Joke Snelders
RSSWireshark: Wireless Display and Capture Filters deel 2
Display filters
In de Wireshark Display Filter Reference staat een overzicht van de display filter velden.
Op website Will Hack For Sushi staat een overzicht van de type codes, die je in combinatie met wlan.fc.type en wlan.fc.type_subtype kunt gebruiken.
Het overzicht en aanvullende informatie over IEEE 802.11 header data en Kismet shortcuts kun je hier downloaden.
Hier volgen enkele voorbeelden van de wlan types en wlan subtypes en over het gebruik van deze velden als display filters.
| Frame type | Filter | |
| Management frames | wlan.fc.type eq 0 | |
| Control frames | wlan.fc.type eq 1 | |
| Data frames | wlan.fc.type eq 2 |
| Frame subtype | Filter | |
| Association request | wlan.fc.type_subtype eq 0 | |
| Association response | wlan.fc.type_subtype eq 1 | |
| Probe request | wlan.fc.type_subtype eq 4 | |
| Probe response | wlan.fc.type_subtype eq 5 | |
| Beacon | wlan.fc.type_subtype eq 8 | |
| Authentication | wlan.fc.type_subtype eq 11 | |
| Deauthentication | wlan.fc.type_subtype eq 12 |
Display filter voorbeelden
- Laat alleen beacons zien:
wlan.fc.type_subtype eq 8 - Laat alles zien, behalve de beacons:
not wlan.fc.type_subtype eq 8 - Laat alleen probe requests of probe responses zien:
wlan.fc.type_subtype eq 4 or wlan.fc.type_subtype eq 5 - Laat alles zien, behalve de beacons, probe requests of probe responses:
not wlan.fc.type_subtype eq 4 and not wlan.fc.type_subtype eq 5 and not wlan.fc.type_subtype eq 8
Capture filters
Je kunt wlan type of wlan subtype als capture filter gebruiken.
Hier volgen enkele capture filter voorbeelden.
WLAN type
Geldige wlan types zijn mgt, ctl and data.
Capture filter voorbeelden
- Capture alleen management frames:
type mgt - Capture alles, behalve control frames:
not type ctl - Capture data frames van/naar mac address 04:1e:64:ea:c3:ef
wlan host 04:1e:64:ea:c3:ef and type data
WLAN subtype
Management frames
Geldige subtypes zijn:
assocreq, assocresp, reassocreq, reassocresp, probereq, probresp, beacon, atim, disassoc, auth and deauth
Control frames
Geldige subtypes zijn:
ps-poll, rts, cts, ack, cf-end and cf-end-ack
Data frames
Geldige subtypes zijn:
data, data-cf-ack, data-cf-poll, data-cf-ack-poll, null, cf-ack, cf-poll, cf-ack-poll, qos-data, qos-data-cf-ack, qos-data-cf-poll, qos-data-cf-ack-poll, qos, qos-cf-poll and qos-cf-ack-poll
Capture filter voorbeelden
- Capture alleen beacons:
subtype beacon - Capture alles, behalve beacons:
not subtype beacon - Capture beacons, probe requests en probe responses:
subtype beacon or subtype probereq or subtype proberesp - Capture alle frames, behalve beacons, probe requests and probe responses:
not subtype beacon and not subtype probereq and not subtype proberesp - Capture beacons, probe requests and probe responses to/from host 00:0c:f6:69:f8:69:
(wlan host 00:0c:f6:69:f8:69 and subtype beacon) or (wlan host 00:0c:f6:69:f8:69 and subtype probereq) or (wlan host 00:0c:f6:69:f8:69 and subtype proberesp)
Je kunt hiervoor ook dit filter gebruiken:
wlan host 00:0c:f6:69:f8:69 and (subtype beacon or subtype probereq or subtype proberesp) - Capture probe requests van wlan host 00:0c:f6:69:f8:69 en probe responses naar wlan host: 00:24:2c:69:f8:69
(wlan host 00:0c:f6:69:f8:69 and subtype probereq) or (wlan host 00:24:2c:69:f8:69 and subtype proberesp) - Capture beacons, probe requests en probe responses van/naar host 00:0c:f6:69:f8:69 of van/naar host 00:24:2c:69:f8:69:
(wlan host 00:0c:f6:69:f8:69 or wlan host 00:24:2c:69:f8:69) and (subtype beacon or subtype probereq or subtype proberesp) - Capture alle packets van wlan src 00:24:2c:69:f8:69, behalve beacons, probe requests en probe responses:
wlan src 00:24:2c:69:f8:69 and not subtype beacon and not subtype probereq and not subtype proberesp - Capture alle association requests/responses, reassociation requests/responses, disassociation, (de)authentication frames en alle eapols:
(subtype assocreq or subtype assocresp or subtype reassocreq or subtype reassocresp or subtype disassoc or subtype auth or subtype deauth) or (ether proto 0x888e) - Capture alle eapols, association requests/responses, reassociation requests/responses, disassociation en (de)authentication frames van/naar wlan host 00:0c:f6:69:f8:69 of wlan host 00:24:2c:69:f8:69:
(wlan host 00:0c:f6:69:f8:69 or wlan host 00:24:2c:69:f8:69) and (ether proto 0x888e or subtype assocreq or subtype assocresp or subtype reassocreq or subtype reassocresp or subtype disassoc or subtype auth or subtype deauth) - Capture alle frames van/naar wlan host 00:0c:f6:69:f8:69 of wlan host 00:24:2c:69:f8:69:
wlan host 00:0c:f6:69:f8:69 or wlan host 00:24:2c:69:f8:69
Understanding 802.11 Frame Types by Jim Geier
Ubuntu manual
Wireless Communications by Martin Land
WildPackets: Wireless LAN Overview
Packetstan: A blog about packets, tools, and bacon
Dilbert
Reacties (0)
Sharkfest'10 Impressions
Terug naar het onderwerp.Ik was daar om het derde jaarlijkse Sharkfest, de Wireshark Developer and User Conference, bij te wonen.
De Sharkfest Coordinating Crew was er in geslaagd om een groot aantal goede instructeurs, Wireshark core developers en experts op het gebied van netwerk analyse bijeen te brengen.
Tijdens het ontbijt en de lunch (ja, dat was allemaal inbegrepen) had je een goede gelegenheid om met de experts te praten.
De sfeer was ongedwongen. Het was erg leuk om met de Wireshark devotees uit alle hoeken van de wereld te praten en ervaringen uit te wisselen.
Ook waren er een aantal deelnemers voor de tweede of zelfs de derde keer.
Ontvangst
Sharkfest begon op maandag avond met registratie en Welkomst feest.
Onder het genot van Mexicaanse hapjes, drankjes en de klanken van een Mariachi orkest werden de eerste contacten gelegd.
Tijdens het daaropvolgende evenement kon je kiezen uit 3 verschillende soorten sessies:
Developer, Basic User of Advanced User.
Overzicht van een gedeelte van de sessies.
Ray Tompkins: Analyzing TCP/IP Networks with Wireshark
Ray Tompkins is een Senior Network Specialist met meer dan 30 jaar ervaring in troubleshooten, ontwerp en implementatie. Het is echt de moeite waard om naar zijn Tech Notes te kijken.
Er is veel te vertellen over de packets, maar in deze sessie richtte Ray zich vooral op tcp.
Hij gaf onder andere uitleg over de tcp/ip protocol suite, de complexe tcp sequence nummers en de SACK opties in de tcp handshake.
Zijn presentatie geeft een helder overzicht van de ins en outs van tcp:
van het opzetten van een connectie tot en met het opnieuw versturen van verloren packets.
Hansang Bae: Wireshark in the large Enterprise
Hansang Bae, leider van het Network/Application Performance Engineering Team bij Citi, heeft een brede kennis van protocol analyse in grote en complexe omgevingen.
In zijn sessie richtte hij zich op het gebruik van Wireshark in een enterprise omgeving:
• ontwikkel een standaard voor de setup van Wireshark
• scroll door een tracefile en let op ongebruikelijke patronen
• besteed aandacht aan de tcp analysis flags
• maak gebruik van de grafische opties van Wireshark: een afbeelding zegt meer dan 1000 woorden
Wireless is hot
Het aantal draadloze netwerken breidt gestaag uit.
Tijdens deze editie van Sharkfest waren er dan ook veel sessies, die draadloos netwerkverkeer, troubleshooten van draadloze netwerken en het gebruik van spectrum analyzers als onderwerp hadden.
Keith R. Parsons: WLAN Analysis with Wireshark & AirPcap
Keith Parsons, Managing Director, Institute for Network Professionals, leerde ons de basisbeginselen van het capturen en analyseren van 802.11 verkeer.
Hij gaf in zijn Hands-On Lab uitleg over netwerkkaarten, draadloze netwerkkaarten, management-, control- en data-frames.
Vervolgens was de beurt aan ons: draadloos netwerkverkeer capturen en diverse capture en display filters gebruiken. Vervolgens het verkeer analyseren om de juiste antwoorden te kunnen geven.
Rolf Leutert: WLAN 802.11n MIMO Analysis
Rolf Leutert is consultant, trainer en oprichter Leutert NetServices.
In zijn presentatie gaf hij tekst en uitleg over de 802.11n standaard.
Het gebruik van Multiple Input Multiple Output antennes (MIMO), Channel-Bonding, frame aggregation en Block-ACKs vergroten de doorvoer.
De nieuwe PPI header vervangt radiotap header, die gebruikt wordt voor 802.11a/b/g, met aanvullende 802.11n radio informatie.
Ryan Woodings: Visualizing RF
Ryan Woodings, Chief Geek en oprichter van MetaGeek benadrukte het nut van spectrum analyzers om al de RF activiteiten inzichtelijk te maken. Er zijn erg veel apparaten, die gebruikmaken van de 2.4 GHz band. Enkele voorbeelden zijn magnetrons, draadloze telefoons en babyfoons. Hij liet bijvoorbeeld zien, dat het gebruik van een magnetron kan leiden tot verstoring van een draadloze connectie.
Thomas d'Otreppe: Wireless Security
Thomas d'Otreppe, ontwikkelaar van aircrack-ng, gaf een demo over het auditeren van draadloze netwerken met behulp van de aircrack-ng suite. Hiermee werd (nogmaals) duidelijk gemaakt, dat het belangrijk is om draadloze netwerken te beveiligen.
Tot slot demonstreerde hij, hoe je met diverse tools draadloze netwerken kunt laten weergeven in Google earth.
Meer leren?
Een aantal sessie zijn opgenomen. Je kunt deze bekijken op de LoveMyTool Sharkfest landing page.
Ook kun je inmiddels een groot aantal PowerPoint presentaties downloaden van de Sharkfest'10 landing page van CACE Technologies.
Be there next year.
Reacties (0)
Wireshark Core 1 Training door Betty DuBois
Van 31 mei tot en met 4 juni heeft Betty DuBois de Wireshark Core 1 Training gegeven in Hoofddorp. Deze training en de Core 2 training zijn een goede voorbereiding op de WCNA (Wireshark Certified Network Analyst) certificering.Betty DuBois heeft meer dan 10 jaar ervaring als consultant en is instructeur in protocol analyse. Daarnaast is ze trainer bij Wireshark University. Betty is een Sniffer Certified Expert (SCE), Certified Novell Instructor, Novell's CNE en Certified Network Expert (CNX).
Betty heeft in deze 5-daagse training o.a. uiteengezet, hoe je door het aanmaken van meerdere profielen, Wireshark optimaal kunt gebruiken in verschillende situaties.
Natuurlijk kwam ook het plaatsen van de analyzer, het capturen van bedraad en draadloos netwerkverkeer en het gebruik van de command line tools aan bod.
De uitleg over normaal netwerkverkeer, b.v. ICMP, DHCP en HTTP, werd veelal gedemonstreerd aan de hand van live capture files, terwijl voor het afwijkende netwerkverkeer bestaande capture files gebruikt werden.
Het theoretische gedeelte werd steeds afgesloten met Lab Exercise, waarna de resultaten weer in groepsverband besproken werden.
Deze intensieve Hands-On training was zeer verhelderend voor de deelnemers.
Betty is een gedreven instructeur en nam alle tijd om vele vragen te beantwoorden. Het was zeker geen 9 tot 5 cursus;-)
" You can have it all, but you can’t have it all at once!!"
Reacties (0)
TShark As a Service on Windows 7
Wireshark en TShark
Als je Wireshark en TShark, één van de command line tools, nog niet geïnstalleerd hebt, dan kun je hier de laatste versie downloaden.
Note
Voordat je Wireshark installeert:
• rechts-klikken op wireshark.exe
• selecteer Properties
• selectee tab Compatibility
• Privilege Level -> check Run this program as an administrator
instsrv.exe en srvany.exe
Je kunt deze twee Windows Resource Kit utilities gebruiken om Windows applicaties te starten als een service.
Met instsrv.exe kun je services installeren en deïnstalleren.
Met srvany.exe kun je elke Windows applicatie als een service draaien.
Je kunt hier rktools.exe downloaden. Deze Resource Kit bevat de 2 tooltjes, die je nodig hebt.
Kopieer na installatie van de Windows Resource Kit de utilities instsrv.exe en srvany.exe uit de folder Tools naar:
C:\Program Files\Wireshark
Note
- rechts-klikken srvany.exe
- selecteer Properties
- selectee tab Compatibility
- Privilege Level -> check Run this program as an administrator
Windows registry
Je gaat het Windows register aanpassen.
Lees hier hoe je een backup kunt maken van het register.
url: http://windows.microsoft.com/en-US/windows7/Back-up-the-registry
Maak een bestand aan: tshark.reg
Kopieer het volgende naar het bestand tshark.reg:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TShark\Parameters]
"Application"="C:\\Program Files\\Wireshark\\tshark.exe"
"AppParameters"="-i \\Device\\NPF_{...your device...} -b filesize:100 -b files:3 -w c:\\TestTSharkAsAService\\test.pcap"
"AppDirectory"="C:\\Program Files\\Wireshark\\"
Note
Let op de aanhalingstekens en dubbele backslashes
Note "AppParameters"
• option –i
Voer tshark –D uit om de nummers en namen te zien van de interfaces, die je tot je beschikking hebt:
C:\>tshark -D
1. \Device\NPF_{7F25AF07-1756-48A1-96CE-D096EC6ECB80} (VMware Virtual Ethernet Adapter)
2. \Device\NPF_{1681C410-ABDB-428E-AA9A-9EE1F4A01ADC} (VMware Virtual Ethernet Adapter)
3. \Device\NPF_{E859D76E-155B-4512-ACB6-B1B2A07914DB} (Intel(R) PRO/1000 MT Network Connection)
Kopier de naam \Device\NPF_{...your device...} naar tshark.reg.
Je kunt het beste de namen van de interfaces gebruiken. De nummers kunnen namelijk veranderen, als je interfaces toevoeg of verwijderd. Als je dus een nummer gebruikt, dan kan het zijn, dat je verkeer van een verkeerde interface gaat capturen.
• andere opties
Hier staat een voorbeeld. Dit is geschikt om de service te testen. Je kunt de opties later vervangen door de opties, die je nodig hebt.
Voer tshark –h uit om alle beschikbare opties te zien
• Voeg een folder TestTSharkAsAService to C:\
Registersleutels aanmaken
Open een opdrachtprompt met Administrator rechten.
Ga naar de directory waar je het bestand: tshark.reg hebt aangemaakt
Voer het volgende commando uit:
regedit /s tshark.reg
Om de registersleutels te bekijken of aan te passen ga je naar:
start -> Run…
Type: regedit
Enter of click OK
Ga naar: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TShark\Parameters
De service TSHARK toevoegen
Open een opdrachtprompt met Administrator rechten.
Ga naar:
C:\Program Files\Wireshark
Voer het volgende commando uit:
instsrv TSHARK "C:\Program Files\Wireshark\srvany.exe"
Note
Als je geen aanhalingstekens gebruikt, krijg je de volgende foutmelding:
Unable to find the file at the given path.
Maar als alles goed is gegaan, krijg je de boodschap:
The service was successfuly added!
Herstart de computer om te zien hoe de service TSHARK werkt.
Tot slot
Open een opdrachtprompt met Administrator rechten.
Voer het volgende commando uit om de service TSHARK te stoppen:
net stop tshark
De service opnieuw starten doe je met het commando:
net start tshark
Reacties (0)
Wireshark en TShark: Decrypt Sample Capture File
Je kunt de sample capture file test.pcap hier downloaden.
Als je de file test.pcap opent met Wireshark zie je dit:
WPA Pre-shared Key Generator
Op de eerste plaats moet je de WPA passphrase en het SSID converteren naar de pre-shared key.
Op de Wireshark Online Tools pagina staat een WPA PSK Generator.
De WPA passphrase voor het bestand test.pcap is:
subnet16121930
Het SSID is:
dd-wrt2
Copy en paste de passphrase en het SSID.
Klik Generate PSK.
Het duurt even om de volgende key te genereren:
55f8e415485dd9a272060ca558d3db184be51b3cb6d4a048b064c7aaca335df2
De volgende stap is het invoeren van de key in Wireshark. Je kunt dit doen via het Wireshark Preferences dialoog venster of via de Wireshark Wireless Toolbar.
Wireshark Preferences
Ga naar Edit -> Preferences om het Preferences dialoog venster te openen.
Klik op + voor Protocols en selecteer IEEE 802.11.
Selecteer: Enable decryption
Key #1: paste
wpa-psk:55f8e415485dd9a272060ca558d3db184be51b3cb6d4a048b064c7aaca335df2
Klik Apply en OK.
Als alles goed gegaan is, zie je dit:
Wireshark Wireless Toolbar
Als je een AirPcap adapter hebt, dan kun je decryption keys ook toevoegen via de Wireless Toolbar.
Ga naar View -> selecteer Wireless Toolbar
Selecteer Decryptions Keys... ->
Decryption Key Management venster:
Selecteer: New
Add Decryption Key venster:
- Type: selecteer WPA-PSK
- Key: paste: 55f8e415485dd9a272060ca558d3db184be51b3cb6d4a048b064c7aaca335df2
Klik OK
Decryption Key Management venster:
Selecteer Decryption Mode ->Selecteer: Wireshark
Klik Apply en OK
Note
Verwijder de WPA-PSK key, voordat je verdergaat TShark. Op deze manier ben je er zeker van, dat je de settings in TShark gebruikt om de packets te decrypten (en niet de settings in het bestand Preferences).
Ga naar Edit -> Preferences om het Preferences dialoog venster te openen.
Klik op + voor Protocols en selecteer IEEE 802.11.
- deselecteer: Enable decryption
- verwijder Key #1
TShark
• Gebruik eerst de opties -r (input file) en -R (display filter) om enkele ge-encrypte packets te bekijken:
$ tshark -r test.pcap -R "frame.number==8 || frame.number==9 || frame.number==10 || frame.number==11"
8 1.014623 00:25:9c:74:95:92 -> 00:02:44:94:24:7b IEEE 802.11 Data, SN=2098, FN=0, Flags=.p.....TC
9 1.014987 00:25:9c:74:95:92 -> 00:02:44:94:24:7b IEEE 802.11 Data, SN=2098, FN=0, Flags=.p..R..TC
10 1.015487 00:25:9c:74:95:92 -> 00:02:44:94:24:7b IEEE 802.11 Data, SN=2098, FN=0, Flags=.p..R..TC
11 1.025502 00:02:44:94:24:7b -> 00:25:9c:74:95:92 IEEE 802.11 Data, SN=1416, FN=0, Flags=.p....F.C
• Om de packets te decrypten moet je decryptie toepassen en de wpa-psk key toevoegen met behulp van de optie -o:
$ tshark -r test.pcap -o wlan.enable_decryption:TRUE -o wlan.wep_key1:wpa-psk:55f8e415485dd9a272060ca558d3db184be51b3cb6d4a048b064c7aaca335df2 -R "frame.number==8 || frame.number==9 || frame.number==10 || frame.number==11"
8 1.014623 192.168.1.12 -> 212.54.40.25 DNS Standard query A www.wi-fiplanet.com
9 1.014987 192.168.1.12 -> 212.54.40.25 DNS Standard query A www.wi-fiplanet.com
10 1.015487 192.168.1.12 -> 212.54.40.25 DNS Standard query A www.wi-fiplanet.com
11 1.025502 212.54.40.25 -> 192.168.1.12 DNS Standard query response A 63.236.18.119
• Om het hele bestand te decrypten en de output weg te laten schrijven naar een tekstbestand:
$ tshark -r test.pcap -o wlan.enable_decryption:TRUE -o wlan.wep_key1:wpa-psk:55f8e415485dd9a272060ca558d3db184be51b3cb6d4a048b064c7aaca335df2 > test_decrypt.txt
• Je kunt ook nog de opties -V (add output of packet tree [Packet Details]) en/of -x (add output of hex and ASCII dump [Packet Bytes]) toevoegen:
$ tshark -r test.pcap -o wlan.enable_decryption:TRUE -o wlan.wep_key1:wpa-psk:55f8e415485dd9a272060ca558d3db184be51b3cb6d4a048b064c7aaca335df2 -Vx > test_decrypt2.txt
$ tshark -r test.pcap -o wlan.enable_decryption:TRUE -o wlan.wep_key1:wpa-psk:55f8e415485dd9a272060ca558d3db184be51b3cb6d4a048b064c7aaca335df2 -Vx -R "frame.number==8"
Frame 8 (137 bytes on wire, 137 bytes captured)
Arrival Time: Dec 5, 2009 16:35:31.937748000
[Time delta from previous captured frame: 0.088853000 seconds]
[Time delta from previous displayed frame: 1.014623000 seconds]
[Time since reference or first frame: 1.014623000 seconds]
Frame Number: 8
Frame Length: 137 bytes
Capture Length: 137 bytes
[Frame is marked: False]
[Protocols in frame: radiotap:wlan:llc:ip:udp:dns]
Radiotap Header v0, Length 20
Header revision: 0
Header pad: 0
Header length: 20
Present flags: 0x000018ee
.... .... .... .... .... .... .... ...0 = TSFT: False
.... .... .... ....
Tot slot
Je kunt Wireshark ook starten vanaf de command line.
$ wireshark -r test.pcap
De packets zijn ge-encrypt.
$ wireshark -r test.pcap -o wlan.enable_decryption:TRUE -o wlan.wep_key1:wpa-psk:55f8e415485dd9a272060ca558d3db184be51b3cb6d4a048b064c7aaca335df2
De packets zijn gedecrypt.
Je vindt meer informatie in de Wireshark Wiki.
Reacties (0)
Betty DuBois geeft Wireshark Core Training in Nederland.
| NGN-leden krijgen 20% korting |
| Bij inschrijving met je @ngn.nl adres krijg je €595,- korting. |
| Ben je geen lid? Lid worden kan hier voor €189,- |
De training, welke SCOS samen met de Wireshark University van Laura Chappell organiseert, zal worden gegeven door gecertificeerde trainers van de Wireshark University. In deze Core Training zal worden ingegaan op het efficiënt gebruiken van Wireshark en de packet-level TCP/IP communicatie door het bestuderen van zowel het correct als verkeerd gedragen van netwerken. Een groot gedeelte van de training zal diepgaand worden ingegaan op de mogelijkheden van Wireshark. Verder zal het beoordelen van zowel normaal als abnormale communicatie patronen van de TCP/IP toepassing en de meest gangbare applicaties worden bestudeerd, zoals DHCP, DNS, FTP, Telnet, HTTP, POP en SMTP. De nadruk gedurende de training zal sterk liggen op hands-on lab oefeningen en case studies uit de praktijk. Hiermee wordt kennis opgedaan welke direct na de training gebruikt kan worden.
Betty DuBois heeft vorig jaar ook een presentatie gegeven op Sharkfest:
Je kunt de presentatie hier bekijken.
"You can have it all, but you can’t have it all at once!!"
Reacties (0)
Laura Chappell: Wireshark Network Analysis
Wireshark Network Analysis: The Official Wireshark Certified Network Analyst Study Guide
Dit boek is nu ook in Nederland verkrijgbaar bij SCOS.
Het boek kost 79,95 euro (incl. BTW, geen verzendkosten binnen Nederland).
Je kunt het bestellen door een email te sturen naar info@scos.nl.
Je vindt hier meer informatie:
www.wiresharkbook.nl
www.wiresharkuniversity.nl
Reacties (0)
Wireshark: TCP Packet Mood
Om de Packet Moods in beeld te krijgen, moet je een development release met SVN (Subversion) nummer 32498 of hoger installeren.
Je kunt de development releases hier downloaden.
Je kunt hier de sample capture file rfc5841.pcap downloaden.
Tot slot een overzicht van de TCP Packet Moods;-)
Reacties (2)
HashCalc: controleer downloads
HashCalc is freeware en je kunt het hier downloaden.
Je kunt HashCalc gebruiken om de hash, bijvoorbeeld MD5, SHA1 of RIPEMD160, te berekenen voor bestanden, tekst of hex strings.
Een andere input levert een andere hash op. Dit geldt ook voor een minimale wijziging, bijvoorbeeld toevoegen van een spatie.
Je kunt dit zien in onderstaand screenshot: links wordt HashCalc zonder spatie geschreven en rechts wordt Hash Calc met spatie geschreven.
Het resultaat is verschillende hash waardes.
Van dit gegeven kun je gebruik maken om te controleren of bestanden, per ongeluk of opzettelijk, gewijzigd zijn tijdens het downloaden.
Ik zal dit demonstreren aan de hand van een download van Wireshark en van WinPcap.
Wireshark
Je kunt hier het bestand wireshark-win32-1.2.6.exe downloaden:
ftp://ftp.uni-kl.de/pub/wireshark/win32/
De bijbehorende hash staat in het Signatures bestand.
Dat vind je hier:
ftp://ftp.uni-kl.de/pub/wireshark/
Selecteer: SIGNATURES-1.2.6.txt
Zoek naar:
wireshark-win32-1.2.6.exe: 18457660 bytes
MD5(wireshark-win32-1.2.6.exe)=124c691da9b018eec213021eb5dceef3
SHA1(wireshark-win32-1.2.6.exe)=d1f97d946dc4fac26c9630d454b7a28bc9c110d6
RIPEMD160(wireshark-win32-1.2.6.exe)=d6df103279f6d09e2c3a9a407ee64fd6d422e0a8
Start HashCalc.
Selecteer
Data Format => File
Data: selecteer wireshark-win32-1.2.6.exe
Check MD5, SHA1 and RIPEMD160
Klik Calculate
Vergelijk nu de waardes in HashCalc met de waardes in het bestand SIGNATURES-1.2.6.txt.
Als de waardes identiek zijn, dan is het bestand ongewijzigd.
WinPcap
WinPcap 4.1.1 kun je hier downloaden:
http://www.winpcap.org/install/default.htm
De hash waardes staan hier ook vermeld.
Start HashCalc
Selecteer
Data Format => File
Data: WinPcap_4_1_1.exe
Check MD5 and SHA1
Klik Calculate
Vergelijk de hash waardes met de waardes op de website:
MD5 Checksum: 2caa5498171b21388168c13ad4f4a157
SHA1 Checksum: 8ad800ae50167676b7a695c919b0b72340a7ff24
Overigens kun je ook het tooltje HashTab gebruiken.
Zie hiervoor het artikel van Kees Hogewoning: Wat doet die hash?
Bewerkt door Joke Snelders op 04-04-2010.
Reacties (0)
Wireshark: Wireless Display en Capture Filters
Display filters
Je gebruikt display filters om bepaalde packets in beeld te krijgen of juist om packets, waar je niet in geïnteresseerd bent uit te filteren. Packets, die niet aan de filter voorwaarden voldoen, worden verborgen, maar niet verwijderd uit de capture file.
Er zijn verschillende manieren om display filters toe te passen.
Je kunt het display filters typen in het Filter Input Field in de Filter Toolbar en hierbij gebruik maken van de autocomplete functie.
Als de achtergrond groen kleurt, dan is de filter string geldig.
Vergeet niet om Apply te klikken of te Enteren om het filter toe te passen.
Je kunt ook kopiëren en plakken gebruiken om de filter string in het Filter Input Field in te voeren.
Hier volgen een paar voorbeelden:
- Laat alleen de beacon frames zien:
wlan.fc.type_subtype == 0x08 - Laat alles, behalve de beacon frames zien:
!wlan.fc.type_subtype == 0x08 - Laat alleen de beacon frames en ack frames zien:
(wlan.fc.type_subtype == 0x08) || (wlan.fc.type_subtype == 0x1d) - Laat alles, behalve de beacon en ack frames zien:
(!wlan.fc.type_subtype == 0x08) && (!wlan.fc.type_subtype == 0x1d)
Capture filters
Bij het gebruik van capture filters worden alleen packets, die aan de capture filter criteria voldoen opgeslagen in de capture file. Hierdoor wordt de hoeveelheid data, die je captured verminderd.
Capture filters hebben een andere syntax dan display filters.
Je voert de capture filters in in het Filter field van het Wireshark Capture Options dialoog venster.
Hier volgen een paar voorbeelden:
- Capture alleen beacon frames:
wlan[0] == 0x80 - Capture alles, behalve beacon frames:
wlan[0] != 0x80 - Capture alleen beacon frames en ack frames:
wlan[0] == 0x80 || wlan[0] == 0xd4 - Capture alles, behalve beacon frames en ack frames:
wlan[0] != 0x80 and wlan[0] != 0xd4
Je vindt meer informatie in de Wireshark User's Guide en in de Wireshark Wiki.
De display en capture filters opslaan
File dfilters
Om de display filters op te slaan voor toekomstig gebruik, kun je het bestand dfilters aanpassen.
In Windows XP vind je het bestand dfilters hier:
C:\Documents and Settings\
In Windows 7 of Windows Server 2008:
C:\Users\
Notes:
Je moet "Show Hidden Files, Folders, and drives" aanzetten om de folder AppData te zien:
ga naar Control Panel\All Control Panel Items -> Folder Options -> View -> Show Hidden Files, Folders, and drives.- Als er nog geen bestand dfilters is, dan kun je het bestand kopiëren en plakken van C:\Program Files\Wireshark\dfilters naar C:\Users\\AppData\Roaming\Wireshark\dfilters.
- Het bestand dfilters heeft geen extensie.
Open het bestand dfilters met Notepad.
Kopieer en plak de volgende tekst:
"WLAN DISPLAY FILTERS" HEADER
" Beacon Frames" wlan.fc.type_subtype == 0x08
" No Beacon Frames" !wlan.fc.type_subtype == 0x08
" Beacon Frames or Ack's" (wlan.fc.type_subtype == 0x08) || (wlan.fc.type_subtype == 0x1d)
" No Beacon Frames and No Ack" (!wlan.fc.type_subtype == 0x08) && (!wlan.fc.type_subtype == 0x1d)
Zorg dat het bestand eindigt met een "lege regel", omdat je anders het laatste filter niet in beeld krijgt.
File cfilters
Herhaal de bovengenoemde stappen om het bestand cfilters aan te passen.
Kopieer en plak de volgende tekst:
"WLAN CAPTURE FILTERS" HEADER
" Capture only Ethernet type EAPOL" ether proto 0x888e
" Beacon Frames" wlan[0] == 0x80
" No Beacon Frames" wlan[0] != 0x80
" Probe Requests" wlan[0] == 0x40
" No Probe Requests" wlan[0] != 0x40
" Probe Response" wlan[0] == 0x50
" No Probe Response" wlan[0] != 0x50
" Ack" wlan[0] == 0xd4
" No Ack" wlan[0] != 0xd4
" CF-End" wlan[0] == 0xe4
" No CF-End" wlan[0] != 0xe4
" Clear-to-send" wlan[0] == 0xc4
" No Clear-to-send" wlan[0] != 0xc4
" Beacon Frames - Probe Response/Request - Ack" wlan[0] == 0x80 or wlan[0] == 0x50 or wlan[0] == 0x40 or wlan[0] == 0xd4
" No Beacon Frames - No Probe Response/Request - No Ack" wlan[0] != 0x80 and wlan[0] != 0x50 and wlan[0] != 0x40 and wlan[0] != 0xd4
" Beacon Frames-Probe Resp/Req-Ack-CF-End-Clear-to-send" wlan[0] == 0x80 or wlan[0] == 0x50 or wlan[0] == 0x40 or wlan[0] == 0xd4 or wlan[0] == 0xe4 or wlan[0] == 0xc4
" No Beacon Frames-Probe Resp/Req-Ack-CF-End-Clear-to-send" wlan[0] != 0x80 and wlan[0] != 0x50 and wlan[0] != 0x40 and wlan[0] != 0xd4 and wlan[0] != 0xe4 and wlan[0] != 0xc4
Je ziet de nieuwe filters in het "Display Filters" en "Capture Filters" dialoog venster, nadat je Wireshark opnieuw hebt opgestart.
Tip
Op de website van Packet Life staan een aantal interessante Cheat Sheets.
Reacties (1)
Stardock Fences: een overzichtelijk bureaublad
Je kunt bijvoorbeeld voor ieder project een Fence maken. Je sleept alle bestanden en snelkoppelingen, die bij hetzelfde project horen naar de desbetreffende Fence. De iconen, die binnen een Fence staan, blijven netjes gegroepeerd, als je bijvoorbeeld je laptop op een beamer aansluit of als je de beeldschermresolutie aanpast. Bovendien passen de Fences zich automatisch aan aan de nieuwe resolutie.
Je kunt ook tijdens een presentatie alleen die Fences in beeld houden, die je nodig hebt. De overige Fences verberg je met Quick-Hide.
Fences is gratis voor persoonlijk gebruik.
Je kunt het hier downloaden.
Na instalatie en reboot kun je de wizard gebruiken om een paar Fences aan te maken of om meteen het breaublad te laten ordenen. Alle iconen worden dan ondergebracht in Fences met labels als Files & Documents, Quick Links, Programs etc.
Het is echter ook erg gemakkelijk om zelf de Fences aan te maken.
Fences maken
Gebruik de rechter muisknop om een rechthoek op het bureaublad te maken.
Selecteer "Create new Fence here" en type een naam.
Vervolgens sleep je de iconen naar de Fence.
Fences aanpassen
Je kunt de Fence verplaatsen door links te klikken op het label en te slepen.
Vergroten en verkleinen doe je door links te klikken op de randen van de Fence en te slepen.
Rechts-klikken op het label en selecteer Configure Fences... .
Je kunt bijvoorbeeld kiezen uit verschillende layouts of het al dan niet laten zien van de labels.
Quick Hide
- dubbelklikken op het bureaublad -> alle Fences en iconen worden verborgen
- nogmaals dubbelklikken op het bureaublad -> alle Fences en iconen zijn weer zichtbaar
- rechts-klikken op een label en selecteer View -> "Exclude this fence from quick-hide"
- rechts-klikken op een icoon en selecteer "Exclude this icon from Fences' quick-hide"
Snapshots
Standaard worden er 2 Snapshots aangemaakt: Pre-Install Snapshot en First-Use Snapshot.
Met de button "Take Snapshot" maak je een nieuwe snapshot.
Je kunt vervolgens switchen tussen de verschillende layouts door snapshots terug te zetten. Dit doe je door de gewenste snapshot te selecteren in "Snapshot (Backups)... .
Reacties (0)
PlayCap: Playback Wireshark Capture Files
PlayCap draait op Linux en Windows.
PlayCap kan captures files afspelen, die gemaakt zijn met Wireshark, tcpdump, WinDump of andere applicaties, die gebaseerd zijn op libpcap.
Je kunt PlayCap hier downloaden.
Na installatie van PlayCap, kun je een capture file openen door File -> Open te selecteren.
Als de file geladen is, zie je iets vergelijkbaars:
Processed 0 of 279
0:00.000 / 0:14.403
279: dit is het aantal packets in de capture file, die ik geladen heb.
0:14.403: dit is de duur van de capture in seconden.
Je ziet deze waarden ook terug, als je de capture file opent met Wireshark.
Open vervolgens het Summary venster in het pull-down menu Statistics.
Hit de Start button
om het Select Playback Device venster te openen.Select een playback device door de Playback button te selecteren:
Je kunt het proces volgen:
- via de PlayCap GUI
- door het verkeer te capturen met Wireshark
Reacties (0)
Wireshark Tip: mark packets
- Als je door een trace file navigeert en je ziet interessante packets, dan kun je deze direct markeren. Je kunt de packets dan later weer snel terugvinden in de (grote) trace file.
- Je kunt de optie gebruiken om bepaalde packets of een reeks van packets op te slaan.
- Gebruik een display filter om packets te selecteren en vervolgens te markeren.
- Ook kun je 2 of meer tcp en/udp streams markeren en opslaan in een aparte trace file.
Opties
Je vindt een overzicht van alle opties en de shortcut keys in Wireshark onder het "Edit" menu:
- Mark Packet (toggle) - Ctrl+M
Markeer of demarkeer het geselecteerde packet. - Find Next Mark - Shift+Ctrl+N
Ga naar het volgende gemarkeerde packet in de trace file. - Find Previous Mark - Shift+Ctrl+B
Ga naar het vorige gemarkeerde packet in de trace file. - Mark All Packets - Ctrl+A
Markeer alle packets, die op dat moment weergegeven worden. - Unmark All Packets - Ctrl+D
Demarkeer alle packets, die op dat moment weergegeven worden.
Note:
Je kunt de markeringen niet opslaan in een trace file. De markeringen gaan verloren, als je de trace file afsluit.
Packets markeren
Open de file ws_list.pcap.
Je markeert packets door rechts te klikken op een packet in de Packet List en Mark Packet (toggle) selecteren in het context menu.
Je herkent gemarkeerde packets aan een zwarte achtergrond met witte letters.
Om de markering ter verwijderen moet je nogmaals rechts-klikken op een packet en Mark Packet (toggle) selecteren.
Gemarkeerde packets opslaan
Om de gemarkeerde packets op te slaan ga je naar:
File -> Save As…
Selecteer "Marked packets" om alleen de gemarkeerde packets op te slaan.
Als je "First to last marked" selecteert, dan worden ook de niet gemarkeerde packets, die tussen deze 2 staan opgeslagen.
Gebruik van display filters en packets markeren
Selecteer voordat je begint Edit -> Unmark All Packets om er zeker van te zijn, dat er geen packets meer geselecteerd zijn.
Copy en paste het volgende display filter http.request.method == "GET" in het filter input veld.
Hit enter of klik op de button Apply om het display filter toe te passen.
Selecteer Edit -> Mark All Packets of hit Ctrl+A om alle packets, die nu weerggeven worden te markeren.
In dit voorbeeld worden 8 packets weergegeven.
Hit de button Clear om het display filter te verwijderen.
Je kunt nu met behulp van Shift+Ctrl+N (Find Next Mark) en Shift+Ctrl+B (Find Previous Mark) door de trace file navigeren.
Ga naar File -> Save As… om de gemarkeerde packets, alle HTTP GET requests, op te slaan in een aparte trace file.
Packet Range: selecteer Marked packets
Vul een file name in en klik Save.
Mark packets of 2 streams
Selecteer voordat je begint Edit -> Unmark All Packets om er zeker van te zijn, dat er geen packets meer geselecteerd zijn.
Selecteer packet 17.
Klik op het plusje voor Transmission Control Protocol in het Packet Details venster om de details te kunnen zien..
Rechts-klik op [Stream index: 2].
Selecteer Apply as Filter -> Selected.
Note:
het display filter tcp.stream == 2 wordt automatisch in het filter input veld geplaatst.
Hit CTRL+A om alle weergegeven packets te markeren (15 packets).
Wijzig het display filter in tcp.stream == 3 en hit enter om het nieuwe display filter toe te passen.
Hit CTRL+A om alle weergegeven packets te markeren (32 packets).
Hit de button Clear om het display filter te verwijderen.
Scroll door de file om te zien welke packets gemarkeerd zijn.
Ga naar File -> Save As… om de gemarkeerde packets van de 2 tcp streams op te slaan.
Packet Range: selecteer Marked packets
Vul een file name in en klik Save.
Kijk tot slot nog even naar de statusbar:
number of packets in this file: 142
displayed packets: 142
marked packet: 47
Reacties (0)
Mozilla Firefox Add-on's: Reveal long URL's
Diverse websites bieden de service om (lange) URL's om te zetten in korte URL's.
Deze URL, een link naar een definitie van URL Shortening, is 58 karakters lang:
http://whatis.techtarget.com/definition/url-shortener.html
Tiny.cc creëert een Tiny URL 20 karakters:
http://tiny.cc/vfHCA
Dit is het resultaat van Bit.ly, ook 20 karakters:
http://bit.ly/2tAIqo
Korte URL's zijn gemakkelijk in gebruik en noodzakelijk op Twitter. Een tweet kan maximaal 140 karakters lang zijn. Met lange URL's blijft er weinig ruimte over voor een boodschap.
Deze URL past niet eens in een tweet:
http://images.google.co.uk/imgres?imgurl=http://www.world-guides.com/images/antwerp/antwerp_maritime_steen_mus2.jpg&imgrefurl=http://www.antwerp.world-guides.com/antwerp_museums.html&usg=__-KxYrVp6zsDNI63SZPJwW_alYB0=&h=170&w=225&sz=6&hl=nl&start=20&tbnid=OPsv3zRsE7Ix-M:&tbnh=82&tbnw=108&prev=/images%3Fq%3Dantwerp%2Bhet%2Bsteen%26as_st%3Dy%26hl%3Dnl%26sa%3DG
…maar de korte versie wel:
http://bit.ly/3qVj5o
Wat is het risico?
De oorspronkelijke URL is verborgen. Je kunt nergens uit afleiden, waar de URL aan gelinkt is.
Op deze manier is het dus ook gemakkelijk om mensen te misleiden.
Volgens dit artikel zijn ook spammers aan het experimenteren met URL Shortening Services.
Mozilla Firefox Add-on's
Voor dit probleem zijn er wel oplossingen.
Er zijn verschillende add-on's voor Mozilla Firefox, waarmee je de oorspronkelijke URL kunt achterhalen, vóórdat je een link volgt.
Long URL Mobile Expander
Als je deze add-on geïnstalleerd hebt, dan verschijnt er een pop-up, als je met de cursor over een korte URL beweegt.
Soms krijg je een thumbnail van de web pagina te zien als je op more klikt.
Long URL Please
Deze add-on for Mozilla Firefox werkt anders.
De korte URL's worden tijdens het laden van de web pagina vervangen door de oorspronkelijke URL's.
Hierbij wordt een api gebruikt om te bepalen, waar de korte URL werkelijk toe leidt.
Long URL Please.com ondersteunt verschillende services, waaronder bit.ly, tiny.cc en tr.im.
Klik hier om ze allemaal te zien.
Reacties (0)
Team players: Wireshark en CACE Pilot
Click here for an English version.
De belangrijkste kenmerken zijn:
- analyseren van grote trace files (enkele gigabytes); het is niet noodzakelijk om deze files te splitsen
- grafische weergave van data door middel van Views.
- inzoomen op tracefiles door middel van Drill-Down
- interactie tussen Wireshark en CACE Pilot
- monitoren van netwerkverkeer en het gebruik van Watches
- rapportages genereren in diverse formaten
Views
CACE Pilot = visualisatie.
Het programma wordt dan ook geleverd met circa 200 Views.
Deze Views bestaan uit interactieve elementen, zoals diverse grafieken, Conversation Rings en data grids.
Je past Views toe door deze te selecteren en te slepen op een geopende capture file.
Views, zoals Bandwidth Over Time, Conversations Overview en Voip Call Summary geven een algemeen overzicht.
Om vervolgens gedetailleerde informatie te zien kun je één of meerdere elementen selecteren en hierop een andere View toepassen.
In het volgende screenshot zie je de Conversations Overview.
Bij "TCP Conversations" zijn 3 conversaties geselecteerd. Door de View "Protocol Distribution - Packets" hier naar toe te slepen, wordt een nieuw tabblad geopend.
Dit geeft een overzicht van het aantal en soort packets; bijvoorbeeld HTTP, POP3.
Er wordt ook veel aanvullende informatie gegeven door middel van pop-up vensters.
Je krijgt bijvoorbeeld gedetailleerde informatie te zien, als je met de cursor boven een Endpoint beweegt.
Bewegen boven de icoontjes van de Views geeft uitleg en tips over die View.
Drill-Down
Drill-down is een techniek om in te zoomen op de trace file.
Selecteer in een lijn grafiek een bepaalde periode: dagen, uren, secondes etc.
Pas vervolgens de View nog een keer toe en je ziet meer details.
In onderstaand voorbeeld worden de details over 11 seconden weergegeven.
CACE Pilot & Wireshark
Behalve dat je trace files kunt openen in CACE Pilot, kun je ook weer data exporteren naar Wireshark met de optie: Send to Wireshark.
Selecteer één of meerdere kolommen van een grafiek en selecteer Send to Wireshark in het context menu:
Met optie Send to Files wordt het geselecteerde verkeer in een aparte trace file opgeslagen, zodat je dit later kunt analyseren.
Monitoren en Watches
Om live verkeer te monitoren sleep je de Views naar capture interface(s).
Om het netwerkverkeer op te slaan in een trace file kies je voor Export -> Wireshark of Export -> File.
Hierbij kun je tevens gebruikmaken van de Wireshark Capture en Display Filters.
Een bijzondere optie is het instellen van Watches.
Met een Watch definieer je een trigger en één of meer actie's:
trigger: netwerkverkeer van IP host 192.168.100.120 of van IP host 192.168.100.121
actie 1: start een packet capture
actie 2: stuur me een Tweet om me te waarschuwen
Je hoeft dus niet doorlopend al het verkeer te capturen, maar door middel van de Watch start je de capture pas op het moment, dat het nodig is.
Rapportages
Tot slot kun je rapportages genereren in verschillende bestandsformaten, zoals Word, Excel of HTML.
Je kunt de standaard opties gebruiken, maar er zijn ook veel mogelijkheden om de rapportages aan te passen.
Selecteer de Views, die je wilt opnemen in de rapportage.
Selecteer één of meer bestandformaten.
Met één druk op de knop worden tot maximaal 6 verschillende rapportages gegenereerd.
Een bijzondere optie is de ZIP Package.
Het resultaat is een ZIP file met de volgende bestanden:
CACE Pilot heeft heel veel mogelijkheden en je kunt het helemaal aanpassen aan je wensen.
Hier vind je meer screenshots.
Meer weten?
Je kunt bij CACE Technologies een Evaluation Copy aanvragen.
Dit is een volledig werkende versie voor 30 dagen.
Reacties (0)
Wireshark: Filesets en het exporteren van HTTP Objects
's Ochtends werd er door de NetGeNoten vrolijk getwitterd over de voorbereiding van de Mobiele WerkPlaats:
Zoek InternEd tussen de kabels:)
Tegen 4 uur kwamen 11 enthousiaste deelnemers binnen en gingen we van start.
Ik stond voor de uitdaging om zo snel mogelijk de belangrijkste opties van Wireshark uit te leggen, zodat de deelnemers er verder mee aan de slag konden gaan. Mijn enthousiaste verhaal, kon niet verhinderen, dat rond 6 uur iedereen even alles liet rusten om pizza te gaan happen.
Het was een mooi interactief gebeuren en dus kreeg ik ook nog vragen mee naar huis.
Één van de vragen was:
kun je HTTP Objects exporteren, uit een file, die onderdeel is van een fileset (zie Wireshark Woensdag - Multiple Files en Ringbuffers)?
Als alle packets van de TCP Stream in dezelfde file van de fileset zitten, dan kun je de objecten exporteren via File -> Export -> Objects -> HTTP -> Save As.
Als de packets van de TCP Stream verdeeld zijn over meerdere files van de fileset, dan moeten deze packets eerst samengevoegd worden in één bestand.
Ik zal dit aan de hand van deze fileset toelichten:
test_ngn2_00001_20090917165718.pcap
test_ngn2_00002_20090917165730.pcap
Wireshark
Open file test_ngn2_00002_20090917165730.pcapMet het display filter, (tcp.stream == 1) || (tcp.stream == 5), worden alle packets van deze 2 streams weergegeven.
Ga naar File -> Export -> Objects -> HTTP
Selecteer packet 68.
Alle packets van Stream 5 zitten in deze file en Wireshark kan alle segmenten samenvoegen tot een geheel. Je kunt object ga.js zonder problemen exporteren.
Selecteer packet 18.
De packets van Stream 1 zitten niet allemaal in dit deel van de fileset.
Maak een display filter op basis van de ip-adressen en poortnummer, die je in het Packet Details venster ziet en klik Apply:
ip.addr==192.168.1.9 && tcp.port==1120 && ip.addr==81.23.231.151 && tcp.port==80
Sla de packets die nu weergegeven worden op in een aparte file:
File -> Save As
Packet Range: selecteer Displayed (15 packets)
Filename: deel2.pcap
Save
Ga naar File -> Fileset -> Previous File
File 1 van de fileset: test_ngn2_00001_20090917165718.pcap wordt geopend.
Het display filter wordt automatisch ook op deze file toegepast.
Sla de packets die nu weergegeven worden op in een aparte file:
File -> Save As
Packet Range: selecteer Displayed (67 packets)
Filename: deel1.pcap
Save
De volgende stap is het samenvoegen van deel1.pcap en deel2.pcap.
Open file deel1.pcap.
Ga naar File -> Merge... -> selecteer: deel2.pcap
Selecteer links onder Merge packets chronologically en klik Open
Ga nu weer naar File -> Export -> Objects -> http
Selecteer in de HTTP Object List packet 78 -> Save As -> ZoyipqcIqB.jpeg
Als alles goed gegaan is, dan heb je nu een jpeg en weet je waar je op 26 oktober naar toe moet gaan;-)
TShark
Met TShark kun je geen http objects exporteren, maar verder kun je bovenstaande stappen ook vanaf de command line uitvoeren.Hoe dat werkt, dat zie je hieronder.
Met de volgende commando's krijg je een overzicht van de TCP Streams:
$ tshark -r test_ngn2_00001_20090917165718.pcap -q -z conv,tcp
$ tshark -r test_ngn2_00002_20090917165730.pcap -q -z conv,tcp
Deze commando's geven overigens dezelfde informatie als Wireshark -> Statistics -> Conversations -> tab: TCP
Om de streams uit de 2 capture files te halen gebruik je deze commando's:
syntax: tshark -r inputfile -R "display filter" -w outputfile
$ tshark -r test_ngn2_00001_20090917165718.pcap -R "ip.addr==192.168.1.9 && tcp.port==1120 && ip.addr==81.23.231.151 && tcp.port==80" -w ts_deel1.pcap
$ tshark -r test_ngn2_00002_20090917165730.pcap -R "ip.addr==192.168.1.9 && tcp.port==1120 && ip.addr==81.23.231.151 && tcp.port==80" -w ts_deel2.pcap
Note:
Je gebruikt hierbij hetzelfde display filter als bij Wireshark, maar je moet het filter wel tussen quotes zetten:
"ip.addr==192.168.1.9 && tcp.port==1120 && ip.addr==81.23.231.151 && tcp.port==80"
De volgende stap is het samenvoegen van de files met mergecap:
syntax: mergecap -w outputfile inputfile inputfile inputfile
$ mergecap -w ts_deel1en2.pcap ts_deel1.pcap ts_deel2.pcap
Note:
Je kunt dus meerdere files tegelijkertijd samenvoegen. Dit werkt dus sneller dan Wireshark, waarbij maar 2 files tegelijkertijd kunt samenvoegen.
Tot slot het commando om Wireshark vanaf de command line te starten:
$ wireshark -r ts_deel1en2.pcap
Ga nu weer naar File -> Export -> Objects -> http
Selecteer in de HTTP Object List packet 78 -> Save As -> ZoyipqcIqB.jpeg
Als het goed is, dan heb je nu een 2e exemplaar van ZoyipqcIqB.jpeg en weet je nu zeker waar je op 26 oktober naar toe moet gaan;-)
Reacties (0)
Wireshark & Windows 7
- je kunt WinPcap niet installeren.
- je start Wireshark, maar je kunt geen packets capturen
In dit artikel vind je een toelichting en oplossingen voor deze problemen.
Click here for an English version.
Wireshark en WinPcap 4.1 beta 5
Het installeren van Wireshark versie 1.2.0 of 1.2.1 op Windows 7.De Wireshark installer bevat tevens de installer van de laatste WinPcap release.
Dit is gemakkelijk: je hoeft maar één installatie-bestand te downloaden.
De Wireshark installer van de versies 1.2.0 en 1.2.1 bevat WinPcap versie 4.1 beta 5.
WinPcap is de Windows versie van de libpcap library. Het bevat de driver, die nodig is om packets te kunnen capturen.
Als WinPcap niet geïnstalleerd is, dan kun je GEEN netwerkverkeer capturen. Je kunt echter wel capture files openen en analyseren.
Als je de setup voor Wireshark draait, kun je deze foutmelding krijgen:
"This version of Windows is not supported by WinPcap 4.1 beta 5.
Installation will be aborted"
Je kunt dit oplossen door de compatibility mode voor Windows Vista te selecteren:
na het downloaden rechts-klikken op wireshark.exe en Properties selecteren.
Vink de checkbox aan: "Run this program in compatibility mode for:…"
Selecteer Windows Vista en klik OK.
Je kunt nu probleemloos de setup draaien van Wireshark en WinPcap.
Note:
Eerdere versies van Wireshark, bijvoorbeeld de stable release versie 1.0.8 of de development release versie 1.1.3 komen met WinPcap 4.0.2.
Je kunt deze versies zondermeer installeren op Windows 7.
NetGroup Packet Filter (NPF) driver
Na de setup start je Wireshark en je krijgt deze melding:
De NPF driver is niet gestart en dat betekent, dat je geen netwerkverkeer kunt capturen.
Je kunt wel bestaande capture files openen en analyseren.
Je hebt administrator rechten nodig om de NPF driver te starten.
Dit kun je doen door rechts te klikken op de (snelkoppeling naar) wireshark en te kiezen voor "Run as administrator".
Er zijn overigens ook andere manieren om de service te starten.
Tijdens de setup van Wireshark en WinPcap kun je de checkbox aanvinken:
"Services: Start WinPcap service "NPF" at startup".
Als je bovenstaande optie niet gebruikt hebt tijdens de setup, dan kun je op de volgende wijze zorgen, dat de NPF driver automatisch gestart wordt bij het opstarten van de pc:
Ga naar Start -> Computer -> right-click -> Manage.
Selecteer Device Manager.
Vervolgens selecteer je View -> Show Hidden Devices.
Dubbel-kliken op Non-Plug and Play Drivers in the lijst met apparaten.
Rechts-kliken op de NetGroup Packet Filter Driver en Properties selecteren.
Klik op het tabblad Driver en verander de start settings naar "Automatic" of "System".
Tenslotte kun je de NPF driver ook nog handmatig starten:
Start -> All Programs -> Accessoires -> Command Prompt -> rechts-klikken -> Run as administrator
Start:
net start npf
Stop:
net stop npf
Be prepared for Windows 7
Reacties (0)
Encryptie, ook voor virtuele machines...
Virtuele machines
Virtuele machines zijn ideaal.
VMware Server is gratis en is een interessant product om te gebruiken.
Je kunt virtuele machines gebruiken om nieuwe of verschillende besturingssystemen uit te proberen, b.v. Windows 7 of Linux distros.
Het is gemakkelijk om een virtuele machine te installeren. Je maakt vervolgens een kopie, die je gebruikt om nieuwe applicaties of demo's te testen. Werkt het niet of niet zoals je zou willen, dan gooi je de virtuele machine weg. Je maakt een nieuwe kopie en begint opnieuw.
Kopiëren is zo eenvoudig…
Het wordt een ander verhaal, als de virtuele machine gevoelige informatie bevat. Je gebruikt hem bijvoorbeeld voor online bankieren.
VMware Server gebruikt virtual disk files (.vmdk) als disk drives.
Je wilt niet, dat iemand de .vmdk file in een onbewaakt ogenblik naar zijn usb-stick kopieert en meeneemt.
VMware Disk Mount Utility
Met VMware Disk Mount Utility (VMware), freeware, kan iedereen .vmdk files van verschillende operating systems mounten. Momenteel kan het echter (nog) geen virtual disk files mounten van Windows Vista, Windows 7 and Windows Server 2008.
VMware Disk Mount Utility (VMware) is een command line programma en is gemakkelijk te gebruiken:
vmware-mount /? displays usage information
Om een disk te mounten gebruik je het volgende commando:
vmware-mount [driveletter:] [path-to-virtal-disk] [options]
Vervolgens kun je naar de schijfletter navigeren, de inhoud bekijken en kopiëren.
VMware DiskMount
Met het programma VMware DiskMount (vmxbuilder) kun je al wel virtual disks van Windows Vista of Windows Server 2008 mounten, maar nog niet van Windows 7.
De disk mount utilities zijn ontwikkeld voor gebruiksgemak. Je kunt even snel een bestand kopiëren, zonder dat je de virtuele machine op hoeft te starten.
Dit is tevens een risico: ook een ander kan deze bestanden zonder problemen mounten.
Een oplossing voor dit probleem is het encrypten van de virtuele machines.
TrueCrypt
TrueCrypt is open-source disk encryption software.
Je kunt het b.v. gebruiken om een harde schijf, een partitie, bepaalde folders of een USB drive te encrypten.
Het veiligste is om een compleet systeem te encrypten, omdat dan o.a. ook alle temporary files, swapfiles en logfiles geëncrypt worden.
Het is gratis;-) en op de website staat uitgebreide informatie.
Om een virtuele machine te encrypten moet je TrueCrypt hierop installeren.
Vervolgens start je TrueCrypt en kies je voor Create Volume.
De Volume Creation Wizard leidt je door de nodige stappen om de hele system drive te encrypten.
De volgende stappen wil ik benadrukken:
Voordat de hele harde schijf geëncrypt wordt, wordt er een rescue disk aangemaakt. Je moet deze branden op cd of dvd. Binnen VMware Server kun je Daemon Tools Lite (gratis voor persoonlijk gebruik) gebruiken om de TrueCrypt Rescue Disk iso te mounten. TrueCrypt controleert of de cd/iso correct is en gaat dan pas verder met de volgende stap.
System Encryption Pretest.
Om de Pretest uit te kunnen voeren, moet de virtuele machine opnieuw opgestart worden.
Je kunt het systeem pas gaan encrypten, als de Pretest succesvol is afgerond.
Pre-boot authentication.
Als het gehele systeem wordt geëncrypt, dan wordt tevens pre-boot authentication toegepast. Dit wordt afgehandeld door de TrueCrypt Boot Loader. De boot loader staat in de eerste track van de boot drive en op de Rescue Disk. Het is dus belangrijk om de Rescue Disk of de Rescu Disk iso op een veilige plaats te bewaren.
Pre-boot authentication vereist dat de gebruiker een correct paswoord invoert. Pas daarna start het operating system op.
Note:
Je hebt een nieuwe virtuele machine gemaakt met een virtuele disk van 25GB, maar je hebt de schijfruimte dynamisch toegewezen.
Na installatie van Windows XP is de .vmdk file ongeveer 2GB groot.
Als je de machine vervolgens encrypt, dan is de .vmdk file 25GB groot. Dit komt doordat TrueCrypt de totaal toegewezen schijfruimte encrypt.
Na encryptie kun je de virtuele disk file niet meer mounten met VMware Disk Mount Utility (VMware):
Je kunt de .vmdk file nog wel mounten met VMware DiskMount (vmxbuilder), maar als je de schijf wil benaderen, dan krijg je de volgende melding: The disk in drive … is not formatted. Do you want to format it now?
Sta nog even stil bij het volgende:
hoe groter de usb-sticks, hoe gemakkelijker het wordt om een virtuele machine "mee te nemen"
Reacties (0)
Wireshark Woensdag - SharkFest
Dit is een bijdrage van Joke Snelders.Hey guys, where were you?
Sharkfest was great!
Op de campus van Stanford University in Palo Alto California is het 2e jaarlijkse Sharkfest gehouden. De campus is op zich al een bezoek waard: een groene omgeving met o.a. de Rodin Sculpture Garden. Dit is een prettige bijkomstigheid, maar we gingen voor de sessies;-)
Sharkfest ging op maandagavond van start met registratie. Iedereen ontving een badge, een originele Sharkfest-tas met AirPcap Classic Adapter en andere hebbedingetjes. Onder het genot van een goed georganiseerde barbeque volgde kennismaking met de organsatie en de mede-deelnemers.Vervolgens was het 3 dagen vroeg opstaan. Om 7 uur 's morgens was er een gezamenlijk ontbijt met keynote. Verder was er de keuze (kiezen is moeilijk, als je op meerdere plaatsen tegelijkertijd wil zijn:)) uit 3 tracks: Development, Basic User en Advanced User.
Hier volgt een overzicht van enkele highlights.
Release van nieuwe versie Wireshark
Release van Wireshark 1.2.0.Het meest opvallende is de nieuwe start pagina. Hierop staan o.a. links naar de capture interfaces, de laatst gebruikte capture files en help files.
Ook handig is de autocomplete functie bij het gebruik van display filters.
GeoIP is geïntegreerd in deze versie.
Len Shustek
De eerste keynote werd verzorgd door Len Shustek.Hij gaf een mooi overzicht van de ontwikkeling van "computers" vanaf de 19e eeuw.
Charles Babbage ontwierp de eerste computing engines, maar was niet in staat om ze daadwerkelijk te bouwen. De machine, Difference Engine No. 2, is gebouwd naar de originele tekening en is momenteel te zien in het Computer History Museum.
Sake Blok
Onze landgenoot Sake werkt als Research & Development Engineer bij ion-ip in Veenendaal.Wireshark wordt binnen deze organisatie intensief gebruikt. Aangezien Sake tijdens het trouble-shooten bij klanten fouten en tekortkomingen tegen kwam in Wireshark, is hij begonnen met het schrijven van patches voor Wireshark. Vanwege deze werkzaamheden voor Wireshark werd Sake door Gerald Combs (de oorspronkelijke ontwikkelaar van Ethereal/Wireshark) uitgenodigd om toe te treden tot het Core Development Team.
In een volle zaal gaf Sake een presentatie over "SSL Troubleshooting with Wireshark and Tshark"
SSL speelt een belangrijke rol bij opzetten van een beveiligde communicatie over het netwerk. Na het geven van achtergrond informatie over cryptologie en het SSL protocol ging Sake in op het analyseren van de verschillende handshake messages met Wireshark en TShark en het succesvol decrypten van SSL verkeer.
Ook ging hij in op de meest voorkomende problemen bij de setup van het SSL-verkeer.
Hier is het video-verslag van de complete sessie en de bijbehorende Powerpoint-presentatie (ppt).
De gebruikte trace files MET bijbehorende keys kun je opvragen bij Sake.
Hansang Bae
"Think like a packet"Hansang Bae leidt het Network/Application Performance Engineering Team bij Citi. Hij is o.a. verantwoordelijk voor het certificeren van netwerk analisten en assisteert bij troubleshooting. Hij kan zijn ervaring op het gebied van server en netwerk design combineren met zijn brede kennis van protocol analyse in de complexe infrastructuur van grote onderneming.
Hansang gaf een pittige sessie (ppt) over het analyseren van trace files.
Hij gaf veel goede tips hoe te kijken naar een trace file om zodoende de essentiele zaken te kunnen herkennen. Zijn advies is:
- Ontwikkel een techniek
- Gebruik display filters, b.v. (tcp.flags==02) || (tcp.flags == 0x12). Hiermee kun je snel de tcp handshakes in een trace file localiseren en controleren of deze compleet zijn.
- Scroll door een tracefile, let op bijzonderheden en leer patronen te herkennen
- Gebruik de grafische mogelijkheden, b.v. IO graphs
Hansang stimuleerde de deelnemers om actief mee te doen aan trouble-shooting.
Sean Walberg
Sean Walberg is een Canadese netwerk engineer. Voorheen was hij werkzaam als UNIX developer en system administrator. Hij focust zich vooral op de VoIP features van Wireshark en weet deze optimaal te gebruiken. Ook heeft hij een aantal artikelen over VoIP geschreven voor Linux Jounal en O'Reilly. Sean gaf een leerzame sessie over VoIP.Sean begon met de verschillen tussen traditioneel telefoonverkeer en VoIP. Een VoIP sessie bestaat uit 2 delen:
- het Session Initiation Protocol (SIP) zorgt voor het tot stand komen van de VoIP sessie
- De rtp-stream. Dit audio gedeelte kan weer afgespeeld worden met Wireshark (Statistics -> VoIP Calls).
- Jitter: packets arriveren in de verkeerde volgorde
- Delay: packets komen met vertraging aan
Rolf Leutert
De Zwitser Rolf Leutert is de oprichter van Leutert NetServices en geeft trainingen op netwerkgebied en Wireshark. Bij voldoende deelnemers worden de Wireshark trainingen ook op locatie gegeven.Hij is Certified Network Expert (CNX) en heeft de Sniffer Certified Master status.
Rolf gaf een heldere uiteenzetting over het gebruik van de AirPcap adapter. Bij voorkeur gebruik je er 3, zodat je het verkeer van alle kanalen (d.w.z. kanaal 1, 6 en 11) tegelijkertijd kunt capturen.
De pdf is geschikt als naslagwerk, dus download hem snel. Hierin staan tips om met behulp van Custom Columns en Coloring Rules Wireshark aan te passen. Dit is erg handig bij het interpreteren van de trace files van WLAN's.
Betty DuBois
" You can have it all, but you can’t have it all at once!!"Betty DuBois heeft meer dan 10 jaar ervaring als consultant en is instructeur in protocol analyse. Daarnaast is ze trainer bij de Wireshark University. Betty is een Sniffer Certified Expert (SCE), Certified Novell Instructor, Novell's CNE en Certified Network Expert (CNX).
Met haar humor en goede praktijkvoorbeelden weet ze boeiende sessies neer te zetten.
Betty gaat in haar presentatie in op de voor- en nadelen van het gebruik van port SPANning/Mirroring/Monitoring (S/M/M) en TAP's (Test Access Ports). Een nadeel bij het gebruik van S/M/M is, dat je soms teveel (duplicate packets bij spanning een VLAN) en soms te weinig (de switch dropt corrupte of te kleine packets) captured. Het gebruik van TAP's vraagt om extra investering. Je moet, of 2 TAP's, of een aggregation TAP hebben om het verkeer in beide richtingen te kunnen capturen.
Betty's advies:
- Gebruik een TAP, als het mogelijk is
- Gebruik port SPANning/Mirroring/Monitoring, als het nodig is.
Voor iedereen die Sharkfest gemist heeft
Bij CACE Technologies kun je een groot aantal presentaties downloaden.Denny Mui van Love My Tool heeft een aantal sessies volledig gefilmd. Sommige sessies staan al on-line, anderen worden de komende dagen on-line gezet.
Maar... de sfeer kun je niet downloaden, dus zorg dat je er volgend jaar bij bent;-)
Janice Spampinato en haar team hebben Sharkfest09 perfect georganiseerd. Ze hebben gezorgd voor goede sprekers en een unieke locatie. En... er werd goed voor de inwendige mens gezorgd.
Reacties (0)
Wireshark Woensdag - Truncate packets
Deze aflevering gaat over de optie in Wireshark en TShark om niet de volledige packets in de capture-file op te slaan, maar slechts een bepaald aantal bytes van elk packet. Daarnaast kun je met de tools editcap en mergecap informatie uit bestaande capture files verwijderen.De belangrijkste reden hiervoor is het verwijderen van gevoelige informatie (payload), voordat je een capture file aan derden geeft.
Daarnaast kun je de omvang van de capture file beperken door alleen de data, die je nodig hebt voor analyse op te slaan. Help kun je vinden in de Wireshark Wiki en bij de officiële help-docs.
Aantal bytes
Dit overzicht geeft een richtlijn voor het aantal bytes, dat je van elk packet wilt opslaan:- 14 bytes: alleen de ethernet layer => 14 bytes
- 34 bytes: tot en met IP header => 14 + 20 bytes
- 54 bytes: tot en met TCP header => 14 + 20 + 20 bytes
- 68 bytes: (een gedeelte van) de volgende protocollen of data => 68 bytes
Wireshark
Met Wireshark kun je, voordat je gaat capturen, opgegeven hoeveel bytes je van elk packet wilt capturen. Je kunt met Wireshark geen bestaande capture file bewerken.Ga naar Capture -> Options -> Limit each packet to xx bytes.
Dit geeft de volgende output:
TShark
Ook met TShark kun je geen bestaande capture files bewerken. Je gebruikt de optie -s
$ tshark -s 68 -w truncate.pcap
Bestaande capture files
Je kunt zowel editcap als mergecap gebruiken om bestaande capture files te bewerken.
Ook hierbij gebruik je de optie -s
Syntax: mergecap [options] -w
Reacties (0)
Wireshark Woensdag - Wireshark & GeoIP
Weer een bijdrage van Joke Snelders, dit keer over hoe je ip-adressen die je met Wireshark ontvangt kan weergeven op een kaart. -MGWireshark kan met gebruik van MaxMind's GeoIP (koop) en GeoLite (gratis) databases informatie over IP adressen weergeven. Deze informatie, onder andere plaats, land en AS nummer, kan tevens worden weergegeven op een kaart.
Help
Op deze plekken kun je nog extra hulp krijgen.
Wireshark
Je hebt hiervoor Wireshark versie 1.1.3 (Development Release) nodig. De webbrowser moet javascript kunnen uitvoeren.
GeoIP databases
Download deze databases.De laatste update was op 1 april 2009, de volgende update staat gepland voor 1 mei 2009.
Unzip de files GeoIP.dat, GeoLiteCity.dat en GeoIPASNum.dat. Maak een folder aan om de .dat files in te plaatsen, bijvoorbeeld C:\Program Files\Wireshark\GeoIP of C:\GeoIP.
Ga vervolgens naar Edit -> Preferences -> Name Resolution. Bij GeoIP database directories moet je het pad naar de folder met databases opgeven. Het werkt pas als je Wireshark afsluit en opnieuw opstart.
GeoIP informatie in Packet Details
Open een capture file.Om de GeoIP data te zien onder Packet Details ga je naar Edit -> Preferences -> Protocols -> IP
Zet een vinkje bij Enable GeoIP lookups.
Je kunt ook rechtsklikken op een item onder Internet Protocol in het Packet Details venster.
Ga vervolgens naar Protocol preferences -> Enable GeoIP lookups.
GeoIP informatie in Endpoints dialoog venster.
Ga naar Statistics -> Endpoints om het venster te openen. Je ziet de GeoIP informatie op elk tabblad met IP adressen: IPv4, TCP, UDP etc.Selecteer het tabblad IPv4.
Op sommige rijen zie je geen GeoIP informatie. Dit is bijvoorbeeld het geval bij de IP adressen 192.168.xxx.xxx. Je kunt de IP Location Map alleen openen via de button Map op het tabblad IPv4. Klik op Map.
De default webbrowser wordt geopend. Op de kaart worden alle IP adressen, waarvan de locatie bekend is met pinpoints aangegeven. Als je op een pinpoint klikt, zie gedetailleerde informatie. Je kunt de kaart ook in- en uitzoomen. Dit is vooral handig als er meerdere pinpoints dicht op elkaar staan.
In de temp folder (C:\Documents and Settings\
Deze bestanden worden niet automatisch verwijderd.
Je kunt ook tijdens een live capture het endpoints dialoog venster openen. De informatie in dit venster wordt automatisch bijgewerkt. Dit geldt niet voor de IP Location Map. Deze informatie wordt niet automatisch bijgewerkt. Je kunt wel een nieuwe kaart openen via de button Map op het tabblad IPv4.
Display filters
De veldnamen, die je kunt gebruiken voor de display filters staan (nog) niet in de Display Filter Reference. Je vind ze wel in het Filter Expression dialoogvenster.Onder IP - Internet Protocol staan een aantal items die beginnen met ip.geoip...
In de volgende Wireshark Woensdag:
De volgende aflevering gaat over de optie -s
TOT ZIENS OP WIRESHARK WOENSDAG!
Reacties (1)
Wireshark Woensdag - Wireshark & RPCAPD
Nadat we elke week een Wireshark-les hadden van Joke Snelders heeft ze een beetje gas teruggenomen. Dat wil niet zeggen dat er geen Wireshark berichten meer zijn, zo viel dit weekend onderstaande tekst in mijn mailbox met als begeleidende tekst dat er nog niet of nauwelijks iets is te vinden over de setup van Wireshark Development Release. -MelleMet Wireshark en rpcapd.exe kun je remote netwerkverkeer capturen zonder dat je remote control software nodig hebt. Ik begin met de beschrijving van de setup van de remote en local pc bij gebruik van Wireshark versie 1.0.6 (Stable Release). Deze versie van Wireshark heeft namelijk geen opties om in te loggen op de remote pc.
In het tweede gedeelte komt versie 1.1.3 (Development Release) aan bod. Met deze versie van Wireshark kun je namelijk wel inloggen op remote pc. Dit verruimt de mogelijkheden. Je kunt er o.a. voor kiezen om rpcapd.exe automatisch te laten starten op de remote pc.
RPCAPD
Remote Packet Capture Daemon of rpcapd.exe is onderdeel van WinPcap en wordt tegelijkertijd met Wireshark geïnstalleerd.Je vindt rpcap in: C:\Program Files\WinPcap
Het is handig om rpcapd toe te voegen aan de Systeemvariabelen: Deze Computer -> Eigenschappen -> Geavanceerd -> Omgevingsvariabelen -> Systeemvariabelen -> Path -> Bewerken -> Waarde van variabele
Aan het einde van de regel moet je het volgende toevoegen -> ;C:\Program Files\WinPcap
WinPcap 4.1 beta 5 is de laatste versie.
Help
$ rpcapd -h
Setup van de remote pc.
Voordat je rpcapd opstart, moet je eerst informatie verzamelen over de interface(s) van de remote pc. Je hebt deze informatie nodig om het commando rpcap uit te voeren vanaf de local pc.Gebruik het commando tshark -D voor een overzicht van de interfaces en schrijf de informatie meteen weg naar een tekstbestand, zodat je het kunt mailen/meenemen naar de local pc.
$ tshark -D | tee interface.txt
1. \Device\NPF_GenericDialupAdapter (Adapter for generic dialup and VPN capture)
2. \Device\NPF_{818E6D57-BC21-4213-BAC4-8A7EE25D1498} (NetXtreme)
Controleer met $ ipconfig -all het ip-adres van de remote pc. Met het commando rpcapd -n start je de daemon. De optie -n is nodig om authenticatie uit te schakelen.
Local PC – rpcap starten met Wireshark
Start Wireshark. Ga naar Capture -> Otions
Vul bij Interface het ip-adres en de interface informatie van de remote pc in:
rpcap://192.168.1.2/\Device\NPF_{818E6D57-BC21-4213-BAC4-8A7EE25D1498}
Je moet tevens een capture filter, !host 192.168.1.2, opgeven om het verkeer van / naar het ip-adres van de local pc uit te filteren. Anders wordt ook al het verkeer gecaptured, dat door rpcap gegenereerd wordt tussen de remote en de local pc.
Local PC – rpcap starten met TShark
Gebruik de -i optie om de naam van de interface op te geven. Gebruik ook nu een capture filter om verkeer, dat rpcap genereert tussen de remote pc en de local pc uit te filteren.$ tshark -i "rpcap://192.168.1.2/\Device\NPF_{818E6D57-BC21-4213-BAC4-8A7EE25D1498}" -f "not host 192.168.1.7" -w rpcap.cap
Note:
Denk aan het gebruik van aanhalingstekens bij de -i en -f optie.
Tony Fortunato heeft een presentatie gemaakt over het remote capturen met Wireshark.
Remote capturen met RPCAPD en Wireshark versie 1.1.3 (Development Release)
Setup van de remote pc.
Met Wireshark Development Release versie 1.1.3 kun je wel inloggen op de remote pc. Dit betekent dat je op de remote pc Start -> Run -> cmd -> rpcapd.exe kunt starten zonder verdere opties op te geven.
Je kunt de service ook starten via: Start -> Run -> services.msc -> Remote Packet Capture Protocol v.0 (experimental) -> Start the service.
Je kunt natuurlijk ook rpcapd.exe automatisch laten starten door Properties -> Startup Type -> Automatic te selecteren.
Local PC
Start Wireshark. Ga naar Capture -> Otions.
Selecteer Interface -> Remote.
Vul het remote ip-adres en de Password Authentication in.
Vul bij Interface het ip-adres en de interface informatie van de remote pc in:
rpcap://192.168.1.2/\Device\NPF_{818E6D57-BC21-4213-BAC4-8A7EE25D1498}
Controleer of bij Remote Setting "Do not capture own RPCAP traffic" geselecteerd is.
In de volgende aflevering:
Wireshark & GeoIP.
Wireshark kan een IP Location Map openen. Op deze kaart worden met pinpoints de locaties van de IP adressen in de capture file weergegeven.
Tot ziens op Wireshark Woensdag!
Reacties (1)
Wireshark Woensdag - TShark statistics
Dit is de laatste wekelijkse bijdrage van Joke Snelders over Wireshark en de daarbij horende tools. Na ruim 4 maanden elke week een (goed gelezen) stuk schrijven over Wireshark is er gewoonweg iets minder om over te schrijven en dus zal je vanaf nu 1 keer per maand hierover kunnen lezen. Gelukkig dus niet een volledige stop! - Melle Gloerich.Met de optie TShark -z
Als je geen filter opgeeft, dan worden de statistische gegevens over de hele capture file berekend.
Gebruik de optie -q om alleen de statische gegevens te presenteren. Zonder deze optie zie je ook alle Packet Details.
Note:
Om de juiste output te krijgen moet het decimaal symbool ingesteld zijn op de '.' (punt).
Je kunt dit controleren/aanpassen in het Control Panel.
Open Regional and Language Options.
Tab-blad Regional Options -> Customize -> Decimal Symbol.
Protocol Hierarchy
-z io,phs[,filter]
De Protocol Hierarchy Statistics geven een overzicht van het aantal packets en bytes per protocol.
$ tshark -r stats3.pcap -q
In onderstaand screenshot zie je dat dit een overzicht geeft van de protocollen in de vorm van een boomstructuur. De capture file stats5.pcap bevat 305 packets (frames). Alle 305 packets bevatten het ethernet protocol. Dit wordt weer onderverdeeld in 2 packets met het arp protocol en 303 packets met het ip protocol. Vervolgens wordt ip weer verder uitgesplitst aan de hand van de voorkomende protocollen.
Note:
Een packet bevat meestal meerdere protocollen.
In Wireshark -> Packet Details -> Frame kun je zien welke protocollen het geselecteerde packet bevat:
arp -> Protocols in frame: eth:arp
dns -> Protocols in frame: eth:ip:udp:dns
$ tshark -r stats3.pcap -q -z io,phs,arp
Omdat er een filter "arp" is toegepast, geeft dit alleen een overzicht van de packets, die het arp protocol bevatten.
IO Statistics
-z io,stat,interval[,filter][,filter][,filter]...
Hiermee genereer je statistische gegevens per periode. De periode wordt opgegeven in (gedeeltes) van secondes.
Het volgende commando geeft een overzicht per 10 minuten van het verkeer van en naar ip-adres 192.168.100.167 en van en naar ip-adres 192.168.100.6
$ tshark -r test.pcap -q -z io,stat,600,ip.addr==192.168.100.167,ip.addr==192.168.100.6
In dit screenshot zie je, dat je een incorrecte output krijgt bij het gebruik van de ',' (komma) als decimaal symbool. Er wordt geen rekening gehouden met het filter. Het vermelde aantal frames en bytes heeft betrekking op de hele capture file.
Door de optie -z meerdere keren in hetzelfde commando te gebruiken, wordt de output gescheiden.
$ tshark -r test.pcap -q -z io,stat,600,ip.addr==192.168.100.167 -z io,stat,600
,ip.addr==192.168.100.6
Andere opties van io,stat zijn het berekenen van COUNT, SUM, MIN, MAX en AVG.
$ tshark -r update.pcap -qz io,stat,60,"COUNT(tcp.analysis.retransmission)tcp.analysis.retransmission","MIN(tcp.window_size)tcp.window_size","MAX(tcp.window_size)tcp.window_size","AVG(tcp.window_size)tcp.window_size"
Conversations
-z conv,type[,filter]
Hiermee maak je een overzicht van alle conversations per protocol in een capture file.
Met "type" geef je aan voor welk protocol je de statische gegevens wilt weergeven.
Momenteel is dit alleen mogelijk voor de volgende protocollen:
"eth"
"fc"
"fddi"
"ip"
"ipx"
"sctp"
"tcp"
"tr"
"udp"
$ tshark -r stats7.pcap -q -z conv,eth -z conv,ip -z conv,tcp
$ tshark -r test.pcap -q -z conv,tcp,ip.addr==192.168.81.1 -z conv,ip,ip.addr==192.168.136.1
Beste lezers,
Dit is het laatste artikel in de wekelijkse reeks Wireshark Woensdag.
Ik hoop dat ik met deze reeks een basis heb kunnen leggen voor het gebruik van Wireshark.
Ik heb er met veel plezier aan gewerkt. Daarom stop ik niet helemaal en zal in elk geval nog regelmatig voor verse content zorgen.
Wireshark en aanverwanten zullen hierin centraal staan. De Wireshark Mailing Lists zijn immer een bron van informatie en inspiratie.
In het volgende artikel:
remote capturen met rpcapd en TShark/Wireshark
Bedankt
&&
TOT ZIENS
Reacties (0)
Wireshark Woensdag - Statistics
De voorlaatste wekelijkse bijdrage van Joke (en Rene) Snelders, na volgend week zal iets minder regelmatig over Wireshark gepubliceerd worden. - Melle GloerichHet menu Statistics bevat veel verschillende items. Je kunt hiermee op verschillende manieren statistische gegevens van een capture file weergeven. Sommige optie's, Summery en Protocol Hierarchy, presenteren statistische gegevens over de complete capture file.Andere opties hebben betrekking op specifieke protocollen, zoals RTP en SIP.
Protocol Hierarchy venster
Selecteer Statistics -> Protocol HierarchyDit venster geeft een overzicht van alle protocollen in de capture file. Als er een display filter toegepast is, dan zie je alleen de protocollen van de gepresenteerde packets.
Elke rij bevat de statistische gegevens van 1 protocol. Het percentage geeft aan hoeveel procent van de packets een bepaald protocol bevat.
Note:
Een packet bevat meestal meerdere protocollen. In Packet Details -> Frame kun je zien welke protocollen het geselecteerde packet bevat.
Bijvoorbeeld:
tcp -> Protocols in frame: eth:ip:tcp
http -> Protocols in frame: eth:ip:tcp:http
Conversations
Een conversation is het netwerkverkeer tussen 2 specifieke eindpunten:- een ethernet eindpunt is een mac-adres
- een ip eindpunt is een ip-adres
- een tcp eindpunt is een combinatie van een ip-adres en de gebruikte tcp-poort
- een udp eindpunt is een combinatie van een ip-adres en de gebruikte udp-poort
Selecteer Statistics -> Conversations
Als je het conversations venster opent, zie je meteen welke protocollen aanwezig zijn en het aantal conversations per protocol, bijvoorbeeld "Ethernet:3".
Dit venster heeft de mooie optie, dat je kunt sorteren op elk gewenst item. Door rechts te klikken op de items in de balk Address A, Address B etc. kun je togglen tussen op- en af-lopend sorteren.
Ga naar de tab TCP.
Rechts-klik 2 maal op Packets. De kolom wordt aflopend gesorteerd op het aantal packets. Let op het aantal packets en Bytes in de bovenste rij. Je ziet dus meteen wie de top-talkers in de capture file zijn. Door rechts te klikken op een conversation kun je een display filter toepassen. Zie voor de opties het volgende screenshot.
Flow Graph
De Flow Graph geeft een chronologisch overzicht van de connecties (ip-adressen en poortnummers). Selecteer Statistics -> Flow Graph
Note:
De General flow geeft een uitgebreidere toelichting dan de TCP flow.
De Flow Graph geeft een chronologisch overzicht van de connecties en bestaat uit 3 gedeeltes:
- Time:
De time column geeft de tijd in secondes sinds de start van de capture.
- ip-adressen:
Dit geeft een overzicht van alle ip-adressen (zie de scroll-balk aan de onderzijde)
Het geeft vooral een duidelijk beeld, of en wanneer de client met een ander ip-adres gaat connecten. De grijze getallen tussen haakjes zijn de poortnummers. Als je een item selecteert (blauw), dan wordt in de capture file tevens het betreffende packet geselecteerd.
- Comment:
Toelichting, bijvoorbeeld: handshake, dns request/response, http get requests etc.
Save As:
Je kunt de output opslaan als tekstbestand.
SIP
Hier vind je een aantal capture files:Je kunt er onder andere deze capture file met het sip protocol downloaden:
Note:
voeg de extensie .cap toe.
Open de file en ga naar Statistics -> VoIP Calls.
Selecteer Decode.
Selecteer een of beide streams en Play.
TCP Stream Graph
Ray Tompkin geeft in deze presentatie uitleg over de TCP Stream Graph.Recording VoIP calls using Wireshark.
In deze blog van Mark Wilson komen diverse items uit het Statistics menu aan de orde.
Hier vind je een presentatie van Ronnie Sahlberg over het gebruik van Wireshark voor het analyseren van CIFS verkeer.
In de volgende Wireshark Woensdag
TShark StatisticsTOT ZIENS OP WIRESHARK WOENSDAG!
Reacties (0)
Wireshark Woensdag - Wireshark Preferences
Dit is al de 16e aflevering van Wireshark Woensdag, nog slechts een paar afleveringen in deze Wireshark-woensdagreeks, dan gaat Joke het iets rustiger aan doen, 1 keer per maand. Sinds 12 november heeft ze hier wekelijks over geblogd! -Melle GloerichJe kunt Wireshark aanpassen aan je persoonlijke voorkeur met behulp van het Preferences dialoogvenster. Je vind dit onder Edit -> Preferences. De instellingen, die je in Preferences doet worden opgeslagen in het bestand C:\Documents and Settings\
Preferences
Open het Preferences dialoog venster via Edit -> Preferences.
Aan de linkerkant kun je diverse tabbladen selecteren. Een klein gedeelte heeft betrekking op de User Interface en standaard capture instellingen. Het andere gedeelte heeft betrekking op de instellingen die je voor de diverse protocollen kunt doen.
Layout
Het is natuurlijk altijd leuk om een persoonlijk tintje aan de layout te geven; bijvoorbeeld voor een opdrachtgever:) Je hoeft alleen maar een pakkende titel in te vullen achter: Custom Window Title (prepend to existing titles). Klik OK en de naam wordt gepresenteerd in de titelbalk.
Note:
De titel wordt niet opgeslagen in de capture file. Je kunt dit dus gebruiken voor screenshots in het verslag voor de opdrachtgever.
Columns
Standaard worden de columns No., Time, Source, Destination, Protocol en Info weergegeven. Ik voeg er zelf altijd de column Packet length (bytes) aan toe. Soms is het handig om meerdere time columns te hebben, zodat je naast de tijd sinds het begin van de capture ook de delta time in beeld hebt.Voor uitleg over delta time zie: Wireshark Woensdag: Time Display Format en Export HTTP Objects
Selecteer voor de weergave van de tijd: View -> Time Display Format -> Seconds Since Beginning of Capture. Om een column toe te voegen, die de delta time weergeeft, ga je als volgt te werk:
Selecteer het tabblad Columns en klik New.
Wijzig in het veld Title "New Column" in "Delta Time".
Selecteer in het veld Format "Delta Time".
Vervolgens kun je de columns naast elkaar zetten. Zorg dat de column Delta Time geselecteerd is. Klik een paar keer "Up", totdat de column Delta Time onder de column Time (format as specified) staat. Klik OK.
Custom Columns
Om columns toe te voegen, die niet in de keuzelijst van Format staan, selecteer je in deze lijst Custom. Je krijgt de optie om in een extra veld een display filter in te vullen. Op deze wijze kun je de Packet List helemaal aanpassen aan je wensen.Werkwijze
Je wilt een column toevoegen, die de TCP Window Size weergeeft. Deze column staat niet in de keuzelijst van Format, hier meer info over TCP Window Size.
Selecteer het tabblad Columns en klik New.
Wijzig het veld Title "New Column" in TCP Window Size.
Selecteer in het veld Format "Custom".
Rechts van het veld Format verschijnt een nieuw veld.
In dit veld vul je het display filter tcp.window_size in.
Klik OK.
Het resultaat van bovenstaande acties is de volgende layout van de Packet List.
Capture
Hier kun je onder andere de default interface instellen. De instellingen in Preferences -> Capture worden als standaard gehanteerd. Dit in tegenstelling tot instellingen in Capture -> Options. De instellingen, die je hier opgeeft gelden tot dat Wireshark afgesloten wordt.url: http://wiki.wireshark.org/Preferences/Capture
Name Resolution
Hier stel je de standaard in voor MAC, Network en Transport Name Resolution. Ook hiervoor geldt, dat je dit via Capture -> Options aan kunt passen voor die ene sessie. Met betrekking tot concurrent DNS name resolution moet je de balans tussen performance en functionaliteit in de gaten houden.Protocols
Hier kun je de instellingen voor diverse protocollen aanpassen. Je kunt bijvoorbeeld afwijkende poortnummers opgeven of tcp reassembly aan/uit zetten.Als je de instellingen van tcp aan wilt passen, kun je via Edit - > Preferences -> Protocols naar tcp scrollen.
Dit kan echter veel sneller vanuit Packet Details.
Selecteer in de Packet List een packet met het tcp protocol.
Ga naar Packet Details en rechts-klik op Transmission Control Protocol ...etc.
Selecteer Protocol Preferences... en je gaat meteen naar het tabblad tcp protocol.
Hier vind je een aantal sample capture files:
http://wiki.wireshark.org/SampleCaptures
http://www.techtraces.com/sample_captures
http://packetlife.net/captures/
In de volgende Wireshark Woensdag
Wireshark StatisticsTOT ZIENS OP WIRESHARK WOENSDAG!
Reacties (0)
