Wireshark (Testing only)

Wireshark Oppgave (Testing only)

Denne uken har vi fått i oppgave å bruke wireshark, vi skal se hvordan vi overvåker pakker som blir sendt på nettverket og PCer.

WireShark

Dette programmet kan brukes til forskjellig ting den kan overvåke pakke på nettverket den kan feil søke pakker, analysere pakker og programvare. Men selvsagt kan det brukes over en grense som ikke er lov. I denne oppgaven skal vi teste ulike ting hva programmet kan faktisk gjøre, dette er bare testing alle er helt klar over og har god tatt at vi overvåker hverandre i denne oppgaven.

Hub

Når det er koblet mange PCer til en hub så vil all data bli sendt til alle som er koblet til den, f eks hvis en av PCene skal sende en fil på 300 Mb så vil alle de andre PCene som er koblet til hub få de 300 Mb også. Da er det mulig og overvåke med WireShark.

Switch

En switch vil sende dataen kun til den bestemte PCen som skal ha dataen, dette gjør det vanskeligere for andre å overvåke nettverket spesielt personer som har ufine tanker her vil ikke Wireshark funke. Men hvis man er administrator så kan man overvåke PCer som er koblet til switchen, med mirror den gjør at du får alle pakker som blir sendt og tatt i mot fra den PCen som blir overvåket.

DEL 1

Jeg skal pinge en annen PC, men vi måte ha en hub for å få samme submask, så vi kan pinge hverandre. Deretter starta jeg opp Wireshark starta søk, da vil den starte og overvåke pakker på nettverket. Så vi tok opp CMD og ga IP adressen til hverandre her ser du vi pinger hverandre og at WireShark overvåker. Man ser Ping request sendt i WireShark og du ser ping reply.

Så skulle vi bare surfe litt på nettet i noen minutter, stoppet WireShark deretter så vi gjennom pakkene vi så mange forskjellige pakker fra forskjellige nettsider som vi hadde vært på.

DEL 2

Traceroute den vister veien en pakker går for komme fram til et sted. For eksempel skriver traceroute www.youtube.com så vil man se veien pakkene går før den kommer til youtube.

Her er et eksempel her bruker vi icmp filter fordi det er for ping, er sender den ut ping request til forskjellig IP adresser og ping reply fra forskjellig IP adresser.

Hva skjer når maskinen rebooter?

Nå skal vi prøve å reboot en PC og se hva som skjer i WireShark når en PC blir rebootet, jeg skal reboot PCen min mens en har WireShark oppe til å se hva som skjer når jeg rebooter PCen.

Logger av

Når PCen slår seg av så ser vi at den disconneter seg fra server treet, den leaver membership group som er en submask dette er protocol SMB2. PC-en sender en forespørsel til serveren for å få info fra en som heter samr med protocol SMB2. deretter sender den domain lookup som er SAMR protocol. Det kommer opp så mye av det samme så begynner den lukke filer og forspørseler. Den leaver submask groupen 239.255.255.250. så kommer det mye standard guery til serveren i forskjellige IP adresser. Deretter logger PC-en seg av.

Hva skjer når maskinen logger på?

Logger på

PC-en starter opp igjen det kommer masse Protocol av DNS som er Standard query, så registrerer den NBNS dette er nesten det samme som DNS, denne registrer BFKSKOLE også hovs-be”bruker ID” som er domain bruker navn. Deretter er mer Standard query, “TreeConnect” denne sender en forspørsel til serveren "\\(Server)\***". Så pinger PC med IP (IP adresse) til IP (IP adresse) den  ICMP protocol Litt etter er en protocol SMB2 den sender en forespørsel  om å hente en fil som heter gpt.ini denne filen har noe med group policyen på serveren

Den setter opp en nettverks printer dette ligger under protocol 

Lenger ned ser vi mer SMB2 protocol hvis kjører logon script skolebfk.bat og hovs_elever.bat logon script

Når PCen har fått alt den spør om så stenger den forespørslene som den sendte, vi ser det er masse error hvor PCen får masse access denied mange forskjellig ting. 

Hva skjer når dere releaser adressen?

Den sier til serveren at den ikke trenger IP adressen lenger på når jeg skrev “Ipconfig /release” vi hadde WireShark på en annen PC da ser vi at det kommer TCP, DHCP og MSNMS protocoler vi ser på “DHCP Release – Transaction ID 0xdc85b5f5”

Hva skjer når dere renewer adressen?

PC-en spør ruteren om å få ny IP adresse,

Ser dere innholdet i kommunikasjonen (MSN)?

Vi kan se all kommunikasjon i alle samtalene på MSN som er på PCen alt som blir sendt og mottatt, det som blir skrivet i msn chat ligger under protocol MSNMS 

her har jeg filtret til IP serveren som msn er på så jeg ser alle pakker og neder, på bilde ser du at det er ukryptert skrift.

Del 3

Finner dere noe annen spennende dere kan teste med Wireshark?

 Vi testet om det er mulig å se brukernavn og passord på en side, som vi vet ikke bruker HTML5 fordi da blir det blokka. Så når vi fant siden starta vi WireShark og når han gikk på siden da så vi IP adressen våres og IP adressen til nettsiden vi er på. På bilde ser du først våres IP på source og på destination ser vi IP adressen til nettsiden, nå tar vi søker på IP adressen til nettsiden da kan vi se alle i nettverket som gjør noe på denne siden. Vi skriver bare ip.addr == “ip adresse” da kan vi se alle pakker som blir sendt og mottatt. Sånne ting som blir skrivet pleier å ligge i en pakke som det står post på.

Her søkte vi på IP adressen så prøvde vi deretter logge inn på siden, med bare et brukernavn “test” og passord “test123” her kan man se post pakken og neder på bilde ser man 

“name=test&password=test123”

Dette er en måte å misbruke programmet på, ved å overvåke sånne tider som ikke er kryptert så du kan se folk logge på.

Del 4 

Er dette ett lovelig produkt å benytte? Hvorfor/hvorfor ikke?

Dette programmet er lovlig og gratis brukers som er verktøy til feilsøking, analysering av pakker og programvare. Men jeg vil si at det er lovlig til en vis begrensning, siden det kan brukes til ulovlig handlinger som overvåke privat samtaler og hente in passord til siden som ikke har det kryptert.

Martin Sønsterud