Nedávno zde byl vydáván krátký seriál o počítačových sítích. Tento článek je takové lehké doplnění k této velice obsáhlé problematice.
Síťová analýza, neboli sniffing, zahrnuje zachytávání provozu na síti a analýzu paketů. Snifferů je celá řada, jejich primárním účelem je analýza síťového provozu ve smyslu „dobra“. Tyto programy je ale možné použít i se zlým úmyslem, tedy síťové odposlechy a podobně. Odposlech samozřejmě nebude součástí tohoto článku, zde si jen přiblížíme základní funkce, které pomůžou se správou sítě nebo mohou i pomoci pochopit lépe, jak vlastně počítačová síť funguje.
Síťový analyzátor je ale možné použít i na jediném počítači, připojeném k internetu. S jeho pomocí můžete mít přehled o všech odchozích i příchozích paketech, tedy plnou kontrolu nad aplikacemi svého PC. Samozřejmě není možné neustále kontrolovat záznamy analýzy, ale v případě podezření například na spyware nebo nějaký program, který komunikuje se světem, máte možnost zjistit, jak a s kým komunikuje.
Wireshark
Wireshark, dříve známý pod názvem Ethereal, je jeden z nejoblíbenějších síťových analyzátorů. Přestože se jedná o open source program, tedy je šířen zcela zdarma, vyrovná se vlastnostmi komerčním analyzátorům. Podporuje téměř nekonečné množství protokolů, s naprostou většinou z nich nikdy ani nepřijdete do styku, nemusíte se jimi tedy blíže zabývat. Program umí pracovat s takzvaným promiskuitním režimem síťové karty. To znamená, že zachytí veškerou komunikaci na sdíleném mediu, tedy veškerou komunikaci na síti. Promiskuitní režim je nutný předpoklad pro zachytávání síťového provozu.
Klasické uživatelské rozhraní, autoři nijak nekomplikují seznamování s programem.
Uživatelské rozhraní programu – Wireshark se v hlavičce chlubí svou celosvětovou oblíbeností, je doporučován i ve výuce Cisco
Na tomto místě se hodí takový malý dodatek. Síťové analyzátory samozřejmě používejte jen doma na vlastní síti, ve firmě (škole, apod.) jen pokud tím neporušujete firemní směrnice (což bez písemného souhlasu velice pravděpodobně děláte). Jedná se přece jen o silný nástroj, tedy i když nemusíte rozumět zachyceným datům, která vám program zobrazí, neznamená to, že byste je měli vidět. Takovéto programy používají síťoví administrátoři pro řešení problémů a analýzu síťového provozu. V naprosté většině případů by bylo jeho použití neoprávněnou osobou porušením firemních směrnic.
Seznam podporovaných protokolů i s jejich krátkým popisem. Podporované je opravdu velké množství síťových protokolů
Seznam podporovaných protokolů i s jejich krátkým popisem. V počtu podporovaných protokolů je Wireshark špička
Přestože se Wireshark na první pohled může zdát jednoduchý, opak je pravdou. Možnostmi nastavení a analýzy doslova přetéká. Zachytávaná data můžete filtrovat s pomocí desítek filtrů, které je možné ještě blíže specifikovat a upravit k obrazu svému. Tyto filtry jsou rozděleny na filtry pro zachytávaná data a na filtry pro zobrazení zachycených dat. S jejich pomocí tak naleznete požadované pakety mnohem rychleji, než kdybyste prohledávali výpis stovek až tisíců řádků.
Wireshark a jiné sniffery používají správci sítí pro analýzu sítě, její vytíženosti nebo nalezení problému s pracovními stanicemi, servery atd. Jejich použití je mnohdy velice obtížné a naplno se jejich potenciál ukáže právě až v rozsáhlých sítích. Přesto, pokud nebudete nastavovat filtry a jiné pokročilé funkce programu, může být jejich použití jednoduché i pro menší sítě nebo, jak bylo zmíněno, pro samostatný počítač připojený k internetu. V další části si ukážeme jednoduchý příklad použití Wiresharku, přesněji jen formát, v jakém program zachycená data graficky reprezentuje a jak výstup přečíst.
Zachytávání paketů
Pokud chceme začít s jednoduchým zachytáváním paketů, stačí jen vybrat rozhraní, na kterém bude poslouchání prováděno. Rozsáhlejší nastavení není předmětem tohoto článku, vystačíme si pouze s defaultním nastavením, při kterém jsou zachytávány všechny pakety. Použít je možné, jak již bylo zmíněno, množství filtrů, díky kterým je možné sledovat například jen komunikaci konkrétních vybraných protokolů.
Zachycené pakety a jejich přečtený obsah. Řádky s různými protokoly jsou kvůli přehlednosti jinak obarveny.
Zachycená komunikace – zde konkrétně navazování spojení se serverem stahuj.cz. V horní části jednotlivé pakety, dole je po kliknutí jejich přečtený obsah.
Výstup je přehledně graficky upraven. Pakety jsou očíslovány a nejdůležitější údaje o nich se dozvíme už v horní části obrazovky. Zde je zobrazena zdrojová IP adresa, cílová IP adresa a protokol, kterým spolu jednotlivé uzly komunikují. Ve sloupci Info je více popsán účel paketu, na obrázku dole například snaha o spojení se serverem stahuj.cz. Není zde ukázán celý průběh navazování spojení, jen jeho začátek, ale na grafickém výstupu se to projeví „jen“ jinými příznaky ve sloupci info (SYN,ACK,FIN). Samozřejmě se mění i jiné údaje, pro nás v tuto chvíli ale nepodstatné.
Začátek navazování TCP spojení.
Začátek navazování TCP spojení. Na prvním řádku se klient dotazuje serveru na možné spojení (SYN), na druhém řádku přichází potvrzení příchozího dotazu (SYN,ACK).
Závěr
Wireshark, stejně jako ostatní síťové analyzátory, dokáže zobrazit podrobnosti komunikace na síti. Zachází do největších podrobností, pro obyčejného smrtelníka velmi nepodstatných. Pro něj jsou důležité především cílové adresy a protokoly (služby), kterými jeho PC komunikuje s okolním světem. Wireshark umí samozřejmě i výsledky ukládat do souborů k pozdější analýze. Pokud si chcete doma vyzkoušet a zjistit jak vlastně počítačová komunikace probíhá, představuje pro vás Wireshark významného pomocníka. S jeho pomocí a sledováním se můžete i podrobně učit, jak vlastně sítě fungují.
