Filtriranje web adrese, korisničkog imena i lozinke u Wireshark programu

SVEUČILIŠTE U ZAGREBU FAKULTET PROMETNIH ZNANOSTI

PROGRAMSKI ZADATAK IZ KOLEGIJA RAČUNALNE MREŽE

Tema: Filtriranje web adrese, korisničkog imena i lozinke u Wireshark programu

Mentor:

Studenti: dr. sc. Ivan Grgurević

Zagreb, 2015.

Mario Kraljić

0036453017

Željko Majstorović

0135232496

Sadržaj:

1.

Uvod.......................................................................................................1

2.

Što je Wireshark i koje su njegove mogućnosti?....................................2

3.

Skeniranje mrežnog prometa..................................................................3

4.

Primjena odgovarajućeg filtera..............................................................5

5.

Očitavanje podataka iz paketa................................................................7 5.1 Statistika očitanih podataka..................................................................8

6.

Kako se zaštiti od skeniranja mreže?...................................................10

7.

Zaključak..............................................................................................11

Literatura.......................................................................................................12 Popis slika......................................................................................................13

1. Uvod Programski alat Wireshark koristi se za analizu mrežnih paketa. Radi se o alatu koji hvata podatke koji u paketima putuju mrežom i prikazuje ih na najdetaljniji mogući način. U prošlosti, alati slični Wiresharku su bili skupi i najčešće komercijalni. Dolaskom alata Wireshark na tržište situacija se promijenila. Wireshark je danas vjerojatno najbolji besplatni i open source alat dostupan na tržištu. Neki od primjera korištenja ovog alata su: 

otklanjanje problema na mreži,



analiza sigurnosnih ranjivosti,



razvoj i implementacija novih protokola te



učenje o mrežnim protokolima.

Wireshark je tzv. „cross-platform“ mrežni alat, što znači da može raditi na različitim platformama. Osim što radi na operacijskom sustavu Microsoft Windows, podržan je i na različitim Unix operacijskim sustavima među kojima su Linux, Mac OS X, BSD i Solaris. Također, postoji i inačica bez grafičkog sučelja (eng. Graphical User Interface) nazvana TShark. Wireshark i TShark su besplatni alati pod uvjetima GNU General Public licence (najraširenija licenca za slobodan softver). Kroz ovaj programski zadatak opisat ćemo postupak korištenja filtera za izdvajanje podatkovnih paketa koji sadrže korisničke podatke za prijavu na forum testnim profilom koji je kreiran u svrhu izrade ovog programskog zadatka.

1

2. Što je Wireshark i koje su njegove mogućnosti? Wireshark programski alat se koristi za analizu mrežnog prometa koji se definira kao paketi koji prenose sadržaj, a nastao je kao odgovor na potrebu za praćenjem prometa u mreži. Prva verzija se pojavila 1998. godine pod nazivom Ethereal i bila je dosta oskudna s funkcijama i protokolima koje je podržavao. Kako je vrijeme prolazilo tako se i Ethereal razvijao te dobio podršku za više protokola. 2006. godine Ethereal projekt je doživio reformu, od tada je poznat pod imenom Wireshark, a 2008. godine je predstavljena 1.0 verzija Wireshark programa što je punih 10 godina od kako je započeo razvoj tog programa. Wireshark je „Open Source“ program, što znači da se izvorni kod programa može besplatno preuzeti na službenim stranicama programa1. Wireshark program ima veliki broj mogućnosti koje su primjenjive u području optimizacije mreže, nadzoru mreže i sigurnosti mreže, a najbitnije funkcije su hvatanje podatkovnih paketa s mrežnog sučelja, prikazivanje paketa s vrlo detaljnim informacijama o mrežnom protokolu, otvaranje i spremanje paketa, uvoz i izvoz podataka u druge slične programe, pretraga i filtriranje paketa po raznolikim kriterijima i kreiranje različitih statistika.

1http://www.cert.hr/sites/default/files/NCERT-PUBDOC-2010-09312.pdf 2

3. Skeniranje mrežnog prometa Za skeniranje čitavog mrežnog prometa na vašem ruteru potrebno je Wireshark program pokrenuti s administratorskim ovlastima te u samom programu omogućiti „promiscuous mode“. Postavkama pristupate otvaranjem kartice Capture, zatim u padajućem izborniku odabrati Options te će vam se otvoriti izbornik s postavkama. Postavkama možete također pristupiti i kombinacijom tipki Ctrl + K.

Slika 1. Prikaz odabira Internet sučelja

Otvaranjem postavki vidimo popis internetskih sučelja, u ovom slučaju smo koristili Wi-Fi internet sučelje za bežični pristup internetu. Na dnu prozora postavljanjem kvačice se uključuje promiscuous mode.

3

Nakon što je odabrano Internet sučelje potrebno je pokrenuti skeniranje mrežnog prometa, a to se radi klikom na plavu peraju u gornjem lijevom kutu zaslona ili dvostrukim klikom na određeno sučelje. 2

Slika 2. Prikaz pokretanja opcije skeniranja Internet prometa

2https://cs.gmu.edu/~astavrou/courses/ISA_674_F12/WiresharkTutorial.pdf 4

4. Primjena odgovarajućeg filtera Za izdvajanje određene vrste paketa potrebno je primijeniti odgovarajući filter mrežnog prometa, u ovom slučaju radi se o HTTP (Hyper Text Transfer Protocol) protokolu kojim se prenose korisnički podaci za prijavu na osobni forumski profil. Uz HTTP protokol postoji i HTTPS, sigurnosna inačica HTTP protokola koji nam daje manje mogućnosti uvida u mrežni promet. Nakon što je pokrenuto skeniranje mrežnog prometa prijavili smo se na forum testnim profilom koji je kreiran u svrhu izrade programskog zadatka. Podaci koji su preneseni između našeg preglednika i web servera su zabilježeni Wireshark programom.

Slika 3. Prikaz odabira filtera za izdvajanje pojedine vrste paketa iz Internet prometa.

5

Kako bi iz mrežnog prometa izdvojili samo one pakete koji nose podatke poput korisničkog imena, lozinke i web adrese kojoj se pokušalo pristupiti korištena je http.request.method==“POST“ filter i Wireshark program je izdvojio tri paketa koji sadrže „POST“ metodu. 3

Slika 4. Prikaz korištenja http.request.method==“POST filtera za izdvajanje paketa

3http://www.howtogeek.com/104278/how-to-use-wireshark-tocapture-filter-and-inspect- packets/ 6

5. Očitavanje podataka iz paketa Dvostrukim klikom na paket koji je, u ovom slučaju prvi na popisu, otvaramo paket te u novom dijaloškom prozoru se može vidjeti mnoštvo informacija i između ostalog korisničko ime, lozinka i adresa web stranice.

Slika 5. Prikaz očitanja podataka iz izdvojenih paketa

Pomicanjem klizača na dno vidimo podatke koje je korisnik kako bi se prijavio na forum, razmijenio s web stranicom odnosno serverom. Iz očitanih podataka vidimo da je korisničko ime test01, lozinka njegovog forumskog profila je tester123, a stranica kojoj je pokušao pristupiti je wnovosti.freeforums.org. 4

4https://www.wireshark.org/download/docs/user-guide-a4.pdf 7

5.1 Statistika očitanih podataka Analiziranjem prometa Wireshark prikuplja podatke o tom prometu koji mogu biti izraženi u brojčanom ili grafičkom obliku kojeg možete pronaći klikom na karticu Statistics > I/O Graph. Grafički prikaz podataka nerijetko omogućava lakše razumijevanje ponašanja prometa, a dodatno olakšava to što korisnik prikaz grafa može podesiti po želji ovisno o onome što želi prikazati tim grafom. U ovom slučaju graf prikazuje broj paketa u proteklom vremenu, a paralelno s tim iscrtanim grafom prikazan je i graf sa pogreškama u TCP protokolu. Na grafu vidimo kako je skeniranje trajalo nešto više od 20 sekundi i najveći broj paketa koji je zabilježen u jednom trenutku je 280.

Slika 6: IO Graf skeniranog prometa.

8

Osim grafičkog Wireshark ima i brojčani prikaz podataka. Za potrebe izrade programskog zadatka korišten je HTTP Packet Counter koji nam je otkrio da je skeniranjem prometa otkrio ukupno 147 paketa. Paketi koji su nas u ovom slučaju više zanimali su POST paketi u kojima se nalaze povjerljivi korisnički podaci i zabilježena su takva četiri paketa.

Slika 7: Brojčani prikaz podataka skeniranog prometa

9

6. Kako se zaštiti od skeniranja mreže? Na prethodnim stranicama je opisan postupak kako se lako i bez nekog posebnog predznanja može doći povjerljivih podataka, samim time postavlja se pitanje kako se zaštiti od takvih napada ako se uopće mogu svrstati u kategoriju napada. Naravno, nije moguće spriječiti nekoga da skenira mrežni promet ali svaki korisnik zabrinut za svoju sigurnost može učiniti slijedeće: 

Izbjegavati surfanje na javnim mrežama koje koristi veliki broj ljudi Mrežu može skenirati samo osoba koja koristi istu mrežu kao vi, ta mreža ne mora nužno biti javna, može biti i mreža u kafiću ili radnom mjestu. Stoga, ako se želite zaštiti pripazite na koje mreže se spajate.



Korištenjem HTTPS protokola HTTPS (Hyper Text Transfer Protocol Secure) protokol omogućava kriptiranu komunikaciju i sigurnu identifikaciju web poslužitelja mreže. HTTPS veze često se koriste za novčane transakcije i ostale povjerljive transakcije u korporativnim informacijskim sustavima. Većina današnjih stranica poput Outlook-a, Gmail-a, Facebook-a i mnogih drugih HTTPS protokol koriste kao zadanu vezu, ali još uvijek postoji popriličan broj stranica koje još uvijek koriste HTTP protokol. Danas već postoje i dodaci (ekstenzije) za preglednike koji vas automatski preusmjeravaju na HTTPS verziju stranice, jedan takav dodatak je HTTPS Everywhere. Nedostatak ove vrste zaštite je što postoje stranice koje ne koriste HTTP protokol i dodatak u Internet pregledniku vas neće moći preusmjeriti na HTTPS verziju stranice jer



ona

ne

postoji.

Korištenje VPN ili SSH Proxy Upotreba VPN-a ili SSH Proxy tunela je najsigurnija opcija. VPN ili SSH tunel se može opisati kao posrednik između računala i servera koji vrši enkripciju tako da je promet u svakoj točki prijenosa zaštićen.

10

11

7. Zaključak Wireshark je jedan od najboljih besplatnih alata za analizu mrežnog prometa na tržištu. Titulu jednog od najboljih zaslužio je iz više razloga. On ima, uz konzolu za upis naredbi, grafičko korisničko sučelje koje korisnicima uvelike olakšava rad i snalaženje u alatu. Wireshark podržava sve važnije mrežne protokole i ima mogućnost nadogradnje za nove protokole tako da se do sada broj podržanih protokola popeo na više od stotinu. Wireshark na vrlo jednostavan i intuitivan način omogućuje korisnicima povezivanje te uvoz i izvoz podataka na druge i s drugih sličnih mrežnih analizatora kao što su dSniff i tcpdump. Rad s paketima, kao što je hvatanje ili filtriranje paketa, u potpunosti je prilagođen grafičkom sučelju Wiresharka tako da je potrebno minimalno znanje i vrijeme za savladavanje osnovnih funkcionalnosti. Po pitanju sigurnosti Wireshark ima određenih poteškoća, ali se one svakim danom otklanjaju i svaka nova inačica Wiresharka je sve sigurnija.Dodatno, pošto je alat open source svaki korisnik koji uoči sigurnosni problem može ga na svojoj inačici Wiresharka i samostalno ukloniti. Planovi za budućnost Wiresharka uključuju stvaranje korisničke pomoći za svaki podržani protokol, dodatno prilagođavanje Wiresharka novim inačicama operacijskog sustava Microsoft Windows te uklanjanje grešaka u kodu, pogotovo onih koje mogu naštetiti sigurnostikorisnika.

12

Literatura 1) http://www.cert.hr/sites/default/files/NCERT-PUBDOC-2010-09-312.pdf

(Prosinac,

2015.) 2) https://www.wireshark.org/download/docs/user-guide-a4.pdf (Prosinac, 2015.) 3) http://www.howtogeek.com/104278/how-to-use-wireshark-to-capture-filter-andinspect-packets/ (Siječanj, 2016.) 4) https://cs.gmu.edu/~astavrou/courses/ISA_674_F12/Wireshark-Tutorial.pdf (Siječanj, 2016.)

13

Popis slika Slika 1. Prikaz odabira Internet sučelja

str. 3.

Slika 2. Prikaz pokretanja opcije skeniranja Internet prometa

str. 4.

Slika 3. Prikaz odabira filtera za izdvajanje pojednine vrste paketa iz Internet prometa. str. 5. Slika 4. Prikaz korištenja http.request.method==“POST filtera za izdvajanje paketa

str. 6.

Slika 5. Prikaz očitanja podataka iz izdvojenih paketa

str. 7.

Slika 6. IO Graf skeniranog prometa

str. 8.

Slika 7. Brojčani prikaz podataka skeniranog prometa

str. 9.

14