Un guide pour débutants Wireshark - Partie 3 (La poignée de main TCP)


Parties 1 et 2 du présent article peuvent être trouvés ici:

Un guide pour débutants Wireshark - Partie 1

Un guide pour débutants Wireshark - Partie 2




En eux, je suis allé sur le processus d'installation de Wireshark et WinPcap sur un ordinateur Windows. Puis je ai regardé début Wireshark pour la première fois, en sélectionnant une interface et de faire une capture de paquets simple.

Cette troisième et dernière partie développe les deux parties précédentes et introduit les filtres.

Remarque: Cliquez sur les captures d'écran pour afficher une version plus grande



-tête IP

Auparavant, nous avons examiné l'en-tête TCP. Maintenant notre attention sur l'en-tête IP, et ce qu'il contient.

A quelques valeurs les plus intéressants sont présentés ici. Outre l'adresse IP de la source et la destination soit visible, nous pouvons voir que la version d'IP utilisée est 4 et que la longueur de la tête est de 20 octets. En outre, il existe aussi un champ qui définit le protocole que l'en-tête IP d'encapsulation est - dans notre cas, le protocole TCP. Toutes les informations utiles qui pourraient être utilisés pour la construction de filtres. Même si je touche sur cela plus tard, je vous suggère de suivre les liens à la fin de cet article pour plus d'informations à ce sujet.


Maintenant que nous sommes allés sur une capture de la base et la façon d'afficher toutes les informations contenues dans les paquets individuels, regardons comment nous pouvons filtrer les paquets. Nous allons essayer de notre acquisition de Google pour le moment. Disons que nous voulons pour afficher uniquement les paquets qui viennent de Google et pas ceux qui viennent de notre machine locale. Comment pouvons-nous le faire?

Simple.

Comme vous pouvez le voir, je ai ajouté un filtre de capture dans le tableau ci-dessus, qui énumère les paquets:

ip.src == 141.30.3.84

Ce est assez explicite et dit en fait que Wireshark pour voir tous les paquets qui ont une adresse IP source de 141.30.3.84. Après avoir appuyé sur Enter, la liste des paquets capturés change immédiatement pour ne afficher que les paquets que vous voulez voir. De toute évidence, l'utilisation de filtres peut se avérer extrêmement utile. Si vous utilisez Wireshark sur un grand réseau d'entreprise et voient des milliers de paquets chaque seconde passée à la mouche, vous ne pouvez pas éventuellement choisir ceux que vous voulez - surtout pas dans une capture directe. Mais en utilisant un filtre, ce est facile.

Vous pouvez filtrer la base d'un certain nombre de choses: la source, la destination, le protocole, le port, sous-réseau, drapeaux et plus.

Ce site Web fournit plus d'informations sur la façon de construire ces filtres. En cliquant sur le bouton à côté de la boîte du filtre d'expression peut également vous aider à construire, même si elle ne sera pas abordée dans cet article particulier.



Le TCP Handshake

Cette section est considérée comme appropriée, car elle pourrait être utile pour les personnes qui ne connaissent pas Wireshark. Tous les utilisateurs de Wireshark devraient être en mesure d'identifier une poignée de main TCP. Dans le passé, je ai besoin pour déterminer si une poignée de main TCP est en place ou si quelque chose - si le routage suspect, un pare-feu mal configuré ou une carte réseau défectueuse - empêche. Alors, comment pouvons-nous contrôler?

Jetez un oeil à l'écran suivant. Je ai commencé une nouvelle capture d'animaux vivants et a établi une nouvelle connexion à Google. Depuis une poignée de main TCP a lieu dès le début d'une connexion TCP, nous voulons nous concentrer sur le premier paquet.

Regardons ces premiers paquets, un par un.

1. De toute évidence une demande requête DNS, mon ordinateur (10.0.2.15) au serveur DNS (208.67.222.222) pour résoudre www.google.co.uk.
2. La réponse du serveur DNS avec l'adresse IP de Google (173.194.37.104).
3. Le premier paquet qui composent le handshake TCP. Le paquet SYN l'ordinateur envoie Google.
4. Google renvoie un ACK SYN (ce est un paquet avec les drapeaux SYN et ACK set - élargir l'en-tête de TCP comme nous l'avons fait avant d'examiner plus en détail)
5. Enfin, mon ordinateur a terminé la poignée de main en renvoyant un accusé de réception. Mon ordinateur et les serveurs de Google sont convaincus que la connexion est établie et le transfert de données commence.

Donc nous avons là un bon exemple d'une poignée de main à trois voies. Si vous n'êtes pas déjà familier avec le fonctionnement du TCP, ses drapeaux, et ainsi de suite, un peu de pratique pour identifier et comprendre ce que le paquet ne sera pas bientôt devenir beaucoup plus facile. Comme toutes les choses, la pratique est la clé!


Quoi de neuf?

Alors quelle est la prochaine? Eh bien, ce est à vous de décider. Dans cet article, je ai à peine effleuré la surface de ce que nous pouvons faire Wireshark. E 'était de donner une idée de la façon dont fonctionne Wireshark et ce qu'il est capable. La meilleure façon d'apprendre quelque chose de nouveau est de lancer sa propre, l'expérience et tout ce que vous pouvez à ce sujet lire. Voici quelques idées pour aller plus loin, si:

* Tourner Wireshark l'envoi d'e-mail en utilisant un client tel que Microsoft Outlook ou Thunderbird. Que pouvez-vous voir? Quels protocoles utilisez-vous? Vous êtes capable de lire l'un des messages?

* Que pouvez-vous faire quand vous faites une connexion cryptée? Qu'advient-il lorsque vous utilisez SSH?

* Exécutez Wireshark et ping quelque chose. Ping ne utilise pas TCP ou UDP, et ce que vous voyez?

* Si vous tombez sur tous les paquets étrange (et croyez-moi, il ya beaucoup de paquets étranges qui volent autour là-bas), les enquêtes. Que sont-ils? Quel est le protocole que vous utilisez? Quel genre de dispositif peut vous envoyer?


Se il ya suffisamment d'intérêt dans cet article, je peux écrire un autre, explorer plus de ce que Wireshark peut faire. Commentaires et suggestions sont les bienvenues.


Un guide pour débutants Wireshark - Partie 1

Un guide pour débutants Wireshark - Partie 2



prêt à prendre la prochaine étape? Je peux personnellement recommander ce qui suit:

Liens

  • Médias capture de réseau spécifique
    Informations sur les types de réseau pris en charge par Wireshark et sur lequel les plates-formes.
  • Guide de l'utilisateur Wireshark
    Une référence à l'énorme, plein de tout ce que vous devez savoir sur Wireshark.
  • Comment capturer WLAN (IEEE 802.11) le trafic
    Des directives détaillées pour l'acquisition de réseaux sans fil 802.11.
  • filtres d'acquisition
    Une description plus détaillée des différents filtres de capture peut être appliquée dans Wireshark.
  • TCP/IP
    Un guide bien écrit et en profondeur le fonctionnement du protocole TCP/IP.

(0)
(0)

Commentaires - 0

Sans commentaires

Ajouter un commentaire

smile smile smile smile smile smile smile smile
smile smile smile smile smile smile smile smile
smile smile smile smile smile smile smile smile
smile smile smile smile
Caractères restants: 3000
captcha