NGN: HET PLATFORM VOOR DE ICT PROFESSIONAL

Geplaatst op 16-2-2010 13:48 door Joke Snelders Display filters
Je gebruikt display filters om bepaalde packets in beeld te krijgen of juist om packets, waar je niet in geïnteresseerd bent uit te filteren. Packets, die niet aan de filter voorwaarden voldoen, worden verborgen, maar niet verwijderd uit de capture file.

Er zijn verschillende manieren om display filters toe te passen.
Je kunt het display filters typen in het Filter Input Field in de Filter Toolbar en hierbij gebruik maken van de autocomplete functie.
Als de achtergrond groen kleurt, dan is de filter string geldig.
Vergeet niet om Apply te klikken of te Enteren om het filter toe te passen.

Je kunt ook kopiëren en plakken gebruiken om de filter string in het Filter Input Field in te voeren.

Hier volgen een paar voorbeelden:

• Laat alleen de beacon frames zien:
  wlan.fc.type_subtype == 0x08
• Laat alles, behalve de beacon frames zien:
  !wlan.fc.type_subtype == 0x08
• Laat alleen de beacon frames en ack frames zien:
  (wlan.fc.type_subtype == 0x08) || (wlan.fc.type_subtype == 0x1d)
• Laat alles, behalve de beacon en ack frames zien:
  (!wlan.fc.type_subtype == 0x08) && (!wlan.fc.type_subtype == 0x1d)
  

Je vindt meer informatie in de Wireshark User's Guide en in de Wireshark Wiki.



Capture filters
Bij het gebruik van capture filters worden alleen packets, die aan de capture filter criteria voldoen opgeslagen in de capture file. Hierdoor wordt de hoeveelheid data, die je captured verminderd.

Capture filters hebben een andere syntax dan display filters.

Je voert de capture filters in in het Filter field van het Wireshark Capture Options dialoog venster.

Hier volgen een paar voorbeelden:

• Capture alleen beacon frames:
  wlan[0] == 0x80
• Capture alles, behalve beacon frames:
  wlan[0] != 0x80
• Capture alleen beacon frames en ack frames:
  wlan[0] == 0x80 || wlan[0] == 0xd4
• Capture alles, behalve beacon frames en ack  frames:
  wlan[0] != 0x80 and wlan[0] != 0xd4

Je vindt meer informatie in de Wireshark User's Guide en in de Wireshark Wiki.


De display en capture filters opslaan

File dfilters
Om de display filters op te slaan voor toekomstig gebruik, kun je het bestand dfilters aanpassen.

In Windows XP vind je het bestand dfilters hier:
C:\Documents and Settings\\Application Data\Wireshark\dfilters

In Windows 7 of Windows Server 2008:
C:\Users\\AppData\Roaming\Wireshark\dfilters

Notes:

• Je moet "Show Hidden Files, Folders, and drives" aanzetten om de folder AppData te zien:
  ga naar Control Panel\All Control Panel Items -> Folder Options -> View -> Show Hidden Files, Folders, and drives.
• Als er nog geen bestand dfilters is, dan kun je het bestand kopiëren en plakken van C:\Program Files\Wireshark\dfilters naar C:\Users\\AppData\Roaming\Wireshark\dfilters.
• Het bestand dfilters heeft geen extensie.
  

Open het bestand dfilters met Notepad.
Kopieer en plak de volgende tekst:
"WLAN DISPLAY FILTERS" HEADER
"    Beacon Frames" wlan.fc.type_subtype == 0x08
"    No Beacon Frames" !wlan.fc.type_subtype == 0x08
"    Beacon Frames or Ack's" (wlan.fc.type_subtype == 0x08) || (wlan.fc.type_subtype == 0x1d)
"    No Beacon Frames and No Ack" (!wlan.fc.type_subtype == 0x08) && (!wlan.fc.type_subtype == 0x1d)

Zorg dat het bestand eindigt met een "lege regel", omdat je anders het laatste filter niet in beeld krijgt.

File cfilters
Herhaal de bovengenoemde stappen om het bestand cfilters aan te passen.

Kopieer en plak de volgende tekst:
"WLAN CAPTURE FILTERS" HEADER
"    Capture only Ethernet type EAPOL" ether proto 0x888e
"    Beacon Frames" wlan[0] == 0x80
"    No Beacon Frames" wlan[0] != 0x80
"    Probe Requests" wlan[0] == 0x40
"    No Probe Requests" wlan[0] != 0x40
"    Probe Response" wlan[0] == 0x50
"    No Probe Response" wlan[0] != 0x50
"    Ack" wlan[0] == 0xd4
"    No Ack" wlan[0] != 0xd4
"    CF-End" wlan[0] == 0xe4
"    No CF-End" wlan[0] != 0xe4
"    Clear-to-send" wlan[0] == 0xc4
"    No Clear-to-send" wlan[0] != 0xc4
"    Beacon Frames - Probe Response/Request - Ack" wlan[0] == 0x80 or wlan[0] == 0x50 or wlan[0] == 0x40 or wlan[0] == 0xd4
"    No Beacon Frames - No Probe Response/Request - No Ack" wlan[0] != 0x80 and wlan[0] != 0x50 and wlan[0] != 0x40 and wlan[0] != 0xd4
"    Beacon Frames-Probe Resp/Req-Ack-CF-End-Clear-to-send" wlan[0] == 0x80 or wlan[0] == 0x50 or wlan[0] == 0x40 or wlan[0] == 0xd4 or wlan[0] == 0xe4 or wlan[0] == 0xc4
"    No Beacon Frames-Probe Resp/Req-Ack-CF-End-Clear-to-send" wlan[0] != 0x80 and wlan[0] != 0x50 and wlan[0] != 0x40 and wlan[0] != 0xd4 and wlan[0] != 0xe4 and wlan[0] != 0xc4

Je ziet de nieuwe filters in het "Display Filters" en "Capture Filters" dialoog venster, nadat je Wireshark opnieuw hebt opgestart.




Tip
Op de website van Packet Life staan een aantal interessante Cheat Sheets.


Geplaatst op 24-1-2010 21:38 door Joke Snelders De term "Fence" is geïntroduceerd door Stardock Fences en duidt een groep iconen op het bureaublad aan.

Je kunt bijvoorbeeld voor ieder project een Fence maken. Je sleept alle bestanden en snelkoppelingen, die bij hetzelfde project horen naar de desbetreffende Fence. De iconen, die binnen een Fence staan, blijven netjes gegroepeerd, als je bijvoorbeeld je laptop op een beamer aansluit of als je de beeldschermresolutie aanpast. Bovendien passen de Fences zich automatisch aan aan de nieuwe resolutie.
Je kunt ook tijdens een presentatie alleen die Fences in beeld houden, die je nodig hebt. De overige Fences verberg je met Quick-Hide.

Fences is gratis voor persoonlijk gebruik.
Je kunt het hier downloaden.




Na instalatie en reboot kun je de wizard gebruiken om een paar Fences aan te maken of om meteen het breaublad te laten ordenen. Alle iconen worden dan ondergebracht in Fences met labels als Files & Documents, Quick Links, Programs etc.
Het is echter ook erg gemakkelijk om zelf de Fences aan te maken.

Fences maken
Gebruik de rechter muisknop om een rechthoek op het bureaublad te maken.
Selecteer "Create new Fence here" en type een naam.
Vervolgens sleep je de iconen naar de Fence.
   



Fences aanpassen
Je kunt de Fence verplaatsen door links te klikken op het label en te slepen.
Vergroten en verkleinen doe je door links te klikken op de randen van de Fence en te slepen.

Rechts-klikken op het label en selecteer Configure Fences... .
Je kunt bijvoorbeeld kiezen uit verschillende layouts of het al dan niet laten zien van de labels.

Quick Hide

• dubbelklikken op het bureaublad -> alle Fences en iconen worden verborgen
• nogmaals dubbelklikken op het bureaublad -> alle Fences en iconen zijn weer zichtbaar

Op de volgende manier kun je er voor zorgen dat bepaalde Fences en/of  iconen zichtbaar blijven tijdens Quick Hide:

• rechts-klikken op een label en selecteer View -> "Exclude this fence from quick-hide"
• rechts-klikken op een icoon en selecteer "Exclude this icon from Fences' quick-hide"

Snapshots
Standaard worden er 2 Snapshots aangemaakt: Pre-Install Snapshot en First-Use Snapshot.
Met de button "Take Snapshot" maak je een nieuwe snapshot.
Je kunt vervolgens switchen tussen de verschillende layouts door snapshots terug te zetten. Dit doe je door de gewenste snapshot te selecteren in "Snapshot (Backups)... .
   
 

Geplaatst op 21-12-2009 11:20 door Joke Snelders Omdat Alan Ott behoefte had aan een tool om capture files opnieuw af te spelen en hij geen geschikte tool voor het Windows platform kon vinden, heeft hij zelf een tool ontwikkeld: PlayCap.

PlayCap draait op Linux en Windows.
PlayCap kan captures files afspelen, die gemaakt zijn met Wireshark, tcpdump, WinDump of andere applicaties, die gebaseerd zijn op libpcap.
Je kunt PlayCap hier downloaden.

Na installatie van PlayCap, kun je een capture file openen door File -> Open te selecteren.



Als de file geladen is, zie je iets vergelijkbaars:
Processed 0 of 279
0:00.000 / 0:14.403

279: dit is het aantal packets in de capture file, die ik geladen heb.
0:14.403: dit is de duur van de capture in seconden.

Je ziet deze waarden ook terug, als je de capture file opent met Wireshark.
Open vervolgens het Summary venster in het pull-down menu Statistics.



Hit de Start button om het Select Playback Device venster te openen.


Select een playback device door de Playback button te selecteren:



Je kunt het proces volgen:
- via de PlayCap GUI
- door het verkeer te capturen met Wireshark




Geplaatst op 5-12-2009 11:27 door Joke Snelders Het heeft een aantal voordelen om gebruik te maken van de optie mark packet:

• Als je door een trace file navigeert en je ziet interessante packets, dan kun je deze direct markeren. Je kunt de packets dan later weer snel terugvinden in de (grote) trace file.
• Je kunt de optie gebruiken om bepaalde packets of een reeks van packets op te slaan.
• Gebruik een display filter om packets te selecteren en vervolgens te markeren.
• Ook kun je 2 of meer tcp en/udp streams markeren en opslaan in een aparte trace file.
  

Download hier de sample file ws_list.pcap, zodat je de voorbeelden kunt volgen.

Opties
Je vindt een overzicht van alle opties en de shortcut keys in Wireshark onder het "Edit" menu:

• Mark Packet (toggle) - Ctrl+M
  Markeer of demarkeer het geselecteerde packet.
• Find Next Mark - Shift+Ctrl+N
  Ga naar het volgende gemarkeerde packet in de trace file.
• Find Previous Mark - Shift+Ctrl+B
  Ga naar het vorige gemarkeerde packet in de trace file.
• Mark All Packets - Ctrl+A
  Markeer alle packets, die op dat moment weergegeven worden.
• Unmark All Packets - Ctrl+D
  Demarkeer alle packets, die op dat moment weergegeven worden.
  

Je kunt packets ook markeren door rechts te klikken op een packet in de Packet List en kiezen voor Mark Packet (toggle) in het context menu.



Note:
Je kunt de markeringen niet opslaan in een trace file. De markeringen gaan verloren, als je de trace file afsluit.

Packets markeren
Open de file ws_list.pcap.

Je markeert packets door rechts te klikken op een packet in de Packet List en Mark Packet (toggle) selecteren in het context menu.
Je herkent gemarkeerde packets aan een zwarte achtergrond met witte letters.
Om de markering ter verwijderen moet je nogmaals rechts-klikken op een packet en Mark Packet (toggle) selecteren.

Gemarkeerde packets opslaan
Om de gemarkeerde packets op te slaan ga je naar:
File -> Save As…

Selecteer "Marked packets" om alleen de gemarkeerde packets op te slaan.
Als je "First to last marked" selecteert, dan worden ook de niet gemarkeerde packets, die tussen deze 2 staan opgeslagen.



Gebruik van display filters en packets markeren
Selecteer voordat je begint Edit -> Unmark All Packets om er zeker van te zijn, dat er geen packets meer geselecteerd zijn.

Copy en paste het volgende display filter http.request.method == "GET" in het filter input veld.
Hit enter of klik op de button Apply om het display filter toe te passen.



Selecteer Edit -> Mark All Packets of hit Ctrl+A om alle packets, die nu weerggeven worden te markeren.
In dit voorbeeld worden 8 packets weergegeven.

Hit de button Clear om het display filter te verwijderen.

Je kunt nu met behulp van Shift+Ctrl+N (Find Next Mark) en Shift+Ctrl+B (Find Previous Mark) door de trace file navigeren.

Ga naar File -> Save As… om de gemarkeerde packets, alle HTTP GET requests, op te slaan in een aparte trace file.
Packet Range: selecteer Marked packets
Vul een file name in en klik Save.

Mark packets of 2 streams
Selecteer voordat je begint Edit -> Unmark All Packets om er zeker van te zijn, dat er geen packets meer geselecteerd zijn.

Selecteer packet 17.
Klik op het plusje voor Transmission Control Protocol in het Packet Details venster om de details te kunnen zien..
Rechts-klik op [Stream index: 2].
Selecteer Apply as Filter -> Selected.
Note:
het display filter tcp.stream == 2 wordt automatisch in het filter input veld geplaatst.
Hit CTRL+A om alle weergegeven packets te markeren (15 packets).



Wijzig het display filter in tcp.stream == 3 en hit enter om het nieuwe display filter toe te passen.
Hit CTRL+A om alle weergegeven packets te markeren (32 packets).
Hit de button Clear om het display filter te verwijderen.

Scroll door de file om te zien welke packets gemarkeerd zijn.

Ga naar File -> Save As… om de gemarkeerde packets van de 2 tcp streams op te slaan.
Packet Range: selecteer Marked packets
Vul een file name in en klik Save.

Kijk tot slot nog even naar de statusbar:
number of packets in this file: 142
displayed packets: 142
marked packet: 47




Geplaatst op 4-11-2009 20:37 door Joke Snelders Short URL's
Diverse websites bieden de service om (lange) URL's om te zetten in korte URL's.
Deze URL, een link naar een definitie van URL Shortening, is 58 karakters lang:
http://whatis.techtarget.com/definition/url-shortener.html

Tiny.cc creëert een Tiny URL 20 karakters:
http://tiny.cc/vfHCA

Dit is het resultaat van Bit.ly, ook 20 karakters:
http://bit.ly/2tAIqo

Korte URL's zijn gemakkelijk in gebruik en noodzakelijk op Twitter. Een tweet kan maximaal 140 karakters lang zijn. Met lange URL's blijft er weinig ruimte over voor een boodschap.
Deze URL past niet eens in een tweet:
http://images.google.co.uk/imgres?imgurl=http://www.world-guides.com/images/antwerp/antwerp_maritime_steen_mus2.jpg&imgrefurl=http://www.antwerp.world-guides.com/antwerp_museums.html&usg=__-KxYrVp6zsDNI63SZPJwW_alYB0=&h=170&w=225&sz=6&hl=nl&start=20&tbnid=OPsv3zRsE7Ix-M:&tbnh=82&tbnw=108&prev=/images%3Fq%3Dantwerp%2Bhet%2Bsteen%26as_st%3Dy%26hl%3Dnl%26sa%3DG

…maar de korte versie wel:
http://bit.ly/3qVj5o


Wat is het risico?
De oorspronkelijke URL is verborgen. Je kunt nergens uit afleiden, waar de URL aan gelinkt is.
Op deze manier is het dus ook gemakkelijk om mensen te misleiden.
Volgens dit artikel zijn ook spammers aan het experimenteren met URL Shortening Services.

Als er geen oplossing is, dan is er geen probleem!

Klik op de afbeelding om de link te volgen

Mozilla Firefox Add-on's
Voor dit probleem zijn er wel oplossingen.
Er zijn verschillende add-on's voor Mozilla Firefox, waarmee je de oorspronkelijke URL kunt achterhalen, vóórdat je een link volgt.

Long URL Mobile Expander
Als je deze add-on geïnstalleerd hebt, dan verschijnt er een pop-up, als je met de cursor over een korte URL beweegt.
Soms krijg je een thumbnail van de web pagina te zien als je op more klikt.



Long URL Please
Deze add-on for Mozilla Firefox werkt anders.
De korte URL's worden tijdens het laden van de web pagina vervangen door de oorspronkelijke URL's.
Hierbij wordt een api gebruikt om te bepalen, waar de korte URL werkelijk toe leidt.

Long URL Please.com ondersteunt verschillende services, waaronder bit.ly, tiny.cc en tr.im.
Klik hier om ze allemaal te zien.

Geplaatst op 14-10-2009 21:06 door Joke Snelders CACE Pilot is een programma waarmee je het verkeer van draad(loze) netwerken kunt monitoren en analyseren.

Click here for an English version.

De belangrijkste kenmerken zijn:
- analyseren van grote trace files (enkele gigabytes); het is niet noodzakelijk om deze files te splitsen
- grafische weergave van data door middel van Views.
- inzoomen op tracefiles door middel van Drill-Down
- interactie tussen Wireshark en CACE Pilot
- monitoren van netwerkverkeer en het gebruik van Watches
- rapportages genereren in diverse formaten


Views
CACE Pilot = visualisatie.
Het programma wordt dan ook geleverd met circa 200 Views.
Deze Views bestaan uit interactieve elementen, zoals diverse grafieken, Conversation Rings en data grids.

Je past Views toe door deze te selecteren en te slepen op een geopende capture file.
Views, zoals Bandwidth Over Time, Conversations Overview en Voip Call Summary geven een algemeen overzicht.
Om vervolgens gedetailleerde informatie te zien kun je één of meerdere elementen selecteren en hierop een andere View toepassen.

In het volgende screenshot zie je de Conversations Overview.
Bij "TCP Conversations" zijn 3 conversaties geselecteerd. Door de View "Protocol Distribution - Packets" hier naar toe te slepen, wordt een nieuw tabblad geopend.
Dit geeft een overzicht van het aantal en soort packets; bijvoorbeeld HTTP, POP3.

Er wordt ook veel aanvullende informatie gegeven door middel van pop-up vensters.
Je krijgt bijvoorbeeld gedetailleerde informatie te zien, als je met de cursor boven een Endpoint beweegt.
Bewegen boven de icoontjes van de Views geeft uitleg en tips over die View.




Drill-Down
Drill-down is een techniek om in te zoomen op de trace file.
Selecteer in een lijn grafiek een bepaalde periode: dagen, uren, secondes etc.
Pas vervolgens de View nog een keer toe en je ziet meer details.
In onderstaand voorbeeld worden de details over 11 seconden weergegeven.




CACE Pilot & Wireshark
Behalve dat je trace files kunt openen in CACE Pilot, kun je ook weer data exporteren naar Wireshark met de optie: Send to Wireshark.

Selecteer één of meerdere kolommen van een grafiek en selecteer Send to Wireshark in het context menu:




Met optie Send to Files wordt het geselecteerde verkeer in een aparte trace file opgeslagen, zodat je dit later kunt analyseren.


Monitoren en Watches
Om live verkeer te monitoren sleep je de Views naar capture interface(s).
Om het netwerkverkeer op te slaan in een trace file kies je voor Export -> Wireshark of Export -> File.
Hierbij kun je tevens gebruikmaken van de Wireshark Capture en Display Filters.




Een bijzondere optie is het instellen van Watches.
Met een Watch definieer je een trigger en één of meer actie's:
trigger: netwerkverkeer van IP host 192.168.100.120 of van IP host 192.168.100.121
actie 1: start een packet capture
actie 2: stuur me een Tweet om me te waarschuwen

Je hoeft dus niet doorlopend al het verkeer te capturen, maar door middel van de Watch start je de capture pas op het moment, dat het nodig is.


Rapportages
Tot slot kun je rapportages genereren in verschillende bestandsformaten, zoals Word, Excel of HTML.
Je kunt de standaard opties gebruiken, maar er zijn ook veel mogelijkheden om de rapportages aan te passen.

Selecteer de Views, die je wilt opnemen in de rapportage.
Selecteer één of meer bestandformaten.
Met één druk op de knop worden tot maximaal 6 verschillende rapportages gegenereerd.

Een bijzondere optie is de  ZIP Package.
Het resultaat is een ZIP file met de volgende bestanden:



CACE Pilot heeft heel veel mogelijkheden en je kunt het helemaal aanpassen aan je wensen.

Hier vind je meer screenshots.


Meer weten?
Je kunt bij CACE Technologies een Evaluation Copy aanvragen.
Dit is een volledig werkende versie voor 30 dagen.





Geplaatst op 20-9-2009 16:16 door Joke Snelders Op 14 september 2009 was de Mobiele WerkPlaats Wireshark voor Beginners.
's Ochtends werd er door de NetGeNoten vrolijk getwitterd over de voorbereiding van de Mobiele WerkPlaats:
Zoek InternEd tussen de kabels:)
Tegen 4 uur kwamen 11 enthousiaste deelnemers binnen en gingen we van start.
Ik stond voor de uitdaging om zo snel mogelijk de belangrijkste opties van Wireshark uit te leggen, zodat de deelnemers er verder mee aan de slag konden gaan. Mijn enthousiaste verhaal, kon niet verhinderen, dat rond 6 uur iedereen even alles liet rusten om pizza te gaan happen.
Het was een mooi interactief gebeuren en dus kreeg ik ook nog vragen mee naar huis.

Één van de vragen was:
kun je HTTP Objects exporteren, uit een file, die onderdeel is van een fileset (zie Wireshark Woensdag - Multiple Files en Ringbuffers)?

Als alle packets van de TCP Stream in dezelfde file van de fileset zitten, dan kun je de objecten exporteren via File -> Export -> Objects -> HTTP -> Save As.
Als de packets van de TCP Stream verdeeld zijn over meerdere files van de fileset, dan moeten deze packets eerst samengevoegd worden in één bestand.
Ik zal dit aan de hand van deze fileset toelichten:
test_ngn2_00001_20090917165718.pcap
test_ngn2_00002_20090917165730.pcap

Wireshark

Open file test_ngn2_00002_20090917165730.pcap
Met het display filter, (tcp.stream == 1) || (tcp.stream == 5), worden alle packets van deze 2 streams weergegeven.
Ga naar File -> Export -> Objects -> HTTP



Selecteer packet 68.
Alle packets van Stream 5 zitten in deze file en Wireshark kan alle segmenten samenvoegen tot een geheel. Je kunt object ga.js zonder problemen exporteren.

Selecteer packet 18.



De packets van Stream 1 zitten niet allemaal in dit deel van de fileset.
Maak een display filter op basis van de ip-adressen en poortnummer, die je in het Packet Details venster ziet en klik Apply:
ip.addr==192.168.1.9 && tcp.port==1120 && ip.addr==81.23.231.151 && tcp.port==80

Sla de packets die nu weergegeven worden op in een aparte file:
File -> Save As
Packet Range: selecteer Displayed (15 packets)
Filename: deel2.pcap
Save

Ga naar File -> Fileset -> Previous File
File 1 van de fileset: test_ngn2_00001_20090917165718.pcap wordt geopend.
Het display filter wordt automatisch ook op deze file toegepast.

Sla de packets die nu weergegeven worden op in een aparte file:
File -> Save As
Packet Range: selecteer Displayed (67 packets)
Filename: deel1.pcap
Save

De volgende stap is het samenvoegen van deel1.pcap en deel2.pcap.
Open file deel1.pcap.
Ga naar File -> Merge... -> selecteer: deel2.pcap
Selecteer links onder Merge packets chronologically en klik Open

Ga nu weer naar File -> Export -> Objects -> http
Selecteer in de HTTP Object List packet 78 -> Save As -> ZoyipqcIqB.jpeg

Als alles goed gegaan is, dan heb je nu een jpeg en weet je waar je op 26 oktober naar toe moet gaan;-)

TShark

Met TShark kun je geen http objects exporteren, maar verder kun je bovenstaande stappen ook vanaf de command line uitvoeren.
Hoe dat werkt, dat zie je hieronder.

Met de volgende commando's krijg je een overzicht van de TCP Streams:
$ tshark -r test_ngn2_00001_20090917165718.pcap -q -z conv,tcp
$ tshark -r test_ngn2_00002_20090917165730.pcap -q -z conv,tcp



Deze commando's geven overigens dezelfde informatie als Wireshark -> Statistics -> Conversations -> tab: TCP

Om de streams uit de 2 capture files te halen gebruik je deze commando's:
syntax: tshark -r inputfile -R "display filter" -w outputfile

$ tshark -r test_ngn2_00001_20090917165718.pcap -R "ip.addr==192.168.1.9 && tcp.port==1120 && ip.addr==81.23.231.151 && tcp.port==80" -w ts_deel1.pcap

$ tshark -r test_ngn2_00002_20090917165730.pcap -R "ip.addr==192.168.1.9 && tcp.port==1120 && ip.addr==81.23.231.151 && tcp.port==80" -w ts_deel2.pcap

Note:
Je gebruikt hierbij hetzelfde display filter als bij Wireshark, maar je moet het filter wel tussen quotes zetten:
"ip.addr==192.168.1.9 && tcp.port==1120 && ip.addr==81.23.231.151 && tcp.port==80"



De volgende stap is het samenvoegen van de files met mergecap:
syntax: mergecap -w outputfile inputfile inputfile inputfile

$ mergecap -w ts_deel1en2.pcap ts_deel1.pcap ts_deel2.pcap

Note:
Je kunt dus meerdere files tegelijkertijd samenvoegen. Dit werkt dus sneller dan Wireshark, waarbij maar 2 files tegelijkertijd kunt samenvoegen.

Tot slot het commando om Wireshark vanaf de command line te starten:
$ wireshark -r ts_deel1en2.pcap

Ga nu weer naar File -> Export -> Objects -> http
Selecteer in de HTTP Object List packet 78 -> Save As -> ZoyipqcIqB.jpeg

Als het goed is, dan heb je nu een 2e exemplaar van ZoyipqcIqB.jpeg en weet je nu zeker waar je op 26 oktober naar toe moet gaan;-)



Geplaatst op 21-8-2009 19:33 door Joke Snelders Als je Wireshark wilt gebruiken op Windows 7, dan kun je tegen 2 problemen aanlopen:
- je kunt WinPcap niet installeren.
- je start Wireshark, maar je kunt geen packets capturen

In dit artikel vind je een toelichting en oplossingen voor deze problemen.

Click here for an English version.

Wireshark en WinPcap 4.1 beta 5

Het installeren van Wireshark versie 1.2.0 of 1.2.1 op Windows 7.
De Wireshark installer bevat tevens de installer van de laatste WinPcap release.
Dit is gemakkelijk: je hoeft maar één installatie-bestand te downloaden.
De Wireshark installer van de versies 1.2.0 en 1.2.1 bevat WinPcap versie 4.1 beta 5.

WinPcap is de Windows versie van de libpcap library. Het bevat de driver, die nodig is om packets te kunnen capturen.
Als WinPcap niet geïnstalleerd is, dan kun je GEEN netwerkverkeer capturen. Je kunt echter wel capture files openen en analyseren.

Als je de setup voor Wireshark draait, kun je deze foutmelding krijgen:
"This version of Windows is not supported by WinPcap 4.1 beta 5.
Installation will be aborted"

Je kunt dit oplossen door de compatibility mode voor Windows Vista te selecteren:
na het downloaden rechts-klikken op wireshark.exe en Properties selecteren.
Vink de checkbox aan: "Run this program in compatibility mode for:…"
Selecteer Windows Vista en klik OK.
Je kunt nu probleemloos de setup draaien van Wireshark en WinPcap.

Note:
Eerdere versies van Wireshark, bijvoorbeeld de stable release versie 1.0.8 of de development release versie 1.1.3 komen met WinPcap 4.0.2.
Je kunt deze versies zondermeer installeren op Windows 7.

NetGroup Packet Filter (NPF) driver

Na de setup start je Wireshark en je krijgt deze melding:
De NPF driver is niet gestart en dat betekent, dat je geen netwerkverkeer kunt capturen.
Je kunt wel bestaande capture files openen en analyseren.

Je hebt administrator rechten nodig om de NPF driver te starten.
Dit kun je doen door rechts te klikken op de (snelkoppeling naar) wireshark en te kiezen voor "Run as administrator".

Er zijn overigens ook andere manieren om de service te starten.
Tijdens de setup van Wireshark en WinPcap kun je de checkbox aanvinken:
"Services: Start WinPcap service "NPF" at startup".

Als je bovenstaande optie niet gebruikt hebt tijdens de setup, dan kun je op de volgende wijze zorgen, dat de NPF driver automatisch gestart wordt bij het opstarten van de pc:
Ga naar Start -> Computer -> right-click -> Manage.
Selecteer Device Manager.
Vervolgens selecteer je View -> Show Hidden Devices.
Dubbel-kliken op Non-Plug and Play Drivers in the lijst met apparaten.
Rechts-kliken op de NetGroup Packet Filter Driver en Properties selecteren.
Klik op het tabblad Driver en verander de start settings naar "Automatic" of "System".


Tenslotte kun je de NPF driver ook nog handmatig starten:
Start -> All Programs -> Accessoires -> Command Prompt -> rechts-klikken -> Run as administrator

Start:
net start npf

Stop:
net stop npf


Be prepared for Windows 7

Geplaatst op 31-7-2009 06:42 door Joke Snelders

Virtuele machines
Virtuele machines zijn ideaal.
VMware Server is gratis en is een interessant product om te gebruiken.

Je kunt virtuele machines gebruiken om nieuwe of verschillende besturingssystemen uit te proberen, b.v. Windows 7 of Linux distros.
Het is gemakkelijk om een virtuele machine te installeren. Je maakt vervolgens een kopie, die je gebruikt om nieuwe applicaties of demo's te testen. Werkt het niet of niet zoals je zou willen, dan gooi je de virtuele machine weg. Je maakt een nieuwe kopie en begint opnieuw.
Kopiëren is zo eenvoudig…

Het wordt een ander verhaal, als de virtuele machine gevoelige informatie bevat. Je gebruikt hem bijvoorbeeld voor online bankieren.
VMware Server gebruikt virtual disk files (.vmdk) als disk drives.
Je wilt niet, dat iemand de .vmdk file in een onbewaakt ogenblik naar zijn usb-stick kopieert en meeneemt.

VMware Disk Mount Utility
Met VMware Disk Mount Utility (VMware), freeware, kan iedereen .vmdk files van verschillende operating systems mounten. Momenteel kan het echter (nog) geen virtual disk files mounten van Windows Vista, Windows 7 and Windows Server 2008.

VMware Disk Mount Utility (VMware) is een command line programma en is gemakkelijk te gebruiken:
vmware-mount /? displays usage information

Om een disk te mounten gebruik je het volgende commando:
vmware-mount [driveletter:] [path-to-virtal-disk] [options]

Vervolgens kun je naar de schijfletter navigeren, de inhoud bekijken en kopiëren. 

 

VMware DiskMount
Met het programma VMware DiskMount (vmxbuilder) kun je al wel virtual disks van Windows Vista of Windows Server 2008 mounten, maar nog niet van Windows 7.

De disk mount utilities zijn ontwikkeld voor gebruiksgemak. Je kunt even snel een bestand kopiëren, zonder dat je de virtuele machine op hoeft te starten.
Dit is tevens een risico: ook een ander kan deze bestanden zonder problemen mounten.

Een oplossing voor dit probleem is het encrypten van de virtuele machines.

TrueCrypt
TrueCrypt is open-source disk encryption software.
Je kunt het b.v. gebruiken om een harde schijf, een partitie, bepaalde folders of een USB drive te encrypten.
Het veiligste is om een compleet systeem te encrypten, omdat dan o.a. ook alle temporary files, swapfiles en logfiles geëncrypt worden.

Het is gratis;-) en op de website staat uitgebreide informatie.

Om een virtuele machine te encrypten moet je TrueCrypt hierop installeren.
Vervolgens start je TrueCrypt en kies je voor Create Volume.
De Volume Creation Wizard leidt je door de nodige stappen om de hele system drive te encrypten.

De volgende stappen wil ik benadrukken:
Voordat de hele harde schijf geëncrypt wordt, wordt er een rescue disk aangemaakt. Je moet deze branden op cd of dvd. Binnen VMware Server kun je Daemon Tools Lite (gratis voor persoonlijk gebruik) gebruiken om de TrueCrypt Rescue Disk iso te mounten. TrueCrypt controleert of de cd/iso correct is en gaat dan pas verder met de volgende stap.

System Encryption Pretest.
Om de Pretest uit te kunnen voeren, moet de virtuele machine opnieuw opgestart worden.
Je kunt het systeem pas gaan encrypten, als de Pretest succesvol is afgerond.

Pre-boot authentication.
Als het gehele systeem wordt geëncrypt, dan wordt tevens pre-boot authentication toegepast. Dit wordt afgehandeld door de TrueCrypt Boot Loader. De boot loader staat in de eerste track van de boot drive en op de Rescue Disk. Het is dus belangrijk om de Rescue Disk of de Rescu Disk iso op een veilige plaats te bewaren.
Pre-boot authentication vereist dat de gebruiker een correct paswoord invoert. Pas daarna start het operating system op.

Note:
Je hebt een nieuwe virtuele machine gemaakt met een virtuele disk van 25GB, maar je hebt de schijfruimte dynamisch toegewezen.
Na installatie van Windows XP is de .vmdk file ongeveer 2GB groot.
Als je de machine vervolgens encrypt, dan is de .vmdk file 25GB groot. Dit komt doordat TrueCrypt de totaal toegewezen schijfruimte encrypt.

Na encryptie kun je de virtuele disk file niet meer mounten met VMware Disk Mount Utility (VMware):

 

Je kunt de .vmdk file nog wel mounten met VMware DiskMount (vmxbuilder), maar als je de schijf wil benaderen, dan krijg je de volgende melding: The disk in drive … is not formatted. Do you want to format it now?

Sta nog even stil bij het volgende:
hoe groter de usb-sticks, hoe gemakkelijker het wordt om een virtuele machine "mee te nemen"

 

Geplaatst op 24-6-2009 12:17 door Melle Gloerich Dit is een bijdrage van Joke Snelders.

Hey guys, where were you?
Sharkfest was great!

Op de campus van Stanford University in Palo Alto California is het 2e jaarlijkse Sharkfest gehouden. De campus is op zich al een bezoek waard: een groene omgeving met o.a. de Rodin Sculpture Garden. Dit is een prettige bijkomstigheid, maar we gingen voor de sessies;-)

Sharkfest ging op maandagavond van start met registratie. Iedereen ontving een badge, een originele Sharkfest-tas met AirPcap Classic Adapter en andere hebbedingetjes. Onder het genot van een goed georganiseerde barbeque volgde kennismaking met de organsatie en de mede-deelnemers.
Vervolgens was het 3 dagen vroeg opstaan. Om 7 uur 's morgens was er een gezamenlijk ontbijt met keynote. Verder was er de keuze (kiezen is moeilijk, als je op meerdere plaatsen tegelijkertijd wil zijn:)) uit 3 tracks: Development, Basic User en Advanced User.

Hier volgt een overzicht van enkele highlights.

Release van nieuwe versie Wireshark

Release van Wireshark 1.2.0.
Het meest opvallende is de nieuwe start pagina. Hierop staan o.a. links naar de capture interfaces, de laatst gebruikte capture files en help files.
Ook handig is de autocomplete functie bij het gebruik van display filters.
GeoIP is geïntegreerd in deze versie.
   

Len Shustek

De eerste keynote werd verzorgd door Len Shustek.
Hij gaf een mooi overzicht van de ontwikkeling van "computers" vanaf de 19e eeuw.
Charles Babbage ontwierp de eerste computing engines, maar was niet in staat om ze daadwerkelijk te bouwen. De machine, Difference Engine No. 2, is gebouwd naar de originele tekening en is momenteel te zien in het Computer History Museum.

Sake Blok

Onze landgenoot Sake werkt als Research & Development Engineer bij ion-ip in Veenendaal.
Wireshark wordt binnen deze organisatie intensief gebruikt. Aangezien Sake tijdens het trouble-shooten bij klanten fouten en tekortkomingen tegen kwam in Wireshark, is hij begonnen met het schrijven van patches voor Wireshark. Vanwege deze werkzaamheden voor Wireshark werd Sake door Gerald Combs (de oorspronkelijke ontwikkelaar van Ethereal/Wireshark) uitgenodigd om toe te treden tot het Core Development Team.

In een volle zaal gaf Sake een presentatie over "SSL Troubleshooting with Wireshark and Tshark"

SSL speelt een belangrijke rol bij opzetten van een beveiligde communicatie over het netwerk. Na het geven van achtergrond informatie over cryptologie en het SSL protocol ging Sake in op het analyseren van de verschillende handshake messages met Wireshark en TShark en het succesvol decrypten van SSL verkeer.
Ook ging hij in op de meest voorkomende problemen bij de setup van het SSL-verkeer.

Hier is het video-verslag van de complete sessie en de bijbehorende Powerpoint-presentatie (ppt).

De gebruikte trace files MET bijbehorende keys kun je opvragen bij Sake.

Hansang Bae

"Think like a packet"
Hansang Bae leidt het Network/Application Performance Engineering Team bij Citi. Hij is o.a. verantwoordelijk voor het certificeren van netwerk analisten en assisteert bij troubleshooting. Hij kan zijn ervaring op het gebied van server en netwerk design combineren met zijn brede kennis van protocol analyse in de complexe infrastructuur van grote onderneming.  

Hansang gaf een pittige sessie (ppt) over het analyseren van trace files.

Hij gaf veel goede tips hoe te kijken naar een trace file om zodoende de essentiele zaken te kunnen herkennen. Zijn advies is:

• Ontwikkel een techniek
• Gebruik display filters, b.v. (tcp.flags==02) || (tcp.flags == 0x12). Hiermee kun je snel de tcp handshakes in een trace file localiseren en controleren of deze compleet zijn.
• Scroll door een tracefile, let op bijzonderheden en leer patronen te herkennen
• Gebruik de grafische mogelijkheden, b.v. IO graphs
  

Hansang stimuleerde de deelnemers om actief mee te doen aan trouble-shooting.

Sean Walberg

Sean Walberg is een Canadese netwerk engineer. Voorheen was hij werkzaam als UNIX developer en system administrator. Hij focust zich vooral op de VoIP features van Wireshark en weet deze optimaal te gebruiken. Ook heeft hij een aantal artikelen over VoIP geschreven voor Linux Jounal en O'Reilly. Sean gaf een leerzame sessie over VoIP.

Sean begon met de verschillen tussen traditioneel telefoonverkeer en VoIP. Een VoIP sessie bestaat uit 2 delen:

• het Session Initiation Protocol (SIP) zorgt voor het tot stand komen van de VoIP sessie
• De rtp-stream. Dit audio gedeelte kan weer afgespeeld worden met Wireshark (Statistics -> VoIP Calls).
  

Jitter, Delay en Packet Loss beïnvloeden de kwaliteit van de verbinding.

• Jitter: packets arriveren in de verkeerde volgorde
• Delay: packets komen met vertraging aan

Rolf Leutert

De Zwitser Rolf Leutert is de oprichter van Leutert NetServices en geeft trainingen op netwerkgebied en Wireshark. Bij voldoende deelnemers worden de Wireshark trainingen ook op locatie gegeven.
Hij is Certified Network Expert (CNX) en heeft de Sniffer Certified Master status.

Rolf gaf een heldere uiteenzetting over het gebruik van de AirPcap adapter. Bij voorkeur gebruik je er 3, zodat je het verkeer van alle kanalen (d.w.z. kanaal 1, 6 en 11) tegelijkertijd kunt capturen.
De pdf is geschikt als naslagwerk, dus download hem snel. Hierin staan tips om met behulp van Custom Columns en Coloring Rules Wireshark aan te passen. Dit is erg handig bij het interpreteren van de trace files van WLAN's.

Betty DuBois

" You can have it all, but you can’t have it all at once!!"

Betty DuBois heeft meer dan 10 jaar ervaring als consultant en is instructeur in protocol analyse. Daarnaast is ze trainer bij de Wireshark University. Betty is een Sniffer Certified Expert (SCE), Certified Novell Instructor, Novell's CNE en Certified Network Expert (CNX).
Met haar humor en goede praktijkvoorbeelden weet ze boeiende sessies neer te zetten.

Betty gaat in haar presentatie in op de voor- en nadelen van het gebruik van port SPANning/Mirroring/Monitoring (S/M/M) en TAP's (Test Access Ports). Een nadeel bij het gebruik van S/M/M is, dat je soms teveel (duplicate packets bij spanning een VLAN) en soms te weinig (de switch dropt corrupte of te kleine packets) captured. Het gebruik van TAP's vraagt om extra investering. Je moet, of 2 TAP's, of een aggregation TAP hebben om het verkeer in beide richtingen te kunnen capturen.
Betty's advies:

• Gebruik een TAP, als het mogelijk is
• Gebruik port SPANning/Mirroring/Monitoring, als het nodig is.

Voor iedereen die Sharkfest gemist heeft

Bij CACE Technologies kun je een groot aantal presentaties downloaden.
Denny Mui van Love My Tool heeft een aantal sessies volledig gefilmd. Sommige sessies staan al on-line, anderen worden de komende dagen on-line gezet.

Maar... de sfeer kun je niet downloaden, dus zorg dat je er volgend jaar bij bent;-)

Janice Spampinato en haar team hebben Sharkfest09 perfect georganiseerd. Ze hebben gezorgd voor goede sprekers en een unieke locatie. En... er werd goed voor de inwendige mens gezorgd. Geplaatst op 27-5-2009 12:20 door Melle Gloerich Deze aflevering gaat over de optie in Wireshark en TShark om niet de volledige packets in de capture-file op te slaan, maar slechts een bepaald aantal bytes van elk packet. Daarnaast kun je met de tools editcap en mergecap informatie uit bestaande capture files verwijderen.
De belangrijkste reden hiervoor is het verwijderen van gevoelige informatie (payload), voordat je een capture file aan derden geeft.
Daarnaast kun je de omvang van de capture file beperken door alleen de data, die je nodig hebt voor analyse op te slaan. Help kun je vinden in de Wireshark Wiki en bij de officiële help-docs.

Aantal bytes

Dit overzicht geeft een richtlijn voor het aantal bytes, dat je van elk packet wilt opslaan:

• 14 bytes: alleen de ethernet layer => 14 bytes
• 34 bytes: tot en met IP header => 14 + 20 bytes
• 54 bytes: tot en met TCP header => 14 + 20 + 20 bytes
• 68 bytes: (een gedeelte van) de volgende protocollen of data => 68 bytes

Dit is afhankelijk van het aantal protocollen in het packet.

Wireshark

Met Wireshark kun je, voordat je gaat capturen, opgegeven hoeveel bytes je van elk packet wilt capturen. Je kunt met Wireshark geen bestaande capture file bewerken.
Ga naar Capture -> Options -> Limit each packet to xx bytes.


Dit geeft de volgende output:

TShark

Ook met TShark kun je geen bestaande capture files bewerken.
Je gebruikt de optie -s om het maximum aantal bytes per packet op te geven.
$ tshark -s 68 -w truncate.pcap


Bestaande capture files
Je kunt zowel editcap als mergecap gebruiken om bestaande capture files te bewerken.
Ook hierbij gebruik je de optie -s om het maximum aantal bytes per packet op te geven.
Syntax: mergecap [options] -w

Etherlayer
$ mergecap -s 14 -w truncatetest14.pcap truncatetest.pcap
Output:
1   0.000000 00:0c:29:46:2d:e6 -> 00:03:07:11:56:32 IP [Packet size limited during capture] 54
2   0.013195 00:0a:cd:0b:47:02 -> ff:ff:ff:ff:ff:ff IP [Packet size limited during capture] 243

Tot en met IP header
$ mergecap -s 34 -w truncatetest34.pcap truncatetest.pcap
Output:
1   0.000000  192.168.1.5 -> 204.9.177.195 TCP [Packet size limited during capture] 54
2   0.013195 192.168.1.111 -> 192.168.1.255 UDP [Packet size limited during capture] 243

Tot en met TCP header
$ mergecap -s 54 -w truncatetest54.pcap truncatetest.pcap
Output:
1   0.000000  192.168.1.5 -> 204.9.177.195 TCP 1160 > 80 [ACK] Seq=3664124454 Ack=1869392793 Win=64240 Len=0 54
2   0.013195 192.168.1.111 -> 192.168.1.255 NBDS [Packet size limited during capture] 243

(een deel van) de volgende protocollen of data
$ mergecap -s 68 -w truncatetest68.pcap truncatetest.pcap
Output:
1   0.000000  192.168.1.5 -> 204.9.177.195 TCP 1160 > 80 [ACK] Seq=3664124454 Ack=1869392793 Win=64240 Len=0 54
2   0.013195 192.168.1.111 -> 192.168.1.255 NBDS Direct_group datagram[Packet size limited during capture] 243

Capinfos

Capinfos geeft tot een goed overzicht van het resultaat van het truncaten van de packets.
Je kunt zien, dat het aantal packets gelijk blijft, maar dat de file sizes fors kleiner zijn, dan bij de originele capture file, truncatetest.pcap.
De data size blijft echter gelijk. Dit komt, doordat in elk packet vastgelegd wordt, wat de oorspronkelijke lengte was. Je kunt dit overigens ook goed zien in het 2e screenshot: Frame 7 (1514 bytes on wire, 34 bytes captured)

$ capinfos -csd truncatetest*.pcap
Originele file:
File name: truncatetest.pcap
Number of packets: 12
File size: 8937 bytes
Data size: 8721 bytes

etherlayer
File name: truncatetest14.pcap
Number of packets: 12
File size: 384 bytes
Data size: 8721 bytes

tot en met IP header
File name: truncatetest34.pcap
Number of packets: 12
File size: 624 bytes
Data size: 8721 bytes

tot en met TCP header
File name: truncatetest54.pcap
Number of packets: 12
File size: 864 bytes
Data size: 8721 bytes

(een deel van) de volgende protocollen of data
File name: truncatetest68.pcap
Number of packets: 12
File size: 962 bytes
Data size: 8721 bytes

Dit is een presentatie van Sake Blok over dit onderwerp.

In de volgende Wireshark Woensdag:

mark packets

TOT ZIENS OP WIRESHARK WOENSDAG

Maar…
wij gaan eerst naar Sharkfest ;-)

Geplaatst op 22-4-2009 10:13 door Melle Gloerich Weer een bijdrage van Joke Snelders, dit keer over hoe je ip-adressen die je met Wireshark ontvangt kan weergeven op een kaart. -MG

Wireshark kan met gebruik van MaxMind's GeoIP (koop) en GeoLite (gratis) databases informatie over IP adressen weergeven. Deze informatie, onder andere plaats, land en AS nummer, kan tevens worden weergegeven op een kaart.

Help
Op deze plekken kun je nog extra hulp krijgen.

Wireshark

Je hebt hiervoor Wireshark versie 1.1.3 (Development Release) nodig. De webbrowser moet javascript kunnen uitvoeren.

GeoIP databases

Download deze databases.
De laatste update was op 1 april 2009, de volgende update staat gepland voor 1 mei 2009.

Unzip de files GeoIP.dat, GeoLiteCity.dat en GeoIPASNum.dat. Maak een folder aan om de .dat files in te plaatsen, bijvoorbeeld C:\Program Files\Wireshark\GeoIP of C:\GeoIP.
Ga vervolgens naar Edit -> Preferences -> Name Resolution. Bij GeoIP database directories moet je het pad naar de folder met databases opgeven. Het werkt pas als je Wireshark afsluit en opnieuw opstart.

GeoIP informatie in Packet Details

Open een capture file.
Om de GeoIP data te zien onder Packet Details ga je naar Edit -> Preferences -> Protocols -> IP
Zet een vinkje bij Enable GeoIP lookups.

Je kunt ook rechtsklikken op een item onder Internet Protocol in het Packet Details venster.
Ga vervolgens naar Protocol preferences -> Enable GeoIP lookups.

GeoIP informatie in Endpoints dialoog venster.

Ga naar Statistics -> Endpoints om het venster te openen. Je ziet de GeoIP informatie op elk tabblad met IP adressen: IPv4, TCP, UDP etc.
Selecteer het tabblad IPv4.


Op sommige rijen zie je geen GeoIP informatie. Dit is bijvoorbeeld het geval bij de IP adressen 192.168.xxx.xxx. Je kunt de IP Location Map alleen openen via de button Map op het tabblad IPv4. Klik op Map.


De default webbrowser wordt geopend. Op de kaart worden alle IP adressen, waarvan de locatie bekend is met pinpoints aangegeven. Als je op een pinpoint klikt, zie gedetailleerde informatie. Je kunt de kaart ook in- en uitzoomen. Dit is vooral handig als er meerdere pinpoints dicht op elkaar staan.

In de temp folder (C:\Documents and Settings\\Local Settings\Temp) worden 2 files aangemaakt: ipmap.html en ipmap.txt.
Deze bestanden worden niet automatisch verwijderd.
Je kunt ook tijdens een live capture het endpoints dialoog venster openen. De informatie in dit venster wordt automatisch bijgewerkt. Dit geldt niet voor de IP Location Map. Deze informatie wordt niet automatisch bijgewerkt. Je kunt wel een nieuwe kaart openen via de button Map op het tabblad IPv4.

Display filters

De veldnamen, die je kunt gebruiken voor de display filters staan (nog) niet in de Display Filter Reference. Je vind ze wel in het Filter Expression dialoogvenster.
Onder IP - Internet Protocol staan een aantal items die beginnen met ip.geoip...


In de volgende Wireshark Woensdag:
De volgende aflevering gaat over de optie -s in TShark. Hiermee limiteer je het aantal bytes, dat in de capture file opgeslagen wordt. Hiermee kun je voorkomen, dat je gevoelige informatie, die in de capture file aanwezig kan zijn, aan derden geeft.

TOT ZIENS OP WIRESHARK WOENSDAG! Geplaatst op 8-4-2009 15:34 door Melle Gloerich Nadat we elke week een Wireshark-les hadden van Joke Snelders heeft ze een beetje gas teruggenomen. Dat wil niet zeggen dat er geen Wireshark berichten meer zijn, zo viel dit weekend onderstaande tekst in mijn mailbox met als begeleidende tekst dat er nog niet of nauwelijks iets is te vinden over de setup van Wireshark Development Release. -Melle

Met Wireshark en rpcapd.exe kun je remote netwerkverkeer capturen zonder dat je remote control software nodig hebt. Ik begin met de beschrijving van de setup van de remote en local pc bij gebruik van Wireshark versie 1.0.6 (Stable Release). Deze versie van Wireshark heeft namelijk geen opties om in te loggen op de remote pc.
In het tweede gedeelte komt versie 1.1.3 (Development Release) aan bod. Met deze versie van Wireshark kun je namelijk wel inloggen op remote pc. Dit verruimt de mogelijkheden. Je kunt er o.a. voor kiezen om rpcapd.exe automatisch te laten starten op de remote pc.

RPCAPD

Remote Packet Capture Daemon of rpcapd.exe is onderdeel van WinPcap en wordt tegelijkertijd met Wireshark geïnstalleerd.

Je vindt rpcap in: C:\Program Files\WinPcap
Het is handig om rpcapd toe te voegen aan de Systeemvariabelen: Deze Computer -> Eigenschappen -> Geavanceerd -> Omgevingsvariabelen -> Systeemvariabelen -> Path -> Bewerken -> Waarde van variabele
Aan het einde van de regel moet je het volgende toevoegen -> ;C:\Program Files\WinPcap

WinPcap 4.1 beta 5 is de laatste versie.

Help
$ rpcapd -h

Setup van de remote pc.

Voordat je rpcapd opstart, moet je eerst informatie verzamelen over de interface(s) van de remote pc. Je hebt deze informatie nodig om het commando rpcap uit te voeren vanaf de local pc.

Gebruik het commando tshark -D voor een overzicht van de interfaces en schrijf de informatie meteen weg naar een tekstbestand, zodat je het kunt mailen/meenemen naar de local pc.

$ tshark -D | tee interface.txt
1. \Device\NPF_GenericDialupAdapter (Adapter for generic dialup and VPN capture)
2. \Device\NPF_{818E6D57-BC21-4213-BAC4-8A7EE25D1498} (NetXtreme)

Controleer met $ ipconfig -all het ip-adres van de remote pc. Met het commando rpcapd -n start je de daemon. De optie -n is nodig om authenticatie uit te schakelen.


Local PC – rpcap starten met Wireshark
Start Wireshark. Ga naar Capture -> Otions

Vul bij Interface het ip-adres en de interface informatie van de remote pc in:
rpcap://192.168.1.2/\Device\NPF_{818E6D57-BC21-4213-BAC4-8A7EE25D1498}

Je moet tevens een capture filter, !host 192.168.1.2, opgeven om het verkeer van / naar het ip-adres van de local pc uit te filteren. Anders wordt ook al het verkeer gecaptured, dat door rpcap gegenereerd wordt tussen de remote en de local pc.

Local PC – rpcap starten met TShark

Gebruik de -i optie om de naam van de interface op te geven.  Gebruik ook nu een capture filter om verkeer, dat rpcap genereert tussen de remote pc en de local pc uit te filteren.

$ tshark -i "rpcap://192.168.1.2/\Device\NPF_{818E6D57-BC21-4213-BAC4-8A7EE25D1498}" -f "not host 192.168.1.7" -w rpcap.cap

Note:
Denk aan het gebruik van aanhalingstekens bij de -i en -f optie.


Tony Fortunato heeft een presentatie gemaakt over het remote capturen met Wireshark.

Remote capturen met RPCAPD en Wireshark versie 1.1.3 (Development Release)

Setup van de remote pc.
Met Wireshark Development Release versie 1.1.3 kun je wel inloggen op de remote pc. Dit betekent dat je op de remote pc Start -> Run -> cmd -> rpcapd.exe kunt starten zonder verdere opties op te geven.


Je kunt de service ook starten via: Start -> Run -> services.msc -> Remote Packet Capture Protocol v.0 (experimental) -> Start the service.
Je kunt natuurlijk ook rpcapd.exe automatisch laten starten door Properties -> Startup Type -> Automatic te selecteren.


Local PC
Start Wireshark. Ga naar Capture -> Otions.
Selecteer Interface -> Remote.
Vul het remote ip-adres en de Password Authentication in.
Vul bij Interface het ip-adres en de interface informatie van de remote pc in:
rpcap://192.168.1.2/\Device\NPF_{818E6D57-BC21-4213-BAC4-8A7EE25D1498}
Controleer of bij Remote Setting "Do not capture own RPCAP traffic" geselecteerd is.

In de volgende aflevering:

Wireshark & GeoIP.
Wireshark kan een IP Location Map openen. Op deze kaart worden met pinpoints de locaties van de IP adressen in de capture file weergegeven.

Tot ziens op Wireshark Woensdag! Geplaatst op 11-3-2009 08:44 door Melle Gloerich Dit is de laatste wekelijkse bijdrage van Joke Snelders over Wireshark en de daarbij horende tools. Na ruim 4 maanden elke week een (goed gelezen) stuk schrijven over Wireshark is er gewoonweg iets minder om over te schrijven en dus zal je vanaf nu 1 keer per maand hierover kunnen lezen. Gelukkig dus niet een volledige stop! - Melle Gloerich.

Met de optie TShark -z kun je op verschillende manieren statistische gegevens weergeven. In de TShark man-pages vind je een overzicht van alle opties, die je in combinatie met -z kunt gebruiken: De meeste -z opties kunnen meerdere keren in een commando gebruikt worden.

Als je geen filter opgeeft, dan worden de statistische gegevens over de hele capture file berekend.

Gebruik de optie -q om alleen de statische gegevens te presenteren. Zonder deze optie zie je ook alle Packet Details.

Note:
Om de juiste output te krijgen moet het decimaal symbool ingesteld zijn op de '.' (punt).
Je kunt dit controleren/aanpassen in het Control Panel.
Open Regional and Language Options.
Tab-blad Regional Options -> Customize -> Decimal Symbol.

Protocol Hierarchy
-z io,phs[,filter]
De Protocol Hierarchy Statistics geven een overzicht van het aantal packets en bytes per protocol.

$ tshark -r stats3.pcap  -q -z io,phs
In onderstaand screenshot zie je dat dit een overzicht geeft van de protocollen in de vorm van een boomstructuur. De capture file stats5.pcap bevat 305 packets (frames). Alle 305 packets bevatten het ethernet protocol. Dit wordt weer onderverdeeld in 2 packets met het arp protocol en 303 packets met het ip protocol. Vervolgens wordt ip weer verder uitgesplitst aan de hand van de voorkomende protocollen.

Note:
Een packet bevat meestal meerdere protocollen.
In Wireshark -> Packet Details -> Frame kun je zien welke protocollen het geselecteerde packet bevat:
arp -> Protocols in frame: eth:arp
dns -> Protocols in frame: eth:ip:udp:dns


$ tshark -r stats3.pcap  -q -z io,phs,arp
Omdat er een filter "arp" is toegepast, geeft dit alleen een overzicht van de packets, die het arp protocol bevatten.


IO Statistics
-z io,stat,interval[,filter][,filter][,filter]...
Hiermee genereer je statistische gegevens per periode. De periode wordt opgegeven in (gedeeltes) van secondes.

Het volgende commando geeft een overzicht per 10 minuten van het verkeer van en naar ip-adres 192.168.100.167 en van en naar ip-adres 192.168.100.6
$ tshark -r test.pcap -q -z io,stat,600,ip.addr==192.168.100.167,ip.addr==192.168.100.6

In dit screenshot zie je, dat je een incorrecte output krijgt bij het gebruik van de ','  (komma) als decimaal symbool. Er wordt geen rekening gehouden met het filter. Het vermelde aantal frames en bytes heeft betrekking op de hele capture file.



Door de optie -z meerdere keren in hetzelfde commando te gebruiken, wordt de output gescheiden.

$ tshark -r test.pcap -q -z io,stat,600,ip.addr==192.168.100.167 -z io,stat,600
,ip.addr==192.168.100.6



Andere opties van io,stat zijn het berekenen van COUNT, SUM, MIN, MAX en AVG.

$ tshark -r update.pcap -qz io,stat,60,"COUNT(tcp.analysis.retransmission)tcp.analysis.retransmission","MIN(tcp.window_size)tcp.window_size","MAX(tcp.window_size)tcp.window_size","AVG(tcp.window_size)tcp.window_size"



Conversations
-z conv,type[,filter]
Hiermee maak je een overzicht van alle conversations per protocol in een capture file.
Met "type" geef je aan voor welk protocol je de statische gegevens wilt weergeven.
Momenteel is dit alleen mogelijk voor de volgende protocollen:
"eth"
"fc"
"fddi"
"ip"
"ipx"
"sctp"
"tcp"
"tr"
"udp"

$ tshark -r stats7.pcap -q -z conv,eth -z conv,ip -z conv,tcp



$ tshark -r test.pcap -q -z conv,tcp,ip.addr==192.168.81.1 -z conv,ip,ip.addr==192.168.136.1




Beste lezers,
Dit is het laatste artikel in de wekelijkse reeks Wireshark Woensdag.
Ik hoop dat ik met deze reeks een basis heb kunnen leggen voor het gebruik van Wireshark.
Ik heb er met veel plezier aan gewerkt. Daarom stop ik niet helemaal en zal in elk geval nog regelmatig voor verse content zorgen.
Wireshark en aanverwanten zullen hierin centraal staan. De Wireshark Mailing Lists zijn immer een bron van informatie en inspiratie.

In het volgende artikel:
remote capturen met rpcapd  en TShark/Wireshark

Bedankt
&&
TOT ZIENS

Geplaatst op 4-3-2009 08:56 door Melle Gloerich De voorlaatste wekelijkse bijdrage van Joke (en Rene) Snelders, na volgend week zal iets minder regelmatig over Wireshark gepubliceerd worden. - Melle Gloerich

Het menu Statistics bevat veel verschillende items. Je kunt hiermee op verschillende manieren statistische gegevens van een capture file weergeven. Sommige optie's, Summery en Protocol Hierarchy, presenteren statistische gegevens over de complete capture file.Andere opties hebben betrekking op specifieke protocollen, zoals RTP en SIP.

Protocol Hierarchy venster

Selecteer Statistics -> Protocol Hierarchy
Dit venster geeft een overzicht van alle protocollen in de capture file. Als er een display filter toegepast is, dan zie je alleen de protocollen van de gepresenteerde packets.
Elke rij bevat de statistische gegevens van 1 protocol. Het percentage geeft aan hoeveel procent van de packets een bepaald protocol bevat.

Note:
Een packet bevat meestal meerdere protocollen. In Packet Details -> Frame kun je zien welke protocollen het geselecteerde packet bevat.
Bijvoorbeeld:
tcp -> Protocols in frame: eth:ip:tcp
http -> Protocols in frame: eth:ip:tcp:http
   

Conversations

Een conversation is het netwerkverkeer tussen 2 specifieke eindpunten:
- een ethernet eindpunt is een mac-adres
- een ip eindpunt is een ip-adres
- een tcp eindpunt is een combinatie van een ip-adres en de gebruikte tcp-poort
- een udp eindpunt is een combinatie van een ip-adres en de gebruikte udp-poort

Selecteer Statistics -> Conversations
Als je het conversations venster opent, zie je meteen welke protocollen aanwezig zijn en het aantal conversations per protocol, bijvoorbeeld "Ethernet:3".

Dit venster heeft de mooie optie, dat je kunt sorteren op elk gewenst item. Door rechts te klikken op de items in de balk Address A, Address B etc. kun je togglen tussen op- en af-lopend sorteren.

Ga naar de tab TCP.
Rechts-klik 2 maal op Packets. De kolom wordt aflopend gesorteerd op het aantal packets. Let op het aantal packets en Bytes in de bovenste rij. Je ziet dus meteen wie de top-talkers in de capture file zijn. Door rechts te klikken op een conversation kun je een display filter toepassen. Zie voor de opties het volgende screenshot.

Flow Graph

De Flow Graph geeft een chronologisch overzicht van de connecties (ip-adressen en poortnummers). Selecteer Statistics -> Flow Graph


Note:
De General flow geeft een uitgebreidere toelichting dan de TCP flow.

De Flow Graph geeft een chronologisch overzicht van de connecties en bestaat uit 3 gedeeltes:
- Time:
De time column geeft de tijd in secondes sinds de start van de capture.
- ip-adressen:
Dit geeft een overzicht van alle ip-adressen (zie de scroll-balk aan de onderzijde)
Het geeft vooral een duidelijk beeld, of en wanneer de client met een ander ip-adres gaat connecten. De grijze getallen tussen haakjes zijn de poortnummers. Als je een item selecteert (blauw), dan wordt in de capture file tevens het betreffende packet geselecteerd.
- Comment:
Toelichting, bijvoorbeeld: handshake, dns request/response, http get requests etc.

Save As:
Je kunt de output opslaan als tekstbestand.

SIP

Hier vind je een aantal capture files:
Je kunt er onder andere deze capture file met het sip protocol downloaden:

Note:
voeg de extensie .cap toe.

Open de file en ga naar Statistics -> VoIP Calls.


Selecteer Decode.


Selecteer een of beide streams en Play.

TCP Stream Graph

Ray Tompkin geeft in deze presentatie uitleg over de TCP Stream Graph.  

Recording VoIP calls using Wireshark.
In deze blog van Mark Wilson komen diverse items uit het Statistics menu aan de orde.

Hier vind je een presentatie van Ronnie Sahlberg over het gebruik van Wireshark voor het analyseren van CIFS verkeer.

In de volgende Wireshark Woensdag

    TShark Statistics

TOT ZIENS OP WIRESHARK WOENSDAG! Geplaatst op 25-2-2009 14:54 door Melle Gloerich Dit is al de 16e aflevering van Wireshark Woensdag, nog slechts een paar afleveringen in deze Wireshark-woensdagreeks, dan gaat Joke het iets rustiger aan doen, 1 keer per maand. Sinds 12 november heeft ze hier wekelijks over geblogd! -Melle Gloerich

Je kunt Wireshark aanpassen aan je persoonlijke voorkeur met behulp van het Preferences dialoogvenster. Je vind dit onder Edit -> Preferences. De instellingen, die je in Preferences doet worden opgeslagen in het bestand C:\Documents and Settings\\Application Data\Wireshark\preferences TShark maakt overigens ook van dit bestand gebruik. Als je bijvoorbeeld in Wireshark Custom Columns toevoegt, dan zie je deze ook terug in de output van TShark.

Preferences

Open het Preferences dialoog venster via Edit -> Preferences.


Aan de linkerkant kun je diverse tabbladen selecteren. Een klein gedeelte heeft betrekking op de User Interface en standaard capture instellingen. Het andere gedeelte heeft betrekking op de instellingen die je voor de diverse protocollen kunt doen.

Layout
Het is natuurlijk altijd leuk om een persoonlijk tintje aan de layout te geven; bijvoorbeeld voor een opdrachtgever:) Je hoeft alleen maar een pakkende titel in te vullen achter: Custom Window Title (prepend to existing titles). Klik OK en de naam wordt gepresenteerd in de titelbalk.


Note:
De titel wordt niet opgeslagen in de capture file. Je kunt dit dus gebruiken voor screenshots in het verslag voor de opdrachtgever.

Columns

Standaard worden de columns No., Time, Source, Destination, Protocol en Info weergegeven.  Ik voeg er zelf altijd de column Packet length (bytes) aan toe. Soms is het handig om meerdere time columns te hebben, zodat je naast de tijd sinds het begin van de capture ook de delta time in beeld hebt.
Voor uitleg over delta time zie: Wireshark Woensdag: Time Display Format en Export HTTP Objects

Selecteer voor de weergave van de tijd: View -> Time Display Format -> Seconds Since Beginning of Capture.  Om een column toe te voegen, die de delta time weergeeft, ga je als volgt te werk:
Selecteer het tabblad Columns en klik New.
Wijzig in het veld Title "New Column" in "Delta Time".
Selecteer in het veld Format "Delta Time".

Vervolgens kun je de columns naast elkaar zetten. Zorg dat de column Delta Time geselecteerd is. Klik een paar keer "Up", totdat de column Delta Time onder de column Time (format as specified) staat. Klik OK.

Custom Columns

Om columns toe te voegen, die niet in de keuzelijst van Format staan, selecteer je in deze lijst Custom. Je krijgt de optie om in een extra veld een display filter in te vullen. Op deze wijze kun je de Packet List helemaal aanpassen aan je wensen.

Werkwijze
Je wilt een column toevoegen, die de TCP Window Size weergeeft. Deze column staat niet in de keuzelijst van Format, hier meer info over TCP Window Size.

Selecteer het tabblad Columns en klik New.
Wijzig het veld Title "New Column" in TCP Window Size.
Selecteer in het veld Format "Custom".
Rechts van het veld Format verschijnt een nieuw veld.
In dit veld vul je het display filter tcp.window_size in.

Klik OK.
Het resultaat van bovenstaande acties is de volgende layout van de Packet List.

 

Capture

Hier kun je onder andere de default interface instellen. De instellingen in Preferences -> Capture worden als standaard gehanteerd. Dit in tegenstelling tot instellingen in Capture -> Options. De instellingen, die je hier opgeeft gelden tot dat Wireshark afgesloten wordt.
    url: http://wiki.wireshark.org/Preferences/Capture

Name Resolution

Hier stel je de standaard in voor MAC, Network en Transport Name Resolution. Ook hiervoor geldt, dat je dit via Capture -> Options aan kunt passen voor die ene sessie. Met betrekking tot concurrent DNS name resolution moet je de balans tussen performance en functionaliteit in de gaten houden.

Protocols

Hier kun je de instellingen voor diverse protocollen aanpassen. Je kunt bijvoorbeeld afwijkende poortnummers opgeven of tcp reassembly aan/uit zetten.

Als je de instellingen van tcp aan wilt passen, kun je via Edit - > Preferences -> Protocols naar tcp scrollen.


Dit kan echter veel sneller vanuit Packet Details.
Selecteer in de Packet List een packet met het tcp protocol.
Ga naar Packet Details en rechts-klik op Transmission Control Protocol    ...etc.
Selecteer Protocol Preferences... en je gaat meteen naar het tabblad tcp protocol.




Hier vind je een aantal sample capture files:
http://wiki.wireshark.org/SampleCaptures
http://www.techtraces.com/sample_captures
http://packetlife.net/captures/

In de volgende Wireshark Woensdag

Wireshark Statistics

TOT ZIENS OP WIRESHARK WOENSDAG!

Heb je vragen over Wireshark, TShark of de andere Wireshark tools?
Mail ze gerust naar Joke.

SHARKFEST’10
Op de campus van Stanford University in Palo Alto California wordt van 14 t/m 17 juni het 3e jaarlijkse Sharkfest gehouden.
Klik hier voor informatie en registratie.

Network Troubleshooting Webcast Wednesday March 24th 1pm PST. Click here to join the free monthly webcast.

Sniff free or die:
The History of Wireshark in 3 Minutes

PacketFountain
Network Sniffing Screensaver
Je kunt hem hier downloaden.

Wireshark: release van versies 1.2.6, 1.0.11, and 1.3.3
Je kunt ze hier downloaden.

+++++++++