhadap protokol kemudian mengamati tindakan ini serta akibat-akibatnya. Hal ini dapat dilakukan dalam simulasi skenario atau dalam sebuah "nyata" lingkungan jaringan seperti Internet. Java applet yang menyertai teks ini mengambil pendekatan pertama.
Dalam praktik pertama Wireshark ini, kami akan mengambil pendekatan yang terakhir. Anda akan menjalankan berbagai aplikasi jaringan dalam skenario yang berbeda dengan menggunakan komputer di meja Anda, di rumah, atau di laboratorium. Anda akan mematuhi protokol jaringan di komputer Anda "beraksi," berinteraksi dan bertukar pesan dengan mengeksekusi entitas protokol di tempat lain di Internet. Dengan demikian, Anda dan komputer Anda akan menjadi bagian integral dari "hidup" laboratorium. Anda akan mengamati, dan Anda akan belajar, dengan melakukan. Alat dasar untuk mengamati pesan yang dipertukarkan antar entitas protokol dinamakan packet sniffer. Seperti namanya, sebuah packet sniffer menangkap ( "mengendus") pesan-pesan yang dikirim / diterima dari / oleh komputer Anda, melainkan juga akan biasanya menyimpan dan atau menampilkan isi dari berbagai pesan dalam bidang protokol diambil. Sebuah packet sniffer itu sendiri adalah pasif. Itu mengamati pesan-pesan yang dikirim dan diterima oleh aplikasi dan protokol yang berjalan di komputer Anda, tapi tidak pernah mengirim paket itu sendiri. Demikian pula, paket yang diterima tidak pernah secara eksplisit ditujukan kepada packet sniffer. Sebaliknya, sebuah packet sniffer menerima salinan dari paket-paket yang dikirim / diterima dari / oleh aplikasi dan protokol mengeksekusi pada mesin Anda.
Versi laboratorium ini menggunakan paket Ethereal analyzer. Bulan Mei 2006, pengembang Ethereal bergabung dengan sebuah perusahaan baru, dan harus meninggalkan Ethereal ® merek dagang di belakang. Dia kemudian menciptakan Wiresharknetwork Protokol Analyzer, pengganti Ethereal ®. Sejak Ethereal ® tidak lagi aktif atau dikembangkan, dengan demikian kita beralih ke lab Wireshark dengan edisi ke-4 teks kami. Figure 1 menunjukkan struktur dari sebuah packet sniffer.
Di sebelah kanan Figure 1 adalah protokol (dalam hal ini, Internet protokol) dan aplikasi (seperti browser web atau ftp klien) yang biasanya dijalankan di komputer Anda. Sniffer paket, yang ditunjukkan dalam persegi panjang putus-putus pada Figure 1 yang merupakan tambahan perangkat lunak yang biasa di komputer Anda, dan terdiri dari dua bagian.
Perpustakaan capture paket menerima salinan dari setiap link-lapisan frame yang dikirimkan dari atau diterima oleh komputer Anda. Ingat dari (Figure 1, 202) pesan yang dipertukarkan oleh protokol lapisan yang lebih tinggi seperti HTTP, FTP, TCP, UDP, DNS, atau IP semua pada akhirnya akan dikemas dalam bingkai link-lapisan yang ditularkan melalui media fisik seperti kabel Ethernet.
Dalam Figure 1, yang diasumsikan media fisik adalah Ethernet, dan sehingga semua protokol lapisan atas pada akhirnya akan dikemas dalam sebuah frame Ethernet. Menangkap semua link-layer frame sehingga memberikan anda semua pesan yang dikirim / diterima dari / oleh semua protokol dan aplikasi yang dijalankan di komputer Anda.
Komponen kedua dari sebuah paket paket sniffer analyzer, yang menampilkan isi dari semua field dalam sebuah protocol pesan.
Untuk melakukannya paket analyzer harus “memahami” struktur dari semua pesan yang dipertukarkan oleh protokol.
Sebagai contoh, misalkan kita tertarik untuk menampilkan berbagai bidang dalam pesan yang dipertukarkan oleh protokol HTTP dalam Figure 1.

Analisa paket memahami format frame Ethernet, dan sehingga dapat mengidentifikasi IP datagram dalam sebuah frame Ethernet. Ini juga memahami format datagram IP, sehingga dapat mengambil segmen TCP di dalam IP datagram. Akhirnya, ia mengerti struktur segmen TCP, sehingga dapat mengekstrak pesan HTTP yang terkandung dalam segmen TCP. Akhirnya, ia mengerti protokol HTTP dan begitu, misalnya, tahu bahwa byte pertama dari sebuah pesan HTTP akan berisi string "GET", "POST", atau "HEAD," seperti ditunjukkan pada Figure 2.8 dalam teks.
Kita akan menggunakan Ethereal packet sniffer [http://www.wireshark.org/] untuk lab ini, memungkinkan kita untuk menampilkan isi dari pesan-pesan yang dikirim / diterima dari / oleh protokol pada tingkatan yang berbeda dari stack protokol. (Secara teknis, Ethereal adalah penganalisa paket yang menggunakan capture paket perpustakaan di komputer Anda).

Ethereal adalah penganalisa protokol jaringan bebas yang berjalan pada Windows, Linux / Unix, dan Mac komputer. Itu analisa paket yang ideal untuk laboratorium kita – itu adalah stabil, memiliki basis pengguna besar dan terdokumentasi dengan baik dukungan yang meliputi user-guide (http://www.wireshark/docs/wsug_html_chunked/), halaman manual (http:///www/wireshark.org/docs/man-pages/), dan rinci FAQ (http://www.wireshark.org/faq.html), kaya fungsionalitas yang mencakup kemampuan untuk menganalisis ratusan protokol, dan dirancang dengan baik user interface. It beroperasi di komputer dengan menggunakan Ethernet, Token-Ring, FDDI, serial (PPP dan SLIP), 802.11 wireless LAN, dan koneksi ATM (jika OS yang berjalan itu memungkinkan Wireshark untuk melakukannya). Mendapatkan Wireshark Untuk menjalankan Ethereal, Anda akan perlu memiliki akses ke komputer yang mendukung bothWireshark dan WinPCap libpcap capture paket atau perpustakaan. Libpcap perangkat lunak yang akan diinstal untuk Anda, jika tidak diinstal dalam sistem operasi Anda, ketika anda menginstal Wireshark ..


Menjalankan Wireshark
Ketika Anda menjalankan program Wireshark, yang Wireshark antarmuka pengguna grafis yang ditunjukkan pada Figure 2 akan de ditampilkan. Awalnya, tidak ada data yang akan ditampilkan dalam berbagai jendela.

Wireshak memiliki lima komponen utama :
  1. Perintah standar menu pull-down menu yang terletak di bagian atas jendela. Menarik bagi kita sekarang adalah menu File dan Capture. Menu File memungkinkan Anda untuk menyimpan data paket yang diambil atau membuka file yang berisi data paket yang diambil sebelumnya, dan keluar dari aplikasi Wireshark. Menu Capture memungkinkan Anda untuk memulai capture paket.
  2. The window packet-listing menampilkan ringkasan satu baris untuk setiap paket yang diambil, termasuk nomor paket (yang diberikan oleh Wireshark, ini bukan nomor paket yang terkandung dalam header protokol), waktu di mana paket tertangkap, paket sumber dan alamat tujuan, jenis protokol, dan protokol-informasi spesifik yang terdapat dalam paket. Daftar paket dapat diurutkan sesuai dengan salah satu kategori dengan mengklik nama kolom. Tipe protokol daftar tingkat tertinggi protokol yang mengirim atau menerima paket ini, yaitu protokol yang merupakan sumber atau tenggelam utama paket ini.
  3. paket-header jendela rincian memberikan rincian tentang paket yang dipilih (disorot) dalam daftar paket jendela. (Untuk memilih paket dalam paket listing jendela, tempatkan kursor di atas paket satu baris ringkasan dalam paket listing jendela dan klik dengan tombol kiri mouse.). Rincian tersebut termasuk informasi tentang frame Ethernet (dengan asumsi paket telah dikirim / receiverd atas antarmuka Ethernet) dan IP datagram yang berisi paket ini. Jumlah Ethernet dan IP-lapisan ditampilkan detail dapat diperluas atau dikurangi oleh mengklik plus atau minus kotak ke kiri dari frame Ethernet atau IP datagram baris dalam rincian paket jendela. Jika paket telah dilakukan atas TCP atau UDP, TCP atau UDP rincian juga akan ditampilkan, yang dapat juga dapat diperluas atau diminimalkan. Akhirnya, rincian tentang tingkat tertinggi protokol yang dikirim atau menerima paket ini juga disediakan.
  4. isi paket-jendela menampilkan seluruh isi dari frame yang diambil, dalam kedua ASCII dan format heksadesimal.
  5. Menjelang atas Wireshark antarmuka pengguna grafis, adalah paket tampilan bidang penyaring, ke sebuah protokol yang nama atau informasi lain dapat dimasukkan dalam untuk menyaring informasi yang ditampilkan pada window packet-listing (dan karenanya packet-header dan isi paket-jendela). Pada contoh di bawah ini, kami akan menggunakan paket-tampilan bidang penyaring untuk memiliki Wireshark menyembunyikan (tidak menampilkan) paket kecuali orang-orang yang sesuai dengan pesan HTTP.

Wireshark untuk Run Test
Cara terbaik untuk belajar tentang setiap bagian dari perangkat lunak baru adalah dengan mencobanya! Kita akan berasumsi bahwa komputer Anda terhubung ke Internet melalui kabel antarmuka Ethernet. Lakukan berikut :
  1. Start up web browser favorit Anda, yang akan menampilkan situs yang dipilih.
  2. Start up software Ethereal. Anda akan melihat sebuah jendela awalnya mirip dengan yang ditunjukkan dalamFigure 2, kecuali bahwa tidak ada paket data yang akan ditampilkan dalam packetlisting, paket-header, atau isi paket-jendela, karena Wireshark belum dimulai menangkap paket-paket.
  3. Untuk mulai meng-capture paket, pilih Capture menu pull down lalu pilih Pilihan. Hal ini akan menyebabkan "Wireshark: Capture Options" jendela yang akan ditampilkan, seperti yang ditunjukkan pada Figure 3.
  4. Anda dapat menggunakan sebagian besar nilai-nilai default di jendela ini, tapi jangan centang "Sembunyikan menangkap info dialog" di bawah Display Options. Antarmuka jaringan (misalnya, koneksi fisik) bahwa komputer Anda ke jaringan akan ditampilkan dalam Interface menu pull down di bagian atas jendela Pilihan Capture. Apabila komputer Anda memiliki lebih dari satu antarmuka jaringan aktif (misalnya, jika Anda memiliki nirkabel dan koneksi kabel Ethernet), Anda akan perlu untuk memilih antarmuka yang sedang digunakan untuk mengirim dan menerima paket (mungkin sebagian besar antarmuka kabel) . Setelah memilih antarmuka jaringan (atau menggunakan antarmuka default dipilih oleh Wireshark), klik Mulai. Capture paket sekarang akan mulai - semua paket yang dikirim / diterima dari / oleh komputer Anda sekarang sedang ditangkap oleh Wireshark!

  5. Setelah Anda mulai capture paket, capture paket ringkasan sebuah jendela akan muncul, seperti ditunjukkan padaFigure 4. Jendela ini meringkaskan jumlah paket dari berbagai jenis yang sedang ditangkap, dan (penting!) Berisi tombol Stop yang akan memungkinkan Anda untuk menghentikan capture paket. Jangan berhenti meng-capture paket belum.

  6. Sementara Wireshark sedang berjalan, masukkan URL: http://gaia.cs.umass.edu/wireshark-labs/INTRO-wireshark-file1.html dan memiliki halaman yang ditampilkan dalam browser Anda. Untuk menampilkan halaman ini, browser akan menghubungi server HTTP di gaia.cs.umass.edu dan pertukaran message HTTP dengan server untuk men-download halaman ini, seperti yang dibahas dalam bagian 2.2 dari teks. Frame Ethernet yang berisi pesan HTTP ini akan ditangkap oleh Ethereal.

  7. Setelah browser Anda menampilkan INTRO-file1.html wireshark-halaman, berhenti Wireshark capture paket dengan memilih berhenti di capture Wireshark jendela. Hal ini akan menyebabkan jendela capture Wireshark menghilang dan jendela Wireshark utama untuk menampilkan semua paket yang diambil sejak Anda mulai capture paket. Wireshark utama jendela harus sekarang terlihat seperti Figure 2. Anda sekarang memiliki hidup data paket yang berisi semua pesan protokol dipertukarkan antara komputer Anda dan entitas jaringan lainnya! Pertukaran message HTTP dengan server web gaia.cs.umass.edu akan muncul di suatu tempat di daftar paket yang diambil. Tetapi akan ada berbagai jenis paket ditampilkan juga (lihat, misalnya, banyak jenis protokol yang berbeda ditampilkan dalam kolom Protokol pada Figure 2). Meskipun satu-satunya tindakan yang Anda ambil adalah untuk men-download halaman web, ada jelas banyak protokol lain yang berjalan pada komputer Anda yang tidak terlihat oleh pengguna. Kita akan belajar lebih banyak tentang protokol-protokol ini seperti yang kita kemajuan melalui teks! Untuk sekarang, Anda harus saja menyadari bahwa ada lebih sering terjadi daripada "bertemu di mata"!

  8. Ketik "http" (tanpa tanda kutip, dan dalam kasus lebih rendah - semua nama protokol dalam huruf kecil di Wireshark) ke layar spesifikasi filter jendela di bagian atas Wireshark utama jendela. Kemudian pilih Terapkan (ke kanan di mana Anda masukkan "Http"). Hal ini akan menyebabkan hanya message HTTP akan ditampilkan dalam packet-listing jendela.

  9. Pilih pesan http pertama ditampilkan dalam window packet-listing. Ini harus message HTTP GET yang dikirim dari komputer Anda ke gaia.cs.umass.edu server HTTP. Ketika Anda memilih message HTTP GET, yang Frame Ethernet, datagram IP, TCP segmen, dan HTTP header pesan Informasi ini akan ditampilkan pada header paket-window3. Dengan mengklik plusand - minus kotak ke sisi kiri jendela rincian paket, meminimalkan jumlah Frame, Ethernet, Internet Protocol, dan Transmission Control Protocol informasi yang ditampilkan. Memaksimalkan jumlah ditampilkan informasi mengenai Protokol HTTP. Wireshark Anda display harus sekarang tampak kasar seperti yang ditunjukkan pada Figure 5. (Catatan, secara khusus, dikurangi jumlah informasi protokol untuk semua kecuali protokol HTTP, dan jumlah maksimal protokol informasi untuk HTTP dalam header paket-jendela).

  10. Keluar Wireshark Selamat! Sekarang kita telah menyelesaikan laboratorium pertama. sumber : campuran

  • Digg
  • Del.icio.us
  • StumbleUpon
  • Reddit
  • RSS

Blogger templates