師範大學 活用Wireshark分析常見網路事件

Presentation on theme: "師範大學 活用Wireshark分析常見網路事件"— Presentation transcript:

1 師範大學 活用Wireshark分析常見網路事件

2 大綱 前言 Sniffer 架構 工具介紹 Wireshark 介紹 常見網路事件分析 問題與討論

3 關於我 OuTian <outian@mail.outian.net> 現任 敦陽科技 資安服務處 資安顧問 經歷 – 認證 –
2007/2008/2009 台灣駭客年會講師、發表0day 多次政府、金融、電信、教育、企業單位之滲透測試服務 資安事件處理與蒐證 資安設備規劃與建置 認證 – CEH (Certified Ethical Hacker)

4 Sniffer 架構

5 Sniffer 運作方式 本機 Tap Mirror/Span Port In-Line sFlow

6 本機監聽

7 Tap Tap

8 Mirror/Span Port Mirror

9 In-Line

10 sFlow sFlow

11 Wireshark 介紹

12 Wireshark http://www.wireshark.org/ 早期名稱為 ethereal GUI/CLI 界面的封包截取工具
可作為 sniffer 截取封包來分析 亦可作為封包分析軟體 支援許多其他 sniffer 截取的封包檔

13 Wireshark 支援檔案類型 http://wiki.wireshark.org/FileFormatReference 常見檔案類型
tcpdump/wireshark (libpcap) Microsoft Network Monitor Sun snoop AIX iptrace HP-UX nettl Network Associates Sniffer Pro …..

14 下載

15 安裝 Windows Linux 安裝進系統 可攜式版本 yum apt urpmi tarball
yum -y install wireshark wireshark-gnome apt apt-get install wireshark urpmi urpmi wireshark tarball

16 執行

17 List the available capture interface

18 Show the capture options

19 內附指令介面工具 tshark rawshark capinfo editcap mergecap text2pcap dumpcap
文字界面的 wireshark rawshark 文字界面的封面截取工具 capinfo 顯示封包檔資訊 editcap 編輯封包檔 mergecap 合併封包檔 text2pcap 將文字文件轉為 pcap 封包檔格式 dumpcap

20 Preferences

21 Captured

22 Follow TCP Stream Follow Stream

23 Filter Field Relation Value 指定協定、欄位 is present == != > < >=
<= Value 指定值

24 Filter Example 列出 arp 封包 列出 80 port 連線 列出對 168.95.1.1 之 DNS 查詢
tcp.port == 80 列出對 之 DNS 查詢 ip.host == and udp.port == 53 列出 TCP SYN 封包 tcp.flags == 2 列出 HTTP Request http.request

25 Statistics Summary

26 Statistics Protocol Hierarchy

27 Statistics Conversations

28 Statistics Endpoints

29 Save as …

30 參考資源 User’s Guide Display Filter Reference Wiki Manual FAQ
Display Filter Reference Wiki Manual FAQ

31 參考書籍 Practical Packet Analysis: Using Wireshark to Solve Real-world Network Problems ISBN:

32 參考書籍 Wireshark Network Analysis ISBN:

33 Wireshark 認證 Wireshark Certified Network Analyst

34 即時分析IP來源 MaxMind GeoIP Database How To Use GeoIP With Wireshark
How To Use GeoIP With Wireshark

35 Enable GeoIP lookup

36 Specify GeoIP database directories

37

38

39 其他Sniffer工具 Tcpdump Windump Microsoft Network Monitor NetworkMiner
RawCap

40 其他 Flow 處理工具 Windows Unix SplitCap TCP Session Reconstruction Tool
TCP Session Reconstruction Tool Unix pcap-util.pl tcpflow tcpick httpry Tcpreplay / Tcprewrite

41 常見網路事件分析

42 Sample Captures

43 常見網路事件分析 防火牆規則測試 服務無法正常運作 連線緩慢 網路效能測試 IP 衝突 ARP 偽冒
TCP Session Hijacking DDoS 網路迴圈 解析 SSL 封包 NFS 掛載失敗

44 問題與討論