- Kompletní průvodce analýzou a
diagnostikou sítí
- Angela Orebaugh, Gilbert
Ramirez, Josh Burke, Greg Morris, Larry Pesce,
Joshua Wright
978-80-251-2048-4
Computer Press
2008
Program WireShark je známá
open-source aplikace pro odchytávání paketů na
počítačové síti a její následnou analýzu. Druhé jméno
uvedené v titulku knihy – Ehtereal – je původní název
programu Wireshark. K přejmenování došlo z licenčních
důvodů v polovině roku 2006.
První kapitola obsahuje všehochuť základních znalostí
spojených s odchytáváním paketů a analýzou sítě. Je zde
např. popsán OSI model sítě, motivace k odchytávání
paketů, problematika odchytávání na přepínačích, úvod
do protokolů rodiny TCP/IP. Lze zde najít i informace
spojené se zneužíváním analyzátorů sítě útočníky,
detekcí odchytávání paketů a ochraně před odchytáváním
paketů.
Druhá kapitola je krátkým úvodem do používání programu
Wireshark. Většina témat je podrobněji rozepsána v
následujících kapitolách. Třetí kapitola obsahuje
jednoduchou kuchařku na získání a instalaci
programu.
Na přibližně 75 stránkách čtvrté kapitoly autoři
popisují uživatelské rozhraní programu včetně ukázek
obrazovek a ukázek vytvářených grafů. Na konci kapitoly
jsou uvedeny parametry, které lze uvést na příkazové
řádce při spuštění programu.
Program Wireshark používá dva rozdílné typy filtrů,
které se i odlišně zapisují. Zachytávací filtry se
používají pro omezení odchytávaných paketů a pro zápis
pravidel se používá syntaxe ze známého programu
tcpdump. Zobrazovací filtry umožňují z již odchycených
paketů vybírat pakety zajímavé pro vlastní analýzu. Oba
typy filtrů autoři popsali v páté kapitole, která
obsahuje i mnoho příkladů jejich použití.
Odchytávání paketů v bezdrátových sítích je složitější,
než při připojení do sítě pomocí „drátu“. Závisí na
umístění monitorovací stanice, na operačním systému, na
typu bezdrátové karty a dalších okolnostech. Na začátku
šesté kapitoly se čtenáři dozvědí o možnostech
odchytávání paketů bezdrátové sítě a to nejen s
využitím programu Wireshark, ale i pomocí programů
AirPcap či Kismet. Na příkladech analýzy odchycených
paketů pomocí programu Wireshark autoři vysvětlí i
mnoho problémů bezdrátových sítí, např. identifikaci
skrytých SSID, sdílení účtů pro ověřování pomocí
protokolu EAP či různé útoky v sítích 802.11. Tato
kapitola obsahuje i mnoho konkrétních ukázek možností
programu Wireshark – příklady filtrů, obarvování
odchycených paketů, různé typy grafů.
Sedmá kapitola nazvaná „Zachytávání paketů v praxi“ je
spíše zklamáním. Jsou zde popisovány postupy, jak
odhalit trojany a červy na počítačové síti. Výběr
trojanů je zastaralý – NetBus je z roku 1998,
BackOrifice z roku 1999, atd. V případě analýzy červů
je to podobné (SQL Slammer z roku 2003, Code Red z roku
2001, Ramen též z roku 2001).
Osmá kapitola je určena pro vývojáře různých rozšíření
pro Wireshark, hlavně modulů pro analýzu specifických
protokolů. Poslední kapitola popisuje další programy,
které se nainstalují společně s programem Wireshark.
Nejzajímavější z nich je program tshark pro odchytávání
paketů, který nepoužívá grafické uživatelské rozhraní.
Tento program je zmiňován i několikrát v textu
předchozích kapitol.
Seznámení se s odchytáváním paketů a analýzou síťového
provozu považuji za nezbytnou součást kurzů
počítačových sítí. Tato kniha míří ale spíš k
profesionálním správcům sítí, kteří často potřebují
odchytávat síťový provoz a následně jej analyzovat.
Wireshark je pouze nástroj, v knize se správce dozví,
jak ho efektivně používat. Pro vlastní analýzu provozu
je dále potřeba znát podrobně analyzovaný protokol
(např. SIP při problémech VoIP komunikace). Popis
těchto protokolů není a ani nemůže být součástí této
knihy a správce sítě se musí obrátit na jinou
literaturu či na informační zdroje na Internetu.
open-source aplikace pro odchytávání paketů na
počítačové síti a její následnou analýzu. Druhé jméno
uvedené v titulku knihy – Ehtereal – je původní název
programu Wireshark. K přejmenování došlo z licenčních
důvodů v polovině roku 2006.
První kapitola obsahuje všehochuť základních znalostí
spojených s odchytáváním paketů a analýzou sítě. Je zde
např. popsán OSI model sítě, motivace k odchytávání
paketů, problematika odchytávání na přepínačích, úvod
do protokolů rodiny TCP/IP. Lze zde najít i informace
spojené se zneužíváním analyzátorů sítě útočníky,
detekcí odchytávání paketů a ochraně před odchytáváním
paketů.
Druhá kapitola je krátkým úvodem do používání programu
Wireshark. Většina témat je podrobněji rozepsána v
následujících kapitolách. Třetí kapitola obsahuje
jednoduchou kuchařku na získání a instalaci
programu.
Na přibližně 75 stránkách čtvrté kapitoly autoři
popisují uživatelské rozhraní programu včetně ukázek
obrazovek a ukázek vytvářených grafů. Na konci kapitoly
jsou uvedeny parametry, které lze uvést na příkazové
řádce při spuštění programu.
Program Wireshark používá dva rozdílné typy filtrů,
které se i odlišně zapisují. Zachytávací filtry se
používají pro omezení odchytávaných paketů a pro zápis
pravidel se používá syntaxe ze známého programu
tcpdump. Zobrazovací filtry umožňují z již odchycených
paketů vybírat pakety zajímavé pro vlastní analýzu. Oba
typy filtrů autoři popsali v páté kapitole, která
obsahuje i mnoho příkladů jejich použití.
Odchytávání paketů v bezdrátových sítích je složitější,
než při připojení do sítě pomocí „drátu“. Závisí na
umístění monitorovací stanice, na operačním systému, na
typu bezdrátové karty a dalších okolnostech. Na začátku
šesté kapitoly se čtenáři dozvědí o možnostech
odchytávání paketů bezdrátové sítě a to nejen s
využitím programu Wireshark, ale i pomocí programů
AirPcap či Kismet. Na příkladech analýzy odchycených
paketů pomocí programu Wireshark autoři vysvětlí i
mnoho problémů bezdrátových sítí, např. identifikaci
skrytých SSID, sdílení účtů pro ověřování pomocí
protokolu EAP či různé útoky v sítích 802.11. Tato
kapitola obsahuje i mnoho konkrétních ukázek možností
programu Wireshark – příklady filtrů, obarvování
odchycených paketů, různé typy grafů.
Sedmá kapitola nazvaná „Zachytávání paketů v praxi“ je
spíše zklamáním. Jsou zde popisovány postupy, jak
odhalit trojany a červy na počítačové síti. Výběr
trojanů je zastaralý – NetBus je z roku 1998,
BackOrifice z roku 1999, atd. V případě analýzy červů
je to podobné (SQL Slammer z roku 2003, Code Red z roku
2001, Ramen též z roku 2001).
Osmá kapitola je určena pro vývojáře různých rozšíření
pro Wireshark, hlavně modulů pro analýzu specifických
protokolů. Poslední kapitola popisuje další programy,
které se nainstalují společně s programem Wireshark.
Nejzajímavější z nich je program tshark pro odchytávání
paketů, který nepoužívá grafické uživatelské rozhraní.
Tento program je zmiňován i několikrát v textu
předchozích kapitol.
Seznámení se s odchytáváním paketů a analýzou síťového
provozu považuji za nezbytnou součást kurzů
počítačových sítí. Tato kniha míří ale spíš k
profesionálním správcům sítí, kteří často potřebují
odchytávat síťový provoz a následně jej analyzovat.
Wireshark je pouze nástroj, v knize se správce dozví,
jak ho efektivně používat. Pro vlastní analýzu provozu
je dále potřeba znát podrobně analyzovaný protokol
(např. SIP při problémech VoIP komunikace). Popis
těchto protokolů není a ani nemůže být součástí této
knihy a správce sítě se musí obrátit na jinou
literaturu či na informační zdroje na Internetu.