SPD3_15_03

Instrukcja numer SPD3/15_03/Z

© by Darek, Janusz, Andrzej i Robert

NR SPD3/15_03/Z

[v. 1.2]

Strona 1/6

„Pracownia internetowa w ka

dej szkole”

(edycja jesie

2005)

Opiekun pracowni internetowej cz. 3 (PD3)

Podsłuch w sieci

Wst

Niniejsza instrukcja ma na celu zasygnalizowanie możliwości związanych z analizowaniem
pakietów przesyłanych w twojej sieci lokalnej. Stanowi uzupełnienie wiadomości
dotyczących monitorowania prowadzonego przy wykorzystaniu narzędzi zawartych w ISA
Server, z którymi mieli Państwo okazję się zapoznać 5 dnia drugiej części szkolenia

Należy  pamiętać,  że  czasami  bardzo  trudno  się  zabezpieczyć  przed  taką  metodą
pozyskiwania  informacji,  dlatego  też  musisz  mieć   świadomość,  że  w  sieci  Internet  jest
dostępnych  wiele  narzędzi  do  analizowania  ruchu.  Korzystając  z  zasobów  sieciowych
powinieneś brać pod uwagę możliwość przechwycenia przez osoby postronne przesyłanych
przez ciebie informacji.

Zadanie 1
Instalacja oprogramowania do podsłuchu w sieci

Dlaczego instalujemy program WinPcap?

..................................................................................

Polecenie 1 (wykonujemy tylko na stacjach roboczych)

Instalacje programu WinPcap w wersji 3.0

Zaloguj się na stacji roboczej jako Administrator

Uruchom program WinPcap.exe znajdujący się w katalogu Ethereal na płycie otrzymanej od
prowadzącego.

W oknie WinPcap 3.0 Setup wybierz przycisk Next

W oknie WinPcap 3.0 Setup License Agrement zaznacz pole Yes, I agree all the terms of this
license agreement i wybierz przycisk Next. Instalator rozpocznie instalację plików

W oknie WinPcap 3.0 Setup Readme information wybierz przycisk Next

W oknie WinPcap 3.0 Setup Instalation Complete wybierz przycisk OK.

Podsłuch w sieci

© by Darek, Janusz, Andrzej i Robert

NR SPD3/15_03/Z

[v. 1.2]

Strona 2/6

Wskazówka

Więcej na temat bibliotek WinPcap dowiesz się na stronie politechniki w Turynie znajdującej się pod
adresem http://www.polito.it

Polecenie 2 (wykonujemy tylko na stacjach roboczych)

Instalacja programu Ethereal w wersji 0.10.8

Będąc zalogowany jako Administrator, uruchom program Ethereal.exe znajdujący się w folderze
Ethereal na szkoleniowej płycie CD otrzymanej od prowadzącego.

W oknie Ethereal 0.10.8 Setup wybierz przycisk Next

W oknie Ethereal 0.10.8 Setup License Agreement wybierz przycisk I Agree

W oknie Ethereal 0.10.8 Setup Choose Components wyberz przycisk Next >

W oknie Ethereal 0.10.8 Setup Choose Install Location wybierz przycisk Install
(poczekaj, aż zakończy sie proces instalcji)

W oknie Ethereal 0.10.8 Setup Installation Complete wybierz przycisk Next >

W oknie Completing the Ethereal 0.10.8 Setup Wizard wybierz przycisk Finish.

Wskazówka

Więcej na temat programu Ethereal oraz pełną jego dokumentację możesz znaleźć pod adresem
http://www.ethereal.com. Program ten rozpowszechniany jest na licencji GNU GPL. Więcej na ten
temat dowiesz się pod adresem http://www.gnu.org/home.pl.html.

Notatka

..................................................................................

Podsłuch w sieci

© by Darek, Janusz, Andrzej i Robert

NR SPD3/15_03/Z

[v. 1.2]

Strona 3/6

Zadanie 2

Podsłuch w sieci … czy sie

podsłuchów?

Program Ethereal ma możliwość podsłuchiwania pakietów tylko w ramach wskazanego
segmentu sieci. Tak więc uruchomienie na stacji roboczej ogranicza go tylko do podsłuch
w ramach wszystkich stacji roboczych działających w tym segmencie.

Wniosek: możesz być podsłuchiwany jedynie przez swoich użytkowników.

Polecenie 1 (wykonujemy tylko na stacjach roboczych)

Przygotowanie się do podsłuchu w sieci

Będąc zalogowanym na stacji roboczej jako Administrator, wybierz z paska zadań kolejno
Start

Uruchom…

W oknie Uruchamianie wpisz cmd i naciśnij klawisz Enter

W oknie wiersza poleceń wpisz polecenie ipconfig /all i wciśnij Enter

Odczytaj pola Opis oraz adres IP karty sieciowej. Dane zapisz w odpowiedziach na poniższe
pytania.

Pytanie

Jaki ma opis karta sieciowa, przez którą jesteś podłączony do sieci Internet? Przez tą kartę będzie
prowadzony nasłuch.

Opis:

..........................................................................

..................................................................................

Jaki jest adres IP karty sieciowej, przez którą będzie dokonywany nasłuch?

Adres IP:

....................................................................

..................................................................................

Jaka jest nazwa twojego serwera SBS?

..................................................................................

Zamknij okno wiersza poleceń

Polecenie 2 (wykonujemy tylko na stacjach roboczych)

Będąc zalogowanym na stacji roboczej jako Administrator, wyłącz klienta FireWall na pasku
zadań

Dlaczego wyłączamy klienta FireWall?

..................................................................................

Będąc zalogowanym na stacji roboczej jako Administrator, uruchom program Ethereal
wybierając kolejno Start

Wszystkie programy

Ethereal

Wciśnij kombinację klawiszy Ctrl – K

W oknie Ethereal: Capture Options z listy Interface wybierz nazwę karty sieciowej zapisanej

Podsłuch w sieci

© by Darek, Janusz, Andrzej i Robert

NR SPD3/15_03/Z

[v. 1.2]

Strona 4/6

wcześniej

jeżeli na komputerze jest zainstalowana tylko jedna karta sieciowa powinna ona być domyślnie
wybrana

jeżeli w systemie masz więcej niż jedną kartę sieciową to koniecznie upewnij się czy jest
wybrana odpowiednia karta sieciowa.

Poniżej listy Interface znajduje się adres IP wybranej karty sieciowej – w ten sposób możesz
upewnić się, czy wybrałeś odpowiednią kartę.

W oknie Ethereal: Capture Options wybierz OK
(na ekranie pojawi się nowe okienko zatytułowane – Etheral: Capture – Interface
\Device\NPF_{<numer>})

Nawiązywanie przykładowych połączeń, które zostaną przechwycone przez program Ethereal

Uruchom program Internet Explorer i w polu adres wpisz:

ftp://nauczyciel001n@sbsyy

gdzie yy to numer serwera szkoleniowego

..................................................................................

W oknie Logowanie w polu Nazwa użytkownika wpisz nauczyciel001n

W oknie Logowanie w polu hasło wpisz nauczyciel

W oknie Logowanie wybierz przycisk Zaloguj i poczekaj, aż połączenie zostanie nawiązane

10.

Zamknij okno Internet Explorer

11.

Na pasku zadań odszukaj przycisk programu Ethereal i naciśnij go lewym przyciskiem myszy

12.

W oknie Ethereal: Capture – Interface\... wybierz przycisk Stop
(pojawi się okno wczytywania danych, które po chwili zniknie)

13.

W oknie (Untitled) Ethereal w polu Filter wpisz: ftp.response.code == 230 (pole Filter powinno
mieć kolor zielony) i wciśnij klawisz Enter

14.

W tabeli znajdującej się w oknie (Untitled) Ethereal pod polem Filter wyświetlona została lista
autoryzowanych połączeń FTP (może być ich więcej niż jedna, co wynika ze sposobu komunikacji
z wykorzystaniem protokołu FTP).

15.

W tabeli znajdującej się w oknie (Untitled) Etheral wybierz prawym przyciskiem myszy jedną z
pozycji

16.

Z menu kontekstowego wybierz opcję Follow TCP Stream

17.

Na ekranie pojawia się okno Follow TCP Stream zawierające zapis połączenia pomiędzy
serwerem FTP, a stacją roboczą.

Na czerwono zaznaczone są dane wysyłane ze stacji do serwera,

Na niebiesko zaznaczone są dane wysyłane przez serwer do stacji.

Drugi wiersz (koloru czerwonego) rozpoczyna się słowem USER a po nim występuje nazwa
użytkownika, który łączył się z serwerem FTP

Czwarty wiersz (koloru czerwonego) rozpoczyna się słowem PASS a po nim jest zapisane
hasło użyte do autoryzacji na serwerze FTP

18.

Zamknij okno Follow TCP Stream przyciskiem Close

19.

W oknie (Untitled) Ethereal naciśnij Ctrl-Q

Podsłuch w sieci

NR SPD3/15_03/Z

[v. 1.2]

Strona 5/6

20.

W oknie Ethereal wybierz przycisk Continue without Saving

Dlaczego wyłączamy klienta FireWall?

..................................................................................

21.

Włącz klienta FireWall i przejdź do punktu 2 przechodząc próbę podsłuchania danych
wędrujących po sieci przy włączonym kliencie FireWall

Czy przy włączonym kliencie FireWall, można podsłuchać hasło wysyłane do lokalnego
serwera FTP? Jeżeli tak, to dlaczego?

..................................................................................

22.

Przejdź do punktu 2, ale w punkcie 6 w polu Adres wpisz
ftp://nauczyciel001n@<adres_ip_serwera_sąsiadów

23.

Wyłącz klient klienta FireWall i wykonaj ponownie punkt 22

☺

Czy wewnątrz sieci można przechwycić hasło wysyłane przez stację roboczą do zewnętrznego
serwera FTP – jeżeli tak, to kiedy?

..................................................................................

W jakim celu definiujemy filtry w programie Ethereal?

..................................................................................

Co dokładnie oznaczają przykładowe filtry?

Ip.src == <adres_ip> – powoduje przefiltrowanie wyników i wyświetlenie tylko tych ramek w których
zapisane jest, że nadawcą jest komputer o określonym adresie IP;
dns.flags.opcode == 0 – powoduje wyświetlenie wszystkich ramek w których wysyłane jest  żądanie
zamiany nazwy internetowej na adres IP. Każde połączenie w sieci Interen w którym używa się nazw
zanim  zostanie  ono  zestawione  to  jest  wykonywana  zamiana  nazwy  internetowej  na  adres  IP.
Parametr 0 (zero) oznacza zapytanie standardowe o adres IP;
ftp.response.code  ==  230  –  każdy  etap  połączenia  w  przypadku  transmisji  FTP  uzgadniany  jest
przesłaniem  odpowiedniego  kodu  i  tak  zaraz  po  poprawnym  zalogowaniu  się  na  serwerze  FTP,
serwer  przesyła  do  stacji  informację  o  kodzie  230.  Jeżeli  użytkownikowi  nie  udałoby  się  zalogować
z powodu błędnie wprowadzonego hasła to przesłana by była informacja kodzie 331.

Więcej na temat działania usług internetowych dowiesz się z dokumentów RFC zamieszczonych na
stronie http://www.ietf.org

Podsłuch w sieci

NR SPD3/15_03/Z

[v. 1.2]

Strona 6/6

Wskazówka

Korzystając z tego programu możesz z powodzeniem przechwytywać całe strony WWW i odczytywać
zawarte na nich informacje (np: przesyłany PIN czy dane osobowe), przechwytywać zawartość
przesyłanych listów w sieci itp.

Porada

Pamiętaj, bezpieczeństwo połączenia zapewnia jego szyfrowanie. Jak widać dane przesyłane w innej
formie mogą zostać łatwo przechwycone i odczytane. Protokoły zapewniające szyfrowanie to: https
(do bezpiecznego korzystania z WWW), sftp (do bezpiecznego korzystania z FTP) i SSH (do
nawiązywania szyfrowanego połączenia – odpowiednik protokołu telnet).

Notatka

..................................................................................