Vi kunne se alt som var av informasjon som datamaskinen sendte ut og inn, ved å filtrere slik at vi bare kunne se ønsket ip adresse. Det kunne være alt fra datapakker som gjaldt youtube filmer til av- og pålogging til domenet.
Jeg jobbet sammen med Daniel i denne oppgaven. Jeg prøvde å
reboote datamaskinen, renew ip adressen, release ip adressen, og sende
meldinger mens han så hva jeg sendte.
Del 2
Koble sammen hele rekken med datamaskiner med en HUBKjør Wireshark og la den gå i to-tre minutter mens du surfer nettet og pinger naboens pc
Reboot en pc og logg på igjen (se på tidspunktet)
Release og renew adressen på en maskin
Dra opp en msn chat med en av de andre i gruppen
Prøv en traceroute og en ping
Prøv å logg på facebook fra pc-en
Stopp innsamlingen
Undersøk resultatene.
Oppgave 1. Hva skjer når maskinen rebooter?
Når maskinen rebooter sender den først ut at den forlater
nettverket, du ser også når den logger på igjen. Da kommer det forskjellige sendte pakker, som for eksempel Dropbox, broadcasts om at den er på nettet, og en haug med andre forespørsler.
Oppgave 2. Hva skjer når maskinen logger på?
Når maskinen logger på kan vi se at den blir registrert inn
i domenet, og alle startprogrammer som prøver å få kontakt med nettet. For
eksempel Google var aktiv.
Den sender masse registreringsforespørsler om å bli med i grupper og to membership reports.
Den sender masse registreringsforespørsler om å bli med i grupper og to membership reports.
Oppgave 3. Hva skjer når dere releaser adressen?
Når man kjører “ipadress /release” ser man på Wireshark at
datamaskinen har gjort en release. DHCP Serveren sender en melding med en
trasaksjonsID.
Oppgave 4. Hva skjer når dere renewer adressen?
Det “ipadress /renew” gjør, er at datamaskinen kobler seg opp på nytt. Først får vi en lik melding som i Oppgave 3, deretter får den et
offer om DHCP, og en ACK. Så forlater den nettverksgruppa og blir logget inn i domenet på
nytt.
Oppgave 5. Andre spesielle protokoller el. Som synes?
Det var ganske mange forskjellige protokoller, men jeg lister
bare opp noen av dem, de vi ikke visst hva betydde.
SSDP - Simple Service Discovery Protocol
CLDAP - Connection-less Lightweight X.500 Directory Access Protocol
LDAP - Lightweight Directory Access Protocol
TLSv1 - Transport Layer Security
SMB - Server Message Block
SMB2 – Server Message Block version 2
SSDP - Simple Service Discovery Protocol
CLDAP - Connection-less Lightweight X.500 Directory Access Protocol
LDAP - Lightweight Directory Access Protocol
TLSv1 - Transport Layer Security
SMB - Server Message Block
SMB2 – Server Message Block version 2
Oppgave 6. Ser dere innholdet i kommunikasjonen (MSN)?
Vi ser alt innholdet i hver melding. Den er sendte med HTTP/XMI
og hvis man høyreklikker og følger TCP strømmen kan man se alle meldingene i
den chatten i et enkelt vindu, så vel som hvem som sendte, hvem som mottok, og nøyaktig tidspunkt.
Del 3
Finner dere noe annen spennende dere kan teste med Wireshark?
Vi prøvde å se hvor mye informasjon vi klarte å skvise ut av
Facebook. Disse er også skrevet i HTTP og TCP. Vi kunne også se hva som var
skrevet i chatten på Facebook, men den var litt vanskeligere å finne enn i MSN.
Vi kunne se påloggede venner og bruker-ID’en. Vi kunne dermed skrive http://www.facebook.com/profile.php?id=”
pluss profiltallkoden til den profilen vi ville gå inn på.
Dette er hva vi sendte i Facebook:
SSDP - Simple Service Discovery Protocol
CLDAP - Connection-less Lightweight X.500 Directory Access Protocol
LDAP - Lightweight Directory Access Protocol
TLSv1 - Transport Layer Security
SMB - Server Message Block
SMB2 – Server Message Block version 2
Dette er hva vi sendte i Facebook:
SSDP - Simple Service Discovery Protocol
CLDAP - Connection-less Lightweight X.500 Directory Access Protocol
LDAP - Lightweight Directory Access Protocol
TLSv1 - Transport Layer Security
SMB - Server Message Block
SMB2 – Server Message Block version 2
Hvis man åpner pakken som blir sendt med brukernavn og passord
til Arena-IKT, kan man faktisk åpne og se begge deler. Med andre ord, det er
ikke kryptert.
Og dette er hvordan du kan se det i Wireshark:
Det ser litt rotete ut, men det er fullt mulig å lese det som er sendt.
Det ser litt rotete ut, men det er fullt mulig å lese det som er sendt.
Dette bildet her viser Facebook ID-en til alle påloggede venner. Grunnen til at det er sorte streker over noen av tallene er bare for at vi ikke skal legge ut profil ID-en til de som bruker Facebook uten deres samtykke.
Del 4
Er dette ett lovelig produkt å benytte? Hvorfor/hvorfor ikke?
Wireshark er et helt lovlig program, men som med visse andre
programmer, kan det misbrukes til å finne ting som ikke er like mye godtatt.
Det er mulig å bruke dette programmet til å finne diverse brukernavn og passord.
Hvis du har samtykket til den personen du sniffer informasjon fra, er det ikke
ulovlig. Hvis du derimot finner informasjon som ikke er offentlig, og som noen
kanskje ikke vil skal bli funnet, er du over på den siden av loven som kan få
konsekvenser.
Ingen kommentarer:
Legg inn en kommentar
Merk: Bare medlemmer av denne bloggen kan legge inn en kommentar.