1 / 16

Windump

Windump. Pakettide uurimise programm Windowsile. Milleks. Iga arvuti võtab vastu talle adresseeritud pakette Windump võimaldab arvutil vastu võtta kõiki võrgukaablis liikuvaid pakette ( promiscuous mode ) telnet, rlogin, http, snmp, nntp, pop, ftp, imap. Windump töö.

martha
Download Presentation

Windump

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Windump Pakettide uurimise programm Windowsile

  2. Milleks • Iga arvuti võtab vastu talle adresseeritud pakette • Windump võimaldab arvutil vastu võtta kõiki võrgukaablis liikuvaid pakette (promiscuous mode) • telnet, rlogin, http, snmp, nntp, pop, ftp, imap.

  3. Windump töö • Salvestab võrgukaablis liikuvad paketid faili • dekodeerib pakettide päised • Ei dekrüpteeri pakettide sisu ega päiseid

  4. Kodeerimine ja krüpteerimine • Kodeerimine (encoding) - andmete teisendamine mingi koodiga • Dekodeerimine (decoding) - kodeeritud andmete kodeerimiseelsele kujule teisendamine • Krüpteerimine (encryption)- andmete viimine kõrvaliste inimeste jaoks loetamatule kujule • Dekrüpteerimine (decryption)- krüptogrammi teisendamine avatekstiks, ka šifrit ja/või võtit teadmata

  5. Valida võrgust pakette • DOS käsureale • windump <võtmed> > <faili nimi> • faili nimi - fail, kuhu dekodeeritud paketid salvestada tekstina

  6. Võtmed • -efnvvvxX -s 0 • -e - iga rea algusse päis. • -f – IP aadressid numbritega • -n – aadresse ei teisendata nimedeks • -vvv – paljusõnaline väljund • -x – paketid hex (16-süsteemi märkides) • -X – paketid ASCII (tähtedes) - oluline • -s – salvestatav baitide hulk paketi kohta - oluline

  7. Valida ainult huvitavad paketid • Võtmed • Hosthost (võrgukihi aadress või nimi) • Ether hostehost (kanalikihi aadress MAC) • Src host - pakettide saatja arvuti DNS nimi või IP aadress • Dst host - pakettide vastuvõtja arvuti DNS nimi või IP aadress • Näide: kõik paketid, mille saatja ja saaja on 193.40.252.38 ja ftp.ttu.ee • host 193.40.252.38 and ftp.ttu.ee

  8. Algoritm • Panna tööle windump • Teostada vajalik sessioon • Lõpetada windump töö • Uurida windump töö tulemusi • Dokumenteerida tulemused

  9. Windump info • http://www.winpcap.org/windump/ • http://www.winpcap.org/windump/docs/ • Näide • Windump-efnvvvxX -s 0 host 193.40.252.38 and ftp.ttu.ee > dump1.txt

  10. 16:30:52.046405 0:0:a2:cb:33:47 0:50:da:df:15:e8 0800 114: 193.40.254.226.21 > 193.40.252.38.1617: P [tcp sum ok] 1:61(60) ack 1 win 8760 (DF) (ttl 254, id 25686, len 100) 0x0000 4500 0064 6456 4000 fe06 9ae2 c128 fee2 E..ddV@......(.. 0x0010 c128 fc26 0015 0651 ac8d b199 00d4 c881 .(.&...Q........ 0x0020 5018 2238 c6f6 0000 3232 3020 6265 6e6a P."8....220.benj 0x0030 7920 4654 5020 7365 7276 6572 2028 554e y.FTP.server.(UN 0x0040 4958 2872 2920 5379 7374 656d 2056 2052 IX(r).System.V.R 0x0050 656c 6561 7365 2034 2e30 2920 7265 6164 elease.4.0).read 0x0060 792e 0d0a y... 16:30:52.213280 0:50:da:df:15:e8 0:0:a2:cb:33:47 0800 54: 193.40.252.38.1617 > 193.40.254.226.21: . [tcp sum ok] 1:1(0) ack 61 win 8700 (DF) (ttl 128, id 18465, len 40) 0x0000 4500 0028 4821 4000 8006 3554 c128 fc26 E..(H!@...5T.(.& 0x0010 c128 fee2 0651 0015 00d4 c881 ac8d b1d5 .(...Q.......... 0x0020 5010 21fc e25e 0000 P.!..^.. 16:30:55.067475 0:50:da:df:15:e8 0:0:a2:cb:33:47 0800 70: 193.40.252.38.1617 > 193.40.254.226.21: P [tcp sum ok] 1:17(16) ack 61 win 8700 (DF) (ttl 128, id 18721, len 56) 0x0000 4500 0038 4921 4000 8006 3444 c128 fc26 E..8I!@...4D.(.& 0x0010 c128 fee2 0651 0015 00d4 c881 ac8d b1d5 .(...Q.......... 0x0020 5018 21fc 5a6a 0000 5553 4552 2061 6e6f P.!.Zj..USER.ano 0x0030 6e79 6d6f 7573 0d0a nymous.. 16:30:55.078448 0:0:a2:cb:33:47 0:50:da:df:15:e8 0800 99: 193.40.254.226.21 > 193.40.252.38.1617: P [tcp sum ok] 61:106(45) ack 17 win 8760 (DF) (ttl 254, id 25687, len 85) 0x0000 4500 0055 6457 4000 fe06 9af0 c128 fee2 E..UdW@......(.. 0x0010 c128 fc26 0015 0651 ac8d b1d5 00d4 c891 .(.&...Q........ 0x0020 5018 2238 10b8 0000 3333 3120 4775 6573 P."8....331.Gues 0x0030 7420 6c6f 6769 6e20 6f6b 2c20 7365 6e64 t.login.ok,.send 0x0040 2069 6465 6e74 2061 7320 7061 7373 776f .ident.as.passwo 0x0050 7264 2e0d 0a rd... 16:30:55.212245 0:50:da:df:15:e8 0:0:a2:cb:33:47 0800 54: 193.40.252.38.1617 > 193.40.254.226.21: . [tcp sum ok] 17:17(0) ack 106 win 8655 (DF) (ttl 128, id 18977, len 40) 0x0000 4500 0028 4a21 4000 8006 3354 c128 fc26 E..(J!@...3T.(.& 0x0010 c128 fee2 0651 0015 00d4 c891 ac8d b202 .(...Q.......... 0x0020 5010 21cf e24e 0000 P.!..N.. 16:31:00.051864 0:50:da:df:15:e8 0:0:a2:cb:33:47 0800 78: 193.40.252.38.1617 > 193.40.254.226.21: P [tcp sum ok] 17:41(24) ack 106 win 8655 (DF) (ttl 128, id 19233, len 64) 0x0000 4500 0040 4b21 4000 8006 323c c128 fc26 E..@K!@...2<.(.& 0x0010 c128 fee2 0651 0015 00d4 c891 ac8d b202 .(...Q.......... 0x0020 5018 21cf e336 0000 5041 5353 206d 6172 P.!..6..PASS.mar 0x0030 696b 616b 406c 722e 7474 752e 6565 0d0a ikak@lr.ttu.ee..

  11. Tööülesanne • Uurida sessiooni (valida 1) • Oma lemmik e-posti teenuse pakkuja serveriga • Oma lemmik portaaliga (sisselogimisega) • Oma lemmik interneti pangaga • Aruanne esitada veebilehena • URL saata e-postiga marikak@lr.ttu.ee • Tähtaeg • 22. november 2002

  12. Aruanne • Milliseid protokolle kasutatakse? • Kuidas vahetatakse kasutajainfot serveri ja kliendi vahel? • Milliseks hindate “pealtkuulamise” kindlust? Kõikide väidete kohta esitada tõendid kommentaaridega Vormistus vaba, aga ilus. Esitada veebilehena. • Märkus: kui parool saadetakse paketi sees lahtise tekstina, siis asendada selle iga sümbol x (st iksiga) nii 16-süsteemi kujul kui ka dekodeeritud kujul ja teha vastav märkus (kui internetipanga kasutajanimega sama lugu, siis see asendada ka).

  13. Etherneti päis 0 1 2 3 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | Pre ... | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | ... Pre | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | Destination Address ... | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | ... Destination Address | Source Address ... | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | ... Source Address | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | Data ... +-+-+-+- | 46-1500 bytes +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | CRC | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+

  14. IP päis (rfc0791) 0 1 2 3 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ |Version| IHL |Type of Service| Total Length | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | Identification |Flags| Fragment Offset | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | Time to Live | Protocol | Header Checksum | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | Source Address | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | Destination Address | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | Options | Padding | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+

  15. TCP päis (rfc0793) 0 1 2 3 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | Source Port| Destination Port | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | Sequence Number | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | Acknowledgment Number | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | Data | |U|A|P|R|S|F| | | Offset| Reserved |R|C|S|S|Y|I| Window | | | |G|K|H|T|N|N| | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | Checksum | Urgent Pointer | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | Options | Padding | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | data +-+-+-+-+-+-

  16. UDP päis (rfc0768) 0 1 2 3 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | Source Port| Destination Port | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | Length | Checksum | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | data octets ... +-+-+-+-+-+-+-+-+-+-+-

More Related