師範大學 活用Wireshark分析常見網路事件

大綱 前言 Sniffer 架構 工具介紹 Wireshark 介紹 常見網路事件分析 問題與討論

關於我 OuTian <outian@mail.outian.net> 現任 敦陽科技 資安服務處 資安顧問 經歷 – 認證 – 2007/2008/2009 台灣駭客年會講師、發表0day 多次政府、金融、電信、教育、企業單位之滲透測試服務 資安事件處理與蒐證 資安設備規劃與建置 認證 – CEH (Certified Ethical Hacker)

Sniffer 架構

Sniffer 運作方式 本機 Tap Mirror/Span Port In-Line sFlow

本機監聽

Tap Tap

Mirror/Span Port Mirror

In-Line

sFlow sFlow

Wireshark 介紹

Wireshark http://www.wireshark.org/ 早期名稱為 ethereal GUI/CLI 界面的封包截取工具 可作為 sniffer 截取封包來分析 亦可作為封包分析軟體 支援許多其他 sniffer 截取的封包檔

Wireshark 支援檔案類型 http://wiki.wireshark.org/FileFormatReference 常見檔案類型 tcpdump/wireshark (libpcap) Microsoft Network Monitor Sun snoop AIX iptrace HP-UX nettl Network Associates Sniffer Pro …..

下載 http://www.wireshark.org/download.html

安裝 Windows Linux 安裝進系統 可攜式版本 yum apt urpmi tarball yum -y install wireshark wireshark-gnome apt apt-get install wireshark urpmi urpmi wireshark tarball

執行

List the available capture interface

Show the capture options

內附指令介面工具 tshark rawshark capinfo editcap mergecap text2pcap dumpcap 文字界面的 wireshark rawshark 文字界面的封面截取工具 capinfo 顯示封包檔資訊 editcap 編輯封包檔 mergecap 合併封包檔 text2pcap 將文字文件轉為 pcap 封包檔格式 dumpcap

Preferences

Captured

Follow TCP Stream Follow Stream

Filter Field Relation Value 指定協定、欄位 is present == != > < >= <= Value 指定值

Filter Example 列出 arp 封包 列出 80 port 連線 列出對 168.95.1.1 之 DNS 查詢 tcp.port == 80 列出對 168.95.1.1 之 DNS 查詢 ip.host == 168.95.1.1 and udp.port == 53 列出 TCP SYN 封包 tcp.flags == 2 列出 HTTP Request http.request

Statistics Summary

Statistics Protocol Hierarchy

Statistics Conversations

Statistics Endpoints

Save as …

參考資源 User’s Guide Display Filter Reference Wiki Manual FAQ http://www.wireshark.org/docs/wsug_html_chunked/ Display Filter Reference http://www.wireshark.org/docs/dfref/ Wiki http://wiki.wireshark.org/ Manual http://www.wireshark.org/docs/man-pages/ FAQ http://www.wireshark.org/faq.html

參考書籍 Practical Packet Analysis: Using Wireshark to Solve Real-world Network Problems ISBN: 1593271492

參考書籍 Wireshark Network Analysis ISBN: 1-893939-99-5

Wireshark 認證 Wireshark Certified Network Analyst http://www.wiresharktraining.com/certification

即時分析IP來源 MaxMind GeoIP Database How To Use GeoIP With Wireshark http://geolite.maxmind.com/download/geoip/database/ How To Use GeoIP With Wireshark http://wiki.wireshark.org/HowToUseGeoIP

Enable GeoIP lookup

Specify GeoIP database directories

其他Sniffer工具 Tcpdump Windump Microsoft Network Monitor NetworkMiner RawCap

其他 Flow 處理工具 Windows Unix SplitCap TCP Session Reconstruction Tool http://www.netresec.com/?page=SplitCap TCP Session Reconstruction Tool http://www.codeproject.com/KB/IP/TcpRecon.aspx Unix pcap-util.pl http://www.badpenguin.co.uk/main/content/view/46/1/ tcpflow http://www.circlemud.org/~jelson/software/tcpflow/ tcpick http://tcpick.sourceforge.net/ httpry http://dumpsterventures.com/jason/httpry Tcpreplay / Tcprewrite http://tcpreplay.synfin.net/

常見網路事件分析

Sample Captures http://wiki.wireshark.org/SampleCaptures

常見網路事件分析 防火牆規則測試 服務無法正常運作 連線緩慢 網路效能測試 IP 衝突 ARP 偽冒 TCP Session Hijacking DDoS 網路迴圈 解析 SSL 封包 NFS 掛載失敗

問題與討論