Wireshark (Ethereal)
Wireshark er et program som blir brukt "egentlig" til feilsøking av nettverk, analysering, programvare og kommunikasjonsprotokoll utvikling. Det vi brukte den til var å sniffe pakker som kom og gikk i ruteren. Takket være Wireshark så kunne vi se hva alle personene på det samme nettverket gjorde og hva de fikk tilbake. Wiresharken het egentlig Ethereal da den først kom ut, men den ble byttet om til Wireshark i 2006 på grunn av varemerke problemer.
Del 1 - Kjør Wireshark og se på resultatene
Dette er alle pakkene jeg ser som kommer og går igjennom nettverket.
Den Første pilen helt til venstre: Den peker på ordet "No." som betyr nummer. Den forteller deg hvor hvilket nummer den ene pakken er. Hvis du starter Wireshark nå med engang så kan du se at den første pakken du sniffer har nummeret 1. Så teller den videre ned de neste pakkene som kommer.
Den Andre pilen til venstre: Den peker på ordet "time" som står for tid. Den forteller deg når den kom, ikke fra senderen til mottakeren, men tiden den tok før du sniffet den.
Den Tredje pilen til venstre: Den peker på ordet "Source" som står for kilden. Den forteller deg hvem som er senderen.
Den Fjerde pilen i midten: Den peker på ordet "Destination" som står for destinasjon. Det vil si hvor pakken drar til. Mottakeren.
Den Femte pilen til høyre: Den peker på ordet "Protocol" som står for protokoll. Protokoll finnes i mange forskjellige formater. En dataprotokoll er en måte å sende ut en datapakke på via data. den tar eks. meldinger og overfører den videre til en mottaker. Det finnes mange ulike protokoller og jeg skal forklare 5 av dem.
Den sjette pilen til høyre: Den peker på ordet "length" som står for lengde på norsk. Det er ikke det samme her på Wireshark. Length er en del av den pakken som er vist i bytes (data). Wireshark tar bare en liten del eller hvis pakken er liten så tar den hele, og sjekker informasjonen fra den.
Den syvende pilen helt til høyre: Den peker på "info" Det er rett og slett infoen om datapakka. Infoen er selvsagt forskjellig ettersom protokollene er annerledes.
Du kan se også at det er i forskjellige farger. Det er rett og slett for å skille dem fra de andre.
Protokoller: Det finnes en protokoll som ikke blir vist på bildet over men jeg kan snakke litt om den her.
DHCP (Dynamic Host Configuration Protocol) kan bli brukt til å dele IP-Adresser og andre nettverksparametere hvis du kobler deg inn. Dette gjør ting lettere å flytte ting mellom nettverk fordi da trenger du ikke å sette opp IP-adresser manuelt lengre. DHCP gir deg tilgang til nett automatisk når du kobler deg til nettverket med DHCP.
DCHP består av fire trinn.
1. DHCP Discovery. Det er at PC-en sender ut signaler i håp på at han skal finne DHCP.
2. DHCP Offer. Dette er på en måte en leieavtale med din PC og DHCP. DHCP gir deg varighet, IP-adresse, nettverksmaske, din MAC-adresse og IP-adressen til DHCP serveren (Den sender deg din MAC-adresse tilbake slik at du kan bekrefte at der er din MAC-adresse)
3. DHCP Request. Etter at informasjonen er gitt til datamaskinen, så må datamaskinen bekrefte til DHCP at den har fått informasjonen. Dermed sier DHCP til andre DHCP servere som er nærme, at bare han skal sende IP-adresser og andre ting rundt.
4. DHCP acknowledgement. Det er her datamaskinen din sender en pakke som godkjenner informasjonen som er gitt til PC. Denne pakken inneholder informasjon om IP-adressen, varigheten og andre konfigurasjonsinformasjon som du ville ha. På dette trinnet så er hele prosessen fullført.
Del 2
Release og Renew IP adresse
Release
Lyseblå pil: Det er meg
Lilla pil: Det er skolens server
Rød Pil: Info om at jeg vil fjerne min IP adresse.
Grønn Pil:Info om at serveren har mottatt mitt ønske (Registration Respons)
og at de viser hva slags ønske det er (Release response). Etter det så fjerner de den.
Det som skjer er at jeg spør til skolens server at jeg vil fjerne min IP. Så sender serveren tilbake en melding om at den har mottatt meldingen og at den skal gjøre den.
Du releaser IP-en din vet at du går på CMD (Command Prompt).
Så skriver du "ipconfig /release" Husk mellomrom mellom "Ipconfig" og "/"
Renew
Rød Pil: info om at jeg ønsker å få en ny IP
Blå Pil: Serveren sier at de har fått meldingen
Her kan du se at jeg spør først serveren om jeg kan få en ny IP. Serveren ser den ved å snakke tilbake til meg og sier at de har mottatt meldingen. Så gir de meg en ny IP etter 2 sekunder.
Du skaffer deg en ny IP adresse ved å gå på CMD igjen og skriver "ipconfig /renew". Da får du ny IP adresse eller den samme.
NBNS (NETBIOS Name Service) er en protokoll som gjør om navn som vi kan lese, til IP adresser og motsatt.
Chat
Her så skulle vi se pakkene som kommer fra chat programmer (Skype, MSN, Facebook osv). Jeg og en annen venn av meg brukte Skype som en kommunikasjonsmetode. Wireshark viste klart frem hvilken IP adresse som snakket til hvem. Jeg er den blå pilen og vennen min er den grønne. Den røde pilen viser hvilken port meldingen kom fra og hvor den skulle. Da jeg klikket nærmere den så kunne jeg finne MAC-adressen til vennen min. Det er en adresse som er identiteten til PC. Hvis vi hadde brukt MSN så tror jeg at vi hadde funnet mye mer informasjon fordi MSN er ikke så veldig sikkert. Facebook går ikke på grunn av HTTPS krypteringen
Det du gjør er å la Wireshark stå oppe imens du snakker til en annen via disse programmene som ble nevnt tidligere, Da burde du få pakkene.
(User Datagram Protocol)
UDP protokoll er en protokoll som blir brukt til å sende meldinger til andre datamaskiner.
UDP er ikke til å stole på. Det er fordi disse sendte meldingene kommer kanskje ikke eller kommer ikke i samme rekkefølge. UDP er ikke pålitelig, men farten er utrolig god. UDP blir fortsatt brukt når noen applikasjoner skal bruke lite tid.
UDP er en forbindelsesløs protokoll. Det vil si at det er mulighet for at pakker ikke når målet sitt. Det kan skje også at hvis du sender to meldinger så kan de komme til mottakeren på forskjellig tid og i feil rekkefølge.
TCP (Transmission Control Protocol)
Det er nesten som UDP men mer pålitelig. Den lager en forbindelse imot setning til UDP. Den gjør den ved å gjøre et håndtrykk med mottakeren. Det kan du faktisk se på Wireshark. TCP blir mest brukt til å sende større mengder med datapakker. Det er fordi UDP kan miste de pakkene, men takket være håndtrykket så garanterer TCP at pakkene blir levert. Farten er ikke like god.
Ping
Rød Pil: Den viser IP adressen til vennen min
Blå Pil: Den viser min IP adresse
Rosa Pil: Den viser både reply (Tilbakemelding) og request (forespørsel)
Grønn Pil: Den viser hvor mange millisekunder det tok for å sende og motta pingene.
Du kan se når vi følger med på den som sendte en ping fikk først "Reply" fordi jeg sendte en ping før han. Så sendte han meg også en ping tilbake "Request". Nå snakker våre datamaskiner sammen.
ICMP (Internet Control Message Protocol)
ICMP Protokoll er opprinnelig laget for å finne feil i et datanettverk. Den kan tillate nettverksenheter til å bytte informasjon om f.eks. statusinformasjon og feil, når data blir utvekslet mellom en enhet til en annen.
Del 3
Fant ikke noen spesielt. Den kan sniffe cookies
Del 4
Wireshark kan bli brukt til mye rart som å finne feil selv om det ikke ser slik ut. Wireshark er lovlig hvis du sniffer på ditt eget nettverk. Hvis nettverket er åpent for alle, men ikke er ditt så kan det gå opp og ned. For private nettverk, ulovlig.
