Wireshark
Denne første uken i 2012 har vi jobbet med et nytt program, nemlig wireshark. Dette er et program som er veldig nyttig for IT personell og bedrifter/skoler i hele verden. Programmet er gratis og jeg synes det er veldig interessant. Programmet er av type nettverks sniffer typen. Det vil si at det brukes på nettverk og sniffer egentlig alt som går gjennom det nettverket. Nå tenker du sikker "men dette er jo ikke lov". Men jo, dette er et helt lovlig program. Det er heller bruken av det som kan bli ulovlig, vist man bruker det feil. Dette programmet skal brukes til og hente informasjon fra nettverk, for eksempel: Du drifter et nett på en skole, trafikken på nettet er veldig stor og det er liten kapasitet til overs. Da kan man koble en datamaskin inn på nettet, enten direkte eller mer effektivt, via en mirror port på en hoved switch. Denne kan lett lages av IT personell med admin rettigheter på switchen. Etter dette er gjort kan han sniffe nettet for og finne ut hvem som bruker mye kapasitet og hva det er personen gjør. Alt av informasjon vil komme opp, så vist man har mistanke for at noen gjør noe dem ikke skal, kan dette lett sjekkes. Når jeg sier alt informasjon så mener jeg alle pakker som går via nettet, krypterte pakker vil ikke kunne leses, altså dette er ikke et program som sniffer passord og sånn informasjon så lett. Jo det er noen sider som kjører med null kryptering eller skuling av passord/brukernavn og da vil dette komme opp. Det finnes en oppgradering for og lese krypterte pakker, men denne har man egentlig ikke bruk for. Men til passord sniffing fins det langt bedre programmer. Wireshark er lager for og hjelpe IT folk i hverdagen vist man kan kalle det det.
Når vi i klassen har drevet med dette har det vert i TRYGGE nett, våre egne.
HUB
Så vi har ikke sniffet på alt som skjer på skolen, dette er imot skole reglemagnet og personvern loven. Vi har som sagt satt opp våre egne nett via en HUB. En HUB er det vi hadde før switch og det er en grunn til at man ikke bruker hub'er lenger. De fungerer på den måten at alle porter snakker med alle porter. Så si at tre stykker sitter på nettet og det går gjennom en hub. Han ene sitter og chatter med en av dem andre. Da kan tredje person sitte og sniffe alle data de sender til hverandre, siden en hub ikke er så smart at den ser at de pakkene han ene sender bare skal til den andre personen. Så når disse sitter og chatter kan faktisk den tredje personen bruke wireshark for og se denne samtalen, vist de for eksempel bruker MSN. Derfor bruker vi ikke hub lenger, den vil også gjøre at nettet blir tregere siden den sender alle pakker via alle porter og ikke direkte til den porten de skal. Nå skjønner du sikker hva som er forbedringene i en switch. Nemlig, disse sikkerhets hullene/flaskehalsene er fjernet. Skulle de samme tre folkene sittet på samme nett, bare at det var en switch og ikke en hub så ville dette blitt så og si umulig. Når han ene sendte en melding (pakke) til den andre hadde den gått direkte til den porten mottakeren satt og ikke via alle de andre. Så tredje person ville ikke sett disse pakkene (meldingene). Men IT personell som drev med drifting av nettet kunne gjort det. Hadde denne tredje personen vert en IT arbeider i dette nettet kunne han bare logget seg inn på switchen og satt opp en mirror port, da vil all data som går i switchen også gå via denne porten. Altså han kan sitte og sniffe opp pakkene og se om det er noe som ikke er som det skal, eller sjekke hvem som "stjeler" for mye kapasitet.
Denne første uken i 2012 har vi jobbet med et nytt program, nemlig wireshark. Dette er et program som er veldig nyttig for IT personell og bedrifter/skoler i hele verden. Programmet er gratis og jeg synes det er veldig interessant. Programmet er av type nettverks sniffer typen. Det vil si at det brukes på nettverk og sniffer egentlig alt som går gjennom det nettverket. Nå tenker du sikker "men dette er jo ikke lov". Men jo, dette er et helt lovlig program. Det er heller bruken av det som kan bli ulovlig, vist man bruker det feil. Dette programmet skal brukes til og hente informasjon fra nettverk, for eksempel: Du drifter et nett på en skole, trafikken på nettet er veldig stor og det er liten kapasitet til overs. Da kan man koble en datamaskin inn på nettet, enten direkte eller mer effektivt, via en mirror port på en hoved switch. Denne kan lett lages av IT personell med admin rettigheter på switchen. Etter dette er gjort kan han sniffe nettet for og finne ut hvem som bruker mye kapasitet og hva det er personen gjør. Alt av informasjon vil komme opp, så vist man har mistanke for at noen gjør noe dem ikke skal, kan dette lett sjekkes. Når jeg sier alt informasjon så mener jeg alle pakker som går via nettet, krypterte pakker vil ikke kunne leses, altså dette er ikke et program som sniffer passord og sånn informasjon så lett. Jo det er noen sider som kjører med null kryptering eller skuling av passord/brukernavn og da vil dette komme opp. Det finnes en oppgradering for og lese krypterte pakker, men denne har man egentlig ikke bruk for. Men til passord sniffing fins det langt bedre programmer. Wireshark er lager for og hjelpe IT folk i hverdagen vist man kan kalle det det.
Når vi i klassen har drevet med dette har det vert i TRYGGE nett, våre egne.
HUB
Så vi har ikke sniffet på alt som skjer på skolen, dette er imot skole reglemagnet og personvern loven. Vi har som sagt satt opp våre egne nett via en HUB. En HUB er det vi hadde før switch og det er en grunn til at man ikke bruker hub'er lenger. De fungerer på den måten at alle porter snakker med alle porter. Så si at tre stykker sitter på nettet og det går gjennom en hub. Han ene sitter og chatter med en av dem andre. Da kan tredje person sitte og sniffe alle data de sender til hverandre, siden en hub ikke er så smart at den ser at de pakkene han ene sender bare skal til den andre personen. Så når disse sitter og chatter kan faktisk den tredje personen bruke wireshark for og se denne samtalen, vist de for eksempel bruker MSN. Derfor bruker vi ikke hub lenger, den vil også gjøre at nettet blir tregere siden den sender alle pakker via alle porter og ikke direkte til den porten de skal. Nå skjønner du sikker hva som er forbedringene i en switch. Nemlig, disse sikkerhets hullene/flaskehalsene er fjernet. Skulle de samme tre folkene sittet på samme nett, bare at det var en switch og ikke en hub så ville dette blitt så og si umulig. Når han ene sendte en melding (pakke) til den andre hadde den gått direkte til den porten mottakeren satt og ikke via alle de andre. Så tredje person ville ikke sett disse pakkene (meldingene). Men IT personell som drev med drifting av nettet kunne gjort det. Hadde denne tredje personen vert en IT arbeider i dette nettet kunne han bare logget seg inn på switchen og satt opp en mirror port, da vil all data som går i switchen også gå via denne porten. Altså han kan sitte og sniffe opp pakkene og se om det er noe som ikke er som det skal, eller sjekke hvem som "stjeler" for mye kapasitet.
Oppgavene som vi har fått ser dere under her sammen med svarene. og noen bilder som viser litt av hvordan man bruker programmet.
Del 1
Last ned Wireshark fra nettet og installer dette.
Kjør Wireshark og la den gå i to-tre minutter mens du surfer nettet og pinger naboens pc
Stopp innsamlingen
Undersøk resultatene
Wireshark finner du Her Og det er helt lovlig, les lenger ned. Det som skjedde her var og pinge den andre på nettet, så gå gjennom loggen på wireshark og se hva som kom opp. Det var ganske greit, det kom opp at den ene pcen pinga den andre og en liten "samtale" av pakker mellom dem.
Del 2
Koble sammen hele rekken med datamaskiner med en HUB
Kjør Wireshark og la den gå i to-tre minutter mens du surfer nettet og pinger naboens pc
Reboot en pc og logg på igjen (se på tidspunktet)
Release og renew adressen på en maskin
Dra opp en msn chat med en av de andre i gruppen
Prøv en traceroute og en ping
Prøv å logg på facebook fra pc-en
Stopp innsamlingen
Undersøk resultatene.
1. Hva skjer når maskinen reboter?
Det som skjer når en maskin restarter er litt forskjellig. Det første som jeg fikk opp, var at den forlater workgroup eller domene (bfk.skole) i dette tilfellet. Når den skrur seg på igjen skjer det litt mer. Den browser og spør om og komme seg inn i forskjellige ting. Blant annet domene/workgroup. DHCH, og standard query til dataer og ting på domene. Etter den er godt inne i startopp'en begynner den og spørre "Who has" til alle dataer og ip adresser på nettet.
2. Hva skjer når maskinen logger på?
Siden dataen vi brukte allerede var startet men avlogget, hadde den blitt ferdig med de andre prosessene som skjedde i oppgave1. Men det som skjedde når daten logget på da. Den sender info og forespørsler om og komme inn i domene, dette er fordi de dataene vi har på skolen er jo i domene og da vil den logge på det. Den sendte mange forespørsler siden vi ikke hadde nett i starten så da så vi den sende mange mange sånne. Etter vi koblet til nettet funket det med en gang og den fikk godkjent forespørselen.
3. Hva skjer når dere releaser adressen?
Den forlater DHCP, også forlater den domene. Den sender også membership report, om og forlate. Det er egentlig det jeg for opp i informasjonen.
4. Hva skjer når dere renewer adressen?
Den sender forespørsel og kommer inn i DHCP. Den sender forespørsel om domene og membership report, om og bli med (join). Etter dette begynner den med query, og "Who has" prosessen. Nesten samme som når man logger på.
5. Ser dere innholdet i kommunikasjonen (MSN)?
Ja faktisk, etter litt leting fant vi den. To av oss som satt sammen var koblet til en HUB, åpnet en chat og skrev der. Etterpå gikk vi igjennom wireshark loggen og leita en del, og til slutt fant vi meldingene og mere info i loggen. Vi kunne rett og slett se alt. Noe som er litt dårlig av MSN egentlig.
Del 3
Finner dere noe annen spennende dere kan teste med Wireshark?
Ja! Masse. Er sikkert mye info man kan få frem, vist dere skjønner ;) Men dette er ikke helt lovlig så vi testet ikke så mye av det. Siden vi var i et sikkert miljø (nett) så kunne vi leke oss litt da, vi fant ut at IKT arena, avslører brukernavn og passord. De kjører nemlig ikke noe kryptering eller sikkerhet for og skjule infoen man poster inn.
Del 4
Er dette ett lovelig produkt å benytte? Hvorfor/hvorfor ikke?
Ja det er lovlig til en viss grad, selve programmet i seg selv er helt lovlig. Men, ja det er et men. Man kan bruke det til ting som ikke er fult så lovlig, så det kommer litt an på brukeren her. Jeg vil ikke gå inn på hva man kan utnytte det til, siden det er ikke vesentlig her. Wireshark er et program som man bruker i hele verden og det er kjempe nyttig for IT folk. Man kan få ut info om nettverket sitt, og man kan se om det er noen som ikke gjør helt som dem skal, eller utnytter nettet til noe dem ikke skal. Så ja wireshark er lovlig. Men man kan utnytte det til feil ting.
Ingen kommentarer:
Legg inn en kommentar