Számítógépes hálózatok 3.gyakorlat Harmadik gyakorlat forgalomszűrés, DNS, HTTP forgalom elemzés Laki Sándor
Hálózati forgalom elemzése 1/3 Különböző célok miatt szükség lehet a hálózati forgalom megfigyelésére egy adott alhálózaton: 1. szoftverek nyomon követésére, 2. hálózati teljesítmény analizálására, 3. a hálózatműködésének szemléltetésére, 4. lehallgatásra. A forgalom gyakorlatilag nem más, mint bájtok folyama.
Hálózati forgalom elemzése 2/3 A forgalom szűrésére és elemzésére több alternatíva is van, mint például: 1. a tcpdump C++ könyvtár csomag vagy 2. a WireShark csomag elemző szoftver. A félév során mi a Wireshark portable verzióját használjuk. Letöltés előtt ellenőrizze mindenki, hogy a laboros gépen megtalálható-e szoftver. Letöltési link: itt
Hálózati forgalom elemzése 3/3
Wireshark Szűrő megadása (Display filter) Csomagok a felvett forgalomban A kiválasztott csomag protokollfejléc információi PDU-k A csomag tartalma hexadecimális és ASCII formátumban Sándor Laki (C) Számítógépes hálózatok I. 5
Wireshark elemzési logikája Szűrők definiálására alkalmas input eszközök Csomag összefoglaló nézete Kiválasztott csomag hierarchikus nézet Kiválasztott csomag bájt-alapú nézet Szűrés statisztikái
Felvett forgalom elemzése Display filter Korábban rögzített forgalom utólagos elemzésére, részek kiszűrésére használható Szintakszis általánosan: Sándor Laki (C) Számítógépes hálózatok I. 7
Display filter - Protocol Protocol ip, tcp, dns, ssh, http Expression gombra kattintva láthatjuk a teljes listát VAGY Help->Supported protocols Sándor Laki (C) Számítógépes hálózatok I. 8
Display filter String1, String2: A protokoll mezőire is rákérdezhetünk Megadásuk opcionális és a protokolltól függő A teljes lista Expression gomb alatt Összehasonlító operátorok ==,!=,>=,<=,>,<,eq,ne,ge,le,gt,lt Logikai kifejezések &&,, ^^,!, and, or, xor, not Sándor Laki (C) Számítógépes hálózatok I. 9
Pédák: http dns icmp Megjeleníti a http, dns és icmp forgalom csomagjait ip.addr==10.0.0.1 Olyan csomagok, ahol a cél vagy forrás IP címe 10.0.0.1 ip.src!=10.0.0.1 && ip.dst==198.0.0.2 Olyan ip csomagok, ahol a címzett a 198.0.0.2 és a forrás nem 10.0.0.1-es IP címmel rendelkezik tcp.port==53 Olyan tcp kapcsolatok, ahol vagy a küldő vagy a fogadó az 53-as portot használja Sándor Laki (C) Számítógépes hálózatok I. 10
Példák: tcp.dstport==25 tcp.flags tcp.flags.syn==1 http contains "js.yimg.com" Sándor Laki (C) Számítógépes hálózatok I. 11
Feladat sample2.pcap: Milyen gépek névfeloldásaihoz tartozó DNS kérések szerepelnek a felvételben? Melyeket sikerült feloldani? Milyen forgalom bonyolódik az udp 53-as portján? Adja meg a http://lakis.web.elte.hu/results/nevsor0910ii.pdf pdf fájl elérését célzó csomagokat. Sikerült-e a fájl elérése? Milyen authorizációs sztringgel történt ez? Adja meg azon SNMP üzeneteket, melyek a 157.181.166.210 címre mentek! Mely alkalmazások használnak UDP protokollt a fenti fájlban? Mi a fenti pdf fájl tartalma? Sándor Laki (C) Számítógépes hálózatok I. 12
Feladat - sample3.pcap: Hány udp csomag szerepel a felvételben? Adja meg, hogy az első http kapcsolat mely webes tartalom elérését szolgálja? Sikerül a belépés az oldalra? Kideríthetők-e a felhasználó adatai? Username, password Adja meg azokat a csomagokat, melyek esetén a keret hossza kisebb mint 100 Byte vagy pontosan 618! Szűkítse a lekérdezést azokra a csomagokra, melyek a tcp 49170-es portját használják! Sándor Laki (C) Számítógépes hálózatok I. 13
Szűrési feladatok 1 -HTTP A http_out.pcapng felhasználásával állomány felhasználásával válaszolja meg az alábbi kérdéseket: 1. Milyen oldalakat kértek le a szűrés alapján? Milyen böngészőt használtak hozzá? 2. Hány darab képet érintett a böngészés? (Segítség: webp.) 3. Az első képhez tartozó socket-en hány kép kérése történt? Volt-e olyan, amelyet nem töltött le újra, mert megvolt már? 4. Hány olyan erőforrás volt, amelyet nem kellett újra töltenie a böngészőnek? Mely oldalakat érintette ez? 5. Volt-e olyan kérés, amely titkosított kommunikációt takar? (Segítség: SSL/TLS.) Kövesse végig az első TCP folyamát. Mit tud kideríteni a kommunikációról?
Szűrési feladatok 2 - DNS A dns_out.pcapng felhasználásával állomány felhasználásával válaszolja meg az alábbi kérdéseket: 1. Hány domén név feloldást kezdeményeztek a szűrés alapján? Mely domén nevek voltak ezek? 2. Válaszon ki 3 darab különböző domén nevet, és keresse meg a válasz csomagokat hozzájuk? Hány darab válasz van az egyes kérésekre? (Segítség: ID.) 3. Volt-e olyan csomag amelyre nem érkezett válasz? 4. Hány olyan névfeloldás volt, amelyre több válasz is érkezett? 5. Volt-e iteratív lekérdezés a szűrésben? Ha igen, akkor mennyi? Ha nem, akkor mi lehet a magyarázat?
Szűrési feladatok 3 - Neptun A neptun_out.pcapng felhasználásával állomány felhasználásával válaszolja meg az alábbi kérdéseket: 1. Milyen oldalakat kértek le a szűrés alapján? Milyen böngészőt használtak hozzá? 2. Hány darab SSL/TLS protokollt használó csomag van? Az elsőn kövesse végig a kommunikációt. Minden működési elvnek megfelelően lezajlott? 3. Kezdeményezett-e megszakítást a szerver a kommunikáció során? 4. Kideríthető-e, hogy milyen kommunikáció folyt a szerver és a kliens között? Esetleg megtippelhető-e a használt böngésző típusa?
DNS lekérdezések A névfeloldást általában automatikusan elvégzi a használt eszköz, de néhány eszköz segítségével kezdeményezhető névfeloldás. Unix operációs rendszerben a dig parancs, Windows operációs rendszerben a nslookup parancs, Legfontosabb erőforrás rekordok: A, AAAA, MX, SOA, NS.
DNS lekérdezéssel kapcsolatos feladatok Határozza meg a 13 root szerver domén névre a hozzájuk tartozó az IP címeket. A cs.washington.edu doménről szedjen össze minél több információt, azaz névszerverek, levelező szerverek, IP címek. A megszerzett információk alapján alkosson képet a delegációkról és a topológiáról. Próbálja meg a fenti műveleteket az inf.elte.hu doménre-is.
Vége Köszönöm a figyelmet!