Transcript Document
Module 2:封包擷取與分析實習 網路安全 學習目的 1. 2. 欲了解網路發生什麼問題,可透過擷取和分析網路封包 內容,進而了解問題點並擬出對策。本模組將說明如何 進行網路封包擷取與分析,幫助學習在分析網路安全與 網路問題的基本技能 本模組共有五個小節包括 (1)封包簡介(*) (2)封包結構與通訊協定(*) (3)封包擷取工具介紹(*) (4)封包擷取工具的實務(**) (5)封包擷取與分析的專案實作(**) 共需三個鐘點 網路安全 2-2 Module 2:封包擷取與分析實習 • • • • • Module 2-1:封包簡介(*) Module 2-2:封包結構與通訊協定(*) Module 2-3:封包擷取工具介紹(*) Module 2-4:封包擷取工具的實務(**) Module 2-5:封包擷取與分析的專案實作(**) * 初級(basic):基礎性教材內容 **中級(moderate):教師依據學生的吸收情況,選擇性介紹本節的內容 ***高級(advanced):適用於深入研究的內容 網路安全 2-3 Module 2-1:封包簡介(*) 網路安全 2-4 封包(Packet)是什麼? • 維基百科解釋:封包指的是在封包交換網路中傳 輸的格式化數據塊,是基本的信息單位 • 封包主要由控制訊息(control information)與使用者 資料(user data)所構成 – 以IP封包為例 • 控制訊息:標頭檔(header)部份包含來源位置與目標 位置等資訊 • 使用者資料:內容(message)部分包含實際使用者所 要傳遞的訊息 網路安全 2-5 封包定義 • 依照CCITT(國際電報電話諮詢委員會)對封包的解 釋:封包是一段數位訊號的集合,通常包括使用 者資料及控制訊息兩部份 • 使用者資料:真正所要傳送的內容 • 控制訊息:包括如傳送端與接收端的位址、封包 前後次序的編號、以及一些錯誤控制碼等 目的位址 來源位址 控制訊息 資料 封包內容圖 網路安全 2-6 封包介紹 • 在網路中進行傳輸的最小資訊單位 • 封包在網路上傳送的速度較快,而且在傳輸過程 中,不會妨礙其他網路封包的傳輸;當任何封包 發生錯誤時,只有錯誤的封包必須重新傳送,而 不是整個資料重傳 網路安全 2-7 封包 VS 資料 • 欲傳輸一個較大的資料,例:2100 Bytes之文字檔 ,在傳輸上為了方便,通常會將此資料切割成若 干個段落如下表示 來源資料 = 2106 octets PH • 2100 octets Flag=11 ; Length=2099 SH 512 octets 第一段落 Flag=01 ; Length=2099 持續段落1 SH 512 octets Flag=00 ; Length=1587 SH 512 octets 持續段落2 Flag=00 ; Length=1075 PH = 來源資料的主要檔頭 持續段落3 SH 512 octets SH = 段落檔頭 Flag=00 ; Length=563 每個段落即為一個封包 SH 52octets 最後段落 Flag=10 ; Length=51 網路安全 2-8 封包構成區段 區段 內容 警告訊號 表頭區 (header) 警告訊號用來顯示接受端訊息已開始傳送 來源位置 目的位置 時脈 資料區 資料 (data block) 表尾區 (trailer) 說明 循環檢查碼 時脈是使雙方同步傳輸過程且顯示來源電腦 和目的電腦的位址 存放實際傳輸資料,能存放的資料大小約512 到4K Bytes;由於無法存放太大的資料,因 此資料傳輸時會被切割為封包 循環檢查的相關檢查碼(CRC)是利用演算公 式計算出來,當接收端收到封包時,為了確 定資料是否正確,會將封包中的資料利用演 算公式重新計算一次,結果必須和相關檢查 碼相同,表示傳輸的資料才正確 網路安全 2-9 資料切割成封包傳輸的原因 • 避免網路阻塞:如果直接將資料傳送到網路上, 由於資料太大,會造成網路的擁擠,其它電腦都 會因為等待這台電腦傳輸資料而無法工作 資料1.傳遞中 欲傳輸資料 資料1 資料2 B 完成傳輸資料 E A H 資料1 F C 資料3 G D 網路阻塞示意圖 網路安全 2-10 資料切割成封包傳輸的原因 (續) • 可多路徑傳遞:當網路較複雜時,兩台電腦之間 的通訊路徑就不只一個,資料拆成封包後,可以 透過路由(Routing)走不同的路徑到達目的地,然 後再組合起來,加快傳遞速度 一般路徑傳輸:藍色路徑 A > B > D > F 封包1已傳輸、封包2欲傳輸,D點發生忙碌時 變更路徑傳輸:綠色路徑 A > B > E > F B 等待傳輸封包 D A F E C 封包1 封包2 完成傳輸封包 多路徑傳遞示意圖 網路安全 封包1 2-11 路由(Routing)簡介 • 封包在網路上的傳輸是透過路 由(Routing),將封包從來源位 址傳輸到目的位址 • 路由為網路OSI七層中的網路層 (Network Layer)所負責 應用層 Application Layer 表現層 Presentation Layer 交談層 Session Layer 傳輸層 Transport Layer 網路層 Network Layer 資料連結層 Data-Link Layer 實體層 Physical Layer 網路安全 2-12 路由(Routing)簡介 (續) • 路由器(Router):功 用為分配引導封包 傳遞,如下個需經 過之主機,以完成 封包傳遞 • 路由表(Routing Table):一般來說, 路由器皆會存有路 由表,用來紀錄與 儲存到達各個目的 地之最佳路徑 Network2 Router2 Port2 Network1 Port1 Router1 Network Distance Port Next Router Entry State 1 0 1 0 Good 2 1 2 Router 2 Good Routing Table 網路安全 2-13 封包重組 封包分組 • 一個資料若拆成若干個封包 ,經過多路徑傳遞後,因為 網路狀況及路由器分配之傳 遞路線不同,先送出之封包 不一定會先被收到 • 每個經拆解後的封包皆有他 自己的編號,接收端可依此 編號將封包重組回原始資料 • 表頭(Header)即記載這些額外 資訊 網路安全 資料Part5 資料Part4 拆 出 資 料 封包重組 資料Part1 資料Part2 資料Part3 資料Part5 資料Part4 2-14 封包與生活中物件做比較 • 如果把封包比喻成信件,它們之間是有一些類似 的性質 – 信封就相當於封包的控制訊息內容包含收件人與寄 件人的地址、郵遞區號及信件類型(平信、限時及 掛號) – 信封內的文字部分(郵差看不到的部分)相當於使用 者資料 – 兩者較不同的地方是信件是在郵差在路上騎機車幫 我們遞送信件,封包是在網路上傳輸的 網路安全 2-15 封包與生活中物件做比較 (續) – 因為一些傳輸效率上的因素,封包的傳遞過程是將 信件分裝成一封一封小的信件,使用相同的信封寄 往目的地 – 如果從安全性的角度來看封包與信件最大的不同點 在於信件內容洩露的部分,如果今天信件被拆封偷 看,收信人可從彌封部分看出個端倪。但封包資訊 是相當容易被複製與修改的,目地端收到此封包是 很難確保封包內容沒有被惡意者所偷窺與修改過 網路安全 2-16 了解封包進階思考 • 並非所有的通訊協定都有相同的欄位資料,由於 採用不同的通訊協定(TCP與UDP) ,網路封包的 結構都有些許的差異,但了解基礎封裝方式即可 推理各種不同的通訊協定 • 在實務上想要進行網路封包分析的原因有很多, 故首要先了解什麼是封包、定義及其運作方式後 ,再搭配合適的網路封包擷取程式來解決實務上 所遇的問題 網路安全 2-17 Module 2-2:封包結構與通訊協定(*) 網路安全 2-18 網路OSI七層常見通訊協定類型 • 目前網路使用相當多不同類型的通訊協定,下圖 列舉出在OSI協定七層中常見的通訊協定 • 網路上有許多不安全的通訊協定,且大多採用明 碼方式傳送,經常造成資訊外洩,如HTTP、 TELNET及SMTP等,故必要時須顧慮到資訊安全 的議題 應用層 ■HTTP ■SMTP ■FTP ■Telnet ■UDP ■TCP 傳輸層 ■ARP ■IP 網路層 ■SLIP ■PPP 實體層 網路安全 2-19 封包結構與傳輸過程 TCP/IP四層 常見通訊協定 封包封裝 SMTP,TELNET ,FTP User Data Application Socket App Header TCP TCP Header User Data TCP/UDP Application Data TCP Segment IP IP Header NetBIOS TCP Header ARP,RARP ,ICMP Application Data IP Segment Device Driver Frame Header IP Header TCP Header Application Data Frame Trailer Ethernet, X25,PPP Frame 網路安全 2-20 IP表頭 0 Version (4 Bits) Type of Service IHL (4 Bits) (8Bits) 32 Identification (16 Bits) 64 Time to Live (8 Bits) 96 Total Length (16 Bits) Fragment Offset (13 Bits) Flags (3 Bits) Protocal (8Bits) Header Checksum (16 Bits) Source Address (32 Bits) 128 Destination Address (32 Bits) 160 Options (長度不定) Type Of Service (8 Bits) Flags (3 Bits) Padding (長度不定) = Precedence (3 Bits) Delay (1 Bit) Throughout (1Bit) = Reserved (1 Bit) Don’t Fragment (1 Bit) More Fragment (1 Bit) 網路安全 Reliability (1 Bit) Cost (1 Bit) Reserved (1Bit) 2-21 封包header實例 網路安全 2-22 封包擷取的原理 被丟棄 目的地B封包 目的地A封包 A電腦網路卡 網路安全 2-23 封包擷取的原理 (續) • 為了監聽到其他使用者的封包,監聽者會將網路 卡修改為混亂模式(Promiscuous),混亂模式不會 對目標MAC位置做檢查的動作,而是將所收到的 所有封包做接收的動作 • 藉由混亂模式就可以在HUB的區域網路環境中或 無線網路的環境中擷取其他人的封包訊息 網路安全 2-24 Module 2-3:封包擷取工具介紹(*) 網路安全 2-25 封包擷取工具比較 • 商業軟體 – 優: 有廠商維護,支援性較佳 – 缺: 成本較高 – 例: NetResident與EtherDetect • 免費軟體 – 優: 成本較低 – 缺: 功能與使用說明較為簡略 – 例: Wireshark與WinDump 網路安全 2-26 封包擷取工具 - WinDump • 一種開放原始碼的網路軟體工具,為Windows版 的 tcpdump • 可以分析封包的流向,並且對於封包的內容也可 以進行"監聽" • WinDump運算式是一種規則運算式,利用一些條 件來進行訊息的過濾,當訊息滿足運算式的條件 ,則會將其資訊捕獲。如果沒有給出任何條件, 則網路上所有的資訊包將會被擷獲 • 例:WinDump -i interface -c 10 -n port 80 -w filename 網路安全 2-27 封包擷取工具 - Wireshark • 開放原始碼軟體 • 起源於1997年,Wireshark的前身即為Ethereal,因 為商標問題而改名成Wireshark • 支援通訊協定多且完整。使用圖形化的介面讓操 作者容易上手,過濾條件切割細密,讓使用者可 於乙太網路撈取且經數據過濾分析後的數據流 • 可由此軟體能夠擷取網路封包,並盡可能顯示出 最為詳細的網路封包資料,提供各方應用 網路安全 2-28 網路存取函式庫 - WinPcap • WinPcap是著名Unix libpcap的Windows版本API • Pcap是用來擷取封包的應用程式介面 (Application Programming Interface, API) • 免費直接網路存取函式庫 • 許多網路應用軟體運行,均須安裝此套函式庫, 如Wireshark、WinDump、Nmap及Snort 網路安全 2-29 WinDump與Winpcab示意圖 • 透過WinDump及Winpcap工具擷取並分析封包後 ,再將資料蒐集至電腦設備中 網路工具 封包資訊 Windump 分析封包結構 Winpcap 擷取並過濾封包 乙太網路 Ethernet 網路安全 2-30 Module 2-4 :封包擷取的實務(**) 網路安全 2-31 Linux kernel packet processing 網路安全 2-32 網路安全 2-33 說明 • 架設實作(一),請將介紹如何安裝與使用 WinDump。依實驗拓樸,請使用WireDump主機 做安裝及測試 • 架設實作(二),請利用Wireshark軟體對FTP進行封 包擷取。依實驗拓樸,請使用Wireshark主機做安 裝及測試 • 架設實作(三),請利用Wireshark軟體對Outlook Express進行封包擷取。依實驗拓樸,請使用 Wireshark主機做安裝及測試 網路安全 2-34 架設實作(一) WinDump實作-SSH連線觀察 網路安全 2-35 封包擷取工具 - WinDump • 版本 – 3.9.5 • 支援作業平台 – Windows 95/98/NT/2000/XP/2003 • 其他需求 – 安裝WinPcap 3.1以上版本 • 下載位址 – http://www.winpcap.org/windump/install/bin/windum p_3_9_5/WinDump.exe 網路安全 2-36 其他需求工具 - WinPcap • 版本 – 4.0.2 stable • 支援作業平台 – Windows NT4/2000 Windows XP/2003/Vista (x86 and x64) Windows Server 2008 (x86 and x64) • 下載位址 – http://www.winpcap.org/install/bin/WinPcap_4_0_2.e xe 網路安全 2-37 WinPcap安裝步驟 • WinPcap下載完成後,即可進行安裝 • 安裝畫面如下,點選Next按鈕繼續下一步 網路安全 2-38 WinDump與WinPcap測試 • 請將下載的WinDump.exe檔案存放至 C:\Windows\system32\的目錄之下 • 測試WinDump及WinPcap是否可運作 – 點選開始->程式集->附屬應用程式->命令提示字元>輸入「windump 」按下Enter即會出現「 windump: listening on \Device\NPF_GenericDialupAdapter」的 訊息,代表WinDump及WinPcap安裝成功且可運作 – 停止監聽按「Ctrl + C」,將顯示擷取封包的數量 網路安全 2-39 WinDump相關參數列表 參數 說明 參數 說明 -c 指定收到的封包數目,當達到該數目 時,Tcpdump 即會停止 -r 從指定的檔案文件中讀取資料,該檔 案文件由-w 所製造出來 -d 把編譯過的封包編碼轉碼成可閱讀的 格式,放置於標準輸出 -v 顯示詳細的封包資訊,多了 TTL 及 服務類型 -dd 把編譯過的封包編碼轉碼成 C 語言的 格式,放置於標準輸出 -s 設定每一個封包的大小 -ddd 把編譯過的封包編碼轉碼成十進位的 格式,放置於標準輸出 -S 用絕對數並非相對數的值列出 TCP 連接數 -F 從所指定的文件中讀取運算式,進而 忽略其他運算式 -tt 顯示出原始時間並且為不格式化的時 間 -f 用數字顯示 IP 位址 -n 不進行 IP Address 到 Domain Name 的轉換 -i 指定擷取封包的網路介面 -nn 不進行 Port 的轉換,如 22 就是 ssh -w 將擷取的封包直接寫入檔案當中,不 做分析與顯示於畫面 -x 用十六進位字碼列出封包資料 網路安全 2-40 WinDump簡易使用操作說明 • 語法:windump 參數 • 查看目前系統可使用的網卡介面 – windump -D • 透過查看網卡介面,以利後續監聽之用 網路安全 2-41 WinDump簡易使用操作說明 (續) • WinDump -i 網卡介面代號 -c 擷取封包數量 port 通 訊埠 • 例:WinDump -i 2 -c 10 port 80 網路安全 2-42 WinDump簡易使用操作說明 (續) • 因於命令提示字元視窗內所顯示的資訊不易閱讀,可 透過下列指令將其所擷取的資訊導向至檔案 • Windump -i 網卡介面代號 > 檔名 – windump -i 2 -c 10 -w message port 80 – windump -r message > message.txt – windump -i 2 -c 10 port 80 > message.txt 網路安全 2-43 WinDump簡易使用操作說明 (續) 11:23:38.326205:此為封包被擷取的時間,『HH:MM:SS.fraction』的單位 IP:透過的通訊協定是IP winser .1099 > w1.www.vip.tw1.yahoo.com.tw.80: 代表的是傳送端是winser傳送的通訊埠為1099大於(>)的符號指 的是封包的傳輸方向,w1.www.vip.tw1.yahoo.com.tw為接收端, 80為接收埠 P(PUSH)為資料傳輸標誌,且傳輸的資料為整體資料的1~699 byte,所以這個 封包帶有698 bytes的資料量;ack 1 win 65535:ACK與Window size的相關資料 網路安全 2-44 實驗環境介紹 • 以Testbed建立一實驗,相關拓樸及設定如下圖 SSHClient OS:WINXP-SP3-CH-pc3000 IP:10.1.1.3 安裝軟體:putty IP2 IP1 SSHServer OS:WINXP-SP3-CH-pc3000 IP:10.1.2.3 安裝軟體:sshd WireDump OS:WINXP-SP3-CH-pc3000 IP1:10.1.1.2 IP2:10.1.2.2 安裝軟體:WinDump 網路安全 2-45 實驗拓樸on Testbed@TWISC - 建立完成的實驗拓樸 網路安全 2-46 SSH連線觀察 • 利用Putty連線到SSHServer,從中觀察到三向交握 建立連線的動作 從SSHClient端利用putty連線到 SSHServer(10.1.2.3)的sshd服務 網路安全 2-47 SSH連線觀察 (續) • SSH在連線之前會利用三向交握的方式建立連線 • 利用WinDump觀察SSH連線動作 – 指令:WinDump.exe -N -S -i 4 port 22 三向交握示意圖 Server <- Client SYN 你想連線 Server -> Client SYN, ACK 可以,我接受 Server <- Client ACK 謝謝 網路安全 三向交握的三個封包 2-48 架設實作(二) FTP擷取密碼案例 網路安全 2-49 實驗環境介紹 • 以Testbed建立一實驗,相關拓樸及設定如下圖 FTPClient OS:WINXP-SP3-pc3000 IP:10.1.1.2 安裝軟體:FileZilla IP2 IP1 FTPServer OS:WINXP-SP3-pc3000 IP:10.1.2.3 安裝軟體:RaidenFTPD WireShark OS:WINXP-SP3-pc3000 IP1:10.1.1.3 IP2:10.1.2.2 安裝軟體:Wireshark 網路安全 2-50 實驗拓樸on Testbed@TWISC - 建立完成的實驗拓樸 網路安全 2-51 FTP伺服器工具 - RaidenFTPD • 版本 – 2.4 build 3720 • 支援作業平台 – Windows • 下載位址 – http://www.raidenmaild.com/download/raidenftpd2.exe 網路安全 2-52 RaidenFTPD安裝步驟 • 下載Windows平台最新版本檔案,下載完成後執行 該安裝程式 網路安全 2-53 RaidenFTPD安裝步驟 (續) • 此步驟使用預設路徑即可,按下Install進行安裝 網路安全 2-54 RaidenFTPD設定步驟 • 程式開啟畫面如下,選擇Click here to start a new server進行FTP伺服器設定 網路安全 2-55 RaidenFTPD設定步驟 (續) • 此處可設定Server name與Server IP,將Auto IP取消 勾選,並將Server IP設為10.1.2.3 網路安全 2-56 RaidenFTPD設定步驟 (續) • 接下來的步驟依照預設值即可 網路安全 2-57 RaidenFTPD設定步驟 (續) • 設定人員帳號與群組,按下Add鈕輸入帳號密碼, 群組名稱可略過,完成後按下Next進行下一步驟 網路安全 2-58 RaidenFTPD設定步驟 (續) • 此步驟設定該帳號登入FTP時的權限,選擇 NORMAL,按下Next進行下一步驟 網路安全 2-59 RaidenFTPD設定步驟 (續) • 接下來的步驟皆以預設值即可,完成設定之後會 出現對話視窗顯示您所設定的資訊 網路安全 2-60 FTP用戶端工具 - Filezilla • 版本 – 3.2.8 • 支援作業平台 – Windows 、Linux及Mac • 下載位址 – http://sourceforge.net/projects/filezilla/files/FileZilla_C lient/3.2.8/FileZilla_3.2.8_win32.zip/download 網路安全 2-61 Filezilla安裝步驟 • 執行Filezilla安裝程式,點選 I agree 鈕 網路安全 2-62 Filezilla安裝步驟 (續) • 以預設值安裝,點選兩次 Next 鈕 網路安全 2-63 Filezilla安裝步驟 (續) • 以預設值安裝,點選 Next 鈕後再點選 Install 鈕 網路安全 2-64 Filezilla安裝步驟 (續) • 以預設值安裝,點選 Next 鈕後再點選 Finish 鈕 網路安全 2-65 封包擷取工具 - Wireshark • 版本 – 1.6.5 • 支援作業平台 – Windows、Linux及FreeBSD • 其他需求 – 安裝WinPcap 3.1以上版本 • 下載位址 – http://wiresharkdownloads.riverbed.com/wireshark/wi n32/wireshark-win32-1.6.5.exe 網路安全 2-66 Wireshark安裝步驟 • 至官方網站下載Windows平台最新版本檔案,下 載完成後執行該安裝程式 網路安全 2-67 Wireshark安裝步驟 (續) • 於下一步出現的版權宣告,點選I Agree鈕後繼續 下一步驟 網路安全 2-68 Wireshark安裝步驟 (續) • 此步驟選擇欲安裝的元件,以軟體預設勾選之項 目安裝 網路安全 2-69 Wireshark安裝步驟 (續) • 此步驟使用預設路徑即可 網路安全 2-70 Wireshark安裝步驟 (續) • 此步驟將安裝Windows平台須加裝之套件WinPcap,若原系統未安裝過WinPcap套件,請以 軟體預設項目安裝之 網路安全 2-71 Wireshark安裝步驟 (續) • 此步驟代表Wireshark軟體已安裝完成,可點選 Finish 鈕或勾選Run Wireshark 1.6.5,隨即使用該 套軟體 網路安全 2-72 Wireshark軟體介面介紹 一般工具列 篩選工具列 封包清單窗格 封包內容窗格 封包位元組窗格 網路安全 2-73 Wireshark使用思考方向 • 遇到網路問題,是否觀察網路通道中有異常動作 或狀況 要先做什麼? 解決問題 擷取數據 – 思考方向: – 反應到擷取數據方法,那麼以Wireshark擷取,使 用者需要擷取哪些數據?這些數據由使用者電腦哪 個裝置來擷取? • Wireshark操作流程: 擷取數據 擷取哪些數據 (過濾條件) 數據哪裡來 (網路介面卡) • 接下來我們進行軟體操作介紹 網路安全 2-74 數據哪裡來 - Capture功能 • 一、開啟方式: – 1.點選快速鈕,如紅色圈所示 – 2.點選Capture功能表 下拉選單後,點選Options – 3.鍵盤快速鍵Ctrl + K 網路安全 2-75 數據哪裡來 - Capture功能 (續) • 二、開啟後,顯示Capture Options的視窗畫面,即 可看到所提供的擷取功能選項 網路安全 2-76 數據哪裡來 - Capture功能 (續) • Capture Options常用的欄位設定 – Caputure框 • 1.Interface:會顯示出在系統上所有網路卡,但只能 選取一個介面作為封包擷取 • 2.Capture packets in promiscuous mode:選取此選 項就是經過所選取的網路卡的所有封包都會被擷取 下來 • 3.Capture Filter:指定擷取過濾器運算式,擷取想 要的特定封包,即為擷取中過濾之功能 網路安全 2-77 數據哪裡來 - Capture功能 (續) • Capture Options常用的欄位設定 – Display Options框 • Update list of packets in real time:指定在擷取封包 過程中,能夠即時更新已擷取封包清單窗格視窗中 的封包資訊,若取消則軟體主視窗更新畫面是沒有 動作的 網路安全 2-78 數據哪裡來 - Capture功能 (續) • Capture Options常用的欄位設定 – Name Resolution框 • 1. Enable MAC name resolution:指定是否將網路 卡MAC address的前三個位元組轉換成製造商名稱 •‰ 2. Enable network name resolution:指定是否將IP address轉換成 DNS網域名稱 •‰ 3. Enable transport name resolution:指定是否將通 信埠號碼(port numbers)轉成協定名稱(protocols) • 各位了解數據從哪裡擷取的概念與操作之後,即 可以進一步加上附帶條件(篩選條件)等相關操作 方式 網路安全 2-79 Wireshark操作手法 • 延續遇到問題的思考方向及軟體操作手法,我們 可以將操作流程分為兩種 – 擷取中過濾(Filter while capturing) • 優點:僅擷取已知範圍資訊,網路流量少 • 缺點:需先了解問題類型,避免可能有遺漏真正欲 擷取資訊之狀況 先預設欲擷取條件 擷取數據 – 檢視中過濾(Filter packets while viewing) • 優點:不用先預設條件,擷取所有封包資訊 • 缺點:影響網路流量 擷取數據 再篩選欲查詢數據 網路安全 2-80 Wireshark操作手法 - 擷取中過濾 • 操作步驟 – 點選Capture下拉視窗,選擇 Capture Filters,即呈現此視 窗 • 操作範例 – 1.於Filter窗格中,選擇IP Address 10.1.1.2 – 2.於Properties窗格中,即顯 示該選項的設定值,如圖所 示為host 10.1.1.2 – 3.即可設定軟體僅針對 10.1.1.2的封包作擷取動作 延伸操作思考: 1.改變Filter string值,得到什麼結果? 2.點選Edit窗格中的New鈕, 新增自訂條件 網路安全 2-81 Wireshark操作手法 - 檢視中過濾 • 此步驟即以已擷取封包清單窗格 為基礎,以過濾條件過濾該清單 • 可直接選擇軟體預設項目,如以 下操作 – 操作步驟 • 點選Analyze下拉視窗,選擇 Display Filters,即呈現此視窗 – 操作範例 • 1.於Filter窗格中,選擇IP Address 10.1.1.2 • 2.於Properties窗格中,即顯示該 選項的設定值,如圖所示值為 host 10.1.1.2 • 3.即可設定軟體僅針對10.1.1.2的 封包作顯示動作 網路安全 延伸操作思考: 1.可否進行進一步自訂設定值? 2-82 Wireshark操作手法 - 檢視中過濾 (續) • 若電腦IP為10.1.1.2,欲篩 選出IP來源為上述IP且協定 為TCP 80port的所有封包 – 操作步驟 • 點選Expression鈕,即出 現此視窗 – 1.於Field name框選擇IP 項目中的ip.src - Source – 2.於Relation框選擇== – 3.於Value [IPV4 address] 填 入10.1.1.2 – 4.點選OK鈕 網路安全 進階思考方式須考慮到,例如是來源資 訊?是目標資訊?是什麼協定?等更細 部所要之條件 2-83 Wireshark操作手法 - 檢視中過濾 (續) • 再進行第二篩選條件 – TCP 80 port • 操作步驟 – 1.先於Filter string輸入 文字框「ip.src== 10.1.1.2」後,再加上 一個空格及「 and 」 再進行一次Expression 條件選擇 網路安全 2-84 Wireshark操作手法 - 檢視中過濾 (續) – 2.於Field name框選 擇「tcp.dstport」 – 3.於Relation框選擇 「 ==」 – 4.於Value框填入「 80」 – 5.選擇「 OK」鈕 網路安全 2-85 Wireshark操作手法 - 檢視中過濾 (續) • 注意Propeties框內的 Filter string欄位值已改 變為「 ip.src == 10.1.1.2 and tcp.dstport == 80」 • 確認條件正確後,點選 「 OK 」鈕,即可發現 已擷取封包清單窗格的 項目均為所設定過濾條 件過濾過結果 網路安全 2-86 Wireshark操作手法 - 檢視中過濾 (續) • 可單選單一封包進行更進階查詢封包內容 • 操作方式為 – 點選其中一項封包項目,點選滑鼠右鍵,選擇 Follow TCP Stream 網路安全 2-87 Wireshark操作手法 - 檢視中過濾 (續) – 此畫面即可看出,該項TCP封包溝通內容 網路安全 2-88 Wireshark操作手法 - 檢視中過濾 (續) • 此功能將所擷取的封包清單使用多種方式呈現封 包統計資料,便於使用者查詢擷取時間內何種封 包數量多寡及圖型顯示 • 操作步驟:點選Statistics下拉視窗,即呈現此視窗 顯示有關擷取清單的摘要 以階梯式通訊協定列表顯示所擷取的所有封包 在特定IP間顯示通訊流量 顯示單一IP來往封包的流量 以時間軸顯示視覺化封包流量圖 網路安全 2-89 Wireshark操作手法 - 檢視中過濾 (續) • 可查看到一時段內 其封包總數與平均 每秒傳遞接收封包 數等相關資訊,讓 使用者了解平均一 時段內網路流量狀 況,藉以初步獲得 資訊 網路安全 2-90 Wireshark操作手法 - 檢視中過濾 (續) • 讓使用者可透過階 梯式封包分類表來 查看哪一類封包佔 為居多,可進一步 推測是否該類型封 包影響到整體網路 ,或是否有異常或 不常見封包類型在 網路中傳遞 網路安全 2-91 Wireshark操作手法 - 檢視中過濾 (續) • 將該擷取時段內封 包清單檔,以兩個 特定IP之間對傳封 包為區隔,顯示出 哪兩個特定IP間傳 遞封包數多寡 • 可讓使用者更進一 步研判兩個特定IP 所屬設備傳遞狀況 是否異常 網路安全 2-92 Wireshark操作手法 - 檢視中過濾 (續) • 將該擷取時段內封 包清單檔,以特定 IP傳遞封包數為區 隔,顯示出哪特定 IP傳遞封包數多寡 • 可讓使用者更進一 步研判該特定所屬 設備傳遞封包數是 否異常,作為管制 緊急管制或禁止通 訊之證明 網路安全 2-93 Wireshark操作手法 - 檢視中過濾 (續) • 以時間軸顯示視覺 化封包流量圖 • 讓使用者可觀察所 管理設備資訊流通 量,以了解設備是 否能負荷或作相關 調整等處置 網路安全 2-94 FTP擷取密碼案例 • 於Wireshark軟體,選擇Capture下拉選單功能項, 點選 Interfaces選項 網路安全 2-95 FTP擷取密碼案例 (續) • 確認欲擷取封包之網卡名稱如紅色底線所示,確 認後點選Start鈕 網路安全 2-96 FTP擷取密碼案例 (續) • 切換至FTP Client電腦,開啟FileZilla程式後,連 線到FTP Server,於Host 填入10.1.2.3、Username 填入tester、Password填入testpw後,點選 Quickconnect鈕 網路安全 2-97 FTP擷取密碼案例 (續) • 擷取到的封包資訊,會顯示於已擷取封包清單窗 格內 網路安全 2-98 FTP擷取密碼案例 (續) • 使用FTP軟體登入ftp站後,Wireshark將擷取到的 使用者名稱與密碼,如紅框所示 網路安全 2-99 FTP擷取密碼案例 (續) • 點選已擷取封包清單窗格的密碼資訊列,如標示1 的紅框所示,即可在封包內容窗格看到該密碼的 位元碼,如標示2的紅框所示 1 2 網路安全 2-100 架設實作(三) Outlook Express擷取密碼案例 網路安全 2-101 實驗環境介紹 • 以Testbed建立一實驗,相關拓樸及設定如下圖 OEClient OS:Windows XP SP3 IP :10.1.1.2 執行Outlook Express IP2 IP1 MailServer OS:Windows XP SP3 IP:10.1.2.2 安裝軟體:ArGoSoft Mail Server Wireshark OS:Windows XP SP3 IP1:10.1.1.3 IP2:10.1.2.3 安裝軟體:Wireshark 網路安全 2-102 實驗拓樸on Testbed@TWISC - 建立完成的實驗拓樸 網路安全 2-103 郵件伺服器工具 - ArGoSoft Mail Server • 版本 – 1.8.9.2 Freeware • 支援作業平台 – Windows • 下載位址 – http://www.softking.com.tw/soft/download.asp?fid3=7367 網路安全 2-104 郵件客戶端工具 - Outlook Express • 版本 – 6.0 • 支援作業平台 – Windows • 下載位址 – Windows內建 網路安全 2-105 Outlook Express擷取密碼案例 • 安裝及設定郵件伺服器: –1.下載並執行ArGoSoft Mail Server軟體,點選 Setup鈕 網路安全 2-106 Outlook Express擷取密碼案例 (續) – 1.點選Next鈕 – 2.點選Start Installation鈕 網路安全 2-107 Outlook Express擷取密碼案例 (續) – 3.點選OK鈕 – 4.點選Finish鈕,完成軟體安裝 網路安全 2-108 Outlook Express擷取密碼案例 (續) – 5.點選使用者設定鈕,如紅圈所示 – 6.點選新增鈕,如紅框所示 網路安全 2-109 Outlook Express擷取密碼案例 (續) – 7.填入使用者名稱(tester)及密碼(testpw),如紅圈所 示,填寫完成後點選OK鈕 – 8.點選Close鈕,關閉使用者設定視窗 網路安全 2-110 Outlook Express擷取密碼案例 (續) – 9.點選選項鈕,如左側圖中紅色圈所示 – 10. 點選紅色打勾鈕,如右側圖中紅色圈所示 網路安全 2-111 Outlook Express擷取密碼案例 (續) – 11.該軟體會自動選取DNS Server,待選取後點選Yes鈕 – 12. 勾選Allow Relay選項,如紅框所示 ┘ 網路安全 2-112 Outlook Express擷取密碼案例 (續) • 設定收信帳號: – 1.點選Tools功能選單,選擇Accounts選項 網路安全 2-113 Outlook Express擷取密碼案例 (續) – 2.點選Add鈕,選擇Mail選項 網路安全 2-114 Outlook Express擷取密碼案例 (續) – 3.填入tester,點選Next鈕 – 4.填入[email protected],點選 Next鈕 網路安全 2-115 Outlook Express擷取密碼案例 (續) – 5.填入10.1.2.3,如紅框所示,點選Next鈕 – 6.填入帳號為tester及密碼為testpw,點選Next鈕 網路安全 2-116 Outlook Express擷取密碼案例 (續) – 7.點選Finish鈕 – 8.點選Close鈕 網路安全 2-117 Outlook Express擷取密碼案例 (續) – 模擬條件準備好後,首先準備Wireshark擷取動作 ,開啟Wireshark 網路安全 2-118 Outlook Express擷取密碼案例 (續) – 於Wireshark軟體,選擇Capture下拉選單功能項, 點選Interfaces選項 網路安全 2-119 Outlook Express擷取密碼案例 (續) – 確認欲擷取封包之網卡名稱如紅色底線所示,確認 後點選Start鈕 網路安全 2-120 Outlook Express擷取密碼案例 (續) – 當使用者收發email時,即被Wireshark攔截封包 – 有發現到該Outlook Express帳號密碼是如此清晰可 見的嗎? 網路安全 2-121 結論 • 學習了Wireshark及WinDump兩套網路封包擷取軟 體,基本概念如同電話側錄概念相同,從中複製 一連串資訊來分析與了解網路的流量及內容為何 • 當你發現網路速度緩慢等狀況,你是否會反應到 所學的基本概念來找尋問題所在 • 防範概念:由此課程的實例,可以了解網路內容 如被有心人士擷取,所造成的損失相當可觀,故 你是否有對策?有哪些方式你可以應用來防範 • 正確的思考,善用對的工具,將對解決問題事半 功倍 網路安全 2-122 Module 2-5:封包擷取與分析的專案實作 (**) 網路安全 2-123 專案目的 • 建立遠端管理傳遞指令資訊環境 • 利用實際攔截封包操作的方式讓同學了解封包擷取運 作與網路資訊流通的顧慮等相關議題 網路安全 2-124 專案描述 • 近年來遠端管理伺服器及網路服務普及,光是密碼保護就 足夠了嗎?是否重點網段須全程加密還是作網段隔離?經 由此專案實作即可了解不僅部分加密仍有其風險所在,網 路架構如何規劃將是非常重要的課題 • 參考環境配置圖,完成下列要求 環境裡的攔截封包主機是Windows XP SP3作業系統,而該 主機安裝Wireshark軟體 另兩台主機的作業系統亦是Windows XP SP3 並裝上MySQL 軟體,MySQL帳號為root,密碼為您的學號 (如: Q3896105) 在MySQLClient電腦使用MySQL Commandline指令連線至 MySQLServer擷取資料庫資訊 我們針對這兩台主機傳訊的封包擷取。由整個實做中思考如 何防範資訊外洩與了解傳訊封包如何流動及運作 網路安全 2-125 環境配置圖 • 以Testbed建立一實驗,相關拓樸及設定如下圖 MySQLServer OS:WINXP-SP3-CH-pc3000 IP:10.1.2.3 安裝軟體:MySQL MySQLClient OS:WINXP-SP3-CH-pc3000 IP:10.1.1.2 安裝軟體:MySQL IP2 IP1 WireShark OS:WINXP-SP3-CH-pc3000 IP1:10.1.1.3 IP2:10.1.2.2 安裝軟體:Wireshark 網路安全 2-126 作業繳交 • 請參考情境,測試發送數個SQL指令,並將過程 與擷取到的封包資訊之截圖列於報告中,所有圖 表皆需要輔以文字說明。 • Deadline:2013/3/12 下午 5:00 以前 • 作業範圍:Module 2-5 (page 2-128) • 方式: (參考課程網址) – 帳號密碼小寫的(ns101/ns101) – IP: 140.116.164.167 網路安全 2-127 有問題嗎? • 關於TestBed使用上的問題,請直接Email至: [email protected] 將有專人為您服務 • 課程網址: http://itlab.ee.ncku.edu.tw/courses/NS_101/index.html • 助教資訊 (參考課程網址) 網路安全 2-128 參考資料 • Die.net, http://linux.die.net/man/1/wireshark • Orebaugh Angela, Ramirez Gilbert, Burke Josh, Pesce Larry, Wright Joshua(2007). Wireshark and Ethereal network protocol analyzer toolkit. • Tony Fortunato(2007). Wireshark Training. Retrieved July 22, 2009, from the World Wide Web: http://www.thetechfirm.com/ethereal/wireshark.pdf • WinDump, http://www.winpcap.org/WinDump • Wireshark, http://www.wireshark.org • Wireshark University, http://www.wiresharktraining.com/ • 楊中皇(民97年)。網路安全:理論與實務(2版) 。台北市:學貫。 • 蘇淑茵教授。Wireshark 。民國98年6月28日,取自: http://myweb.ncku.edu.tw/~sisou/ 網路安全 2-129