Embed Size (px)
DESCRIPTION
Module 2 : 封包擷取與分析實習. 學習目的. 欲了解網路發生什麼問題,可透過擷取和分析網路封包內容,進而了解問題點並擬出對策。本模組將說明如何進行網路封包擷取與分析,幫助學習在分析網路安全與網路問題的基本技能 本模組共有五個小節包括 (1) 封包簡介 (*) (2) 封包結構與通訊協定 (*) (3) 封包擷取工具介紹 (*) (4) 封包擷取工具的實務 (**) (5) 封包擷取與分析的 專案實作 (**) 共需三個鐘點. Module 2 :封包擷取與分析實習. Module 2-1 :封包簡介 (*) - PowerPoint PPT Presentation
Citation preview
網路安全
Module 2 封包擷取與分析實習
網路安全
學習目的1 欲了解網路發生什麼問題可透過擷取和分析網路封包內容進而了解問題點並擬出對策本模組將說明如何進行網路封包擷取與分析幫助學習在分析網路安全與網路問題的基本技能2 本模組共有五個小節包括
(1) 封包簡介 () (2) 封包結構與通訊協定 () (3) 封包擷取工具介紹 () (4) 封包擷取工具的實務 () (5) 封包擷取與分析的專案實作 () 共需三個鐘點
2-2
網路安全
Module 2 封包擷取與分析實習bull Module 2-1 封包簡介 ()bull Module 2-2 封包結構與通訊協定 ()bull Module 2-3 封包擷取工具介紹 ()bull Module 2-4 封包擷取工具的實務 ()bull Module 2-5 封包擷取與分析的專案實作 ()
2-3
初級 (basic) 基礎性教材內容 中級 (moderate) 教師依據學生的吸收情況選擇性介紹本節的內容 高級 (advanced) 適用於深入研究的內容
網路安全
Module 2-1 封包簡介 ()
2-4
網路安全
封包 (Packet) 是什麼bull 維基百科解釋封包指的是在封包交換網路中傳輸的格式化數據塊是基本的信息單位bull 封包主要由控制訊息 (control information) 與使用者資料 (user data) 所構成
ndash 以 IP 封包為例bull 控制訊息標頭檔 (header) 部份包含來源位置與目標位置等資訊bull 使用者資料內容 (message) 部分包含實際使用者所要傳遞的訊息
2-5
網路安全
封包定義bull 依照 CCITT( 國際電報電話諮詢委員會 ) 對封包的解釋封包是一段數位訊號的集合通常包括使用者資料及控制訊息兩部份bull 使用者資料真正所要傳送的內容bull 控制訊息包括如傳送端與接收端的位址封包前後次序的編號以及一些錯誤控制碼等
2-6
控制訊息
目的位址 來源位址
資料封包內容圖
網路安全
封包介紹 bull 在網路中進行傳輸的最小資訊單位bull 封包在網路上傳送的速度較快而且在傳輸過程中不會妨礙其他網路封包的傳輸當任何封包發生錯誤時只有錯誤的封包必須重新傳送而不是整個資料重傳
2-7
網路安全
封包 VS 資料bull 欲傳輸一個較大的資料例 2100 Bytes 之文字檔在傳輸上為了方便通常會將此資料切割成若干個段落如下表示
bull 每個段落即為一個封包2-8
Flag=01 Length=2099
Flag=00 Length=1587
Flag=00 Length=1075
Flag=00 Length=563
Flag=10 Length=51
Flag=11 Length=2099
來源資料 = 2106 octets2100 octets
512 octets
512 octets
512 octets
512 octets
52octets
第一段落持續段落 1
持續段落 2
持續段落 3
最後段落
PH
SH
SH
SH
SH
SH
PH = 來源資料的主要檔頭SH = 段落檔頭
網路安全
區段 內容 說明表頭區(header)
警告訊號 警告訊號用來顯示接受端訊息已開始傳送時脈是使雙方同步傳輸過程且顯示來源電腦和目的電腦的位址
來源位置目的位置時脈
資料區(data
block)資料 存放實際傳輸資料能存放的資料大小約
512到 4K Bytes 由於無法存放太大的資料因此資料傳輸時會被切割為封包
表尾區(trailer)
循環檢查碼循環檢查的相關檢查碼 (CRC) 是利用演算公式計算出來當接收端收到封包時為了確定資料是否正確會將封包中的資料利用演算公式重新計算一次結果必須和相關檢查碼相同表示傳輸的資料才正確
封包構成區段
2-9
網路安全
資料切割成封包傳輸的原因bull 避免網路阻塞如果直接將資料傳送到網路上由於資料太大會造成網路的擁擠其它電腦都會因為等待這台電腦傳輸資料而無法工作
A H
B
C
E
F
網路阻塞示意圖
資料 1 傳遞中
DG
欲傳輸資料資料 2資料 1
資料 3
資料 1
完成傳輸資料
2-10
網路安全
資料切割成封包傳輸的原因 (續 )
bull 可多路徑傳遞當網路較複雜時兩台電腦之間的通訊路徑就不只一個資料拆成封包後可以透過路由 (Routing)走不同的路徑到達目的地然後再組合起來加快傳遞速度一般路徑傳輸藍色路徑 A gt B gt D gt F封包 1 已傳輸封包 2 欲傳輸 D 點發生忙碌時變更路徑傳輸綠色路徑 A gt B gt E gt F
A F
B
C
D
E封包 1
完成傳輸封包等待傳輸封包封包 2封包 1 多路徑傳遞示意圖
2-11
網路安全
路由 (Routing) 簡介bull 封包在網路上的傳輸是透過路由 (Routing) 將封包從來源位址傳輸到目的位址
bull 路由為網路 OSI七層中的網路層 (Network Layer) 所負責
2-12
應用層Application Layer
表現層Presentation Layer
交談層Session Layer
傳輸層Transport Layer
網路層Network Layer
資料連結層Data-Link Layer
實體層Physical Layer
網路安全
路由 (Routing) 簡介 (續 )
bull 路由器 (Router) 功用為分配引導封包傳遞如下個需經過之主機以完成封包傳遞bull 路由表 (Routing
Table) 一般來說路由器皆會存有路由表用來紀錄與儲存到達各個目的地之最佳路徑2-13
Network Distance Port Next Router Entry State
1 0 1 0 Good
2 1 2 Router 2 Good
Router2
Router1Port1
Port2Network1
Network2
Routing Table
網路安全
封包分組封包重組bull 一個資料若拆成若干個封包經過多路徑傳遞後因為網路狀況及路由器分配之傳遞路線不同先送出之封包不一定會先被收到bull 每個經拆解後的封包皆有他自己的編號接收端可依此編號將封包重組回原始資料bull 表頭 (Header) 即記載這些額外資訊
2-14
資料Part1資料Part2資料Part3
資料Part4
資料Part5
資料Part4
資料Part5
封包重組
拆出資料
網路安全
封包與生活中物件做比較bull 如果把封包比喻成信件它們之間是有一些類似的性質
ndash 信封就相當於封包的控制訊息內容包含收件人與寄件人的地址郵遞區號及信件類型 (平信限時及掛號 )ndash 信封內的文字部分 (郵差看不到的部分 )相當於使用者資料ndash 兩者較不同的地方是信件是在郵差在路上騎機車幫我們遞送信件封包是在網路上傳輸的
2-15
網路安全
封包與生活中物件做比較 (續 )
ndash 因為一些傳輸效率上的因素封包的傳遞過程是將信件分裝成一封一封小的信件使用相同的信封寄往目的地ndash 如果從安全性的角度來看封包與信件最大的不同點在於信件內容洩露的部分如果今天信件被拆封偷看收信人可從彌封部分看出個端倪但封包資訊是相當容易被複製與修改的目地端收到此封包是很難確保封包內容沒有被惡意者所偷窺與修改過
2-16
網路安全
了解封包進階思考bull 並非所有的通訊協定都有相同的欄位資料由於採用不同的通訊協定 (TCP與 UDP) 網路封包的結構都有些許的差異但了解基礎封裝方式即可推理各種不同的通訊協定bull 在實務上想要進行網路封包分析的原因有很多故首要先了解什麼是封包定義及其運作方式後再搭配合適的網路封包擷取程式來解決實務上所遇的問題
2-17
網路安全
Module 2-2 封包結構與通訊協定 ()
2-18
網路安全
bull 目前網路使用相當多不同類型的通訊協定下圖列舉出在 OSI 協定七層中常見的通訊協定bull 網路上有許多不安全的通訊協定且大多採用明碼方式傳送經常造成資訊外洩如
HTTP TELNET及 SMTP 等故必要時須顧慮到資訊安全的議題
PPP
IPARP
UDP TCP
TelnetFTPSMTP
SLIP
HTTP
網路 OSI七層常見通訊協定類型
2-19
網路安全
封包結構與傳輸過程Application
TCP
IP
DeviceDriver
SMTPTELNETFTP
TCPUDP
ARPRARPICMP
EthernetX25PPP
TCPIP 四層 常見通訊協定User Data
App Header
Application DataTCP Header
IP Header
Frame Header
Frame Trailer
User Data
Application Data
Application Data
TCP Header
TCP Header
IP Header
TCP Segment
IP Segment
Frame
封包封裝
Socket NetBIOS
2-20
網路安全
IP 表頭
2-21
0
Precedence(3 Bits)
Delay(1 Bit)
Throughout(1Bit)
Reliability(1 Bit)
Cost(1 Bit)
Reserved(1Bit)
Type Of Service(8 Bits)
=
Reserved(1 Bit)
Donrsquot Fragment
(1 Bit)
More Fragment
(1 Bit)
Flags(3 Bits)
=
Version(4 Bits)
IHL(4 Bits)
Total Length(16 Bits)
Identification(16 Bits)
Fragment Offset(13 Bits)
Time to Live(8 Bits)
Protocal(8Bits)
Header Checksum(16 Bits)
Source Address (32 Bits)
Destination Address (32 Bits)
Options (長度不定 ) Padding (長度不定 )
32
64
96
128
160
Type of Service(8Bits)
Flags(3
Bits)
網路安全
封包 header 實例
2-22
網路安全
封包擷取的原理
A電腦網路卡
目的地A封包
目的地B封包
被丟棄
2-23
網路安全
封包擷取的原理 (續 )
bull 為了監聽到其他使用者的封包監聽者會將網路卡修改為混亂模式 (Promiscuous) 混亂模式不會對目標 MAC 位置做檢查的動作而是將所收到的所有封包做接收的動作bull 藉由混亂模式就可以在 HUB 的區域網路環境中或無線網路的環境中擷取其他人的封包訊息
2-24
網路安全
Module 2-3 封包擷取工具介紹 ()
2-25
網路安全
封包擷取工具比較bull 商業軟體
ndash 優 有廠商維護支援性較佳ndash 缺 成本較高ndash 例 NetResident與 EtherDetect
bull 免費軟體ndash 優 成本較低ndash 缺 功能與使用說明較為簡略ndash 例 Wireshark與WinDump
2-26
網路安全
封包擷取工具 - WinDump
bull 一種開放原始碼的網路軟體工具為 Windows版的 tcpdumpbull 可以分析封包的流向並且對於封包的內容也可以進行 監聽 bull WinDump運算式是一種規則運算式利用一些條件來進行訊息的過濾當訊息滿足運算式的條件則會將其資訊捕獲如果沒有給出任何條件則網路上所有的資訊包將會被擷獲bull 例 WinDump -i interface -c 10 -n port 80 -w
filename
2-27
網路安全
封包擷取工具 - Wireshark
bull 開放原始碼軟體bull 起源於 1997年 Wireshark 的前身即為 Ethereal因為商標問題而改名成 Wiresharkbull 支援通訊協定多且完整使用圖形化的介面讓操作者容易上手過濾條件切割細密讓使用者可於乙太網路撈取且經數據過濾分析後的數據流bull 可由此軟體能夠擷取網路封包並盡可能顯示出最為詳細的網路封包資料提供各方應用
2-28
網路安全
網路存取函式庫 - WinPcap
bull WinPcap 是著名 Unix libpcap的Windows版本API
bull Pcap 是用來擷取封包的應用程式介面 (Application Programming Interface API)
bull 免費直接網路存取函式庫bull 許多網路應用軟體運行均須安裝此套函式庫如WiresharkWinDump Nmap及 Snort
2-29
網路安全
WinDump與Winpcab 示意圖bull 透過 WinDump及Winpcap 工具擷取並分析封包後再將資料蒐集至電腦設備中
2-30
乙太網路Ethernet
網路工具
Windump分析封包結構
Winpcap擷取並過濾封包
封包資訊
網路安全 2-31
Module 2-4 封包擷取的實務 ()
網路安全 2-32
Linux kernel packet processing
網路安全 2-33
網路安全
說明bull 架設實作 (一 ) 請將介紹如何安裝與使用
WinDump 依實驗拓樸請使用 WireDump 主機做安裝及測試bull 架設實作 (二 ) 請利用 Wireshark軟體對 FTP 進行封包擷取依實驗拓樸請使用 Wireshark 主機做安裝及測試bull 架設實作 (三 ) 請利用 Wireshark軟體對
Outlook Express進行封包擷取依實驗拓樸請使用 Wireshark 主機做安裝及測試2-34
網路安全
架設實作 (一 )
WinDump 實作 -SSH連線觀察
2-35
網路安全
封包擷取工具 - WinDump
bull 版本ndash 395
bull 支援作業平台ndash Windows 9598NT2000XP2003
bull 其他需求ndash 安裝WinPcap 31 以上版本
bull 下載位址ndash httpwwwwinpcaporgwindumpinstallbin
windump_3_9_5WinDumpexe
2-36
網路安全
其他需求工具 - WinPcap
bull 版本ndash 402 stable
bull 支援作業平台ndash Windows NT42000
Windows XP2003Vista (x86 and x64)Windows Server 2008 (x86 and x64)
bull 下載位址ndash httpwwwwinpcaporginstallbin
WinPcap_4_0_2exe
2-37
網路安全
WinPcap 安裝步驟bull WinPcap 下載完成後即可進行安裝bull 安裝畫面如下點選 Next按鈕繼續下一步
2-38
網路安全
WinDump與WinPcap測試bull 請將下載的 WinDumpexe 檔案存放至 C
Windowssystem32 的目錄之下bull 測試WinDump及WinPcap 是否可運作
ndash 點選開始 -gt 程式集 -gt附屬應用程式 -gt命令提示字元 -gt 輸入「 windump 」按下 Enter 即會出現「 windump listening on DeviceNPF_GenericDialupAdapter」的訊息代表WinDump及WinPcap 安裝成功且可運作
ndash 停止監聽按「 Ctrl + C」將顯示擷取封包的數量
2-39
網路安全
參數 說明-c 指定收到的封包數目當達到該數目時 Tcpdump 即會停止-d 把編譯過的封包編碼轉碼成可閱讀的格式放置於標準輸出-dd 把編譯過的封包編碼轉碼成 C 語言的格式放置於標準輸出-ddd 把編譯過的封包編碼轉碼成十進位的格式放置於標準輸出-F 從所指定的文件中讀取運算式進而忽略其他運算式-f 用數字顯示 IP 位址 -i 指定擷取封包的網路介面 -w 將擷取的封包直接寫入檔案當中不做分析與顯示於畫面
參數 說明-r 從指定的檔案文件中讀取資料該檔案文件由 -w 所製造出來-v 顯示詳細的封包資訊多了 TTL 及服務類型-s 設定每一個封包的大小-S 用絕對數並非相對數的值列出 TCP 連接數-tt 顯示出原始時間並且為不格式化的時間-n 不進行 IP Address 到 Domain
Name 的轉換-nn 不進行 Port 的轉換如 22 就是
ssh
-x 用十六進位字碼列出封包資料
WinDump相關參數列表
2-40
網路安全
WinDump 簡易使用操作說明bull 語法 windump 參數bull 查看目前系統可使用的網卡介面
ndash windump -Dbull 透過查看網卡介面以利後續監聽之用
2-41
網路安全
WinDump 簡易使用操作說明 (續 )
bull WinDump -i 網卡介面代號 -c 擷取封包數量 port 通訊埠
bull 例 WinDump -i 2 -c 10 port 80
2-42
網路安全
WinDump 簡易使用操作說明 (續 )
bull 因於命令提示字元視窗內所顯示的資訊不易閱讀可透過下列指令將其所擷取的資訊導向至檔案bull Windump -i 網卡介面代號 gt 檔名
ndash windump -i 2 -c 10 -w message port 80ndash windump -r message gt messagetxtndash windump -i 2 -c 10 port 80 gt messagetxt
2-43
網路安全
WinDump 簡易使用操作說明 (續 )
112338326205 此為封包被擷取的時間『 HHMMSSfraction』的單位IP 透過的通訊協定是 IPwinser 1099 gt w1wwwviptw1yahoocomtw80 代表的是傳送端是 winser 傳送的通訊埠為 1099 大於 (gt) 的符號指的是封包的傳輸方向 w1wwwviptw1yahoocomtw 為接收端 80 為接收埠
P(PUSH) 為資料傳輸標誌且傳輸的資料為整體資料的 1~ 699 byte 所以這個封包帶有 698 bytes 的資料量 ack 1 win 65535 ACK與Window size 的相關資料2-44
網路安全
bull 以 Testbed建立一實驗相關拓樸及設定如下圖SSHClientOSWINXP-SP3-CH-pc3000 IP 10113安裝軟體 putty
SSHServerOSWINXP-SP3-CH-pc3000IP 10123安裝軟體 sshd
實驗環境介紹
2-45
IP1
IP2
WireDumpOSWINXP-SP3-CH-pc3000IP1 10112IP2 10122安裝軟體 WinDump
網路安全
實驗拓樸 on TestbedTWISC- 建立完成的實驗拓樸
2-46
網路安全
SSH連線觀察bull 利用 Putty連線到 SSHServer從中觀察到三向交握建立連線的動作從 SSHClient 端利用 putty連線到SSHServer(10123)的 sshd服務
2-47
網路安全
SSH連線觀察 (續 )
bull SSH 在連線之前會利用三向交握的方式建立連線bull 利用 WinDump觀察 SSH連線動作
ndash 指令 WinDumpexe -N -S -i 4 port 22
三向交握的三個封包三向交握示意圖Server lt- Client SYN 你想連線Server -gt Client SYN ACK 可以我接受Server lt- Client ACK 謝謝
2-48
網路安全
架設實作 (二 )
FTP 擷取密碼案例
2-49
網路安全
FTPClientOSWINXP-SP3-pc3000IP 10112安裝軟體 FileZilla
FTPServerOSWINXP-SP3-pc3000IP 10123安裝軟體 RaidenFTPD
實驗環境介紹bull 以 Testbed建立一實驗相關拓樸及設定如下圖
2-50
IP1IP2
WireSharkOSWINXP-SP3-pc3000IP1 10113IP2 10122安裝軟體 Wireshark
網路安全
實驗拓樸 on TestbedTWISC- 建立完成的實驗拓樸
2-51
網路安全
FTP伺服器工具 - RaidenFTPD
bull 版本ndash 24 build 3720
bull 支援作業平台ndash Windows
bull 下載位址ndash httpwwwraidenmaildcomdownloadraidenftpd2exe
2-52
網路安全
RaidenFTPD 安裝步驟bull 下載Windows平台最新版本檔案下載完成後執行該安裝程式
2-53
網路安全
RaidenFTPD 安裝步驟 (續 )
bull 此步驟使用預設路徑即可按下 Install 進行安裝
2-54
網路安全
RaidenFTPD設定步驟bull 程式開啟畫面如下選擇 Click here to start a new
server 進行 FTP伺服器設定
2-55
網路安全
RaidenFTPD設定步驟 (續 )
bull 此處可設定 Server name與 Server IP 將 Auto IP 取消勾選並將 Server IP設為 10123
2-56
網路安全
RaidenFTPD設定步驟 (續 )
bull 接下來的步驟依照預設值即可
2-57
網路安全
RaidenFTPD設定步驟 (續 )
bull 設定人員帳號與群組按下 Add鈕輸入帳號密碼群組名稱可略過完成後按下 Next 進行下一步驟
2-58
網路安全
RaidenFTPD設定步驟 (續 )
bull 此步驟設定該帳號登入 FTP 時的權限選擇NORMAL 按下 Next 進行下一步驟
2-59
網路安全
RaidenFTPD設定步驟 (續 )
bull 接下來的步驟皆以預設值即可完成設定之後會出現對話視窗顯示您所設定的資訊
2-60
網路安全
FTP 用戶端工具 - Filezilla
bull 版本ndash 328
bull 支援作業平台ndash Windows Linux及Mac
bull 下載位址ndash httpsourceforgenetprojectsfilezillafiles
FileZilla_Client328FileZilla_328_win32zipdownload
2-61
網路安全
Filezilla 安裝步驟bull 執行 Filezilla 安裝程式點選 I agree 鈕
2-62
網路安全
Filezilla 安裝步驟 (續 )
bull 以預設值安裝點選兩次 Next 鈕
2-63
網路安全
Filezilla 安裝步驟 (續 )
bull 以預設值安裝點選 Next 鈕後再點選 Install 鈕
2-64
網路安全
Filezilla 安裝步驟 (續 )
bull 以預設值安裝點選 Next 鈕後再點選 Finish 鈕
2-65
網路安全
封包擷取工具 - Wireshark
bull 版本ndash 165
bull 支援作業平台ndash Windows Linux及 FreeBSD
bull 其他需求ndash 安裝WinPcap 31 以上版本
bull 下載位址ndash httpwiresharkdownloadsriverbedcomwireshark
win32wireshark-win32-165exe
2-66
網路安全
Wireshark 安裝步驟bull 至官方網站下載Windows平台最新版本檔案下載完成後執行該安裝程式
2-67
網路安全
Wireshark 安裝步驟 (續 )
bull 於下一步出現的版權宣告點選 I Agree鈕後繼續下一步驟
2-68
網路安全
Wireshark 安裝步驟 (續 )
bull 此步驟選擇欲安裝的元件以軟體預設勾選之項目安裝
2-69
網路安全
Wireshark 安裝步驟 (續 )
bull 此步驟使用預設路徑即可
2-70
網路安全
Wireshark 安裝步驟 (續 )
bull 此步驟將安裝Windows平台須加裝之套件 -WinPcap 若原系統未安裝過 WinPcap套件請以軟體預設項目安裝之
2-71
網路安全
Wireshark 安裝步驟 (續 )
bull 此步驟代表 Wireshark軟體已安裝完成可點選Finish 鈕或勾選 Run Wireshark 165 隨即使用該套軟體
2-72
網路安全
一般工具列Wireshark軟體介面介紹
2-73
篩選工具列封包清單窗格
封包內容窗格封包位元組窗格
網路安全
Wireshark 使用思考方向bull 遇到網路問題是否觀察網路通道中有異常動作或狀況
ndash 思考方向ndash 反應到擷取數據方法那麼以 Wireshark 擷取使用者需要擷取哪些數據這些數據由使用者電腦哪個裝置來擷取
bull Wireshark操作流程
bull 接下來我們進行軟體操作介紹
解決問題 擷取數據要先做什麼
擷取數據 擷取哪些數據( 過濾條件 )數據哪裡來( 網路介面卡 )
2-74
網路安全
數據哪裡來 - Capture功能bull 一開啟方式
ndash 1 點選快速鈕如紅色圈所示ndash 2 點選 Capture功能表 下拉選單後點選 Optionsndash 3鍵盤快速鍵 Ctrl + K
2-75
網路安全
數據哪裡來 - Capture功能 (續 )
bull 二開啟後顯示 Capture Options 的視窗畫面即可看到所提供的擷取功能選項
2-76
網路安全
數據哪裡來 - Capture功能 (續 )
bull Capture Options 常用的欄位設定ndash Caputure 框
bull 1Interface 會顯示出在系統上所有網路卡但只能選取一個介面作為封包擷取bull 2Capture packets in promiscuous mode 選取此選項就是經過所選取的網路卡的所有封包都會被擷取下來bull 3Capture Filter 指定擷取過濾器運算式擷取想要的特定封包即為擷取中過濾之功能
2-77
網路安全
數據哪裡來 - Capture功能 (續 )
bull Capture Options 常用的欄位設定ndash Display Options 框
bull Update list of packets in real time 指定在擷取封包過程中能夠即時更新已擷取封包清單窗格視窗中的封包資訊若取消則軟體主視窗更新畫面是沒有動作的
2-78
網路安全
bull Capture Options 常用的欄位設定ndash Name Resolution框
bull 1 Enable MAC name resolution 指定是否將網路卡MAC address 的前三個位元組轉換成製造商名稱
bull 2 Enable network name resolution 指定是否將 IP address轉換成 DNS 網域名稱
bull 3 Enable transport name resolution 指定是否將通信埠號碼 (port numbers)轉成協定名稱 (protocols)bull 各位了解數據從哪裡擷取的概念與操作之後即可以進一步加上附帶條件 (篩選條件 ) 等相關操作方式
數據哪裡來 - Capture功能 (續 )
2-79
網路安全
Wireshark操作手法bull 延續遇到問題的思考方向及軟體操作手法我們可以將操作流程分為兩種
ndash 擷取中過濾 (Filter while capturing)bull 優點僅擷取已知範圍資訊網路流量少bull 缺點需先了解問題類型避免可能有遺漏真正欲擷取資訊之狀況
ndash 檢視中過濾 (Filter packets while viewing)bull 優點不用先預設條件擷取所有封包資訊bull 缺點影響網路流量
先預設欲擷取條件 擷取數據
擷取數據 再篩選欲查詢數據2-80
網路安全
Wireshark操作手法 - 擷取中過濾bull 操作步驟
ndash 點選 Capture 下拉視窗選擇 Capture Filters 即呈現此視窗
bull 操作範例ndash 1於 Filter窗格中選擇 IP
Address 10112ndash 2於 Properties窗格中即顯示該選項的設定值如圖所示為 host 10112ndash 3 即可設定軟體僅針對
10112 的封包作擷取動作 延伸操作思考1 改變 Filter string 值得到什麼結果2 點選 Edit 窗格中的 New 鈕 新增自訂條件 2-81
網路安全
Wireshark操作手法 - 檢視中過濾bull 此步驟即以已擷取封包清單窗格為基礎以過濾條件過濾該清單bull 可直接選擇軟體預設項目如以下操作
ndash 操作步驟bull 點選 Analyze 下拉視窗選擇
Display Filters 即呈現此視窗ndash 操作範例
bull 1於 Filter窗格中選擇 IP Address 10112
bull 2於 Properties窗格中即顯示該選項的設定值如圖所示值為host 10112
bull 3 即可設定軟體僅針對 10112的封包作顯示動作 延伸操作思考1 可否進行進一步自訂設定值
2-82
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 若電腦 IP為 10112 欲篩選出 IP 來源為上述 IP 且協定為 TCP 80port 的所有封包ndash 操作步驟
bull 點選 Expression鈕即出現此視窗ndash 1於 Field name框選擇
IP項目中的 ipsrc - Source
ndash 2於 Relation框選擇 ==ndash 3於 Value [IPV4
address]填 入 10112ndash 4 點選 OK鈕 進階思考方式須考慮到例如是來源資訊是目標資訊是什麼協定等更細部所要之條件
2-83
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 再進行第二篩選條件ndash TCP 80 port
bull 操作步驟ndash 1先於 Filter string 輸入文字框「 ipsrc==
10112」後再加上一個空格及「 and 」再進行一次 Expression條件選擇
2-84
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
ndash 2於 Field name框選擇「 tcpdstport」ndash 3於 Relation框選擇「 ==」ndash 4於 Value框填入「 80」ndash 5 選擇「 OK」鈕
2-85
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 注意 Propeties框內的Filter string欄位值已改變為「 ipsrc == 10112 and tcpdstport == 80」
bull 確認條件正確後點選「 OK 」鈕即可發現已擷取封包清單窗格的項目均為所設定過濾條件過濾過結果2-86
網路安全
bull 可單選單一封包進行更進階查詢封包內容bull 操作方式為
ndash 點選其中一項封包項目點選滑鼠右鍵選擇Follow TCP Stream
Wireshark操作手法 - 檢視中過濾 (續 )
2-87
網路安全
ndash 此畫面即可看出該項 TCP 封包溝通內容Wireshark操作手法 - 檢視中過濾 (續 )
2-88
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 此功能將所擷取的封包清單使用多種方式呈現封包統計資料便於使用者查詢擷取時間內何種封包數量多寡及圖型顯示bull 操作步驟點選 Statistics 下拉視窗即呈現此視窗 顯示有關擷取清單的摘要以階梯式通訊協定列表顯示所擷取的所有封包
在特定 IP間顯示通訊流量顯示單一 IP 來往封包的流量
以時間軸顯示視覺化封包流量圖2-89
網路安全
bull 可查看到一時段內其封包總數與平均每秒傳遞接收封包數等相關資訊讓使用者了解平均一時段內網路流量狀況藉以初步獲得資訊
Wireshark操作手法 - 檢視中過濾 (續 )
2-90
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 讓使用者可透過階梯式封包分類表來查看哪一類封包佔為居多可進一步推測是否該類型封包影響到整體網路或是否有異常或不常見封包類型在網路中傳遞
2-91
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 將該擷取時段內封包清單檔以兩個特定 IP 之間對傳封包為區隔顯示出哪兩個特定 IP間傳遞封包數多寡bull 可讓使用者更進一步研判兩個特定 IP所屬設備傳遞狀況是否異常
2-92
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 將該擷取時段內封包清單檔以特定IP 傳遞封包數為區隔顯示出哪特定IP 傳遞封包數多寡
bull 可讓使用者更進一步研判該特定所屬設備傳遞封包數是否異常作為管制緊急管制或禁止通訊之證明2-93
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 以時間軸顯示視覺化封包流量圖bull 讓使用者可觀察所管理設備資訊流通量以了解設備是否能負荷或作相關調整等處置
2-94
網路安全
FTP 擷取密碼案例bull 於Wireshark軟體選擇 Capture 下拉選單功能項點選 Interfaces 選項
2-95
網路安全
FTP 擷取密碼案例 (續 )
bull 確認欲擷取封包之網卡名稱如紅色底線所示確認後點選 Start鈕
2-96
網路安全
FTP 擷取密碼案例 (續 )
bull 切換至 FTP Client 電腦開啟 FileZilla 程式後連線到 FTP Server 於 Host 填入10123 Username填入 tester Password填入testpw 後點選 Quickconnect鈕
2-97
網路安全
FTP 擷取密碼案例 (續 )
bull 擷取到的封包資訊會顯示於已擷取封包清單窗格內
2-98
網路安全
FTP 擷取密碼案例 (續 )
bull 使用 FTP軟體登入 ftp站後 Wireshark 將擷取到的使用者名稱與密碼如紅框所示
2-99
網路安全
FTP 擷取密碼案例 (續 )
bull 點選已擷取封包清單窗格的密碼資訊列如標示1 的紅框所示即可在封包內容窗格看到該密碼的位元碼如標示 2 的紅框所示
1
2
2-100
網路安全
架設實作 (三 )
Outlook Express 擷取密碼案例
2-101
網路安全
實驗環境介紹bull 以 Testbed建立一實驗相關拓樸及設定如下圖
OEClientOSWindows XP SP3IP 10112執行 Outlook Express
MailServerOSWindows XP SP3IP 10122安裝軟體 ArGoSoft Mail Server
2-102
WiresharkOSWindows XP SP3IP1 10113 IP2 10123安裝軟體 Wireshark
IP1IP2
網路安全
實驗拓樸 on TestbedTWISC- 建立完成的實驗拓樸
2-103
網路安全
郵件伺服器工具 - ArGoSoft Mail Server
bull 版本ndash 1892 Freeware
bull 支援作業平台ndash Windows
bull 下載位址ndash httpwwwsoftkingcomtwsoftdownloadaspfid3=7367
2-104
網路安全
郵件客戶端工具 - Outlook Express
bull 版本ndash 60
bull 支援作業平台ndash Windows
bull 下載位址ndash Windows 內建
2-105
網路安全
bull 安裝及設定郵件伺服器ndash 1下載並執行 ArGoSoft Mail Server軟體點選
Setup鈕
Outlook Express 擷取密碼案例
2-106
網路安全
ndash 1 點選 Next鈕ndash 2 點選 Start Installation鈕
Outlook Express 擷取密碼案例 (續 )
2-107
網路安全
ndash 3 點選 OK鈕ndash 4 點選 Finish鈕完成軟體安裝
Outlook Express 擷取密碼案例 (續 )
2-108
網路安全
ndash 5 點選使用者設定鈕如紅圈所示ndash 6 點選新增鈕如紅框所示
Outlook Express 擷取密碼案例 (續 )
2-109
網路安全
ndash 7填入使用者名稱 (tester) 及密碼 (testpw) 如紅圈所示填寫完成後點選 OK鈕ndash 8 點選 Close鈕關閉使用者設定視窗
Outlook Express 擷取密碼案例 (續 )
2-110
網路安全
ndash 9 點選選項鈕如左側圖中紅色圈所示ndash 10 點選紅色打勾鈕如右側圖中紅色圈所示
2-111
Outlook Express 擷取密碼案例 (續 )
網路安全
ndash 11該軟體會自動選取 DNS Server 待選取後點選 Yes鈕ndash 12 勾選 Allow Relay 選項如紅框所示
2-112
Outlook Express 擷取密碼案例 (續 )
網路安全
Outlook Express 擷取密碼案例 (續 )
bull 設定收信帳號ndash 1 點選 Tools功能選單選擇 Accounts 選項
2-113
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 2 點選 Add鈕選擇 Mail 選項
2-114
網路安全
ndash 3填入 tester 點選 Next鈕ndash 4填入 testertestcom 點選 Next鈕
Outlook Express 擷取密碼案例 (續 )
2-115
網路安全
ndash 5填入 10123 如紅框所示點選 Next鈕ndash 6填入帳號為 tester 及密碼為 testpw 點選 Next鈕
Outlook Express 擷取密碼案例 (續 )
2-116
網路安全
ndash 7 點選 Finish鈕ndash 8 點選 Close鈕
Outlook Express 擷取密碼案例 (續 )
2-117
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 模擬條件準備好後首先準備Wireshark 擷取動作開啟Wireshark
2-118
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 於Wireshark軟體選擇 Capture 下拉選單功能項點選 Interfaces 選項
2-119
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 確認欲擷取封包之網卡名稱如紅色底線所示確認後點選 Start鈕
2-120
網路安全
ndash 當使用者收發 email 時即被 Wireshark攔截封包ndash 有發現到該 Outlook Express帳號密碼是如此清晰可見的嗎
Outlook Express 擷取密碼案例 (續 )
2-121
網路安全
結論bull 學習了 Wireshark及WinDump 兩套網路封包擷取軟體基本概念如同電話側錄概念相同從中複製一連串資訊來分析與了解網路的流量及內容為何bull 當你發現網路速度緩慢等狀況你是否會反應到所學的基本概念來找尋問題所在bull 防範概念由此課程的實例可以了解網路內容如被有心人士擷取所造成的損失相當可觀故你是否有對策有哪些方式你可以應用來防範bull 正確的思考善用對的工具將對解決問題事半功倍
2-122
網路安全 2-123
Module 2-5 封包擷取與分析的專案實作()
網路安全
專案目的bull 建立遠端管理傳遞指令資訊環境bull 利用實際攔截封包操作的方式讓同學了解封包擷取運作與網路資訊流通的顧慮等相關議題
2-124
網路安全
專案描述bull 近年來遠端管理伺服器及網路服務普及光是密碼保護就足夠了嗎是否重點網段須全程加密還是作網段隔離經由此專案實作即可了解不僅部分加密仍有其風險所在網路架構如何規劃將是非常重要的課題bull 參考環境配置圖完成下列要求①環境裡的攔截封包主機是 Windows XP SP3 作業系統而該主機安裝Wireshark軟體②另兩台主機的作業系統亦是 Windows XP SP3 並裝上
MySQL軟體 MySQL帳號為 root 密碼為您的學號 (如 Q3896105)
③在MySQLClient 電腦使用 MySQL Commandline 指令連線至MySQLServer 擷取資料庫資訊
④我們針對這兩台主機傳訊的封包擷取由整個實做中思考如何防範資訊外洩與了解傳訊封包如何流動及運作2-125
網路安全
環境配置圖bull 以 Testbed建立一實驗相關拓樸及設定如下圖
MySQLServerOSWINXP-SP3-CH-pc3000 IP 10123安裝軟體 MySQL
MySQLClientOSWINXP-SP3-CH-pc3000 IP 10112安裝軟體 MySQL
2-126
WireSharkOSWINXP-SP3-CH-pc3000 IP1 10113IP2 10122安裝軟體 Wireshark
IP1IP2
網路安全
作業繳交bull 請參考情境測試發送數個 SQL 指令並將過程與擷取到的封包資訊之截圖列於報告中所有圖表皆需要輔以文字說明bull Deadline 2012312 下午 500 以前bull 作業範圍 Module 2-5 (page 2-128)bull 方式 (參考課程網址 )
ndash 帳號密碼小寫的 (ns100ns100)ndash IP 140116164167
2-127
網路安全
有問題嗎
bull 關於 TestBed 使用上的問題請直接 Email至 twisc-testbed-usergooglegroupscom 將有專人為您服務bull 課程網址
httpitlabeenckuedutwcoursesNS_100indexhtml
2-128
bull 助教資訊 (參考課程網址 )
網路安全
參考資料bull Dienet httplinuxdienetman1wiresharkbull Orebaugh Angela Ramirez Gilbert Burke Josh Pesce Larry Wright
Joshua(2007) Wireshark and Ethereal network protocol analyzer toolkitbull Tony Fortunato(2007) Wireshark Training Retrieved July 22 2009 from
the World Wide Web httpwwwthetechfirmcometherealwiresharkpdfbull WinDump httpwwwwinpcaporgWinDumpbull Wireshark httpwwwwiresharkorgbull Wireshark University httpwwwwiresharktrainingcombull 楊中皇 (民 97年 ) 網路安全理論與實務 (2版 ) 台北市學貫bull 蘇淑茵教授 Wireshark 民國 98年 6月 28日取自 httpmywebnckuedutw~sisou
2-129
網路安全
學習目的1 欲了解網路發生什麼問題可透過擷取和分析網路封包內容進而了解問題點並擬出對策本模組將說明如何進行網路封包擷取與分析幫助學習在分析網路安全與網路問題的基本技能2 本模組共有五個小節包括
(1) 封包簡介 () (2) 封包結構與通訊協定 () (3) 封包擷取工具介紹 () (4) 封包擷取工具的實務 () (5) 封包擷取與分析的專案實作 () 共需三個鐘點
2-2
網路安全
Module 2 封包擷取與分析實習bull Module 2-1 封包簡介 ()bull Module 2-2 封包結構與通訊協定 ()bull Module 2-3 封包擷取工具介紹 ()bull Module 2-4 封包擷取工具的實務 ()bull Module 2-5 封包擷取與分析的專案實作 ()
2-3
初級 (basic) 基礎性教材內容 中級 (moderate) 教師依據學生的吸收情況選擇性介紹本節的內容 高級 (advanced) 適用於深入研究的內容
網路安全
Module 2-1 封包簡介 ()
2-4
網路安全
封包 (Packet) 是什麼bull 維基百科解釋封包指的是在封包交換網路中傳輸的格式化數據塊是基本的信息單位bull 封包主要由控制訊息 (control information) 與使用者資料 (user data) 所構成
ndash 以 IP 封包為例bull 控制訊息標頭檔 (header) 部份包含來源位置與目標位置等資訊bull 使用者資料內容 (message) 部分包含實際使用者所要傳遞的訊息
2-5
網路安全
封包定義bull 依照 CCITT( 國際電報電話諮詢委員會 ) 對封包的解釋封包是一段數位訊號的集合通常包括使用者資料及控制訊息兩部份bull 使用者資料真正所要傳送的內容bull 控制訊息包括如傳送端與接收端的位址封包前後次序的編號以及一些錯誤控制碼等
2-6
控制訊息
目的位址 來源位址
資料封包內容圖
網路安全
封包介紹 bull 在網路中進行傳輸的最小資訊單位bull 封包在網路上傳送的速度較快而且在傳輸過程中不會妨礙其他網路封包的傳輸當任何封包發生錯誤時只有錯誤的封包必須重新傳送而不是整個資料重傳
2-7
網路安全
封包 VS 資料bull 欲傳輸一個較大的資料例 2100 Bytes 之文字檔在傳輸上為了方便通常會將此資料切割成若干個段落如下表示
bull 每個段落即為一個封包2-8
Flag=01 Length=2099
Flag=00 Length=1587
Flag=00 Length=1075
Flag=00 Length=563
Flag=10 Length=51
Flag=11 Length=2099
來源資料 = 2106 octets2100 octets
512 octets
512 octets
512 octets
512 octets
52octets
第一段落持續段落 1
持續段落 2
持續段落 3
最後段落
PH
SH
SH
SH
SH
SH
PH = 來源資料的主要檔頭SH = 段落檔頭
網路安全
區段 內容 說明表頭區(header)
警告訊號 警告訊號用來顯示接受端訊息已開始傳送時脈是使雙方同步傳輸過程且顯示來源電腦和目的電腦的位址
來源位置目的位置時脈
資料區(data
block)資料 存放實際傳輸資料能存放的資料大小約
512到 4K Bytes 由於無法存放太大的資料因此資料傳輸時會被切割為封包
表尾區(trailer)
循環檢查碼循環檢查的相關檢查碼 (CRC) 是利用演算公式計算出來當接收端收到封包時為了確定資料是否正確會將封包中的資料利用演算公式重新計算一次結果必須和相關檢查碼相同表示傳輸的資料才正確
封包構成區段
2-9
網路安全
資料切割成封包傳輸的原因bull 避免網路阻塞如果直接將資料傳送到網路上由於資料太大會造成網路的擁擠其它電腦都會因為等待這台電腦傳輸資料而無法工作
A H
B
C
E
F
網路阻塞示意圖
資料 1 傳遞中
DG
欲傳輸資料資料 2資料 1
資料 3
資料 1
完成傳輸資料
2-10
網路安全
資料切割成封包傳輸的原因 (續 )
bull 可多路徑傳遞當網路較複雜時兩台電腦之間的通訊路徑就不只一個資料拆成封包後可以透過路由 (Routing)走不同的路徑到達目的地然後再組合起來加快傳遞速度一般路徑傳輸藍色路徑 A gt B gt D gt F封包 1 已傳輸封包 2 欲傳輸 D 點發生忙碌時變更路徑傳輸綠色路徑 A gt B gt E gt F
A F
B
C
D
E封包 1
完成傳輸封包等待傳輸封包封包 2封包 1 多路徑傳遞示意圖
2-11
網路安全
路由 (Routing) 簡介bull 封包在網路上的傳輸是透過路由 (Routing) 將封包從來源位址傳輸到目的位址
bull 路由為網路 OSI七層中的網路層 (Network Layer) 所負責
2-12
應用層Application Layer
表現層Presentation Layer
交談層Session Layer
傳輸層Transport Layer
網路層Network Layer
資料連結層Data-Link Layer
實體層Physical Layer
網路安全
路由 (Routing) 簡介 (續 )
bull 路由器 (Router) 功用為分配引導封包傳遞如下個需經過之主機以完成封包傳遞bull 路由表 (Routing
Table) 一般來說路由器皆會存有路由表用來紀錄與儲存到達各個目的地之最佳路徑2-13
Network Distance Port Next Router Entry State
1 0 1 0 Good
2 1 2 Router 2 Good
Router2
Router1Port1
Port2Network1
Network2
Routing Table
網路安全
封包分組封包重組bull 一個資料若拆成若干個封包經過多路徑傳遞後因為網路狀況及路由器分配之傳遞路線不同先送出之封包不一定會先被收到bull 每個經拆解後的封包皆有他自己的編號接收端可依此編號將封包重組回原始資料bull 表頭 (Header) 即記載這些額外資訊
2-14
資料Part1資料Part2資料Part3
資料Part4
資料Part5
資料Part4
資料Part5
封包重組
拆出資料
網路安全
封包與生活中物件做比較bull 如果把封包比喻成信件它們之間是有一些類似的性質
ndash 信封就相當於封包的控制訊息內容包含收件人與寄件人的地址郵遞區號及信件類型 (平信限時及掛號 )ndash 信封內的文字部分 (郵差看不到的部分 )相當於使用者資料ndash 兩者較不同的地方是信件是在郵差在路上騎機車幫我們遞送信件封包是在網路上傳輸的
2-15
網路安全
封包與生活中物件做比較 (續 )
ndash 因為一些傳輸效率上的因素封包的傳遞過程是將信件分裝成一封一封小的信件使用相同的信封寄往目的地ndash 如果從安全性的角度來看封包與信件最大的不同點在於信件內容洩露的部分如果今天信件被拆封偷看收信人可從彌封部分看出個端倪但封包資訊是相當容易被複製與修改的目地端收到此封包是很難確保封包內容沒有被惡意者所偷窺與修改過
2-16
網路安全
了解封包進階思考bull 並非所有的通訊協定都有相同的欄位資料由於採用不同的通訊協定 (TCP與 UDP) 網路封包的結構都有些許的差異但了解基礎封裝方式即可推理各種不同的通訊協定bull 在實務上想要進行網路封包分析的原因有很多故首要先了解什麼是封包定義及其運作方式後再搭配合適的網路封包擷取程式來解決實務上所遇的問題
2-17
網路安全
Module 2-2 封包結構與通訊協定 ()
2-18
網路安全
bull 目前網路使用相當多不同類型的通訊協定下圖列舉出在 OSI 協定七層中常見的通訊協定bull 網路上有許多不安全的通訊協定且大多採用明碼方式傳送經常造成資訊外洩如
HTTP TELNET及 SMTP 等故必要時須顧慮到資訊安全的議題
PPP
IPARP
UDP TCP
TelnetFTPSMTP
SLIP
HTTP
網路 OSI七層常見通訊協定類型
2-19
網路安全
封包結構與傳輸過程Application
TCP
IP
DeviceDriver
SMTPTELNETFTP
TCPUDP
ARPRARPICMP
EthernetX25PPP
TCPIP 四層 常見通訊協定User Data
App Header
Application DataTCP Header
IP Header
Frame Header
Frame Trailer
User Data
Application Data
Application Data
TCP Header
TCP Header
IP Header
TCP Segment
IP Segment
Frame
封包封裝
Socket NetBIOS
2-20
網路安全
IP 表頭
2-21
0
Precedence(3 Bits)
Delay(1 Bit)
Throughout(1Bit)
Reliability(1 Bit)
Cost(1 Bit)
Reserved(1Bit)
Type Of Service(8 Bits)
=
Reserved(1 Bit)
Donrsquot Fragment
(1 Bit)
More Fragment
(1 Bit)
Flags(3 Bits)
=
Version(4 Bits)
IHL(4 Bits)
Total Length(16 Bits)
Identification(16 Bits)
Fragment Offset(13 Bits)
Time to Live(8 Bits)
Protocal(8Bits)
Header Checksum(16 Bits)
Source Address (32 Bits)
Destination Address (32 Bits)
Options (長度不定 ) Padding (長度不定 )
32
64
96
128
160
Type of Service(8Bits)
Flags(3
Bits)
網路安全
封包 header 實例
2-22
網路安全
封包擷取的原理
A電腦網路卡
目的地A封包
目的地B封包
被丟棄
2-23
網路安全
封包擷取的原理 (續 )
bull 為了監聽到其他使用者的封包監聽者會將網路卡修改為混亂模式 (Promiscuous) 混亂模式不會對目標 MAC 位置做檢查的動作而是將所收到的所有封包做接收的動作bull 藉由混亂模式就可以在 HUB 的區域網路環境中或無線網路的環境中擷取其他人的封包訊息
2-24
網路安全
Module 2-3 封包擷取工具介紹 ()
2-25
網路安全
封包擷取工具比較bull 商業軟體
ndash 優 有廠商維護支援性較佳ndash 缺 成本較高ndash 例 NetResident與 EtherDetect
bull 免費軟體ndash 優 成本較低ndash 缺 功能與使用說明較為簡略ndash 例 Wireshark與WinDump
2-26
網路安全
封包擷取工具 - WinDump
bull 一種開放原始碼的網路軟體工具為 Windows版的 tcpdumpbull 可以分析封包的流向並且對於封包的內容也可以進行 監聽 bull WinDump運算式是一種規則運算式利用一些條件來進行訊息的過濾當訊息滿足運算式的條件則會將其資訊捕獲如果沒有給出任何條件則網路上所有的資訊包將會被擷獲bull 例 WinDump -i interface -c 10 -n port 80 -w
filename
2-27
網路安全
封包擷取工具 - Wireshark
bull 開放原始碼軟體bull 起源於 1997年 Wireshark 的前身即為 Ethereal因為商標問題而改名成 Wiresharkbull 支援通訊協定多且完整使用圖形化的介面讓操作者容易上手過濾條件切割細密讓使用者可於乙太網路撈取且經數據過濾分析後的數據流bull 可由此軟體能夠擷取網路封包並盡可能顯示出最為詳細的網路封包資料提供各方應用
2-28
網路安全
網路存取函式庫 - WinPcap
bull WinPcap 是著名 Unix libpcap的Windows版本API
bull Pcap 是用來擷取封包的應用程式介面 (Application Programming Interface API)
bull 免費直接網路存取函式庫bull 許多網路應用軟體運行均須安裝此套函式庫如WiresharkWinDump Nmap及 Snort
2-29
網路安全
WinDump與Winpcab 示意圖bull 透過 WinDump及Winpcap 工具擷取並分析封包後再將資料蒐集至電腦設備中
2-30
乙太網路Ethernet
網路工具
Windump分析封包結構
Winpcap擷取並過濾封包
封包資訊
網路安全 2-31
Module 2-4 封包擷取的實務 ()
網路安全 2-32
Linux kernel packet processing
網路安全 2-33
網路安全
說明bull 架設實作 (一 ) 請將介紹如何安裝與使用
WinDump 依實驗拓樸請使用 WireDump 主機做安裝及測試bull 架設實作 (二 ) 請利用 Wireshark軟體對 FTP 進行封包擷取依實驗拓樸請使用 Wireshark 主機做安裝及測試bull 架設實作 (三 ) 請利用 Wireshark軟體對
Outlook Express進行封包擷取依實驗拓樸請使用 Wireshark 主機做安裝及測試2-34
網路安全
架設實作 (一 )
WinDump 實作 -SSH連線觀察
2-35
網路安全
封包擷取工具 - WinDump
bull 版本ndash 395
bull 支援作業平台ndash Windows 9598NT2000XP2003
bull 其他需求ndash 安裝WinPcap 31 以上版本
bull 下載位址ndash httpwwwwinpcaporgwindumpinstallbin
windump_3_9_5WinDumpexe
2-36
網路安全
其他需求工具 - WinPcap
bull 版本ndash 402 stable
bull 支援作業平台ndash Windows NT42000
Windows XP2003Vista (x86 and x64)Windows Server 2008 (x86 and x64)
bull 下載位址ndash httpwwwwinpcaporginstallbin
WinPcap_4_0_2exe
2-37
網路安全
WinPcap 安裝步驟bull WinPcap 下載完成後即可進行安裝bull 安裝畫面如下點選 Next按鈕繼續下一步
2-38
網路安全
WinDump與WinPcap測試bull 請將下載的 WinDumpexe 檔案存放至 C
Windowssystem32 的目錄之下bull 測試WinDump及WinPcap 是否可運作
ndash 點選開始 -gt 程式集 -gt附屬應用程式 -gt命令提示字元 -gt 輸入「 windump 」按下 Enter 即會出現「 windump listening on DeviceNPF_GenericDialupAdapter」的訊息代表WinDump及WinPcap 安裝成功且可運作
ndash 停止監聽按「 Ctrl + C」將顯示擷取封包的數量
2-39
網路安全
參數 說明-c 指定收到的封包數目當達到該數目時 Tcpdump 即會停止-d 把編譯過的封包編碼轉碼成可閱讀的格式放置於標準輸出-dd 把編譯過的封包編碼轉碼成 C 語言的格式放置於標準輸出-ddd 把編譯過的封包編碼轉碼成十進位的格式放置於標準輸出-F 從所指定的文件中讀取運算式進而忽略其他運算式-f 用數字顯示 IP 位址 -i 指定擷取封包的網路介面 -w 將擷取的封包直接寫入檔案當中不做分析與顯示於畫面
參數 說明-r 從指定的檔案文件中讀取資料該檔案文件由 -w 所製造出來-v 顯示詳細的封包資訊多了 TTL 及服務類型-s 設定每一個封包的大小-S 用絕對數並非相對數的值列出 TCP 連接數-tt 顯示出原始時間並且為不格式化的時間-n 不進行 IP Address 到 Domain
Name 的轉換-nn 不進行 Port 的轉換如 22 就是
ssh
-x 用十六進位字碼列出封包資料
WinDump相關參數列表
2-40
網路安全
WinDump 簡易使用操作說明bull 語法 windump 參數bull 查看目前系統可使用的網卡介面
ndash windump -Dbull 透過查看網卡介面以利後續監聽之用
2-41
網路安全
WinDump 簡易使用操作說明 (續 )
bull WinDump -i 網卡介面代號 -c 擷取封包數量 port 通訊埠
bull 例 WinDump -i 2 -c 10 port 80
2-42
網路安全
WinDump 簡易使用操作說明 (續 )
bull 因於命令提示字元視窗內所顯示的資訊不易閱讀可透過下列指令將其所擷取的資訊導向至檔案bull Windump -i 網卡介面代號 gt 檔名
ndash windump -i 2 -c 10 -w message port 80ndash windump -r message gt messagetxtndash windump -i 2 -c 10 port 80 gt messagetxt
2-43
網路安全
WinDump 簡易使用操作說明 (續 )
112338326205 此為封包被擷取的時間『 HHMMSSfraction』的單位IP 透過的通訊協定是 IPwinser 1099 gt w1wwwviptw1yahoocomtw80 代表的是傳送端是 winser 傳送的通訊埠為 1099 大於 (gt) 的符號指的是封包的傳輸方向 w1wwwviptw1yahoocomtw 為接收端 80 為接收埠
P(PUSH) 為資料傳輸標誌且傳輸的資料為整體資料的 1~ 699 byte 所以這個封包帶有 698 bytes 的資料量 ack 1 win 65535 ACK與Window size 的相關資料2-44
網路安全
bull 以 Testbed建立一實驗相關拓樸及設定如下圖SSHClientOSWINXP-SP3-CH-pc3000 IP 10113安裝軟體 putty
SSHServerOSWINXP-SP3-CH-pc3000IP 10123安裝軟體 sshd
實驗環境介紹
2-45
IP1
IP2
WireDumpOSWINXP-SP3-CH-pc3000IP1 10112IP2 10122安裝軟體 WinDump
網路安全
實驗拓樸 on TestbedTWISC- 建立完成的實驗拓樸
2-46
網路安全
SSH連線觀察bull 利用 Putty連線到 SSHServer從中觀察到三向交握建立連線的動作從 SSHClient 端利用 putty連線到SSHServer(10123)的 sshd服務
2-47
網路安全
SSH連線觀察 (續 )
bull SSH 在連線之前會利用三向交握的方式建立連線bull 利用 WinDump觀察 SSH連線動作
ndash 指令 WinDumpexe -N -S -i 4 port 22
三向交握的三個封包三向交握示意圖Server lt- Client SYN 你想連線Server -gt Client SYN ACK 可以我接受Server lt- Client ACK 謝謝
2-48
網路安全
架設實作 (二 )
FTP 擷取密碼案例
2-49
網路安全
FTPClientOSWINXP-SP3-pc3000IP 10112安裝軟體 FileZilla
FTPServerOSWINXP-SP3-pc3000IP 10123安裝軟體 RaidenFTPD
實驗環境介紹bull 以 Testbed建立一實驗相關拓樸及設定如下圖
2-50
IP1IP2
WireSharkOSWINXP-SP3-pc3000IP1 10113IP2 10122安裝軟體 Wireshark
網路安全
實驗拓樸 on TestbedTWISC- 建立完成的實驗拓樸
2-51
網路安全
FTP伺服器工具 - RaidenFTPD
bull 版本ndash 24 build 3720
bull 支援作業平台ndash Windows
bull 下載位址ndash httpwwwraidenmaildcomdownloadraidenftpd2exe
2-52
網路安全
RaidenFTPD 安裝步驟bull 下載Windows平台最新版本檔案下載完成後執行該安裝程式
2-53
網路安全
RaidenFTPD 安裝步驟 (續 )
bull 此步驟使用預設路徑即可按下 Install 進行安裝
2-54
網路安全
RaidenFTPD設定步驟bull 程式開啟畫面如下選擇 Click here to start a new
server 進行 FTP伺服器設定
2-55
網路安全
RaidenFTPD設定步驟 (續 )
bull 此處可設定 Server name與 Server IP 將 Auto IP 取消勾選並將 Server IP設為 10123
2-56
網路安全
RaidenFTPD設定步驟 (續 )
bull 接下來的步驟依照預設值即可
2-57
網路安全
RaidenFTPD設定步驟 (續 )
bull 設定人員帳號與群組按下 Add鈕輸入帳號密碼群組名稱可略過完成後按下 Next 進行下一步驟
2-58
網路安全
RaidenFTPD設定步驟 (續 )
bull 此步驟設定該帳號登入 FTP 時的權限選擇NORMAL 按下 Next 進行下一步驟
2-59
網路安全
RaidenFTPD設定步驟 (續 )
bull 接下來的步驟皆以預設值即可完成設定之後會出現對話視窗顯示您所設定的資訊
2-60
網路安全
FTP 用戶端工具 - Filezilla
bull 版本ndash 328
bull 支援作業平台ndash Windows Linux及Mac
bull 下載位址ndash httpsourceforgenetprojectsfilezillafiles
FileZilla_Client328FileZilla_328_win32zipdownload
2-61
網路安全
Filezilla 安裝步驟bull 執行 Filezilla 安裝程式點選 I agree 鈕
2-62
網路安全
Filezilla 安裝步驟 (續 )
bull 以預設值安裝點選兩次 Next 鈕
2-63
網路安全
Filezilla 安裝步驟 (續 )
bull 以預設值安裝點選 Next 鈕後再點選 Install 鈕
2-64
網路安全
Filezilla 安裝步驟 (續 )
bull 以預設值安裝點選 Next 鈕後再點選 Finish 鈕
2-65
網路安全
封包擷取工具 - Wireshark
bull 版本ndash 165
bull 支援作業平台ndash Windows Linux及 FreeBSD
bull 其他需求ndash 安裝WinPcap 31 以上版本
bull 下載位址ndash httpwiresharkdownloadsriverbedcomwireshark
win32wireshark-win32-165exe
2-66
網路安全
Wireshark 安裝步驟bull 至官方網站下載Windows平台最新版本檔案下載完成後執行該安裝程式
2-67
網路安全
Wireshark 安裝步驟 (續 )
bull 於下一步出現的版權宣告點選 I Agree鈕後繼續下一步驟
2-68
網路安全
Wireshark 安裝步驟 (續 )
bull 此步驟選擇欲安裝的元件以軟體預設勾選之項目安裝
2-69
網路安全
Wireshark 安裝步驟 (續 )
bull 此步驟使用預設路徑即可
2-70
網路安全
Wireshark 安裝步驟 (續 )
bull 此步驟將安裝Windows平台須加裝之套件 -WinPcap 若原系統未安裝過 WinPcap套件請以軟體預設項目安裝之
2-71
網路安全
Wireshark 安裝步驟 (續 )
bull 此步驟代表 Wireshark軟體已安裝完成可點選Finish 鈕或勾選 Run Wireshark 165 隨即使用該套軟體
2-72
網路安全
一般工具列Wireshark軟體介面介紹
2-73
篩選工具列封包清單窗格
封包內容窗格封包位元組窗格
網路安全
Wireshark 使用思考方向bull 遇到網路問題是否觀察網路通道中有異常動作或狀況
ndash 思考方向ndash 反應到擷取數據方法那麼以 Wireshark 擷取使用者需要擷取哪些數據這些數據由使用者電腦哪個裝置來擷取
bull Wireshark操作流程
bull 接下來我們進行軟體操作介紹
解決問題 擷取數據要先做什麼
擷取數據 擷取哪些數據( 過濾條件 )數據哪裡來( 網路介面卡 )
2-74
網路安全
數據哪裡來 - Capture功能bull 一開啟方式
ndash 1 點選快速鈕如紅色圈所示ndash 2 點選 Capture功能表 下拉選單後點選 Optionsndash 3鍵盤快速鍵 Ctrl + K
2-75
網路安全
數據哪裡來 - Capture功能 (續 )
bull 二開啟後顯示 Capture Options 的視窗畫面即可看到所提供的擷取功能選項
2-76
網路安全
數據哪裡來 - Capture功能 (續 )
bull Capture Options 常用的欄位設定ndash Caputure 框
bull 1Interface 會顯示出在系統上所有網路卡但只能選取一個介面作為封包擷取bull 2Capture packets in promiscuous mode 選取此選項就是經過所選取的網路卡的所有封包都會被擷取下來bull 3Capture Filter 指定擷取過濾器運算式擷取想要的特定封包即為擷取中過濾之功能
2-77
網路安全
數據哪裡來 - Capture功能 (續 )
bull Capture Options 常用的欄位設定ndash Display Options 框
bull Update list of packets in real time 指定在擷取封包過程中能夠即時更新已擷取封包清單窗格視窗中的封包資訊若取消則軟體主視窗更新畫面是沒有動作的
2-78
網路安全
bull Capture Options 常用的欄位設定ndash Name Resolution框
bull 1 Enable MAC name resolution 指定是否將網路卡MAC address 的前三個位元組轉換成製造商名稱
bull 2 Enable network name resolution 指定是否將 IP address轉換成 DNS 網域名稱
bull 3 Enable transport name resolution 指定是否將通信埠號碼 (port numbers)轉成協定名稱 (protocols)bull 各位了解數據從哪裡擷取的概念與操作之後即可以進一步加上附帶條件 (篩選條件 ) 等相關操作方式
數據哪裡來 - Capture功能 (續 )
2-79
網路安全
Wireshark操作手法bull 延續遇到問題的思考方向及軟體操作手法我們可以將操作流程分為兩種
ndash 擷取中過濾 (Filter while capturing)bull 優點僅擷取已知範圍資訊網路流量少bull 缺點需先了解問題類型避免可能有遺漏真正欲擷取資訊之狀況
ndash 檢視中過濾 (Filter packets while viewing)bull 優點不用先預設條件擷取所有封包資訊bull 缺點影響網路流量
先預設欲擷取條件 擷取數據
擷取數據 再篩選欲查詢數據2-80
網路安全
Wireshark操作手法 - 擷取中過濾bull 操作步驟
ndash 點選 Capture 下拉視窗選擇 Capture Filters 即呈現此視窗
bull 操作範例ndash 1於 Filter窗格中選擇 IP
Address 10112ndash 2於 Properties窗格中即顯示該選項的設定值如圖所示為 host 10112ndash 3 即可設定軟體僅針對
10112 的封包作擷取動作 延伸操作思考1 改變 Filter string 值得到什麼結果2 點選 Edit 窗格中的 New 鈕 新增自訂條件 2-81
網路安全
Wireshark操作手法 - 檢視中過濾bull 此步驟即以已擷取封包清單窗格為基礎以過濾條件過濾該清單bull 可直接選擇軟體預設項目如以下操作
ndash 操作步驟bull 點選 Analyze 下拉視窗選擇
Display Filters 即呈現此視窗ndash 操作範例
bull 1於 Filter窗格中選擇 IP Address 10112
bull 2於 Properties窗格中即顯示該選項的設定值如圖所示值為host 10112
bull 3 即可設定軟體僅針對 10112的封包作顯示動作 延伸操作思考1 可否進行進一步自訂設定值
2-82
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 若電腦 IP為 10112 欲篩選出 IP 來源為上述 IP 且協定為 TCP 80port 的所有封包ndash 操作步驟
bull 點選 Expression鈕即出現此視窗ndash 1於 Field name框選擇
IP項目中的 ipsrc - Source
ndash 2於 Relation框選擇 ==ndash 3於 Value [IPV4
address]填 入 10112ndash 4 點選 OK鈕 進階思考方式須考慮到例如是來源資訊是目標資訊是什麼協定等更細部所要之條件
2-83
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 再進行第二篩選條件ndash TCP 80 port
bull 操作步驟ndash 1先於 Filter string 輸入文字框「 ipsrc==
10112」後再加上一個空格及「 and 」再進行一次 Expression條件選擇
2-84
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
ndash 2於 Field name框選擇「 tcpdstport」ndash 3於 Relation框選擇「 ==」ndash 4於 Value框填入「 80」ndash 5 選擇「 OK」鈕
2-85
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 注意 Propeties框內的Filter string欄位值已改變為「 ipsrc == 10112 and tcpdstport == 80」
bull 確認條件正確後點選「 OK 」鈕即可發現已擷取封包清單窗格的項目均為所設定過濾條件過濾過結果2-86
網路安全
bull 可單選單一封包進行更進階查詢封包內容bull 操作方式為
ndash 點選其中一項封包項目點選滑鼠右鍵選擇Follow TCP Stream
Wireshark操作手法 - 檢視中過濾 (續 )
2-87
網路安全
ndash 此畫面即可看出該項 TCP 封包溝通內容Wireshark操作手法 - 檢視中過濾 (續 )
2-88
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 此功能將所擷取的封包清單使用多種方式呈現封包統計資料便於使用者查詢擷取時間內何種封包數量多寡及圖型顯示bull 操作步驟點選 Statistics 下拉視窗即呈現此視窗 顯示有關擷取清單的摘要以階梯式通訊協定列表顯示所擷取的所有封包
在特定 IP間顯示通訊流量顯示單一 IP 來往封包的流量
以時間軸顯示視覺化封包流量圖2-89
網路安全
bull 可查看到一時段內其封包總數與平均每秒傳遞接收封包數等相關資訊讓使用者了解平均一時段內網路流量狀況藉以初步獲得資訊
Wireshark操作手法 - 檢視中過濾 (續 )
2-90
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 讓使用者可透過階梯式封包分類表來查看哪一類封包佔為居多可進一步推測是否該類型封包影響到整體網路或是否有異常或不常見封包類型在網路中傳遞
2-91
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 將該擷取時段內封包清單檔以兩個特定 IP 之間對傳封包為區隔顯示出哪兩個特定 IP間傳遞封包數多寡bull 可讓使用者更進一步研判兩個特定 IP所屬設備傳遞狀況是否異常
2-92
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 將該擷取時段內封包清單檔以特定IP 傳遞封包數為區隔顯示出哪特定IP 傳遞封包數多寡
bull 可讓使用者更進一步研判該特定所屬設備傳遞封包數是否異常作為管制緊急管制或禁止通訊之證明2-93
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 以時間軸顯示視覺化封包流量圖bull 讓使用者可觀察所管理設備資訊流通量以了解設備是否能負荷或作相關調整等處置
2-94
網路安全
FTP 擷取密碼案例bull 於Wireshark軟體選擇 Capture 下拉選單功能項點選 Interfaces 選項
2-95
網路安全
FTP 擷取密碼案例 (續 )
bull 確認欲擷取封包之網卡名稱如紅色底線所示確認後點選 Start鈕
2-96
網路安全
FTP 擷取密碼案例 (續 )
bull 切換至 FTP Client 電腦開啟 FileZilla 程式後連線到 FTP Server 於 Host 填入10123 Username填入 tester Password填入testpw 後點選 Quickconnect鈕
2-97
網路安全
FTP 擷取密碼案例 (續 )
bull 擷取到的封包資訊會顯示於已擷取封包清單窗格內
2-98
網路安全
FTP 擷取密碼案例 (續 )
bull 使用 FTP軟體登入 ftp站後 Wireshark 將擷取到的使用者名稱與密碼如紅框所示
2-99
網路安全
FTP 擷取密碼案例 (續 )
bull 點選已擷取封包清單窗格的密碼資訊列如標示1 的紅框所示即可在封包內容窗格看到該密碼的位元碼如標示 2 的紅框所示
1
2
2-100
網路安全
架設實作 (三 )
Outlook Express 擷取密碼案例
2-101
網路安全
實驗環境介紹bull 以 Testbed建立一實驗相關拓樸及設定如下圖
OEClientOSWindows XP SP3IP 10112執行 Outlook Express
MailServerOSWindows XP SP3IP 10122安裝軟體 ArGoSoft Mail Server
2-102
WiresharkOSWindows XP SP3IP1 10113 IP2 10123安裝軟體 Wireshark
IP1IP2
網路安全
實驗拓樸 on TestbedTWISC- 建立完成的實驗拓樸
2-103
網路安全
郵件伺服器工具 - ArGoSoft Mail Server
bull 版本ndash 1892 Freeware
bull 支援作業平台ndash Windows
bull 下載位址ndash httpwwwsoftkingcomtwsoftdownloadaspfid3=7367
2-104
網路安全
郵件客戶端工具 - Outlook Express
bull 版本ndash 60
bull 支援作業平台ndash Windows
bull 下載位址ndash Windows 內建
2-105
網路安全
bull 安裝及設定郵件伺服器ndash 1下載並執行 ArGoSoft Mail Server軟體點選
Setup鈕
Outlook Express 擷取密碼案例
2-106
網路安全
ndash 1 點選 Next鈕ndash 2 點選 Start Installation鈕
Outlook Express 擷取密碼案例 (續 )
2-107
網路安全
ndash 3 點選 OK鈕ndash 4 點選 Finish鈕完成軟體安裝
Outlook Express 擷取密碼案例 (續 )
2-108
網路安全
ndash 5 點選使用者設定鈕如紅圈所示ndash 6 點選新增鈕如紅框所示
Outlook Express 擷取密碼案例 (續 )
2-109
網路安全
ndash 7填入使用者名稱 (tester) 及密碼 (testpw) 如紅圈所示填寫完成後點選 OK鈕ndash 8 點選 Close鈕關閉使用者設定視窗
Outlook Express 擷取密碼案例 (續 )
2-110
網路安全
ndash 9 點選選項鈕如左側圖中紅色圈所示ndash 10 點選紅色打勾鈕如右側圖中紅色圈所示
2-111
Outlook Express 擷取密碼案例 (續 )
網路安全
ndash 11該軟體會自動選取 DNS Server 待選取後點選 Yes鈕ndash 12 勾選 Allow Relay 選項如紅框所示
2-112
Outlook Express 擷取密碼案例 (續 )
網路安全
Outlook Express 擷取密碼案例 (續 )
bull 設定收信帳號ndash 1 點選 Tools功能選單選擇 Accounts 選項
2-113
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 2 點選 Add鈕選擇 Mail 選項
2-114
網路安全
ndash 3填入 tester 點選 Next鈕ndash 4填入 testertestcom 點選 Next鈕
Outlook Express 擷取密碼案例 (續 )
2-115
網路安全
ndash 5填入 10123 如紅框所示點選 Next鈕ndash 6填入帳號為 tester 及密碼為 testpw 點選 Next鈕
Outlook Express 擷取密碼案例 (續 )
2-116
網路安全
ndash 7 點選 Finish鈕ndash 8 點選 Close鈕
Outlook Express 擷取密碼案例 (續 )
2-117
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 模擬條件準備好後首先準備Wireshark 擷取動作開啟Wireshark
2-118
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 於Wireshark軟體選擇 Capture 下拉選單功能項點選 Interfaces 選項
2-119
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 確認欲擷取封包之網卡名稱如紅色底線所示確認後點選 Start鈕
2-120
網路安全
ndash 當使用者收發 email 時即被 Wireshark攔截封包ndash 有發現到該 Outlook Express帳號密碼是如此清晰可見的嗎
Outlook Express 擷取密碼案例 (續 )
2-121
網路安全
結論bull 學習了 Wireshark及WinDump 兩套網路封包擷取軟體基本概念如同電話側錄概念相同從中複製一連串資訊來分析與了解網路的流量及內容為何bull 當你發現網路速度緩慢等狀況你是否會反應到所學的基本概念來找尋問題所在bull 防範概念由此課程的實例可以了解網路內容如被有心人士擷取所造成的損失相當可觀故你是否有對策有哪些方式你可以應用來防範bull 正確的思考善用對的工具將對解決問題事半功倍
2-122
網路安全 2-123
Module 2-5 封包擷取與分析的專案實作()
網路安全
專案目的bull 建立遠端管理傳遞指令資訊環境bull 利用實際攔截封包操作的方式讓同學了解封包擷取運作與網路資訊流通的顧慮等相關議題
2-124
網路安全
專案描述bull 近年來遠端管理伺服器及網路服務普及光是密碼保護就足夠了嗎是否重點網段須全程加密還是作網段隔離經由此專案實作即可了解不僅部分加密仍有其風險所在網路架構如何規劃將是非常重要的課題bull 參考環境配置圖完成下列要求①環境裡的攔截封包主機是 Windows XP SP3 作業系統而該主機安裝Wireshark軟體②另兩台主機的作業系統亦是 Windows XP SP3 並裝上
MySQL軟體 MySQL帳號為 root 密碼為您的學號 (如 Q3896105)
③在MySQLClient 電腦使用 MySQL Commandline 指令連線至MySQLServer 擷取資料庫資訊
④我們針對這兩台主機傳訊的封包擷取由整個實做中思考如何防範資訊外洩與了解傳訊封包如何流動及運作2-125
網路安全
環境配置圖bull 以 Testbed建立一實驗相關拓樸及設定如下圖
MySQLServerOSWINXP-SP3-CH-pc3000 IP 10123安裝軟體 MySQL
MySQLClientOSWINXP-SP3-CH-pc3000 IP 10112安裝軟體 MySQL
2-126
WireSharkOSWINXP-SP3-CH-pc3000 IP1 10113IP2 10122安裝軟體 Wireshark
IP1IP2
網路安全
作業繳交bull 請參考情境測試發送數個 SQL 指令並將過程與擷取到的封包資訊之截圖列於報告中所有圖表皆需要輔以文字說明bull Deadline 2012312 下午 500 以前bull 作業範圍 Module 2-5 (page 2-128)bull 方式 (參考課程網址 )
ndash 帳號密碼小寫的 (ns100ns100)ndash IP 140116164167
2-127
網路安全
有問題嗎
bull 關於 TestBed 使用上的問題請直接 Email至 twisc-testbed-usergooglegroupscom 將有專人為您服務bull 課程網址
httpitlabeenckuedutwcoursesNS_100indexhtml
2-128
bull 助教資訊 (參考課程網址 )
網路安全
參考資料bull Dienet httplinuxdienetman1wiresharkbull Orebaugh Angela Ramirez Gilbert Burke Josh Pesce Larry Wright
Joshua(2007) Wireshark and Ethereal network protocol analyzer toolkitbull Tony Fortunato(2007) Wireshark Training Retrieved July 22 2009 from
the World Wide Web httpwwwthetechfirmcometherealwiresharkpdfbull WinDump httpwwwwinpcaporgWinDumpbull Wireshark httpwwwwiresharkorgbull Wireshark University httpwwwwiresharktrainingcombull 楊中皇 (民 97年 ) 網路安全理論與實務 (2版 ) 台北市學貫bull 蘇淑茵教授 Wireshark 民國 98年 6月 28日取自 httpmywebnckuedutw~sisou
2-129
網路安全
Module 2 封包擷取與分析實習bull Module 2-1 封包簡介 ()bull Module 2-2 封包結構與通訊協定 ()bull Module 2-3 封包擷取工具介紹 ()bull Module 2-4 封包擷取工具的實務 ()bull Module 2-5 封包擷取與分析的專案實作 ()
2-3
初級 (basic) 基礎性教材內容 中級 (moderate) 教師依據學生的吸收情況選擇性介紹本節的內容 高級 (advanced) 適用於深入研究的內容
網路安全
Module 2-1 封包簡介 ()
2-4
網路安全
封包 (Packet) 是什麼bull 維基百科解釋封包指的是在封包交換網路中傳輸的格式化數據塊是基本的信息單位bull 封包主要由控制訊息 (control information) 與使用者資料 (user data) 所構成
ndash 以 IP 封包為例bull 控制訊息標頭檔 (header) 部份包含來源位置與目標位置等資訊bull 使用者資料內容 (message) 部分包含實際使用者所要傳遞的訊息
2-5
網路安全
封包定義bull 依照 CCITT( 國際電報電話諮詢委員會 ) 對封包的解釋封包是一段數位訊號的集合通常包括使用者資料及控制訊息兩部份bull 使用者資料真正所要傳送的內容bull 控制訊息包括如傳送端與接收端的位址封包前後次序的編號以及一些錯誤控制碼等
2-6
控制訊息
目的位址 來源位址
資料封包內容圖
網路安全
封包介紹 bull 在網路中進行傳輸的最小資訊單位bull 封包在網路上傳送的速度較快而且在傳輸過程中不會妨礙其他網路封包的傳輸當任何封包發生錯誤時只有錯誤的封包必須重新傳送而不是整個資料重傳
2-7
網路安全
封包 VS 資料bull 欲傳輸一個較大的資料例 2100 Bytes 之文字檔在傳輸上為了方便通常會將此資料切割成若干個段落如下表示
bull 每個段落即為一個封包2-8
Flag=01 Length=2099
Flag=00 Length=1587
Flag=00 Length=1075
Flag=00 Length=563
Flag=10 Length=51
Flag=11 Length=2099
來源資料 = 2106 octets2100 octets
512 octets
512 octets
512 octets
512 octets
52octets
第一段落持續段落 1
持續段落 2
持續段落 3
最後段落
PH
SH
SH
SH
SH
SH
PH = 來源資料的主要檔頭SH = 段落檔頭
網路安全
區段 內容 說明表頭區(header)
警告訊號 警告訊號用來顯示接受端訊息已開始傳送時脈是使雙方同步傳輸過程且顯示來源電腦和目的電腦的位址
來源位置目的位置時脈
資料區(data
block)資料 存放實際傳輸資料能存放的資料大小約
512到 4K Bytes 由於無法存放太大的資料因此資料傳輸時會被切割為封包
表尾區(trailer)
循環檢查碼循環檢查的相關檢查碼 (CRC) 是利用演算公式計算出來當接收端收到封包時為了確定資料是否正確會將封包中的資料利用演算公式重新計算一次結果必須和相關檢查碼相同表示傳輸的資料才正確
封包構成區段
2-9
網路安全
資料切割成封包傳輸的原因bull 避免網路阻塞如果直接將資料傳送到網路上由於資料太大會造成網路的擁擠其它電腦都會因為等待這台電腦傳輸資料而無法工作
A H
B
C
E
F
網路阻塞示意圖
資料 1 傳遞中
DG
欲傳輸資料資料 2資料 1
資料 3
資料 1
完成傳輸資料
2-10
網路安全
資料切割成封包傳輸的原因 (續 )
bull 可多路徑傳遞當網路較複雜時兩台電腦之間的通訊路徑就不只一個資料拆成封包後可以透過路由 (Routing)走不同的路徑到達目的地然後再組合起來加快傳遞速度一般路徑傳輸藍色路徑 A gt B gt D gt F封包 1 已傳輸封包 2 欲傳輸 D 點發生忙碌時變更路徑傳輸綠色路徑 A gt B gt E gt F
A F
B
C
D
E封包 1
完成傳輸封包等待傳輸封包封包 2封包 1 多路徑傳遞示意圖
2-11
網路安全
路由 (Routing) 簡介bull 封包在網路上的傳輸是透過路由 (Routing) 將封包從來源位址傳輸到目的位址
bull 路由為網路 OSI七層中的網路層 (Network Layer) 所負責
2-12
應用層Application Layer
表現層Presentation Layer
交談層Session Layer
傳輸層Transport Layer
網路層Network Layer
資料連結層Data-Link Layer
實體層Physical Layer
網路安全
路由 (Routing) 簡介 (續 )
bull 路由器 (Router) 功用為分配引導封包傳遞如下個需經過之主機以完成封包傳遞bull 路由表 (Routing
Table) 一般來說路由器皆會存有路由表用來紀錄與儲存到達各個目的地之最佳路徑2-13
Network Distance Port Next Router Entry State
1 0 1 0 Good
2 1 2 Router 2 Good
Router2
Router1Port1
Port2Network1
Network2
Routing Table
網路安全
封包分組封包重組bull 一個資料若拆成若干個封包經過多路徑傳遞後因為網路狀況及路由器分配之傳遞路線不同先送出之封包不一定會先被收到bull 每個經拆解後的封包皆有他自己的編號接收端可依此編號將封包重組回原始資料bull 表頭 (Header) 即記載這些額外資訊
2-14
資料Part1資料Part2資料Part3
資料Part4
資料Part5
資料Part4
資料Part5
封包重組
拆出資料
網路安全
封包與生活中物件做比較bull 如果把封包比喻成信件它們之間是有一些類似的性質
ndash 信封就相當於封包的控制訊息內容包含收件人與寄件人的地址郵遞區號及信件類型 (平信限時及掛號 )ndash 信封內的文字部分 (郵差看不到的部分 )相當於使用者資料ndash 兩者較不同的地方是信件是在郵差在路上騎機車幫我們遞送信件封包是在網路上傳輸的
2-15
網路安全
封包與生活中物件做比較 (續 )
ndash 因為一些傳輸效率上的因素封包的傳遞過程是將信件分裝成一封一封小的信件使用相同的信封寄往目的地ndash 如果從安全性的角度來看封包與信件最大的不同點在於信件內容洩露的部分如果今天信件被拆封偷看收信人可從彌封部分看出個端倪但封包資訊是相當容易被複製與修改的目地端收到此封包是很難確保封包內容沒有被惡意者所偷窺與修改過
2-16
網路安全
了解封包進階思考bull 並非所有的通訊協定都有相同的欄位資料由於採用不同的通訊協定 (TCP與 UDP) 網路封包的結構都有些許的差異但了解基礎封裝方式即可推理各種不同的通訊協定bull 在實務上想要進行網路封包分析的原因有很多故首要先了解什麼是封包定義及其運作方式後再搭配合適的網路封包擷取程式來解決實務上所遇的問題
2-17
網路安全
Module 2-2 封包結構與通訊協定 ()
2-18
網路安全
bull 目前網路使用相當多不同類型的通訊協定下圖列舉出在 OSI 協定七層中常見的通訊協定bull 網路上有許多不安全的通訊協定且大多採用明碼方式傳送經常造成資訊外洩如
HTTP TELNET及 SMTP 等故必要時須顧慮到資訊安全的議題
PPP
IPARP
UDP TCP
TelnetFTPSMTP
SLIP
HTTP
網路 OSI七層常見通訊協定類型
2-19
網路安全
封包結構與傳輸過程Application
TCP
IP
DeviceDriver
SMTPTELNETFTP
TCPUDP
ARPRARPICMP
EthernetX25PPP
TCPIP 四層 常見通訊協定User Data
App Header
Application DataTCP Header
IP Header
Frame Header
Frame Trailer
User Data
Application Data
Application Data
TCP Header
TCP Header
IP Header
TCP Segment
IP Segment
Frame
封包封裝
Socket NetBIOS
2-20
網路安全
IP 表頭
2-21
0
Precedence(3 Bits)
Delay(1 Bit)
Throughout(1Bit)
Reliability(1 Bit)
Cost(1 Bit)
Reserved(1Bit)
Type Of Service(8 Bits)
=
Reserved(1 Bit)
Donrsquot Fragment
(1 Bit)
More Fragment
(1 Bit)
Flags(3 Bits)
=
Version(4 Bits)
IHL(4 Bits)
Total Length(16 Bits)
Identification(16 Bits)
Fragment Offset(13 Bits)
Time to Live(8 Bits)
Protocal(8Bits)
Header Checksum(16 Bits)
Source Address (32 Bits)
Destination Address (32 Bits)
Options (長度不定 ) Padding (長度不定 )
32
64
96
128
160
Type of Service(8Bits)
Flags(3
Bits)
網路安全
封包 header 實例
2-22
網路安全
封包擷取的原理
A電腦網路卡
目的地A封包
目的地B封包
被丟棄
2-23
網路安全
封包擷取的原理 (續 )
bull 為了監聽到其他使用者的封包監聽者會將網路卡修改為混亂模式 (Promiscuous) 混亂模式不會對目標 MAC 位置做檢查的動作而是將所收到的所有封包做接收的動作bull 藉由混亂模式就可以在 HUB 的區域網路環境中或無線網路的環境中擷取其他人的封包訊息
2-24
網路安全
Module 2-3 封包擷取工具介紹 ()
2-25
網路安全
封包擷取工具比較bull 商業軟體
ndash 優 有廠商維護支援性較佳ndash 缺 成本較高ndash 例 NetResident與 EtherDetect
bull 免費軟體ndash 優 成本較低ndash 缺 功能與使用說明較為簡略ndash 例 Wireshark與WinDump
2-26
網路安全
封包擷取工具 - WinDump
bull 一種開放原始碼的網路軟體工具為 Windows版的 tcpdumpbull 可以分析封包的流向並且對於封包的內容也可以進行 監聽 bull WinDump運算式是一種規則運算式利用一些條件來進行訊息的過濾當訊息滿足運算式的條件則會將其資訊捕獲如果沒有給出任何條件則網路上所有的資訊包將會被擷獲bull 例 WinDump -i interface -c 10 -n port 80 -w
filename
2-27
網路安全
封包擷取工具 - Wireshark
bull 開放原始碼軟體bull 起源於 1997年 Wireshark 的前身即為 Ethereal因為商標問題而改名成 Wiresharkbull 支援通訊協定多且完整使用圖形化的介面讓操作者容易上手過濾條件切割細密讓使用者可於乙太網路撈取且經數據過濾分析後的數據流bull 可由此軟體能夠擷取網路封包並盡可能顯示出最為詳細的網路封包資料提供各方應用
2-28
網路安全
網路存取函式庫 - WinPcap
bull WinPcap 是著名 Unix libpcap的Windows版本API
bull Pcap 是用來擷取封包的應用程式介面 (Application Programming Interface API)
bull 免費直接網路存取函式庫bull 許多網路應用軟體運行均須安裝此套函式庫如WiresharkWinDump Nmap及 Snort
2-29
網路安全
WinDump與Winpcab 示意圖bull 透過 WinDump及Winpcap 工具擷取並分析封包後再將資料蒐集至電腦設備中
2-30
乙太網路Ethernet
網路工具
Windump分析封包結構
Winpcap擷取並過濾封包
封包資訊
網路安全 2-31
Module 2-4 封包擷取的實務 ()
網路安全 2-32
Linux kernel packet processing
網路安全 2-33
網路安全
說明bull 架設實作 (一 ) 請將介紹如何安裝與使用
WinDump 依實驗拓樸請使用 WireDump 主機做安裝及測試bull 架設實作 (二 ) 請利用 Wireshark軟體對 FTP 進行封包擷取依實驗拓樸請使用 Wireshark 主機做安裝及測試bull 架設實作 (三 ) 請利用 Wireshark軟體對
Outlook Express進行封包擷取依實驗拓樸請使用 Wireshark 主機做安裝及測試2-34
網路安全
架設實作 (一 )
WinDump 實作 -SSH連線觀察
2-35
網路安全
封包擷取工具 - WinDump
bull 版本ndash 395
bull 支援作業平台ndash Windows 9598NT2000XP2003
bull 其他需求ndash 安裝WinPcap 31 以上版本
bull 下載位址ndash httpwwwwinpcaporgwindumpinstallbin
windump_3_9_5WinDumpexe
2-36
網路安全
其他需求工具 - WinPcap
bull 版本ndash 402 stable
bull 支援作業平台ndash Windows NT42000
Windows XP2003Vista (x86 and x64)Windows Server 2008 (x86 and x64)
bull 下載位址ndash httpwwwwinpcaporginstallbin
WinPcap_4_0_2exe
2-37
網路安全
WinPcap 安裝步驟bull WinPcap 下載完成後即可進行安裝bull 安裝畫面如下點選 Next按鈕繼續下一步
2-38
網路安全
WinDump與WinPcap測試bull 請將下載的 WinDumpexe 檔案存放至 C
Windowssystem32 的目錄之下bull 測試WinDump及WinPcap 是否可運作
ndash 點選開始 -gt 程式集 -gt附屬應用程式 -gt命令提示字元 -gt 輸入「 windump 」按下 Enter 即會出現「 windump listening on DeviceNPF_GenericDialupAdapter」的訊息代表WinDump及WinPcap 安裝成功且可運作
ndash 停止監聽按「 Ctrl + C」將顯示擷取封包的數量
2-39
網路安全
參數 說明-c 指定收到的封包數目當達到該數目時 Tcpdump 即會停止-d 把編譯過的封包編碼轉碼成可閱讀的格式放置於標準輸出-dd 把編譯過的封包編碼轉碼成 C 語言的格式放置於標準輸出-ddd 把編譯過的封包編碼轉碼成十進位的格式放置於標準輸出-F 從所指定的文件中讀取運算式進而忽略其他運算式-f 用數字顯示 IP 位址 -i 指定擷取封包的網路介面 -w 將擷取的封包直接寫入檔案當中不做分析與顯示於畫面
參數 說明-r 從指定的檔案文件中讀取資料該檔案文件由 -w 所製造出來-v 顯示詳細的封包資訊多了 TTL 及服務類型-s 設定每一個封包的大小-S 用絕對數並非相對數的值列出 TCP 連接數-tt 顯示出原始時間並且為不格式化的時間-n 不進行 IP Address 到 Domain
Name 的轉換-nn 不進行 Port 的轉換如 22 就是
ssh
-x 用十六進位字碼列出封包資料
WinDump相關參數列表
2-40
網路安全
WinDump 簡易使用操作說明bull 語法 windump 參數bull 查看目前系統可使用的網卡介面
ndash windump -Dbull 透過查看網卡介面以利後續監聽之用
2-41
網路安全
WinDump 簡易使用操作說明 (續 )
bull WinDump -i 網卡介面代號 -c 擷取封包數量 port 通訊埠
bull 例 WinDump -i 2 -c 10 port 80
2-42
網路安全
WinDump 簡易使用操作說明 (續 )
bull 因於命令提示字元視窗內所顯示的資訊不易閱讀可透過下列指令將其所擷取的資訊導向至檔案bull Windump -i 網卡介面代號 gt 檔名
ndash windump -i 2 -c 10 -w message port 80ndash windump -r message gt messagetxtndash windump -i 2 -c 10 port 80 gt messagetxt
2-43
網路安全
WinDump 簡易使用操作說明 (續 )
112338326205 此為封包被擷取的時間『 HHMMSSfraction』的單位IP 透過的通訊協定是 IPwinser 1099 gt w1wwwviptw1yahoocomtw80 代表的是傳送端是 winser 傳送的通訊埠為 1099 大於 (gt) 的符號指的是封包的傳輸方向 w1wwwviptw1yahoocomtw 為接收端 80 為接收埠
P(PUSH) 為資料傳輸標誌且傳輸的資料為整體資料的 1~ 699 byte 所以這個封包帶有 698 bytes 的資料量 ack 1 win 65535 ACK與Window size 的相關資料2-44
網路安全
bull 以 Testbed建立一實驗相關拓樸及設定如下圖SSHClientOSWINXP-SP3-CH-pc3000 IP 10113安裝軟體 putty
SSHServerOSWINXP-SP3-CH-pc3000IP 10123安裝軟體 sshd
實驗環境介紹
2-45
IP1
IP2
WireDumpOSWINXP-SP3-CH-pc3000IP1 10112IP2 10122安裝軟體 WinDump
網路安全
實驗拓樸 on TestbedTWISC- 建立完成的實驗拓樸
2-46
網路安全
SSH連線觀察bull 利用 Putty連線到 SSHServer從中觀察到三向交握建立連線的動作從 SSHClient 端利用 putty連線到SSHServer(10123)的 sshd服務
2-47
網路安全
SSH連線觀察 (續 )
bull SSH 在連線之前會利用三向交握的方式建立連線bull 利用 WinDump觀察 SSH連線動作
ndash 指令 WinDumpexe -N -S -i 4 port 22
三向交握的三個封包三向交握示意圖Server lt- Client SYN 你想連線Server -gt Client SYN ACK 可以我接受Server lt- Client ACK 謝謝
2-48
網路安全
架設實作 (二 )
FTP 擷取密碼案例
2-49
網路安全
FTPClientOSWINXP-SP3-pc3000IP 10112安裝軟體 FileZilla
FTPServerOSWINXP-SP3-pc3000IP 10123安裝軟體 RaidenFTPD
實驗環境介紹bull 以 Testbed建立一實驗相關拓樸及設定如下圖
2-50
IP1IP2
WireSharkOSWINXP-SP3-pc3000IP1 10113IP2 10122安裝軟體 Wireshark
網路安全
實驗拓樸 on TestbedTWISC- 建立完成的實驗拓樸
2-51
網路安全
FTP伺服器工具 - RaidenFTPD
bull 版本ndash 24 build 3720
bull 支援作業平台ndash Windows
bull 下載位址ndash httpwwwraidenmaildcomdownloadraidenftpd2exe
2-52
網路安全
RaidenFTPD 安裝步驟bull 下載Windows平台最新版本檔案下載完成後執行該安裝程式
2-53
網路安全
RaidenFTPD 安裝步驟 (續 )
bull 此步驟使用預設路徑即可按下 Install 進行安裝
2-54
網路安全
RaidenFTPD設定步驟bull 程式開啟畫面如下選擇 Click here to start a new
server 進行 FTP伺服器設定
2-55
網路安全
RaidenFTPD設定步驟 (續 )
bull 此處可設定 Server name與 Server IP 將 Auto IP 取消勾選並將 Server IP設為 10123
2-56
網路安全
RaidenFTPD設定步驟 (續 )
bull 接下來的步驟依照預設值即可
2-57
網路安全
RaidenFTPD設定步驟 (續 )
bull 設定人員帳號與群組按下 Add鈕輸入帳號密碼群組名稱可略過完成後按下 Next 進行下一步驟
2-58
網路安全
RaidenFTPD設定步驟 (續 )
bull 此步驟設定該帳號登入 FTP 時的權限選擇NORMAL 按下 Next 進行下一步驟
2-59
網路安全
RaidenFTPD設定步驟 (續 )
bull 接下來的步驟皆以預設值即可完成設定之後會出現對話視窗顯示您所設定的資訊
2-60
網路安全
FTP 用戶端工具 - Filezilla
bull 版本ndash 328
bull 支援作業平台ndash Windows Linux及Mac
bull 下載位址ndash httpsourceforgenetprojectsfilezillafiles
FileZilla_Client328FileZilla_328_win32zipdownload
2-61
網路安全
Filezilla 安裝步驟bull 執行 Filezilla 安裝程式點選 I agree 鈕
2-62
網路安全
Filezilla 安裝步驟 (續 )
bull 以預設值安裝點選兩次 Next 鈕
2-63
網路安全
Filezilla 安裝步驟 (續 )
bull 以預設值安裝點選 Next 鈕後再點選 Install 鈕
2-64
網路安全
Filezilla 安裝步驟 (續 )
bull 以預設值安裝點選 Next 鈕後再點選 Finish 鈕
2-65
網路安全
封包擷取工具 - Wireshark
bull 版本ndash 165
bull 支援作業平台ndash Windows Linux及 FreeBSD
bull 其他需求ndash 安裝WinPcap 31 以上版本
bull 下載位址ndash httpwiresharkdownloadsriverbedcomwireshark
win32wireshark-win32-165exe
2-66
網路安全
Wireshark 安裝步驟bull 至官方網站下載Windows平台最新版本檔案下載完成後執行該安裝程式
2-67
網路安全
Wireshark 安裝步驟 (續 )
bull 於下一步出現的版權宣告點選 I Agree鈕後繼續下一步驟
2-68
網路安全
Wireshark 安裝步驟 (續 )
bull 此步驟選擇欲安裝的元件以軟體預設勾選之項目安裝
2-69
網路安全
Wireshark 安裝步驟 (續 )
bull 此步驟使用預設路徑即可
2-70
網路安全
Wireshark 安裝步驟 (續 )
bull 此步驟將安裝Windows平台須加裝之套件 -WinPcap 若原系統未安裝過 WinPcap套件請以軟體預設項目安裝之
2-71
網路安全
Wireshark 安裝步驟 (續 )
bull 此步驟代表 Wireshark軟體已安裝完成可點選Finish 鈕或勾選 Run Wireshark 165 隨即使用該套軟體
2-72
網路安全
一般工具列Wireshark軟體介面介紹
2-73
篩選工具列封包清單窗格
封包內容窗格封包位元組窗格
網路安全
Wireshark 使用思考方向bull 遇到網路問題是否觀察網路通道中有異常動作或狀況
ndash 思考方向ndash 反應到擷取數據方法那麼以 Wireshark 擷取使用者需要擷取哪些數據這些數據由使用者電腦哪個裝置來擷取
bull Wireshark操作流程
bull 接下來我們進行軟體操作介紹
解決問題 擷取數據要先做什麼
擷取數據 擷取哪些數據( 過濾條件 )數據哪裡來( 網路介面卡 )
2-74
網路安全
數據哪裡來 - Capture功能bull 一開啟方式
ndash 1 點選快速鈕如紅色圈所示ndash 2 點選 Capture功能表 下拉選單後點選 Optionsndash 3鍵盤快速鍵 Ctrl + K
2-75
網路安全
數據哪裡來 - Capture功能 (續 )
bull 二開啟後顯示 Capture Options 的視窗畫面即可看到所提供的擷取功能選項
2-76
網路安全
數據哪裡來 - Capture功能 (續 )
bull Capture Options 常用的欄位設定ndash Caputure 框
bull 1Interface 會顯示出在系統上所有網路卡但只能選取一個介面作為封包擷取bull 2Capture packets in promiscuous mode 選取此選項就是經過所選取的網路卡的所有封包都會被擷取下來bull 3Capture Filter 指定擷取過濾器運算式擷取想要的特定封包即為擷取中過濾之功能
2-77
網路安全
數據哪裡來 - Capture功能 (續 )
bull Capture Options 常用的欄位設定ndash Display Options 框
bull Update list of packets in real time 指定在擷取封包過程中能夠即時更新已擷取封包清單窗格視窗中的封包資訊若取消則軟體主視窗更新畫面是沒有動作的
2-78
網路安全
bull Capture Options 常用的欄位設定ndash Name Resolution框
bull 1 Enable MAC name resolution 指定是否將網路卡MAC address 的前三個位元組轉換成製造商名稱
bull 2 Enable network name resolution 指定是否將 IP address轉換成 DNS 網域名稱
bull 3 Enable transport name resolution 指定是否將通信埠號碼 (port numbers)轉成協定名稱 (protocols)bull 各位了解數據從哪裡擷取的概念與操作之後即可以進一步加上附帶條件 (篩選條件 ) 等相關操作方式
數據哪裡來 - Capture功能 (續 )
2-79
網路安全
Wireshark操作手法bull 延續遇到問題的思考方向及軟體操作手法我們可以將操作流程分為兩種
ndash 擷取中過濾 (Filter while capturing)bull 優點僅擷取已知範圍資訊網路流量少bull 缺點需先了解問題類型避免可能有遺漏真正欲擷取資訊之狀況
ndash 檢視中過濾 (Filter packets while viewing)bull 優點不用先預設條件擷取所有封包資訊bull 缺點影響網路流量
先預設欲擷取條件 擷取數據
擷取數據 再篩選欲查詢數據2-80
網路安全
Wireshark操作手法 - 擷取中過濾bull 操作步驟
ndash 點選 Capture 下拉視窗選擇 Capture Filters 即呈現此視窗
bull 操作範例ndash 1於 Filter窗格中選擇 IP
Address 10112ndash 2於 Properties窗格中即顯示該選項的設定值如圖所示為 host 10112ndash 3 即可設定軟體僅針對
10112 的封包作擷取動作 延伸操作思考1 改變 Filter string 值得到什麼結果2 點選 Edit 窗格中的 New 鈕 新增自訂條件 2-81
網路安全
Wireshark操作手法 - 檢視中過濾bull 此步驟即以已擷取封包清單窗格為基礎以過濾條件過濾該清單bull 可直接選擇軟體預設項目如以下操作
ndash 操作步驟bull 點選 Analyze 下拉視窗選擇
Display Filters 即呈現此視窗ndash 操作範例
bull 1於 Filter窗格中選擇 IP Address 10112
bull 2於 Properties窗格中即顯示該選項的設定值如圖所示值為host 10112
bull 3 即可設定軟體僅針對 10112的封包作顯示動作 延伸操作思考1 可否進行進一步自訂設定值
2-82
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 若電腦 IP為 10112 欲篩選出 IP 來源為上述 IP 且協定為 TCP 80port 的所有封包ndash 操作步驟
bull 點選 Expression鈕即出現此視窗ndash 1於 Field name框選擇
IP項目中的 ipsrc - Source
ndash 2於 Relation框選擇 ==ndash 3於 Value [IPV4
address]填 入 10112ndash 4 點選 OK鈕 進階思考方式須考慮到例如是來源資訊是目標資訊是什麼協定等更細部所要之條件
2-83
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 再進行第二篩選條件ndash TCP 80 port
bull 操作步驟ndash 1先於 Filter string 輸入文字框「 ipsrc==
10112」後再加上一個空格及「 and 」再進行一次 Expression條件選擇
2-84
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
ndash 2於 Field name框選擇「 tcpdstport」ndash 3於 Relation框選擇「 ==」ndash 4於 Value框填入「 80」ndash 5 選擇「 OK」鈕
2-85
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 注意 Propeties框內的Filter string欄位值已改變為「 ipsrc == 10112 and tcpdstport == 80」
bull 確認條件正確後點選「 OK 」鈕即可發現已擷取封包清單窗格的項目均為所設定過濾條件過濾過結果2-86
網路安全
bull 可單選單一封包進行更進階查詢封包內容bull 操作方式為
ndash 點選其中一項封包項目點選滑鼠右鍵選擇Follow TCP Stream
Wireshark操作手法 - 檢視中過濾 (續 )
2-87
網路安全
ndash 此畫面即可看出該項 TCP 封包溝通內容Wireshark操作手法 - 檢視中過濾 (續 )
2-88
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 此功能將所擷取的封包清單使用多種方式呈現封包統計資料便於使用者查詢擷取時間內何種封包數量多寡及圖型顯示bull 操作步驟點選 Statistics 下拉視窗即呈現此視窗 顯示有關擷取清單的摘要以階梯式通訊協定列表顯示所擷取的所有封包
在特定 IP間顯示通訊流量顯示單一 IP 來往封包的流量
以時間軸顯示視覺化封包流量圖2-89
網路安全
bull 可查看到一時段內其封包總數與平均每秒傳遞接收封包數等相關資訊讓使用者了解平均一時段內網路流量狀況藉以初步獲得資訊
Wireshark操作手法 - 檢視中過濾 (續 )
2-90
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 讓使用者可透過階梯式封包分類表來查看哪一類封包佔為居多可進一步推測是否該類型封包影響到整體網路或是否有異常或不常見封包類型在網路中傳遞
2-91
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 將該擷取時段內封包清單檔以兩個特定 IP 之間對傳封包為區隔顯示出哪兩個特定 IP間傳遞封包數多寡bull 可讓使用者更進一步研判兩個特定 IP所屬設備傳遞狀況是否異常
2-92
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 將該擷取時段內封包清單檔以特定IP 傳遞封包數為區隔顯示出哪特定IP 傳遞封包數多寡
bull 可讓使用者更進一步研判該特定所屬設備傳遞封包數是否異常作為管制緊急管制或禁止通訊之證明2-93
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 以時間軸顯示視覺化封包流量圖bull 讓使用者可觀察所管理設備資訊流通量以了解設備是否能負荷或作相關調整等處置
2-94
網路安全
FTP 擷取密碼案例bull 於Wireshark軟體選擇 Capture 下拉選單功能項點選 Interfaces 選項
2-95
網路安全
FTP 擷取密碼案例 (續 )
bull 確認欲擷取封包之網卡名稱如紅色底線所示確認後點選 Start鈕
2-96
網路安全
FTP 擷取密碼案例 (續 )
bull 切換至 FTP Client 電腦開啟 FileZilla 程式後連線到 FTP Server 於 Host 填入10123 Username填入 tester Password填入testpw 後點選 Quickconnect鈕
2-97
網路安全
FTP 擷取密碼案例 (續 )
bull 擷取到的封包資訊會顯示於已擷取封包清單窗格內
2-98
網路安全
FTP 擷取密碼案例 (續 )
bull 使用 FTP軟體登入 ftp站後 Wireshark 將擷取到的使用者名稱與密碼如紅框所示
2-99
網路安全
FTP 擷取密碼案例 (續 )
bull 點選已擷取封包清單窗格的密碼資訊列如標示1 的紅框所示即可在封包內容窗格看到該密碼的位元碼如標示 2 的紅框所示
1
2
2-100
網路安全
架設實作 (三 )
Outlook Express 擷取密碼案例
2-101
網路安全
實驗環境介紹bull 以 Testbed建立一實驗相關拓樸及設定如下圖
OEClientOSWindows XP SP3IP 10112執行 Outlook Express
MailServerOSWindows XP SP3IP 10122安裝軟體 ArGoSoft Mail Server
2-102
WiresharkOSWindows XP SP3IP1 10113 IP2 10123安裝軟體 Wireshark
IP1IP2
網路安全
實驗拓樸 on TestbedTWISC- 建立完成的實驗拓樸
2-103
網路安全
郵件伺服器工具 - ArGoSoft Mail Server
bull 版本ndash 1892 Freeware
bull 支援作業平台ndash Windows
bull 下載位址ndash httpwwwsoftkingcomtwsoftdownloadaspfid3=7367
2-104
網路安全
郵件客戶端工具 - Outlook Express
bull 版本ndash 60
bull 支援作業平台ndash Windows
bull 下載位址ndash Windows 內建
2-105
網路安全
bull 安裝及設定郵件伺服器ndash 1下載並執行 ArGoSoft Mail Server軟體點選
Setup鈕
Outlook Express 擷取密碼案例
2-106
網路安全
ndash 1 點選 Next鈕ndash 2 點選 Start Installation鈕
Outlook Express 擷取密碼案例 (續 )
2-107
網路安全
ndash 3 點選 OK鈕ndash 4 點選 Finish鈕完成軟體安裝
Outlook Express 擷取密碼案例 (續 )
2-108
網路安全
ndash 5 點選使用者設定鈕如紅圈所示ndash 6 點選新增鈕如紅框所示
Outlook Express 擷取密碼案例 (續 )
2-109
網路安全
ndash 7填入使用者名稱 (tester) 及密碼 (testpw) 如紅圈所示填寫完成後點選 OK鈕ndash 8 點選 Close鈕關閉使用者設定視窗
Outlook Express 擷取密碼案例 (續 )
2-110
網路安全
ndash 9 點選選項鈕如左側圖中紅色圈所示ndash 10 點選紅色打勾鈕如右側圖中紅色圈所示
2-111
Outlook Express 擷取密碼案例 (續 )
網路安全
ndash 11該軟體會自動選取 DNS Server 待選取後點選 Yes鈕ndash 12 勾選 Allow Relay 選項如紅框所示
2-112
Outlook Express 擷取密碼案例 (續 )
網路安全
Outlook Express 擷取密碼案例 (續 )
bull 設定收信帳號ndash 1 點選 Tools功能選單選擇 Accounts 選項
2-113
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 2 點選 Add鈕選擇 Mail 選項
2-114
網路安全
ndash 3填入 tester 點選 Next鈕ndash 4填入 testertestcom 點選 Next鈕
Outlook Express 擷取密碼案例 (續 )
2-115
網路安全
ndash 5填入 10123 如紅框所示點選 Next鈕ndash 6填入帳號為 tester 及密碼為 testpw 點選 Next鈕
Outlook Express 擷取密碼案例 (續 )
2-116
網路安全
ndash 7 點選 Finish鈕ndash 8 點選 Close鈕
Outlook Express 擷取密碼案例 (續 )
2-117
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 模擬條件準備好後首先準備Wireshark 擷取動作開啟Wireshark
2-118
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 於Wireshark軟體選擇 Capture 下拉選單功能項點選 Interfaces 選項
2-119
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 確認欲擷取封包之網卡名稱如紅色底線所示確認後點選 Start鈕
2-120
網路安全
ndash 當使用者收發 email 時即被 Wireshark攔截封包ndash 有發現到該 Outlook Express帳號密碼是如此清晰可見的嗎
Outlook Express 擷取密碼案例 (續 )
2-121
網路安全
結論bull 學習了 Wireshark及WinDump 兩套網路封包擷取軟體基本概念如同電話側錄概念相同從中複製一連串資訊來分析與了解網路的流量及內容為何bull 當你發現網路速度緩慢等狀況你是否會反應到所學的基本概念來找尋問題所在bull 防範概念由此課程的實例可以了解網路內容如被有心人士擷取所造成的損失相當可觀故你是否有對策有哪些方式你可以應用來防範bull 正確的思考善用對的工具將對解決問題事半功倍
2-122
網路安全 2-123
Module 2-5 封包擷取與分析的專案實作()
網路安全
專案目的bull 建立遠端管理傳遞指令資訊環境bull 利用實際攔截封包操作的方式讓同學了解封包擷取運作與網路資訊流通的顧慮等相關議題
2-124
網路安全
專案描述bull 近年來遠端管理伺服器及網路服務普及光是密碼保護就足夠了嗎是否重點網段須全程加密還是作網段隔離經由此專案實作即可了解不僅部分加密仍有其風險所在網路架構如何規劃將是非常重要的課題bull 參考環境配置圖完成下列要求①環境裡的攔截封包主機是 Windows XP SP3 作業系統而該主機安裝Wireshark軟體②另兩台主機的作業系統亦是 Windows XP SP3 並裝上
MySQL軟體 MySQL帳號為 root 密碼為您的學號 (如 Q3896105)
③在MySQLClient 電腦使用 MySQL Commandline 指令連線至MySQLServer 擷取資料庫資訊
④我們針對這兩台主機傳訊的封包擷取由整個實做中思考如何防範資訊外洩與了解傳訊封包如何流動及運作2-125
網路安全
環境配置圖bull 以 Testbed建立一實驗相關拓樸及設定如下圖
MySQLServerOSWINXP-SP3-CH-pc3000 IP 10123安裝軟體 MySQL
MySQLClientOSWINXP-SP3-CH-pc3000 IP 10112安裝軟體 MySQL
2-126
WireSharkOSWINXP-SP3-CH-pc3000 IP1 10113IP2 10122安裝軟體 Wireshark
IP1IP2
網路安全
作業繳交bull 請參考情境測試發送數個 SQL 指令並將過程與擷取到的封包資訊之截圖列於報告中所有圖表皆需要輔以文字說明bull Deadline 2012312 下午 500 以前bull 作業範圍 Module 2-5 (page 2-128)bull 方式 (參考課程網址 )
ndash 帳號密碼小寫的 (ns100ns100)ndash IP 140116164167
2-127
網路安全
有問題嗎
bull 關於 TestBed 使用上的問題請直接 Email至 twisc-testbed-usergooglegroupscom 將有專人為您服務bull 課程網址
httpitlabeenckuedutwcoursesNS_100indexhtml
2-128
bull 助教資訊 (參考課程網址 )
網路安全
參考資料bull Dienet httplinuxdienetman1wiresharkbull Orebaugh Angela Ramirez Gilbert Burke Josh Pesce Larry Wright
Joshua(2007) Wireshark and Ethereal network protocol analyzer toolkitbull Tony Fortunato(2007) Wireshark Training Retrieved July 22 2009 from
the World Wide Web httpwwwthetechfirmcometherealwiresharkpdfbull WinDump httpwwwwinpcaporgWinDumpbull Wireshark httpwwwwiresharkorgbull Wireshark University httpwwwwiresharktrainingcombull 楊中皇 (民 97年 ) 網路安全理論與實務 (2版 ) 台北市學貫bull 蘇淑茵教授 Wireshark 民國 98年 6月 28日取自 httpmywebnckuedutw~sisou
2-129
網路安全
Module 2-1 封包簡介 ()
2-4
網路安全
封包 (Packet) 是什麼bull 維基百科解釋封包指的是在封包交換網路中傳輸的格式化數據塊是基本的信息單位bull 封包主要由控制訊息 (control information) 與使用者資料 (user data) 所構成
ndash 以 IP 封包為例bull 控制訊息標頭檔 (header) 部份包含來源位置與目標位置等資訊bull 使用者資料內容 (message) 部分包含實際使用者所要傳遞的訊息
2-5
網路安全
封包定義bull 依照 CCITT( 國際電報電話諮詢委員會 ) 對封包的解釋封包是一段數位訊號的集合通常包括使用者資料及控制訊息兩部份bull 使用者資料真正所要傳送的內容bull 控制訊息包括如傳送端與接收端的位址封包前後次序的編號以及一些錯誤控制碼等
2-6
控制訊息
目的位址 來源位址
資料封包內容圖
網路安全
封包介紹 bull 在網路中進行傳輸的最小資訊單位bull 封包在網路上傳送的速度較快而且在傳輸過程中不會妨礙其他網路封包的傳輸當任何封包發生錯誤時只有錯誤的封包必須重新傳送而不是整個資料重傳
2-7
網路安全
封包 VS 資料bull 欲傳輸一個較大的資料例 2100 Bytes 之文字檔在傳輸上為了方便通常會將此資料切割成若干個段落如下表示
bull 每個段落即為一個封包2-8
Flag=01 Length=2099
Flag=00 Length=1587
Flag=00 Length=1075
Flag=00 Length=563
Flag=10 Length=51
Flag=11 Length=2099
來源資料 = 2106 octets2100 octets
512 octets
512 octets
512 octets
512 octets
52octets
第一段落持續段落 1
持續段落 2
持續段落 3
最後段落
PH
SH
SH
SH
SH
SH
PH = 來源資料的主要檔頭SH = 段落檔頭
網路安全
區段 內容 說明表頭區(header)
警告訊號 警告訊號用來顯示接受端訊息已開始傳送時脈是使雙方同步傳輸過程且顯示來源電腦和目的電腦的位址
來源位置目的位置時脈
資料區(data
block)資料 存放實際傳輸資料能存放的資料大小約
512到 4K Bytes 由於無法存放太大的資料因此資料傳輸時會被切割為封包
表尾區(trailer)
循環檢查碼循環檢查的相關檢查碼 (CRC) 是利用演算公式計算出來當接收端收到封包時為了確定資料是否正確會將封包中的資料利用演算公式重新計算一次結果必須和相關檢查碼相同表示傳輸的資料才正確
封包構成區段
2-9
網路安全
資料切割成封包傳輸的原因bull 避免網路阻塞如果直接將資料傳送到網路上由於資料太大會造成網路的擁擠其它電腦都會因為等待這台電腦傳輸資料而無法工作
A H
B
C
E
F
網路阻塞示意圖
資料 1 傳遞中
DG
欲傳輸資料資料 2資料 1
資料 3
資料 1
完成傳輸資料
2-10
網路安全
資料切割成封包傳輸的原因 (續 )
bull 可多路徑傳遞當網路較複雜時兩台電腦之間的通訊路徑就不只一個資料拆成封包後可以透過路由 (Routing)走不同的路徑到達目的地然後再組合起來加快傳遞速度一般路徑傳輸藍色路徑 A gt B gt D gt F封包 1 已傳輸封包 2 欲傳輸 D 點發生忙碌時變更路徑傳輸綠色路徑 A gt B gt E gt F
A F
B
C
D
E封包 1
完成傳輸封包等待傳輸封包封包 2封包 1 多路徑傳遞示意圖
2-11
網路安全
路由 (Routing) 簡介bull 封包在網路上的傳輸是透過路由 (Routing) 將封包從來源位址傳輸到目的位址
bull 路由為網路 OSI七層中的網路層 (Network Layer) 所負責
2-12
應用層Application Layer
表現層Presentation Layer
交談層Session Layer
傳輸層Transport Layer
網路層Network Layer
資料連結層Data-Link Layer
實體層Physical Layer
網路安全
路由 (Routing) 簡介 (續 )
bull 路由器 (Router) 功用為分配引導封包傳遞如下個需經過之主機以完成封包傳遞bull 路由表 (Routing
Table) 一般來說路由器皆會存有路由表用來紀錄與儲存到達各個目的地之最佳路徑2-13
Network Distance Port Next Router Entry State
1 0 1 0 Good
2 1 2 Router 2 Good
Router2
Router1Port1
Port2Network1
Network2
Routing Table
網路安全
封包分組封包重組bull 一個資料若拆成若干個封包經過多路徑傳遞後因為網路狀況及路由器分配之傳遞路線不同先送出之封包不一定會先被收到bull 每個經拆解後的封包皆有他自己的編號接收端可依此編號將封包重組回原始資料bull 表頭 (Header) 即記載這些額外資訊
2-14
資料Part1資料Part2資料Part3
資料Part4
資料Part5
資料Part4
資料Part5
封包重組
拆出資料
網路安全
封包與生活中物件做比較bull 如果把封包比喻成信件它們之間是有一些類似的性質
ndash 信封就相當於封包的控制訊息內容包含收件人與寄件人的地址郵遞區號及信件類型 (平信限時及掛號 )ndash 信封內的文字部分 (郵差看不到的部分 )相當於使用者資料ndash 兩者較不同的地方是信件是在郵差在路上騎機車幫我們遞送信件封包是在網路上傳輸的
2-15
網路安全
封包與生活中物件做比較 (續 )
ndash 因為一些傳輸效率上的因素封包的傳遞過程是將信件分裝成一封一封小的信件使用相同的信封寄往目的地ndash 如果從安全性的角度來看封包與信件最大的不同點在於信件內容洩露的部分如果今天信件被拆封偷看收信人可從彌封部分看出個端倪但封包資訊是相當容易被複製與修改的目地端收到此封包是很難確保封包內容沒有被惡意者所偷窺與修改過
2-16
網路安全
了解封包進階思考bull 並非所有的通訊協定都有相同的欄位資料由於採用不同的通訊協定 (TCP與 UDP) 網路封包的結構都有些許的差異但了解基礎封裝方式即可推理各種不同的通訊協定bull 在實務上想要進行網路封包分析的原因有很多故首要先了解什麼是封包定義及其運作方式後再搭配合適的網路封包擷取程式來解決實務上所遇的問題
2-17
網路安全
Module 2-2 封包結構與通訊協定 ()
2-18
網路安全
bull 目前網路使用相當多不同類型的通訊協定下圖列舉出在 OSI 協定七層中常見的通訊協定bull 網路上有許多不安全的通訊協定且大多採用明碼方式傳送經常造成資訊外洩如
HTTP TELNET及 SMTP 等故必要時須顧慮到資訊安全的議題
PPP
IPARP
UDP TCP
TelnetFTPSMTP
SLIP
HTTP
網路 OSI七層常見通訊協定類型
2-19
網路安全
封包結構與傳輸過程Application
TCP
IP
DeviceDriver
SMTPTELNETFTP
TCPUDP
ARPRARPICMP
EthernetX25PPP
TCPIP 四層 常見通訊協定User Data
App Header
Application DataTCP Header
IP Header
Frame Header
Frame Trailer
User Data
Application Data
Application Data
TCP Header
TCP Header
IP Header
TCP Segment
IP Segment
Frame
封包封裝
Socket NetBIOS
2-20
網路安全
IP 表頭
2-21
0
Precedence(3 Bits)
Delay(1 Bit)
Throughout(1Bit)
Reliability(1 Bit)
Cost(1 Bit)
Reserved(1Bit)
Type Of Service(8 Bits)
=
Reserved(1 Bit)
Donrsquot Fragment
(1 Bit)
More Fragment
(1 Bit)
Flags(3 Bits)
=
Version(4 Bits)
IHL(4 Bits)
Total Length(16 Bits)
Identification(16 Bits)
Fragment Offset(13 Bits)
Time to Live(8 Bits)
Protocal(8Bits)
Header Checksum(16 Bits)
Source Address (32 Bits)
Destination Address (32 Bits)
Options (長度不定 ) Padding (長度不定 )
32
64
96
128
160
Type of Service(8Bits)
Flags(3
Bits)
網路安全
封包 header 實例
2-22
網路安全
封包擷取的原理
A電腦網路卡
目的地A封包
目的地B封包
被丟棄
2-23
網路安全
封包擷取的原理 (續 )
bull 為了監聽到其他使用者的封包監聽者會將網路卡修改為混亂模式 (Promiscuous) 混亂模式不會對目標 MAC 位置做檢查的動作而是將所收到的所有封包做接收的動作bull 藉由混亂模式就可以在 HUB 的區域網路環境中或無線網路的環境中擷取其他人的封包訊息
2-24
網路安全
Module 2-3 封包擷取工具介紹 ()
2-25
網路安全
封包擷取工具比較bull 商業軟體
ndash 優 有廠商維護支援性較佳ndash 缺 成本較高ndash 例 NetResident與 EtherDetect
bull 免費軟體ndash 優 成本較低ndash 缺 功能與使用說明較為簡略ndash 例 Wireshark與WinDump
2-26
網路安全
封包擷取工具 - WinDump
bull 一種開放原始碼的網路軟體工具為 Windows版的 tcpdumpbull 可以分析封包的流向並且對於封包的內容也可以進行 監聽 bull WinDump運算式是一種規則運算式利用一些條件來進行訊息的過濾當訊息滿足運算式的條件則會將其資訊捕獲如果沒有給出任何條件則網路上所有的資訊包將會被擷獲bull 例 WinDump -i interface -c 10 -n port 80 -w
filename
2-27
網路安全
封包擷取工具 - Wireshark
bull 開放原始碼軟體bull 起源於 1997年 Wireshark 的前身即為 Ethereal因為商標問題而改名成 Wiresharkbull 支援通訊協定多且完整使用圖形化的介面讓操作者容易上手過濾條件切割細密讓使用者可於乙太網路撈取且經數據過濾分析後的數據流bull 可由此軟體能夠擷取網路封包並盡可能顯示出最為詳細的網路封包資料提供各方應用
2-28
網路安全
網路存取函式庫 - WinPcap
bull WinPcap 是著名 Unix libpcap的Windows版本API
bull Pcap 是用來擷取封包的應用程式介面 (Application Programming Interface API)
bull 免費直接網路存取函式庫bull 許多網路應用軟體運行均須安裝此套函式庫如WiresharkWinDump Nmap及 Snort
2-29
網路安全
WinDump與Winpcab 示意圖bull 透過 WinDump及Winpcap 工具擷取並分析封包後再將資料蒐集至電腦設備中
2-30
乙太網路Ethernet
網路工具
Windump分析封包結構
Winpcap擷取並過濾封包
封包資訊
網路安全 2-31
Module 2-4 封包擷取的實務 ()
網路安全 2-32
Linux kernel packet processing
網路安全 2-33
網路安全
說明bull 架設實作 (一 ) 請將介紹如何安裝與使用
WinDump 依實驗拓樸請使用 WireDump 主機做安裝及測試bull 架設實作 (二 ) 請利用 Wireshark軟體對 FTP 進行封包擷取依實驗拓樸請使用 Wireshark 主機做安裝及測試bull 架設實作 (三 ) 請利用 Wireshark軟體對
Outlook Express進行封包擷取依實驗拓樸請使用 Wireshark 主機做安裝及測試2-34
網路安全
架設實作 (一 )
WinDump 實作 -SSH連線觀察
2-35
網路安全
封包擷取工具 - WinDump
bull 版本ndash 395
bull 支援作業平台ndash Windows 9598NT2000XP2003
bull 其他需求ndash 安裝WinPcap 31 以上版本
bull 下載位址ndash httpwwwwinpcaporgwindumpinstallbin
windump_3_9_5WinDumpexe
2-36
網路安全
其他需求工具 - WinPcap
bull 版本ndash 402 stable
bull 支援作業平台ndash Windows NT42000
Windows XP2003Vista (x86 and x64)Windows Server 2008 (x86 and x64)
bull 下載位址ndash httpwwwwinpcaporginstallbin
WinPcap_4_0_2exe
2-37
網路安全
WinPcap 安裝步驟bull WinPcap 下載完成後即可進行安裝bull 安裝畫面如下點選 Next按鈕繼續下一步
2-38
網路安全
WinDump與WinPcap測試bull 請將下載的 WinDumpexe 檔案存放至 C
Windowssystem32 的目錄之下bull 測試WinDump及WinPcap 是否可運作
ndash 點選開始 -gt 程式集 -gt附屬應用程式 -gt命令提示字元 -gt 輸入「 windump 」按下 Enter 即會出現「 windump listening on DeviceNPF_GenericDialupAdapter」的訊息代表WinDump及WinPcap 安裝成功且可運作
ndash 停止監聽按「 Ctrl + C」將顯示擷取封包的數量
2-39
網路安全
參數 說明-c 指定收到的封包數目當達到該數目時 Tcpdump 即會停止-d 把編譯過的封包編碼轉碼成可閱讀的格式放置於標準輸出-dd 把編譯過的封包編碼轉碼成 C 語言的格式放置於標準輸出-ddd 把編譯過的封包編碼轉碼成十進位的格式放置於標準輸出-F 從所指定的文件中讀取運算式進而忽略其他運算式-f 用數字顯示 IP 位址 -i 指定擷取封包的網路介面 -w 將擷取的封包直接寫入檔案當中不做分析與顯示於畫面
參數 說明-r 從指定的檔案文件中讀取資料該檔案文件由 -w 所製造出來-v 顯示詳細的封包資訊多了 TTL 及服務類型-s 設定每一個封包的大小-S 用絕對數並非相對數的值列出 TCP 連接數-tt 顯示出原始時間並且為不格式化的時間-n 不進行 IP Address 到 Domain
Name 的轉換-nn 不進行 Port 的轉換如 22 就是
ssh
-x 用十六進位字碼列出封包資料
WinDump相關參數列表
2-40
網路安全
WinDump 簡易使用操作說明bull 語法 windump 參數bull 查看目前系統可使用的網卡介面
ndash windump -Dbull 透過查看網卡介面以利後續監聽之用
2-41
網路安全
WinDump 簡易使用操作說明 (續 )
bull WinDump -i 網卡介面代號 -c 擷取封包數量 port 通訊埠
bull 例 WinDump -i 2 -c 10 port 80
2-42
網路安全
WinDump 簡易使用操作說明 (續 )
bull 因於命令提示字元視窗內所顯示的資訊不易閱讀可透過下列指令將其所擷取的資訊導向至檔案bull Windump -i 網卡介面代號 gt 檔名
ndash windump -i 2 -c 10 -w message port 80ndash windump -r message gt messagetxtndash windump -i 2 -c 10 port 80 gt messagetxt
2-43
網路安全
WinDump 簡易使用操作說明 (續 )
112338326205 此為封包被擷取的時間『 HHMMSSfraction』的單位IP 透過的通訊協定是 IPwinser 1099 gt w1wwwviptw1yahoocomtw80 代表的是傳送端是 winser 傳送的通訊埠為 1099 大於 (gt) 的符號指的是封包的傳輸方向 w1wwwviptw1yahoocomtw 為接收端 80 為接收埠
P(PUSH) 為資料傳輸標誌且傳輸的資料為整體資料的 1~ 699 byte 所以這個封包帶有 698 bytes 的資料量 ack 1 win 65535 ACK與Window size 的相關資料2-44
網路安全
bull 以 Testbed建立一實驗相關拓樸及設定如下圖SSHClientOSWINXP-SP3-CH-pc3000 IP 10113安裝軟體 putty
SSHServerOSWINXP-SP3-CH-pc3000IP 10123安裝軟體 sshd
實驗環境介紹
2-45
IP1
IP2
WireDumpOSWINXP-SP3-CH-pc3000IP1 10112IP2 10122安裝軟體 WinDump
網路安全
實驗拓樸 on TestbedTWISC- 建立完成的實驗拓樸
2-46
網路安全
SSH連線觀察bull 利用 Putty連線到 SSHServer從中觀察到三向交握建立連線的動作從 SSHClient 端利用 putty連線到SSHServer(10123)的 sshd服務
2-47
網路安全
SSH連線觀察 (續 )
bull SSH 在連線之前會利用三向交握的方式建立連線bull 利用 WinDump觀察 SSH連線動作
ndash 指令 WinDumpexe -N -S -i 4 port 22
三向交握的三個封包三向交握示意圖Server lt- Client SYN 你想連線Server -gt Client SYN ACK 可以我接受Server lt- Client ACK 謝謝
2-48
網路安全
架設實作 (二 )
FTP 擷取密碼案例
2-49
網路安全
FTPClientOSWINXP-SP3-pc3000IP 10112安裝軟體 FileZilla
FTPServerOSWINXP-SP3-pc3000IP 10123安裝軟體 RaidenFTPD
實驗環境介紹bull 以 Testbed建立一實驗相關拓樸及設定如下圖
2-50
IP1IP2
WireSharkOSWINXP-SP3-pc3000IP1 10113IP2 10122安裝軟體 Wireshark
網路安全
實驗拓樸 on TestbedTWISC- 建立完成的實驗拓樸
2-51
網路安全
FTP伺服器工具 - RaidenFTPD
bull 版本ndash 24 build 3720
bull 支援作業平台ndash Windows
bull 下載位址ndash httpwwwraidenmaildcomdownloadraidenftpd2exe
2-52
網路安全
RaidenFTPD 安裝步驟bull 下載Windows平台最新版本檔案下載完成後執行該安裝程式
2-53
網路安全
RaidenFTPD 安裝步驟 (續 )
bull 此步驟使用預設路徑即可按下 Install 進行安裝
2-54
網路安全
RaidenFTPD設定步驟bull 程式開啟畫面如下選擇 Click here to start a new
server 進行 FTP伺服器設定
2-55
網路安全
RaidenFTPD設定步驟 (續 )
bull 此處可設定 Server name與 Server IP 將 Auto IP 取消勾選並將 Server IP設為 10123
2-56
網路安全
RaidenFTPD設定步驟 (續 )
bull 接下來的步驟依照預設值即可
2-57
網路安全
RaidenFTPD設定步驟 (續 )
bull 設定人員帳號與群組按下 Add鈕輸入帳號密碼群組名稱可略過完成後按下 Next 進行下一步驟
2-58
網路安全
RaidenFTPD設定步驟 (續 )
bull 此步驟設定該帳號登入 FTP 時的權限選擇NORMAL 按下 Next 進行下一步驟
2-59
網路安全
RaidenFTPD設定步驟 (續 )
bull 接下來的步驟皆以預設值即可完成設定之後會出現對話視窗顯示您所設定的資訊
2-60
網路安全
FTP 用戶端工具 - Filezilla
bull 版本ndash 328
bull 支援作業平台ndash Windows Linux及Mac
bull 下載位址ndash httpsourceforgenetprojectsfilezillafiles
FileZilla_Client328FileZilla_328_win32zipdownload
2-61
網路安全
Filezilla 安裝步驟bull 執行 Filezilla 安裝程式點選 I agree 鈕
2-62
網路安全
Filezilla 安裝步驟 (續 )
bull 以預設值安裝點選兩次 Next 鈕
2-63
網路安全
Filezilla 安裝步驟 (續 )
bull 以預設值安裝點選 Next 鈕後再點選 Install 鈕
2-64
網路安全
Filezilla 安裝步驟 (續 )
bull 以預設值安裝點選 Next 鈕後再點選 Finish 鈕
2-65
網路安全
封包擷取工具 - Wireshark
bull 版本ndash 165
bull 支援作業平台ndash Windows Linux及 FreeBSD
bull 其他需求ndash 安裝WinPcap 31 以上版本
bull 下載位址ndash httpwiresharkdownloadsriverbedcomwireshark
win32wireshark-win32-165exe
2-66
網路安全
Wireshark 安裝步驟bull 至官方網站下載Windows平台最新版本檔案下載完成後執行該安裝程式
2-67
網路安全
Wireshark 安裝步驟 (續 )
bull 於下一步出現的版權宣告點選 I Agree鈕後繼續下一步驟
2-68
網路安全
Wireshark 安裝步驟 (續 )
bull 此步驟選擇欲安裝的元件以軟體預設勾選之項目安裝
2-69
網路安全
Wireshark 安裝步驟 (續 )
bull 此步驟使用預設路徑即可
2-70
網路安全
Wireshark 安裝步驟 (續 )
bull 此步驟將安裝Windows平台須加裝之套件 -WinPcap 若原系統未安裝過 WinPcap套件請以軟體預設項目安裝之
2-71
網路安全
Wireshark 安裝步驟 (續 )
bull 此步驟代表 Wireshark軟體已安裝完成可點選Finish 鈕或勾選 Run Wireshark 165 隨即使用該套軟體
2-72
網路安全
一般工具列Wireshark軟體介面介紹
2-73
篩選工具列封包清單窗格
封包內容窗格封包位元組窗格
網路安全
Wireshark 使用思考方向bull 遇到網路問題是否觀察網路通道中有異常動作或狀況
ndash 思考方向ndash 反應到擷取數據方法那麼以 Wireshark 擷取使用者需要擷取哪些數據這些數據由使用者電腦哪個裝置來擷取
bull Wireshark操作流程
bull 接下來我們進行軟體操作介紹
解決問題 擷取數據要先做什麼
擷取數據 擷取哪些數據( 過濾條件 )數據哪裡來( 網路介面卡 )
2-74
網路安全
數據哪裡來 - Capture功能bull 一開啟方式
ndash 1 點選快速鈕如紅色圈所示ndash 2 點選 Capture功能表 下拉選單後點選 Optionsndash 3鍵盤快速鍵 Ctrl + K
2-75
網路安全
數據哪裡來 - Capture功能 (續 )
bull 二開啟後顯示 Capture Options 的視窗畫面即可看到所提供的擷取功能選項
2-76
網路安全
數據哪裡來 - Capture功能 (續 )
bull Capture Options 常用的欄位設定ndash Caputure 框
bull 1Interface 會顯示出在系統上所有網路卡但只能選取一個介面作為封包擷取bull 2Capture packets in promiscuous mode 選取此選項就是經過所選取的網路卡的所有封包都會被擷取下來bull 3Capture Filter 指定擷取過濾器運算式擷取想要的特定封包即為擷取中過濾之功能
2-77
網路安全
數據哪裡來 - Capture功能 (續 )
bull Capture Options 常用的欄位設定ndash Display Options 框
bull Update list of packets in real time 指定在擷取封包過程中能夠即時更新已擷取封包清單窗格視窗中的封包資訊若取消則軟體主視窗更新畫面是沒有動作的
2-78
網路安全
bull Capture Options 常用的欄位設定ndash Name Resolution框
bull 1 Enable MAC name resolution 指定是否將網路卡MAC address 的前三個位元組轉換成製造商名稱
bull 2 Enable network name resolution 指定是否將 IP address轉換成 DNS 網域名稱
bull 3 Enable transport name resolution 指定是否將通信埠號碼 (port numbers)轉成協定名稱 (protocols)bull 各位了解數據從哪裡擷取的概念與操作之後即可以進一步加上附帶條件 (篩選條件 ) 等相關操作方式
數據哪裡來 - Capture功能 (續 )
2-79
網路安全
Wireshark操作手法bull 延續遇到問題的思考方向及軟體操作手法我們可以將操作流程分為兩種
ndash 擷取中過濾 (Filter while capturing)bull 優點僅擷取已知範圍資訊網路流量少bull 缺點需先了解問題類型避免可能有遺漏真正欲擷取資訊之狀況
ndash 檢視中過濾 (Filter packets while viewing)bull 優點不用先預設條件擷取所有封包資訊bull 缺點影響網路流量
先預設欲擷取條件 擷取數據
擷取數據 再篩選欲查詢數據2-80
網路安全
Wireshark操作手法 - 擷取中過濾bull 操作步驟
ndash 點選 Capture 下拉視窗選擇 Capture Filters 即呈現此視窗
bull 操作範例ndash 1於 Filter窗格中選擇 IP
Address 10112ndash 2於 Properties窗格中即顯示該選項的設定值如圖所示為 host 10112ndash 3 即可設定軟體僅針對
10112 的封包作擷取動作 延伸操作思考1 改變 Filter string 值得到什麼結果2 點選 Edit 窗格中的 New 鈕 新增自訂條件 2-81
網路安全
Wireshark操作手法 - 檢視中過濾bull 此步驟即以已擷取封包清單窗格為基礎以過濾條件過濾該清單bull 可直接選擇軟體預設項目如以下操作
ndash 操作步驟bull 點選 Analyze 下拉視窗選擇
Display Filters 即呈現此視窗ndash 操作範例
bull 1於 Filter窗格中選擇 IP Address 10112
bull 2於 Properties窗格中即顯示該選項的設定值如圖所示值為host 10112
bull 3 即可設定軟體僅針對 10112的封包作顯示動作 延伸操作思考1 可否進行進一步自訂設定值
2-82
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 若電腦 IP為 10112 欲篩選出 IP 來源為上述 IP 且協定為 TCP 80port 的所有封包ndash 操作步驟
bull 點選 Expression鈕即出現此視窗ndash 1於 Field name框選擇
IP項目中的 ipsrc - Source
ndash 2於 Relation框選擇 ==ndash 3於 Value [IPV4
address]填 入 10112ndash 4 點選 OK鈕 進階思考方式須考慮到例如是來源資訊是目標資訊是什麼協定等更細部所要之條件
2-83
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 再進行第二篩選條件ndash TCP 80 port
bull 操作步驟ndash 1先於 Filter string 輸入文字框「 ipsrc==
10112」後再加上一個空格及「 and 」再進行一次 Expression條件選擇
2-84
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
ndash 2於 Field name框選擇「 tcpdstport」ndash 3於 Relation框選擇「 ==」ndash 4於 Value框填入「 80」ndash 5 選擇「 OK」鈕
2-85
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 注意 Propeties框內的Filter string欄位值已改變為「 ipsrc == 10112 and tcpdstport == 80」
bull 確認條件正確後點選「 OK 」鈕即可發現已擷取封包清單窗格的項目均為所設定過濾條件過濾過結果2-86
網路安全
bull 可單選單一封包進行更進階查詢封包內容bull 操作方式為
ndash 點選其中一項封包項目點選滑鼠右鍵選擇Follow TCP Stream
Wireshark操作手法 - 檢視中過濾 (續 )
2-87
網路安全
ndash 此畫面即可看出該項 TCP 封包溝通內容Wireshark操作手法 - 檢視中過濾 (續 )
2-88
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 此功能將所擷取的封包清單使用多種方式呈現封包統計資料便於使用者查詢擷取時間內何種封包數量多寡及圖型顯示bull 操作步驟點選 Statistics 下拉視窗即呈現此視窗 顯示有關擷取清單的摘要以階梯式通訊協定列表顯示所擷取的所有封包
在特定 IP間顯示通訊流量顯示單一 IP 來往封包的流量
以時間軸顯示視覺化封包流量圖2-89
網路安全
bull 可查看到一時段內其封包總數與平均每秒傳遞接收封包數等相關資訊讓使用者了解平均一時段內網路流量狀況藉以初步獲得資訊
Wireshark操作手法 - 檢視中過濾 (續 )
2-90
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 讓使用者可透過階梯式封包分類表來查看哪一類封包佔為居多可進一步推測是否該類型封包影響到整體網路或是否有異常或不常見封包類型在網路中傳遞
2-91
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 將該擷取時段內封包清單檔以兩個特定 IP 之間對傳封包為區隔顯示出哪兩個特定 IP間傳遞封包數多寡bull 可讓使用者更進一步研判兩個特定 IP所屬設備傳遞狀況是否異常
2-92
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 將該擷取時段內封包清單檔以特定IP 傳遞封包數為區隔顯示出哪特定IP 傳遞封包數多寡
bull 可讓使用者更進一步研判該特定所屬設備傳遞封包數是否異常作為管制緊急管制或禁止通訊之證明2-93
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 以時間軸顯示視覺化封包流量圖bull 讓使用者可觀察所管理設備資訊流通量以了解設備是否能負荷或作相關調整等處置
2-94
網路安全
FTP 擷取密碼案例bull 於Wireshark軟體選擇 Capture 下拉選單功能項點選 Interfaces 選項
2-95
網路安全
FTP 擷取密碼案例 (續 )
bull 確認欲擷取封包之網卡名稱如紅色底線所示確認後點選 Start鈕
2-96
網路安全
FTP 擷取密碼案例 (續 )
bull 切換至 FTP Client 電腦開啟 FileZilla 程式後連線到 FTP Server 於 Host 填入10123 Username填入 tester Password填入testpw 後點選 Quickconnect鈕
2-97
網路安全
FTP 擷取密碼案例 (續 )
bull 擷取到的封包資訊會顯示於已擷取封包清單窗格內
2-98
網路安全
FTP 擷取密碼案例 (續 )
bull 使用 FTP軟體登入 ftp站後 Wireshark 將擷取到的使用者名稱與密碼如紅框所示
2-99
網路安全
FTP 擷取密碼案例 (續 )
bull 點選已擷取封包清單窗格的密碼資訊列如標示1 的紅框所示即可在封包內容窗格看到該密碼的位元碼如標示 2 的紅框所示
1
2
2-100
網路安全
架設實作 (三 )
Outlook Express 擷取密碼案例
2-101
網路安全
實驗環境介紹bull 以 Testbed建立一實驗相關拓樸及設定如下圖
OEClientOSWindows XP SP3IP 10112執行 Outlook Express
MailServerOSWindows XP SP3IP 10122安裝軟體 ArGoSoft Mail Server
2-102
WiresharkOSWindows XP SP3IP1 10113 IP2 10123安裝軟體 Wireshark
IP1IP2
網路安全
實驗拓樸 on TestbedTWISC- 建立完成的實驗拓樸
2-103
網路安全
郵件伺服器工具 - ArGoSoft Mail Server
bull 版本ndash 1892 Freeware
bull 支援作業平台ndash Windows
bull 下載位址ndash httpwwwsoftkingcomtwsoftdownloadaspfid3=7367
2-104
網路安全
郵件客戶端工具 - Outlook Express
bull 版本ndash 60
bull 支援作業平台ndash Windows
bull 下載位址ndash Windows 內建
2-105
網路安全
bull 安裝及設定郵件伺服器ndash 1下載並執行 ArGoSoft Mail Server軟體點選
Setup鈕
Outlook Express 擷取密碼案例
2-106
網路安全
ndash 1 點選 Next鈕ndash 2 點選 Start Installation鈕
Outlook Express 擷取密碼案例 (續 )
2-107
網路安全
ndash 3 點選 OK鈕ndash 4 點選 Finish鈕完成軟體安裝
Outlook Express 擷取密碼案例 (續 )
2-108
網路安全
ndash 5 點選使用者設定鈕如紅圈所示ndash 6 點選新增鈕如紅框所示
Outlook Express 擷取密碼案例 (續 )
2-109
網路安全
ndash 7填入使用者名稱 (tester) 及密碼 (testpw) 如紅圈所示填寫完成後點選 OK鈕ndash 8 點選 Close鈕關閉使用者設定視窗
Outlook Express 擷取密碼案例 (續 )
2-110
網路安全
ndash 9 點選選項鈕如左側圖中紅色圈所示ndash 10 點選紅色打勾鈕如右側圖中紅色圈所示
2-111
Outlook Express 擷取密碼案例 (續 )
網路安全
ndash 11該軟體會自動選取 DNS Server 待選取後點選 Yes鈕ndash 12 勾選 Allow Relay 選項如紅框所示
2-112
Outlook Express 擷取密碼案例 (續 )
網路安全
Outlook Express 擷取密碼案例 (續 )
bull 設定收信帳號ndash 1 點選 Tools功能選單選擇 Accounts 選項
2-113
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 2 點選 Add鈕選擇 Mail 選項
2-114
網路安全
ndash 3填入 tester 點選 Next鈕ndash 4填入 testertestcom 點選 Next鈕
Outlook Express 擷取密碼案例 (續 )
2-115
網路安全
ndash 5填入 10123 如紅框所示點選 Next鈕ndash 6填入帳號為 tester 及密碼為 testpw 點選 Next鈕
Outlook Express 擷取密碼案例 (續 )
2-116
網路安全
ndash 7 點選 Finish鈕ndash 8 點選 Close鈕
Outlook Express 擷取密碼案例 (續 )
2-117
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 模擬條件準備好後首先準備Wireshark 擷取動作開啟Wireshark
2-118
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 於Wireshark軟體選擇 Capture 下拉選單功能項點選 Interfaces 選項
2-119
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 確認欲擷取封包之網卡名稱如紅色底線所示確認後點選 Start鈕
2-120
網路安全
ndash 當使用者收發 email 時即被 Wireshark攔截封包ndash 有發現到該 Outlook Express帳號密碼是如此清晰可見的嗎
Outlook Express 擷取密碼案例 (續 )
2-121
網路安全
結論bull 學習了 Wireshark及WinDump 兩套網路封包擷取軟體基本概念如同電話側錄概念相同從中複製一連串資訊來分析與了解網路的流量及內容為何bull 當你發現網路速度緩慢等狀況你是否會反應到所學的基本概念來找尋問題所在bull 防範概念由此課程的實例可以了解網路內容如被有心人士擷取所造成的損失相當可觀故你是否有對策有哪些方式你可以應用來防範bull 正確的思考善用對的工具將對解決問題事半功倍
2-122
網路安全 2-123
Module 2-5 封包擷取與分析的專案實作()
網路安全
專案目的bull 建立遠端管理傳遞指令資訊環境bull 利用實際攔截封包操作的方式讓同學了解封包擷取運作與網路資訊流通的顧慮等相關議題
2-124
網路安全
專案描述bull 近年來遠端管理伺服器及網路服務普及光是密碼保護就足夠了嗎是否重點網段須全程加密還是作網段隔離經由此專案實作即可了解不僅部分加密仍有其風險所在網路架構如何規劃將是非常重要的課題bull 參考環境配置圖完成下列要求①環境裡的攔截封包主機是 Windows XP SP3 作業系統而該主機安裝Wireshark軟體②另兩台主機的作業系統亦是 Windows XP SP3 並裝上
MySQL軟體 MySQL帳號為 root 密碼為您的學號 (如 Q3896105)
③在MySQLClient 電腦使用 MySQL Commandline 指令連線至MySQLServer 擷取資料庫資訊
④我們針對這兩台主機傳訊的封包擷取由整個實做中思考如何防範資訊外洩與了解傳訊封包如何流動及運作2-125
網路安全
環境配置圖bull 以 Testbed建立一實驗相關拓樸及設定如下圖
MySQLServerOSWINXP-SP3-CH-pc3000 IP 10123安裝軟體 MySQL
MySQLClientOSWINXP-SP3-CH-pc3000 IP 10112安裝軟體 MySQL
2-126
WireSharkOSWINXP-SP3-CH-pc3000 IP1 10113IP2 10122安裝軟體 Wireshark
IP1IP2
網路安全
作業繳交bull 請參考情境測試發送數個 SQL 指令並將過程與擷取到的封包資訊之截圖列於報告中所有圖表皆需要輔以文字說明bull Deadline 2012312 下午 500 以前bull 作業範圍 Module 2-5 (page 2-128)bull 方式 (參考課程網址 )
ndash 帳號密碼小寫的 (ns100ns100)ndash IP 140116164167
2-127
網路安全
有問題嗎
bull 關於 TestBed 使用上的問題請直接 Email至 twisc-testbed-usergooglegroupscom 將有專人為您服務bull 課程網址
httpitlabeenckuedutwcoursesNS_100indexhtml
2-128
bull 助教資訊 (參考課程網址 )
網路安全
參考資料bull Dienet httplinuxdienetman1wiresharkbull Orebaugh Angela Ramirez Gilbert Burke Josh Pesce Larry Wright
Joshua(2007) Wireshark and Ethereal network protocol analyzer toolkitbull Tony Fortunato(2007) Wireshark Training Retrieved July 22 2009 from
the World Wide Web httpwwwthetechfirmcometherealwiresharkpdfbull WinDump httpwwwwinpcaporgWinDumpbull Wireshark httpwwwwiresharkorgbull Wireshark University httpwwwwiresharktrainingcombull 楊中皇 (民 97年 ) 網路安全理論與實務 (2版 ) 台北市學貫bull 蘇淑茵教授 Wireshark 民國 98年 6月 28日取自 httpmywebnckuedutw~sisou
2-129
網路安全
封包 (Packet) 是什麼bull 維基百科解釋封包指的是在封包交換網路中傳輸的格式化數據塊是基本的信息單位bull 封包主要由控制訊息 (control information) 與使用者資料 (user data) 所構成
ndash 以 IP 封包為例bull 控制訊息標頭檔 (header) 部份包含來源位置與目標位置等資訊bull 使用者資料內容 (message) 部分包含實際使用者所要傳遞的訊息
2-5
網路安全
封包定義bull 依照 CCITT( 國際電報電話諮詢委員會 ) 對封包的解釋封包是一段數位訊號的集合通常包括使用者資料及控制訊息兩部份bull 使用者資料真正所要傳送的內容bull 控制訊息包括如傳送端與接收端的位址封包前後次序的編號以及一些錯誤控制碼等
2-6
控制訊息
目的位址 來源位址
資料封包內容圖
網路安全
封包介紹 bull 在網路中進行傳輸的最小資訊單位bull 封包在網路上傳送的速度較快而且在傳輸過程中不會妨礙其他網路封包的傳輸當任何封包發生錯誤時只有錯誤的封包必須重新傳送而不是整個資料重傳
2-7
網路安全
封包 VS 資料bull 欲傳輸一個較大的資料例 2100 Bytes 之文字檔在傳輸上為了方便通常會將此資料切割成若干個段落如下表示
bull 每個段落即為一個封包2-8
Flag=01 Length=2099
Flag=00 Length=1587
Flag=00 Length=1075
Flag=00 Length=563
Flag=10 Length=51
Flag=11 Length=2099
來源資料 = 2106 octets2100 octets
512 octets
512 octets
512 octets
512 octets
52octets
第一段落持續段落 1
持續段落 2
持續段落 3
最後段落
PH
SH
SH
SH
SH
SH
PH = 來源資料的主要檔頭SH = 段落檔頭
網路安全
區段 內容 說明表頭區(header)
警告訊號 警告訊號用來顯示接受端訊息已開始傳送時脈是使雙方同步傳輸過程且顯示來源電腦和目的電腦的位址
來源位置目的位置時脈
資料區(data
block)資料 存放實際傳輸資料能存放的資料大小約
512到 4K Bytes 由於無法存放太大的資料因此資料傳輸時會被切割為封包
表尾區(trailer)
循環檢查碼循環檢查的相關檢查碼 (CRC) 是利用演算公式計算出來當接收端收到封包時為了確定資料是否正確會將封包中的資料利用演算公式重新計算一次結果必須和相關檢查碼相同表示傳輸的資料才正確
封包構成區段
2-9
網路安全
資料切割成封包傳輸的原因bull 避免網路阻塞如果直接將資料傳送到網路上由於資料太大會造成網路的擁擠其它電腦都會因為等待這台電腦傳輸資料而無法工作
A H
B
C
E
F
網路阻塞示意圖
資料 1 傳遞中
DG
欲傳輸資料資料 2資料 1
資料 3
資料 1
完成傳輸資料
2-10
網路安全
資料切割成封包傳輸的原因 (續 )
bull 可多路徑傳遞當網路較複雜時兩台電腦之間的通訊路徑就不只一個資料拆成封包後可以透過路由 (Routing)走不同的路徑到達目的地然後再組合起來加快傳遞速度一般路徑傳輸藍色路徑 A gt B gt D gt F封包 1 已傳輸封包 2 欲傳輸 D 點發生忙碌時變更路徑傳輸綠色路徑 A gt B gt E gt F
A F
B
C
D
E封包 1
完成傳輸封包等待傳輸封包封包 2封包 1 多路徑傳遞示意圖
2-11
網路安全
路由 (Routing) 簡介bull 封包在網路上的傳輸是透過路由 (Routing) 將封包從來源位址傳輸到目的位址
bull 路由為網路 OSI七層中的網路層 (Network Layer) 所負責
2-12
應用層Application Layer
表現層Presentation Layer
交談層Session Layer
傳輸層Transport Layer
網路層Network Layer
資料連結層Data-Link Layer
實體層Physical Layer
網路安全
路由 (Routing) 簡介 (續 )
bull 路由器 (Router) 功用為分配引導封包傳遞如下個需經過之主機以完成封包傳遞bull 路由表 (Routing
Table) 一般來說路由器皆會存有路由表用來紀錄與儲存到達各個目的地之最佳路徑2-13
Network Distance Port Next Router Entry State
1 0 1 0 Good
2 1 2 Router 2 Good
Router2
Router1Port1
Port2Network1
Network2
Routing Table
網路安全
封包分組封包重組bull 一個資料若拆成若干個封包經過多路徑傳遞後因為網路狀況及路由器分配之傳遞路線不同先送出之封包不一定會先被收到bull 每個經拆解後的封包皆有他自己的編號接收端可依此編號將封包重組回原始資料bull 表頭 (Header) 即記載這些額外資訊
2-14
資料Part1資料Part2資料Part3
資料Part4
資料Part5
資料Part4
資料Part5
封包重組
拆出資料
網路安全
封包與生活中物件做比較bull 如果把封包比喻成信件它們之間是有一些類似的性質
ndash 信封就相當於封包的控制訊息內容包含收件人與寄件人的地址郵遞區號及信件類型 (平信限時及掛號 )ndash 信封內的文字部分 (郵差看不到的部分 )相當於使用者資料ndash 兩者較不同的地方是信件是在郵差在路上騎機車幫我們遞送信件封包是在網路上傳輸的
2-15
網路安全
封包與生活中物件做比較 (續 )
ndash 因為一些傳輸效率上的因素封包的傳遞過程是將信件分裝成一封一封小的信件使用相同的信封寄往目的地ndash 如果從安全性的角度來看封包與信件最大的不同點在於信件內容洩露的部分如果今天信件被拆封偷看收信人可從彌封部分看出個端倪但封包資訊是相當容易被複製與修改的目地端收到此封包是很難確保封包內容沒有被惡意者所偷窺與修改過
2-16
網路安全
了解封包進階思考bull 並非所有的通訊協定都有相同的欄位資料由於採用不同的通訊協定 (TCP與 UDP) 網路封包的結構都有些許的差異但了解基礎封裝方式即可推理各種不同的通訊協定bull 在實務上想要進行網路封包分析的原因有很多故首要先了解什麼是封包定義及其運作方式後再搭配合適的網路封包擷取程式來解決實務上所遇的問題
2-17
網路安全
Module 2-2 封包結構與通訊協定 ()
2-18
網路安全
bull 目前網路使用相當多不同類型的通訊協定下圖列舉出在 OSI 協定七層中常見的通訊協定bull 網路上有許多不安全的通訊協定且大多採用明碼方式傳送經常造成資訊外洩如
HTTP TELNET及 SMTP 等故必要時須顧慮到資訊安全的議題
PPP
IPARP
UDP TCP
TelnetFTPSMTP
SLIP
HTTP
網路 OSI七層常見通訊協定類型
2-19
網路安全
封包結構與傳輸過程Application
TCP
IP
DeviceDriver
SMTPTELNETFTP
TCPUDP
ARPRARPICMP
EthernetX25PPP
TCPIP 四層 常見通訊協定User Data
App Header
Application DataTCP Header
IP Header
Frame Header
Frame Trailer
User Data
Application Data
Application Data
TCP Header
TCP Header
IP Header
TCP Segment
IP Segment
Frame
封包封裝
Socket NetBIOS
2-20
網路安全
IP 表頭
2-21
0
Precedence(3 Bits)
Delay(1 Bit)
Throughout(1Bit)
Reliability(1 Bit)
Cost(1 Bit)
Reserved(1Bit)
Type Of Service(8 Bits)
=
Reserved(1 Bit)
Donrsquot Fragment
(1 Bit)
More Fragment
(1 Bit)
Flags(3 Bits)
=
Version(4 Bits)
IHL(4 Bits)
Total Length(16 Bits)
Identification(16 Bits)
Fragment Offset(13 Bits)
Time to Live(8 Bits)
Protocal(8Bits)
Header Checksum(16 Bits)
Source Address (32 Bits)
Destination Address (32 Bits)
Options (長度不定 ) Padding (長度不定 )
32
64
96
128
160
Type of Service(8Bits)
Flags(3
Bits)
網路安全
封包 header 實例
2-22
網路安全
封包擷取的原理
A電腦網路卡
目的地A封包
目的地B封包
被丟棄
2-23
網路安全
封包擷取的原理 (續 )
bull 為了監聽到其他使用者的封包監聽者會將網路卡修改為混亂模式 (Promiscuous) 混亂模式不會對目標 MAC 位置做檢查的動作而是將所收到的所有封包做接收的動作bull 藉由混亂模式就可以在 HUB 的區域網路環境中或無線網路的環境中擷取其他人的封包訊息
2-24
網路安全
Module 2-3 封包擷取工具介紹 ()
2-25
網路安全
封包擷取工具比較bull 商業軟體
ndash 優 有廠商維護支援性較佳ndash 缺 成本較高ndash 例 NetResident與 EtherDetect
bull 免費軟體ndash 優 成本較低ndash 缺 功能與使用說明較為簡略ndash 例 Wireshark與WinDump
2-26
網路安全
封包擷取工具 - WinDump
bull 一種開放原始碼的網路軟體工具為 Windows版的 tcpdumpbull 可以分析封包的流向並且對於封包的內容也可以進行 監聽 bull WinDump運算式是一種規則運算式利用一些條件來進行訊息的過濾當訊息滿足運算式的條件則會將其資訊捕獲如果沒有給出任何條件則網路上所有的資訊包將會被擷獲bull 例 WinDump -i interface -c 10 -n port 80 -w
filename
2-27
網路安全
封包擷取工具 - Wireshark
bull 開放原始碼軟體bull 起源於 1997年 Wireshark 的前身即為 Ethereal因為商標問題而改名成 Wiresharkbull 支援通訊協定多且完整使用圖形化的介面讓操作者容易上手過濾條件切割細密讓使用者可於乙太網路撈取且經數據過濾分析後的數據流bull 可由此軟體能夠擷取網路封包並盡可能顯示出最為詳細的網路封包資料提供各方應用
2-28
網路安全
網路存取函式庫 - WinPcap
bull WinPcap 是著名 Unix libpcap的Windows版本API
bull Pcap 是用來擷取封包的應用程式介面 (Application Programming Interface API)
bull 免費直接網路存取函式庫bull 許多網路應用軟體運行均須安裝此套函式庫如WiresharkWinDump Nmap及 Snort
2-29
網路安全
WinDump與Winpcab 示意圖bull 透過 WinDump及Winpcap 工具擷取並分析封包後再將資料蒐集至電腦設備中
2-30
乙太網路Ethernet
網路工具
Windump分析封包結構
Winpcap擷取並過濾封包
封包資訊
網路安全 2-31
Module 2-4 封包擷取的實務 ()
網路安全 2-32
Linux kernel packet processing
網路安全 2-33
網路安全
說明bull 架設實作 (一 ) 請將介紹如何安裝與使用
WinDump 依實驗拓樸請使用 WireDump 主機做安裝及測試bull 架設實作 (二 ) 請利用 Wireshark軟體對 FTP 進行封包擷取依實驗拓樸請使用 Wireshark 主機做安裝及測試bull 架設實作 (三 ) 請利用 Wireshark軟體對
Outlook Express進行封包擷取依實驗拓樸請使用 Wireshark 主機做安裝及測試2-34
網路安全
架設實作 (一 )
WinDump 實作 -SSH連線觀察
2-35
網路安全
封包擷取工具 - WinDump
bull 版本ndash 395
bull 支援作業平台ndash Windows 9598NT2000XP2003
bull 其他需求ndash 安裝WinPcap 31 以上版本
bull 下載位址ndash httpwwwwinpcaporgwindumpinstallbin
windump_3_9_5WinDumpexe
2-36
網路安全
其他需求工具 - WinPcap
bull 版本ndash 402 stable
bull 支援作業平台ndash Windows NT42000
Windows XP2003Vista (x86 and x64)Windows Server 2008 (x86 and x64)
bull 下載位址ndash httpwwwwinpcaporginstallbin
WinPcap_4_0_2exe
2-37
網路安全
WinPcap 安裝步驟bull WinPcap 下載完成後即可進行安裝bull 安裝畫面如下點選 Next按鈕繼續下一步
2-38
網路安全
WinDump與WinPcap測試bull 請將下載的 WinDumpexe 檔案存放至 C
Windowssystem32 的目錄之下bull 測試WinDump及WinPcap 是否可運作
ndash 點選開始 -gt 程式集 -gt附屬應用程式 -gt命令提示字元 -gt 輸入「 windump 」按下 Enter 即會出現「 windump listening on DeviceNPF_GenericDialupAdapter」的訊息代表WinDump及WinPcap 安裝成功且可運作
ndash 停止監聽按「 Ctrl + C」將顯示擷取封包的數量
2-39
網路安全
參數 說明-c 指定收到的封包數目當達到該數目時 Tcpdump 即會停止-d 把編譯過的封包編碼轉碼成可閱讀的格式放置於標準輸出-dd 把編譯過的封包編碼轉碼成 C 語言的格式放置於標準輸出-ddd 把編譯過的封包編碼轉碼成十進位的格式放置於標準輸出-F 從所指定的文件中讀取運算式進而忽略其他運算式-f 用數字顯示 IP 位址 -i 指定擷取封包的網路介面 -w 將擷取的封包直接寫入檔案當中不做分析與顯示於畫面
參數 說明-r 從指定的檔案文件中讀取資料該檔案文件由 -w 所製造出來-v 顯示詳細的封包資訊多了 TTL 及服務類型-s 設定每一個封包的大小-S 用絕對數並非相對數的值列出 TCP 連接數-tt 顯示出原始時間並且為不格式化的時間-n 不進行 IP Address 到 Domain
Name 的轉換-nn 不進行 Port 的轉換如 22 就是
ssh
-x 用十六進位字碼列出封包資料
WinDump相關參數列表
2-40
網路安全
WinDump 簡易使用操作說明bull 語法 windump 參數bull 查看目前系統可使用的網卡介面
ndash windump -Dbull 透過查看網卡介面以利後續監聽之用
2-41
網路安全
WinDump 簡易使用操作說明 (續 )
bull WinDump -i 網卡介面代號 -c 擷取封包數量 port 通訊埠
bull 例 WinDump -i 2 -c 10 port 80
2-42
網路安全
WinDump 簡易使用操作說明 (續 )
bull 因於命令提示字元視窗內所顯示的資訊不易閱讀可透過下列指令將其所擷取的資訊導向至檔案bull Windump -i 網卡介面代號 gt 檔名
ndash windump -i 2 -c 10 -w message port 80ndash windump -r message gt messagetxtndash windump -i 2 -c 10 port 80 gt messagetxt
2-43
網路安全
WinDump 簡易使用操作說明 (續 )
112338326205 此為封包被擷取的時間『 HHMMSSfraction』的單位IP 透過的通訊協定是 IPwinser 1099 gt w1wwwviptw1yahoocomtw80 代表的是傳送端是 winser 傳送的通訊埠為 1099 大於 (gt) 的符號指的是封包的傳輸方向 w1wwwviptw1yahoocomtw 為接收端 80 為接收埠
P(PUSH) 為資料傳輸標誌且傳輸的資料為整體資料的 1~ 699 byte 所以這個封包帶有 698 bytes 的資料量 ack 1 win 65535 ACK與Window size 的相關資料2-44
網路安全
bull 以 Testbed建立一實驗相關拓樸及設定如下圖SSHClientOSWINXP-SP3-CH-pc3000 IP 10113安裝軟體 putty
SSHServerOSWINXP-SP3-CH-pc3000IP 10123安裝軟體 sshd
實驗環境介紹
2-45
IP1
IP2
WireDumpOSWINXP-SP3-CH-pc3000IP1 10112IP2 10122安裝軟體 WinDump
網路安全
實驗拓樸 on TestbedTWISC- 建立完成的實驗拓樸
2-46
網路安全
SSH連線觀察bull 利用 Putty連線到 SSHServer從中觀察到三向交握建立連線的動作從 SSHClient 端利用 putty連線到SSHServer(10123)的 sshd服務
2-47
網路安全
SSH連線觀察 (續 )
bull SSH 在連線之前會利用三向交握的方式建立連線bull 利用 WinDump觀察 SSH連線動作
ndash 指令 WinDumpexe -N -S -i 4 port 22
三向交握的三個封包三向交握示意圖Server lt- Client SYN 你想連線Server -gt Client SYN ACK 可以我接受Server lt- Client ACK 謝謝
2-48
網路安全
架設實作 (二 )
FTP 擷取密碼案例
2-49
網路安全
FTPClientOSWINXP-SP3-pc3000IP 10112安裝軟體 FileZilla
FTPServerOSWINXP-SP3-pc3000IP 10123安裝軟體 RaidenFTPD
實驗環境介紹bull 以 Testbed建立一實驗相關拓樸及設定如下圖
2-50
IP1IP2
WireSharkOSWINXP-SP3-pc3000IP1 10113IP2 10122安裝軟體 Wireshark
網路安全
實驗拓樸 on TestbedTWISC- 建立完成的實驗拓樸
2-51
網路安全
FTP伺服器工具 - RaidenFTPD
bull 版本ndash 24 build 3720
bull 支援作業平台ndash Windows
bull 下載位址ndash httpwwwraidenmaildcomdownloadraidenftpd2exe
2-52
網路安全
RaidenFTPD 安裝步驟bull 下載Windows平台最新版本檔案下載完成後執行該安裝程式
2-53
網路安全
RaidenFTPD 安裝步驟 (續 )
bull 此步驟使用預設路徑即可按下 Install 進行安裝
2-54
網路安全
RaidenFTPD設定步驟bull 程式開啟畫面如下選擇 Click here to start a new
server 進行 FTP伺服器設定
2-55
網路安全
RaidenFTPD設定步驟 (續 )
bull 此處可設定 Server name與 Server IP 將 Auto IP 取消勾選並將 Server IP設為 10123
2-56
網路安全
RaidenFTPD設定步驟 (續 )
bull 接下來的步驟依照預設值即可
2-57
網路安全
RaidenFTPD設定步驟 (續 )
bull 設定人員帳號與群組按下 Add鈕輸入帳號密碼群組名稱可略過完成後按下 Next 進行下一步驟
2-58
網路安全
RaidenFTPD設定步驟 (續 )
bull 此步驟設定該帳號登入 FTP 時的權限選擇NORMAL 按下 Next 進行下一步驟
2-59
網路安全
RaidenFTPD設定步驟 (續 )
bull 接下來的步驟皆以預設值即可完成設定之後會出現對話視窗顯示您所設定的資訊
2-60
網路安全
FTP 用戶端工具 - Filezilla
bull 版本ndash 328
bull 支援作業平台ndash Windows Linux及Mac
bull 下載位址ndash httpsourceforgenetprojectsfilezillafiles
FileZilla_Client328FileZilla_328_win32zipdownload
2-61
網路安全
Filezilla 安裝步驟bull 執行 Filezilla 安裝程式點選 I agree 鈕
2-62
網路安全
Filezilla 安裝步驟 (續 )
bull 以預設值安裝點選兩次 Next 鈕
2-63
網路安全
Filezilla 安裝步驟 (續 )
bull 以預設值安裝點選 Next 鈕後再點選 Install 鈕
2-64
網路安全
Filezilla 安裝步驟 (續 )
bull 以預設值安裝點選 Next 鈕後再點選 Finish 鈕
2-65
網路安全
封包擷取工具 - Wireshark
bull 版本ndash 165
bull 支援作業平台ndash Windows Linux及 FreeBSD
bull 其他需求ndash 安裝WinPcap 31 以上版本
bull 下載位址ndash httpwiresharkdownloadsriverbedcomwireshark
win32wireshark-win32-165exe
2-66
網路安全
Wireshark 安裝步驟bull 至官方網站下載Windows平台最新版本檔案下載完成後執行該安裝程式
2-67
網路安全
Wireshark 安裝步驟 (續 )
bull 於下一步出現的版權宣告點選 I Agree鈕後繼續下一步驟
2-68
網路安全
Wireshark 安裝步驟 (續 )
bull 此步驟選擇欲安裝的元件以軟體預設勾選之項目安裝
2-69
網路安全
Wireshark 安裝步驟 (續 )
bull 此步驟使用預設路徑即可
2-70
網路安全
Wireshark 安裝步驟 (續 )
bull 此步驟將安裝Windows平台須加裝之套件 -WinPcap 若原系統未安裝過 WinPcap套件請以軟體預設項目安裝之
2-71
網路安全
Wireshark 安裝步驟 (續 )
bull 此步驟代表 Wireshark軟體已安裝完成可點選Finish 鈕或勾選 Run Wireshark 165 隨即使用該套軟體
2-72
網路安全
一般工具列Wireshark軟體介面介紹
2-73
篩選工具列封包清單窗格
封包內容窗格封包位元組窗格
網路安全
Wireshark 使用思考方向bull 遇到網路問題是否觀察網路通道中有異常動作或狀況
ndash 思考方向ndash 反應到擷取數據方法那麼以 Wireshark 擷取使用者需要擷取哪些數據這些數據由使用者電腦哪個裝置來擷取
bull Wireshark操作流程
bull 接下來我們進行軟體操作介紹
解決問題 擷取數據要先做什麼
擷取數據 擷取哪些數據( 過濾條件 )數據哪裡來( 網路介面卡 )
2-74
網路安全
數據哪裡來 - Capture功能bull 一開啟方式
ndash 1 點選快速鈕如紅色圈所示ndash 2 點選 Capture功能表 下拉選單後點選 Optionsndash 3鍵盤快速鍵 Ctrl + K
2-75
網路安全
數據哪裡來 - Capture功能 (續 )
bull 二開啟後顯示 Capture Options 的視窗畫面即可看到所提供的擷取功能選項
2-76
網路安全
數據哪裡來 - Capture功能 (續 )
bull Capture Options 常用的欄位設定ndash Caputure 框
bull 1Interface 會顯示出在系統上所有網路卡但只能選取一個介面作為封包擷取bull 2Capture packets in promiscuous mode 選取此選項就是經過所選取的網路卡的所有封包都會被擷取下來bull 3Capture Filter 指定擷取過濾器運算式擷取想要的特定封包即為擷取中過濾之功能
2-77
網路安全
數據哪裡來 - Capture功能 (續 )
bull Capture Options 常用的欄位設定ndash Display Options 框
bull Update list of packets in real time 指定在擷取封包過程中能夠即時更新已擷取封包清單窗格視窗中的封包資訊若取消則軟體主視窗更新畫面是沒有動作的
2-78
網路安全
bull Capture Options 常用的欄位設定ndash Name Resolution框
bull 1 Enable MAC name resolution 指定是否將網路卡MAC address 的前三個位元組轉換成製造商名稱
bull 2 Enable network name resolution 指定是否將 IP address轉換成 DNS 網域名稱
bull 3 Enable transport name resolution 指定是否將通信埠號碼 (port numbers)轉成協定名稱 (protocols)bull 各位了解數據從哪裡擷取的概念與操作之後即可以進一步加上附帶條件 (篩選條件 ) 等相關操作方式
數據哪裡來 - Capture功能 (續 )
2-79
網路安全
Wireshark操作手法bull 延續遇到問題的思考方向及軟體操作手法我們可以將操作流程分為兩種
ndash 擷取中過濾 (Filter while capturing)bull 優點僅擷取已知範圍資訊網路流量少bull 缺點需先了解問題類型避免可能有遺漏真正欲擷取資訊之狀況
ndash 檢視中過濾 (Filter packets while viewing)bull 優點不用先預設條件擷取所有封包資訊bull 缺點影響網路流量
先預設欲擷取條件 擷取數據
擷取數據 再篩選欲查詢數據2-80
網路安全
Wireshark操作手法 - 擷取中過濾bull 操作步驟
ndash 點選 Capture 下拉視窗選擇 Capture Filters 即呈現此視窗
bull 操作範例ndash 1於 Filter窗格中選擇 IP
Address 10112ndash 2於 Properties窗格中即顯示該選項的設定值如圖所示為 host 10112ndash 3 即可設定軟體僅針對
10112 的封包作擷取動作 延伸操作思考1 改變 Filter string 值得到什麼結果2 點選 Edit 窗格中的 New 鈕 新增自訂條件 2-81
網路安全
Wireshark操作手法 - 檢視中過濾bull 此步驟即以已擷取封包清單窗格為基礎以過濾條件過濾該清單bull 可直接選擇軟體預設項目如以下操作
ndash 操作步驟bull 點選 Analyze 下拉視窗選擇
Display Filters 即呈現此視窗ndash 操作範例
bull 1於 Filter窗格中選擇 IP Address 10112
bull 2於 Properties窗格中即顯示該選項的設定值如圖所示值為host 10112
bull 3 即可設定軟體僅針對 10112的封包作顯示動作 延伸操作思考1 可否進行進一步自訂設定值
2-82
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 若電腦 IP為 10112 欲篩選出 IP 來源為上述 IP 且協定為 TCP 80port 的所有封包ndash 操作步驟
bull 點選 Expression鈕即出現此視窗ndash 1於 Field name框選擇
IP項目中的 ipsrc - Source
ndash 2於 Relation框選擇 ==ndash 3於 Value [IPV4
address]填 入 10112ndash 4 點選 OK鈕 進階思考方式須考慮到例如是來源資訊是目標資訊是什麼協定等更細部所要之條件
2-83
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 再進行第二篩選條件ndash TCP 80 port
bull 操作步驟ndash 1先於 Filter string 輸入文字框「 ipsrc==
10112」後再加上一個空格及「 and 」再進行一次 Expression條件選擇
2-84
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
ndash 2於 Field name框選擇「 tcpdstport」ndash 3於 Relation框選擇「 ==」ndash 4於 Value框填入「 80」ndash 5 選擇「 OK」鈕
2-85
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 注意 Propeties框內的Filter string欄位值已改變為「 ipsrc == 10112 and tcpdstport == 80」
bull 確認條件正確後點選「 OK 」鈕即可發現已擷取封包清單窗格的項目均為所設定過濾條件過濾過結果2-86
網路安全
bull 可單選單一封包進行更進階查詢封包內容bull 操作方式為
ndash 點選其中一項封包項目點選滑鼠右鍵選擇Follow TCP Stream
Wireshark操作手法 - 檢視中過濾 (續 )
2-87
網路安全
ndash 此畫面即可看出該項 TCP 封包溝通內容Wireshark操作手法 - 檢視中過濾 (續 )
2-88
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 此功能將所擷取的封包清單使用多種方式呈現封包統計資料便於使用者查詢擷取時間內何種封包數量多寡及圖型顯示bull 操作步驟點選 Statistics 下拉視窗即呈現此視窗 顯示有關擷取清單的摘要以階梯式通訊協定列表顯示所擷取的所有封包
在特定 IP間顯示通訊流量顯示單一 IP 來往封包的流量
以時間軸顯示視覺化封包流量圖2-89
網路安全
bull 可查看到一時段內其封包總數與平均每秒傳遞接收封包數等相關資訊讓使用者了解平均一時段內網路流量狀況藉以初步獲得資訊
Wireshark操作手法 - 檢視中過濾 (續 )
2-90
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 讓使用者可透過階梯式封包分類表來查看哪一類封包佔為居多可進一步推測是否該類型封包影響到整體網路或是否有異常或不常見封包類型在網路中傳遞
2-91
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 將該擷取時段內封包清單檔以兩個特定 IP 之間對傳封包為區隔顯示出哪兩個特定 IP間傳遞封包數多寡bull 可讓使用者更進一步研判兩個特定 IP所屬設備傳遞狀況是否異常
2-92
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 將該擷取時段內封包清單檔以特定IP 傳遞封包數為區隔顯示出哪特定IP 傳遞封包數多寡
bull 可讓使用者更進一步研判該特定所屬設備傳遞封包數是否異常作為管制緊急管制或禁止通訊之證明2-93
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 以時間軸顯示視覺化封包流量圖bull 讓使用者可觀察所管理設備資訊流通量以了解設備是否能負荷或作相關調整等處置
2-94
網路安全
FTP 擷取密碼案例bull 於Wireshark軟體選擇 Capture 下拉選單功能項點選 Interfaces 選項
2-95
網路安全
FTP 擷取密碼案例 (續 )
bull 確認欲擷取封包之網卡名稱如紅色底線所示確認後點選 Start鈕
2-96
網路安全
FTP 擷取密碼案例 (續 )
bull 切換至 FTP Client 電腦開啟 FileZilla 程式後連線到 FTP Server 於 Host 填入10123 Username填入 tester Password填入testpw 後點選 Quickconnect鈕
2-97
網路安全
FTP 擷取密碼案例 (續 )
bull 擷取到的封包資訊會顯示於已擷取封包清單窗格內
2-98
網路安全
FTP 擷取密碼案例 (續 )
bull 使用 FTP軟體登入 ftp站後 Wireshark 將擷取到的使用者名稱與密碼如紅框所示
2-99
網路安全
FTP 擷取密碼案例 (續 )
bull 點選已擷取封包清單窗格的密碼資訊列如標示1 的紅框所示即可在封包內容窗格看到該密碼的位元碼如標示 2 的紅框所示
1
2
2-100
網路安全
架設實作 (三 )
Outlook Express 擷取密碼案例
2-101
網路安全
實驗環境介紹bull 以 Testbed建立一實驗相關拓樸及設定如下圖
OEClientOSWindows XP SP3IP 10112執行 Outlook Express
MailServerOSWindows XP SP3IP 10122安裝軟體 ArGoSoft Mail Server
2-102
WiresharkOSWindows XP SP3IP1 10113 IP2 10123安裝軟體 Wireshark
IP1IP2
網路安全
實驗拓樸 on TestbedTWISC- 建立完成的實驗拓樸
2-103
網路安全
郵件伺服器工具 - ArGoSoft Mail Server
bull 版本ndash 1892 Freeware
bull 支援作業平台ndash Windows
bull 下載位址ndash httpwwwsoftkingcomtwsoftdownloadaspfid3=7367
2-104
網路安全
郵件客戶端工具 - Outlook Express
bull 版本ndash 60
bull 支援作業平台ndash Windows
bull 下載位址ndash Windows 內建
2-105
網路安全
bull 安裝及設定郵件伺服器ndash 1下載並執行 ArGoSoft Mail Server軟體點選
Setup鈕
Outlook Express 擷取密碼案例
2-106
網路安全
ndash 1 點選 Next鈕ndash 2 點選 Start Installation鈕
Outlook Express 擷取密碼案例 (續 )
2-107
網路安全
ndash 3 點選 OK鈕ndash 4 點選 Finish鈕完成軟體安裝
Outlook Express 擷取密碼案例 (續 )
2-108
網路安全
ndash 5 點選使用者設定鈕如紅圈所示ndash 6 點選新增鈕如紅框所示
Outlook Express 擷取密碼案例 (續 )
2-109
網路安全
ndash 7填入使用者名稱 (tester) 及密碼 (testpw) 如紅圈所示填寫完成後點選 OK鈕ndash 8 點選 Close鈕關閉使用者設定視窗
Outlook Express 擷取密碼案例 (續 )
2-110
網路安全
ndash 9 點選選項鈕如左側圖中紅色圈所示ndash 10 點選紅色打勾鈕如右側圖中紅色圈所示
2-111
Outlook Express 擷取密碼案例 (續 )
網路安全
ndash 11該軟體會自動選取 DNS Server 待選取後點選 Yes鈕ndash 12 勾選 Allow Relay 選項如紅框所示
2-112
Outlook Express 擷取密碼案例 (續 )
網路安全
Outlook Express 擷取密碼案例 (續 )
bull 設定收信帳號ndash 1 點選 Tools功能選單選擇 Accounts 選項
2-113
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 2 點選 Add鈕選擇 Mail 選項
2-114
網路安全
ndash 3填入 tester 點選 Next鈕ndash 4填入 testertestcom 點選 Next鈕
Outlook Express 擷取密碼案例 (續 )
2-115
網路安全
ndash 5填入 10123 如紅框所示點選 Next鈕ndash 6填入帳號為 tester 及密碼為 testpw 點選 Next鈕
Outlook Express 擷取密碼案例 (續 )
2-116
網路安全
ndash 7 點選 Finish鈕ndash 8 點選 Close鈕
Outlook Express 擷取密碼案例 (續 )
2-117
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 模擬條件準備好後首先準備Wireshark 擷取動作開啟Wireshark
2-118
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 於Wireshark軟體選擇 Capture 下拉選單功能項點選 Interfaces 選項
2-119
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 確認欲擷取封包之網卡名稱如紅色底線所示確認後點選 Start鈕
2-120
網路安全
ndash 當使用者收發 email 時即被 Wireshark攔截封包ndash 有發現到該 Outlook Express帳號密碼是如此清晰可見的嗎
Outlook Express 擷取密碼案例 (續 )
2-121
網路安全
結論bull 學習了 Wireshark及WinDump 兩套網路封包擷取軟體基本概念如同電話側錄概念相同從中複製一連串資訊來分析與了解網路的流量及內容為何bull 當你發現網路速度緩慢等狀況你是否會反應到所學的基本概念來找尋問題所在bull 防範概念由此課程的實例可以了解網路內容如被有心人士擷取所造成的損失相當可觀故你是否有對策有哪些方式你可以應用來防範bull 正確的思考善用對的工具將對解決問題事半功倍
2-122
網路安全 2-123
Module 2-5 封包擷取與分析的專案實作()
網路安全
專案目的bull 建立遠端管理傳遞指令資訊環境bull 利用實際攔截封包操作的方式讓同學了解封包擷取運作與網路資訊流通的顧慮等相關議題
2-124
網路安全
專案描述bull 近年來遠端管理伺服器及網路服務普及光是密碼保護就足夠了嗎是否重點網段須全程加密還是作網段隔離經由此專案實作即可了解不僅部分加密仍有其風險所在網路架構如何規劃將是非常重要的課題bull 參考環境配置圖完成下列要求①環境裡的攔截封包主機是 Windows XP SP3 作業系統而該主機安裝Wireshark軟體②另兩台主機的作業系統亦是 Windows XP SP3 並裝上
MySQL軟體 MySQL帳號為 root 密碼為您的學號 (如 Q3896105)
③在MySQLClient 電腦使用 MySQL Commandline 指令連線至MySQLServer 擷取資料庫資訊
④我們針對這兩台主機傳訊的封包擷取由整個實做中思考如何防範資訊外洩與了解傳訊封包如何流動及運作2-125
網路安全
環境配置圖bull 以 Testbed建立一實驗相關拓樸及設定如下圖
MySQLServerOSWINXP-SP3-CH-pc3000 IP 10123安裝軟體 MySQL
MySQLClientOSWINXP-SP3-CH-pc3000 IP 10112安裝軟體 MySQL
2-126
WireSharkOSWINXP-SP3-CH-pc3000 IP1 10113IP2 10122安裝軟體 Wireshark
IP1IP2
網路安全
作業繳交bull 請參考情境測試發送數個 SQL 指令並將過程與擷取到的封包資訊之截圖列於報告中所有圖表皆需要輔以文字說明bull Deadline 2012312 下午 500 以前bull 作業範圍 Module 2-5 (page 2-128)bull 方式 (參考課程網址 )
ndash 帳號密碼小寫的 (ns100ns100)ndash IP 140116164167
2-127
網路安全
有問題嗎
bull 關於 TestBed 使用上的問題請直接 Email至 twisc-testbed-usergooglegroupscom 將有專人為您服務bull 課程網址
httpitlabeenckuedutwcoursesNS_100indexhtml
2-128
bull 助教資訊 (參考課程網址 )
網路安全
參考資料bull Dienet httplinuxdienetman1wiresharkbull Orebaugh Angela Ramirez Gilbert Burke Josh Pesce Larry Wright
Joshua(2007) Wireshark and Ethereal network protocol analyzer toolkitbull Tony Fortunato(2007) Wireshark Training Retrieved July 22 2009 from
the World Wide Web httpwwwthetechfirmcometherealwiresharkpdfbull WinDump httpwwwwinpcaporgWinDumpbull Wireshark httpwwwwiresharkorgbull Wireshark University httpwwwwiresharktrainingcombull 楊中皇 (民 97年 ) 網路安全理論與實務 (2版 ) 台北市學貫bull 蘇淑茵教授 Wireshark 民國 98年 6月 28日取自 httpmywebnckuedutw~sisou
2-129
網路安全
封包定義bull 依照 CCITT( 國際電報電話諮詢委員會 ) 對封包的解釋封包是一段數位訊號的集合通常包括使用者資料及控制訊息兩部份bull 使用者資料真正所要傳送的內容bull 控制訊息包括如傳送端與接收端的位址封包前後次序的編號以及一些錯誤控制碼等
2-6
控制訊息
目的位址 來源位址
資料封包內容圖
網路安全
封包介紹 bull 在網路中進行傳輸的最小資訊單位bull 封包在網路上傳送的速度較快而且在傳輸過程中不會妨礙其他網路封包的傳輸當任何封包發生錯誤時只有錯誤的封包必須重新傳送而不是整個資料重傳
2-7
網路安全
封包 VS 資料bull 欲傳輸一個較大的資料例 2100 Bytes 之文字檔在傳輸上為了方便通常會將此資料切割成若干個段落如下表示
bull 每個段落即為一個封包2-8
Flag=01 Length=2099
Flag=00 Length=1587
Flag=00 Length=1075
Flag=00 Length=563
Flag=10 Length=51
Flag=11 Length=2099
來源資料 = 2106 octets2100 octets
512 octets
512 octets
512 octets
512 octets
52octets
第一段落持續段落 1
持續段落 2
持續段落 3
最後段落
PH
SH
SH
SH
SH
SH
PH = 來源資料的主要檔頭SH = 段落檔頭
網路安全
區段 內容 說明表頭區(header)
警告訊號 警告訊號用來顯示接受端訊息已開始傳送時脈是使雙方同步傳輸過程且顯示來源電腦和目的電腦的位址
來源位置目的位置時脈
資料區(data
block)資料 存放實際傳輸資料能存放的資料大小約
512到 4K Bytes 由於無法存放太大的資料因此資料傳輸時會被切割為封包
表尾區(trailer)
循環檢查碼循環檢查的相關檢查碼 (CRC) 是利用演算公式計算出來當接收端收到封包時為了確定資料是否正確會將封包中的資料利用演算公式重新計算一次結果必須和相關檢查碼相同表示傳輸的資料才正確
封包構成區段
2-9
網路安全
資料切割成封包傳輸的原因bull 避免網路阻塞如果直接將資料傳送到網路上由於資料太大會造成網路的擁擠其它電腦都會因為等待這台電腦傳輸資料而無法工作
A H
B
C
E
F
網路阻塞示意圖
資料 1 傳遞中
DG
欲傳輸資料資料 2資料 1
資料 3
資料 1
完成傳輸資料
2-10
網路安全
資料切割成封包傳輸的原因 (續 )
bull 可多路徑傳遞當網路較複雜時兩台電腦之間的通訊路徑就不只一個資料拆成封包後可以透過路由 (Routing)走不同的路徑到達目的地然後再組合起來加快傳遞速度一般路徑傳輸藍色路徑 A gt B gt D gt F封包 1 已傳輸封包 2 欲傳輸 D 點發生忙碌時變更路徑傳輸綠色路徑 A gt B gt E gt F
A F
B
C
D
E封包 1
完成傳輸封包等待傳輸封包封包 2封包 1 多路徑傳遞示意圖
2-11
網路安全
路由 (Routing) 簡介bull 封包在網路上的傳輸是透過路由 (Routing) 將封包從來源位址傳輸到目的位址
bull 路由為網路 OSI七層中的網路層 (Network Layer) 所負責
2-12
應用層Application Layer
表現層Presentation Layer
交談層Session Layer
傳輸層Transport Layer
網路層Network Layer
資料連結層Data-Link Layer
實體層Physical Layer
網路安全
路由 (Routing) 簡介 (續 )
bull 路由器 (Router) 功用為分配引導封包傳遞如下個需經過之主機以完成封包傳遞bull 路由表 (Routing
Table) 一般來說路由器皆會存有路由表用來紀錄與儲存到達各個目的地之最佳路徑2-13
Network Distance Port Next Router Entry State
1 0 1 0 Good
2 1 2 Router 2 Good
Router2
Router1Port1
Port2Network1
Network2
Routing Table
網路安全
封包分組封包重組bull 一個資料若拆成若干個封包經過多路徑傳遞後因為網路狀況及路由器分配之傳遞路線不同先送出之封包不一定會先被收到bull 每個經拆解後的封包皆有他自己的編號接收端可依此編號將封包重組回原始資料bull 表頭 (Header) 即記載這些額外資訊
2-14
資料Part1資料Part2資料Part3
資料Part4
資料Part5
資料Part4
資料Part5
封包重組
拆出資料
網路安全
封包與生活中物件做比較bull 如果把封包比喻成信件它們之間是有一些類似的性質
ndash 信封就相當於封包的控制訊息內容包含收件人與寄件人的地址郵遞區號及信件類型 (平信限時及掛號 )ndash 信封內的文字部分 (郵差看不到的部分 )相當於使用者資料ndash 兩者較不同的地方是信件是在郵差在路上騎機車幫我們遞送信件封包是在網路上傳輸的
2-15
網路安全
封包與生活中物件做比較 (續 )
ndash 因為一些傳輸效率上的因素封包的傳遞過程是將信件分裝成一封一封小的信件使用相同的信封寄往目的地ndash 如果從安全性的角度來看封包與信件最大的不同點在於信件內容洩露的部分如果今天信件被拆封偷看收信人可從彌封部分看出個端倪但封包資訊是相當容易被複製與修改的目地端收到此封包是很難確保封包內容沒有被惡意者所偷窺與修改過
2-16
網路安全
了解封包進階思考bull 並非所有的通訊協定都有相同的欄位資料由於採用不同的通訊協定 (TCP與 UDP) 網路封包的結構都有些許的差異但了解基礎封裝方式即可推理各種不同的通訊協定bull 在實務上想要進行網路封包分析的原因有很多故首要先了解什麼是封包定義及其運作方式後再搭配合適的網路封包擷取程式來解決實務上所遇的問題
2-17
網路安全
Module 2-2 封包結構與通訊協定 ()
2-18
網路安全
bull 目前網路使用相當多不同類型的通訊協定下圖列舉出在 OSI 協定七層中常見的通訊協定bull 網路上有許多不安全的通訊協定且大多採用明碼方式傳送經常造成資訊外洩如
HTTP TELNET及 SMTP 等故必要時須顧慮到資訊安全的議題
PPP
IPARP
UDP TCP
TelnetFTPSMTP
SLIP
HTTP
網路 OSI七層常見通訊協定類型
2-19
網路安全
封包結構與傳輸過程Application
TCP
IP
DeviceDriver
SMTPTELNETFTP
TCPUDP
ARPRARPICMP
EthernetX25PPP
TCPIP 四層 常見通訊協定User Data
App Header
Application DataTCP Header
IP Header
Frame Header
Frame Trailer
User Data
Application Data
Application Data
TCP Header
TCP Header
IP Header
TCP Segment
IP Segment
Frame
封包封裝
Socket NetBIOS
2-20
網路安全
IP 表頭
2-21
0
Precedence(3 Bits)
Delay(1 Bit)
Throughout(1Bit)
Reliability(1 Bit)
Cost(1 Bit)
Reserved(1Bit)
Type Of Service(8 Bits)
=
Reserved(1 Bit)
Donrsquot Fragment
(1 Bit)
More Fragment
(1 Bit)
Flags(3 Bits)
=
Version(4 Bits)
IHL(4 Bits)
Total Length(16 Bits)
Identification(16 Bits)
Fragment Offset(13 Bits)
Time to Live(8 Bits)
Protocal(8Bits)
Header Checksum(16 Bits)
Source Address (32 Bits)
Destination Address (32 Bits)
Options (長度不定 ) Padding (長度不定 )
32
64
96
128
160
Type of Service(8Bits)
Flags(3
Bits)
網路安全
封包 header 實例
2-22
網路安全
封包擷取的原理
A電腦網路卡
目的地A封包
目的地B封包
被丟棄
2-23
網路安全
封包擷取的原理 (續 )
bull 為了監聽到其他使用者的封包監聽者會將網路卡修改為混亂模式 (Promiscuous) 混亂模式不會對目標 MAC 位置做檢查的動作而是將所收到的所有封包做接收的動作bull 藉由混亂模式就可以在 HUB 的區域網路環境中或無線網路的環境中擷取其他人的封包訊息
2-24
網路安全
Module 2-3 封包擷取工具介紹 ()
2-25
網路安全
封包擷取工具比較bull 商業軟體
ndash 優 有廠商維護支援性較佳ndash 缺 成本較高ndash 例 NetResident與 EtherDetect
bull 免費軟體ndash 優 成本較低ndash 缺 功能與使用說明較為簡略ndash 例 Wireshark與WinDump
2-26
網路安全
封包擷取工具 - WinDump
bull 一種開放原始碼的網路軟體工具為 Windows版的 tcpdumpbull 可以分析封包的流向並且對於封包的內容也可以進行 監聽 bull WinDump運算式是一種規則運算式利用一些條件來進行訊息的過濾當訊息滿足運算式的條件則會將其資訊捕獲如果沒有給出任何條件則網路上所有的資訊包將會被擷獲bull 例 WinDump -i interface -c 10 -n port 80 -w
filename
2-27
網路安全
封包擷取工具 - Wireshark
bull 開放原始碼軟體bull 起源於 1997年 Wireshark 的前身即為 Ethereal因為商標問題而改名成 Wiresharkbull 支援通訊協定多且完整使用圖形化的介面讓操作者容易上手過濾條件切割細密讓使用者可於乙太網路撈取且經數據過濾分析後的數據流bull 可由此軟體能夠擷取網路封包並盡可能顯示出最為詳細的網路封包資料提供各方應用
2-28
網路安全
網路存取函式庫 - WinPcap
bull WinPcap 是著名 Unix libpcap的Windows版本API
bull Pcap 是用來擷取封包的應用程式介面 (Application Programming Interface API)
bull 免費直接網路存取函式庫bull 許多網路應用軟體運行均須安裝此套函式庫如WiresharkWinDump Nmap及 Snort
2-29
網路安全
WinDump與Winpcab 示意圖bull 透過 WinDump及Winpcap 工具擷取並分析封包後再將資料蒐集至電腦設備中
2-30
乙太網路Ethernet
網路工具
Windump分析封包結構
Winpcap擷取並過濾封包
封包資訊
網路安全 2-31
Module 2-4 封包擷取的實務 ()
網路安全 2-32
Linux kernel packet processing
網路安全 2-33
網路安全
說明bull 架設實作 (一 ) 請將介紹如何安裝與使用
WinDump 依實驗拓樸請使用 WireDump 主機做安裝及測試bull 架設實作 (二 ) 請利用 Wireshark軟體對 FTP 進行封包擷取依實驗拓樸請使用 Wireshark 主機做安裝及測試bull 架設實作 (三 ) 請利用 Wireshark軟體對
Outlook Express進行封包擷取依實驗拓樸請使用 Wireshark 主機做安裝及測試2-34
網路安全
架設實作 (一 )
WinDump 實作 -SSH連線觀察
2-35
網路安全
封包擷取工具 - WinDump
bull 版本ndash 395
bull 支援作業平台ndash Windows 9598NT2000XP2003
bull 其他需求ndash 安裝WinPcap 31 以上版本
bull 下載位址ndash httpwwwwinpcaporgwindumpinstallbin
windump_3_9_5WinDumpexe
2-36
網路安全
其他需求工具 - WinPcap
bull 版本ndash 402 stable
bull 支援作業平台ndash Windows NT42000
Windows XP2003Vista (x86 and x64)Windows Server 2008 (x86 and x64)
bull 下載位址ndash httpwwwwinpcaporginstallbin
WinPcap_4_0_2exe
2-37
網路安全
WinPcap 安裝步驟bull WinPcap 下載完成後即可進行安裝bull 安裝畫面如下點選 Next按鈕繼續下一步
2-38
網路安全
WinDump與WinPcap測試bull 請將下載的 WinDumpexe 檔案存放至 C
Windowssystem32 的目錄之下bull 測試WinDump及WinPcap 是否可運作
ndash 點選開始 -gt 程式集 -gt附屬應用程式 -gt命令提示字元 -gt 輸入「 windump 」按下 Enter 即會出現「 windump listening on DeviceNPF_GenericDialupAdapter」的訊息代表WinDump及WinPcap 安裝成功且可運作
ndash 停止監聽按「 Ctrl + C」將顯示擷取封包的數量
2-39
網路安全
參數 說明-c 指定收到的封包數目當達到該數目時 Tcpdump 即會停止-d 把編譯過的封包編碼轉碼成可閱讀的格式放置於標準輸出-dd 把編譯過的封包編碼轉碼成 C 語言的格式放置於標準輸出-ddd 把編譯過的封包編碼轉碼成十進位的格式放置於標準輸出-F 從所指定的文件中讀取運算式進而忽略其他運算式-f 用數字顯示 IP 位址 -i 指定擷取封包的網路介面 -w 將擷取的封包直接寫入檔案當中不做分析與顯示於畫面
參數 說明-r 從指定的檔案文件中讀取資料該檔案文件由 -w 所製造出來-v 顯示詳細的封包資訊多了 TTL 及服務類型-s 設定每一個封包的大小-S 用絕對數並非相對數的值列出 TCP 連接數-tt 顯示出原始時間並且為不格式化的時間-n 不進行 IP Address 到 Domain
Name 的轉換-nn 不進行 Port 的轉換如 22 就是
ssh
-x 用十六進位字碼列出封包資料
WinDump相關參數列表
2-40
網路安全
WinDump 簡易使用操作說明bull 語法 windump 參數bull 查看目前系統可使用的網卡介面
ndash windump -Dbull 透過查看網卡介面以利後續監聽之用
2-41
網路安全
WinDump 簡易使用操作說明 (續 )
bull WinDump -i 網卡介面代號 -c 擷取封包數量 port 通訊埠
bull 例 WinDump -i 2 -c 10 port 80
2-42
網路安全
WinDump 簡易使用操作說明 (續 )
bull 因於命令提示字元視窗內所顯示的資訊不易閱讀可透過下列指令將其所擷取的資訊導向至檔案bull Windump -i 網卡介面代號 gt 檔名
ndash windump -i 2 -c 10 -w message port 80ndash windump -r message gt messagetxtndash windump -i 2 -c 10 port 80 gt messagetxt
2-43
網路安全
WinDump 簡易使用操作說明 (續 )
112338326205 此為封包被擷取的時間『 HHMMSSfraction』的單位IP 透過的通訊協定是 IPwinser 1099 gt w1wwwviptw1yahoocomtw80 代表的是傳送端是 winser 傳送的通訊埠為 1099 大於 (gt) 的符號指的是封包的傳輸方向 w1wwwviptw1yahoocomtw 為接收端 80 為接收埠
P(PUSH) 為資料傳輸標誌且傳輸的資料為整體資料的 1~ 699 byte 所以這個封包帶有 698 bytes 的資料量 ack 1 win 65535 ACK與Window size 的相關資料2-44
網路安全
bull 以 Testbed建立一實驗相關拓樸及設定如下圖SSHClientOSWINXP-SP3-CH-pc3000 IP 10113安裝軟體 putty
SSHServerOSWINXP-SP3-CH-pc3000IP 10123安裝軟體 sshd
實驗環境介紹
2-45
IP1
IP2
WireDumpOSWINXP-SP3-CH-pc3000IP1 10112IP2 10122安裝軟體 WinDump
網路安全
實驗拓樸 on TestbedTWISC- 建立完成的實驗拓樸
2-46
網路安全
SSH連線觀察bull 利用 Putty連線到 SSHServer從中觀察到三向交握建立連線的動作從 SSHClient 端利用 putty連線到SSHServer(10123)的 sshd服務
2-47
網路安全
SSH連線觀察 (續 )
bull SSH 在連線之前會利用三向交握的方式建立連線bull 利用 WinDump觀察 SSH連線動作
ndash 指令 WinDumpexe -N -S -i 4 port 22
三向交握的三個封包三向交握示意圖Server lt- Client SYN 你想連線Server -gt Client SYN ACK 可以我接受Server lt- Client ACK 謝謝
2-48
網路安全
架設實作 (二 )
FTP 擷取密碼案例
2-49
網路安全
FTPClientOSWINXP-SP3-pc3000IP 10112安裝軟體 FileZilla
FTPServerOSWINXP-SP3-pc3000IP 10123安裝軟體 RaidenFTPD
實驗環境介紹bull 以 Testbed建立一實驗相關拓樸及設定如下圖
2-50
IP1IP2
WireSharkOSWINXP-SP3-pc3000IP1 10113IP2 10122安裝軟體 Wireshark
網路安全
實驗拓樸 on TestbedTWISC- 建立完成的實驗拓樸
2-51
網路安全
FTP伺服器工具 - RaidenFTPD
bull 版本ndash 24 build 3720
bull 支援作業平台ndash Windows
bull 下載位址ndash httpwwwraidenmaildcomdownloadraidenftpd2exe
2-52
網路安全
RaidenFTPD 安裝步驟bull 下載Windows平台最新版本檔案下載完成後執行該安裝程式
2-53
網路安全
RaidenFTPD 安裝步驟 (續 )
bull 此步驟使用預設路徑即可按下 Install 進行安裝
2-54
網路安全
RaidenFTPD設定步驟bull 程式開啟畫面如下選擇 Click here to start a new
server 進行 FTP伺服器設定
2-55
網路安全
RaidenFTPD設定步驟 (續 )
bull 此處可設定 Server name與 Server IP 將 Auto IP 取消勾選並將 Server IP設為 10123
2-56
網路安全
RaidenFTPD設定步驟 (續 )
bull 接下來的步驟依照預設值即可
2-57
網路安全
RaidenFTPD設定步驟 (續 )
bull 設定人員帳號與群組按下 Add鈕輸入帳號密碼群組名稱可略過完成後按下 Next 進行下一步驟
2-58
網路安全
RaidenFTPD設定步驟 (續 )
bull 此步驟設定該帳號登入 FTP 時的權限選擇NORMAL 按下 Next 進行下一步驟
2-59
網路安全
RaidenFTPD設定步驟 (續 )
bull 接下來的步驟皆以預設值即可完成設定之後會出現對話視窗顯示您所設定的資訊
2-60
網路安全
FTP 用戶端工具 - Filezilla
bull 版本ndash 328
bull 支援作業平台ndash Windows Linux及Mac
bull 下載位址ndash httpsourceforgenetprojectsfilezillafiles
FileZilla_Client328FileZilla_328_win32zipdownload
2-61
網路安全
Filezilla 安裝步驟bull 執行 Filezilla 安裝程式點選 I agree 鈕
2-62
網路安全
Filezilla 安裝步驟 (續 )
bull 以預設值安裝點選兩次 Next 鈕
2-63
網路安全
Filezilla 安裝步驟 (續 )
bull 以預設值安裝點選 Next 鈕後再點選 Install 鈕
2-64
網路安全
Filezilla 安裝步驟 (續 )
bull 以預設值安裝點選 Next 鈕後再點選 Finish 鈕
2-65
網路安全
封包擷取工具 - Wireshark
bull 版本ndash 165
bull 支援作業平台ndash Windows Linux及 FreeBSD
bull 其他需求ndash 安裝WinPcap 31 以上版本
bull 下載位址ndash httpwiresharkdownloadsriverbedcomwireshark
win32wireshark-win32-165exe
2-66
網路安全
Wireshark 安裝步驟bull 至官方網站下載Windows平台最新版本檔案下載完成後執行該安裝程式
2-67
網路安全
Wireshark 安裝步驟 (續 )
bull 於下一步出現的版權宣告點選 I Agree鈕後繼續下一步驟
2-68
網路安全
Wireshark 安裝步驟 (續 )
bull 此步驟選擇欲安裝的元件以軟體預設勾選之項目安裝
2-69
網路安全
Wireshark 安裝步驟 (續 )
bull 此步驟使用預設路徑即可
2-70
網路安全
Wireshark 安裝步驟 (續 )
bull 此步驟將安裝Windows平台須加裝之套件 -WinPcap 若原系統未安裝過 WinPcap套件請以軟體預設項目安裝之
2-71
網路安全
Wireshark 安裝步驟 (續 )
bull 此步驟代表 Wireshark軟體已安裝完成可點選Finish 鈕或勾選 Run Wireshark 165 隨即使用該套軟體
2-72
網路安全
一般工具列Wireshark軟體介面介紹
2-73
篩選工具列封包清單窗格
封包內容窗格封包位元組窗格
網路安全
Wireshark 使用思考方向bull 遇到網路問題是否觀察網路通道中有異常動作或狀況
ndash 思考方向ndash 反應到擷取數據方法那麼以 Wireshark 擷取使用者需要擷取哪些數據這些數據由使用者電腦哪個裝置來擷取
bull Wireshark操作流程
bull 接下來我們進行軟體操作介紹
解決問題 擷取數據要先做什麼
擷取數據 擷取哪些數據( 過濾條件 )數據哪裡來( 網路介面卡 )
2-74
網路安全
數據哪裡來 - Capture功能bull 一開啟方式
ndash 1 點選快速鈕如紅色圈所示ndash 2 點選 Capture功能表 下拉選單後點選 Optionsndash 3鍵盤快速鍵 Ctrl + K
2-75
網路安全
數據哪裡來 - Capture功能 (續 )
bull 二開啟後顯示 Capture Options 的視窗畫面即可看到所提供的擷取功能選項
2-76
網路安全
數據哪裡來 - Capture功能 (續 )
bull Capture Options 常用的欄位設定ndash Caputure 框
bull 1Interface 會顯示出在系統上所有網路卡但只能選取一個介面作為封包擷取bull 2Capture packets in promiscuous mode 選取此選項就是經過所選取的網路卡的所有封包都會被擷取下來bull 3Capture Filter 指定擷取過濾器運算式擷取想要的特定封包即為擷取中過濾之功能
2-77
網路安全
數據哪裡來 - Capture功能 (續 )
bull Capture Options 常用的欄位設定ndash Display Options 框
bull Update list of packets in real time 指定在擷取封包過程中能夠即時更新已擷取封包清單窗格視窗中的封包資訊若取消則軟體主視窗更新畫面是沒有動作的
2-78
網路安全
bull Capture Options 常用的欄位設定ndash Name Resolution框
bull 1 Enable MAC name resolution 指定是否將網路卡MAC address 的前三個位元組轉換成製造商名稱
bull 2 Enable network name resolution 指定是否將 IP address轉換成 DNS 網域名稱
bull 3 Enable transport name resolution 指定是否將通信埠號碼 (port numbers)轉成協定名稱 (protocols)bull 各位了解數據從哪裡擷取的概念與操作之後即可以進一步加上附帶條件 (篩選條件 ) 等相關操作方式
數據哪裡來 - Capture功能 (續 )
2-79
網路安全
Wireshark操作手法bull 延續遇到問題的思考方向及軟體操作手法我們可以將操作流程分為兩種
ndash 擷取中過濾 (Filter while capturing)bull 優點僅擷取已知範圍資訊網路流量少bull 缺點需先了解問題類型避免可能有遺漏真正欲擷取資訊之狀況
ndash 檢視中過濾 (Filter packets while viewing)bull 優點不用先預設條件擷取所有封包資訊bull 缺點影響網路流量
先預設欲擷取條件 擷取數據
擷取數據 再篩選欲查詢數據2-80
網路安全
Wireshark操作手法 - 擷取中過濾bull 操作步驟
ndash 點選 Capture 下拉視窗選擇 Capture Filters 即呈現此視窗
bull 操作範例ndash 1於 Filter窗格中選擇 IP
Address 10112ndash 2於 Properties窗格中即顯示該選項的設定值如圖所示為 host 10112ndash 3 即可設定軟體僅針對
10112 的封包作擷取動作 延伸操作思考1 改變 Filter string 值得到什麼結果2 點選 Edit 窗格中的 New 鈕 新增自訂條件 2-81
網路安全
Wireshark操作手法 - 檢視中過濾bull 此步驟即以已擷取封包清單窗格為基礎以過濾條件過濾該清單bull 可直接選擇軟體預設項目如以下操作
ndash 操作步驟bull 點選 Analyze 下拉視窗選擇
Display Filters 即呈現此視窗ndash 操作範例
bull 1於 Filter窗格中選擇 IP Address 10112
bull 2於 Properties窗格中即顯示該選項的設定值如圖所示值為host 10112
bull 3 即可設定軟體僅針對 10112的封包作顯示動作 延伸操作思考1 可否進行進一步自訂設定值
2-82
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 若電腦 IP為 10112 欲篩選出 IP 來源為上述 IP 且協定為 TCP 80port 的所有封包ndash 操作步驟
bull 點選 Expression鈕即出現此視窗ndash 1於 Field name框選擇
IP項目中的 ipsrc - Source
ndash 2於 Relation框選擇 ==ndash 3於 Value [IPV4
address]填 入 10112ndash 4 點選 OK鈕 進階思考方式須考慮到例如是來源資訊是目標資訊是什麼協定等更細部所要之條件
2-83
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 再進行第二篩選條件ndash TCP 80 port
bull 操作步驟ndash 1先於 Filter string 輸入文字框「 ipsrc==
10112」後再加上一個空格及「 and 」再進行一次 Expression條件選擇
2-84
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
ndash 2於 Field name框選擇「 tcpdstport」ndash 3於 Relation框選擇「 ==」ndash 4於 Value框填入「 80」ndash 5 選擇「 OK」鈕
2-85
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 注意 Propeties框內的Filter string欄位值已改變為「 ipsrc == 10112 and tcpdstport == 80」
bull 確認條件正確後點選「 OK 」鈕即可發現已擷取封包清單窗格的項目均為所設定過濾條件過濾過結果2-86
網路安全
bull 可單選單一封包進行更進階查詢封包內容bull 操作方式為
ndash 點選其中一項封包項目點選滑鼠右鍵選擇Follow TCP Stream
Wireshark操作手法 - 檢視中過濾 (續 )
2-87
網路安全
ndash 此畫面即可看出該項 TCP 封包溝通內容Wireshark操作手法 - 檢視中過濾 (續 )
2-88
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 此功能將所擷取的封包清單使用多種方式呈現封包統計資料便於使用者查詢擷取時間內何種封包數量多寡及圖型顯示bull 操作步驟點選 Statistics 下拉視窗即呈現此視窗 顯示有關擷取清單的摘要以階梯式通訊協定列表顯示所擷取的所有封包
在特定 IP間顯示通訊流量顯示單一 IP 來往封包的流量
以時間軸顯示視覺化封包流量圖2-89
網路安全
bull 可查看到一時段內其封包總數與平均每秒傳遞接收封包數等相關資訊讓使用者了解平均一時段內網路流量狀況藉以初步獲得資訊
Wireshark操作手法 - 檢視中過濾 (續 )
2-90
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 讓使用者可透過階梯式封包分類表來查看哪一類封包佔為居多可進一步推測是否該類型封包影響到整體網路或是否有異常或不常見封包類型在網路中傳遞
2-91
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 將該擷取時段內封包清單檔以兩個特定 IP 之間對傳封包為區隔顯示出哪兩個特定 IP間傳遞封包數多寡bull 可讓使用者更進一步研判兩個特定 IP所屬設備傳遞狀況是否異常
2-92
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 將該擷取時段內封包清單檔以特定IP 傳遞封包數為區隔顯示出哪特定IP 傳遞封包數多寡
bull 可讓使用者更進一步研判該特定所屬設備傳遞封包數是否異常作為管制緊急管制或禁止通訊之證明2-93
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 以時間軸顯示視覺化封包流量圖bull 讓使用者可觀察所管理設備資訊流通量以了解設備是否能負荷或作相關調整等處置
2-94
網路安全
FTP 擷取密碼案例bull 於Wireshark軟體選擇 Capture 下拉選單功能項點選 Interfaces 選項
2-95
網路安全
FTP 擷取密碼案例 (續 )
bull 確認欲擷取封包之網卡名稱如紅色底線所示確認後點選 Start鈕
2-96
網路安全
FTP 擷取密碼案例 (續 )
bull 切換至 FTP Client 電腦開啟 FileZilla 程式後連線到 FTP Server 於 Host 填入10123 Username填入 tester Password填入testpw 後點選 Quickconnect鈕
2-97
網路安全
FTP 擷取密碼案例 (續 )
bull 擷取到的封包資訊會顯示於已擷取封包清單窗格內
2-98
網路安全
FTP 擷取密碼案例 (續 )
bull 使用 FTP軟體登入 ftp站後 Wireshark 將擷取到的使用者名稱與密碼如紅框所示
2-99
網路安全
FTP 擷取密碼案例 (續 )
bull 點選已擷取封包清單窗格的密碼資訊列如標示1 的紅框所示即可在封包內容窗格看到該密碼的位元碼如標示 2 的紅框所示
1
2
2-100
網路安全
架設實作 (三 )
Outlook Express 擷取密碼案例
2-101
網路安全
實驗環境介紹bull 以 Testbed建立一實驗相關拓樸及設定如下圖
OEClientOSWindows XP SP3IP 10112執行 Outlook Express
MailServerOSWindows XP SP3IP 10122安裝軟體 ArGoSoft Mail Server
2-102
WiresharkOSWindows XP SP3IP1 10113 IP2 10123安裝軟體 Wireshark
IP1IP2
網路安全
實驗拓樸 on TestbedTWISC- 建立完成的實驗拓樸
2-103
網路安全
郵件伺服器工具 - ArGoSoft Mail Server
bull 版本ndash 1892 Freeware
bull 支援作業平台ndash Windows
bull 下載位址ndash httpwwwsoftkingcomtwsoftdownloadaspfid3=7367
2-104
網路安全
郵件客戶端工具 - Outlook Express
bull 版本ndash 60
bull 支援作業平台ndash Windows
bull 下載位址ndash Windows 內建
2-105
網路安全
bull 安裝及設定郵件伺服器ndash 1下載並執行 ArGoSoft Mail Server軟體點選
Setup鈕
Outlook Express 擷取密碼案例
2-106
網路安全
ndash 1 點選 Next鈕ndash 2 點選 Start Installation鈕
Outlook Express 擷取密碼案例 (續 )
2-107
網路安全
ndash 3 點選 OK鈕ndash 4 點選 Finish鈕完成軟體安裝
Outlook Express 擷取密碼案例 (續 )
2-108
網路安全
ndash 5 點選使用者設定鈕如紅圈所示ndash 6 點選新增鈕如紅框所示
Outlook Express 擷取密碼案例 (續 )
2-109
網路安全
ndash 7填入使用者名稱 (tester) 及密碼 (testpw) 如紅圈所示填寫完成後點選 OK鈕ndash 8 點選 Close鈕關閉使用者設定視窗
Outlook Express 擷取密碼案例 (續 )
2-110
網路安全
ndash 9 點選選項鈕如左側圖中紅色圈所示ndash 10 點選紅色打勾鈕如右側圖中紅色圈所示
2-111
Outlook Express 擷取密碼案例 (續 )
網路安全
ndash 11該軟體會自動選取 DNS Server 待選取後點選 Yes鈕ndash 12 勾選 Allow Relay 選項如紅框所示
2-112
Outlook Express 擷取密碼案例 (續 )
網路安全
Outlook Express 擷取密碼案例 (續 )
bull 設定收信帳號ndash 1 點選 Tools功能選單選擇 Accounts 選項
2-113
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 2 點選 Add鈕選擇 Mail 選項
2-114
網路安全
ndash 3填入 tester 點選 Next鈕ndash 4填入 testertestcom 點選 Next鈕
Outlook Express 擷取密碼案例 (續 )
2-115
網路安全
ndash 5填入 10123 如紅框所示點選 Next鈕ndash 6填入帳號為 tester 及密碼為 testpw 點選 Next鈕
Outlook Express 擷取密碼案例 (續 )
2-116
網路安全
ndash 7 點選 Finish鈕ndash 8 點選 Close鈕
Outlook Express 擷取密碼案例 (續 )
2-117
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 模擬條件準備好後首先準備Wireshark 擷取動作開啟Wireshark
2-118
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 於Wireshark軟體選擇 Capture 下拉選單功能項點選 Interfaces 選項
2-119
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 確認欲擷取封包之網卡名稱如紅色底線所示確認後點選 Start鈕
2-120
網路安全
ndash 當使用者收發 email 時即被 Wireshark攔截封包ndash 有發現到該 Outlook Express帳號密碼是如此清晰可見的嗎
Outlook Express 擷取密碼案例 (續 )
2-121
網路安全
結論bull 學習了 Wireshark及WinDump 兩套網路封包擷取軟體基本概念如同電話側錄概念相同從中複製一連串資訊來分析與了解網路的流量及內容為何bull 當你發現網路速度緩慢等狀況你是否會反應到所學的基本概念來找尋問題所在bull 防範概念由此課程的實例可以了解網路內容如被有心人士擷取所造成的損失相當可觀故你是否有對策有哪些方式你可以應用來防範bull 正確的思考善用對的工具將對解決問題事半功倍
2-122
網路安全 2-123
Module 2-5 封包擷取與分析的專案實作()
網路安全
專案目的bull 建立遠端管理傳遞指令資訊環境bull 利用實際攔截封包操作的方式讓同學了解封包擷取運作與網路資訊流通的顧慮等相關議題
2-124
網路安全
專案描述bull 近年來遠端管理伺服器及網路服務普及光是密碼保護就足夠了嗎是否重點網段須全程加密還是作網段隔離經由此專案實作即可了解不僅部分加密仍有其風險所在網路架構如何規劃將是非常重要的課題bull 參考環境配置圖完成下列要求①環境裡的攔截封包主機是 Windows XP SP3 作業系統而該主機安裝Wireshark軟體②另兩台主機的作業系統亦是 Windows XP SP3 並裝上
MySQL軟體 MySQL帳號為 root 密碼為您的學號 (如 Q3896105)
③在MySQLClient 電腦使用 MySQL Commandline 指令連線至MySQLServer 擷取資料庫資訊
④我們針對這兩台主機傳訊的封包擷取由整個實做中思考如何防範資訊外洩與了解傳訊封包如何流動及運作2-125
網路安全
環境配置圖bull 以 Testbed建立一實驗相關拓樸及設定如下圖
MySQLServerOSWINXP-SP3-CH-pc3000 IP 10123安裝軟體 MySQL
MySQLClientOSWINXP-SP3-CH-pc3000 IP 10112安裝軟體 MySQL
2-126
WireSharkOSWINXP-SP3-CH-pc3000 IP1 10113IP2 10122安裝軟體 Wireshark
IP1IP2
網路安全
作業繳交bull 請參考情境測試發送數個 SQL 指令並將過程與擷取到的封包資訊之截圖列於報告中所有圖表皆需要輔以文字說明bull Deadline 2012312 下午 500 以前bull 作業範圍 Module 2-5 (page 2-128)bull 方式 (參考課程網址 )
ndash 帳號密碼小寫的 (ns100ns100)ndash IP 140116164167
2-127
網路安全
有問題嗎
bull 關於 TestBed 使用上的問題請直接 Email至 twisc-testbed-usergooglegroupscom 將有專人為您服務bull 課程網址
httpitlabeenckuedutwcoursesNS_100indexhtml
2-128
bull 助教資訊 (參考課程網址 )
網路安全
參考資料bull Dienet httplinuxdienetman1wiresharkbull Orebaugh Angela Ramirez Gilbert Burke Josh Pesce Larry Wright
Joshua(2007) Wireshark and Ethereal network protocol analyzer toolkitbull Tony Fortunato(2007) Wireshark Training Retrieved July 22 2009 from
the World Wide Web httpwwwthetechfirmcometherealwiresharkpdfbull WinDump httpwwwwinpcaporgWinDumpbull Wireshark httpwwwwiresharkorgbull Wireshark University httpwwwwiresharktrainingcombull 楊中皇 (民 97年 ) 網路安全理論與實務 (2版 ) 台北市學貫bull 蘇淑茵教授 Wireshark 民國 98年 6月 28日取自 httpmywebnckuedutw~sisou
2-129
網路安全
封包介紹 bull 在網路中進行傳輸的最小資訊單位bull 封包在網路上傳送的速度較快而且在傳輸過程中不會妨礙其他網路封包的傳輸當任何封包發生錯誤時只有錯誤的封包必須重新傳送而不是整個資料重傳
2-7
網路安全
封包 VS 資料bull 欲傳輸一個較大的資料例 2100 Bytes 之文字檔在傳輸上為了方便通常會將此資料切割成若干個段落如下表示
bull 每個段落即為一個封包2-8
Flag=01 Length=2099
Flag=00 Length=1587
Flag=00 Length=1075
Flag=00 Length=563
Flag=10 Length=51
Flag=11 Length=2099
來源資料 = 2106 octets2100 octets
512 octets
512 octets
512 octets
512 octets
52octets
第一段落持續段落 1
持續段落 2
持續段落 3
最後段落
PH
SH
SH
SH
SH
SH
PH = 來源資料的主要檔頭SH = 段落檔頭
網路安全
區段 內容 說明表頭區(header)
警告訊號 警告訊號用來顯示接受端訊息已開始傳送時脈是使雙方同步傳輸過程且顯示來源電腦和目的電腦的位址
來源位置目的位置時脈
資料區(data
block)資料 存放實際傳輸資料能存放的資料大小約
512到 4K Bytes 由於無法存放太大的資料因此資料傳輸時會被切割為封包
表尾區(trailer)
循環檢查碼循環檢查的相關檢查碼 (CRC) 是利用演算公式計算出來當接收端收到封包時為了確定資料是否正確會將封包中的資料利用演算公式重新計算一次結果必須和相關檢查碼相同表示傳輸的資料才正確
封包構成區段
2-9
網路安全
資料切割成封包傳輸的原因bull 避免網路阻塞如果直接將資料傳送到網路上由於資料太大會造成網路的擁擠其它電腦都會因為等待這台電腦傳輸資料而無法工作
A H
B
C
E
F
網路阻塞示意圖
資料 1 傳遞中
DG
欲傳輸資料資料 2資料 1
資料 3
資料 1
完成傳輸資料
2-10
網路安全
資料切割成封包傳輸的原因 (續 )
bull 可多路徑傳遞當網路較複雜時兩台電腦之間的通訊路徑就不只一個資料拆成封包後可以透過路由 (Routing)走不同的路徑到達目的地然後再組合起來加快傳遞速度一般路徑傳輸藍色路徑 A gt B gt D gt F封包 1 已傳輸封包 2 欲傳輸 D 點發生忙碌時變更路徑傳輸綠色路徑 A gt B gt E gt F
A F
B
C
D
E封包 1
完成傳輸封包等待傳輸封包封包 2封包 1 多路徑傳遞示意圖
2-11
網路安全
路由 (Routing) 簡介bull 封包在網路上的傳輸是透過路由 (Routing) 將封包從來源位址傳輸到目的位址
bull 路由為網路 OSI七層中的網路層 (Network Layer) 所負責
2-12
應用層Application Layer
表現層Presentation Layer
交談層Session Layer
傳輸層Transport Layer
網路層Network Layer
資料連結層Data-Link Layer
實體層Physical Layer
網路安全
路由 (Routing) 簡介 (續 )
bull 路由器 (Router) 功用為分配引導封包傳遞如下個需經過之主機以完成封包傳遞bull 路由表 (Routing
Table) 一般來說路由器皆會存有路由表用來紀錄與儲存到達各個目的地之最佳路徑2-13
Network Distance Port Next Router Entry State
1 0 1 0 Good
2 1 2 Router 2 Good
Router2
Router1Port1
Port2Network1
Network2
Routing Table
網路安全
封包分組封包重組bull 一個資料若拆成若干個封包經過多路徑傳遞後因為網路狀況及路由器分配之傳遞路線不同先送出之封包不一定會先被收到bull 每個經拆解後的封包皆有他自己的編號接收端可依此編號將封包重組回原始資料bull 表頭 (Header) 即記載這些額外資訊
2-14
資料Part1資料Part2資料Part3
資料Part4
資料Part5
資料Part4
資料Part5
封包重組
拆出資料
網路安全
封包與生活中物件做比較bull 如果把封包比喻成信件它們之間是有一些類似的性質
ndash 信封就相當於封包的控制訊息內容包含收件人與寄件人的地址郵遞區號及信件類型 (平信限時及掛號 )ndash 信封內的文字部分 (郵差看不到的部分 )相當於使用者資料ndash 兩者較不同的地方是信件是在郵差在路上騎機車幫我們遞送信件封包是在網路上傳輸的
2-15
網路安全
封包與生活中物件做比較 (續 )
ndash 因為一些傳輸效率上的因素封包的傳遞過程是將信件分裝成一封一封小的信件使用相同的信封寄往目的地ndash 如果從安全性的角度來看封包與信件最大的不同點在於信件內容洩露的部分如果今天信件被拆封偷看收信人可從彌封部分看出個端倪但封包資訊是相當容易被複製與修改的目地端收到此封包是很難確保封包內容沒有被惡意者所偷窺與修改過
2-16
網路安全
了解封包進階思考bull 並非所有的通訊協定都有相同的欄位資料由於採用不同的通訊協定 (TCP與 UDP) 網路封包的結構都有些許的差異但了解基礎封裝方式即可推理各種不同的通訊協定bull 在實務上想要進行網路封包分析的原因有很多故首要先了解什麼是封包定義及其運作方式後再搭配合適的網路封包擷取程式來解決實務上所遇的問題
2-17
網路安全
Module 2-2 封包結構與通訊協定 ()
2-18
網路安全
bull 目前網路使用相當多不同類型的通訊協定下圖列舉出在 OSI 協定七層中常見的通訊協定bull 網路上有許多不安全的通訊協定且大多採用明碼方式傳送經常造成資訊外洩如
HTTP TELNET及 SMTP 等故必要時須顧慮到資訊安全的議題
PPP
IPARP
UDP TCP
TelnetFTPSMTP
SLIP
HTTP
網路 OSI七層常見通訊協定類型
2-19
網路安全
封包結構與傳輸過程Application
TCP
IP
DeviceDriver
SMTPTELNETFTP
TCPUDP
ARPRARPICMP
EthernetX25PPP
TCPIP 四層 常見通訊協定User Data
App Header
Application DataTCP Header
IP Header
Frame Header
Frame Trailer
User Data
Application Data
Application Data
TCP Header
TCP Header
IP Header
TCP Segment
IP Segment
Frame
封包封裝
Socket NetBIOS
2-20
網路安全
IP 表頭
2-21
0
Precedence(3 Bits)
Delay(1 Bit)
Throughout(1Bit)
Reliability(1 Bit)
Cost(1 Bit)
Reserved(1Bit)
Type Of Service(8 Bits)
=
Reserved(1 Bit)
Donrsquot Fragment
(1 Bit)
More Fragment
(1 Bit)
Flags(3 Bits)
=
Version(4 Bits)
IHL(4 Bits)
Total Length(16 Bits)
Identification(16 Bits)
Fragment Offset(13 Bits)
Time to Live(8 Bits)
Protocal(8Bits)
Header Checksum(16 Bits)
Source Address (32 Bits)
Destination Address (32 Bits)
Options (長度不定 ) Padding (長度不定 )
32
64
96
128
160
Type of Service(8Bits)
Flags(3
Bits)
網路安全
封包 header 實例
2-22
網路安全
封包擷取的原理
A電腦網路卡
目的地A封包
目的地B封包
被丟棄
2-23
網路安全
封包擷取的原理 (續 )
bull 為了監聽到其他使用者的封包監聽者會將網路卡修改為混亂模式 (Promiscuous) 混亂模式不會對目標 MAC 位置做檢查的動作而是將所收到的所有封包做接收的動作bull 藉由混亂模式就可以在 HUB 的區域網路環境中或無線網路的環境中擷取其他人的封包訊息
2-24
網路安全
Module 2-3 封包擷取工具介紹 ()
2-25
網路安全
封包擷取工具比較bull 商業軟體
ndash 優 有廠商維護支援性較佳ndash 缺 成本較高ndash 例 NetResident與 EtherDetect
bull 免費軟體ndash 優 成本較低ndash 缺 功能與使用說明較為簡略ndash 例 Wireshark與WinDump
2-26
網路安全
封包擷取工具 - WinDump
bull 一種開放原始碼的網路軟體工具為 Windows版的 tcpdumpbull 可以分析封包的流向並且對於封包的內容也可以進行 監聽 bull WinDump運算式是一種規則運算式利用一些條件來進行訊息的過濾當訊息滿足運算式的條件則會將其資訊捕獲如果沒有給出任何條件則網路上所有的資訊包將會被擷獲bull 例 WinDump -i interface -c 10 -n port 80 -w
filename
2-27
網路安全
封包擷取工具 - Wireshark
bull 開放原始碼軟體bull 起源於 1997年 Wireshark 的前身即為 Ethereal因為商標問題而改名成 Wiresharkbull 支援通訊協定多且完整使用圖形化的介面讓操作者容易上手過濾條件切割細密讓使用者可於乙太網路撈取且經數據過濾分析後的數據流bull 可由此軟體能夠擷取網路封包並盡可能顯示出最為詳細的網路封包資料提供各方應用
2-28
網路安全
網路存取函式庫 - WinPcap
bull WinPcap 是著名 Unix libpcap的Windows版本API
bull Pcap 是用來擷取封包的應用程式介面 (Application Programming Interface API)
bull 免費直接網路存取函式庫bull 許多網路應用軟體運行均須安裝此套函式庫如WiresharkWinDump Nmap及 Snort
2-29
網路安全
WinDump與Winpcab 示意圖bull 透過 WinDump及Winpcap 工具擷取並分析封包後再將資料蒐集至電腦設備中
2-30
乙太網路Ethernet
網路工具
Windump分析封包結構
Winpcap擷取並過濾封包
封包資訊
網路安全 2-31
Module 2-4 封包擷取的實務 ()
網路安全 2-32
Linux kernel packet processing
網路安全 2-33
網路安全
說明bull 架設實作 (一 ) 請將介紹如何安裝與使用
WinDump 依實驗拓樸請使用 WireDump 主機做安裝及測試bull 架設實作 (二 ) 請利用 Wireshark軟體對 FTP 進行封包擷取依實驗拓樸請使用 Wireshark 主機做安裝及測試bull 架設實作 (三 ) 請利用 Wireshark軟體對
Outlook Express進行封包擷取依實驗拓樸請使用 Wireshark 主機做安裝及測試2-34
網路安全
架設實作 (一 )
WinDump 實作 -SSH連線觀察
2-35
網路安全
封包擷取工具 - WinDump
bull 版本ndash 395
bull 支援作業平台ndash Windows 9598NT2000XP2003
bull 其他需求ndash 安裝WinPcap 31 以上版本
bull 下載位址ndash httpwwwwinpcaporgwindumpinstallbin
windump_3_9_5WinDumpexe
2-36
網路安全
其他需求工具 - WinPcap
bull 版本ndash 402 stable
bull 支援作業平台ndash Windows NT42000
Windows XP2003Vista (x86 and x64)Windows Server 2008 (x86 and x64)
bull 下載位址ndash httpwwwwinpcaporginstallbin
WinPcap_4_0_2exe
2-37
網路安全
WinPcap 安裝步驟bull WinPcap 下載完成後即可進行安裝bull 安裝畫面如下點選 Next按鈕繼續下一步
2-38
網路安全
WinDump與WinPcap測試bull 請將下載的 WinDumpexe 檔案存放至 C
Windowssystem32 的目錄之下bull 測試WinDump及WinPcap 是否可運作
ndash 點選開始 -gt 程式集 -gt附屬應用程式 -gt命令提示字元 -gt 輸入「 windump 」按下 Enter 即會出現「 windump listening on DeviceNPF_GenericDialupAdapter」的訊息代表WinDump及WinPcap 安裝成功且可運作
ndash 停止監聽按「 Ctrl + C」將顯示擷取封包的數量
2-39
網路安全
參數 說明-c 指定收到的封包數目當達到該數目時 Tcpdump 即會停止-d 把編譯過的封包編碼轉碼成可閱讀的格式放置於標準輸出-dd 把編譯過的封包編碼轉碼成 C 語言的格式放置於標準輸出-ddd 把編譯過的封包編碼轉碼成十進位的格式放置於標準輸出-F 從所指定的文件中讀取運算式進而忽略其他運算式-f 用數字顯示 IP 位址 -i 指定擷取封包的網路介面 -w 將擷取的封包直接寫入檔案當中不做分析與顯示於畫面
參數 說明-r 從指定的檔案文件中讀取資料該檔案文件由 -w 所製造出來-v 顯示詳細的封包資訊多了 TTL 及服務類型-s 設定每一個封包的大小-S 用絕對數並非相對數的值列出 TCP 連接數-tt 顯示出原始時間並且為不格式化的時間-n 不進行 IP Address 到 Domain
Name 的轉換-nn 不進行 Port 的轉換如 22 就是
ssh
-x 用十六進位字碼列出封包資料
WinDump相關參數列表
2-40
網路安全
WinDump 簡易使用操作說明bull 語法 windump 參數bull 查看目前系統可使用的網卡介面
ndash windump -Dbull 透過查看網卡介面以利後續監聽之用
2-41
網路安全
WinDump 簡易使用操作說明 (續 )
bull WinDump -i 網卡介面代號 -c 擷取封包數量 port 通訊埠
bull 例 WinDump -i 2 -c 10 port 80
2-42
網路安全
WinDump 簡易使用操作說明 (續 )
bull 因於命令提示字元視窗內所顯示的資訊不易閱讀可透過下列指令將其所擷取的資訊導向至檔案bull Windump -i 網卡介面代號 gt 檔名
ndash windump -i 2 -c 10 -w message port 80ndash windump -r message gt messagetxtndash windump -i 2 -c 10 port 80 gt messagetxt
2-43
網路安全
WinDump 簡易使用操作說明 (續 )
112338326205 此為封包被擷取的時間『 HHMMSSfraction』的單位IP 透過的通訊協定是 IPwinser 1099 gt w1wwwviptw1yahoocomtw80 代表的是傳送端是 winser 傳送的通訊埠為 1099 大於 (gt) 的符號指的是封包的傳輸方向 w1wwwviptw1yahoocomtw 為接收端 80 為接收埠
P(PUSH) 為資料傳輸標誌且傳輸的資料為整體資料的 1~ 699 byte 所以這個封包帶有 698 bytes 的資料量 ack 1 win 65535 ACK與Window size 的相關資料2-44
網路安全
bull 以 Testbed建立一實驗相關拓樸及設定如下圖SSHClientOSWINXP-SP3-CH-pc3000 IP 10113安裝軟體 putty
SSHServerOSWINXP-SP3-CH-pc3000IP 10123安裝軟體 sshd
實驗環境介紹
2-45
IP1
IP2
WireDumpOSWINXP-SP3-CH-pc3000IP1 10112IP2 10122安裝軟體 WinDump
網路安全
實驗拓樸 on TestbedTWISC- 建立完成的實驗拓樸
2-46
網路安全
SSH連線觀察bull 利用 Putty連線到 SSHServer從中觀察到三向交握建立連線的動作從 SSHClient 端利用 putty連線到SSHServer(10123)的 sshd服務
2-47
網路安全
SSH連線觀察 (續 )
bull SSH 在連線之前會利用三向交握的方式建立連線bull 利用 WinDump觀察 SSH連線動作
ndash 指令 WinDumpexe -N -S -i 4 port 22
三向交握的三個封包三向交握示意圖Server lt- Client SYN 你想連線Server -gt Client SYN ACK 可以我接受Server lt- Client ACK 謝謝
2-48
網路安全
架設實作 (二 )
FTP 擷取密碼案例
2-49
網路安全
FTPClientOSWINXP-SP3-pc3000IP 10112安裝軟體 FileZilla
FTPServerOSWINXP-SP3-pc3000IP 10123安裝軟體 RaidenFTPD
實驗環境介紹bull 以 Testbed建立一實驗相關拓樸及設定如下圖
2-50
IP1IP2
WireSharkOSWINXP-SP3-pc3000IP1 10113IP2 10122安裝軟體 Wireshark
網路安全
實驗拓樸 on TestbedTWISC- 建立完成的實驗拓樸
2-51
網路安全
FTP伺服器工具 - RaidenFTPD
bull 版本ndash 24 build 3720
bull 支援作業平台ndash Windows
bull 下載位址ndash httpwwwraidenmaildcomdownloadraidenftpd2exe
2-52
網路安全
RaidenFTPD 安裝步驟bull 下載Windows平台最新版本檔案下載完成後執行該安裝程式
2-53
網路安全
RaidenFTPD 安裝步驟 (續 )
bull 此步驟使用預設路徑即可按下 Install 進行安裝
2-54
網路安全
RaidenFTPD設定步驟bull 程式開啟畫面如下選擇 Click here to start a new
server 進行 FTP伺服器設定
2-55
網路安全
RaidenFTPD設定步驟 (續 )
bull 此處可設定 Server name與 Server IP 將 Auto IP 取消勾選並將 Server IP設為 10123
2-56
網路安全
RaidenFTPD設定步驟 (續 )
bull 接下來的步驟依照預設值即可
2-57
網路安全
RaidenFTPD設定步驟 (續 )
bull 設定人員帳號與群組按下 Add鈕輸入帳號密碼群組名稱可略過完成後按下 Next 進行下一步驟
2-58
網路安全
RaidenFTPD設定步驟 (續 )
bull 此步驟設定該帳號登入 FTP 時的權限選擇NORMAL 按下 Next 進行下一步驟
2-59
網路安全
RaidenFTPD設定步驟 (續 )
bull 接下來的步驟皆以預設值即可完成設定之後會出現對話視窗顯示您所設定的資訊
2-60
網路安全
FTP 用戶端工具 - Filezilla
bull 版本ndash 328
bull 支援作業平台ndash Windows Linux及Mac
bull 下載位址ndash httpsourceforgenetprojectsfilezillafiles
FileZilla_Client328FileZilla_328_win32zipdownload
2-61
網路安全
Filezilla 安裝步驟bull 執行 Filezilla 安裝程式點選 I agree 鈕
2-62
網路安全
Filezilla 安裝步驟 (續 )
bull 以預設值安裝點選兩次 Next 鈕
2-63
網路安全
Filezilla 安裝步驟 (續 )
bull 以預設值安裝點選 Next 鈕後再點選 Install 鈕
2-64
網路安全
Filezilla 安裝步驟 (續 )
bull 以預設值安裝點選 Next 鈕後再點選 Finish 鈕
2-65
網路安全
封包擷取工具 - Wireshark
bull 版本ndash 165
bull 支援作業平台ndash Windows Linux及 FreeBSD
bull 其他需求ndash 安裝WinPcap 31 以上版本
bull 下載位址ndash httpwiresharkdownloadsriverbedcomwireshark
win32wireshark-win32-165exe
2-66
網路安全
Wireshark 安裝步驟bull 至官方網站下載Windows平台最新版本檔案下載完成後執行該安裝程式
2-67
網路安全
Wireshark 安裝步驟 (續 )
bull 於下一步出現的版權宣告點選 I Agree鈕後繼續下一步驟
2-68
網路安全
Wireshark 安裝步驟 (續 )
bull 此步驟選擇欲安裝的元件以軟體預設勾選之項目安裝
2-69
網路安全
Wireshark 安裝步驟 (續 )
bull 此步驟使用預設路徑即可
2-70
網路安全
Wireshark 安裝步驟 (續 )
bull 此步驟將安裝Windows平台須加裝之套件 -WinPcap 若原系統未安裝過 WinPcap套件請以軟體預設項目安裝之
2-71
網路安全
Wireshark 安裝步驟 (續 )
bull 此步驟代表 Wireshark軟體已安裝完成可點選Finish 鈕或勾選 Run Wireshark 165 隨即使用該套軟體
2-72
網路安全
一般工具列Wireshark軟體介面介紹
2-73
篩選工具列封包清單窗格
封包內容窗格封包位元組窗格
網路安全
Wireshark 使用思考方向bull 遇到網路問題是否觀察網路通道中有異常動作或狀況
ndash 思考方向ndash 反應到擷取數據方法那麼以 Wireshark 擷取使用者需要擷取哪些數據這些數據由使用者電腦哪個裝置來擷取
bull Wireshark操作流程
bull 接下來我們進行軟體操作介紹
解決問題 擷取數據要先做什麼
擷取數據 擷取哪些數據( 過濾條件 )數據哪裡來( 網路介面卡 )
2-74
網路安全
數據哪裡來 - Capture功能bull 一開啟方式
ndash 1 點選快速鈕如紅色圈所示ndash 2 點選 Capture功能表 下拉選單後點選 Optionsndash 3鍵盤快速鍵 Ctrl + K
2-75
網路安全
數據哪裡來 - Capture功能 (續 )
bull 二開啟後顯示 Capture Options 的視窗畫面即可看到所提供的擷取功能選項
2-76
網路安全
數據哪裡來 - Capture功能 (續 )
bull Capture Options 常用的欄位設定ndash Caputure 框
bull 1Interface 會顯示出在系統上所有網路卡但只能選取一個介面作為封包擷取bull 2Capture packets in promiscuous mode 選取此選項就是經過所選取的網路卡的所有封包都會被擷取下來bull 3Capture Filter 指定擷取過濾器運算式擷取想要的特定封包即為擷取中過濾之功能
2-77
網路安全
數據哪裡來 - Capture功能 (續 )
bull Capture Options 常用的欄位設定ndash Display Options 框
bull Update list of packets in real time 指定在擷取封包過程中能夠即時更新已擷取封包清單窗格視窗中的封包資訊若取消則軟體主視窗更新畫面是沒有動作的
2-78
網路安全
bull Capture Options 常用的欄位設定ndash Name Resolution框
bull 1 Enable MAC name resolution 指定是否將網路卡MAC address 的前三個位元組轉換成製造商名稱
bull 2 Enable network name resolution 指定是否將 IP address轉換成 DNS 網域名稱
bull 3 Enable transport name resolution 指定是否將通信埠號碼 (port numbers)轉成協定名稱 (protocols)bull 各位了解數據從哪裡擷取的概念與操作之後即可以進一步加上附帶條件 (篩選條件 ) 等相關操作方式
數據哪裡來 - Capture功能 (續 )
2-79
網路安全
Wireshark操作手法bull 延續遇到問題的思考方向及軟體操作手法我們可以將操作流程分為兩種
ndash 擷取中過濾 (Filter while capturing)bull 優點僅擷取已知範圍資訊網路流量少bull 缺點需先了解問題類型避免可能有遺漏真正欲擷取資訊之狀況
ndash 檢視中過濾 (Filter packets while viewing)bull 優點不用先預設條件擷取所有封包資訊bull 缺點影響網路流量
先預設欲擷取條件 擷取數據
擷取數據 再篩選欲查詢數據2-80
網路安全
Wireshark操作手法 - 擷取中過濾bull 操作步驟
ndash 點選 Capture 下拉視窗選擇 Capture Filters 即呈現此視窗
bull 操作範例ndash 1於 Filter窗格中選擇 IP
Address 10112ndash 2於 Properties窗格中即顯示該選項的設定值如圖所示為 host 10112ndash 3 即可設定軟體僅針對
10112 的封包作擷取動作 延伸操作思考1 改變 Filter string 值得到什麼結果2 點選 Edit 窗格中的 New 鈕 新增自訂條件 2-81
網路安全
Wireshark操作手法 - 檢視中過濾bull 此步驟即以已擷取封包清單窗格為基礎以過濾條件過濾該清單bull 可直接選擇軟體預設項目如以下操作
ndash 操作步驟bull 點選 Analyze 下拉視窗選擇
Display Filters 即呈現此視窗ndash 操作範例
bull 1於 Filter窗格中選擇 IP Address 10112
bull 2於 Properties窗格中即顯示該選項的設定值如圖所示值為host 10112
bull 3 即可設定軟體僅針對 10112的封包作顯示動作 延伸操作思考1 可否進行進一步自訂設定值
2-82
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 若電腦 IP為 10112 欲篩選出 IP 來源為上述 IP 且協定為 TCP 80port 的所有封包ndash 操作步驟
bull 點選 Expression鈕即出現此視窗ndash 1於 Field name框選擇
IP項目中的 ipsrc - Source
ndash 2於 Relation框選擇 ==ndash 3於 Value [IPV4
address]填 入 10112ndash 4 點選 OK鈕 進階思考方式須考慮到例如是來源資訊是目標資訊是什麼協定等更細部所要之條件
2-83
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 再進行第二篩選條件ndash TCP 80 port
bull 操作步驟ndash 1先於 Filter string 輸入文字框「 ipsrc==
10112」後再加上一個空格及「 and 」再進行一次 Expression條件選擇
2-84
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
ndash 2於 Field name框選擇「 tcpdstport」ndash 3於 Relation框選擇「 ==」ndash 4於 Value框填入「 80」ndash 5 選擇「 OK」鈕
2-85
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 注意 Propeties框內的Filter string欄位值已改變為「 ipsrc == 10112 and tcpdstport == 80」
bull 確認條件正確後點選「 OK 」鈕即可發現已擷取封包清單窗格的項目均為所設定過濾條件過濾過結果2-86
網路安全
bull 可單選單一封包進行更進階查詢封包內容bull 操作方式為
ndash 點選其中一項封包項目點選滑鼠右鍵選擇Follow TCP Stream
Wireshark操作手法 - 檢視中過濾 (續 )
2-87
網路安全
ndash 此畫面即可看出該項 TCP 封包溝通內容Wireshark操作手法 - 檢視中過濾 (續 )
2-88
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 此功能將所擷取的封包清單使用多種方式呈現封包統計資料便於使用者查詢擷取時間內何種封包數量多寡及圖型顯示bull 操作步驟點選 Statistics 下拉視窗即呈現此視窗 顯示有關擷取清單的摘要以階梯式通訊協定列表顯示所擷取的所有封包
在特定 IP間顯示通訊流量顯示單一 IP 來往封包的流量
以時間軸顯示視覺化封包流量圖2-89
網路安全
bull 可查看到一時段內其封包總數與平均每秒傳遞接收封包數等相關資訊讓使用者了解平均一時段內網路流量狀況藉以初步獲得資訊
Wireshark操作手法 - 檢視中過濾 (續 )
2-90
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 讓使用者可透過階梯式封包分類表來查看哪一類封包佔為居多可進一步推測是否該類型封包影響到整體網路或是否有異常或不常見封包類型在網路中傳遞
2-91
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 將該擷取時段內封包清單檔以兩個特定 IP 之間對傳封包為區隔顯示出哪兩個特定 IP間傳遞封包數多寡bull 可讓使用者更進一步研判兩個特定 IP所屬設備傳遞狀況是否異常
2-92
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 將該擷取時段內封包清單檔以特定IP 傳遞封包數為區隔顯示出哪特定IP 傳遞封包數多寡
bull 可讓使用者更進一步研判該特定所屬設備傳遞封包數是否異常作為管制緊急管制或禁止通訊之證明2-93
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 以時間軸顯示視覺化封包流量圖bull 讓使用者可觀察所管理設備資訊流通量以了解設備是否能負荷或作相關調整等處置
2-94
網路安全
FTP 擷取密碼案例bull 於Wireshark軟體選擇 Capture 下拉選單功能項點選 Interfaces 選項
2-95
網路安全
FTP 擷取密碼案例 (續 )
bull 確認欲擷取封包之網卡名稱如紅色底線所示確認後點選 Start鈕
2-96
網路安全
FTP 擷取密碼案例 (續 )
bull 切換至 FTP Client 電腦開啟 FileZilla 程式後連線到 FTP Server 於 Host 填入10123 Username填入 tester Password填入testpw 後點選 Quickconnect鈕
2-97
網路安全
FTP 擷取密碼案例 (續 )
bull 擷取到的封包資訊會顯示於已擷取封包清單窗格內
2-98
網路安全
FTP 擷取密碼案例 (續 )
bull 使用 FTP軟體登入 ftp站後 Wireshark 將擷取到的使用者名稱與密碼如紅框所示
2-99
網路安全
FTP 擷取密碼案例 (續 )
bull 點選已擷取封包清單窗格的密碼資訊列如標示1 的紅框所示即可在封包內容窗格看到該密碼的位元碼如標示 2 的紅框所示
1
2
2-100
網路安全
架設實作 (三 )
Outlook Express 擷取密碼案例
2-101
網路安全
實驗環境介紹bull 以 Testbed建立一實驗相關拓樸及設定如下圖
OEClientOSWindows XP SP3IP 10112執行 Outlook Express
MailServerOSWindows XP SP3IP 10122安裝軟體 ArGoSoft Mail Server
2-102
WiresharkOSWindows XP SP3IP1 10113 IP2 10123安裝軟體 Wireshark
IP1IP2
網路安全
實驗拓樸 on TestbedTWISC- 建立完成的實驗拓樸
2-103
網路安全
郵件伺服器工具 - ArGoSoft Mail Server
bull 版本ndash 1892 Freeware
bull 支援作業平台ndash Windows
bull 下載位址ndash httpwwwsoftkingcomtwsoftdownloadaspfid3=7367
2-104
網路安全
郵件客戶端工具 - Outlook Express
bull 版本ndash 60
bull 支援作業平台ndash Windows
bull 下載位址ndash Windows 內建
2-105
網路安全
bull 安裝及設定郵件伺服器ndash 1下載並執行 ArGoSoft Mail Server軟體點選
Setup鈕
Outlook Express 擷取密碼案例
2-106
網路安全
ndash 1 點選 Next鈕ndash 2 點選 Start Installation鈕
Outlook Express 擷取密碼案例 (續 )
2-107
網路安全
ndash 3 點選 OK鈕ndash 4 點選 Finish鈕完成軟體安裝
Outlook Express 擷取密碼案例 (續 )
2-108
網路安全
ndash 5 點選使用者設定鈕如紅圈所示ndash 6 點選新增鈕如紅框所示
Outlook Express 擷取密碼案例 (續 )
2-109
網路安全
ndash 7填入使用者名稱 (tester) 及密碼 (testpw) 如紅圈所示填寫完成後點選 OK鈕ndash 8 點選 Close鈕關閉使用者設定視窗
Outlook Express 擷取密碼案例 (續 )
2-110
網路安全
ndash 9 點選選項鈕如左側圖中紅色圈所示ndash 10 點選紅色打勾鈕如右側圖中紅色圈所示
2-111
Outlook Express 擷取密碼案例 (續 )
網路安全
ndash 11該軟體會自動選取 DNS Server 待選取後點選 Yes鈕ndash 12 勾選 Allow Relay 選項如紅框所示
2-112
Outlook Express 擷取密碼案例 (續 )
網路安全
Outlook Express 擷取密碼案例 (續 )
bull 設定收信帳號ndash 1 點選 Tools功能選單選擇 Accounts 選項
2-113
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 2 點選 Add鈕選擇 Mail 選項
2-114
網路安全
ndash 3填入 tester 點選 Next鈕ndash 4填入 testertestcom 點選 Next鈕
Outlook Express 擷取密碼案例 (續 )
2-115
網路安全
ndash 5填入 10123 如紅框所示點選 Next鈕ndash 6填入帳號為 tester 及密碼為 testpw 點選 Next鈕
Outlook Express 擷取密碼案例 (續 )
2-116
網路安全
ndash 7 點選 Finish鈕ndash 8 點選 Close鈕
Outlook Express 擷取密碼案例 (續 )
2-117
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 模擬條件準備好後首先準備Wireshark 擷取動作開啟Wireshark
2-118
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 於Wireshark軟體選擇 Capture 下拉選單功能項點選 Interfaces 選項
2-119
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 確認欲擷取封包之網卡名稱如紅色底線所示確認後點選 Start鈕
2-120
網路安全
ndash 當使用者收發 email 時即被 Wireshark攔截封包ndash 有發現到該 Outlook Express帳號密碼是如此清晰可見的嗎
Outlook Express 擷取密碼案例 (續 )
2-121
網路安全
結論bull 學習了 Wireshark及WinDump 兩套網路封包擷取軟體基本概念如同電話側錄概念相同從中複製一連串資訊來分析與了解網路的流量及內容為何bull 當你發現網路速度緩慢等狀況你是否會反應到所學的基本概念來找尋問題所在bull 防範概念由此課程的實例可以了解網路內容如被有心人士擷取所造成的損失相當可觀故你是否有對策有哪些方式你可以應用來防範bull 正確的思考善用對的工具將對解決問題事半功倍
2-122
網路安全 2-123
Module 2-5 封包擷取與分析的專案實作()
網路安全
專案目的bull 建立遠端管理傳遞指令資訊環境bull 利用實際攔截封包操作的方式讓同學了解封包擷取運作與網路資訊流通的顧慮等相關議題
2-124
網路安全
專案描述bull 近年來遠端管理伺服器及網路服務普及光是密碼保護就足夠了嗎是否重點網段須全程加密還是作網段隔離經由此專案實作即可了解不僅部分加密仍有其風險所在網路架構如何規劃將是非常重要的課題bull 參考環境配置圖完成下列要求①環境裡的攔截封包主機是 Windows XP SP3 作業系統而該主機安裝Wireshark軟體②另兩台主機的作業系統亦是 Windows XP SP3 並裝上
MySQL軟體 MySQL帳號為 root 密碼為您的學號 (如 Q3896105)
③在MySQLClient 電腦使用 MySQL Commandline 指令連線至MySQLServer 擷取資料庫資訊
④我們針對這兩台主機傳訊的封包擷取由整個實做中思考如何防範資訊外洩與了解傳訊封包如何流動及運作2-125
網路安全
環境配置圖bull 以 Testbed建立一實驗相關拓樸及設定如下圖
MySQLServerOSWINXP-SP3-CH-pc3000 IP 10123安裝軟體 MySQL
MySQLClientOSWINXP-SP3-CH-pc3000 IP 10112安裝軟體 MySQL
2-126
WireSharkOSWINXP-SP3-CH-pc3000 IP1 10113IP2 10122安裝軟體 Wireshark
IP1IP2
網路安全
作業繳交bull 請參考情境測試發送數個 SQL 指令並將過程與擷取到的封包資訊之截圖列於報告中所有圖表皆需要輔以文字說明bull Deadline 2012312 下午 500 以前bull 作業範圍 Module 2-5 (page 2-128)bull 方式 (參考課程網址 )
ndash 帳號密碼小寫的 (ns100ns100)ndash IP 140116164167
2-127
網路安全
有問題嗎
bull 關於 TestBed 使用上的問題請直接 Email至 twisc-testbed-usergooglegroupscom 將有專人為您服務bull 課程網址
httpitlabeenckuedutwcoursesNS_100indexhtml
2-128
bull 助教資訊 (參考課程網址 )
網路安全
參考資料bull Dienet httplinuxdienetman1wiresharkbull Orebaugh Angela Ramirez Gilbert Burke Josh Pesce Larry Wright
Joshua(2007) Wireshark and Ethereal network protocol analyzer toolkitbull Tony Fortunato(2007) Wireshark Training Retrieved July 22 2009 from
the World Wide Web httpwwwthetechfirmcometherealwiresharkpdfbull WinDump httpwwwwinpcaporgWinDumpbull Wireshark httpwwwwiresharkorgbull Wireshark University httpwwwwiresharktrainingcombull 楊中皇 (民 97年 ) 網路安全理論與實務 (2版 ) 台北市學貫bull 蘇淑茵教授 Wireshark 民國 98年 6月 28日取自 httpmywebnckuedutw~sisou
2-129
網路安全
封包 VS 資料bull 欲傳輸一個較大的資料例 2100 Bytes 之文字檔在傳輸上為了方便通常會將此資料切割成若干個段落如下表示
bull 每個段落即為一個封包2-8
Flag=01 Length=2099
Flag=00 Length=1587
Flag=00 Length=1075
Flag=00 Length=563
Flag=10 Length=51
Flag=11 Length=2099
來源資料 = 2106 octets2100 octets
512 octets
512 octets
512 octets
512 octets
52octets
第一段落持續段落 1
持續段落 2
持續段落 3
最後段落
PH
SH
SH
SH
SH
SH
PH = 來源資料的主要檔頭SH = 段落檔頭
網路安全
區段 內容 說明表頭區(header)
警告訊號 警告訊號用來顯示接受端訊息已開始傳送時脈是使雙方同步傳輸過程且顯示來源電腦和目的電腦的位址
來源位置目的位置時脈
資料區(data
block)資料 存放實際傳輸資料能存放的資料大小約
512到 4K Bytes 由於無法存放太大的資料因此資料傳輸時會被切割為封包
表尾區(trailer)
循環檢查碼循環檢查的相關檢查碼 (CRC) 是利用演算公式計算出來當接收端收到封包時為了確定資料是否正確會將封包中的資料利用演算公式重新計算一次結果必須和相關檢查碼相同表示傳輸的資料才正確
封包構成區段
2-9
網路安全
資料切割成封包傳輸的原因bull 避免網路阻塞如果直接將資料傳送到網路上由於資料太大會造成網路的擁擠其它電腦都會因為等待這台電腦傳輸資料而無法工作
A H
B
C
E
F
網路阻塞示意圖
資料 1 傳遞中
DG
欲傳輸資料資料 2資料 1
資料 3
資料 1
完成傳輸資料
2-10
網路安全
資料切割成封包傳輸的原因 (續 )
bull 可多路徑傳遞當網路較複雜時兩台電腦之間的通訊路徑就不只一個資料拆成封包後可以透過路由 (Routing)走不同的路徑到達目的地然後再組合起來加快傳遞速度一般路徑傳輸藍色路徑 A gt B gt D gt F封包 1 已傳輸封包 2 欲傳輸 D 點發生忙碌時變更路徑傳輸綠色路徑 A gt B gt E gt F
A F
B
C
D
E封包 1
完成傳輸封包等待傳輸封包封包 2封包 1 多路徑傳遞示意圖
2-11
網路安全
路由 (Routing) 簡介bull 封包在網路上的傳輸是透過路由 (Routing) 將封包從來源位址傳輸到目的位址
bull 路由為網路 OSI七層中的網路層 (Network Layer) 所負責
2-12
應用層Application Layer
表現層Presentation Layer
交談層Session Layer
傳輸層Transport Layer
網路層Network Layer
資料連結層Data-Link Layer
實體層Physical Layer
網路安全
路由 (Routing) 簡介 (續 )
bull 路由器 (Router) 功用為分配引導封包傳遞如下個需經過之主機以完成封包傳遞bull 路由表 (Routing
Table) 一般來說路由器皆會存有路由表用來紀錄與儲存到達各個目的地之最佳路徑2-13
Network Distance Port Next Router Entry State
1 0 1 0 Good
2 1 2 Router 2 Good
Router2
Router1Port1
Port2Network1
Network2
Routing Table
網路安全
封包分組封包重組bull 一個資料若拆成若干個封包經過多路徑傳遞後因為網路狀況及路由器分配之傳遞路線不同先送出之封包不一定會先被收到bull 每個經拆解後的封包皆有他自己的編號接收端可依此編號將封包重組回原始資料bull 表頭 (Header) 即記載這些額外資訊
2-14
資料Part1資料Part2資料Part3
資料Part4
資料Part5
資料Part4
資料Part5
封包重組
拆出資料
網路安全
封包與生活中物件做比較bull 如果把封包比喻成信件它們之間是有一些類似的性質
ndash 信封就相當於封包的控制訊息內容包含收件人與寄件人的地址郵遞區號及信件類型 (平信限時及掛號 )ndash 信封內的文字部分 (郵差看不到的部分 )相當於使用者資料ndash 兩者較不同的地方是信件是在郵差在路上騎機車幫我們遞送信件封包是在網路上傳輸的
2-15
網路安全
封包與生活中物件做比較 (續 )
ndash 因為一些傳輸效率上的因素封包的傳遞過程是將信件分裝成一封一封小的信件使用相同的信封寄往目的地ndash 如果從安全性的角度來看封包與信件最大的不同點在於信件內容洩露的部分如果今天信件被拆封偷看收信人可從彌封部分看出個端倪但封包資訊是相當容易被複製與修改的目地端收到此封包是很難確保封包內容沒有被惡意者所偷窺與修改過
2-16
網路安全
了解封包進階思考bull 並非所有的通訊協定都有相同的欄位資料由於採用不同的通訊協定 (TCP與 UDP) 網路封包的結構都有些許的差異但了解基礎封裝方式即可推理各種不同的通訊協定bull 在實務上想要進行網路封包分析的原因有很多故首要先了解什麼是封包定義及其運作方式後再搭配合適的網路封包擷取程式來解決實務上所遇的問題
2-17
網路安全
Module 2-2 封包結構與通訊協定 ()
2-18
網路安全
bull 目前網路使用相當多不同類型的通訊協定下圖列舉出在 OSI 協定七層中常見的通訊協定bull 網路上有許多不安全的通訊協定且大多採用明碼方式傳送經常造成資訊外洩如
HTTP TELNET及 SMTP 等故必要時須顧慮到資訊安全的議題
PPP
IPARP
UDP TCP
TelnetFTPSMTP
SLIP
HTTP
網路 OSI七層常見通訊協定類型
2-19
網路安全
封包結構與傳輸過程Application
TCP
IP
DeviceDriver
SMTPTELNETFTP
TCPUDP
ARPRARPICMP
EthernetX25PPP
TCPIP 四層 常見通訊協定User Data
App Header
Application DataTCP Header
IP Header
Frame Header
Frame Trailer
User Data
Application Data
Application Data
TCP Header
TCP Header
IP Header
TCP Segment
IP Segment
Frame
封包封裝
Socket NetBIOS
2-20
網路安全
IP 表頭
2-21
0
Precedence(3 Bits)
Delay(1 Bit)
Throughout(1Bit)
Reliability(1 Bit)
Cost(1 Bit)
Reserved(1Bit)
Type Of Service(8 Bits)
=
Reserved(1 Bit)
Donrsquot Fragment
(1 Bit)
More Fragment
(1 Bit)
Flags(3 Bits)
=
Version(4 Bits)
IHL(4 Bits)
Total Length(16 Bits)
Identification(16 Bits)
Fragment Offset(13 Bits)
Time to Live(8 Bits)
Protocal(8Bits)
Header Checksum(16 Bits)
Source Address (32 Bits)
Destination Address (32 Bits)
Options (長度不定 ) Padding (長度不定 )
32
64
96
128
160
Type of Service(8Bits)
Flags(3
Bits)
網路安全
封包 header 實例
2-22
網路安全
封包擷取的原理
A電腦網路卡
目的地A封包
目的地B封包
被丟棄
2-23
網路安全
封包擷取的原理 (續 )
bull 為了監聽到其他使用者的封包監聽者會將網路卡修改為混亂模式 (Promiscuous) 混亂模式不會對目標 MAC 位置做檢查的動作而是將所收到的所有封包做接收的動作bull 藉由混亂模式就可以在 HUB 的區域網路環境中或無線網路的環境中擷取其他人的封包訊息
2-24
網路安全
Module 2-3 封包擷取工具介紹 ()
2-25
網路安全
封包擷取工具比較bull 商業軟體
ndash 優 有廠商維護支援性較佳ndash 缺 成本較高ndash 例 NetResident與 EtherDetect
bull 免費軟體ndash 優 成本較低ndash 缺 功能與使用說明較為簡略ndash 例 Wireshark與WinDump
2-26
網路安全
封包擷取工具 - WinDump
bull 一種開放原始碼的網路軟體工具為 Windows版的 tcpdumpbull 可以分析封包的流向並且對於封包的內容也可以進行 監聽 bull WinDump運算式是一種規則運算式利用一些條件來進行訊息的過濾當訊息滿足運算式的條件則會將其資訊捕獲如果沒有給出任何條件則網路上所有的資訊包將會被擷獲bull 例 WinDump -i interface -c 10 -n port 80 -w
filename
2-27
網路安全
封包擷取工具 - Wireshark
bull 開放原始碼軟體bull 起源於 1997年 Wireshark 的前身即為 Ethereal因為商標問題而改名成 Wiresharkbull 支援通訊協定多且完整使用圖形化的介面讓操作者容易上手過濾條件切割細密讓使用者可於乙太網路撈取且經數據過濾分析後的數據流bull 可由此軟體能夠擷取網路封包並盡可能顯示出最為詳細的網路封包資料提供各方應用
2-28
網路安全
網路存取函式庫 - WinPcap
bull WinPcap 是著名 Unix libpcap的Windows版本API
bull Pcap 是用來擷取封包的應用程式介面 (Application Programming Interface API)
bull 免費直接網路存取函式庫bull 許多網路應用軟體運行均須安裝此套函式庫如WiresharkWinDump Nmap及 Snort
2-29
網路安全
WinDump與Winpcab 示意圖bull 透過 WinDump及Winpcap 工具擷取並分析封包後再將資料蒐集至電腦設備中
2-30
乙太網路Ethernet
網路工具
Windump分析封包結構
Winpcap擷取並過濾封包
封包資訊
網路安全 2-31
Module 2-4 封包擷取的實務 ()
網路安全 2-32
Linux kernel packet processing
網路安全 2-33
網路安全
說明bull 架設實作 (一 ) 請將介紹如何安裝與使用
WinDump 依實驗拓樸請使用 WireDump 主機做安裝及測試bull 架設實作 (二 ) 請利用 Wireshark軟體對 FTP 進行封包擷取依實驗拓樸請使用 Wireshark 主機做安裝及測試bull 架設實作 (三 ) 請利用 Wireshark軟體對
Outlook Express進行封包擷取依實驗拓樸請使用 Wireshark 主機做安裝及測試2-34
網路安全
架設實作 (一 )
WinDump 實作 -SSH連線觀察
2-35
網路安全
封包擷取工具 - WinDump
bull 版本ndash 395
bull 支援作業平台ndash Windows 9598NT2000XP2003
bull 其他需求ndash 安裝WinPcap 31 以上版本
bull 下載位址ndash httpwwwwinpcaporgwindumpinstallbin
windump_3_9_5WinDumpexe
2-36
網路安全
其他需求工具 - WinPcap
bull 版本ndash 402 stable
bull 支援作業平台ndash Windows NT42000
Windows XP2003Vista (x86 and x64)Windows Server 2008 (x86 and x64)
bull 下載位址ndash httpwwwwinpcaporginstallbin
WinPcap_4_0_2exe
2-37
網路安全
WinPcap 安裝步驟bull WinPcap 下載完成後即可進行安裝bull 安裝畫面如下點選 Next按鈕繼續下一步
2-38
網路安全
WinDump與WinPcap測試bull 請將下載的 WinDumpexe 檔案存放至 C
Windowssystem32 的目錄之下bull 測試WinDump及WinPcap 是否可運作
ndash 點選開始 -gt 程式集 -gt附屬應用程式 -gt命令提示字元 -gt 輸入「 windump 」按下 Enter 即會出現「 windump listening on DeviceNPF_GenericDialupAdapter」的訊息代表WinDump及WinPcap 安裝成功且可運作
ndash 停止監聽按「 Ctrl + C」將顯示擷取封包的數量
2-39
網路安全
參數 說明-c 指定收到的封包數目當達到該數目時 Tcpdump 即會停止-d 把編譯過的封包編碼轉碼成可閱讀的格式放置於標準輸出-dd 把編譯過的封包編碼轉碼成 C 語言的格式放置於標準輸出-ddd 把編譯過的封包編碼轉碼成十進位的格式放置於標準輸出-F 從所指定的文件中讀取運算式進而忽略其他運算式-f 用數字顯示 IP 位址 -i 指定擷取封包的網路介面 -w 將擷取的封包直接寫入檔案當中不做分析與顯示於畫面
參數 說明-r 從指定的檔案文件中讀取資料該檔案文件由 -w 所製造出來-v 顯示詳細的封包資訊多了 TTL 及服務類型-s 設定每一個封包的大小-S 用絕對數並非相對數的值列出 TCP 連接數-tt 顯示出原始時間並且為不格式化的時間-n 不進行 IP Address 到 Domain
Name 的轉換-nn 不進行 Port 的轉換如 22 就是
ssh
-x 用十六進位字碼列出封包資料
WinDump相關參數列表
2-40
網路安全
WinDump 簡易使用操作說明bull 語法 windump 參數bull 查看目前系統可使用的網卡介面
ndash windump -Dbull 透過查看網卡介面以利後續監聽之用
2-41
網路安全
WinDump 簡易使用操作說明 (續 )
bull WinDump -i 網卡介面代號 -c 擷取封包數量 port 通訊埠
bull 例 WinDump -i 2 -c 10 port 80
2-42
網路安全
WinDump 簡易使用操作說明 (續 )
bull 因於命令提示字元視窗內所顯示的資訊不易閱讀可透過下列指令將其所擷取的資訊導向至檔案bull Windump -i 網卡介面代號 gt 檔名
ndash windump -i 2 -c 10 -w message port 80ndash windump -r message gt messagetxtndash windump -i 2 -c 10 port 80 gt messagetxt
2-43
網路安全
WinDump 簡易使用操作說明 (續 )
112338326205 此為封包被擷取的時間『 HHMMSSfraction』的單位IP 透過的通訊協定是 IPwinser 1099 gt w1wwwviptw1yahoocomtw80 代表的是傳送端是 winser 傳送的通訊埠為 1099 大於 (gt) 的符號指的是封包的傳輸方向 w1wwwviptw1yahoocomtw 為接收端 80 為接收埠
P(PUSH) 為資料傳輸標誌且傳輸的資料為整體資料的 1~ 699 byte 所以這個封包帶有 698 bytes 的資料量 ack 1 win 65535 ACK與Window size 的相關資料2-44
網路安全
bull 以 Testbed建立一實驗相關拓樸及設定如下圖SSHClientOSWINXP-SP3-CH-pc3000 IP 10113安裝軟體 putty
SSHServerOSWINXP-SP3-CH-pc3000IP 10123安裝軟體 sshd
實驗環境介紹
2-45
IP1
IP2
WireDumpOSWINXP-SP3-CH-pc3000IP1 10112IP2 10122安裝軟體 WinDump
網路安全
實驗拓樸 on TestbedTWISC- 建立完成的實驗拓樸
2-46
網路安全
SSH連線觀察bull 利用 Putty連線到 SSHServer從中觀察到三向交握建立連線的動作從 SSHClient 端利用 putty連線到SSHServer(10123)的 sshd服務
2-47
網路安全
SSH連線觀察 (續 )
bull SSH 在連線之前會利用三向交握的方式建立連線bull 利用 WinDump觀察 SSH連線動作
ndash 指令 WinDumpexe -N -S -i 4 port 22
三向交握的三個封包三向交握示意圖Server lt- Client SYN 你想連線Server -gt Client SYN ACK 可以我接受Server lt- Client ACK 謝謝
2-48
網路安全
架設實作 (二 )
FTP 擷取密碼案例
2-49
網路安全
FTPClientOSWINXP-SP3-pc3000IP 10112安裝軟體 FileZilla
FTPServerOSWINXP-SP3-pc3000IP 10123安裝軟體 RaidenFTPD
實驗環境介紹bull 以 Testbed建立一實驗相關拓樸及設定如下圖
2-50
IP1IP2
WireSharkOSWINXP-SP3-pc3000IP1 10113IP2 10122安裝軟體 Wireshark
網路安全
實驗拓樸 on TestbedTWISC- 建立完成的實驗拓樸
2-51
網路安全
FTP伺服器工具 - RaidenFTPD
bull 版本ndash 24 build 3720
bull 支援作業平台ndash Windows
bull 下載位址ndash httpwwwraidenmaildcomdownloadraidenftpd2exe
2-52
網路安全
RaidenFTPD 安裝步驟bull 下載Windows平台最新版本檔案下載完成後執行該安裝程式
2-53
網路安全
RaidenFTPD 安裝步驟 (續 )
bull 此步驟使用預設路徑即可按下 Install 進行安裝
2-54
網路安全
RaidenFTPD設定步驟bull 程式開啟畫面如下選擇 Click here to start a new
server 進行 FTP伺服器設定
2-55
網路安全
RaidenFTPD設定步驟 (續 )
bull 此處可設定 Server name與 Server IP 將 Auto IP 取消勾選並將 Server IP設為 10123
2-56
網路安全
RaidenFTPD設定步驟 (續 )
bull 接下來的步驟依照預設值即可
2-57
網路安全
RaidenFTPD設定步驟 (續 )
bull 設定人員帳號與群組按下 Add鈕輸入帳號密碼群組名稱可略過完成後按下 Next 進行下一步驟
2-58
網路安全
RaidenFTPD設定步驟 (續 )
bull 此步驟設定該帳號登入 FTP 時的權限選擇NORMAL 按下 Next 進行下一步驟
2-59
網路安全
RaidenFTPD設定步驟 (續 )
bull 接下來的步驟皆以預設值即可完成設定之後會出現對話視窗顯示您所設定的資訊
2-60
網路安全
FTP 用戶端工具 - Filezilla
bull 版本ndash 328
bull 支援作業平台ndash Windows Linux及Mac
bull 下載位址ndash httpsourceforgenetprojectsfilezillafiles
FileZilla_Client328FileZilla_328_win32zipdownload
2-61
網路安全
Filezilla 安裝步驟bull 執行 Filezilla 安裝程式點選 I agree 鈕
2-62
網路安全
Filezilla 安裝步驟 (續 )
bull 以預設值安裝點選兩次 Next 鈕
2-63
網路安全
Filezilla 安裝步驟 (續 )
bull 以預設值安裝點選 Next 鈕後再點選 Install 鈕
2-64
網路安全
Filezilla 安裝步驟 (續 )
bull 以預設值安裝點選 Next 鈕後再點選 Finish 鈕
2-65
網路安全
封包擷取工具 - Wireshark
bull 版本ndash 165
bull 支援作業平台ndash Windows Linux及 FreeBSD
bull 其他需求ndash 安裝WinPcap 31 以上版本
bull 下載位址ndash httpwiresharkdownloadsriverbedcomwireshark
win32wireshark-win32-165exe
2-66
網路安全
Wireshark 安裝步驟bull 至官方網站下載Windows平台最新版本檔案下載完成後執行該安裝程式
2-67
網路安全
Wireshark 安裝步驟 (續 )
bull 於下一步出現的版權宣告點選 I Agree鈕後繼續下一步驟
2-68
網路安全
Wireshark 安裝步驟 (續 )
bull 此步驟選擇欲安裝的元件以軟體預設勾選之項目安裝
2-69
網路安全
Wireshark 安裝步驟 (續 )
bull 此步驟使用預設路徑即可
2-70
網路安全
Wireshark 安裝步驟 (續 )
bull 此步驟將安裝Windows平台須加裝之套件 -WinPcap 若原系統未安裝過 WinPcap套件請以軟體預設項目安裝之
2-71
網路安全
Wireshark 安裝步驟 (續 )
bull 此步驟代表 Wireshark軟體已安裝完成可點選Finish 鈕或勾選 Run Wireshark 165 隨即使用該套軟體
2-72
網路安全
一般工具列Wireshark軟體介面介紹
2-73
篩選工具列封包清單窗格
封包內容窗格封包位元組窗格
網路安全
Wireshark 使用思考方向bull 遇到網路問題是否觀察網路通道中有異常動作或狀況
ndash 思考方向ndash 反應到擷取數據方法那麼以 Wireshark 擷取使用者需要擷取哪些數據這些數據由使用者電腦哪個裝置來擷取
bull Wireshark操作流程
bull 接下來我們進行軟體操作介紹
解決問題 擷取數據要先做什麼
擷取數據 擷取哪些數據( 過濾條件 )數據哪裡來( 網路介面卡 )
2-74
網路安全
數據哪裡來 - Capture功能bull 一開啟方式
ndash 1 點選快速鈕如紅色圈所示ndash 2 點選 Capture功能表 下拉選單後點選 Optionsndash 3鍵盤快速鍵 Ctrl + K
2-75
網路安全
數據哪裡來 - Capture功能 (續 )
bull 二開啟後顯示 Capture Options 的視窗畫面即可看到所提供的擷取功能選項
2-76
網路安全
數據哪裡來 - Capture功能 (續 )
bull Capture Options 常用的欄位設定ndash Caputure 框
bull 1Interface 會顯示出在系統上所有網路卡但只能選取一個介面作為封包擷取bull 2Capture packets in promiscuous mode 選取此選項就是經過所選取的網路卡的所有封包都會被擷取下來bull 3Capture Filter 指定擷取過濾器運算式擷取想要的特定封包即為擷取中過濾之功能
2-77
網路安全
數據哪裡來 - Capture功能 (續 )
bull Capture Options 常用的欄位設定ndash Display Options 框
bull Update list of packets in real time 指定在擷取封包過程中能夠即時更新已擷取封包清單窗格視窗中的封包資訊若取消則軟體主視窗更新畫面是沒有動作的
2-78
網路安全
bull Capture Options 常用的欄位設定ndash Name Resolution框
bull 1 Enable MAC name resolution 指定是否將網路卡MAC address 的前三個位元組轉換成製造商名稱
bull 2 Enable network name resolution 指定是否將 IP address轉換成 DNS 網域名稱
bull 3 Enable transport name resolution 指定是否將通信埠號碼 (port numbers)轉成協定名稱 (protocols)bull 各位了解數據從哪裡擷取的概念與操作之後即可以進一步加上附帶條件 (篩選條件 ) 等相關操作方式
數據哪裡來 - Capture功能 (續 )
2-79
網路安全
Wireshark操作手法bull 延續遇到問題的思考方向及軟體操作手法我們可以將操作流程分為兩種
ndash 擷取中過濾 (Filter while capturing)bull 優點僅擷取已知範圍資訊網路流量少bull 缺點需先了解問題類型避免可能有遺漏真正欲擷取資訊之狀況
ndash 檢視中過濾 (Filter packets while viewing)bull 優點不用先預設條件擷取所有封包資訊bull 缺點影響網路流量
先預設欲擷取條件 擷取數據
擷取數據 再篩選欲查詢數據2-80
網路安全
Wireshark操作手法 - 擷取中過濾bull 操作步驟
ndash 點選 Capture 下拉視窗選擇 Capture Filters 即呈現此視窗
bull 操作範例ndash 1於 Filter窗格中選擇 IP
Address 10112ndash 2於 Properties窗格中即顯示該選項的設定值如圖所示為 host 10112ndash 3 即可設定軟體僅針對
10112 的封包作擷取動作 延伸操作思考1 改變 Filter string 值得到什麼結果2 點選 Edit 窗格中的 New 鈕 新增自訂條件 2-81
網路安全
Wireshark操作手法 - 檢視中過濾bull 此步驟即以已擷取封包清單窗格為基礎以過濾條件過濾該清單bull 可直接選擇軟體預設項目如以下操作
ndash 操作步驟bull 點選 Analyze 下拉視窗選擇
Display Filters 即呈現此視窗ndash 操作範例
bull 1於 Filter窗格中選擇 IP Address 10112
bull 2於 Properties窗格中即顯示該選項的設定值如圖所示值為host 10112
bull 3 即可設定軟體僅針對 10112的封包作顯示動作 延伸操作思考1 可否進行進一步自訂設定值
2-82
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 若電腦 IP為 10112 欲篩選出 IP 來源為上述 IP 且協定為 TCP 80port 的所有封包ndash 操作步驟
bull 點選 Expression鈕即出現此視窗ndash 1於 Field name框選擇
IP項目中的 ipsrc - Source
ndash 2於 Relation框選擇 ==ndash 3於 Value [IPV4
address]填 入 10112ndash 4 點選 OK鈕 進階思考方式須考慮到例如是來源資訊是目標資訊是什麼協定等更細部所要之條件
2-83
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 再進行第二篩選條件ndash TCP 80 port
bull 操作步驟ndash 1先於 Filter string 輸入文字框「 ipsrc==
10112」後再加上一個空格及「 and 」再進行一次 Expression條件選擇
2-84
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
ndash 2於 Field name框選擇「 tcpdstport」ndash 3於 Relation框選擇「 ==」ndash 4於 Value框填入「 80」ndash 5 選擇「 OK」鈕
2-85
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 注意 Propeties框內的Filter string欄位值已改變為「 ipsrc == 10112 and tcpdstport == 80」
bull 確認條件正確後點選「 OK 」鈕即可發現已擷取封包清單窗格的項目均為所設定過濾條件過濾過結果2-86
網路安全
bull 可單選單一封包進行更進階查詢封包內容bull 操作方式為
ndash 點選其中一項封包項目點選滑鼠右鍵選擇Follow TCP Stream
Wireshark操作手法 - 檢視中過濾 (續 )
2-87
網路安全
ndash 此畫面即可看出該項 TCP 封包溝通內容Wireshark操作手法 - 檢視中過濾 (續 )
2-88
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 此功能將所擷取的封包清單使用多種方式呈現封包統計資料便於使用者查詢擷取時間內何種封包數量多寡及圖型顯示bull 操作步驟點選 Statistics 下拉視窗即呈現此視窗 顯示有關擷取清單的摘要以階梯式通訊協定列表顯示所擷取的所有封包
在特定 IP間顯示通訊流量顯示單一 IP 來往封包的流量
以時間軸顯示視覺化封包流量圖2-89
網路安全
bull 可查看到一時段內其封包總數與平均每秒傳遞接收封包數等相關資訊讓使用者了解平均一時段內網路流量狀況藉以初步獲得資訊
Wireshark操作手法 - 檢視中過濾 (續 )
2-90
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 讓使用者可透過階梯式封包分類表來查看哪一類封包佔為居多可進一步推測是否該類型封包影響到整體網路或是否有異常或不常見封包類型在網路中傳遞
2-91
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 將該擷取時段內封包清單檔以兩個特定 IP 之間對傳封包為區隔顯示出哪兩個特定 IP間傳遞封包數多寡bull 可讓使用者更進一步研判兩個特定 IP所屬設備傳遞狀況是否異常
2-92
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 將該擷取時段內封包清單檔以特定IP 傳遞封包數為區隔顯示出哪特定IP 傳遞封包數多寡
bull 可讓使用者更進一步研判該特定所屬設備傳遞封包數是否異常作為管制緊急管制或禁止通訊之證明2-93
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 以時間軸顯示視覺化封包流量圖bull 讓使用者可觀察所管理設備資訊流通量以了解設備是否能負荷或作相關調整等處置
2-94
網路安全
FTP 擷取密碼案例bull 於Wireshark軟體選擇 Capture 下拉選單功能項點選 Interfaces 選項
2-95
網路安全
FTP 擷取密碼案例 (續 )
bull 確認欲擷取封包之網卡名稱如紅色底線所示確認後點選 Start鈕
2-96
網路安全
FTP 擷取密碼案例 (續 )
bull 切換至 FTP Client 電腦開啟 FileZilla 程式後連線到 FTP Server 於 Host 填入10123 Username填入 tester Password填入testpw 後點選 Quickconnect鈕
2-97
網路安全
FTP 擷取密碼案例 (續 )
bull 擷取到的封包資訊會顯示於已擷取封包清單窗格內
2-98
網路安全
FTP 擷取密碼案例 (續 )
bull 使用 FTP軟體登入 ftp站後 Wireshark 將擷取到的使用者名稱與密碼如紅框所示
2-99
網路安全
FTP 擷取密碼案例 (續 )
bull 點選已擷取封包清單窗格的密碼資訊列如標示1 的紅框所示即可在封包內容窗格看到該密碼的位元碼如標示 2 的紅框所示
1
2
2-100
網路安全
架設實作 (三 )
Outlook Express 擷取密碼案例
2-101
網路安全
實驗環境介紹bull 以 Testbed建立一實驗相關拓樸及設定如下圖
OEClientOSWindows XP SP3IP 10112執行 Outlook Express
MailServerOSWindows XP SP3IP 10122安裝軟體 ArGoSoft Mail Server
2-102
WiresharkOSWindows XP SP3IP1 10113 IP2 10123安裝軟體 Wireshark
IP1IP2
網路安全
實驗拓樸 on TestbedTWISC- 建立完成的實驗拓樸
2-103
網路安全
郵件伺服器工具 - ArGoSoft Mail Server
bull 版本ndash 1892 Freeware
bull 支援作業平台ndash Windows
bull 下載位址ndash httpwwwsoftkingcomtwsoftdownloadaspfid3=7367
2-104
網路安全
郵件客戶端工具 - Outlook Express
bull 版本ndash 60
bull 支援作業平台ndash Windows
bull 下載位址ndash Windows 內建
2-105
網路安全
bull 安裝及設定郵件伺服器ndash 1下載並執行 ArGoSoft Mail Server軟體點選
Setup鈕
Outlook Express 擷取密碼案例
2-106
網路安全
ndash 1 點選 Next鈕ndash 2 點選 Start Installation鈕
Outlook Express 擷取密碼案例 (續 )
2-107
網路安全
ndash 3 點選 OK鈕ndash 4 點選 Finish鈕完成軟體安裝
Outlook Express 擷取密碼案例 (續 )
2-108
網路安全
ndash 5 點選使用者設定鈕如紅圈所示ndash 6 點選新增鈕如紅框所示
Outlook Express 擷取密碼案例 (續 )
2-109
網路安全
ndash 7填入使用者名稱 (tester) 及密碼 (testpw) 如紅圈所示填寫完成後點選 OK鈕ndash 8 點選 Close鈕關閉使用者設定視窗
Outlook Express 擷取密碼案例 (續 )
2-110
網路安全
ndash 9 點選選項鈕如左側圖中紅色圈所示ndash 10 點選紅色打勾鈕如右側圖中紅色圈所示
2-111
Outlook Express 擷取密碼案例 (續 )
網路安全
ndash 11該軟體會自動選取 DNS Server 待選取後點選 Yes鈕ndash 12 勾選 Allow Relay 選項如紅框所示
2-112
Outlook Express 擷取密碼案例 (續 )
網路安全
Outlook Express 擷取密碼案例 (續 )
bull 設定收信帳號ndash 1 點選 Tools功能選單選擇 Accounts 選項
2-113
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 2 點選 Add鈕選擇 Mail 選項
2-114
網路安全
ndash 3填入 tester 點選 Next鈕ndash 4填入 testertestcom 點選 Next鈕
Outlook Express 擷取密碼案例 (續 )
2-115
網路安全
ndash 5填入 10123 如紅框所示點選 Next鈕ndash 6填入帳號為 tester 及密碼為 testpw 點選 Next鈕
Outlook Express 擷取密碼案例 (續 )
2-116
網路安全
ndash 7 點選 Finish鈕ndash 8 點選 Close鈕
Outlook Express 擷取密碼案例 (續 )
2-117
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 模擬條件準備好後首先準備Wireshark 擷取動作開啟Wireshark
2-118
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 於Wireshark軟體選擇 Capture 下拉選單功能項點選 Interfaces 選項
2-119
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 確認欲擷取封包之網卡名稱如紅色底線所示確認後點選 Start鈕
2-120
網路安全
ndash 當使用者收發 email 時即被 Wireshark攔截封包ndash 有發現到該 Outlook Express帳號密碼是如此清晰可見的嗎
Outlook Express 擷取密碼案例 (續 )
2-121
網路安全
結論bull 學習了 Wireshark及WinDump 兩套網路封包擷取軟體基本概念如同電話側錄概念相同從中複製一連串資訊來分析與了解網路的流量及內容為何bull 當你發現網路速度緩慢等狀況你是否會反應到所學的基本概念來找尋問題所在bull 防範概念由此課程的實例可以了解網路內容如被有心人士擷取所造成的損失相當可觀故你是否有對策有哪些方式你可以應用來防範bull 正確的思考善用對的工具將對解決問題事半功倍
2-122
網路安全 2-123
Module 2-5 封包擷取與分析的專案實作()
網路安全
專案目的bull 建立遠端管理傳遞指令資訊環境bull 利用實際攔截封包操作的方式讓同學了解封包擷取運作與網路資訊流通的顧慮等相關議題
2-124
網路安全
專案描述bull 近年來遠端管理伺服器及網路服務普及光是密碼保護就足夠了嗎是否重點網段須全程加密還是作網段隔離經由此專案實作即可了解不僅部分加密仍有其風險所在網路架構如何規劃將是非常重要的課題bull 參考環境配置圖完成下列要求①環境裡的攔截封包主機是 Windows XP SP3 作業系統而該主機安裝Wireshark軟體②另兩台主機的作業系統亦是 Windows XP SP3 並裝上
MySQL軟體 MySQL帳號為 root 密碼為您的學號 (如 Q3896105)
③在MySQLClient 電腦使用 MySQL Commandline 指令連線至MySQLServer 擷取資料庫資訊
④我們針對這兩台主機傳訊的封包擷取由整個實做中思考如何防範資訊外洩與了解傳訊封包如何流動及運作2-125
網路安全
環境配置圖bull 以 Testbed建立一實驗相關拓樸及設定如下圖
MySQLServerOSWINXP-SP3-CH-pc3000 IP 10123安裝軟體 MySQL
MySQLClientOSWINXP-SP3-CH-pc3000 IP 10112安裝軟體 MySQL
2-126
WireSharkOSWINXP-SP3-CH-pc3000 IP1 10113IP2 10122安裝軟體 Wireshark
IP1IP2
網路安全
作業繳交bull 請參考情境測試發送數個 SQL 指令並將過程與擷取到的封包資訊之截圖列於報告中所有圖表皆需要輔以文字說明bull Deadline 2012312 下午 500 以前bull 作業範圍 Module 2-5 (page 2-128)bull 方式 (參考課程網址 )
ndash 帳號密碼小寫的 (ns100ns100)ndash IP 140116164167
2-127
網路安全
有問題嗎
bull 關於 TestBed 使用上的問題請直接 Email至 twisc-testbed-usergooglegroupscom 將有專人為您服務bull 課程網址
httpitlabeenckuedutwcoursesNS_100indexhtml
2-128
bull 助教資訊 (參考課程網址 )
網路安全
參考資料bull Dienet httplinuxdienetman1wiresharkbull Orebaugh Angela Ramirez Gilbert Burke Josh Pesce Larry Wright
Joshua(2007) Wireshark and Ethereal network protocol analyzer toolkitbull Tony Fortunato(2007) Wireshark Training Retrieved July 22 2009 from
the World Wide Web httpwwwthetechfirmcometherealwiresharkpdfbull WinDump httpwwwwinpcaporgWinDumpbull Wireshark httpwwwwiresharkorgbull Wireshark University httpwwwwiresharktrainingcombull 楊中皇 (民 97年 ) 網路安全理論與實務 (2版 ) 台北市學貫bull 蘇淑茵教授 Wireshark 民國 98年 6月 28日取自 httpmywebnckuedutw~sisou
2-129
網路安全
區段 內容 說明表頭區(header)
警告訊號 警告訊號用來顯示接受端訊息已開始傳送時脈是使雙方同步傳輸過程且顯示來源電腦和目的電腦的位址
來源位置目的位置時脈
資料區(data
block)資料 存放實際傳輸資料能存放的資料大小約
512到 4K Bytes 由於無法存放太大的資料因此資料傳輸時會被切割為封包
表尾區(trailer)
循環檢查碼循環檢查的相關檢查碼 (CRC) 是利用演算公式計算出來當接收端收到封包時為了確定資料是否正確會將封包中的資料利用演算公式重新計算一次結果必須和相關檢查碼相同表示傳輸的資料才正確
封包構成區段
2-9
網路安全
資料切割成封包傳輸的原因bull 避免網路阻塞如果直接將資料傳送到網路上由於資料太大會造成網路的擁擠其它電腦都會因為等待這台電腦傳輸資料而無法工作
A H
B
C
E
F
網路阻塞示意圖
資料 1 傳遞中
DG
欲傳輸資料資料 2資料 1
資料 3
資料 1
完成傳輸資料
2-10
網路安全
資料切割成封包傳輸的原因 (續 )
bull 可多路徑傳遞當網路較複雜時兩台電腦之間的通訊路徑就不只一個資料拆成封包後可以透過路由 (Routing)走不同的路徑到達目的地然後再組合起來加快傳遞速度一般路徑傳輸藍色路徑 A gt B gt D gt F封包 1 已傳輸封包 2 欲傳輸 D 點發生忙碌時變更路徑傳輸綠色路徑 A gt B gt E gt F
A F
B
C
D
E封包 1
完成傳輸封包等待傳輸封包封包 2封包 1 多路徑傳遞示意圖
2-11
網路安全
路由 (Routing) 簡介bull 封包在網路上的傳輸是透過路由 (Routing) 將封包從來源位址傳輸到目的位址
bull 路由為網路 OSI七層中的網路層 (Network Layer) 所負責
2-12
應用層Application Layer
表現層Presentation Layer
交談層Session Layer
傳輸層Transport Layer
網路層Network Layer
資料連結層Data-Link Layer
實體層Physical Layer
網路安全
路由 (Routing) 簡介 (續 )
bull 路由器 (Router) 功用為分配引導封包傳遞如下個需經過之主機以完成封包傳遞bull 路由表 (Routing
Table) 一般來說路由器皆會存有路由表用來紀錄與儲存到達各個目的地之最佳路徑2-13
Network Distance Port Next Router Entry State
1 0 1 0 Good
2 1 2 Router 2 Good
Router2
Router1Port1
Port2Network1
Network2
Routing Table
網路安全
封包分組封包重組bull 一個資料若拆成若干個封包經過多路徑傳遞後因為網路狀況及路由器分配之傳遞路線不同先送出之封包不一定會先被收到bull 每個經拆解後的封包皆有他自己的編號接收端可依此編號將封包重組回原始資料bull 表頭 (Header) 即記載這些額外資訊
2-14
資料Part1資料Part2資料Part3
資料Part4
資料Part5
資料Part4
資料Part5
封包重組
拆出資料
網路安全
封包與生活中物件做比較bull 如果把封包比喻成信件它們之間是有一些類似的性質
ndash 信封就相當於封包的控制訊息內容包含收件人與寄件人的地址郵遞區號及信件類型 (平信限時及掛號 )ndash 信封內的文字部分 (郵差看不到的部分 )相當於使用者資料ndash 兩者較不同的地方是信件是在郵差在路上騎機車幫我們遞送信件封包是在網路上傳輸的
2-15
網路安全
封包與生活中物件做比較 (續 )
ndash 因為一些傳輸效率上的因素封包的傳遞過程是將信件分裝成一封一封小的信件使用相同的信封寄往目的地ndash 如果從安全性的角度來看封包與信件最大的不同點在於信件內容洩露的部分如果今天信件被拆封偷看收信人可從彌封部分看出個端倪但封包資訊是相當容易被複製與修改的目地端收到此封包是很難確保封包內容沒有被惡意者所偷窺與修改過
2-16
網路安全
了解封包進階思考bull 並非所有的通訊協定都有相同的欄位資料由於採用不同的通訊協定 (TCP與 UDP) 網路封包的結構都有些許的差異但了解基礎封裝方式即可推理各種不同的通訊協定bull 在實務上想要進行網路封包分析的原因有很多故首要先了解什麼是封包定義及其運作方式後再搭配合適的網路封包擷取程式來解決實務上所遇的問題
2-17
網路安全
Module 2-2 封包結構與通訊協定 ()
2-18
網路安全
bull 目前網路使用相當多不同類型的通訊協定下圖列舉出在 OSI 協定七層中常見的通訊協定bull 網路上有許多不安全的通訊協定且大多採用明碼方式傳送經常造成資訊外洩如
HTTP TELNET及 SMTP 等故必要時須顧慮到資訊安全的議題
PPP
IPARP
UDP TCP
TelnetFTPSMTP
SLIP
HTTP
網路 OSI七層常見通訊協定類型
2-19
網路安全
封包結構與傳輸過程Application
TCP
IP
DeviceDriver
SMTPTELNETFTP
TCPUDP
ARPRARPICMP
EthernetX25PPP
TCPIP 四層 常見通訊協定User Data
App Header
Application DataTCP Header
IP Header
Frame Header
Frame Trailer
User Data
Application Data
Application Data
TCP Header
TCP Header
IP Header
TCP Segment
IP Segment
Frame
封包封裝
Socket NetBIOS
2-20
網路安全
IP 表頭
2-21
0
Precedence(3 Bits)
Delay(1 Bit)
Throughout(1Bit)
Reliability(1 Bit)
Cost(1 Bit)
Reserved(1Bit)
Type Of Service(8 Bits)
=
Reserved(1 Bit)
Donrsquot Fragment
(1 Bit)
More Fragment
(1 Bit)
Flags(3 Bits)
=
Version(4 Bits)
IHL(4 Bits)
Total Length(16 Bits)
Identification(16 Bits)
Fragment Offset(13 Bits)
Time to Live(8 Bits)
Protocal(8Bits)
Header Checksum(16 Bits)
Source Address (32 Bits)
Destination Address (32 Bits)
Options (長度不定 ) Padding (長度不定 )
32
64
96
128
160
Type of Service(8Bits)
Flags(3
Bits)
網路安全
封包 header 實例
2-22
網路安全
封包擷取的原理
A電腦網路卡
目的地A封包
目的地B封包
被丟棄
2-23
網路安全
封包擷取的原理 (續 )
bull 為了監聽到其他使用者的封包監聽者會將網路卡修改為混亂模式 (Promiscuous) 混亂模式不會對目標 MAC 位置做檢查的動作而是將所收到的所有封包做接收的動作bull 藉由混亂模式就可以在 HUB 的區域網路環境中或無線網路的環境中擷取其他人的封包訊息
2-24
網路安全
Module 2-3 封包擷取工具介紹 ()
2-25
網路安全
封包擷取工具比較bull 商業軟體
ndash 優 有廠商維護支援性較佳ndash 缺 成本較高ndash 例 NetResident與 EtherDetect
bull 免費軟體ndash 優 成本較低ndash 缺 功能與使用說明較為簡略ndash 例 Wireshark與WinDump
2-26
網路安全
封包擷取工具 - WinDump
bull 一種開放原始碼的網路軟體工具為 Windows版的 tcpdumpbull 可以分析封包的流向並且對於封包的內容也可以進行 監聽 bull WinDump運算式是一種規則運算式利用一些條件來進行訊息的過濾當訊息滿足運算式的條件則會將其資訊捕獲如果沒有給出任何條件則網路上所有的資訊包將會被擷獲bull 例 WinDump -i interface -c 10 -n port 80 -w
filename
2-27
網路安全
封包擷取工具 - Wireshark
bull 開放原始碼軟體bull 起源於 1997年 Wireshark 的前身即為 Ethereal因為商標問題而改名成 Wiresharkbull 支援通訊協定多且完整使用圖形化的介面讓操作者容易上手過濾條件切割細密讓使用者可於乙太網路撈取且經數據過濾分析後的數據流bull 可由此軟體能夠擷取網路封包並盡可能顯示出最為詳細的網路封包資料提供各方應用
2-28
網路安全
網路存取函式庫 - WinPcap
bull WinPcap 是著名 Unix libpcap的Windows版本API
bull Pcap 是用來擷取封包的應用程式介面 (Application Programming Interface API)
bull 免費直接網路存取函式庫bull 許多網路應用軟體運行均須安裝此套函式庫如WiresharkWinDump Nmap及 Snort
2-29
網路安全
WinDump與Winpcab 示意圖bull 透過 WinDump及Winpcap 工具擷取並分析封包後再將資料蒐集至電腦設備中
2-30
乙太網路Ethernet
網路工具
Windump分析封包結構
Winpcap擷取並過濾封包
封包資訊
網路安全 2-31
Module 2-4 封包擷取的實務 ()
網路安全 2-32
Linux kernel packet processing
網路安全 2-33
網路安全
說明bull 架設實作 (一 ) 請將介紹如何安裝與使用
WinDump 依實驗拓樸請使用 WireDump 主機做安裝及測試bull 架設實作 (二 ) 請利用 Wireshark軟體對 FTP 進行封包擷取依實驗拓樸請使用 Wireshark 主機做安裝及測試bull 架設實作 (三 ) 請利用 Wireshark軟體對
Outlook Express進行封包擷取依實驗拓樸請使用 Wireshark 主機做安裝及測試2-34
網路安全
架設實作 (一 )
WinDump 實作 -SSH連線觀察
2-35
網路安全
封包擷取工具 - WinDump
bull 版本ndash 395
bull 支援作業平台ndash Windows 9598NT2000XP2003
bull 其他需求ndash 安裝WinPcap 31 以上版本
bull 下載位址ndash httpwwwwinpcaporgwindumpinstallbin
windump_3_9_5WinDumpexe
2-36
網路安全
其他需求工具 - WinPcap
bull 版本ndash 402 stable
bull 支援作業平台ndash Windows NT42000
Windows XP2003Vista (x86 and x64)Windows Server 2008 (x86 and x64)
bull 下載位址ndash httpwwwwinpcaporginstallbin
WinPcap_4_0_2exe
2-37
網路安全
WinPcap 安裝步驟bull WinPcap 下載完成後即可進行安裝bull 安裝畫面如下點選 Next按鈕繼續下一步
2-38
網路安全
WinDump與WinPcap測試bull 請將下載的 WinDumpexe 檔案存放至 C
Windowssystem32 的目錄之下bull 測試WinDump及WinPcap 是否可運作
ndash 點選開始 -gt 程式集 -gt附屬應用程式 -gt命令提示字元 -gt 輸入「 windump 」按下 Enter 即會出現「 windump listening on DeviceNPF_GenericDialupAdapter」的訊息代表WinDump及WinPcap 安裝成功且可運作
ndash 停止監聽按「 Ctrl + C」將顯示擷取封包的數量
2-39
網路安全
參數 說明-c 指定收到的封包數目當達到該數目時 Tcpdump 即會停止-d 把編譯過的封包編碼轉碼成可閱讀的格式放置於標準輸出-dd 把編譯過的封包編碼轉碼成 C 語言的格式放置於標準輸出-ddd 把編譯過的封包編碼轉碼成十進位的格式放置於標準輸出-F 從所指定的文件中讀取運算式進而忽略其他運算式-f 用數字顯示 IP 位址 -i 指定擷取封包的網路介面 -w 將擷取的封包直接寫入檔案當中不做分析與顯示於畫面
參數 說明-r 從指定的檔案文件中讀取資料該檔案文件由 -w 所製造出來-v 顯示詳細的封包資訊多了 TTL 及服務類型-s 設定每一個封包的大小-S 用絕對數並非相對數的值列出 TCP 連接數-tt 顯示出原始時間並且為不格式化的時間-n 不進行 IP Address 到 Domain
Name 的轉換-nn 不進行 Port 的轉換如 22 就是
ssh
-x 用十六進位字碼列出封包資料
WinDump相關參數列表
2-40
網路安全
WinDump 簡易使用操作說明bull 語法 windump 參數bull 查看目前系統可使用的網卡介面
ndash windump -Dbull 透過查看網卡介面以利後續監聽之用
2-41
網路安全
WinDump 簡易使用操作說明 (續 )
bull WinDump -i 網卡介面代號 -c 擷取封包數量 port 通訊埠
bull 例 WinDump -i 2 -c 10 port 80
2-42
網路安全
WinDump 簡易使用操作說明 (續 )
bull 因於命令提示字元視窗內所顯示的資訊不易閱讀可透過下列指令將其所擷取的資訊導向至檔案bull Windump -i 網卡介面代號 gt 檔名
ndash windump -i 2 -c 10 -w message port 80ndash windump -r message gt messagetxtndash windump -i 2 -c 10 port 80 gt messagetxt
2-43
網路安全
WinDump 簡易使用操作說明 (續 )
112338326205 此為封包被擷取的時間『 HHMMSSfraction』的單位IP 透過的通訊協定是 IPwinser 1099 gt w1wwwviptw1yahoocomtw80 代表的是傳送端是 winser 傳送的通訊埠為 1099 大於 (gt) 的符號指的是封包的傳輸方向 w1wwwviptw1yahoocomtw 為接收端 80 為接收埠
P(PUSH) 為資料傳輸標誌且傳輸的資料為整體資料的 1~ 699 byte 所以這個封包帶有 698 bytes 的資料量 ack 1 win 65535 ACK與Window size 的相關資料2-44
網路安全
bull 以 Testbed建立一實驗相關拓樸及設定如下圖SSHClientOSWINXP-SP3-CH-pc3000 IP 10113安裝軟體 putty
SSHServerOSWINXP-SP3-CH-pc3000IP 10123安裝軟體 sshd
實驗環境介紹
2-45
IP1
IP2
WireDumpOSWINXP-SP3-CH-pc3000IP1 10112IP2 10122安裝軟體 WinDump
網路安全
實驗拓樸 on TestbedTWISC- 建立完成的實驗拓樸
2-46
網路安全
SSH連線觀察bull 利用 Putty連線到 SSHServer從中觀察到三向交握建立連線的動作從 SSHClient 端利用 putty連線到SSHServer(10123)的 sshd服務
2-47
網路安全
SSH連線觀察 (續 )
bull SSH 在連線之前會利用三向交握的方式建立連線bull 利用 WinDump觀察 SSH連線動作
ndash 指令 WinDumpexe -N -S -i 4 port 22
三向交握的三個封包三向交握示意圖Server lt- Client SYN 你想連線Server -gt Client SYN ACK 可以我接受Server lt- Client ACK 謝謝
2-48
網路安全
架設實作 (二 )
FTP 擷取密碼案例
2-49
網路安全
FTPClientOSWINXP-SP3-pc3000IP 10112安裝軟體 FileZilla
FTPServerOSWINXP-SP3-pc3000IP 10123安裝軟體 RaidenFTPD
實驗環境介紹bull 以 Testbed建立一實驗相關拓樸及設定如下圖
2-50
IP1IP2
WireSharkOSWINXP-SP3-pc3000IP1 10113IP2 10122安裝軟體 Wireshark
網路安全
實驗拓樸 on TestbedTWISC- 建立完成的實驗拓樸
2-51
網路安全
FTP伺服器工具 - RaidenFTPD
bull 版本ndash 24 build 3720
bull 支援作業平台ndash Windows
bull 下載位址ndash httpwwwraidenmaildcomdownloadraidenftpd2exe
2-52
網路安全
RaidenFTPD 安裝步驟bull 下載Windows平台最新版本檔案下載完成後執行該安裝程式
2-53
網路安全
RaidenFTPD 安裝步驟 (續 )
bull 此步驟使用預設路徑即可按下 Install 進行安裝
2-54
網路安全
RaidenFTPD設定步驟bull 程式開啟畫面如下選擇 Click here to start a new
server 進行 FTP伺服器設定
2-55
網路安全
RaidenFTPD設定步驟 (續 )
bull 此處可設定 Server name與 Server IP 將 Auto IP 取消勾選並將 Server IP設為 10123
2-56
網路安全
RaidenFTPD設定步驟 (續 )
bull 接下來的步驟依照預設值即可
2-57
網路安全
RaidenFTPD設定步驟 (續 )
bull 設定人員帳號與群組按下 Add鈕輸入帳號密碼群組名稱可略過完成後按下 Next 進行下一步驟
2-58
網路安全
RaidenFTPD設定步驟 (續 )
bull 此步驟設定該帳號登入 FTP 時的權限選擇NORMAL 按下 Next 進行下一步驟
2-59
網路安全
RaidenFTPD設定步驟 (續 )
bull 接下來的步驟皆以預設值即可完成設定之後會出現對話視窗顯示您所設定的資訊
2-60
網路安全
FTP 用戶端工具 - Filezilla
bull 版本ndash 328
bull 支援作業平台ndash Windows Linux及Mac
bull 下載位址ndash httpsourceforgenetprojectsfilezillafiles
FileZilla_Client328FileZilla_328_win32zipdownload
2-61
網路安全
Filezilla 安裝步驟bull 執行 Filezilla 安裝程式點選 I agree 鈕
2-62
網路安全
Filezilla 安裝步驟 (續 )
bull 以預設值安裝點選兩次 Next 鈕
2-63
網路安全
Filezilla 安裝步驟 (續 )
bull 以預設值安裝點選 Next 鈕後再點選 Install 鈕
2-64
網路安全
Filezilla 安裝步驟 (續 )
bull 以預設值安裝點選 Next 鈕後再點選 Finish 鈕
2-65
網路安全
封包擷取工具 - Wireshark
bull 版本ndash 165
bull 支援作業平台ndash Windows Linux及 FreeBSD
bull 其他需求ndash 安裝WinPcap 31 以上版本
bull 下載位址ndash httpwiresharkdownloadsriverbedcomwireshark
win32wireshark-win32-165exe
2-66
網路安全
Wireshark 安裝步驟bull 至官方網站下載Windows平台最新版本檔案下載完成後執行該安裝程式
2-67
網路安全
Wireshark 安裝步驟 (續 )
bull 於下一步出現的版權宣告點選 I Agree鈕後繼續下一步驟
2-68
網路安全
Wireshark 安裝步驟 (續 )
bull 此步驟選擇欲安裝的元件以軟體預設勾選之項目安裝
2-69
網路安全
Wireshark 安裝步驟 (續 )
bull 此步驟使用預設路徑即可
2-70
網路安全
Wireshark 安裝步驟 (續 )
bull 此步驟將安裝Windows平台須加裝之套件 -WinPcap 若原系統未安裝過 WinPcap套件請以軟體預設項目安裝之
2-71
網路安全
Wireshark 安裝步驟 (續 )
bull 此步驟代表 Wireshark軟體已安裝完成可點選Finish 鈕或勾選 Run Wireshark 165 隨即使用該套軟體
2-72
網路安全
一般工具列Wireshark軟體介面介紹
2-73
篩選工具列封包清單窗格
封包內容窗格封包位元組窗格
網路安全
Wireshark 使用思考方向bull 遇到網路問題是否觀察網路通道中有異常動作或狀況
ndash 思考方向ndash 反應到擷取數據方法那麼以 Wireshark 擷取使用者需要擷取哪些數據這些數據由使用者電腦哪個裝置來擷取
bull Wireshark操作流程
bull 接下來我們進行軟體操作介紹
解決問題 擷取數據要先做什麼
擷取數據 擷取哪些數據( 過濾條件 )數據哪裡來( 網路介面卡 )
2-74
網路安全
數據哪裡來 - Capture功能bull 一開啟方式
ndash 1 點選快速鈕如紅色圈所示ndash 2 點選 Capture功能表 下拉選單後點選 Optionsndash 3鍵盤快速鍵 Ctrl + K
2-75
網路安全
數據哪裡來 - Capture功能 (續 )
bull 二開啟後顯示 Capture Options 的視窗畫面即可看到所提供的擷取功能選項
2-76
網路安全
數據哪裡來 - Capture功能 (續 )
bull Capture Options 常用的欄位設定ndash Caputure 框
bull 1Interface 會顯示出在系統上所有網路卡但只能選取一個介面作為封包擷取bull 2Capture packets in promiscuous mode 選取此選項就是經過所選取的網路卡的所有封包都會被擷取下來bull 3Capture Filter 指定擷取過濾器運算式擷取想要的特定封包即為擷取中過濾之功能
2-77
網路安全
數據哪裡來 - Capture功能 (續 )
bull Capture Options 常用的欄位設定ndash Display Options 框
bull Update list of packets in real time 指定在擷取封包過程中能夠即時更新已擷取封包清單窗格視窗中的封包資訊若取消則軟體主視窗更新畫面是沒有動作的
2-78
網路安全
bull Capture Options 常用的欄位設定ndash Name Resolution框
bull 1 Enable MAC name resolution 指定是否將網路卡MAC address 的前三個位元組轉換成製造商名稱
bull 2 Enable network name resolution 指定是否將 IP address轉換成 DNS 網域名稱
bull 3 Enable transport name resolution 指定是否將通信埠號碼 (port numbers)轉成協定名稱 (protocols)bull 各位了解數據從哪裡擷取的概念與操作之後即可以進一步加上附帶條件 (篩選條件 ) 等相關操作方式
數據哪裡來 - Capture功能 (續 )
2-79
網路安全
Wireshark操作手法bull 延續遇到問題的思考方向及軟體操作手法我們可以將操作流程分為兩種
ndash 擷取中過濾 (Filter while capturing)bull 優點僅擷取已知範圍資訊網路流量少bull 缺點需先了解問題類型避免可能有遺漏真正欲擷取資訊之狀況
ndash 檢視中過濾 (Filter packets while viewing)bull 優點不用先預設條件擷取所有封包資訊bull 缺點影響網路流量
先預設欲擷取條件 擷取數據
擷取數據 再篩選欲查詢數據2-80
網路安全
Wireshark操作手法 - 擷取中過濾bull 操作步驟
ndash 點選 Capture 下拉視窗選擇 Capture Filters 即呈現此視窗
bull 操作範例ndash 1於 Filter窗格中選擇 IP
Address 10112ndash 2於 Properties窗格中即顯示該選項的設定值如圖所示為 host 10112ndash 3 即可設定軟體僅針對
10112 的封包作擷取動作 延伸操作思考1 改變 Filter string 值得到什麼結果2 點選 Edit 窗格中的 New 鈕 新增自訂條件 2-81
網路安全
Wireshark操作手法 - 檢視中過濾bull 此步驟即以已擷取封包清單窗格為基礎以過濾條件過濾該清單bull 可直接選擇軟體預設項目如以下操作
ndash 操作步驟bull 點選 Analyze 下拉視窗選擇
Display Filters 即呈現此視窗ndash 操作範例
bull 1於 Filter窗格中選擇 IP Address 10112
bull 2於 Properties窗格中即顯示該選項的設定值如圖所示值為host 10112
bull 3 即可設定軟體僅針對 10112的封包作顯示動作 延伸操作思考1 可否進行進一步自訂設定值
2-82
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 若電腦 IP為 10112 欲篩選出 IP 來源為上述 IP 且協定為 TCP 80port 的所有封包ndash 操作步驟
bull 點選 Expression鈕即出現此視窗ndash 1於 Field name框選擇
IP項目中的 ipsrc - Source
ndash 2於 Relation框選擇 ==ndash 3於 Value [IPV4
address]填 入 10112ndash 4 點選 OK鈕 進階思考方式須考慮到例如是來源資訊是目標資訊是什麼協定等更細部所要之條件
2-83
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 再進行第二篩選條件ndash TCP 80 port
bull 操作步驟ndash 1先於 Filter string 輸入文字框「 ipsrc==
10112」後再加上一個空格及「 and 」再進行一次 Expression條件選擇
2-84
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
ndash 2於 Field name框選擇「 tcpdstport」ndash 3於 Relation框選擇「 ==」ndash 4於 Value框填入「 80」ndash 5 選擇「 OK」鈕
2-85
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 注意 Propeties框內的Filter string欄位值已改變為「 ipsrc == 10112 and tcpdstport == 80」
bull 確認條件正確後點選「 OK 」鈕即可發現已擷取封包清單窗格的項目均為所設定過濾條件過濾過結果2-86
網路安全
bull 可單選單一封包進行更進階查詢封包內容bull 操作方式為
ndash 點選其中一項封包項目點選滑鼠右鍵選擇Follow TCP Stream
Wireshark操作手法 - 檢視中過濾 (續 )
2-87
網路安全
ndash 此畫面即可看出該項 TCP 封包溝通內容Wireshark操作手法 - 檢視中過濾 (續 )
2-88
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 此功能將所擷取的封包清單使用多種方式呈現封包統計資料便於使用者查詢擷取時間內何種封包數量多寡及圖型顯示bull 操作步驟點選 Statistics 下拉視窗即呈現此視窗 顯示有關擷取清單的摘要以階梯式通訊協定列表顯示所擷取的所有封包
在特定 IP間顯示通訊流量顯示單一 IP 來往封包的流量
以時間軸顯示視覺化封包流量圖2-89
網路安全
bull 可查看到一時段內其封包總數與平均每秒傳遞接收封包數等相關資訊讓使用者了解平均一時段內網路流量狀況藉以初步獲得資訊
Wireshark操作手法 - 檢視中過濾 (續 )
2-90
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 讓使用者可透過階梯式封包分類表來查看哪一類封包佔為居多可進一步推測是否該類型封包影響到整體網路或是否有異常或不常見封包類型在網路中傳遞
2-91
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 將該擷取時段內封包清單檔以兩個特定 IP 之間對傳封包為區隔顯示出哪兩個特定 IP間傳遞封包數多寡bull 可讓使用者更進一步研判兩個特定 IP所屬設備傳遞狀況是否異常
2-92
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 將該擷取時段內封包清單檔以特定IP 傳遞封包數為區隔顯示出哪特定IP 傳遞封包數多寡
bull 可讓使用者更進一步研判該特定所屬設備傳遞封包數是否異常作為管制緊急管制或禁止通訊之證明2-93
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 以時間軸顯示視覺化封包流量圖bull 讓使用者可觀察所管理設備資訊流通量以了解設備是否能負荷或作相關調整等處置
2-94
網路安全
FTP 擷取密碼案例bull 於Wireshark軟體選擇 Capture 下拉選單功能項點選 Interfaces 選項
2-95
網路安全
FTP 擷取密碼案例 (續 )
bull 確認欲擷取封包之網卡名稱如紅色底線所示確認後點選 Start鈕
2-96
網路安全
FTP 擷取密碼案例 (續 )
bull 切換至 FTP Client 電腦開啟 FileZilla 程式後連線到 FTP Server 於 Host 填入10123 Username填入 tester Password填入testpw 後點選 Quickconnect鈕
2-97
網路安全
FTP 擷取密碼案例 (續 )
bull 擷取到的封包資訊會顯示於已擷取封包清單窗格內
2-98
網路安全
FTP 擷取密碼案例 (續 )
bull 使用 FTP軟體登入 ftp站後 Wireshark 將擷取到的使用者名稱與密碼如紅框所示
2-99
網路安全
FTP 擷取密碼案例 (續 )
bull 點選已擷取封包清單窗格的密碼資訊列如標示1 的紅框所示即可在封包內容窗格看到該密碼的位元碼如標示 2 的紅框所示
1
2
2-100
網路安全
架設實作 (三 )
Outlook Express 擷取密碼案例
2-101
網路安全
實驗環境介紹bull 以 Testbed建立一實驗相關拓樸及設定如下圖
OEClientOSWindows XP SP3IP 10112執行 Outlook Express
MailServerOSWindows XP SP3IP 10122安裝軟體 ArGoSoft Mail Server
2-102
WiresharkOSWindows XP SP3IP1 10113 IP2 10123安裝軟體 Wireshark
IP1IP2
網路安全
實驗拓樸 on TestbedTWISC- 建立完成的實驗拓樸
2-103
網路安全
郵件伺服器工具 - ArGoSoft Mail Server
bull 版本ndash 1892 Freeware
bull 支援作業平台ndash Windows
bull 下載位址ndash httpwwwsoftkingcomtwsoftdownloadaspfid3=7367
2-104
網路安全
郵件客戶端工具 - Outlook Express
bull 版本ndash 60
bull 支援作業平台ndash Windows
bull 下載位址ndash Windows 內建
2-105
網路安全
bull 安裝及設定郵件伺服器ndash 1下載並執行 ArGoSoft Mail Server軟體點選
Setup鈕
Outlook Express 擷取密碼案例
2-106
網路安全
ndash 1 點選 Next鈕ndash 2 點選 Start Installation鈕
Outlook Express 擷取密碼案例 (續 )
2-107
網路安全
ndash 3 點選 OK鈕ndash 4 點選 Finish鈕完成軟體安裝
Outlook Express 擷取密碼案例 (續 )
2-108
網路安全
ndash 5 點選使用者設定鈕如紅圈所示ndash 6 點選新增鈕如紅框所示
Outlook Express 擷取密碼案例 (續 )
2-109
網路安全
ndash 7填入使用者名稱 (tester) 及密碼 (testpw) 如紅圈所示填寫完成後點選 OK鈕ndash 8 點選 Close鈕關閉使用者設定視窗
Outlook Express 擷取密碼案例 (續 )
2-110
網路安全
ndash 9 點選選項鈕如左側圖中紅色圈所示ndash 10 點選紅色打勾鈕如右側圖中紅色圈所示
2-111
Outlook Express 擷取密碼案例 (續 )
網路安全
ndash 11該軟體會自動選取 DNS Server 待選取後點選 Yes鈕ndash 12 勾選 Allow Relay 選項如紅框所示
2-112
Outlook Express 擷取密碼案例 (續 )
網路安全
Outlook Express 擷取密碼案例 (續 )
bull 設定收信帳號ndash 1 點選 Tools功能選單選擇 Accounts 選項
2-113
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 2 點選 Add鈕選擇 Mail 選項
2-114
網路安全
ndash 3填入 tester 點選 Next鈕ndash 4填入 testertestcom 點選 Next鈕
Outlook Express 擷取密碼案例 (續 )
2-115
網路安全
ndash 5填入 10123 如紅框所示點選 Next鈕ndash 6填入帳號為 tester 及密碼為 testpw 點選 Next鈕
Outlook Express 擷取密碼案例 (續 )
2-116
網路安全
ndash 7 點選 Finish鈕ndash 8 點選 Close鈕
Outlook Express 擷取密碼案例 (續 )
2-117
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 模擬條件準備好後首先準備Wireshark 擷取動作開啟Wireshark
2-118
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 於Wireshark軟體選擇 Capture 下拉選單功能項點選 Interfaces 選項
2-119
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 確認欲擷取封包之網卡名稱如紅色底線所示確認後點選 Start鈕
2-120
網路安全
ndash 當使用者收發 email 時即被 Wireshark攔截封包ndash 有發現到該 Outlook Express帳號密碼是如此清晰可見的嗎
Outlook Express 擷取密碼案例 (續 )
2-121
網路安全
結論bull 學習了 Wireshark及WinDump 兩套網路封包擷取軟體基本概念如同電話側錄概念相同從中複製一連串資訊來分析與了解網路的流量及內容為何bull 當你發現網路速度緩慢等狀況你是否會反應到所學的基本概念來找尋問題所在bull 防範概念由此課程的實例可以了解網路內容如被有心人士擷取所造成的損失相當可觀故你是否有對策有哪些方式你可以應用來防範bull 正確的思考善用對的工具將對解決問題事半功倍
2-122
網路安全 2-123
Module 2-5 封包擷取與分析的專案實作()
網路安全
專案目的bull 建立遠端管理傳遞指令資訊環境bull 利用實際攔截封包操作的方式讓同學了解封包擷取運作與網路資訊流通的顧慮等相關議題
2-124
網路安全
專案描述bull 近年來遠端管理伺服器及網路服務普及光是密碼保護就足夠了嗎是否重點網段須全程加密還是作網段隔離經由此專案實作即可了解不僅部分加密仍有其風險所在網路架構如何規劃將是非常重要的課題bull 參考環境配置圖完成下列要求①環境裡的攔截封包主機是 Windows XP SP3 作業系統而該主機安裝Wireshark軟體②另兩台主機的作業系統亦是 Windows XP SP3 並裝上
MySQL軟體 MySQL帳號為 root 密碼為您的學號 (如 Q3896105)
③在MySQLClient 電腦使用 MySQL Commandline 指令連線至MySQLServer 擷取資料庫資訊
④我們針對這兩台主機傳訊的封包擷取由整個實做中思考如何防範資訊外洩與了解傳訊封包如何流動及運作2-125
網路安全
環境配置圖bull 以 Testbed建立一實驗相關拓樸及設定如下圖
MySQLServerOSWINXP-SP3-CH-pc3000 IP 10123安裝軟體 MySQL
MySQLClientOSWINXP-SP3-CH-pc3000 IP 10112安裝軟體 MySQL
2-126
WireSharkOSWINXP-SP3-CH-pc3000 IP1 10113IP2 10122安裝軟體 Wireshark
IP1IP2
網路安全
作業繳交bull 請參考情境測試發送數個 SQL 指令並將過程與擷取到的封包資訊之截圖列於報告中所有圖表皆需要輔以文字說明bull Deadline 2012312 下午 500 以前bull 作業範圍 Module 2-5 (page 2-128)bull 方式 (參考課程網址 )
ndash 帳號密碼小寫的 (ns100ns100)ndash IP 140116164167
2-127
網路安全
有問題嗎
bull 關於 TestBed 使用上的問題請直接 Email至 twisc-testbed-usergooglegroupscom 將有專人為您服務bull 課程網址
httpitlabeenckuedutwcoursesNS_100indexhtml
2-128
bull 助教資訊 (參考課程網址 )
網路安全
參考資料bull Dienet httplinuxdienetman1wiresharkbull Orebaugh Angela Ramirez Gilbert Burke Josh Pesce Larry Wright
Joshua(2007) Wireshark and Ethereal network protocol analyzer toolkitbull Tony Fortunato(2007) Wireshark Training Retrieved July 22 2009 from
the World Wide Web httpwwwthetechfirmcometherealwiresharkpdfbull WinDump httpwwwwinpcaporgWinDumpbull Wireshark httpwwwwiresharkorgbull Wireshark University httpwwwwiresharktrainingcombull 楊中皇 (民 97年 ) 網路安全理論與實務 (2版 ) 台北市學貫bull 蘇淑茵教授 Wireshark 民國 98年 6月 28日取自 httpmywebnckuedutw~sisou
2-129
網路安全
資料切割成封包傳輸的原因bull 避免網路阻塞如果直接將資料傳送到網路上由於資料太大會造成網路的擁擠其它電腦都會因為等待這台電腦傳輸資料而無法工作
A H
B
C
E
F
網路阻塞示意圖
資料 1 傳遞中
DG
欲傳輸資料資料 2資料 1
資料 3
資料 1
完成傳輸資料
2-10
網路安全
資料切割成封包傳輸的原因 (續 )
bull 可多路徑傳遞當網路較複雜時兩台電腦之間的通訊路徑就不只一個資料拆成封包後可以透過路由 (Routing)走不同的路徑到達目的地然後再組合起來加快傳遞速度一般路徑傳輸藍色路徑 A gt B gt D gt F封包 1 已傳輸封包 2 欲傳輸 D 點發生忙碌時變更路徑傳輸綠色路徑 A gt B gt E gt F
A F
B
C
D
E封包 1
完成傳輸封包等待傳輸封包封包 2封包 1 多路徑傳遞示意圖
2-11
網路安全
路由 (Routing) 簡介bull 封包在網路上的傳輸是透過路由 (Routing) 將封包從來源位址傳輸到目的位址
bull 路由為網路 OSI七層中的網路層 (Network Layer) 所負責
2-12
應用層Application Layer
表現層Presentation Layer
交談層Session Layer
傳輸層Transport Layer
網路層Network Layer
資料連結層Data-Link Layer
實體層Physical Layer
網路安全
路由 (Routing) 簡介 (續 )
bull 路由器 (Router) 功用為分配引導封包傳遞如下個需經過之主機以完成封包傳遞bull 路由表 (Routing
Table) 一般來說路由器皆會存有路由表用來紀錄與儲存到達各個目的地之最佳路徑2-13
Network Distance Port Next Router Entry State
1 0 1 0 Good
2 1 2 Router 2 Good
Router2
Router1Port1
Port2Network1
Network2
Routing Table
網路安全
封包分組封包重組bull 一個資料若拆成若干個封包經過多路徑傳遞後因為網路狀況及路由器分配之傳遞路線不同先送出之封包不一定會先被收到bull 每個經拆解後的封包皆有他自己的編號接收端可依此編號將封包重組回原始資料bull 表頭 (Header) 即記載這些額外資訊
2-14
資料Part1資料Part2資料Part3
資料Part4
資料Part5
資料Part4
資料Part5
封包重組
拆出資料
網路安全
封包與生活中物件做比較bull 如果把封包比喻成信件它們之間是有一些類似的性質
ndash 信封就相當於封包的控制訊息內容包含收件人與寄件人的地址郵遞區號及信件類型 (平信限時及掛號 )ndash 信封內的文字部分 (郵差看不到的部分 )相當於使用者資料ndash 兩者較不同的地方是信件是在郵差在路上騎機車幫我們遞送信件封包是在網路上傳輸的
2-15
網路安全
封包與生活中物件做比較 (續 )
ndash 因為一些傳輸效率上的因素封包的傳遞過程是將信件分裝成一封一封小的信件使用相同的信封寄往目的地ndash 如果從安全性的角度來看封包與信件最大的不同點在於信件內容洩露的部分如果今天信件被拆封偷看收信人可從彌封部分看出個端倪但封包資訊是相當容易被複製與修改的目地端收到此封包是很難確保封包內容沒有被惡意者所偷窺與修改過
2-16
網路安全
了解封包進階思考bull 並非所有的通訊協定都有相同的欄位資料由於採用不同的通訊協定 (TCP與 UDP) 網路封包的結構都有些許的差異但了解基礎封裝方式即可推理各種不同的通訊協定bull 在實務上想要進行網路封包分析的原因有很多故首要先了解什麼是封包定義及其運作方式後再搭配合適的網路封包擷取程式來解決實務上所遇的問題
2-17
網路安全
Module 2-2 封包結構與通訊協定 ()
2-18
網路安全
bull 目前網路使用相當多不同類型的通訊協定下圖列舉出在 OSI 協定七層中常見的通訊協定bull 網路上有許多不安全的通訊協定且大多採用明碼方式傳送經常造成資訊外洩如
HTTP TELNET及 SMTP 等故必要時須顧慮到資訊安全的議題
PPP
IPARP
UDP TCP
TelnetFTPSMTP
SLIP
HTTP
網路 OSI七層常見通訊協定類型
2-19
網路安全
封包結構與傳輸過程Application
TCP
IP
DeviceDriver
SMTPTELNETFTP
TCPUDP
ARPRARPICMP
EthernetX25PPP
TCPIP 四層 常見通訊協定User Data
App Header
Application DataTCP Header
IP Header
Frame Header
Frame Trailer
User Data
Application Data
Application Data
TCP Header
TCP Header
IP Header
TCP Segment
IP Segment
Frame
封包封裝
Socket NetBIOS
2-20
網路安全
IP 表頭
2-21
0
Precedence(3 Bits)
Delay(1 Bit)
Throughout(1Bit)
Reliability(1 Bit)
Cost(1 Bit)
Reserved(1Bit)
Type Of Service(8 Bits)
=
Reserved(1 Bit)
Donrsquot Fragment
(1 Bit)
More Fragment
(1 Bit)
Flags(3 Bits)
=
Version(4 Bits)
IHL(4 Bits)
Total Length(16 Bits)
Identification(16 Bits)
Fragment Offset(13 Bits)
Time to Live(8 Bits)
Protocal(8Bits)
Header Checksum(16 Bits)
Source Address (32 Bits)
Destination Address (32 Bits)
Options (長度不定 ) Padding (長度不定 )
32
64
96
128
160
Type of Service(8Bits)
Flags(3
Bits)
網路安全
封包 header 實例
2-22
網路安全
封包擷取的原理
A電腦網路卡
目的地A封包
目的地B封包
被丟棄
2-23
網路安全
封包擷取的原理 (續 )
bull 為了監聽到其他使用者的封包監聽者會將網路卡修改為混亂模式 (Promiscuous) 混亂模式不會對目標 MAC 位置做檢查的動作而是將所收到的所有封包做接收的動作bull 藉由混亂模式就可以在 HUB 的區域網路環境中或無線網路的環境中擷取其他人的封包訊息
2-24
網路安全
Module 2-3 封包擷取工具介紹 ()
2-25
網路安全
封包擷取工具比較bull 商業軟體
ndash 優 有廠商維護支援性較佳ndash 缺 成本較高ndash 例 NetResident與 EtherDetect
bull 免費軟體ndash 優 成本較低ndash 缺 功能與使用說明較為簡略ndash 例 Wireshark與WinDump
2-26
網路安全
封包擷取工具 - WinDump
bull 一種開放原始碼的網路軟體工具為 Windows版的 tcpdumpbull 可以分析封包的流向並且對於封包的內容也可以進行 監聽 bull WinDump運算式是一種規則運算式利用一些條件來進行訊息的過濾當訊息滿足運算式的條件則會將其資訊捕獲如果沒有給出任何條件則網路上所有的資訊包將會被擷獲bull 例 WinDump -i interface -c 10 -n port 80 -w
filename
2-27
網路安全
封包擷取工具 - Wireshark
bull 開放原始碼軟體bull 起源於 1997年 Wireshark 的前身即為 Ethereal因為商標問題而改名成 Wiresharkbull 支援通訊協定多且完整使用圖形化的介面讓操作者容易上手過濾條件切割細密讓使用者可於乙太網路撈取且經數據過濾分析後的數據流bull 可由此軟體能夠擷取網路封包並盡可能顯示出最為詳細的網路封包資料提供各方應用
2-28
網路安全
網路存取函式庫 - WinPcap
bull WinPcap 是著名 Unix libpcap的Windows版本API
bull Pcap 是用來擷取封包的應用程式介面 (Application Programming Interface API)
bull 免費直接網路存取函式庫bull 許多網路應用軟體運行均須安裝此套函式庫如WiresharkWinDump Nmap及 Snort
2-29
網路安全
WinDump與Winpcab 示意圖bull 透過 WinDump及Winpcap 工具擷取並分析封包後再將資料蒐集至電腦設備中
2-30
乙太網路Ethernet
網路工具
Windump分析封包結構
Winpcap擷取並過濾封包
封包資訊
網路安全 2-31
Module 2-4 封包擷取的實務 ()
網路安全 2-32
Linux kernel packet processing
網路安全 2-33
網路安全
說明bull 架設實作 (一 ) 請將介紹如何安裝與使用
WinDump 依實驗拓樸請使用 WireDump 主機做安裝及測試bull 架設實作 (二 ) 請利用 Wireshark軟體對 FTP 進行封包擷取依實驗拓樸請使用 Wireshark 主機做安裝及測試bull 架設實作 (三 ) 請利用 Wireshark軟體對
Outlook Express進行封包擷取依實驗拓樸請使用 Wireshark 主機做安裝及測試2-34
網路安全
架設實作 (一 )
WinDump 實作 -SSH連線觀察
2-35
網路安全
封包擷取工具 - WinDump
bull 版本ndash 395
bull 支援作業平台ndash Windows 9598NT2000XP2003
bull 其他需求ndash 安裝WinPcap 31 以上版本
bull 下載位址ndash httpwwwwinpcaporgwindumpinstallbin
windump_3_9_5WinDumpexe
2-36
網路安全
其他需求工具 - WinPcap
bull 版本ndash 402 stable
bull 支援作業平台ndash Windows NT42000
Windows XP2003Vista (x86 and x64)Windows Server 2008 (x86 and x64)
bull 下載位址ndash httpwwwwinpcaporginstallbin
WinPcap_4_0_2exe
2-37
網路安全
WinPcap 安裝步驟bull WinPcap 下載完成後即可進行安裝bull 安裝畫面如下點選 Next按鈕繼續下一步
2-38
網路安全
WinDump與WinPcap測試bull 請將下載的 WinDumpexe 檔案存放至 C
Windowssystem32 的目錄之下bull 測試WinDump及WinPcap 是否可運作
ndash 點選開始 -gt 程式集 -gt附屬應用程式 -gt命令提示字元 -gt 輸入「 windump 」按下 Enter 即會出現「 windump listening on DeviceNPF_GenericDialupAdapter」的訊息代表WinDump及WinPcap 安裝成功且可運作
ndash 停止監聽按「 Ctrl + C」將顯示擷取封包的數量
2-39
網路安全
參數 說明-c 指定收到的封包數目當達到該數目時 Tcpdump 即會停止-d 把編譯過的封包編碼轉碼成可閱讀的格式放置於標準輸出-dd 把編譯過的封包編碼轉碼成 C 語言的格式放置於標準輸出-ddd 把編譯過的封包編碼轉碼成十進位的格式放置於標準輸出-F 從所指定的文件中讀取運算式進而忽略其他運算式-f 用數字顯示 IP 位址 -i 指定擷取封包的網路介面 -w 將擷取的封包直接寫入檔案當中不做分析與顯示於畫面
參數 說明-r 從指定的檔案文件中讀取資料該檔案文件由 -w 所製造出來-v 顯示詳細的封包資訊多了 TTL 及服務類型-s 設定每一個封包的大小-S 用絕對數並非相對數的值列出 TCP 連接數-tt 顯示出原始時間並且為不格式化的時間-n 不進行 IP Address 到 Domain
Name 的轉換-nn 不進行 Port 的轉換如 22 就是
ssh
-x 用十六進位字碼列出封包資料
WinDump相關參數列表
2-40
網路安全
WinDump 簡易使用操作說明bull 語法 windump 參數bull 查看目前系統可使用的網卡介面
ndash windump -Dbull 透過查看網卡介面以利後續監聽之用
2-41
網路安全
WinDump 簡易使用操作說明 (續 )
bull WinDump -i 網卡介面代號 -c 擷取封包數量 port 通訊埠
bull 例 WinDump -i 2 -c 10 port 80
2-42
網路安全
WinDump 簡易使用操作說明 (續 )
bull 因於命令提示字元視窗內所顯示的資訊不易閱讀可透過下列指令將其所擷取的資訊導向至檔案bull Windump -i 網卡介面代號 gt 檔名
ndash windump -i 2 -c 10 -w message port 80ndash windump -r message gt messagetxtndash windump -i 2 -c 10 port 80 gt messagetxt
2-43
網路安全
WinDump 簡易使用操作說明 (續 )
112338326205 此為封包被擷取的時間『 HHMMSSfraction』的單位IP 透過的通訊協定是 IPwinser 1099 gt w1wwwviptw1yahoocomtw80 代表的是傳送端是 winser 傳送的通訊埠為 1099 大於 (gt) 的符號指的是封包的傳輸方向 w1wwwviptw1yahoocomtw 為接收端 80 為接收埠
P(PUSH) 為資料傳輸標誌且傳輸的資料為整體資料的 1~ 699 byte 所以這個封包帶有 698 bytes 的資料量 ack 1 win 65535 ACK與Window size 的相關資料2-44
網路安全
bull 以 Testbed建立一實驗相關拓樸及設定如下圖SSHClientOSWINXP-SP3-CH-pc3000 IP 10113安裝軟體 putty
SSHServerOSWINXP-SP3-CH-pc3000IP 10123安裝軟體 sshd
實驗環境介紹
2-45
IP1
IP2
WireDumpOSWINXP-SP3-CH-pc3000IP1 10112IP2 10122安裝軟體 WinDump
網路安全
實驗拓樸 on TestbedTWISC- 建立完成的實驗拓樸
2-46
網路安全
SSH連線觀察bull 利用 Putty連線到 SSHServer從中觀察到三向交握建立連線的動作從 SSHClient 端利用 putty連線到SSHServer(10123)的 sshd服務
2-47
網路安全
SSH連線觀察 (續 )
bull SSH 在連線之前會利用三向交握的方式建立連線bull 利用 WinDump觀察 SSH連線動作
ndash 指令 WinDumpexe -N -S -i 4 port 22
三向交握的三個封包三向交握示意圖Server lt- Client SYN 你想連線Server -gt Client SYN ACK 可以我接受Server lt- Client ACK 謝謝
2-48
網路安全
架設實作 (二 )
FTP 擷取密碼案例
2-49
網路安全
FTPClientOSWINXP-SP3-pc3000IP 10112安裝軟體 FileZilla
FTPServerOSWINXP-SP3-pc3000IP 10123安裝軟體 RaidenFTPD
實驗環境介紹bull 以 Testbed建立一實驗相關拓樸及設定如下圖
2-50
IP1IP2
WireSharkOSWINXP-SP3-pc3000IP1 10113IP2 10122安裝軟體 Wireshark
網路安全
實驗拓樸 on TestbedTWISC- 建立完成的實驗拓樸
2-51
網路安全
FTP伺服器工具 - RaidenFTPD
bull 版本ndash 24 build 3720
bull 支援作業平台ndash Windows
bull 下載位址ndash httpwwwraidenmaildcomdownloadraidenftpd2exe
2-52
網路安全
RaidenFTPD 安裝步驟bull 下載Windows平台最新版本檔案下載完成後執行該安裝程式
2-53
網路安全
RaidenFTPD 安裝步驟 (續 )
bull 此步驟使用預設路徑即可按下 Install 進行安裝
2-54
網路安全
RaidenFTPD設定步驟bull 程式開啟畫面如下選擇 Click here to start a new
server 進行 FTP伺服器設定
2-55
網路安全
RaidenFTPD設定步驟 (續 )
bull 此處可設定 Server name與 Server IP 將 Auto IP 取消勾選並將 Server IP設為 10123
2-56
網路安全
RaidenFTPD設定步驟 (續 )
bull 接下來的步驟依照預設值即可
2-57
網路安全
RaidenFTPD設定步驟 (續 )
bull 設定人員帳號與群組按下 Add鈕輸入帳號密碼群組名稱可略過完成後按下 Next 進行下一步驟
2-58
網路安全
RaidenFTPD設定步驟 (續 )
bull 此步驟設定該帳號登入 FTP 時的權限選擇NORMAL 按下 Next 進行下一步驟
2-59
網路安全
RaidenFTPD設定步驟 (續 )
bull 接下來的步驟皆以預設值即可完成設定之後會出現對話視窗顯示您所設定的資訊
2-60
網路安全
FTP 用戶端工具 - Filezilla
bull 版本ndash 328
bull 支援作業平台ndash Windows Linux及Mac
bull 下載位址ndash httpsourceforgenetprojectsfilezillafiles
FileZilla_Client328FileZilla_328_win32zipdownload
2-61
網路安全
Filezilla 安裝步驟bull 執行 Filezilla 安裝程式點選 I agree 鈕
2-62
網路安全
Filezilla 安裝步驟 (續 )
bull 以預設值安裝點選兩次 Next 鈕
2-63
網路安全
Filezilla 安裝步驟 (續 )
bull 以預設值安裝點選 Next 鈕後再點選 Install 鈕
2-64
網路安全
Filezilla 安裝步驟 (續 )
bull 以預設值安裝點選 Next 鈕後再點選 Finish 鈕
2-65
網路安全
封包擷取工具 - Wireshark
bull 版本ndash 165
bull 支援作業平台ndash Windows Linux及 FreeBSD
bull 其他需求ndash 安裝WinPcap 31 以上版本
bull 下載位址ndash httpwiresharkdownloadsriverbedcomwireshark
win32wireshark-win32-165exe
2-66
網路安全
Wireshark 安裝步驟bull 至官方網站下載Windows平台最新版本檔案下載完成後執行該安裝程式
2-67
網路安全
Wireshark 安裝步驟 (續 )
bull 於下一步出現的版權宣告點選 I Agree鈕後繼續下一步驟
2-68
網路安全
Wireshark 安裝步驟 (續 )
bull 此步驟選擇欲安裝的元件以軟體預設勾選之項目安裝
2-69
網路安全
Wireshark 安裝步驟 (續 )
bull 此步驟使用預設路徑即可
2-70
網路安全
Wireshark 安裝步驟 (續 )
bull 此步驟將安裝Windows平台須加裝之套件 -WinPcap 若原系統未安裝過 WinPcap套件請以軟體預設項目安裝之
2-71
網路安全
Wireshark 安裝步驟 (續 )
bull 此步驟代表 Wireshark軟體已安裝完成可點選Finish 鈕或勾選 Run Wireshark 165 隨即使用該套軟體
2-72
網路安全
一般工具列Wireshark軟體介面介紹
2-73
篩選工具列封包清單窗格
封包內容窗格封包位元組窗格
網路安全
Wireshark 使用思考方向bull 遇到網路問題是否觀察網路通道中有異常動作或狀況
ndash 思考方向ndash 反應到擷取數據方法那麼以 Wireshark 擷取使用者需要擷取哪些數據這些數據由使用者電腦哪個裝置來擷取
bull Wireshark操作流程
bull 接下來我們進行軟體操作介紹
解決問題 擷取數據要先做什麼
擷取數據 擷取哪些數據( 過濾條件 )數據哪裡來( 網路介面卡 )
2-74
網路安全
數據哪裡來 - Capture功能bull 一開啟方式
ndash 1 點選快速鈕如紅色圈所示ndash 2 點選 Capture功能表 下拉選單後點選 Optionsndash 3鍵盤快速鍵 Ctrl + K
2-75
網路安全
數據哪裡來 - Capture功能 (續 )
bull 二開啟後顯示 Capture Options 的視窗畫面即可看到所提供的擷取功能選項
2-76
網路安全
數據哪裡來 - Capture功能 (續 )
bull Capture Options 常用的欄位設定ndash Caputure 框
bull 1Interface 會顯示出在系統上所有網路卡但只能選取一個介面作為封包擷取bull 2Capture packets in promiscuous mode 選取此選項就是經過所選取的網路卡的所有封包都會被擷取下來bull 3Capture Filter 指定擷取過濾器運算式擷取想要的特定封包即為擷取中過濾之功能
2-77
網路安全
數據哪裡來 - Capture功能 (續 )
bull Capture Options 常用的欄位設定ndash Display Options 框
bull Update list of packets in real time 指定在擷取封包過程中能夠即時更新已擷取封包清單窗格視窗中的封包資訊若取消則軟體主視窗更新畫面是沒有動作的
2-78
網路安全
bull Capture Options 常用的欄位設定ndash Name Resolution框
bull 1 Enable MAC name resolution 指定是否將網路卡MAC address 的前三個位元組轉換成製造商名稱
bull 2 Enable network name resolution 指定是否將 IP address轉換成 DNS 網域名稱
bull 3 Enable transport name resolution 指定是否將通信埠號碼 (port numbers)轉成協定名稱 (protocols)bull 各位了解數據從哪裡擷取的概念與操作之後即可以進一步加上附帶條件 (篩選條件 ) 等相關操作方式
數據哪裡來 - Capture功能 (續 )
2-79
網路安全
Wireshark操作手法bull 延續遇到問題的思考方向及軟體操作手法我們可以將操作流程分為兩種
ndash 擷取中過濾 (Filter while capturing)bull 優點僅擷取已知範圍資訊網路流量少bull 缺點需先了解問題類型避免可能有遺漏真正欲擷取資訊之狀況
ndash 檢視中過濾 (Filter packets while viewing)bull 優點不用先預設條件擷取所有封包資訊bull 缺點影響網路流量
先預設欲擷取條件 擷取數據
擷取數據 再篩選欲查詢數據2-80
網路安全
Wireshark操作手法 - 擷取中過濾bull 操作步驟
ndash 點選 Capture 下拉視窗選擇 Capture Filters 即呈現此視窗
bull 操作範例ndash 1於 Filter窗格中選擇 IP
Address 10112ndash 2於 Properties窗格中即顯示該選項的設定值如圖所示為 host 10112ndash 3 即可設定軟體僅針對
10112 的封包作擷取動作 延伸操作思考1 改變 Filter string 值得到什麼結果2 點選 Edit 窗格中的 New 鈕 新增自訂條件 2-81
網路安全
Wireshark操作手法 - 檢視中過濾bull 此步驟即以已擷取封包清單窗格為基礎以過濾條件過濾該清單bull 可直接選擇軟體預設項目如以下操作
ndash 操作步驟bull 點選 Analyze 下拉視窗選擇
Display Filters 即呈現此視窗ndash 操作範例
bull 1於 Filter窗格中選擇 IP Address 10112
bull 2於 Properties窗格中即顯示該選項的設定值如圖所示值為host 10112
bull 3 即可設定軟體僅針對 10112的封包作顯示動作 延伸操作思考1 可否進行進一步自訂設定值
2-82
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 若電腦 IP為 10112 欲篩選出 IP 來源為上述 IP 且協定為 TCP 80port 的所有封包ndash 操作步驟
bull 點選 Expression鈕即出現此視窗ndash 1於 Field name框選擇
IP項目中的 ipsrc - Source
ndash 2於 Relation框選擇 ==ndash 3於 Value [IPV4
address]填 入 10112ndash 4 點選 OK鈕 進階思考方式須考慮到例如是來源資訊是目標資訊是什麼協定等更細部所要之條件
2-83
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 再進行第二篩選條件ndash TCP 80 port
bull 操作步驟ndash 1先於 Filter string 輸入文字框「 ipsrc==
10112」後再加上一個空格及「 and 」再進行一次 Expression條件選擇
2-84
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
ndash 2於 Field name框選擇「 tcpdstport」ndash 3於 Relation框選擇「 ==」ndash 4於 Value框填入「 80」ndash 5 選擇「 OK」鈕
2-85
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 注意 Propeties框內的Filter string欄位值已改變為「 ipsrc == 10112 and tcpdstport == 80」
bull 確認條件正確後點選「 OK 」鈕即可發現已擷取封包清單窗格的項目均為所設定過濾條件過濾過結果2-86
網路安全
bull 可單選單一封包進行更進階查詢封包內容bull 操作方式為
ndash 點選其中一項封包項目點選滑鼠右鍵選擇Follow TCP Stream
Wireshark操作手法 - 檢視中過濾 (續 )
2-87
網路安全
ndash 此畫面即可看出該項 TCP 封包溝通內容Wireshark操作手法 - 檢視中過濾 (續 )
2-88
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 此功能將所擷取的封包清單使用多種方式呈現封包統計資料便於使用者查詢擷取時間內何種封包數量多寡及圖型顯示bull 操作步驟點選 Statistics 下拉視窗即呈現此視窗 顯示有關擷取清單的摘要以階梯式通訊協定列表顯示所擷取的所有封包
在特定 IP間顯示通訊流量顯示單一 IP 來往封包的流量
以時間軸顯示視覺化封包流量圖2-89
網路安全
bull 可查看到一時段內其封包總數與平均每秒傳遞接收封包數等相關資訊讓使用者了解平均一時段內網路流量狀況藉以初步獲得資訊
Wireshark操作手法 - 檢視中過濾 (續 )
2-90
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 讓使用者可透過階梯式封包分類表來查看哪一類封包佔為居多可進一步推測是否該類型封包影響到整體網路或是否有異常或不常見封包類型在網路中傳遞
2-91
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 將該擷取時段內封包清單檔以兩個特定 IP 之間對傳封包為區隔顯示出哪兩個特定 IP間傳遞封包數多寡bull 可讓使用者更進一步研判兩個特定 IP所屬設備傳遞狀況是否異常
2-92
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 將該擷取時段內封包清單檔以特定IP 傳遞封包數為區隔顯示出哪特定IP 傳遞封包數多寡
bull 可讓使用者更進一步研判該特定所屬設備傳遞封包數是否異常作為管制緊急管制或禁止通訊之證明2-93
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 以時間軸顯示視覺化封包流量圖bull 讓使用者可觀察所管理設備資訊流通量以了解設備是否能負荷或作相關調整等處置
2-94
網路安全
FTP 擷取密碼案例bull 於Wireshark軟體選擇 Capture 下拉選單功能項點選 Interfaces 選項
2-95
網路安全
FTP 擷取密碼案例 (續 )
bull 確認欲擷取封包之網卡名稱如紅色底線所示確認後點選 Start鈕
2-96
網路安全
FTP 擷取密碼案例 (續 )
bull 切換至 FTP Client 電腦開啟 FileZilla 程式後連線到 FTP Server 於 Host 填入10123 Username填入 tester Password填入testpw 後點選 Quickconnect鈕
2-97
網路安全
FTP 擷取密碼案例 (續 )
bull 擷取到的封包資訊會顯示於已擷取封包清單窗格內
2-98
網路安全
FTP 擷取密碼案例 (續 )
bull 使用 FTP軟體登入 ftp站後 Wireshark 將擷取到的使用者名稱與密碼如紅框所示
2-99
網路安全
FTP 擷取密碼案例 (續 )
bull 點選已擷取封包清單窗格的密碼資訊列如標示1 的紅框所示即可在封包內容窗格看到該密碼的位元碼如標示 2 的紅框所示
1
2
2-100
網路安全
架設實作 (三 )
Outlook Express 擷取密碼案例
2-101
網路安全
實驗環境介紹bull 以 Testbed建立一實驗相關拓樸及設定如下圖
OEClientOSWindows XP SP3IP 10112執行 Outlook Express
MailServerOSWindows XP SP3IP 10122安裝軟體 ArGoSoft Mail Server
2-102
WiresharkOSWindows XP SP3IP1 10113 IP2 10123安裝軟體 Wireshark
IP1IP2
網路安全
實驗拓樸 on TestbedTWISC- 建立完成的實驗拓樸
2-103
網路安全
郵件伺服器工具 - ArGoSoft Mail Server
bull 版本ndash 1892 Freeware
bull 支援作業平台ndash Windows
bull 下載位址ndash httpwwwsoftkingcomtwsoftdownloadaspfid3=7367
2-104
網路安全
郵件客戶端工具 - Outlook Express
bull 版本ndash 60
bull 支援作業平台ndash Windows
bull 下載位址ndash Windows 內建
2-105
網路安全
bull 安裝及設定郵件伺服器ndash 1下載並執行 ArGoSoft Mail Server軟體點選
Setup鈕
Outlook Express 擷取密碼案例
2-106
網路安全
ndash 1 點選 Next鈕ndash 2 點選 Start Installation鈕
Outlook Express 擷取密碼案例 (續 )
2-107
網路安全
ndash 3 點選 OK鈕ndash 4 點選 Finish鈕完成軟體安裝
Outlook Express 擷取密碼案例 (續 )
2-108
網路安全
ndash 5 點選使用者設定鈕如紅圈所示ndash 6 點選新增鈕如紅框所示
Outlook Express 擷取密碼案例 (續 )
2-109
網路安全
ndash 7填入使用者名稱 (tester) 及密碼 (testpw) 如紅圈所示填寫完成後點選 OK鈕ndash 8 點選 Close鈕關閉使用者設定視窗
Outlook Express 擷取密碼案例 (續 )
2-110
網路安全
ndash 9 點選選項鈕如左側圖中紅色圈所示ndash 10 點選紅色打勾鈕如右側圖中紅色圈所示
2-111
Outlook Express 擷取密碼案例 (續 )
網路安全
ndash 11該軟體會自動選取 DNS Server 待選取後點選 Yes鈕ndash 12 勾選 Allow Relay 選項如紅框所示
2-112
Outlook Express 擷取密碼案例 (續 )
網路安全
Outlook Express 擷取密碼案例 (續 )
bull 設定收信帳號ndash 1 點選 Tools功能選單選擇 Accounts 選項
2-113
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 2 點選 Add鈕選擇 Mail 選項
2-114
網路安全
ndash 3填入 tester 點選 Next鈕ndash 4填入 testertestcom 點選 Next鈕
Outlook Express 擷取密碼案例 (續 )
2-115
網路安全
ndash 5填入 10123 如紅框所示點選 Next鈕ndash 6填入帳號為 tester 及密碼為 testpw 點選 Next鈕
Outlook Express 擷取密碼案例 (續 )
2-116
網路安全
ndash 7 點選 Finish鈕ndash 8 點選 Close鈕
Outlook Express 擷取密碼案例 (續 )
2-117
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 模擬條件準備好後首先準備Wireshark 擷取動作開啟Wireshark
2-118
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 於Wireshark軟體選擇 Capture 下拉選單功能項點選 Interfaces 選項
2-119
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 確認欲擷取封包之網卡名稱如紅色底線所示確認後點選 Start鈕
2-120
網路安全
ndash 當使用者收發 email 時即被 Wireshark攔截封包ndash 有發現到該 Outlook Express帳號密碼是如此清晰可見的嗎
Outlook Express 擷取密碼案例 (續 )
2-121
網路安全
結論bull 學習了 Wireshark及WinDump 兩套網路封包擷取軟體基本概念如同電話側錄概念相同從中複製一連串資訊來分析與了解網路的流量及內容為何bull 當你發現網路速度緩慢等狀況你是否會反應到所學的基本概念來找尋問題所在bull 防範概念由此課程的實例可以了解網路內容如被有心人士擷取所造成的損失相當可觀故你是否有對策有哪些方式你可以應用來防範bull 正確的思考善用對的工具將對解決問題事半功倍
2-122
網路安全 2-123
Module 2-5 封包擷取與分析的專案實作()
網路安全
專案目的bull 建立遠端管理傳遞指令資訊環境bull 利用實際攔截封包操作的方式讓同學了解封包擷取運作與網路資訊流通的顧慮等相關議題
2-124
網路安全
專案描述bull 近年來遠端管理伺服器及網路服務普及光是密碼保護就足夠了嗎是否重點網段須全程加密還是作網段隔離經由此專案實作即可了解不僅部分加密仍有其風險所在網路架構如何規劃將是非常重要的課題bull 參考環境配置圖完成下列要求①環境裡的攔截封包主機是 Windows XP SP3 作業系統而該主機安裝Wireshark軟體②另兩台主機的作業系統亦是 Windows XP SP3 並裝上
MySQL軟體 MySQL帳號為 root 密碼為您的學號 (如 Q3896105)
③在MySQLClient 電腦使用 MySQL Commandline 指令連線至MySQLServer 擷取資料庫資訊
④我們針對這兩台主機傳訊的封包擷取由整個實做中思考如何防範資訊外洩與了解傳訊封包如何流動及運作2-125
網路安全
環境配置圖bull 以 Testbed建立一實驗相關拓樸及設定如下圖
MySQLServerOSWINXP-SP3-CH-pc3000 IP 10123安裝軟體 MySQL
MySQLClientOSWINXP-SP3-CH-pc3000 IP 10112安裝軟體 MySQL
2-126
WireSharkOSWINXP-SP3-CH-pc3000 IP1 10113IP2 10122安裝軟體 Wireshark
IP1IP2
網路安全
作業繳交bull 請參考情境測試發送數個 SQL 指令並將過程與擷取到的封包資訊之截圖列於報告中所有圖表皆需要輔以文字說明bull Deadline 2012312 下午 500 以前bull 作業範圍 Module 2-5 (page 2-128)bull 方式 (參考課程網址 )
ndash 帳號密碼小寫的 (ns100ns100)ndash IP 140116164167
2-127
網路安全
有問題嗎
bull 關於 TestBed 使用上的問題請直接 Email至 twisc-testbed-usergooglegroupscom 將有專人為您服務bull 課程網址
httpitlabeenckuedutwcoursesNS_100indexhtml
2-128
bull 助教資訊 (參考課程網址 )
網路安全
參考資料bull Dienet httplinuxdienetman1wiresharkbull Orebaugh Angela Ramirez Gilbert Burke Josh Pesce Larry Wright
Joshua(2007) Wireshark and Ethereal network protocol analyzer toolkitbull Tony Fortunato(2007) Wireshark Training Retrieved July 22 2009 from
the World Wide Web httpwwwthetechfirmcometherealwiresharkpdfbull WinDump httpwwwwinpcaporgWinDumpbull Wireshark httpwwwwiresharkorgbull Wireshark University httpwwwwiresharktrainingcombull 楊中皇 (民 97年 ) 網路安全理論與實務 (2版 ) 台北市學貫bull 蘇淑茵教授 Wireshark 民國 98年 6月 28日取自 httpmywebnckuedutw~sisou
2-129
網路安全
資料切割成封包傳輸的原因 (續 )
bull 可多路徑傳遞當網路較複雜時兩台電腦之間的通訊路徑就不只一個資料拆成封包後可以透過路由 (Routing)走不同的路徑到達目的地然後再組合起來加快傳遞速度一般路徑傳輸藍色路徑 A gt B gt D gt F封包 1 已傳輸封包 2 欲傳輸 D 點發生忙碌時變更路徑傳輸綠色路徑 A gt B gt E gt F
A F
B
C
D
E封包 1
完成傳輸封包等待傳輸封包封包 2封包 1 多路徑傳遞示意圖
2-11
網路安全
路由 (Routing) 簡介bull 封包在網路上的傳輸是透過路由 (Routing) 將封包從來源位址傳輸到目的位址
bull 路由為網路 OSI七層中的網路層 (Network Layer) 所負責
2-12
應用層Application Layer
表現層Presentation Layer
交談層Session Layer
傳輸層Transport Layer
網路層Network Layer
資料連結層Data-Link Layer
實體層Physical Layer
網路安全
路由 (Routing) 簡介 (續 )
bull 路由器 (Router) 功用為分配引導封包傳遞如下個需經過之主機以完成封包傳遞bull 路由表 (Routing
Table) 一般來說路由器皆會存有路由表用來紀錄與儲存到達各個目的地之最佳路徑2-13
Network Distance Port Next Router Entry State
1 0 1 0 Good
2 1 2 Router 2 Good
Router2
Router1Port1
Port2Network1
Network2
Routing Table
網路安全
封包分組封包重組bull 一個資料若拆成若干個封包經過多路徑傳遞後因為網路狀況及路由器分配之傳遞路線不同先送出之封包不一定會先被收到bull 每個經拆解後的封包皆有他自己的編號接收端可依此編號將封包重組回原始資料bull 表頭 (Header) 即記載這些額外資訊
2-14
資料Part1資料Part2資料Part3
資料Part4
資料Part5
資料Part4
資料Part5
封包重組
拆出資料
網路安全
封包與生活中物件做比較bull 如果把封包比喻成信件它們之間是有一些類似的性質
ndash 信封就相當於封包的控制訊息內容包含收件人與寄件人的地址郵遞區號及信件類型 (平信限時及掛號 )ndash 信封內的文字部分 (郵差看不到的部分 )相當於使用者資料ndash 兩者較不同的地方是信件是在郵差在路上騎機車幫我們遞送信件封包是在網路上傳輸的
2-15
網路安全
封包與生活中物件做比較 (續 )
ndash 因為一些傳輸效率上的因素封包的傳遞過程是將信件分裝成一封一封小的信件使用相同的信封寄往目的地ndash 如果從安全性的角度來看封包與信件最大的不同點在於信件內容洩露的部分如果今天信件被拆封偷看收信人可從彌封部分看出個端倪但封包資訊是相當容易被複製與修改的目地端收到此封包是很難確保封包內容沒有被惡意者所偷窺與修改過
2-16
網路安全
了解封包進階思考bull 並非所有的通訊協定都有相同的欄位資料由於採用不同的通訊協定 (TCP與 UDP) 網路封包的結構都有些許的差異但了解基礎封裝方式即可推理各種不同的通訊協定bull 在實務上想要進行網路封包分析的原因有很多故首要先了解什麼是封包定義及其運作方式後再搭配合適的網路封包擷取程式來解決實務上所遇的問題
2-17
網路安全
Module 2-2 封包結構與通訊協定 ()
2-18
網路安全
bull 目前網路使用相當多不同類型的通訊協定下圖列舉出在 OSI 協定七層中常見的通訊協定bull 網路上有許多不安全的通訊協定且大多採用明碼方式傳送經常造成資訊外洩如
HTTP TELNET及 SMTP 等故必要時須顧慮到資訊安全的議題
PPP
IPARP
UDP TCP
TelnetFTPSMTP
SLIP
HTTP
網路 OSI七層常見通訊協定類型
2-19
網路安全
封包結構與傳輸過程Application
TCP
IP
DeviceDriver
SMTPTELNETFTP
TCPUDP
ARPRARPICMP
EthernetX25PPP
TCPIP 四層 常見通訊協定User Data
App Header
Application DataTCP Header
IP Header
Frame Header
Frame Trailer
User Data
Application Data
Application Data
TCP Header
TCP Header
IP Header
TCP Segment
IP Segment
Frame
封包封裝
Socket NetBIOS
2-20
網路安全
IP 表頭
2-21
0
Precedence(3 Bits)
Delay(1 Bit)
Throughout(1Bit)
Reliability(1 Bit)
Cost(1 Bit)
Reserved(1Bit)
Type Of Service(8 Bits)
=
Reserved(1 Bit)
Donrsquot Fragment
(1 Bit)
More Fragment
(1 Bit)
Flags(3 Bits)
=
Version(4 Bits)
IHL(4 Bits)
Total Length(16 Bits)
Identification(16 Bits)
Fragment Offset(13 Bits)
Time to Live(8 Bits)
Protocal(8Bits)
Header Checksum(16 Bits)
Source Address (32 Bits)
Destination Address (32 Bits)
Options (長度不定 ) Padding (長度不定 )
32
64
96
128
160
Type of Service(8Bits)
Flags(3
Bits)
網路安全
封包 header 實例
2-22
網路安全
封包擷取的原理
A電腦網路卡
目的地A封包
目的地B封包
被丟棄
2-23
網路安全
封包擷取的原理 (續 )
bull 為了監聽到其他使用者的封包監聽者會將網路卡修改為混亂模式 (Promiscuous) 混亂模式不會對目標 MAC 位置做檢查的動作而是將所收到的所有封包做接收的動作bull 藉由混亂模式就可以在 HUB 的區域網路環境中或無線網路的環境中擷取其他人的封包訊息
2-24
網路安全
Module 2-3 封包擷取工具介紹 ()
2-25
網路安全
封包擷取工具比較bull 商業軟體
ndash 優 有廠商維護支援性較佳ndash 缺 成本較高ndash 例 NetResident與 EtherDetect
bull 免費軟體ndash 優 成本較低ndash 缺 功能與使用說明較為簡略ndash 例 Wireshark與WinDump
2-26
網路安全
封包擷取工具 - WinDump
bull 一種開放原始碼的網路軟體工具為 Windows版的 tcpdumpbull 可以分析封包的流向並且對於封包的內容也可以進行 監聽 bull WinDump運算式是一種規則運算式利用一些條件來進行訊息的過濾當訊息滿足運算式的條件則會將其資訊捕獲如果沒有給出任何條件則網路上所有的資訊包將會被擷獲bull 例 WinDump -i interface -c 10 -n port 80 -w
filename
2-27
網路安全
封包擷取工具 - Wireshark
bull 開放原始碼軟體bull 起源於 1997年 Wireshark 的前身即為 Ethereal因為商標問題而改名成 Wiresharkbull 支援通訊協定多且完整使用圖形化的介面讓操作者容易上手過濾條件切割細密讓使用者可於乙太網路撈取且經數據過濾分析後的數據流bull 可由此軟體能夠擷取網路封包並盡可能顯示出最為詳細的網路封包資料提供各方應用
2-28
網路安全
網路存取函式庫 - WinPcap
bull WinPcap 是著名 Unix libpcap的Windows版本API
bull Pcap 是用來擷取封包的應用程式介面 (Application Programming Interface API)
bull 免費直接網路存取函式庫bull 許多網路應用軟體運行均須安裝此套函式庫如WiresharkWinDump Nmap及 Snort
2-29
網路安全
WinDump與Winpcab 示意圖bull 透過 WinDump及Winpcap 工具擷取並分析封包後再將資料蒐集至電腦設備中
2-30
乙太網路Ethernet
網路工具
Windump分析封包結構
Winpcap擷取並過濾封包
封包資訊
網路安全 2-31
Module 2-4 封包擷取的實務 ()
網路安全 2-32
Linux kernel packet processing
網路安全 2-33
網路安全
說明bull 架設實作 (一 ) 請將介紹如何安裝與使用
WinDump 依實驗拓樸請使用 WireDump 主機做安裝及測試bull 架設實作 (二 ) 請利用 Wireshark軟體對 FTP 進行封包擷取依實驗拓樸請使用 Wireshark 主機做安裝及測試bull 架設實作 (三 ) 請利用 Wireshark軟體對
Outlook Express進行封包擷取依實驗拓樸請使用 Wireshark 主機做安裝及測試2-34
網路安全
架設實作 (一 )
WinDump 實作 -SSH連線觀察
2-35
網路安全
封包擷取工具 - WinDump
bull 版本ndash 395
bull 支援作業平台ndash Windows 9598NT2000XP2003
bull 其他需求ndash 安裝WinPcap 31 以上版本
bull 下載位址ndash httpwwwwinpcaporgwindumpinstallbin
windump_3_9_5WinDumpexe
2-36
網路安全
其他需求工具 - WinPcap
bull 版本ndash 402 stable
bull 支援作業平台ndash Windows NT42000
Windows XP2003Vista (x86 and x64)Windows Server 2008 (x86 and x64)
bull 下載位址ndash httpwwwwinpcaporginstallbin
WinPcap_4_0_2exe
2-37
網路安全
WinPcap 安裝步驟bull WinPcap 下載完成後即可進行安裝bull 安裝畫面如下點選 Next按鈕繼續下一步
2-38
網路安全
WinDump與WinPcap測試bull 請將下載的 WinDumpexe 檔案存放至 C
Windowssystem32 的目錄之下bull 測試WinDump及WinPcap 是否可運作
ndash 點選開始 -gt 程式集 -gt附屬應用程式 -gt命令提示字元 -gt 輸入「 windump 」按下 Enter 即會出現「 windump listening on DeviceNPF_GenericDialupAdapter」的訊息代表WinDump及WinPcap 安裝成功且可運作
ndash 停止監聽按「 Ctrl + C」將顯示擷取封包的數量
2-39
網路安全
參數 說明-c 指定收到的封包數目當達到該數目時 Tcpdump 即會停止-d 把編譯過的封包編碼轉碼成可閱讀的格式放置於標準輸出-dd 把編譯過的封包編碼轉碼成 C 語言的格式放置於標準輸出-ddd 把編譯過的封包編碼轉碼成十進位的格式放置於標準輸出-F 從所指定的文件中讀取運算式進而忽略其他運算式-f 用數字顯示 IP 位址 -i 指定擷取封包的網路介面 -w 將擷取的封包直接寫入檔案當中不做分析與顯示於畫面
參數 說明-r 從指定的檔案文件中讀取資料該檔案文件由 -w 所製造出來-v 顯示詳細的封包資訊多了 TTL 及服務類型-s 設定每一個封包的大小-S 用絕對數並非相對數的值列出 TCP 連接數-tt 顯示出原始時間並且為不格式化的時間-n 不進行 IP Address 到 Domain
Name 的轉換-nn 不進行 Port 的轉換如 22 就是
ssh
-x 用十六進位字碼列出封包資料
WinDump相關參數列表
2-40
網路安全
WinDump 簡易使用操作說明bull 語法 windump 參數bull 查看目前系統可使用的網卡介面
ndash windump -Dbull 透過查看網卡介面以利後續監聽之用
2-41
網路安全
WinDump 簡易使用操作說明 (續 )
bull WinDump -i 網卡介面代號 -c 擷取封包數量 port 通訊埠
bull 例 WinDump -i 2 -c 10 port 80
2-42
網路安全
WinDump 簡易使用操作說明 (續 )
bull 因於命令提示字元視窗內所顯示的資訊不易閱讀可透過下列指令將其所擷取的資訊導向至檔案bull Windump -i 網卡介面代號 gt 檔名
ndash windump -i 2 -c 10 -w message port 80ndash windump -r message gt messagetxtndash windump -i 2 -c 10 port 80 gt messagetxt
2-43
網路安全
WinDump 簡易使用操作說明 (續 )
112338326205 此為封包被擷取的時間『 HHMMSSfraction』的單位IP 透過的通訊協定是 IPwinser 1099 gt w1wwwviptw1yahoocomtw80 代表的是傳送端是 winser 傳送的通訊埠為 1099 大於 (gt) 的符號指的是封包的傳輸方向 w1wwwviptw1yahoocomtw 為接收端 80 為接收埠
P(PUSH) 為資料傳輸標誌且傳輸的資料為整體資料的 1~ 699 byte 所以這個封包帶有 698 bytes 的資料量 ack 1 win 65535 ACK與Window size 的相關資料2-44
網路安全
bull 以 Testbed建立一實驗相關拓樸及設定如下圖SSHClientOSWINXP-SP3-CH-pc3000 IP 10113安裝軟體 putty
SSHServerOSWINXP-SP3-CH-pc3000IP 10123安裝軟體 sshd
實驗環境介紹
2-45
IP1
IP2
WireDumpOSWINXP-SP3-CH-pc3000IP1 10112IP2 10122安裝軟體 WinDump
網路安全
實驗拓樸 on TestbedTWISC- 建立完成的實驗拓樸
2-46
網路安全
SSH連線觀察bull 利用 Putty連線到 SSHServer從中觀察到三向交握建立連線的動作從 SSHClient 端利用 putty連線到SSHServer(10123)的 sshd服務
2-47
網路安全
SSH連線觀察 (續 )
bull SSH 在連線之前會利用三向交握的方式建立連線bull 利用 WinDump觀察 SSH連線動作
ndash 指令 WinDumpexe -N -S -i 4 port 22
三向交握的三個封包三向交握示意圖Server lt- Client SYN 你想連線Server -gt Client SYN ACK 可以我接受Server lt- Client ACK 謝謝
2-48
網路安全
架設實作 (二 )
FTP 擷取密碼案例
2-49
網路安全
FTPClientOSWINXP-SP3-pc3000IP 10112安裝軟體 FileZilla
FTPServerOSWINXP-SP3-pc3000IP 10123安裝軟體 RaidenFTPD
實驗環境介紹bull 以 Testbed建立一實驗相關拓樸及設定如下圖
2-50
IP1IP2
WireSharkOSWINXP-SP3-pc3000IP1 10113IP2 10122安裝軟體 Wireshark
網路安全
實驗拓樸 on TestbedTWISC- 建立完成的實驗拓樸
2-51
網路安全
FTP伺服器工具 - RaidenFTPD
bull 版本ndash 24 build 3720
bull 支援作業平台ndash Windows
bull 下載位址ndash httpwwwraidenmaildcomdownloadraidenftpd2exe
2-52
網路安全
RaidenFTPD 安裝步驟bull 下載Windows平台最新版本檔案下載完成後執行該安裝程式
2-53
網路安全
RaidenFTPD 安裝步驟 (續 )
bull 此步驟使用預設路徑即可按下 Install 進行安裝
2-54
網路安全
RaidenFTPD設定步驟bull 程式開啟畫面如下選擇 Click here to start a new
server 進行 FTP伺服器設定
2-55
網路安全
RaidenFTPD設定步驟 (續 )
bull 此處可設定 Server name與 Server IP 將 Auto IP 取消勾選並將 Server IP設為 10123
2-56
網路安全
RaidenFTPD設定步驟 (續 )
bull 接下來的步驟依照預設值即可
2-57
網路安全
RaidenFTPD設定步驟 (續 )
bull 設定人員帳號與群組按下 Add鈕輸入帳號密碼群組名稱可略過完成後按下 Next 進行下一步驟
2-58
網路安全
RaidenFTPD設定步驟 (續 )
bull 此步驟設定該帳號登入 FTP 時的權限選擇NORMAL 按下 Next 進行下一步驟
2-59
網路安全
RaidenFTPD設定步驟 (續 )
bull 接下來的步驟皆以預設值即可完成設定之後會出現對話視窗顯示您所設定的資訊
2-60
網路安全
FTP 用戶端工具 - Filezilla
bull 版本ndash 328
bull 支援作業平台ndash Windows Linux及Mac
bull 下載位址ndash httpsourceforgenetprojectsfilezillafiles
FileZilla_Client328FileZilla_328_win32zipdownload
2-61
網路安全
Filezilla 安裝步驟bull 執行 Filezilla 安裝程式點選 I agree 鈕
2-62
網路安全
Filezilla 安裝步驟 (續 )
bull 以預設值安裝點選兩次 Next 鈕
2-63
網路安全
Filezilla 安裝步驟 (續 )
bull 以預設值安裝點選 Next 鈕後再點選 Install 鈕
2-64
網路安全
Filezilla 安裝步驟 (續 )
bull 以預設值安裝點選 Next 鈕後再點選 Finish 鈕
2-65
網路安全
封包擷取工具 - Wireshark
bull 版本ndash 165
bull 支援作業平台ndash Windows Linux及 FreeBSD
bull 其他需求ndash 安裝WinPcap 31 以上版本
bull 下載位址ndash httpwiresharkdownloadsriverbedcomwireshark
win32wireshark-win32-165exe
2-66
網路安全
Wireshark 安裝步驟bull 至官方網站下載Windows平台最新版本檔案下載完成後執行該安裝程式
2-67
網路安全
Wireshark 安裝步驟 (續 )
bull 於下一步出現的版權宣告點選 I Agree鈕後繼續下一步驟
2-68
網路安全
Wireshark 安裝步驟 (續 )
bull 此步驟選擇欲安裝的元件以軟體預設勾選之項目安裝
2-69
網路安全
Wireshark 安裝步驟 (續 )
bull 此步驟使用預設路徑即可
2-70
網路安全
Wireshark 安裝步驟 (續 )
bull 此步驟將安裝Windows平台須加裝之套件 -WinPcap 若原系統未安裝過 WinPcap套件請以軟體預設項目安裝之
2-71
網路安全
Wireshark 安裝步驟 (續 )
bull 此步驟代表 Wireshark軟體已安裝完成可點選Finish 鈕或勾選 Run Wireshark 165 隨即使用該套軟體
2-72
網路安全
一般工具列Wireshark軟體介面介紹
2-73
篩選工具列封包清單窗格
封包內容窗格封包位元組窗格
網路安全
Wireshark 使用思考方向bull 遇到網路問題是否觀察網路通道中有異常動作或狀況
ndash 思考方向ndash 反應到擷取數據方法那麼以 Wireshark 擷取使用者需要擷取哪些數據這些數據由使用者電腦哪個裝置來擷取
bull Wireshark操作流程
bull 接下來我們進行軟體操作介紹
解決問題 擷取數據要先做什麼
擷取數據 擷取哪些數據( 過濾條件 )數據哪裡來( 網路介面卡 )
2-74
網路安全
數據哪裡來 - Capture功能bull 一開啟方式
ndash 1 點選快速鈕如紅色圈所示ndash 2 點選 Capture功能表 下拉選單後點選 Optionsndash 3鍵盤快速鍵 Ctrl + K
2-75
網路安全
數據哪裡來 - Capture功能 (續 )
bull 二開啟後顯示 Capture Options 的視窗畫面即可看到所提供的擷取功能選項
2-76
網路安全
數據哪裡來 - Capture功能 (續 )
bull Capture Options 常用的欄位設定ndash Caputure 框
bull 1Interface 會顯示出在系統上所有網路卡但只能選取一個介面作為封包擷取bull 2Capture packets in promiscuous mode 選取此選項就是經過所選取的網路卡的所有封包都會被擷取下來bull 3Capture Filter 指定擷取過濾器運算式擷取想要的特定封包即為擷取中過濾之功能
2-77
網路安全
數據哪裡來 - Capture功能 (續 )
bull Capture Options 常用的欄位設定ndash Display Options 框
bull Update list of packets in real time 指定在擷取封包過程中能夠即時更新已擷取封包清單窗格視窗中的封包資訊若取消則軟體主視窗更新畫面是沒有動作的
2-78
網路安全
bull Capture Options 常用的欄位設定ndash Name Resolution框
bull 1 Enable MAC name resolution 指定是否將網路卡MAC address 的前三個位元組轉換成製造商名稱
bull 2 Enable network name resolution 指定是否將 IP address轉換成 DNS 網域名稱
bull 3 Enable transport name resolution 指定是否將通信埠號碼 (port numbers)轉成協定名稱 (protocols)bull 各位了解數據從哪裡擷取的概念與操作之後即可以進一步加上附帶條件 (篩選條件 ) 等相關操作方式
數據哪裡來 - Capture功能 (續 )
2-79
網路安全
Wireshark操作手法bull 延續遇到問題的思考方向及軟體操作手法我們可以將操作流程分為兩種
ndash 擷取中過濾 (Filter while capturing)bull 優點僅擷取已知範圍資訊網路流量少bull 缺點需先了解問題類型避免可能有遺漏真正欲擷取資訊之狀況
ndash 檢視中過濾 (Filter packets while viewing)bull 優點不用先預設條件擷取所有封包資訊bull 缺點影響網路流量
先預設欲擷取條件 擷取數據
擷取數據 再篩選欲查詢數據2-80
網路安全
Wireshark操作手法 - 擷取中過濾bull 操作步驟
ndash 點選 Capture 下拉視窗選擇 Capture Filters 即呈現此視窗
bull 操作範例ndash 1於 Filter窗格中選擇 IP
Address 10112ndash 2於 Properties窗格中即顯示該選項的設定值如圖所示為 host 10112ndash 3 即可設定軟體僅針對
10112 的封包作擷取動作 延伸操作思考1 改變 Filter string 值得到什麼結果2 點選 Edit 窗格中的 New 鈕 新增自訂條件 2-81
網路安全
Wireshark操作手法 - 檢視中過濾bull 此步驟即以已擷取封包清單窗格為基礎以過濾條件過濾該清單bull 可直接選擇軟體預設項目如以下操作
ndash 操作步驟bull 點選 Analyze 下拉視窗選擇
Display Filters 即呈現此視窗ndash 操作範例
bull 1於 Filter窗格中選擇 IP Address 10112
bull 2於 Properties窗格中即顯示該選項的設定值如圖所示值為host 10112
bull 3 即可設定軟體僅針對 10112的封包作顯示動作 延伸操作思考1 可否進行進一步自訂設定值
2-82
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 若電腦 IP為 10112 欲篩選出 IP 來源為上述 IP 且協定為 TCP 80port 的所有封包ndash 操作步驟
bull 點選 Expression鈕即出現此視窗ndash 1於 Field name框選擇
IP項目中的 ipsrc - Source
ndash 2於 Relation框選擇 ==ndash 3於 Value [IPV4
address]填 入 10112ndash 4 點選 OK鈕 進階思考方式須考慮到例如是來源資訊是目標資訊是什麼協定等更細部所要之條件
2-83
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 再進行第二篩選條件ndash TCP 80 port
bull 操作步驟ndash 1先於 Filter string 輸入文字框「 ipsrc==
10112」後再加上一個空格及「 and 」再進行一次 Expression條件選擇
2-84
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
ndash 2於 Field name框選擇「 tcpdstport」ndash 3於 Relation框選擇「 ==」ndash 4於 Value框填入「 80」ndash 5 選擇「 OK」鈕
2-85
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 注意 Propeties框內的Filter string欄位值已改變為「 ipsrc == 10112 and tcpdstport == 80」
bull 確認條件正確後點選「 OK 」鈕即可發現已擷取封包清單窗格的項目均為所設定過濾條件過濾過結果2-86
網路安全
bull 可單選單一封包進行更進階查詢封包內容bull 操作方式為
ndash 點選其中一項封包項目點選滑鼠右鍵選擇Follow TCP Stream
Wireshark操作手法 - 檢視中過濾 (續 )
2-87
網路安全
ndash 此畫面即可看出該項 TCP 封包溝通內容Wireshark操作手法 - 檢視中過濾 (續 )
2-88
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 此功能將所擷取的封包清單使用多種方式呈現封包統計資料便於使用者查詢擷取時間內何種封包數量多寡及圖型顯示bull 操作步驟點選 Statistics 下拉視窗即呈現此視窗 顯示有關擷取清單的摘要以階梯式通訊協定列表顯示所擷取的所有封包
在特定 IP間顯示通訊流量顯示單一 IP 來往封包的流量
以時間軸顯示視覺化封包流量圖2-89
網路安全
bull 可查看到一時段內其封包總數與平均每秒傳遞接收封包數等相關資訊讓使用者了解平均一時段內網路流量狀況藉以初步獲得資訊
Wireshark操作手法 - 檢視中過濾 (續 )
2-90
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 讓使用者可透過階梯式封包分類表來查看哪一類封包佔為居多可進一步推測是否該類型封包影響到整體網路或是否有異常或不常見封包類型在網路中傳遞
2-91
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 將該擷取時段內封包清單檔以兩個特定 IP 之間對傳封包為區隔顯示出哪兩個特定 IP間傳遞封包數多寡bull 可讓使用者更進一步研判兩個特定 IP所屬設備傳遞狀況是否異常
2-92
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 將該擷取時段內封包清單檔以特定IP 傳遞封包數為區隔顯示出哪特定IP 傳遞封包數多寡
bull 可讓使用者更進一步研判該特定所屬設備傳遞封包數是否異常作為管制緊急管制或禁止通訊之證明2-93
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 以時間軸顯示視覺化封包流量圖bull 讓使用者可觀察所管理設備資訊流通量以了解設備是否能負荷或作相關調整等處置
2-94
網路安全
FTP 擷取密碼案例bull 於Wireshark軟體選擇 Capture 下拉選單功能項點選 Interfaces 選項
2-95
網路安全
FTP 擷取密碼案例 (續 )
bull 確認欲擷取封包之網卡名稱如紅色底線所示確認後點選 Start鈕
2-96
網路安全
FTP 擷取密碼案例 (續 )
bull 切換至 FTP Client 電腦開啟 FileZilla 程式後連線到 FTP Server 於 Host 填入10123 Username填入 tester Password填入testpw 後點選 Quickconnect鈕
2-97
網路安全
FTP 擷取密碼案例 (續 )
bull 擷取到的封包資訊會顯示於已擷取封包清單窗格內
2-98
網路安全
FTP 擷取密碼案例 (續 )
bull 使用 FTP軟體登入 ftp站後 Wireshark 將擷取到的使用者名稱與密碼如紅框所示
2-99
網路安全
FTP 擷取密碼案例 (續 )
bull 點選已擷取封包清單窗格的密碼資訊列如標示1 的紅框所示即可在封包內容窗格看到該密碼的位元碼如標示 2 的紅框所示
1
2
2-100
網路安全
架設實作 (三 )
Outlook Express 擷取密碼案例
2-101
網路安全
實驗環境介紹bull 以 Testbed建立一實驗相關拓樸及設定如下圖
OEClientOSWindows XP SP3IP 10112執行 Outlook Express
MailServerOSWindows XP SP3IP 10122安裝軟體 ArGoSoft Mail Server
2-102
WiresharkOSWindows XP SP3IP1 10113 IP2 10123安裝軟體 Wireshark
IP1IP2
網路安全
實驗拓樸 on TestbedTWISC- 建立完成的實驗拓樸
2-103
網路安全
郵件伺服器工具 - ArGoSoft Mail Server
bull 版本ndash 1892 Freeware
bull 支援作業平台ndash Windows
bull 下載位址ndash httpwwwsoftkingcomtwsoftdownloadaspfid3=7367
2-104
網路安全
郵件客戶端工具 - Outlook Express
bull 版本ndash 60
bull 支援作業平台ndash Windows
bull 下載位址ndash Windows 內建
2-105
網路安全
bull 安裝及設定郵件伺服器ndash 1下載並執行 ArGoSoft Mail Server軟體點選
Setup鈕
Outlook Express 擷取密碼案例
2-106
網路安全
ndash 1 點選 Next鈕ndash 2 點選 Start Installation鈕
Outlook Express 擷取密碼案例 (續 )
2-107
網路安全
ndash 3 點選 OK鈕ndash 4 點選 Finish鈕完成軟體安裝
Outlook Express 擷取密碼案例 (續 )
2-108
網路安全
ndash 5 點選使用者設定鈕如紅圈所示ndash 6 點選新增鈕如紅框所示
Outlook Express 擷取密碼案例 (續 )
2-109
網路安全
ndash 7填入使用者名稱 (tester) 及密碼 (testpw) 如紅圈所示填寫完成後點選 OK鈕ndash 8 點選 Close鈕關閉使用者設定視窗
Outlook Express 擷取密碼案例 (續 )
2-110
網路安全
ndash 9 點選選項鈕如左側圖中紅色圈所示ndash 10 點選紅色打勾鈕如右側圖中紅色圈所示
2-111
Outlook Express 擷取密碼案例 (續 )
網路安全
ndash 11該軟體會自動選取 DNS Server 待選取後點選 Yes鈕ndash 12 勾選 Allow Relay 選項如紅框所示
2-112
Outlook Express 擷取密碼案例 (續 )
網路安全
Outlook Express 擷取密碼案例 (續 )
bull 設定收信帳號ndash 1 點選 Tools功能選單選擇 Accounts 選項
2-113
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 2 點選 Add鈕選擇 Mail 選項
2-114
網路安全
ndash 3填入 tester 點選 Next鈕ndash 4填入 testertestcom 點選 Next鈕
Outlook Express 擷取密碼案例 (續 )
2-115
網路安全
ndash 5填入 10123 如紅框所示點選 Next鈕ndash 6填入帳號為 tester 及密碼為 testpw 點選 Next鈕
Outlook Express 擷取密碼案例 (續 )
2-116
網路安全
ndash 7 點選 Finish鈕ndash 8 點選 Close鈕
Outlook Express 擷取密碼案例 (續 )
2-117
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 模擬條件準備好後首先準備Wireshark 擷取動作開啟Wireshark
2-118
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 於Wireshark軟體選擇 Capture 下拉選單功能項點選 Interfaces 選項
2-119
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 確認欲擷取封包之網卡名稱如紅色底線所示確認後點選 Start鈕
2-120
網路安全
ndash 當使用者收發 email 時即被 Wireshark攔截封包ndash 有發現到該 Outlook Express帳號密碼是如此清晰可見的嗎
Outlook Express 擷取密碼案例 (續 )
2-121
網路安全
結論bull 學習了 Wireshark及WinDump 兩套網路封包擷取軟體基本概念如同電話側錄概念相同從中複製一連串資訊來分析與了解網路的流量及內容為何bull 當你發現網路速度緩慢等狀況你是否會反應到所學的基本概念來找尋問題所在bull 防範概念由此課程的實例可以了解網路內容如被有心人士擷取所造成的損失相當可觀故你是否有對策有哪些方式你可以應用來防範bull 正確的思考善用對的工具將對解決問題事半功倍
2-122
網路安全 2-123
Module 2-5 封包擷取與分析的專案實作()
網路安全
專案目的bull 建立遠端管理傳遞指令資訊環境bull 利用實際攔截封包操作的方式讓同學了解封包擷取運作與網路資訊流通的顧慮等相關議題
2-124
網路安全
專案描述bull 近年來遠端管理伺服器及網路服務普及光是密碼保護就足夠了嗎是否重點網段須全程加密還是作網段隔離經由此專案實作即可了解不僅部分加密仍有其風險所在網路架構如何規劃將是非常重要的課題bull 參考環境配置圖完成下列要求①環境裡的攔截封包主機是 Windows XP SP3 作業系統而該主機安裝Wireshark軟體②另兩台主機的作業系統亦是 Windows XP SP3 並裝上
MySQL軟體 MySQL帳號為 root 密碼為您的學號 (如 Q3896105)
③在MySQLClient 電腦使用 MySQL Commandline 指令連線至MySQLServer 擷取資料庫資訊
④我們針對這兩台主機傳訊的封包擷取由整個實做中思考如何防範資訊外洩與了解傳訊封包如何流動及運作2-125
網路安全
環境配置圖bull 以 Testbed建立一實驗相關拓樸及設定如下圖
MySQLServerOSWINXP-SP3-CH-pc3000 IP 10123安裝軟體 MySQL
MySQLClientOSWINXP-SP3-CH-pc3000 IP 10112安裝軟體 MySQL
2-126
WireSharkOSWINXP-SP3-CH-pc3000 IP1 10113IP2 10122安裝軟體 Wireshark
IP1IP2
網路安全
作業繳交bull 請參考情境測試發送數個 SQL 指令並將過程與擷取到的封包資訊之截圖列於報告中所有圖表皆需要輔以文字說明bull Deadline 2012312 下午 500 以前bull 作業範圍 Module 2-5 (page 2-128)bull 方式 (參考課程網址 )
ndash 帳號密碼小寫的 (ns100ns100)ndash IP 140116164167
2-127
網路安全
有問題嗎
bull 關於 TestBed 使用上的問題請直接 Email至 twisc-testbed-usergooglegroupscom 將有專人為您服務bull 課程網址
httpitlabeenckuedutwcoursesNS_100indexhtml
2-128
bull 助教資訊 (參考課程網址 )
網路安全
參考資料bull Dienet httplinuxdienetman1wiresharkbull Orebaugh Angela Ramirez Gilbert Burke Josh Pesce Larry Wright
Joshua(2007) Wireshark and Ethereal network protocol analyzer toolkitbull Tony Fortunato(2007) Wireshark Training Retrieved July 22 2009 from
the World Wide Web httpwwwthetechfirmcometherealwiresharkpdfbull WinDump httpwwwwinpcaporgWinDumpbull Wireshark httpwwwwiresharkorgbull Wireshark University httpwwwwiresharktrainingcombull 楊中皇 (民 97年 ) 網路安全理論與實務 (2版 ) 台北市學貫bull 蘇淑茵教授 Wireshark 民國 98年 6月 28日取自 httpmywebnckuedutw~sisou
2-129
網路安全
路由 (Routing) 簡介bull 封包在網路上的傳輸是透過路由 (Routing) 將封包從來源位址傳輸到目的位址
bull 路由為網路 OSI七層中的網路層 (Network Layer) 所負責
2-12
應用層Application Layer
表現層Presentation Layer
交談層Session Layer
傳輸層Transport Layer
網路層Network Layer
資料連結層Data-Link Layer
實體層Physical Layer
網路安全
路由 (Routing) 簡介 (續 )
bull 路由器 (Router) 功用為分配引導封包傳遞如下個需經過之主機以完成封包傳遞bull 路由表 (Routing
Table) 一般來說路由器皆會存有路由表用來紀錄與儲存到達各個目的地之最佳路徑2-13
Network Distance Port Next Router Entry State
1 0 1 0 Good
2 1 2 Router 2 Good
Router2
Router1Port1
Port2Network1
Network2
Routing Table
網路安全
封包分組封包重組bull 一個資料若拆成若干個封包經過多路徑傳遞後因為網路狀況及路由器分配之傳遞路線不同先送出之封包不一定會先被收到bull 每個經拆解後的封包皆有他自己的編號接收端可依此編號將封包重組回原始資料bull 表頭 (Header) 即記載這些額外資訊
2-14
資料Part1資料Part2資料Part3
資料Part4
資料Part5
資料Part4
資料Part5
封包重組
拆出資料
網路安全
封包與生活中物件做比較bull 如果把封包比喻成信件它們之間是有一些類似的性質
ndash 信封就相當於封包的控制訊息內容包含收件人與寄件人的地址郵遞區號及信件類型 (平信限時及掛號 )ndash 信封內的文字部分 (郵差看不到的部分 )相當於使用者資料ndash 兩者較不同的地方是信件是在郵差在路上騎機車幫我們遞送信件封包是在網路上傳輸的
2-15
網路安全
封包與生活中物件做比較 (續 )
ndash 因為一些傳輸效率上的因素封包的傳遞過程是將信件分裝成一封一封小的信件使用相同的信封寄往目的地ndash 如果從安全性的角度來看封包與信件最大的不同點在於信件內容洩露的部分如果今天信件被拆封偷看收信人可從彌封部分看出個端倪但封包資訊是相當容易被複製與修改的目地端收到此封包是很難確保封包內容沒有被惡意者所偷窺與修改過
2-16
網路安全
了解封包進階思考bull 並非所有的通訊協定都有相同的欄位資料由於採用不同的通訊協定 (TCP與 UDP) 網路封包的結構都有些許的差異但了解基礎封裝方式即可推理各種不同的通訊協定bull 在實務上想要進行網路封包分析的原因有很多故首要先了解什麼是封包定義及其運作方式後再搭配合適的網路封包擷取程式來解決實務上所遇的問題
2-17
網路安全
Module 2-2 封包結構與通訊協定 ()
2-18
網路安全
bull 目前網路使用相當多不同類型的通訊協定下圖列舉出在 OSI 協定七層中常見的通訊協定bull 網路上有許多不安全的通訊協定且大多採用明碼方式傳送經常造成資訊外洩如
HTTP TELNET及 SMTP 等故必要時須顧慮到資訊安全的議題
PPP
IPARP
UDP TCP
TelnetFTPSMTP
SLIP
HTTP
網路 OSI七層常見通訊協定類型
2-19
網路安全
封包結構與傳輸過程Application
TCP
IP
DeviceDriver
SMTPTELNETFTP
TCPUDP
ARPRARPICMP
EthernetX25PPP
TCPIP 四層 常見通訊協定User Data
App Header
Application DataTCP Header
IP Header
Frame Header
Frame Trailer
User Data
Application Data
Application Data
TCP Header
TCP Header
IP Header
TCP Segment
IP Segment
Frame
封包封裝
Socket NetBIOS
2-20
網路安全
IP 表頭
2-21
0
Precedence(3 Bits)
Delay(1 Bit)
Throughout(1Bit)
Reliability(1 Bit)
Cost(1 Bit)
Reserved(1Bit)
Type Of Service(8 Bits)
=
Reserved(1 Bit)
Donrsquot Fragment
(1 Bit)
More Fragment
(1 Bit)
Flags(3 Bits)
=
Version(4 Bits)
IHL(4 Bits)
Total Length(16 Bits)
Identification(16 Bits)
Fragment Offset(13 Bits)
Time to Live(8 Bits)
Protocal(8Bits)
Header Checksum(16 Bits)
Source Address (32 Bits)
Destination Address (32 Bits)
Options (長度不定 ) Padding (長度不定 )
32
64
96
128
160
Type of Service(8Bits)
Flags(3
Bits)
網路安全
封包 header 實例
2-22
網路安全
封包擷取的原理
A電腦網路卡
目的地A封包
目的地B封包
被丟棄
2-23
網路安全
封包擷取的原理 (續 )
bull 為了監聽到其他使用者的封包監聽者會將網路卡修改為混亂模式 (Promiscuous) 混亂模式不會對目標 MAC 位置做檢查的動作而是將所收到的所有封包做接收的動作bull 藉由混亂模式就可以在 HUB 的區域網路環境中或無線網路的環境中擷取其他人的封包訊息
2-24
網路安全
Module 2-3 封包擷取工具介紹 ()
2-25
網路安全
封包擷取工具比較bull 商業軟體
ndash 優 有廠商維護支援性較佳ndash 缺 成本較高ndash 例 NetResident與 EtherDetect
bull 免費軟體ndash 優 成本較低ndash 缺 功能與使用說明較為簡略ndash 例 Wireshark與WinDump
2-26
網路安全
封包擷取工具 - WinDump
bull 一種開放原始碼的網路軟體工具為 Windows版的 tcpdumpbull 可以分析封包的流向並且對於封包的內容也可以進行 監聽 bull WinDump運算式是一種規則運算式利用一些條件來進行訊息的過濾當訊息滿足運算式的條件則會將其資訊捕獲如果沒有給出任何條件則網路上所有的資訊包將會被擷獲bull 例 WinDump -i interface -c 10 -n port 80 -w
filename
2-27
網路安全
封包擷取工具 - Wireshark
bull 開放原始碼軟體bull 起源於 1997年 Wireshark 的前身即為 Ethereal因為商標問題而改名成 Wiresharkbull 支援通訊協定多且完整使用圖形化的介面讓操作者容易上手過濾條件切割細密讓使用者可於乙太網路撈取且經數據過濾分析後的數據流bull 可由此軟體能夠擷取網路封包並盡可能顯示出最為詳細的網路封包資料提供各方應用
2-28
網路安全
網路存取函式庫 - WinPcap
bull WinPcap 是著名 Unix libpcap的Windows版本API
bull Pcap 是用來擷取封包的應用程式介面 (Application Programming Interface API)
bull 免費直接網路存取函式庫bull 許多網路應用軟體運行均須安裝此套函式庫如WiresharkWinDump Nmap及 Snort
2-29
網路安全
WinDump與Winpcab 示意圖bull 透過 WinDump及Winpcap 工具擷取並分析封包後再將資料蒐集至電腦設備中
2-30
乙太網路Ethernet
網路工具
Windump分析封包結構
Winpcap擷取並過濾封包
封包資訊
網路安全 2-31
Module 2-4 封包擷取的實務 ()
網路安全 2-32
Linux kernel packet processing
網路安全 2-33
網路安全
說明bull 架設實作 (一 ) 請將介紹如何安裝與使用
WinDump 依實驗拓樸請使用 WireDump 主機做安裝及測試bull 架設實作 (二 ) 請利用 Wireshark軟體對 FTP 進行封包擷取依實驗拓樸請使用 Wireshark 主機做安裝及測試bull 架設實作 (三 ) 請利用 Wireshark軟體對
Outlook Express進行封包擷取依實驗拓樸請使用 Wireshark 主機做安裝及測試2-34
網路安全
架設實作 (一 )
WinDump 實作 -SSH連線觀察
2-35
網路安全
封包擷取工具 - WinDump
bull 版本ndash 395
bull 支援作業平台ndash Windows 9598NT2000XP2003
bull 其他需求ndash 安裝WinPcap 31 以上版本
bull 下載位址ndash httpwwwwinpcaporgwindumpinstallbin
windump_3_9_5WinDumpexe
2-36
網路安全
其他需求工具 - WinPcap
bull 版本ndash 402 stable
bull 支援作業平台ndash Windows NT42000
Windows XP2003Vista (x86 and x64)Windows Server 2008 (x86 and x64)
bull 下載位址ndash httpwwwwinpcaporginstallbin
WinPcap_4_0_2exe
2-37
網路安全
WinPcap 安裝步驟bull WinPcap 下載完成後即可進行安裝bull 安裝畫面如下點選 Next按鈕繼續下一步
2-38
網路安全
WinDump與WinPcap測試bull 請將下載的 WinDumpexe 檔案存放至 C
Windowssystem32 的目錄之下bull 測試WinDump及WinPcap 是否可運作
ndash 點選開始 -gt 程式集 -gt附屬應用程式 -gt命令提示字元 -gt 輸入「 windump 」按下 Enter 即會出現「 windump listening on DeviceNPF_GenericDialupAdapter」的訊息代表WinDump及WinPcap 安裝成功且可運作
ndash 停止監聽按「 Ctrl + C」將顯示擷取封包的數量
2-39
網路安全
參數 說明-c 指定收到的封包數目當達到該數目時 Tcpdump 即會停止-d 把編譯過的封包編碼轉碼成可閱讀的格式放置於標準輸出-dd 把編譯過的封包編碼轉碼成 C 語言的格式放置於標準輸出-ddd 把編譯過的封包編碼轉碼成十進位的格式放置於標準輸出-F 從所指定的文件中讀取運算式進而忽略其他運算式-f 用數字顯示 IP 位址 -i 指定擷取封包的網路介面 -w 將擷取的封包直接寫入檔案當中不做分析與顯示於畫面
參數 說明-r 從指定的檔案文件中讀取資料該檔案文件由 -w 所製造出來-v 顯示詳細的封包資訊多了 TTL 及服務類型-s 設定每一個封包的大小-S 用絕對數並非相對數的值列出 TCP 連接數-tt 顯示出原始時間並且為不格式化的時間-n 不進行 IP Address 到 Domain
Name 的轉換-nn 不進行 Port 的轉換如 22 就是
ssh
-x 用十六進位字碼列出封包資料
WinDump相關參數列表
2-40
網路安全
WinDump 簡易使用操作說明bull 語法 windump 參數bull 查看目前系統可使用的網卡介面
ndash windump -Dbull 透過查看網卡介面以利後續監聽之用
2-41
網路安全
WinDump 簡易使用操作說明 (續 )
bull WinDump -i 網卡介面代號 -c 擷取封包數量 port 通訊埠
bull 例 WinDump -i 2 -c 10 port 80
2-42
網路安全
WinDump 簡易使用操作說明 (續 )
bull 因於命令提示字元視窗內所顯示的資訊不易閱讀可透過下列指令將其所擷取的資訊導向至檔案bull Windump -i 網卡介面代號 gt 檔名
ndash windump -i 2 -c 10 -w message port 80ndash windump -r message gt messagetxtndash windump -i 2 -c 10 port 80 gt messagetxt
2-43
網路安全
WinDump 簡易使用操作說明 (續 )
112338326205 此為封包被擷取的時間『 HHMMSSfraction』的單位IP 透過的通訊協定是 IPwinser 1099 gt w1wwwviptw1yahoocomtw80 代表的是傳送端是 winser 傳送的通訊埠為 1099 大於 (gt) 的符號指的是封包的傳輸方向 w1wwwviptw1yahoocomtw 為接收端 80 為接收埠
P(PUSH) 為資料傳輸標誌且傳輸的資料為整體資料的 1~ 699 byte 所以這個封包帶有 698 bytes 的資料量 ack 1 win 65535 ACK與Window size 的相關資料2-44
網路安全
bull 以 Testbed建立一實驗相關拓樸及設定如下圖SSHClientOSWINXP-SP3-CH-pc3000 IP 10113安裝軟體 putty
SSHServerOSWINXP-SP3-CH-pc3000IP 10123安裝軟體 sshd
實驗環境介紹
2-45
IP1
IP2
WireDumpOSWINXP-SP3-CH-pc3000IP1 10112IP2 10122安裝軟體 WinDump
網路安全
實驗拓樸 on TestbedTWISC- 建立完成的實驗拓樸
2-46
網路安全
SSH連線觀察bull 利用 Putty連線到 SSHServer從中觀察到三向交握建立連線的動作從 SSHClient 端利用 putty連線到SSHServer(10123)的 sshd服務
2-47
網路安全
SSH連線觀察 (續 )
bull SSH 在連線之前會利用三向交握的方式建立連線bull 利用 WinDump觀察 SSH連線動作
ndash 指令 WinDumpexe -N -S -i 4 port 22
三向交握的三個封包三向交握示意圖Server lt- Client SYN 你想連線Server -gt Client SYN ACK 可以我接受Server lt- Client ACK 謝謝
2-48
網路安全
架設實作 (二 )
FTP 擷取密碼案例
2-49
網路安全
FTPClientOSWINXP-SP3-pc3000IP 10112安裝軟體 FileZilla
FTPServerOSWINXP-SP3-pc3000IP 10123安裝軟體 RaidenFTPD
實驗環境介紹bull 以 Testbed建立一實驗相關拓樸及設定如下圖
2-50
IP1IP2
WireSharkOSWINXP-SP3-pc3000IP1 10113IP2 10122安裝軟體 Wireshark
網路安全
實驗拓樸 on TestbedTWISC- 建立完成的實驗拓樸
2-51
網路安全
FTP伺服器工具 - RaidenFTPD
bull 版本ndash 24 build 3720
bull 支援作業平台ndash Windows
bull 下載位址ndash httpwwwraidenmaildcomdownloadraidenftpd2exe
2-52
網路安全
RaidenFTPD 安裝步驟bull 下載Windows平台最新版本檔案下載完成後執行該安裝程式
2-53
網路安全
RaidenFTPD 安裝步驟 (續 )
bull 此步驟使用預設路徑即可按下 Install 進行安裝
2-54
網路安全
RaidenFTPD設定步驟bull 程式開啟畫面如下選擇 Click here to start a new
server 進行 FTP伺服器設定
2-55
網路安全
RaidenFTPD設定步驟 (續 )
bull 此處可設定 Server name與 Server IP 將 Auto IP 取消勾選並將 Server IP設為 10123
2-56
網路安全
RaidenFTPD設定步驟 (續 )
bull 接下來的步驟依照預設值即可
2-57
網路安全
RaidenFTPD設定步驟 (續 )
bull 設定人員帳號與群組按下 Add鈕輸入帳號密碼群組名稱可略過完成後按下 Next 進行下一步驟
2-58
網路安全
RaidenFTPD設定步驟 (續 )
bull 此步驟設定該帳號登入 FTP 時的權限選擇NORMAL 按下 Next 進行下一步驟
2-59
網路安全
RaidenFTPD設定步驟 (續 )
bull 接下來的步驟皆以預設值即可完成設定之後會出現對話視窗顯示您所設定的資訊
2-60
網路安全
FTP 用戶端工具 - Filezilla
bull 版本ndash 328
bull 支援作業平台ndash Windows Linux及Mac
bull 下載位址ndash httpsourceforgenetprojectsfilezillafiles
FileZilla_Client328FileZilla_328_win32zipdownload
2-61
網路安全
Filezilla 安裝步驟bull 執行 Filezilla 安裝程式點選 I agree 鈕
2-62
網路安全
Filezilla 安裝步驟 (續 )
bull 以預設值安裝點選兩次 Next 鈕
2-63
網路安全
Filezilla 安裝步驟 (續 )
bull 以預設值安裝點選 Next 鈕後再點選 Install 鈕
2-64
網路安全
Filezilla 安裝步驟 (續 )
bull 以預設值安裝點選 Next 鈕後再點選 Finish 鈕
2-65
網路安全
封包擷取工具 - Wireshark
bull 版本ndash 165
bull 支援作業平台ndash Windows Linux及 FreeBSD
bull 其他需求ndash 安裝WinPcap 31 以上版本
bull 下載位址ndash httpwiresharkdownloadsriverbedcomwireshark
win32wireshark-win32-165exe
2-66
網路安全
Wireshark 安裝步驟bull 至官方網站下載Windows平台最新版本檔案下載完成後執行該安裝程式
2-67
網路安全
Wireshark 安裝步驟 (續 )
bull 於下一步出現的版權宣告點選 I Agree鈕後繼續下一步驟
2-68
網路安全
Wireshark 安裝步驟 (續 )
bull 此步驟選擇欲安裝的元件以軟體預設勾選之項目安裝
2-69
網路安全
Wireshark 安裝步驟 (續 )
bull 此步驟使用預設路徑即可
2-70
網路安全
Wireshark 安裝步驟 (續 )
bull 此步驟將安裝Windows平台須加裝之套件 -WinPcap 若原系統未安裝過 WinPcap套件請以軟體預設項目安裝之
2-71
網路安全
Wireshark 安裝步驟 (續 )
bull 此步驟代表 Wireshark軟體已安裝完成可點選Finish 鈕或勾選 Run Wireshark 165 隨即使用該套軟體
2-72
網路安全
一般工具列Wireshark軟體介面介紹
2-73
篩選工具列封包清單窗格
封包內容窗格封包位元組窗格
網路安全
Wireshark 使用思考方向bull 遇到網路問題是否觀察網路通道中有異常動作或狀況
ndash 思考方向ndash 反應到擷取數據方法那麼以 Wireshark 擷取使用者需要擷取哪些數據這些數據由使用者電腦哪個裝置來擷取
bull Wireshark操作流程
bull 接下來我們進行軟體操作介紹
解決問題 擷取數據要先做什麼
擷取數據 擷取哪些數據( 過濾條件 )數據哪裡來( 網路介面卡 )
2-74
網路安全
數據哪裡來 - Capture功能bull 一開啟方式
ndash 1 點選快速鈕如紅色圈所示ndash 2 點選 Capture功能表 下拉選單後點選 Optionsndash 3鍵盤快速鍵 Ctrl + K
2-75
網路安全
數據哪裡來 - Capture功能 (續 )
bull 二開啟後顯示 Capture Options 的視窗畫面即可看到所提供的擷取功能選項
2-76
網路安全
數據哪裡來 - Capture功能 (續 )
bull Capture Options 常用的欄位設定ndash Caputure 框
bull 1Interface 會顯示出在系統上所有網路卡但只能選取一個介面作為封包擷取bull 2Capture packets in promiscuous mode 選取此選項就是經過所選取的網路卡的所有封包都會被擷取下來bull 3Capture Filter 指定擷取過濾器運算式擷取想要的特定封包即為擷取中過濾之功能
2-77
網路安全
數據哪裡來 - Capture功能 (續 )
bull Capture Options 常用的欄位設定ndash Display Options 框
bull Update list of packets in real time 指定在擷取封包過程中能夠即時更新已擷取封包清單窗格視窗中的封包資訊若取消則軟體主視窗更新畫面是沒有動作的
2-78
網路安全
bull Capture Options 常用的欄位設定ndash Name Resolution框
bull 1 Enable MAC name resolution 指定是否將網路卡MAC address 的前三個位元組轉換成製造商名稱
bull 2 Enable network name resolution 指定是否將 IP address轉換成 DNS 網域名稱
bull 3 Enable transport name resolution 指定是否將通信埠號碼 (port numbers)轉成協定名稱 (protocols)bull 各位了解數據從哪裡擷取的概念與操作之後即可以進一步加上附帶條件 (篩選條件 ) 等相關操作方式
數據哪裡來 - Capture功能 (續 )
2-79
網路安全
Wireshark操作手法bull 延續遇到問題的思考方向及軟體操作手法我們可以將操作流程分為兩種
ndash 擷取中過濾 (Filter while capturing)bull 優點僅擷取已知範圍資訊網路流量少bull 缺點需先了解問題類型避免可能有遺漏真正欲擷取資訊之狀況
ndash 檢視中過濾 (Filter packets while viewing)bull 優點不用先預設條件擷取所有封包資訊bull 缺點影響網路流量
先預設欲擷取條件 擷取數據
擷取數據 再篩選欲查詢數據2-80
網路安全
Wireshark操作手法 - 擷取中過濾bull 操作步驟
ndash 點選 Capture 下拉視窗選擇 Capture Filters 即呈現此視窗
bull 操作範例ndash 1於 Filter窗格中選擇 IP
Address 10112ndash 2於 Properties窗格中即顯示該選項的設定值如圖所示為 host 10112ndash 3 即可設定軟體僅針對
10112 的封包作擷取動作 延伸操作思考1 改變 Filter string 值得到什麼結果2 點選 Edit 窗格中的 New 鈕 新增自訂條件 2-81
網路安全
Wireshark操作手法 - 檢視中過濾bull 此步驟即以已擷取封包清單窗格為基礎以過濾條件過濾該清單bull 可直接選擇軟體預設項目如以下操作
ndash 操作步驟bull 點選 Analyze 下拉視窗選擇
Display Filters 即呈現此視窗ndash 操作範例
bull 1於 Filter窗格中選擇 IP Address 10112
bull 2於 Properties窗格中即顯示該選項的設定值如圖所示值為host 10112
bull 3 即可設定軟體僅針對 10112的封包作顯示動作 延伸操作思考1 可否進行進一步自訂設定值
2-82
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 若電腦 IP為 10112 欲篩選出 IP 來源為上述 IP 且協定為 TCP 80port 的所有封包ndash 操作步驟
bull 點選 Expression鈕即出現此視窗ndash 1於 Field name框選擇
IP項目中的 ipsrc - Source
ndash 2於 Relation框選擇 ==ndash 3於 Value [IPV4
address]填 入 10112ndash 4 點選 OK鈕 進階思考方式須考慮到例如是來源資訊是目標資訊是什麼協定等更細部所要之條件
2-83
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 再進行第二篩選條件ndash TCP 80 port
bull 操作步驟ndash 1先於 Filter string 輸入文字框「 ipsrc==
10112」後再加上一個空格及「 and 」再進行一次 Expression條件選擇
2-84
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
ndash 2於 Field name框選擇「 tcpdstport」ndash 3於 Relation框選擇「 ==」ndash 4於 Value框填入「 80」ndash 5 選擇「 OK」鈕
2-85
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 注意 Propeties框內的Filter string欄位值已改變為「 ipsrc == 10112 and tcpdstport == 80」
bull 確認條件正確後點選「 OK 」鈕即可發現已擷取封包清單窗格的項目均為所設定過濾條件過濾過結果2-86
網路安全
bull 可單選單一封包進行更進階查詢封包內容bull 操作方式為
ndash 點選其中一項封包項目點選滑鼠右鍵選擇Follow TCP Stream
Wireshark操作手法 - 檢視中過濾 (續 )
2-87
網路安全
ndash 此畫面即可看出該項 TCP 封包溝通內容Wireshark操作手法 - 檢視中過濾 (續 )
2-88
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 此功能將所擷取的封包清單使用多種方式呈現封包統計資料便於使用者查詢擷取時間內何種封包數量多寡及圖型顯示bull 操作步驟點選 Statistics 下拉視窗即呈現此視窗 顯示有關擷取清單的摘要以階梯式通訊協定列表顯示所擷取的所有封包
在特定 IP間顯示通訊流量顯示單一 IP 來往封包的流量
以時間軸顯示視覺化封包流量圖2-89
網路安全
bull 可查看到一時段內其封包總數與平均每秒傳遞接收封包數等相關資訊讓使用者了解平均一時段內網路流量狀況藉以初步獲得資訊
Wireshark操作手法 - 檢視中過濾 (續 )
2-90
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 讓使用者可透過階梯式封包分類表來查看哪一類封包佔為居多可進一步推測是否該類型封包影響到整體網路或是否有異常或不常見封包類型在網路中傳遞
2-91
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 將該擷取時段內封包清單檔以兩個特定 IP 之間對傳封包為區隔顯示出哪兩個特定 IP間傳遞封包數多寡bull 可讓使用者更進一步研判兩個特定 IP所屬設備傳遞狀況是否異常
2-92
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 將該擷取時段內封包清單檔以特定IP 傳遞封包數為區隔顯示出哪特定IP 傳遞封包數多寡
bull 可讓使用者更進一步研判該特定所屬設備傳遞封包數是否異常作為管制緊急管制或禁止通訊之證明2-93
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 以時間軸顯示視覺化封包流量圖bull 讓使用者可觀察所管理設備資訊流通量以了解設備是否能負荷或作相關調整等處置
2-94
網路安全
FTP 擷取密碼案例bull 於Wireshark軟體選擇 Capture 下拉選單功能項點選 Interfaces 選項
2-95
網路安全
FTP 擷取密碼案例 (續 )
bull 確認欲擷取封包之網卡名稱如紅色底線所示確認後點選 Start鈕
2-96
網路安全
FTP 擷取密碼案例 (續 )
bull 切換至 FTP Client 電腦開啟 FileZilla 程式後連線到 FTP Server 於 Host 填入10123 Username填入 tester Password填入testpw 後點選 Quickconnect鈕
2-97
網路安全
FTP 擷取密碼案例 (續 )
bull 擷取到的封包資訊會顯示於已擷取封包清單窗格內
2-98
網路安全
FTP 擷取密碼案例 (續 )
bull 使用 FTP軟體登入 ftp站後 Wireshark 將擷取到的使用者名稱與密碼如紅框所示
2-99
網路安全
FTP 擷取密碼案例 (續 )
bull 點選已擷取封包清單窗格的密碼資訊列如標示1 的紅框所示即可在封包內容窗格看到該密碼的位元碼如標示 2 的紅框所示
1
2
2-100
網路安全
架設實作 (三 )
Outlook Express 擷取密碼案例
2-101
網路安全
實驗環境介紹bull 以 Testbed建立一實驗相關拓樸及設定如下圖
OEClientOSWindows XP SP3IP 10112執行 Outlook Express
MailServerOSWindows XP SP3IP 10122安裝軟體 ArGoSoft Mail Server
2-102
WiresharkOSWindows XP SP3IP1 10113 IP2 10123安裝軟體 Wireshark
IP1IP2
網路安全
實驗拓樸 on TestbedTWISC- 建立完成的實驗拓樸
2-103
網路安全
郵件伺服器工具 - ArGoSoft Mail Server
bull 版本ndash 1892 Freeware
bull 支援作業平台ndash Windows
bull 下載位址ndash httpwwwsoftkingcomtwsoftdownloadaspfid3=7367
2-104
網路安全
郵件客戶端工具 - Outlook Express
bull 版本ndash 60
bull 支援作業平台ndash Windows
bull 下載位址ndash Windows 內建
2-105
網路安全
bull 安裝及設定郵件伺服器ndash 1下載並執行 ArGoSoft Mail Server軟體點選
Setup鈕
Outlook Express 擷取密碼案例
2-106
網路安全
ndash 1 點選 Next鈕ndash 2 點選 Start Installation鈕
Outlook Express 擷取密碼案例 (續 )
2-107
網路安全
ndash 3 點選 OK鈕ndash 4 點選 Finish鈕完成軟體安裝
Outlook Express 擷取密碼案例 (續 )
2-108
網路安全
ndash 5 點選使用者設定鈕如紅圈所示ndash 6 點選新增鈕如紅框所示
Outlook Express 擷取密碼案例 (續 )
2-109
網路安全
ndash 7填入使用者名稱 (tester) 及密碼 (testpw) 如紅圈所示填寫完成後點選 OK鈕ndash 8 點選 Close鈕關閉使用者設定視窗
Outlook Express 擷取密碼案例 (續 )
2-110
網路安全
ndash 9 點選選項鈕如左側圖中紅色圈所示ndash 10 點選紅色打勾鈕如右側圖中紅色圈所示
2-111
Outlook Express 擷取密碼案例 (續 )
網路安全
ndash 11該軟體會自動選取 DNS Server 待選取後點選 Yes鈕ndash 12 勾選 Allow Relay 選項如紅框所示
2-112
Outlook Express 擷取密碼案例 (續 )
網路安全
Outlook Express 擷取密碼案例 (續 )
bull 設定收信帳號ndash 1 點選 Tools功能選單選擇 Accounts 選項
2-113
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 2 點選 Add鈕選擇 Mail 選項
2-114
網路安全
ndash 3填入 tester 點選 Next鈕ndash 4填入 testertestcom 點選 Next鈕
Outlook Express 擷取密碼案例 (續 )
2-115
網路安全
ndash 5填入 10123 如紅框所示點選 Next鈕ndash 6填入帳號為 tester 及密碼為 testpw 點選 Next鈕
Outlook Express 擷取密碼案例 (續 )
2-116
網路安全
ndash 7 點選 Finish鈕ndash 8 點選 Close鈕
Outlook Express 擷取密碼案例 (續 )
2-117
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 模擬條件準備好後首先準備Wireshark 擷取動作開啟Wireshark
2-118
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 於Wireshark軟體選擇 Capture 下拉選單功能項點選 Interfaces 選項
2-119
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 確認欲擷取封包之網卡名稱如紅色底線所示確認後點選 Start鈕
2-120
網路安全
ndash 當使用者收發 email 時即被 Wireshark攔截封包ndash 有發現到該 Outlook Express帳號密碼是如此清晰可見的嗎
Outlook Express 擷取密碼案例 (續 )
2-121
網路安全
結論bull 學習了 Wireshark及WinDump 兩套網路封包擷取軟體基本概念如同電話側錄概念相同從中複製一連串資訊來分析與了解網路的流量及內容為何bull 當你發現網路速度緩慢等狀況你是否會反應到所學的基本概念來找尋問題所在bull 防範概念由此課程的實例可以了解網路內容如被有心人士擷取所造成的損失相當可觀故你是否有對策有哪些方式你可以應用來防範bull 正確的思考善用對的工具將對解決問題事半功倍
2-122
網路安全 2-123
Module 2-5 封包擷取與分析的專案實作()
網路安全
專案目的bull 建立遠端管理傳遞指令資訊環境bull 利用實際攔截封包操作的方式讓同學了解封包擷取運作與網路資訊流通的顧慮等相關議題
2-124
網路安全
專案描述bull 近年來遠端管理伺服器及網路服務普及光是密碼保護就足夠了嗎是否重點網段須全程加密還是作網段隔離經由此專案實作即可了解不僅部分加密仍有其風險所在網路架構如何規劃將是非常重要的課題bull 參考環境配置圖完成下列要求①環境裡的攔截封包主機是 Windows XP SP3 作業系統而該主機安裝Wireshark軟體②另兩台主機的作業系統亦是 Windows XP SP3 並裝上
MySQL軟體 MySQL帳號為 root 密碼為您的學號 (如 Q3896105)
③在MySQLClient 電腦使用 MySQL Commandline 指令連線至MySQLServer 擷取資料庫資訊
④我們針對這兩台主機傳訊的封包擷取由整個實做中思考如何防範資訊外洩與了解傳訊封包如何流動及運作2-125
網路安全
環境配置圖bull 以 Testbed建立一實驗相關拓樸及設定如下圖
MySQLServerOSWINXP-SP3-CH-pc3000 IP 10123安裝軟體 MySQL
MySQLClientOSWINXP-SP3-CH-pc3000 IP 10112安裝軟體 MySQL
2-126
WireSharkOSWINXP-SP3-CH-pc3000 IP1 10113IP2 10122安裝軟體 Wireshark
IP1IP2
網路安全
作業繳交bull 請參考情境測試發送數個 SQL 指令並將過程與擷取到的封包資訊之截圖列於報告中所有圖表皆需要輔以文字說明bull Deadline 2012312 下午 500 以前bull 作業範圍 Module 2-5 (page 2-128)bull 方式 (參考課程網址 )
ndash 帳號密碼小寫的 (ns100ns100)ndash IP 140116164167
2-127
網路安全
有問題嗎
bull 關於 TestBed 使用上的問題請直接 Email至 twisc-testbed-usergooglegroupscom 將有專人為您服務bull 課程網址
httpitlabeenckuedutwcoursesNS_100indexhtml
2-128
bull 助教資訊 (參考課程網址 )
網路安全
參考資料bull Dienet httplinuxdienetman1wiresharkbull Orebaugh Angela Ramirez Gilbert Burke Josh Pesce Larry Wright
Joshua(2007) Wireshark and Ethereal network protocol analyzer toolkitbull Tony Fortunato(2007) Wireshark Training Retrieved July 22 2009 from
the World Wide Web httpwwwthetechfirmcometherealwiresharkpdfbull WinDump httpwwwwinpcaporgWinDumpbull Wireshark httpwwwwiresharkorgbull Wireshark University httpwwwwiresharktrainingcombull 楊中皇 (民 97年 ) 網路安全理論與實務 (2版 ) 台北市學貫bull 蘇淑茵教授 Wireshark 民國 98年 6月 28日取自 httpmywebnckuedutw~sisou
2-129
網路安全
路由 (Routing) 簡介 (續 )
bull 路由器 (Router) 功用為分配引導封包傳遞如下個需經過之主機以完成封包傳遞bull 路由表 (Routing
Table) 一般來說路由器皆會存有路由表用來紀錄與儲存到達各個目的地之最佳路徑2-13
Network Distance Port Next Router Entry State
1 0 1 0 Good
2 1 2 Router 2 Good
Router2
Router1Port1
Port2Network1
Network2
Routing Table
網路安全
封包分組封包重組bull 一個資料若拆成若干個封包經過多路徑傳遞後因為網路狀況及路由器分配之傳遞路線不同先送出之封包不一定會先被收到bull 每個經拆解後的封包皆有他自己的編號接收端可依此編號將封包重組回原始資料bull 表頭 (Header) 即記載這些額外資訊
2-14
資料Part1資料Part2資料Part3
資料Part4
資料Part5
資料Part4
資料Part5
封包重組
拆出資料
網路安全
封包與生活中物件做比較bull 如果把封包比喻成信件它們之間是有一些類似的性質
ndash 信封就相當於封包的控制訊息內容包含收件人與寄件人的地址郵遞區號及信件類型 (平信限時及掛號 )ndash 信封內的文字部分 (郵差看不到的部分 )相當於使用者資料ndash 兩者較不同的地方是信件是在郵差在路上騎機車幫我們遞送信件封包是在網路上傳輸的
2-15
網路安全
封包與生活中物件做比較 (續 )
ndash 因為一些傳輸效率上的因素封包的傳遞過程是將信件分裝成一封一封小的信件使用相同的信封寄往目的地ndash 如果從安全性的角度來看封包與信件最大的不同點在於信件內容洩露的部分如果今天信件被拆封偷看收信人可從彌封部分看出個端倪但封包資訊是相當容易被複製與修改的目地端收到此封包是很難確保封包內容沒有被惡意者所偷窺與修改過
2-16
網路安全
了解封包進階思考bull 並非所有的通訊協定都有相同的欄位資料由於採用不同的通訊協定 (TCP與 UDP) 網路封包的結構都有些許的差異但了解基礎封裝方式即可推理各種不同的通訊協定bull 在實務上想要進行網路封包分析的原因有很多故首要先了解什麼是封包定義及其運作方式後再搭配合適的網路封包擷取程式來解決實務上所遇的問題
2-17
網路安全
Module 2-2 封包結構與通訊協定 ()
2-18
網路安全
bull 目前網路使用相當多不同類型的通訊協定下圖列舉出在 OSI 協定七層中常見的通訊協定bull 網路上有許多不安全的通訊協定且大多採用明碼方式傳送經常造成資訊外洩如
HTTP TELNET及 SMTP 等故必要時須顧慮到資訊安全的議題
PPP
IPARP
UDP TCP
TelnetFTPSMTP
SLIP
HTTP
網路 OSI七層常見通訊協定類型
2-19
網路安全
封包結構與傳輸過程Application
TCP
IP
DeviceDriver
SMTPTELNETFTP
TCPUDP
ARPRARPICMP
EthernetX25PPP
TCPIP 四層 常見通訊協定User Data
App Header
Application DataTCP Header
IP Header
Frame Header
Frame Trailer
User Data
Application Data
Application Data
TCP Header
TCP Header
IP Header
TCP Segment
IP Segment
Frame
封包封裝
Socket NetBIOS
2-20
網路安全
IP 表頭
2-21
0
Precedence(3 Bits)
Delay(1 Bit)
Throughout(1Bit)
Reliability(1 Bit)
Cost(1 Bit)
Reserved(1Bit)
Type Of Service(8 Bits)
=
Reserved(1 Bit)
Donrsquot Fragment
(1 Bit)
More Fragment
(1 Bit)
Flags(3 Bits)
=
Version(4 Bits)
IHL(4 Bits)
Total Length(16 Bits)
Identification(16 Bits)
Fragment Offset(13 Bits)
Time to Live(8 Bits)
Protocal(8Bits)
Header Checksum(16 Bits)
Source Address (32 Bits)
Destination Address (32 Bits)
Options (長度不定 ) Padding (長度不定 )
32
64
96
128
160
Type of Service(8Bits)
Flags(3
Bits)
網路安全
封包 header 實例
2-22
網路安全
封包擷取的原理
A電腦網路卡
目的地A封包
目的地B封包
被丟棄
2-23
網路安全
封包擷取的原理 (續 )
bull 為了監聽到其他使用者的封包監聽者會將網路卡修改為混亂模式 (Promiscuous) 混亂模式不會對目標 MAC 位置做檢查的動作而是將所收到的所有封包做接收的動作bull 藉由混亂模式就可以在 HUB 的區域網路環境中或無線網路的環境中擷取其他人的封包訊息
2-24
網路安全
Module 2-3 封包擷取工具介紹 ()
2-25
網路安全
封包擷取工具比較bull 商業軟體
ndash 優 有廠商維護支援性較佳ndash 缺 成本較高ndash 例 NetResident與 EtherDetect
bull 免費軟體ndash 優 成本較低ndash 缺 功能與使用說明較為簡略ndash 例 Wireshark與WinDump
2-26
網路安全
封包擷取工具 - WinDump
bull 一種開放原始碼的網路軟體工具為 Windows版的 tcpdumpbull 可以分析封包的流向並且對於封包的內容也可以進行 監聽 bull WinDump運算式是一種規則運算式利用一些條件來進行訊息的過濾當訊息滿足運算式的條件則會將其資訊捕獲如果沒有給出任何條件則網路上所有的資訊包將會被擷獲bull 例 WinDump -i interface -c 10 -n port 80 -w
filename
2-27
網路安全
封包擷取工具 - Wireshark
bull 開放原始碼軟體bull 起源於 1997年 Wireshark 的前身即為 Ethereal因為商標問題而改名成 Wiresharkbull 支援通訊協定多且完整使用圖形化的介面讓操作者容易上手過濾條件切割細密讓使用者可於乙太網路撈取且經數據過濾分析後的數據流bull 可由此軟體能夠擷取網路封包並盡可能顯示出最為詳細的網路封包資料提供各方應用
2-28
網路安全
網路存取函式庫 - WinPcap
bull WinPcap 是著名 Unix libpcap的Windows版本API
bull Pcap 是用來擷取封包的應用程式介面 (Application Programming Interface API)
bull 免費直接網路存取函式庫bull 許多網路應用軟體運行均須安裝此套函式庫如WiresharkWinDump Nmap及 Snort
2-29
網路安全
WinDump與Winpcab 示意圖bull 透過 WinDump及Winpcap 工具擷取並分析封包後再將資料蒐集至電腦設備中
2-30
乙太網路Ethernet
網路工具
Windump分析封包結構
Winpcap擷取並過濾封包
封包資訊
網路安全 2-31
Module 2-4 封包擷取的實務 ()
網路安全 2-32
Linux kernel packet processing
網路安全 2-33
網路安全
說明bull 架設實作 (一 ) 請將介紹如何安裝與使用
WinDump 依實驗拓樸請使用 WireDump 主機做安裝及測試bull 架設實作 (二 ) 請利用 Wireshark軟體對 FTP 進行封包擷取依實驗拓樸請使用 Wireshark 主機做安裝及測試bull 架設實作 (三 ) 請利用 Wireshark軟體對
Outlook Express進行封包擷取依實驗拓樸請使用 Wireshark 主機做安裝及測試2-34
網路安全
架設實作 (一 )
WinDump 實作 -SSH連線觀察
2-35
網路安全
封包擷取工具 - WinDump
bull 版本ndash 395
bull 支援作業平台ndash Windows 9598NT2000XP2003
bull 其他需求ndash 安裝WinPcap 31 以上版本
bull 下載位址ndash httpwwwwinpcaporgwindumpinstallbin
windump_3_9_5WinDumpexe
2-36
網路安全
其他需求工具 - WinPcap
bull 版本ndash 402 stable
bull 支援作業平台ndash Windows NT42000
Windows XP2003Vista (x86 and x64)Windows Server 2008 (x86 and x64)
bull 下載位址ndash httpwwwwinpcaporginstallbin
WinPcap_4_0_2exe
2-37
網路安全
WinPcap 安裝步驟bull WinPcap 下載完成後即可進行安裝bull 安裝畫面如下點選 Next按鈕繼續下一步
2-38
網路安全
WinDump與WinPcap測試bull 請將下載的 WinDumpexe 檔案存放至 C
Windowssystem32 的目錄之下bull 測試WinDump及WinPcap 是否可運作
ndash 點選開始 -gt 程式集 -gt附屬應用程式 -gt命令提示字元 -gt 輸入「 windump 」按下 Enter 即會出現「 windump listening on DeviceNPF_GenericDialupAdapter」的訊息代表WinDump及WinPcap 安裝成功且可運作
ndash 停止監聽按「 Ctrl + C」將顯示擷取封包的數量
2-39
網路安全
參數 說明-c 指定收到的封包數目當達到該數目時 Tcpdump 即會停止-d 把編譯過的封包編碼轉碼成可閱讀的格式放置於標準輸出-dd 把編譯過的封包編碼轉碼成 C 語言的格式放置於標準輸出-ddd 把編譯過的封包編碼轉碼成十進位的格式放置於標準輸出-F 從所指定的文件中讀取運算式進而忽略其他運算式-f 用數字顯示 IP 位址 -i 指定擷取封包的網路介面 -w 將擷取的封包直接寫入檔案當中不做分析與顯示於畫面
參數 說明-r 從指定的檔案文件中讀取資料該檔案文件由 -w 所製造出來-v 顯示詳細的封包資訊多了 TTL 及服務類型-s 設定每一個封包的大小-S 用絕對數並非相對數的值列出 TCP 連接數-tt 顯示出原始時間並且為不格式化的時間-n 不進行 IP Address 到 Domain
Name 的轉換-nn 不進行 Port 的轉換如 22 就是
ssh
-x 用十六進位字碼列出封包資料
WinDump相關參數列表
2-40
網路安全
WinDump 簡易使用操作說明bull 語法 windump 參數bull 查看目前系統可使用的網卡介面
ndash windump -Dbull 透過查看網卡介面以利後續監聽之用
2-41
網路安全
WinDump 簡易使用操作說明 (續 )
bull WinDump -i 網卡介面代號 -c 擷取封包數量 port 通訊埠
bull 例 WinDump -i 2 -c 10 port 80
2-42
網路安全
WinDump 簡易使用操作說明 (續 )
bull 因於命令提示字元視窗內所顯示的資訊不易閱讀可透過下列指令將其所擷取的資訊導向至檔案bull Windump -i 網卡介面代號 gt 檔名
ndash windump -i 2 -c 10 -w message port 80ndash windump -r message gt messagetxtndash windump -i 2 -c 10 port 80 gt messagetxt
2-43
網路安全
WinDump 簡易使用操作說明 (續 )
112338326205 此為封包被擷取的時間『 HHMMSSfraction』的單位IP 透過的通訊協定是 IPwinser 1099 gt w1wwwviptw1yahoocomtw80 代表的是傳送端是 winser 傳送的通訊埠為 1099 大於 (gt) 的符號指的是封包的傳輸方向 w1wwwviptw1yahoocomtw 為接收端 80 為接收埠
P(PUSH) 為資料傳輸標誌且傳輸的資料為整體資料的 1~ 699 byte 所以這個封包帶有 698 bytes 的資料量 ack 1 win 65535 ACK與Window size 的相關資料2-44
網路安全
bull 以 Testbed建立一實驗相關拓樸及設定如下圖SSHClientOSWINXP-SP3-CH-pc3000 IP 10113安裝軟體 putty
SSHServerOSWINXP-SP3-CH-pc3000IP 10123安裝軟體 sshd
實驗環境介紹
2-45
IP1
IP2
WireDumpOSWINXP-SP3-CH-pc3000IP1 10112IP2 10122安裝軟體 WinDump
網路安全
實驗拓樸 on TestbedTWISC- 建立完成的實驗拓樸
2-46
網路安全
SSH連線觀察bull 利用 Putty連線到 SSHServer從中觀察到三向交握建立連線的動作從 SSHClient 端利用 putty連線到SSHServer(10123)的 sshd服務
2-47
網路安全
SSH連線觀察 (續 )
bull SSH 在連線之前會利用三向交握的方式建立連線bull 利用 WinDump觀察 SSH連線動作
ndash 指令 WinDumpexe -N -S -i 4 port 22
三向交握的三個封包三向交握示意圖Server lt- Client SYN 你想連線Server -gt Client SYN ACK 可以我接受Server lt- Client ACK 謝謝
2-48
網路安全
架設實作 (二 )
FTP 擷取密碼案例
2-49
網路安全
FTPClientOSWINXP-SP3-pc3000IP 10112安裝軟體 FileZilla
FTPServerOSWINXP-SP3-pc3000IP 10123安裝軟體 RaidenFTPD
實驗環境介紹bull 以 Testbed建立一實驗相關拓樸及設定如下圖
2-50
IP1IP2
WireSharkOSWINXP-SP3-pc3000IP1 10113IP2 10122安裝軟體 Wireshark
網路安全
實驗拓樸 on TestbedTWISC- 建立完成的實驗拓樸
2-51
網路安全
FTP伺服器工具 - RaidenFTPD
bull 版本ndash 24 build 3720
bull 支援作業平台ndash Windows
bull 下載位址ndash httpwwwraidenmaildcomdownloadraidenftpd2exe
2-52
網路安全
RaidenFTPD 安裝步驟bull 下載Windows平台最新版本檔案下載完成後執行該安裝程式
2-53
網路安全
RaidenFTPD 安裝步驟 (續 )
bull 此步驟使用預設路徑即可按下 Install 進行安裝
2-54
網路安全
RaidenFTPD設定步驟bull 程式開啟畫面如下選擇 Click here to start a new
server 進行 FTP伺服器設定
2-55
網路安全
RaidenFTPD設定步驟 (續 )
bull 此處可設定 Server name與 Server IP 將 Auto IP 取消勾選並將 Server IP設為 10123
2-56
網路安全
RaidenFTPD設定步驟 (續 )
bull 接下來的步驟依照預設值即可
2-57
網路安全
RaidenFTPD設定步驟 (續 )
bull 設定人員帳號與群組按下 Add鈕輸入帳號密碼群組名稱可略過完成後按下 Next 進行下一步驟
2-58
網路安全
RaidenFTPD設定步驟 (續 )
bull 此步驟設定該帳號登入 FTP 時的權限選擇NORMAL 按下 Next 進行下一步驟
2-59
網路安全
RaidenFTPD設定步驟 (續 )
bull 接下來的步驟皆以預設值即可完成設定之後會出現對話視窗顯示您所設定的資訊
2-60
網路安全
FTP 用戶端工具 - Filezilla
bull 版本ndash 328
bull 支援作業平台ndash Windows Linux及Mac
bull 下載位址ndash httpsourceforgenetprojectsfilezillafiles
FileZilla_Client328FileZilla_328_win32zipdownload
2-61
網路安全
Filezilla 安裝步驟bull 執行 Filezilla 安裝程式點選 I agree 鈕
2-62
網路安全
Filezilla 安裝步驟 (續 )
bull 以預設值安裝點選兩次 Next 鈕
2-63
網路安全
Filezilla 安裝步驟 (續 )
bull 以預設值安裝點選 Next 鈕後再點選 Install 鈕
2-64
網路安全
Filezilla 安裝步驟 (續 )
bull 以預設值安裝點選 Next 鈕後再點選 Finish 鈕
2-65
網路安全
封包擷取工具 - Wireshark
bull 版本ndash 165
bull 支援作業平台ndash Windows Linux及 FreeBSD
bull 其他需求ndash 安裝WinPcap 31 以上版本
bull 下載位址ndash httpwiresharkdownloadsriverbedcomwireshark
win32wireshark-win32-165exe
2-66
網路安全
Wireshark 安裝步驟bull 至官方網站下載Windows平台最新版本檔案下載完成後執行該安裝程式
2-67
網路安全
Wireshark 安裝步驟 (續 )
bull 於下一步出現的版權宣告點選 I Agree鈕後繼續下一步驟
2-68
網路安全
Wireshark 安裝步驟 (續 )
bull 此步驟選擇欲安裝的元件以軟體預設勾選之項目安裝
2-69
網路安全
Wireshark 安裝步驟 (續 )
bull 此步驟使用預設路徑即可
2-70
網路安全
Wireshark 安裝步驟 (續 )
bull 此步驟將安裝Windows平台須加裝之套件 -WinPcap 若原系統未安裝過 WinPcap套件請以軟體預設項目安裝之
2-71
網路安全
Wireshark 安裝步驟 (續 )
bull 此步驟代表 Wireshark軟體已安裝完成可點選Finish 鈕或勾選 Run Wireshark 165 隨即使用該套軟體
2-72
網路安全
一般工具列Wireshark軟體介面介紹
2-73
篩選工具列封包清單窗格
封包內容窗格封包位元組窗格
網路安全
Wireshark 使用思考方向bull 遇到網路問題是否觀察網路通道中有異常動作或狀況
ndash 思考方向ndash 反應到擷取數據方法那麼以 Wireshark 擷取使用者需要擷取哪些數據這些數據由使用者電腦哪個裝置來擷取
bull Wireshark操作流程
bull 接下來我們進行軟體操作介紹
解決問題 擷取數據要先做什麼
擷取數據 擷取哪些數據( 過濾條件 )數據哪裡來( 網路介面卡 )
2-74
網路安全
數據哪裡來 - Capture功能bull 一開啟方式
ndash 1 點選快速鈕如紅色圈所示ndash 2 點選 Capture功能表 下拉選單後點選 Optionsndash 3鍵盤快速鍵 Ctrl + K
2-75
網路安全
數據哪裡來 - Capture功能 (續 )
bull 二開啟後顯示 Capture Options 的視窗畫面即可看到所提供的擷取功能選項
2-76
網路安全
數據哪裡來 - Capture功能 (續 )
bull Capture Options 常用的欄位設定ndash Caputure 框
bull 1Interface 會顯示出在系統上所有網路卡但只能選取一個介面作為封包擷取bull 2Capture packets in promiscuous mode 選取此選項就是經過所選取的網路卡的所有封包都會被擷取下來bull 3Capture Filter 指定擷取過濾器運算式擷取想要的特定封包即為擷取中過濾之功能
2-77
網路安全
數據哪裡來 - Capture功能 (續 )
bull Capture Options 常用的欄位設定ndash Display Options 框
bull Update list of packets in real time 指定在擷取封包過程中能夠即時更新已擷取封包清單窗格視窗中的封包資訊若取消則軟體主視窗更新畫面是沒有動作的
2-78
網路安全
bull Capture Options 常用的欄位設定ndash Name Resolution框
bull 1 Enable MAC name resolution 指定是否將網路卡MAC address 的前三個位元組轉換成製造商名稱
bull 2 Enable network name resolution 指定是否將 IP address轉換成 DNS 網域名稱
bull 3 Enable transport name resolution 指定是否將通信埠號碼 (port numbers)轉成協定名稱 (protocols)bull 各位了解數據從哪裡擷取的概念與操作之後即可以進一步加上附帶條件 (篩選條件 ) 等相關操作方式
數據哪裡來 - Capture功能 (續 )
2-79
網路安全
Wireshark操作手法bull 延續遇到問題的思考方向及軟體操作手法我們可以將操作流程分為兩種
ndash 擷取中過濾 (Filter while capturing)bull 優點僅擷取已知範圍資訊網路流量少bull 缺點需先了解問題類型避免可能有遺漏真正欲擷取資訊之狀況
ndash 檢視中過濾 (Filter packets while viewing)bull 優點不用先預設條件擷取所有封包資訊bull 缺點影響網路流量
先預設欲擷取條件 擷取數據
擷取數據 再篩選欲查詢數據2-80
網路安全
Wireshark操作手法 - 擷取中過濾bull 操作步驟
ndash 點選 Capture 下拉視窗選擇 Capture Filters 即呈現此視窗
bull 操作範例ndash 1於 Filter窗格中選擇 IP
Address 10112ndash 2於 Properties窗格中即顯示該選項的設定值如圖所示為 host 10112ndash 3 即可設定軟體僅針對
10112 的封包作擷取動作 延伸操作思考1 改變 Filter string 值得到什麼結果2 點選 Edit 窗格中的 New 鈕 新增自訂條件 2-81
網路安全
Wireshark操作手法 - 檢視中過濾bull 此步驟即以已擷取封包清單窗格為基礎以過濾條件過濾該清單bull 可直接選擇軟體預設項目如以下操作
ndash 操作步驟bull 點選 Analyze 下拉視窗選擇
Display Filters 即呈現此視窗ndash 操作範例
bull 1於 Filter窗格中選擇 IP Address 10112
bull 2於 Properties窗格中即顯示該選項的設定值如圖所示值為host 10112
bull 3 即可設定軟體僅針對 10112的封包作顯示動作 延伸操作思考1 可否進行進一步自訂設定值
2-82
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 若電腦 IP為 10112 欲篩選出 IP 來源為上述 IP 且協定為 TCP 80port 的所有封包ndash 操作步驟
bull 點選 Expression鈕即出現此視窗ndash 1於 Field name框選擇
IP項目中的 ipsrc - Source
ndash 2於 Relation框選擇 ==ndash 3於 Value [IPV4
address]填 入 10112ndash 4 點選 OK鈕 進階思考方式須考慮到例如是來源資訊是目標資訊是什麼協定等更細部所要之條件
2-83
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 再進行第二篩選條件ndash TCP 80 port
bull 操作步驟ndash 1先於 Filter string 輸入文字框「 ipsrc==
10112」後再加上一個空格及「 and 」再進行一次 Expression條件選擇
2-84
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
ndash 2於 Field name框選擇「 tcpdstport」ndash 3於 Relation框選擇「 ==」ndash 4於 Value框填入「 80」ndash 5 選擇「 OK」鈕
2-85
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 注意 Propeties框內的Filter string欄位值已改變為「 ipsrc == 10112 and tcpdstport == 80」
bull 確認條件正確後點選「 OK 」鈕即可發現已擷取封包清單窗格的項目均為所設定過濾條件過濾過結果2-86
網路安全
bull 可單選單一封包進行更進階查詢封包內容bull 操作方式為
ndash 點選其中一項封包項目點選滑鼠右鍵選擇Follow TCP Stream
Wireshark操作手法 - 檢視中過濾 (續 )
2-87
網路安全
ndash 此畫面即可看出該項 TCP 封包溝通內容Wireshark操作手法 - 檢視中過濾 (續 )
2-88
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 此功能將所擷取的封包清單使用多種方式呈現封包統計資料便於使用者查詢擷取時間內何種封包數量多寡及圖型顯示bull 操作步驟點選 Statistics 下拉視窗即呈現此視窗 顯示有關擷取清單的摘要以階梯式通訊協定列表顯示所擷取的所有封包
在特定 IP間顯示通訊流量顯示單一 IP 來往封包的流量
以時間軸顯示視覺化封包流量圖2-89
網路安全
bull 可查看到一時段內其封包總數與平均每秒傳遞接收封包數等相關資訊讓使用者了解平均一時段內網路流量狀況藉以初步獲得資訊
Wireshark操作手法 - 檢視中過濾 (續 )
2-90
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 讓使用者可透過階梯式封包分類表來查看哪一類封包佔為居多可進一步推測是否該類型封包影響到整體網路或是否有異常或不常見封包類型在網路中傳遞
2-91
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 將該擷取時段內封包清單檔以兩個特定 IP 之間對傳封包為區隔顯示出哪兩個特定 IP間傳遞封包數多寡bull 可讓使用者更進一步研判兩個特定 IP所屬設備傳遞狀況是否異常
2-92
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 將該擷取時段內封包清單檔以特定IP 傳遞封包數為區隔顯示出哪特定IP 傳遞封包數多寡
bull 可讓使用者更進一步研判該特定所屬設備傳遞封包數是否異常作為管制緊急管制或禁止通訊之證明2-93
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 以時間軸顯示視覺化封包流量圖bull 讓使用者可觀察所管理設備資訊流通量以了解設備是否能負荷或作相關調整等處置
2-94
網路安全
FTP 擷取密碼案例bull 於Wireshark軟體選擇 Capture 下拉選單功能項點選 Interfaces 選項
2-95
網路安全
FTP 擷取密碼案例 (續 )
bull 確認欲擷取封包之網卡名稱如紅色底線所示確認後點選 Start鈕
2-96
網路安全
FTP 擷取密碼案例 (續 )
bull 切換至 FTP Client 電腦開啟 FileZilla 程式後連線到 FTP Server 於 Host 填入10123 Username填入 tester Password填入testpw 後點選 Quickconnect鈕
2-97
網路安全
FTP 擷取密碼案例 (續 )
bull 擷取到的封包資訊會顯示於已擷取封包清單窗格內
2-98
網路安全
FTP 擷取密碼案例 (續 )
bull 使用 FTP軟體登入 ftp站後 Wireshark 將擷取到的使用者名稱與密碼如紅框所示
2-99
網路安全
FTP 擷取密碼案例 (續 )
bull 點選已擷取封包清單窗格的密碼資訊列如標示1 的紅框所示即可在封包內容窗格看到該密碼的位元碼如標示 2 的紅框所示
1
2
2-100
網路安全
架設實作 (三 )
Outlook Express 擷取密碼案例
2-101
網路安全
實驗環境介紹bull 以 Testbed建立一實驗相關拓樸及設定如下圖
OEClientOSWindows XP SP3IP 10112執行 Outlook Express
MailServerOSWindows XP SP3IP 10122安裝軟體 ArGoSoft Mail Server
2-102
WiresharkOSWindows XP SP3IP1 10113 IP2 10123安裝軟體 Wireshark
IP1IP2
網路安全
實驗拓樸 on TestbedTWISC- 建立完成的實驗拓樸
2-103
網路安全
郵件伺服器工具 - ArGoSoft Mail Server
bull 版本ndash 1892 Freeware
bull 支援作業平台ndash Windows
bull 下載位址ndash httpwwwsoftkingcomtwsoftdownloadaspfid3=7367
2-104
網路安全
郵件客戶端工具 - Outlook Express
bull 版本ndash 60
bull 支援作業平台ndash Windows
bull 下載位址ndash Windows 內建
2-105
網路安全
bull 安裝及設定郵件伺服器ndash 1下載並執行 ArGoSoft Mail Server軟體點選
Setup鈕
Outlook Express 擷取密碼案例
2-106
網路安全
ndash 1 點選 Next鈕ndash 2 點選 Start Installation鈕
Outlook Express 擷取密碼案例 (續 )
2-107
網路安全
ndash 3 點選 OK鈕ndash 4 點選 Finish鈕完成軟體安裝
Outlook Express 擷取密碼案例 (續 )
2-108
網路安全
ndash 5 點選使用者設定鈕如紅圈所示ndash 6 點選新增鈕如紅框所示
Outlook Express 擷取密碼案例 (續 )
2-109
網路安全
ndash 7填入使用者名稱 (tester) 及密碼 (testpw) 如紅圈所示填寫完成後點選 OK鈕ndash 8 點選 Close鈕關閉使用者設定視窗
Outlook Express 擷取密碼案例 (續 )
2-110
網路安全
ndash 9 點選選項鈕如左側圖中紅色圈所示ndash 10 點選紅色打勾鈕如右側圖中紅色圈所示
2-111
Outlook Express 擷取密碼案例 (續 )
網路安全
ndash 11該軟體會自動選取 DNS Server 待選取後點選 Yes鈕ndash 12 勾選 Allow Relay 選項如紅框所示
2-112
Outlook Express 擷取密碼案例 (續 )
網路安全
Outlook Express 擷取密碼案例 (續 )
bull 設定收信帳號ndash 1 點選 Tools功能選單選擇 Accounts 選項
2-113
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 2 點選 Add鈕選擇 Mail 選項
2-114
網路安全
ndash 3填入 tester 點選 Next鈕ndash 4填入 testertestcom 點選 Next鈕
Outlook Express 擷取密碼案例 (續 )
2-115
網路安全
ndash 5填入 10123 如紅框所示點選 Next鈕ndash 6填入帳號為 tester 及密碼為 testpw 點選 Next鈕
Outlook Express 擷取密碼案例 (續 )
2-116
網路安全
ndash 7 點選 Finish鈕ndash 8 點選 Close鈕
Outlook Express 擷取密碼案例 (續 )
2-117
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 模擬條件準備好後首先準備Wireshark 擷取動作開啟Wireshark
2-118
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 於Wireshark軟體選擇 Capture 下拉選單功能項點選 Interfaces 選項
2-119
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 確認欲擷取封包之網卡名稱如紅色底線所示確認後點選 Start鈕
2-120
網路安全
ndash 當使用者收發 email 時即被 Wireshark攔截封包ndash 有發現到該 Outlook Express帳號密碼是如此清晰可見的嗎
Outlook Express 擷取密碼案例 (續 )
2-121
網路安全
結論bull 學習了 Wireshark及WinDump 兩套網路封包擷取軟體基本概念如同電話側錄概念相同從中複製一連串資訊來分析與了解網路的流量及內容為何bull 當你發現網路速度緩慢等狀況你是否會反應到所學的基本概念來找尋問題所在bull 防範概念由此課程的實例可以了解網路內容如被有心人士擷取所造成的損失相當可觀故你是否有對策有哪些方式你可以應用來防範bull 正確的思考善用對的工具將對解決問題事半功倍
2-122
網路安全 2-123
Module 2-5 封包擷取與分析的專案實作()
網路安全
專案目的bull 建立遠端管理傳遞指令資訊環境bull 利用實際攔截封包操作的方式讓同學了解封包擷取運作與網路資訊流通的顧慮等相關議題
2-124
網路安全
專案描述bull 近年來遠端管理伺服器及網路服務普及光是密碼保護就足夠了嗎是否重點網段須全程加密還是作網段隔離經由此專案實作即可了解不僅部分加密仍有其風險所在網路架構如何規劃將是非常重要的課題bull 參考環境配置圖完成下列要求①環境裡的攔截封包主機是 Windows XP SP3 作業系統而該主機安裝Wireshark軟體②另兩台主機的作業系統亦是 Windows XP SP3 並裝上
MySQL軟體 MySQL帳號為 root 密碼為您的學號 (如 Q3896105)
③在MySQLClient 電腦使用 MySQL Commandline 指令連線至MySQLServer 擷取資料庫資訊
④我們針對這兩台主機傳訊的封包擷取由整個實做中思考如何防範資訊外洩與了解傳訊封包如何流動及運作2-125
網路安全
環境配置圖bull 以 Testbed建立一實驗相關拓樸及設定如下圖
MySQLServerOSWINXP-SP3-CH-pc3000 IP 10123安裝軟體 MySQL
MySQLClientOSWINXP-SP3-CH-pc3000 IP 10112安裝軟體 MySQL
2-126
WireSharkOSWINXP-SP3-CH-pc3000 IP1 10113IP2 10122安裝軟體 Wireshark
IP1IP2
網路安全
作業繳交bull 請參考情境測試發送數個 SQL 指令並將過程與擷取到的封包資訊之截圖列於報告中所有圖表皆需要輔以文字說明bull Deadline 2012312 下午 500 以前bull 作業範圍 Module 2-5 (page 2-128)bull 方式 (參考課程網址 )
ndash 帳號密碼小寫的 (ns100ns100)ndash IP 140116164167
2-127
網路安全
有問題嗎
bull 關於 TestBed 使用上的問題請直接 Email至 twisc-testbed-usergooglegroupscom 將有專人為您服務bull 課程網址
httpitlabeenckuedutwcoursesNS_100indexhtml
2-128
bull 助教資訊 (參考課程網址 )
網路安全
參考資料bull Dienet httplinuxdienetman1wiresharkbull Orebaugh Angela Ramirez Gilbert Burke Josh Pesce Larry Wright
Joshua(2007) Wireshark and Ethereal network protocol analyzer toolkitbull Tony Fortunato(2007) Wireshark Training Retrieved July 22 2009 from
the World Wide Web httpwwwthetechfirmcometherealwiresharkpdfbull WinDump httpwwwwinpcaporgWinDumpbull Wireshark httpwwwwiresharkorgbull Wireshark University httpwwwwiresharktrainingcombull 楊中皇 (民 97年 ) 網路安全理論與實務 (2版 ) 台北市學貫bull 蘇淑茵教授 Wireshark 民國 98年 6月 28日取自 httpmywebnckuedutw~sisou
2-129
網路安全
封包分組封包重組bull 一個資料若拆成若干個封包經過多路徑傳遞後因為網路狀況及路由器分配之傳遞路線不同先送出之封包不一定會先被收到bull 每個經拆解後的封包皆有他自己的編號接收端可依此編號將封包重組回原始資料bull 表頭 (Header) 即記載這些額外資訊
2-14
資料Part1資料Part2資料Part3
資料Part4
資料Part5
資料Part4
資料Part5
封包重組
拆出資料
網路安全
封包與生活中物件做比較bull 如果把封包比喻成信件它們之間是有一些類似的性質
ndash 信封就相當於封包的控制訊息內容包含收件人與寄件人的地址郵遞區號及信件類型 (平信限時及掛號 )ndash 信封內的文字部分 (郵差看不到的部分 )相當於使用者資料ndash 兩者較不同的地方是信件是在郵差在路上騎機車幫我們遞送信件封包是在網路上傳輸的
2-15
網路安全
封包與生活中物件做比較 (續 )
ndash 因為一些傳輸效率上的因素封包的傳遞過程是將信件分裝成一封一封小的信件使用相同的信封寄往目的地ndash 如果從安全性的角度來看封包與信件最大的不同點在於信件內容洩露的部分如果今天信件被拆封偷看收信人可從彌封部分看出個端倪但封包資訊是相當容易被複製與修改的目地端收到此封包是很難確保封包內容沒有被惡意者所偷窺與修改過
2-16
網路安全
了解封包進階思考bull 並非所有的通訊協定都有相同的欄位資料由於採用不同的通訊協定 (TCP與 UDP) 網路封包的結構都有些許的差異但了解基礎封裝方式即可推理各種不同的通訊協定bull 在實務上想要進行網路封包分析的原因有很多故首要先了解什麼是封包定義及其運作方式後再搭配合適的網路封包擷取程式來解決實務上所遇的問題
2-17
網路安全
Module 2-2 封包結構與通訊協定 ()
2-18
網路安全
bull 目前網路使用相當多不同類型的通訊協定下圖列舉出在 OSI 協定七層中常見的通訊協定bull 網路上有許多不安全的通訊協定且大多採用明碼方式傳送經常造成資訊外洩如
HTTP TELNET及 SMTP 等故必要時須顧慮到資訊安全的議題
PPP
IPARP
UDP TCP
TelnetFTPSMTP
SLIP
HTTP
網路 OSI七層常見通訊協定類型
2-19
網路安全
封包結構與傳輸過程Application
TCP
IP
DeviceDriver
SMTPTELNETFTP
TCPUDP
ARPRARPICMP
EthernetX25PPP
TCPIP 四層 常見通訊協定User Data
App Header
Application DataTCP Header
IP Header
Frame Header
Frame Trailer
User Data
Application Data
Application Data
TCP Header
TCP Header
IP Header
TCP Segment
IP Segment
Frame
封包封裝
Socket NetBIOS
2-20
網路安全
IP 表頭
2-21
0
Precedence(3 Bits)
Delay(1 Bit)
Throughout(1Bit)
Reliability(1 Bit)
Cost(1 Bit)
Reserved(1Bit)
Type Of Service(8 Bits)
=
Reserved(1 Bit)
Donrsquot Fragment
(1 Bit)
More Fragment
(1 Bit)
Flags(3 Bits)
=
Version(4 Bits)
IHL(4 Bits)
Total Length(16 Bits)
Identification(16 Bits)
Fragment Offset(13 Bits)
Time to Live(8 Bits)
Protocal(8Bits)
Header Checksum(16 Bits)
Source Address (32 Bits)
Destination Address (32 Bits)
Options (長度不定 ) Padding (長度不定 )
32
64
96
128
160
Type of Service(8Bits)
Flags(3
Bits)
網路安全
封包 header 實例
2-22
網路安全
封包擷取的原理
A電腦網路卡
目的地A封包
目的地B封包
被丟棄
2-23
網路安全
封包擷取的原理 (續 )
bull 為了監聽到其他使用者的封包監聽者會將網路卡修改為混亂模式 (Promiscuous) 混亂模式不會對目標 MAC 位置做檢查的動作而是將所收到的所有封包做接收的動作bull 藉由混亂模式就可以在 HUB 的區域網路環境中或無線網路的環境中擷取其他人的封包訊息
2-24
網路安全
Module 2-3 封包擷取工具介紹 ()
2-25
網路安全
封包擷取工具比較bull 商業軟體
ndash 優 有廠商維護支援性較佳ndash 缺 成本較高ndash 例 NetResident與 EtherDetect
bull 免費軟體ndash 優 成本較低ndash 缺 功能與使用說明較為簡略ndash 例 Wireshark與WinDump
2-26
網路安全
封包擷取工具 - WinDump
bull 一種開放原始碼的網路軟體工具為 Windows版的 tcpdumpbull 可以分析封包的流向並且對於封包的內容也可以進行 監聽 bull WinDump運算式是一種規則運算式利用一些條件來進行訊息的過濾當訊息滿足運算式的條件則會將其資訊捕獲如果沒有給出任何條件則網路上所有的資訊包將會被擷獲bull 例 WinDump -i interface -c 10 -n port 80 -w
filename
2-27
網路安全
封包擷取工具 - Wireshark
bull 開放原始碼軟體bull 起源於 1997年 Wireshark 的前身即為 Ethereal因為商標問題而改名成 Wiresharkbull 支援通訊協定多且完整使用圖形化的介面讓操作者容易上手過濾條件切割細密讓使用者可於乙太網路撈取且經數據過濾分析後的數據流bull 可由此軟體能夠擷取網路封包並盡可能顯示出最為詳細的網路封包資料提供各方應用
2-28
網路安全
網路存取函式庫 - WinPcap
bull WinPcap 是著名 Unix libpcap的Windows版本API
bull Pcap 是用來擷取封包的應用程式介面 (Application Programming Interface API)
bull 免費直接網路存取函式庫bull 許多網路應用軟體運行均須安裝此套函式庫如WiresharkWinDump Nmap及 Snort
2-29
網路安全
WinDump與Winpcab 示意圖bull 透過 WinDump及Winpcap 工具擷取並分析封包後再將資料蒐集至電腦設備中
2-30
乙太網路Ethernet
網路工具
Windump分析封包結構
Winpcap擷取並過濾封包
封包資訊
網路安全 2-31
Module 2-4 封包擷取的實務 ()
網路安全 2-32
Linux kernel packet processing
網路安全 2-33
網路安全
說明bull 架設實作 (一 ) 請將介紹如何安裝與使用
WinDump 依實驗拓樸請使用 WireDump 主機做安裝及測試bull 架設實作 (二 ) 請利用 Wireshark軟體對 FTP 進行封包擷取依實驗拓樸請使用 Wireshark 主機做安裝及測試bull 架設實作 (三 ) 請利用 Wireshark軟體對
Outlook Express進行封包擷取依實驗拓樸請使用 Wireshark 主機做安裝及測試2-34
網路安全
架設實作 (一 )
WinDump 實作 -SSH連線觀察
2-35
網路安全
封包擷取工具 - WinDump
bull 版本ndash 395
bull 支援作業平台ndash Windows 9598NT2000XP2003
bull 其他需求ndash 安裝WinPcap 31 以上版本
bull 下載位址ndash httpwwwwinpcaporgwindumpinstallbin
windump_3_9_5WinDumpexe
2-36
網路安全
其他需求工具 - WinPcap
bull 版本ndash 402 stable
bull 支援作業平台ndash Windows NT42000
Windows XP2003Vista (x86 and x64)Windows Server 2008 (x86 and x64)
bull 下載位址ndash httpwwwwinpcaporginstallbin
WinPcap_4_0_2exe
2-37
網路安全
WinPcap 安裝步驟bull WinPcap 下載完成後即可進行安裝bull 安裝畫面如下點選 Next按鈕繼續下一步
2-38
網路安全
WinDump與WinPcap測試bull 請將下載的 WinDumpexe 檔案存放至 C
Windowssystem32 的目錄之下bull 測試WinDump及WinPcap 是否可運作
ndash 點選開始 -gt 程式集 -gt附屬應用程式 -gt命令提示字元 -gt 輸入「 windump 」按下 Enter 即會出現「 windump listening on DeviceNPF_GenericDialupAdapter」的訊息代表WinDump及WinPcap 安裝成功且可運作
ndash 停止監聽按「 Ctrl + C」將顯示擷取封包的數量
2-39
網路安全
參數 說明-c 指定收到的封包數目當達到該數目時 Tcpdump 即會停止-d 把編譯過的封包編碼轉碼成可閱讀的格式放置於標準輸出-dd 把編譯過的封包編碼轉碼成 C 語言的格式放置於標準輸出-ddd 把編譯過的封包編碼轉碼成十進位的格式放置於標準輸出-F 從所指定的文件中讀取運算式進而忽略其他運算式-f 用數字顯示 IP 位址 -i 指定擷取封包的網路介面 -w 將擷取的封包直接寫入檔案當中不做分析與顯示於畫面
參數 說明-r 從指定的檔案文件中讀取資料該檔案文件由 -w 所製造出來-v 顯示詳細的封包資訊多了 TTL 及服務類型-s 設定每一個封包的大小-S 用絕對數並非相對數的值列出 TCP 連接數-tt 顯示出原始時間並且為不格式化的時間-n 不進行 IP Address 到 Domain
Name 的轉換-nn 不進行 Port 的轉換如 22 就是
ssh
-x 用十六進位字碼列出封包資料
WinDump相關參數列表
2-40
網路安全
WinDump 簡易使用操作說明bull 語法 windump 參數bull 查看目前系統可使用的網卡介面
ndash windump -Dbull 透過查看網卡介面以利後續監聽之用
2-41
網路安全
WinDump 簡易使用操作說明 (續 )
bull WinDump -i 網卡介面代號 -c 擷取封包數量 port 通訊埠
bull 例 WinDump -i 2 -c 10 port 80
2-42
網路安全
WinDump 簡易使用操作說明 (續 )
bull 因於命令提示字元視窗內所顯示的資訊不易閱讀可透過下列指令將其所擷取的資訊導向至檔案bull Windump -i 網卡介面代號 gt 檔名
ndash windump -i 2 -c 10 -w message port 80ndash windump -r message gt messagetxtndash windump -i 2 -c 10 port 80 gt messagetxt
2-43
網路安全
WinDump 簡易使用操作說明 (續 )
112338326205 此為封包被擷取的時間『 HHMMSSfraction』的單位IP 透過的通訊協定是 IPwinser 1099 gt w1wwwviptw1yahoocomtw80 代表的是傳送端是 winser 傳送的通訊埠為 1099 大於 (gt) 的符號指的是封包的傳輸方向 w1wwwviptw1yahoocomtw 為接收端 80 為接收埠
P(PUSH) 為資料傳輸標誌且傳輸的資料為整體資料的 1~ 699 byte 所以這個封包帶有 698 bytes 的資料量 ack 1 win 65535 ACK與Window size 的相關資料2-44
網路安全
bull 以 Testbed建立一實驗相關拓樸及設定如下圖SSHClientOSWINXP-SP3-CH-pc3000 IP 10113安裝軟體 putty
SSHServerOSWINXP-SP3-CH-pc3000IP 10123安裝軟體 sshd
實驗環境介紹
2-45
IP1
IP2
WireDumpOSWINXP-SP3-CH-pc3000IP1 10112IP2 10122安裝軟體 WinDump
網路安全
實驗拓樸 on TestbedTWISC- 建立完成的實驗拓樸
2-46
網路安全
SSH連線觀察bull 利用 Putty連線到 SSHServer從中觀察到三向交握建立連線的動作從 SSHClient 端利用 putty連線到SSHServer(10123)的 sshd服務
2-47
網路安全
SSH連線觀察 (續 )
bull SSH 在連線之前會利用三向交握的方式建立連線bull 利用 WinDump觀察 SSH連線動作
ndash 指令 WinDumpexe -N -S -i 4 port 22
三向交握的三個封包三向交握示意圖Server lt- Client SYN 你想連線Server -gt Client SYN ACK 可以我接受Server lt- Client ACK 謝謝
2-48
網路安全
架設實作 (二 )
FTP 擷取密碼案例
2-49
網路安全
FTPClientOSWINXP-SP3-pc3000IP 10112安裝軟體 FileZilla
FTPServerOSWINXP-SP3-pc3000IP 10123安裝軟體 RaidenFTPD
實驗環境介紹bull 以 Testbed建立一實驗相關拓樸及設定如下圖
2-50
IP1IP2
WireSharkOSWINXP-SP3-pc3000IP1 10113IP2 10122安裝軟體 Wireshark
網路安全
實驗拓樸 on TestbedTWISC- 建立完成的實驗拓樸
2-51
網路安全
FTP伺服器工具 - RaidenFTPD
bull 版本ndash 24 build 3720
bull 支援作業平台ndash Windows
bull 下載位址ndash httpwwwraidenmaildcomdownloadraidenftpd2exe
2-52
網路安全
RaidenFTPD 安裝步驟bull 下載Windows平台最新版本檔案下載完成後執行該安裝程式
2-53
網路安全
RaidenFTPD 安裝步驟 (續 )
bull 此步驟使用預設路徑即可按下 Install 進行安裝
2-54
網路安全
RaidenFTPD設定步驟bull 程式開啟畫面如下選擇 Click here to start a new
server 進行 FTP伺服器設定
2-55
網路安全
RaidenFTPD設定步驟 (續 )
bull 此處可設定 Server name與 Server IP 將 Auto IP 取消勾選並將 Server IP設為 10123
2-56
網路安全
RaidenFTPD設定步驟 (續 )
bull 接下來的步驟依照預設值即可
2-57
網路安全
RaidenFTPD設定步驟 (續 )
bull 設定人員帳號與群組按下 Add鈕輸入帳號密碼群組名稱可略過完成後按下 Next 進行下一步驟
2-58
網路安全
RaidenFTPD設定步驟 (續 )
bull 此步驟設定該帳號登入 FTP 時的權限選擇NORMAL 按下 Next 進行下一步驟
2-59
網路安全
RaidenFTPD設定步驟 (續 )
bull 接下來的步驟皆以預設值即可完成設定之後會出現對話視窗顯示您所設定的資訊
2-60
網路安全
FTP 用戶端工具 - Filezilla
bull 版本ndash 328
bull 支援作業平台ndash Windows Linux及Mac
bull 下載位址ndash httpsourceforgenetprojectsfilezillafiles
FileZilla_Client328FileZilla_328_win32zipdownload
2-61
網路安全
Filezilla 安裝步驟bull 執行 Filezilla 安裝程式點選 I agree 鈕
2-62
網路安全
Filezilla 安裝步驟 (續 )
bull 以預設值安裝點選兩次 Next 鈕
2-63
網路安全
Filezilla 安裝步驟 (續 )
bull 以預設值安裝點選 Next 鈕後再點選 Install 鈕
2-64
網路安全
Filezilla 安裝步驟 (續 )
bull 以預設值安裝點選 Next 鈕後再點選 Finish 鈕
2-65
網路安全
封包擷取工具 - Wireshark
bull 版本ndash 165
bull 支援作業平台ndash Windows Linux及 FreeBSD
bull 其他需求ndash 安裝WinPcap 31 以上版本
bull 下載位址ndash httpwiresharkdownloadsriverbedcomwireshark
win32wireshark-win32-165exe
2-66
網路安全
Wireshark 安裝步驟bull 至官方網站下載Windows平台最新版本檔案下載完成後執行該安裝程式
2-67
網路安全
Wireshark 安裝步驟 (續 )
bull 於下一步出現的版權宣告點選 I Agree鈕後繼續下一步驟
2-68
網路安全
Wireshark 安裝步驟 (續 )
bull 此步驟選擇欲安裝的元件以軟體預設勾選之項目安裝
2-69
網路安全
Wireshark 安裝步驟 (續 )
bull 此步驟使用預設路徑即可
2-70
網路安全
Wireshark 安裝步驟 (續 )
bull 此步驟將安裝Windows平台須加裝之套件 -WinPcap 若原系統未安裝過 WinPcap套件請以軟體預設項目安裝之
2-71
網路安全
Wireshark 安裝步驟 (續 )
bull 此步驟代表 Wireshark軟體已安裝完成可點選Finish 鈕或勾選 Run Wireshark 165 隨即使用該套軟體
2-72
網路安全
一般工具列Wireshark軟體介面介紹
2-73
篩選工具列封包清單窗格
封包內容窗格封包位元組窗格
網路安全
Wireshark 使用思考方向bull 遇到網路問題是否觀察網路通道中有異常動作或狀況
ndash 思考方向ndash 反應到擷取數據方法那麼以 Wireshark 擷取使用者需要擷取哪些數據這些數據由使用者電腦哪個裝置來擷取
bull Wireshark操作流程
bull 接下來我們進行軟體操作介紹
解決問題 擷取數據要先做什麼
擷取數據 擷取哪些數據( 過濾條件 )數據哪裡來( 網路介面卡 )
2-74
網路安全
數據哪裡來 - Capture功能bull 一開啟方式
ndash 1 點選快速鈕如紅色圈所示ndash 2 點選 Capture功能表 下拉選單後點選 Optionsndash 3鍵盤快速鍵 Ctrl + K
2-75
網路安全
數據哪裡來 - Capture功能 (續 )
bull 二開啟後顯示 Capture Options 的視窗畫面即可看到所提供的擷取功能選項
2-76
網路安全
數據哪裡來 - Capture功能 (續 )
bull Capture Options 常用的欄位設定ndash Caputure 框
bull 1Interface 會顯示出在系統上所有網路卡但只能選取一個介面作為封包擷取bull 2Capture packets in promiscuous mode 選取此選項就是經過所選取的網路卡的所有封包都會被擷取下來bull 3Capture Filter 指定擷取過濾器運算式擷取想要的特定封包即為擷取中過濾之功能
2-77
網路安全
數據哪裡來 - Capture功能 (續 )
bull Capture Options 常用的欄位設定ndash Display Options 框
bull Update list of packets in real time 指定在擷取封包過程中能夠即時更新已擷取封包清單窗格視窗中的封包資訊若取消則軟體主視窗更新畫面是沒有動作的
2-78
網路安全
bull Capture Options 常用的欄位設定ndash Name Resolution框
bull 1 Enable MAC name resolution 指定是否將網路卡MAC address 的前三個位元組轉換成製造商名稱
bull 2 Enable network name resolution 指定是否將 IP address轉換成 DNS 網域名稱
bull 3 Enable transport name resolution 指定是否將通信埠號碼 (port numbers)轉成協定名稱 (protocols)bull 各位了解數據從哪裡擷取的概念與操作之後即可以進一步加上附帶條件 (篩選條件 ) 等相關操作方式
數據哪裡來 - Capture功能 (續 )
2-79
網路安全
Wireshark操作手法bull 延續遇到問題的思考方向及軟體操作手法我們可以將操作流程分為兩種
ndash 擷取中過濾 (Filter while capturing)bull 優點僅擷取已知範圍資訊網路流量少bull 缺點需先了解問題類型避免可能有遺漏真正欲擷取資訊之狀況
ndash 檢視中過濾 (Filter packets while viewing)bull 優點不用先預設條件擷取所有封包資訊bull 缺點影響網路流量
先預設欲擷取條件 擷取數據
擷取數據 再篩選欲查詢數據2-80
網路安全
Wireshark操作手法 - 擷取中過濾bull 操作步驟
ndash 點選 Capture 下拉視窗選擇 Capture Filters 即呈現此視窗
bull 操作範例ndash 1於 Filter窗格中選擇 IP
Address 10112ndash 2於 Properties窗格中即顯示該選項的設定值如圖所示為 host 10112ndash 3 即可設定軟體僅針對
10112 的封包作擷取動作 延伸操作思考1 改變 Filter string 值得到什麼結果2 點選 Edit 窗格中的 New 鈕 新增自訂條件 2-81
網路安全
Wireshark操作手法 - 檢視中過濾bull 此步驟即以已擷取封包清單窗格為基礎以過濾條件過濾該清單bull 可直接選擇軟體預設項目如以下操作
ndash 操作步驟bull 點選 Analyze 下拉視窗選擇
Display Filters 即呈現此視窗ndash 操作範例
bull 1於 Filter窗格中選擇 IP Address 10112
bull 2於 Properties窗格中即顯示該選項的設定值如圖所示值為host 10112
bull 3 即可設定軟體僅針對 10112的封包作顯示動作 延伸操作思考1 可否進行進一步自訂設定值
2-82
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 若電腦 IP為 10112 欲篩選出 IP 來源為上述 IP 且協定為 TCP 80port 的所有封包ndash 操作步驟
bull 點選 Expression鈕即出現此視窗ndash 1於 Field name框選擇
IP項目中的 ipsrc - Source
ndash 2於 Relation框選擇 ==ndash 3於 Value [IPV4
address]填 入 10112ndash 4 點選 OK鈕 進階思考方式須考慮到例如是來源資訊是目標資訊是什麼協定等更細部所要之條件
2-83
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 再進行第二篩選條件ndash TCP 80 port
bull 操作步驟ndash 1先於 Filter string 輸入文字框「 ipsrc==
10112」後再加上一個空格及「 and 」再進行一次 Expression條件選擇
2-84
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
ndash 2於 Field name框選擇「 tcpdstport」ndash 3於 Relation框選擇「 ==」ndash 4於 Value框填入「 80」ndash 5 選擇「 OK」鈕
2-85
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 注意 Propeties框內的Filter string欄位值已改變為「 ipsrc == 10112 and tcpdstport == 80」
bull 確認條件正確後點選「 OK 」鈕即可發現已擷取封包清單窗格的項目均為所設定過濾條件過濾過結果2-86
網路安全
bull 可單選單一封包進行更進階查詢封包內容bull 操作方式為
ndash 點選其中一項封包項目點選滑鼠右鍵選擇Follow TCP Stream
Wireshark操作手法 - 檢視中過濾 (續 )
2-87
網路安全
ndash 此畫面即可看出該項 TCP 封包溝通內容Wireshark操作手法 - 檢視中過濾 (續 )
2-88
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 此功能將所擷取的封包清單使用多種方式呈現封包統計資料便於使用者查詢擷取時間內何種封包數量多寡及圖型顯示bull 操作步驟點選 Statistics 下拉視窗即呈現此視窗 顯示有關擷取清單的摘要以階梯式通訊協定列表顯示所擷取的所有封包
在特定 IP間顯示通訊流量顯示單一 IP 來往封包的流量
以時間軸顯示視覺化封包流量圖2-89
網路安全
bull 可查看到一時段內其封包總數與平均每秒傳遞接收封包數等相關資訊讓使用者了解平均一時段內網路流量狀況藉以初步獲得資訊
Wireshark操作手法 - 檢視中過濾 (續 )
2-90
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 讓使用者可透過階梯式封包分類表來查看哪一類封包佔為居多可進一步推測是否該類型封包影響到整體網路或是否有異常或不常見封包類型在網路中傳遞
2-91
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 將該擷取時段內封包清單檔以兩個特定 IP 之間對傳封包為區隔顯示出哪兩個特定 IP間傳遞封包數多寡bull 可讓使用者更進一步研判兩個特定 IP所屬設備傳遞狀況是否異常
2-92
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 將該擷取時段內封包清單檔以特定IP 傳遞封包數為區隔顯示出哪特定IP 傳遞封包數多寡
bull 可讓使用者更進一步研判該特定所屬設備傳遞封包數是否異常作為管制緊急管制或禁止通訊之證明2-93
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 以時間軸顯示視覺化封包流量圖bull 讓使用者可觀察所管理設備資訊流通量以了解設備是否能負荷或作相關調整等處置
2-94
網路安全
FTP 擷取密碼案例bull 於Wireshark軟體選擇 Capture 下拉選單功能項點選 Interfaces 選項
2-95
網路安全
FTP 擷取密碼案例 (續 )
bull 確認欲擷取封包之網卡名稱如紅色底線所示確認後點選 Start鈕
2-96
網路安全
FTP 擷取密碼案例 (續 )
bull 切換至 FTP Client 電腦開啟 FileZilla 程式後連線到 FTP Server 於 Host 填入10123 Username填入 tester Password填入testpw 後點選 Quickconnect鈕
2-97
網路安全
FTP 擷取密碼案例 (續 )
bull 擷取到的封包資訊會顯示於已擷取封包清單窗格內
2-98
網路安全
FTP 擷取密碼案例 (續 )
bull 使用 FTP軟體登入 ftp站後 Wireshark 將擷取到的使用者名稱與密碼如紅框所示
2-99
網路安全
FTP 擷取密碼案例 (續 )
bull 點選已擷取封包清單窗格的密碼資訊列如標示1 的紅框所示即可在封包內容窗格看到該密碼的位元碼如標示 2 的紅框所示
1
2
2-100
網路安全
架設實作 (三 )
Outlook Express 擷取密碼案例
2-101
網路安全
實驗環境介紹bull 以 Testbed建立一實驗相關拓樸及設定如下圖
OEClientOSWindows XP SP3IP 10112執行 Outlook Express
MailServerOSWindows XP SP3IP 10122安裝軟體 ArGoSoft Mail Server
2-102
WiresharkOSWindows XP SP3IP1 10113 IP2 10123安裝軟體 Wireshark
IP1IP2
網路安全
實驗拓樸 on TestbedTWISC- 建立完成的實驗拓樸
2-103
網路安全
郵件伺服器工具 - ArGoSoft Mail Server
bull 版本ndash 1892 Freeware
bull 支援作業平台ndash Windows
bull 下載位址ndash httpwwwsoftkingcomtwsoftdownloadaspfid3=7367
2-104
網路安全
郵件客戶端工具 - Outlook Express
bull 版本ndash 60
bull 支援作業平台ndash Windows
bull 下載位址ndash Windows 內建
2-105
網路安全
bull 安裝及設定郵件伺服器ndash 1下載並執行 ArGoSoft Mail Server軟體點選
Setup鈕
Outlook Express 擷取密碼案例
2-106
網路安全
ndash 1 點選 Next鈕ndash 2 點選 Start Installation鈕
Outlook Express 擷取密碼案例 (續 )
2-107
網路安全
ndash 3 點選 OK鈕ndash 4 點選 Finish鈕完成軟體安裝
Outlook Express 擷取密碼案例 (續 )
2-108
網路安全
ndash 5 點選使用者設定鈕如紅圈所示ndash 6 點選新增鈕如紅框所示
Outlook Express 擷取密碼案例 (續 )
2-109
網路安全
ndash 7填入使用者名稱 (tester) 及密碼 (testpw) 如紅圈所示填寫完成後點選 OK鈕ndash 8 點選 Close鈕關閉使用者設定視窗
Outlook Express 擷取密碼案例 (續 )
2-110
網路安全
ndash 9 點選選項鈕如左側圖中紅色圈所示ndash 10 點選紅色打勾鈕如右側圖中紅色圈所示
2-111
Outlook Express 擷取密碼案例 (續 )
網路安全
ndash 11該軟體會自動選取 DNS Server 待選取後點選 Yes鈕ndash 12 勾選 Allow Relay 選項如紅框所示
2-112
Outlook Express 擷取密碼案例 (續 )
網路安全
Outlook Express 擷取密碼案例 (續 )
bull 設定收信帳號ndash 1 點選 Tools功能選單選擇 Accounts 選項
2-113
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 2 點選 Add鈕選擇 Mail 選項
2-114
網路安全
ndash 3填入 tester 點選 Next鈕ndash 4填入 testertestcom 點選 Next鈕
Outlook Express 擷取密碼案例 (續 )
2-115
網路安全
ndash 5填入 10123 如紅框所示點選 Next鈕ndash 6填入帳號為 tester 及密碼為 testpw 點選 Next鈕
Outlook Express 擷取密碼案例 (續 )
2-116
網路安全
ndash 7 點選 Finish鈕ndash 8 點選 Close鈕
Outlook Express 擷取密碼案例 (續 )
2-117
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 模擬條件準備好後首先準備Wireshark 擷取動作開啟Wireshark
2-118
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 於Wireshark軟體選擇 Capture 下拉選單功能項點選 Interfaces 選項
2-119
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 確認欲擷取封包之網卡名稱如紅色底線所示確認後點選 Start鈕
2-120
網路安全
ndash 當使用者收發 email 時即被 Wireshark攔截封包ndash 有發現到該 Outlook Express帳號密碼是如此清晰可見的嗎
Outlook Express 擷取密碼案例 (續 )
2-121
網路安全
結論bull 學習了 Wireshark及WinDump 兩套網路封包擷取軟體基本概念如同電話側錄概念相同從中複製一連串資訊來分析與了解網路的流量及內容為何bull 當你發現網路速度緩慢等狀況你是否會反應到所學的基本概念來找尋問題所在bull 防範概念由此課程的實例可以了解網路內容如被有心人士擷取所造成的損失相當可觀故你是否有對策有哪些方式你可以應用來防範bull 正確的思考善用對的工具將對解決問題事半功倍
2-122
網路安全 2-123
Module 2-5 封包擷取與分析的專案實作()
網路安全
專案目的bull 建立遠端管理傳遞指令資訊環境bull 利用實際攔截封包操作的方式讓同學了解封包擷取運作與網路資訊流通的顧慮等相關議題
2-124
網路安全
專案描述bull 近年來遠端管理伺服器及網路服務普及光是密碼保護就足夠了嗎是否重點網段須全程加密還是作網段隔離經由此專案實作即可了解不僅部分加密仍有其風險所在網路架構如何規劃將是非常重要的課題bull 參考環境配置圖完成下列要求①環境裡的攔截封包主機是 Windows XP SP3 作業系統而該主機安裝Wireshark軟體②另兩台主機的作業系統亦是 Windows XP SP3 並裝上
MySQL軟體 MySQL帳號為 root 密碼為您的學號 (如 Q3896105)
③在MySQLClient 電腦使用 MySQL Commandline 指令連線至MySQLServer 擷取資料庫資訊
④我們針對這兩台主機傳訊的封包擷取由整個實做中思考如何防範資訊外洩與了解傳訊封包如何流動及運作2-125
網路安全
環境配置圖bull 以 Testbed建立一實驗相關拓樸及設定如下圖
MySQLServerOSWINXP-SP3-CH-pc3000 IP 10123安裝軟體 MySQL
MySQLClientOSWINXP-SP3-CH-pc3000 IP 10112安裝軟體 MySQL
2-126
WireSharkOSWINXP-SP3-CH-pc3000 IP1 10113IP2 10122安裝軟體 Wireshark
IP1IP2
網路安全
作業繳交bull 請參考情境測試發送數個 SQL 指令並將過程與擷取到的封包資訊之截圖列於報告中所有圖表皆需要輔以文字說明bull Deadline 2012312 下午 500 以前bull 作業範圍 Module 2-5 (page 2-128)bull 方式 (參考課程網址 )
ndash 帳號密碼小寫的 (ns100ns100)ndash IP 140116164167
2-127
網路安全
有問題嗎
bull 關於 TestBed 使用上的問題請直接 Email至 twisc-testbed-usergooglegroupscom 將有專人為您服務bull 課程網址
httpitlabeenckuedutwcoursesNS_100indexhtml
2-128
bull 助教資訊 (參考課程網址 )
網路安全
參考資料bull Dienet httplinuxdienetman1wiresharkbull Orebaugh Angela Ramirez Gilbert Burke Josh Pesce Larry Wright
Joshua(2007) Wireshark and Ethereal network protocol analyzer toolkitbull Tony Fortunato(2007) Wireshark Training Retrieved July 22 2009 from
the World Wide Web httpwwwthetechfirmcometherealwiresharkpdfbull WinDump httpwwwwinpcaporgWinDumpbull Wireshark httpwwwwiresharkorgbull Wireshark University httpwwwwiresharktrainingcombull 楊中皇 (民 97年 ) 網路安全理論與實務 (2版 ) 台北市學貫bull 蘇淑茵教授 Wireshark 民國 98年 6月 28日取自 httpmywebnckuedutw~sisou
2-129
網路安全
封包與生活中物件做比較bull 如果把封包比喻成信件它們之間是有一些類似的性質
ndash 信封就相當於封包的控制訊息內容包含收件人與寄件人的地址郵遞區號及信件類型 (平信限時及掛號 )ndash 信封內的文字部分 (郵差看不到的部分 )相當於使用者資料ndash 兩者較不同的地方是信件是在郵差在路上騎機車幫我們遞送信件封包是在網路上傳輸的
2-15
網路安全
封包與生活中物件做比較 (續 )
ndash 因為一些傳輸效率上的因素封包的傳遞過程是將信件分裝成一封一封小的信件使用相同的信封寄往目的地ndash 如果從安全性的角度來看封包與信件最大的不同點在於信件內容洩露的部分如果今天信件被拆封偷看收信人可從彌封部分看出個端倪但封包資訊是相當容易被複製與修改的目地端收到此封包是很難確保封包內容沒有被惡意者所偷窺與修改過
2-16
網路安全
了解封包進階思考bull 並非所有的通訊協定都有相同的欄位資料由於採用不同的通訊協定 (TCP與 UDP) 網路封包的結構都有些許的差異但了解基礎封裝方式即可推理各種不同的通訊協定bull 在實務上想要進行網路封包分析的原因有很多故首要先了解什麼是封包定義及其運作方式後再搭配合適的網路封包擷取程式來解決實務上所遇的問題
2-17
網路安全
Module 2-2 封包結構與通訊協定 ()
2-18
網路安全
bull 目前網路使用相當多不同類型的通訊協定下圖列舉出在 OSI 協定七層中常見的通訊協定bull 網路上有許多不安全的通訊協定且大多採用明碼方式傳送經常造成資訊外洩如
HTTP TELNET及 SMTP 等故必要時須顧慮到資訊安全的議題
PPP
IPARP
UDP TCP
TelnetFTPSMTP
SLIP
HTTP
網路 OSI七層常見通訊協定類型
2-19
網路安全
封包結構與傳輸過程Application
TCP
IP
DeviceDriver
SMTPTELNETFTP
TCPUDP
ARPRARPICMP
EthernetX25PPP
TCPIP 四層 常見通訊協定User Data
App Header
Application DataTCP Header
IP Header
Frame Header
Frame Trailer
User Data
Application Data
Application Data
TCP Header
TCP Header
IP Header
TCP Segment
IP Segment
Frame
封包封裝
Socket NetBIOS
2-20
網路安全
IP 表頭
2-21
0
Precedence(3 Bits)
Delay(1 Bit)
Throughout(1Bit)
Reliability(1 Bit)
Cost(1 Bit)
Reserved(1Bit)
Type Of Service(8 Bits)
=
Reserved(1 Bit)
Donrsquot Fragment
(1 Bit)
More Fragment
(1 Bit)
Flags(3 Bits)
=
Version(4 Bits)
IHL(4 Bits)
Total Length(16 Bits)
Identification(16 Bits)
Fragment Offset(13 Bits)
Time to Live(8 Bits)
Protocal(8Bits)
Header Checksum(16 Bits)
Source Address (32 Bits)
Destination Address (32 Bits)
Options (長度不定 ) Padding (長度不定 )
32
64
96
128
160
Type of Service(8Bits)
Flags(3
Bits)
網路安全
封包 header 實例
2-22
網路安全
封包擷取的原理
A電腦網路卡
目的地A封包
目的地B封包
被丟棄
2-23
網路安全
封包擷取的原理 (續 )
bull 為了監聽到其他使用者的封包監聽者會將網路卡修改為混亂模式 (Promiscuous) 混亂模式不會對目標 MAC 位置做檢查的動作而是將所收到的所有封包做接收的動作bull 藉由混亂模式就可以在 HUB 的區域網路環境中或無線網路的環境中擷取其他人的封包訊息
2-24
網路安全
Module 2-3 封包擷取工具介紹 ()
2-25
網路安全
封包擷取工具比較bull 商業軟體
ndash 優 有廠商維護支援性較佳ndash 缺 成本較高ndash 例 NetResident與 EtherDetect
bull 免費軟體ndash 優 成本較低ndash 缺 功能與使用說明較為簡略ndash 例 Wireshark與WinDump
2-26
網路安全
封包擷取工具 - WinDump
bull 一種開放原始碼的網路軟體工具為 Windows版的 tcpdumpbull 可以分析封包的流向並且對於封包的內容也可以進行 監聽 bull WinDump運算式是一種規則運算式利用一些條件來進行訊息的過濾當訊息滿足運算式的條件則會將其資訊捕獲如果沒有給出任何條件則網路上所有的資訊包將會被擷獲bull 例 WinDump -i interface -c 10 -n port 80 -w
filename
2-27
網路安全
封包擷取工具 - Wireshark
bull 開放原始碼軟體bull 起源於 1997年 Wireshark 的前身即為 Ethereal因為商標問題而改名成 Wiresharkbull 支援通訊協定多且完整使用圖形化的介面讓操作者容易上手過濾條件切割細密讓使用者可於乙太網路撈取且經數據過濾分析後的數據流bull 可由此軟體能夠擷取網路封包並盡可能顯示出最為詳細的網路封包資料提供各方應用
2-28
網路安全
網路存取函式庫 - WinPcap
bull WinPcap 是著名 Unix libpcap的Windows版本API
bull Pcap 是用來擷取封包的應用程式介面 (Application Programming Interface API)
bull 免費直接網路存取函式庫bull 許多網路應用軟體運行均須安裝此套函式庫如WiresharkWinDump Nmap及 Snort
2-29
網路安全
WinDump與Winpcab 示意圖bull 透過 WinDump及Winpcap 工具擷取並分析封包後再將資料蒐集至電腦設備中
2-30
乙太網路Ethernet
網路工具
Windump分析封包結構
Winpcap擷取並過濾封包
封包資訊
網路安全 2-31
Module 2-4 封包擷取的實務 ()
網路安全 2-32
Linux kernel packet processing
網路安全 2-33
網路安全
說明bull 架設實作 (一 ) 請將介紹如何安裝與使用
WinDump 依實驗拓樸請使用 WireDump 主機做安裝及測試bull 架設實作 (二 ) 請利用 Wireshark軟體對 FTP 進行封包擷取依實驗拓樸請使用 Wireshark 主機做安裝及測試bull 架設實作 (三 ) 請利用 Wireshark軟體對
Outlook Express進行封包擷取依實驗拓樸請使用 Wireshark 主機做安裝及測試2-34
網路安全
架設實作 (一 )
WinDump 實作 -SSH連線觀察
2-35
網路安全
封包擷取工具 - WinDump
bull 版本ndash 395
bull 支援作業平台ndash Windows 9598NT2000XP2003
bull 其他需求ndash 安裝WinPcap 31 以上版本
bull 下載位址ndash httpwwwwinpcaporgwindumpinstallbin
windump_3_9_5WinDumpexe
2-36
網路安全
其他需求工具 - WinPcap
bull 版本ndash 402 stable
bull 支援作業平台ndash Windows NT42000
Windows XP2003Vista (x86 and x64)Windows Server 2008 (x86 and x64)
bull 下載位址ndash httpwwwwinpcaporginstallbin
WinPcap_4_0_2exe
2-37
網路安全
WinPcap 安裝步驟bull WinPcap 下載完成後即可進行安裝bull 安裝畫面如下點選 Next按鈕繼續下一步
2-38
網路安全
WinDump與WinPcap測試bull 請將下載的 WinDumpexe 檔案存放至 C
Windowssystem32 的目錄之下bull 測試WinDump及WinPcap 是否可運作
ndash 點選開始 -gt 程式集 -gt附屬應用程式 -gt命令提示字元 -gt 輸入「 windump 」按下 Enter 即會出現「 windump listening on DeviceNPF_GenericDialupAdapter」的訊息代表WinDump及WinPcap 安裝成功且可運作
ndash 停止監聽按「 Ctrl + C」將顯示擷取封包的數量
2-39
網路安全
參數 說明-c 指定收到的封包數目當達到該數目時 Tcpdump 即會停止-d 把編譯過的封包編碼轉碼成可閱讀的格式放置於標準輸出-dd 把編譯過的封包編碼轉碼成 C 語言的格式放置於標準輸出-ddd 把編譯過的封包編碼轉碼成十進位的格式放置於標準輸出-F 從所指定的文件中讀取運算式進而忽略其他運算式-f 用數字顯示 IP 位址 -i 指定擷取封包的網路介面 -w 將擷取的封包直接寫入檔案當中不做分析與顯示於畫面
參數 說明-r 從指定的檔案文件中讀取資料該檔案文件由 -w 所製造出來-v 顯示詳細的封包資訊多了 TTL 及服務類型-s 設定每一個封包的大小-S 用絕對數並非相對數的值列出 TCP 連接數-tt 顯示出原始時間並且為不格式化的時間-n 不進行 IP Address 到 Domain
Name 的轉換-nn 不進行 Port 的轉換如 22 就是
ssh
-x 用十六進位字碼列出封包資料
WinDump相關參數列表
2-40
網路安全
WinDump 簡易使用操作說明bull 語法 windump 參數bull 查看目前系統可使用的網卡介面
ndash windump -Dbull 透過查看網卡介面以利後續監聽之用
2-41
網路安全
WinDump 簡易使用操作說明 (續 )
bull WinDump -i 網卡介面代號 -c 擷取封包數量 port 通訊埠
bull 例 WinDump -i 2 -c 10 port 80
2-42
網路安全
WinDump 簡易使用操作說明 (續 )
bull 因於命令提示字元視窗內所顯示的資訊不易閱讀可透過下列指令將其所擷取的資訊導向至檔案bull Windump -i 網卡介面代號 gt 檔名
ndash windump -i 2 -c 10 -w message port 80ndash windump -r message gt messagetxtndash windump -i 2 -c 10 port 80 gt messagetxt
2-43
網路安全
WinDump 簡易使用操作說明 (續 )
112338326205 此為封包被擷取的時間『 HHMMSSfraction』的單位IP 透過的通訊協定是 IPwinser 1099 gt w1wwwviptw1yahoocomtw80 代表的是傳送端是 winser 傳送的通訊埠為 1099 大於 (gt) 的符號指的是封包的傳輸方向 w1wwwviptw1yahoocomtw 為接收端 80 為接收埠
P(PUSH) 為資料傳輸標誌且傳輸的資料為整體資料的 1~ 699 byte 所以這個封包帶有 698 bytes 的資料量 ack 1 win 65535 ACK與Window size 的相關資料2-44
網路安全
bull 以 Testbed建立一實驗相關拓樸及設定如下圖SSHClientOSWINXP-SP3-CH-pc3000 IP 10113安裝軟體 putty
SSHServerOSWINXP-SP3-CH-pc3000IP 10123安裝軟體 sshd
實驗環境介紹
2-45
IP1
IP2
WireDumpOSWINXP-SP3-CH-pc3000IP1 10112IP2 10122安裝軟體 WinDump
網路安全
實驗拓樸 on TestbedTWISC- 建立完成的實驗拓樸
2-46
網路安全
SSH連線觀察bull 利用 Putty連線到 SSHServer從中觀察到三向交握建立連線的動作從 SSHClient 端利用 putty連線到SSHServer(10123)的 sshd服務
2-47
網路安全
SSH連線觀察 (續 )
bull SSH 在連線之前會利用三向交握的方式建立連線bull 利用 WinDump觀察 SSH連線動作
ndash 指令 WinDumpexe -N -S -i 4 port 22
三向交握的三個封包三向交握示意圖Server lt- Client SYN 你想連線Server -gt Client SYN ACK 可以我接受Server lt- Client ACK 謝謝
2-48
網路安全
架設實作 (二 )
FTP 擷取密碼案例
2-49
網路安全
FTPClientOSWINXP-SP3-pc3000IP 10112安裝軟體 FileZilla
FTPServerOSWINXP-SP3-pc3000IP 10123安裝軟體 RaidenFTPD
實驗環境介紹bull 以 Testbed建立一實驗相關拓樸及設定如下圖
2-50
IP1IP2
WireSharkOSWINXP-SP3-pc3000IP1 10113IP2 10122安裝軟體 Wireshark
網路安全
實驗拓樸 on TestbedTWISC- 建立完成的實驗拓樸
2-51
網路安全
FTP伺服器工具 - RaidenFTPD
bull 版本ndash 24 build 3720
bull 支援作業平台ndash Windows
bull 下載位址ndash httpwwwraidenmaildcomdownloadraidenftpd2exe
2-52
網路安全
RaidenFTPD 安裝步驟bull 下載Windows平台最新版本檔案下載完成後執行該安裝程式
2-53
網路安全
RaidenFTPD 安裝步驟 (續 )
bull 此步驟使用預設路徑即可按下 Install 進行安裝
2-54
網路安全
RaidenFTPD設定步驟bull 程式開啟畫面如下選擇 Click here to start a new
server 進行 FTP伺服器設定
2-55
網路安全
RaidenFTPD設定步驟 (續 )
bull 此處可設定 Server name與 Server IP 將 Auto IP 取消勾選並將 Server IP設為 10123
2-56
網路安全
RaidenFTPD設定步驟 (續 )
bull 接下來的步驟依照預設值即可
2-57
網路安全
RaidenFTPD設定步驟 (續 )
bull 設定人員帳號與群組按下 Add鈕輸入帳號密碼群組名稱可略過完成後按下 Next 進行下一步驟
2-58
網路安全
RaidenFTPD設定步驟 (續 )
bull 此步驟設定該帳號登入 FTP 時的權限選擇NORMAL 按下 Next 進行下一步驟
2-59
網路安全
RaidenFTPD設定步驟 (續 )
bull 接下來的步驟皆以預設值即可完成設定之後會出現對話視窗顯示您所設定的資訊
2-60
網路安全
FTP 用戶端工具 - Filezilla
bull 版本ndash 328
bull 支援作業平台ndash Windows Linux及Mac
bull 下載位址ndash httpsourceforgenetprojectsfilezillafiles
FileZilla_Client328FileZilla_328_win32zipdownload
2-61
網路安全
Filezilla 安裝步驟bull 執行 Filezilla 安裝程式點選 I agree 鈕
2-62
網路安全
Filezilla 安裝步驟 (續 )
bull 以預設值安裝點選兩次 Next 鈕
2-63
網路安全
Filezilla 安裝步驟 (續 )
bull 以預設值安裝點選 Next 鈕後再點選 Install 鈕
2-64
網路安全
Filezilla 安裝步驟 (續 )
bull 以預設值安裝點選 Next 鈕後再點選 Finish 鈕
2-65
網路安全
封包擷取工具 - Wireshark
bull 版本ndash 165
bull 支援作業平台ndash Windows Linux及 FreeBSD
bull 其他需求ndash 安裝WinPcap 31 以上版本
bull 下載位址ndash httpwiresharkdownloadsriverbedcomwireshark
win32wireshark-win32-165exe
2-66
網路安全
Wireshark 安裝步驟bull 至官方網站下載Windows平台最新版本檔案下載完成後執行該安裝程式
2-67
網路安全
Wireshark 安裝步驟 (續 )
bull 於下一步出現的版權宣告點選 I Agree鈕後繼續下一步驟
2-68
網路安全
Wireshark 安裝步驟 (續 )
bull 此步驟選擇欲安裝的元件以軟體預設勾選之項目安裝
2-69
網路安全
Wireshark 安裝步驟 (續 )
bull 此步驟使用預設路徑即可
2-70
網路安全
Wireshark 安裝步驟 (續 )
bull 此步驟將安裝Windows平台須加裝之套件 -WinPcap 若原系統未安裝過 WinPcap套件請以軟體預設項目安裝之
2-71
網路安全
Wireshark 安裝步驟 (續 )
bull 此步驟代表 Wireshark軟體已安裝完成可點選Finish 鈕或勾選 Run Wireshark 165 隨即使用該套軟體
2-72
網路安全
一般工具列Wireshark軟體介面介紹
2-73
篩選工具列封包清單窗格
封包內容窗格封包位元組窗格
網路安全
Wireshark 使用思考方向bull 遇到網路問題是否觀察網路通道中有異常動作或狀況
ndash 思考方向ndash 反應到擷取數據方法那麼以 Wireshark 擷取使用者需要擷取哪些數據這些數據由使用者電腦哪個裝置來擷取
bull Wireshark操作流程
bull 接下來我們進行軟體操作介紹
解決問題 擷取數據要先做什麼
擷取數據 擷取哪些數據( 過濾條件 )數據哪裡來( 網路介面卡 )
2-74
網路安全
數據哪裡來 - Capture功能bull 一開啟方式
ndash 1 點選快速鈕如紅色圈所示ndash 2 點選 Capture功能表 下拉選單後點選 Optionsndash 3鍵盤快速鍵 Ctrl + K
2-75
網路安全
數據哪裡來 - Capture功能 (續 )
bull 二開啟後顯示 Capture Options 的視窗畫面即可看到所提供的擷取功能選項
2-76
網路安全
數據哪裡來 - Capture功能 (續 )
bull Capture Options 常用的欄位設定ndash Caputure 框
bull 1Interface 會顯示出在系統上所有網路卡但只能選取一個介面作為封包擷取bull 2Capture packets in promiscuous mode 選取此選項就是經過所選取的網路卡的所有封包都會被擷取下來bull 3Capture Filter 指定擷取過濾器運算式擷取想要的特定封包即為擷取中過濾之功能
2-77
網路安全
數據哪裡來 - Capture功能 (續 )
bull Capture Options 常用的欄位設定ndash Display Options 框
bull Update list of packets in real time 指定在擷取封包過程中能夠即時更新已擷取封包清單窗格視窗中的封包資訊若取消則軟體主視窗更新畫面是沒有動作的
2-78
網路安全
bull Capture Options 常用的欄位設定ndash Name Resolution框
bull 1 Enable MAC name resolution 指定是否將網路卡MAC address 的前三個位元組轉換成製造商名稱
bull 2 Enable network name resolution 指定是否將 IP address轉換成 DNS 網域名稱
bull 3 Enable transport name resolution 指定是否將通信埠號碼 (port numbers)轉成協定名稱 (protocols)bull 各位了解數據從哪裡擷取的概念與操作之後即可以進一步加上附帶條件 (篩選條件 ) 等相關操作方式
數據哪裡來 - Capture功能 (續 )
2-79
網路安全
Wireshark操作手法bull 延續遇到問題的思考方向及軟體操作手法我們可以將操作流程分為兩種
ndash 擷取中過濾 (Filter while capturing)bull 優點僅擷取已知範圍資訊網路流量少bull 缺點需先了解問題類型避免可能有遺漏真正欲擷取資訊之狀況
ndash 檢視中過濾 (Filter packets while viewing)bull 優點不用先預設條件擷取所有封包資訊bull 缺點影響網路流量
先預設欲擷取條件 擷取數據
擷取數據 再篩選欲查詢數據2-80
網路安全
Wireshark操作手法 - 擷取中過濾bull 操作步驟
ndash 點選 Capture 下拉視窗選擇 Capture Filters 即呈現此視窗
bull 操作範例ndash 1於 Filter窗格中選擇 IP
Address 10112ndash 2於 Properties窗格中即顯示該選項的設定值如圖所示為 host 10112ndash 3 即可設定軟體僅針對
10112 的封包作擷取動作 延伸操作思考1 改變 Filter string 值得到什麼結果2 點選 Edit 窗格中的 New 鈕 新增自訂條件 2-81
網路安全
Wireshark操作手法 - 檢視中過濾bull 此步驟即以已擷取封包清單窗格為基礎以過濾條件過濾該清單bull 可直接選擇軟體預設項目如以下操作
ndash 操作步驟bull 點選 Analyze 下拉視窗選擇
Display Filters 即呈現此視窗ndash 操作範例
bull 1於 Filter窗格中選擇 IP Address 10112
bull 2於 Properties窗格中即顯示該選項的設定值如圖所示值為host 10112
bull 3 即可設定軟體僅針對 10112的封包作顯示動作 延伸操作思考1 可否進行進一步自訂設定值
2-82
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 若電腦 IP為 10112 欲篩選出 IP 來源為上述 IP 且協定為 TCP 80port 的所有封包ndash 操作步驟
bull 點選 Expression鈕即出現此視窗ndash 1於 Field name框選擇
IP項目中的 ipsrc - Source
ndash 2於 Relation框選擇 ==ndash 3於 Value [IPV4
address]填 入 10112ndash 4 點選 OK鈕 進階思考方式須考慮到例如是來源資訊是目標資訊是什麼協定等更細部所要之條件
2-83
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 再進行第二篩選條件ndash TCP 80 port
bull 操作步驟ndash 1先於 Filter string 輸入文字框「 ipsrc==
10112」後再加上一個空格及「 and 」再進行一次 Expression條件選擇
2-84
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
ndash 2於 Field name框選擇「 tcpdstport」ndash 3於 Relation框選擇「 ==」ndash 4於 Value框填入「 80」ndash 5 選擇「 OK」鈕
2-85
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 注意 Propeties框內的Filter string欄位值已改變為「 ipsrc == 10112 and tcpdstport == 80」
bull 確認條件正確後點選「 OK 」鈕即可發現已擷取封包清單窗格的項目均為所設定過濾條件過濾過結果2-86
網路安全
bull 可單選單一封包進行更進階查詢封包內容bull 操作方式為
ndash 點選其中一項封包項目點選滑鼠右鍵選擇Follow TCP Stream
Wireshark操作手法 - 檢視中過濾 (續 )
2-87
網路安全
ndash 此畫面即可看出該項 TCP 封包溝通內容Wireshark操作手法 - 檢視中過濾 (續 )
2-88
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 此功能將所擷取的封包清單使用多種方式呈現封包統計資料便於使用者查詢擷取時間內何種封包數量多寡及圖型顯示bull 操作步驟點選 Statistics 下拉視窗即呈現此視窗 顯示有關擷取清單的摘要以階梯式通訊協定列表顯示所擷取的所有封包
在特定 IP間顯示通訊流量顯示單一 IP 來往封包的流量
以時間軸顯示視覺化封包流量圖2-89
網路安全
bull 可查看到一時段內其封包總數與平均每秒傳遞接收封包數等相關資訊讓使用者了解平均一時段內網路流量狀況藉以初步獲得資訊
Wireshark操作手法 - 檢視中過濾 (續 )
2-90
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 讓使用者可透過階梯式封包分類表來查看哪一類封包佔為居多可進一步推測是否該類型封包影響到整體網路或是否有異常或不常見封包類型在網路中傳遞
2-91
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 將該擷取時段內封包清單檔以兩個特定 IP 之間對傳封包為區隔顯示出哪兩個特定 IP間傳遞封包數多寡bull 可讓使用者更進一步研判兩個特定 IP所屬設備傳遞狀況是否異常
2-92
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 將該擷取時段內封包清單檔以特定IP 傳遞封包數為區隔顯示出哪特定IP 傳遞封包數多寡
bull 可讓使用者更進一步研判該特定所屬設備傳遞封包數是否異常作為管制緊急管制或禁止通訊之證明2-93
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 以時間軸顯示視覺化封包流量圖bull 讓使用者可觀察所管理設備資訊流通量以了解設備是否能負荷或作相關調整等處置
2-94
網路安全
FTP 擷取密碼案例bull 於Wireshark軟體選擇 Capture 下拉選單功能項點選 Interfaces 選項
2-95
網路安全
FTP 擷取密碼案例 (續 )
bull 確認欲擷取封包之網卡名稱如紅色底線所示確認後點選 Start鈕
2-96
網路安全
FTP 擷取密碼案例 (續 )
bull 切換至 FTP Client 電腦開啟 FileZilla 程式後連線到 FTP Server 於 Host 填入10123 Username填入 tester Password填入testpw 後點選 Quickconnect鈕
2-97
網路安全
FTP 擷取密碼案例 (續 )
bull 擷取到的封包資訊會顯示於已擷取封包清單窗格內
2-98
網路安全
FTP 擷取密碼案例 (續 )
bull 使用 FTP軟體登入 ftp站後 Wireshark 將擷取到的使用者名稱與密碼如紅框所示
2-99
網路安全
FTP 擷取密碼案例 (續 )
bull 點選已擷取封包清單窗格的密碼資訊列如標示1 的紅框所示即可在封包內容窗格看到該密碼的位元碼如標示 2 的紅框所示
1
2
2-100
網路安全
架設實作 (三 )
Outlook Express 擷取密碼案例
2-101
網路安全
實驗環境介紹bull 以 Testbed建立一實驗相關拓樸及設定如下圖
OEClientOSWindows XP SP3IP 10112執行 Outlook Express
MailServerOSWindows XP SP3IP 10122安裝軟體 ArGoSoft Mail Server
2-102
WiresharkOSWindows XP SP3IP1 10113 IP2 10123安裝軟體 Wireshark
IP1IP2
網路安全
實驗拓樸 on TestbedTWISC- 建立完成的實驗拓樸
2-103
網路安全
郵件伺服器工具 - ArGoSoft Mail Server
bull 版本ndash 1892 Freeware
bull 支援作業平台ndash Windows
bull 下載位址ndash httpwwwsoftkingcomtwsoftdownloadaspfid3=7367
2-104
網路安全
郵件客戶端工具 - Outlook Express
bull 版本ndash 60
bull 支援作業平台ndash Windows
bull 下載位址ndash Windows 內建
2-105
網路安全
bull 安裝及設定郵件伺服器ndash 1下載並執行 ArGoSoft Mail Server軟體點選
Setup鈕
Outlook Express 擷取密碼案例
2-106
網路安全
ndash 1 點選 Next鈕ndash 2 點選 Start Installation鈕
Outlook Express 擷取密碼案例 (續 )
2-107
網路安全
ndash 3 點選 OK鈕ndash 4 點選 Finish鈕完成軟體安裝
Outlook Express 擷取密碼案例 (續 )
2-108
網路安全
ndash 5 點選使用者設定鈕如紅圈所示ndash 6 點選新增鈕如紅框所示
Outlook Express 擷取密碼案例 (續 )
2-109
網路安全
ndash 7填入使用者名稱 (tester) 及密碼 (testpw) 如紅圈所示填寫完成後點選 OK鈕ndash 8 點選 Close鈕關閉使用者設定視窗
Outlook Express 擷取密碼案例 (續 )
2-110
網路安全
ndash 9 點選選項鈕如左側圖中紅色圈所示ndash 10 點選紅色打勾鈕如右側圖中紅色圈所示
2-111
Outlook Express 擷取密碼案例 (續 )
網路安全
ndash 11該軟體會自動選取 DNS Server 待選取後點選 Yes鈕ndash 12 勾選 Allow Relay 選項如紅框所示
2-112
Outlook Express 擷取密碼案例 (續 )
網路安全
Outlook Express 擷取密碼案例 (續 )
bull 設定收信帳號ndash 1 點選 Tools功能選單選擇 Accounts 選項
2-113
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 2 點選 Add鈕選擇 Mail 選項
2-114
網路安全
ndash 3填入 tester 點選 Next鈕ndash 4填入 testertestcom 點選 Next鈕
Outlook Express 擷取密碼案例 (續 )
2-115
網路安全
ndash 5填入 10123 如紅框所示點選 Next鈕ndash 6填入帳號為 tester 及密碼為 testpw 點選 Next鈕
Outlook Express 擷取密碼案例 (續 )
2-116
網路安全
ndash 7 點選 Finish鈕ndash 8 點選 Close鈕
Outlook Express 擷取密碼案例 (續 )
2-117
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 模擬條件準備好後首先準備Wireshark 擷取動作開啟Wireshark
2-118
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 於Wireshark軟體選擇 Capture 下拉選單功能項點選 Interfaces 選項
2-119
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 確認欲擷取封包之網卡名稱如紅色底線所示確認後點選 Start鈕
2-120
網路安全
ndash 當使用者收發 email 時即被 Wireshark攔截封包ndash 有發現到該 Outlook Express帳號密碼是如此清晰可見的嗎
Outlook Express 擷取密碼案例 (續 )
2-121
網路安全
結論bull 學習了 Wireshark及WinDump 兩套網路封包擷取軟體基本概念如同電話側錄概念相同從中複製一連串資訊來分析與了解網路的流量及內容為何bull 當你發現網路速度緩慢等狀況你是否會反應到所學的基本概念來找尋問題所在bull 防範概念由此課程的實例可以了解網路內容如被有心人士擷取所造成的損失相當可觀故你是否有對策有哪些方式你可以應用來防範bull 正確的思考善用對的工具將對解決問題事半功倍
2-122
網路安全 2-123
Module 2-5 封包擷取與分析的專案實作()
網路安全
專案目的bull 建立遠端管理傳遞指令資訊環境bull 利用實際攔截封包操作的方式讓同學了解封包擷取運作與網路資訊流通的顧慮等相關議題
2-124
網路安全
專案描述bull 近年來遠端管理伺服器及網路服務普及光是密碼保護就足夠了嗎是否重點網段須全程加密還是作網段隔離經由此專案實作即可了解不僅部分加密仍有其風險所在網路架構如何規劃將是非常重要的課題bull 參考環境配置圖完成下列要求①環境裡的攔截封包主機是 Windows XP SP3 作業系統而該主機安裝Wireshark軟體②另兩台主機的作業系統亦是 Windows XP SP3 並裝上
MySQL軟體 MySQL帳號為 root 密碼為您的學號 (如 Q3896105)
③在MySQLClient 電腦使用 MySQL Commandline 指令連線至MySQLServer 擷取資料庫資訊
④我們針對這兩台主機傳訊的封包擷取由整個實做中思考如何防範資訊外洩與了解傳訊封包如何流動及運作2-125
網路安全
環境配置圖bull 以 Testbed建立一實驗相關拓樸及設定如下圖
MySQLServerOSWINXP-SP3-CH-pc3000 IP 10123安裝軟體 MySQL
MySQLClientOSWINXP-SP3-CH-pc3000 IP 10112安裝軟體 MySQL
2-126
WireSharkOSWINXP-SP3-CH-pc3000 IP1 10113IP2 10122安裝軟體 Wireshark
IP1IP2
網路安全
作業繳交bull 請參考情境測試發送數個 SQL 指令並將過程與擷取到的封包資訊之截圖列於報告中所有圖表皆需要輔以文字說明bull Deadline 2012312 下午 500 以前bull 作業範圍 Module 2-5 (page 2-128)bull 方式 (參考課程網址 )
ndash 帳號密碼小寫的 (ns100ns100)ndash IP 140116164167
2-127
網路安全
有問題嗎
bull 關於 TestBed 使用上的問題請直接 Email至 twisc-testbed-usergooglegroupscom 將有專人為您服務bull 課程網址
httpitlabeenckuedutwcoursesNS_100indexhtml
2-128
bull 助教資訊 (參考課程網址 )
網路安全
參考資料bull Dienet httplinuxdienetman1wiresharkbull Orebaugh Angela Ramirez Gilbert Burke Josh Pesce Larry Wright
Joshua(2007) Wireshark and Ethereal network protocol analyzer toolkitbull Tony Fortunato(2007) Wireshark Training Retrieved July 22 2009 from
the World Wide Web httpwwwthetechfirmcometherealwiresharkpdfbull WinDump httpwwwwinpcaporgWinDumpbull Wireshark httpwwwwiresharkorgbull Wireshark University httpwwwwiresharktrainingcombull 楊中皇 (民 97年 ) 網路安全理論與實務 (2版 ) 台北市學貫bull 蘇淑茵教授 Wireshark 民國 98年 6月 28日取自 httpmywebnckuedutw~sisou
2-129
網路安全
封包與生活中物件做比較 (續 )
ndash 因為一些傳輸效率上的因素封包的傳遞過程是將信件分裝成一封一封小的信件使用相同的信封寄往目的地ndash 如果從安全性的角度來看封包與信件最大的不同點在於信件內容洩露的部分如果今天信件被拆封偷看收信人可從彌封部分看出個端倪但封包資訊是相當容易被複製與修改的目地端收到此封包是很難確保封包內容沒有被惡意者所偷窺與修改過
2-16
網路安全
了解封包進階思考bull 並非所有的通訊協定都有相同的欄位資料由於採用不同的通訊協定 (TCP與 UDP) 網路封包的結構都有些許的差異但了解基礎封裝方式即可推理各種不同的通訊協定bull 在實務上想要進行網路封包分析的原因有很多故首要先了解什麼是封包定義及其運作方式後再搭配合適的網路封包擷取程式來解決實務上所遇的問題
2-17
網路安全
Module 2-2 封包結構與通訊協定 ()
2-18
網路安全
bull 目前網路使用相當多不同類型的通訊協定下圖列舉出在 OSI 協定七層中常見的通訊協定bull 網路上有許多不安全的通訊協定且大多採用明碼方式傳送經常造成資訊外洩如
HTTP TELNET及 SMTP 等故必要時須顧慮到資訊安全的議題
PPP
IPARP
UDP TCP
TelnetFTPSMTP
SLIP
HTTP
網路 OSI七層常見通訊協定類型
2-19
網路安全
封包結構與傳輸過程Application
TCP
IP
DeviceDriver
SMTPTELNETFTP
TCPUDP
ARPRARPICMP
EthernetX25PPP
TCPIP 四層 常見通訊協定User Data
App Header
Application DataTCP Header
IP Header
Frame Header
Frame Trailer
User Data
Application Data
Application Data
TCP Header
TCP Header
IP Header
TCP Segment
IP Segment
Frame
封包封裝
Socket NetBIOS
2-20
網路安全
IP 表頭
2-21
0
Precedence(3 Bits)
Delay(1 Bit)
Throughout(1Bit)
Reliability(1 Bit)
Cost(1 Bit)
Reserved(1Bit)
Type Of Service(8 Bits)
=
Reserved(1 Bit)
Donrsquot Fragment
(1 Bit)
More Fragment
(1 Bit)
Flags(3 Bits)
=
Version(4 Bits)
IHL(4 Bits)
Total Length(16 Bits)
Identification(16 Bits)
Fragment Offset(13 Bits)
Time to Live(8 Bits)
Protocal(8Bits)
Header Checksum(16 Bits)
Source Address (32 Bits)
Destination Address (32 Bits)
Options (長度不定 ) Padding (長度不定 )
32
64
96
128
160
Type of Service(8Bits)
Flags(3
Bits)
網路安全
封包 header 實例
2-22
網路安全
封包擷取的原理
A電腦網路卡
目的地A封包
目的地B封包
被丟棄
2-23
網路安全
封包擷取的原理 (續 )
bull 為了監聽到其他使用者的封包監聽者會將網路卡修改為混亂模式 (Promiscuous) 混亂模式不會對目標 MAC 位置做檢查的動作而是將所收到的所有封包做接收的動作bull 藉由混亂模式就可以在 HUB 的區域網路環境中或無線網路的環境中擷取其他人的封包訊息
2-24
網路安全
Module 2-3 封包擷取工具介紹 ()
2-25
網路安全
封包擷取工具比較bull 商業軟體
ndash 優 有廠商維護支援性較佳ndash 缺 成本較高ndash 例 NetResident與 EtherDetect
bull 免費軟體ndash 優 成本較低ndash 缺 功能與使用說明較為簡略ndash 例 Wireshark與WinDump
2-26
網路安全
封包擷取工具 - WinDump
bull 一種開放原始碼的網路軟體工具為 Windows版的 tcpdumpbull 可以分析封包的流向並且對於封包的內容也可以進行 監聽 bull WinDump運算式是一種規則運算式利用一些條件來進行訊息的過濾當訊息滿足運算式的條件則會將其資訊捕獲如果沒有給出任何條件則網路上所有的資訊包將會被擷獲bull 例 WinDump -i interface -c 10 -n port 80 -w
filename
2-27
網路安全
封包擷取工具 - Wireshark
bull 開放原始碼軟體bull 起源於 1997年 Wireshark 的前身即為 Ethereal因為商標問題而改名成 Wiresharkbull 支援通訊協定多且完整使用圖形化的介面讓操作者容易上手過濾條件切割細密讓使用者可於乙太網路撈取且經數據過濾分析後的數據流bull 可由此軟體能夠擷取網路封包並盡可能顯示出最為詳細的網路封包資料提供各方應用
2-28
網路安全
網路存取函式庫 - WinPcap
bull WinPcap 是著名 Unix libpcap的Windows版本API
bull Pcap 是用來擷取封包的應用程式介面 (Application Programming Interface API)
bull 免費直接網路存取函式庫bull 許多網路應用軟體運行均須安裝此套函式庫如WiresharkWinDump Nmap及 Snort
2-29
網路安全
WinDump與Winpcab 示意圖bull 透過 WinDump及Winpcap 工具擷取並分析封包後再將資料蒐集至電腦設備中
2-30
乙太網路Ethernet
網路工具
Windump分析封包結構
Winpcap擷取並過濾封包
封包資訊
網路安全 2-31
Module 2-4 封包擷取的實務 ()
網路安全 2-32
Linux kernel packet processing
網路安全 2-33
網路安全
說明bull 架設實作 (一 ) 請將介紹如何安裝與使用
WinDump 依實驗拓樸請使用 WireDump 主機做安裝及測試bull 架設實作 (二 ) 請利用 Wireshark軟體對 FTP 進行封包擷取依實驗拓樸請使用 Wireshark 主機做安裝及測試bull 架設實作 (三 ) 請利用 Wireshark軟體對
Outlook Express進行封包擷取依實驗拓樸請使用 Wireshark 主機做安裝及測試2-34
網路安全
架設實作 (一 )
WinDump 實作 -SSH連線觀察
2-35
網路安全
封包擷取工具 - WinDump
bull 版本ndash 395
bull 支援作業平台ndash Windows 9598NT2000XP2003
bull 其他需求ndash 安裝WinPcap 31 以上版本
bull 下載位址ndash httpwwwwinpcaporgwindumpinstallbin
windump_3_9_5WinDumpexe
2-36
網路安全
其他需求工具 - WinPcap
bull 版本ndash 402 stable
bull 支援作業平台ndash Windows NT42000
Windows XP2003Vista (x86 and x64)Windows Server 2008 (x86 and x64)
bull 下載位址ndash httpwwwwinpcaporginstallbin
WinPcap_4_0_2exe
2-37
網路安全
WinPcap 安裝步驟bull WinPcap 下載完成後即可進行安裝bull 安裝畫面如下點選 Next按鈕繼續下一步
2-38
網路安全
WinDump與WinPcap測試bull 請將下載的 WinDumpexe 檔案存放至 C
Windowssystem32 的目錄之下bull 測試WinDump及WinPcap 是否可運作
ndash 點選開始 -gt 程式集 -gt附屬應用程式 -gt命令提示字元 -gt 輸入「 windump 」按下 Enter 即會出現「 windump listening on DeviceNPF_GenericDialupAdapter」的訊息代表WinDump及WinPcap 安裝成功且可運作
ndash 停止監聽按「 Ctrl + C」將顯示擷取封包的數量
2-39
網路安全
參數 說明-c 指定收到的封包數目當達到該數目時 Tcpdump 即會停止-d 把編譯過的封包編碼轉碼成可閱讀的格式放置於標準輸出-dd 把編譯過的封包編碼轉碼成 C 語言的格式放置於標準輸出-ddd 把編譯過的封包編碼轉碼成十進位的格式放置於標準輸出-F 從所指定的文件中讀取運算式進而忽略其他運算式-f 用數字顯示 IP 位址 -i 指定擷取封包的網路介面 -w 將擷取的封包直接寫入檔案當中不做分析與顯示於畫面
參數 說明-r 從指定的檔案文件中讀取資料該檔案文件由 -w 所製造出來-v 顯示詳細的封包資訊多了 TTL 及服務類型-s 設定每一個封包的大小-S 用絕對數並非相對數的值列出 TCP 連接數-tt 顯示出原始時間並且為不格式化的時間-n 不進行 IP Address 到 Domain
Name 的轉換-nn 不進行 Port 的轉換如 22 就是
ssh
-x 用十六進位字碼列出封包資料
WinDump相關參數列表
2-40
網路安全
WinDump 簡易使用操作說明bull 語法 windump 參數bull 查看目前系統可使用的網卡介面
ndash windump -Dbull 透過查看網卡介面以利後續監聽之用
2-41
網路安全
WinDump 簡易使用操作說明 (續 )
bull WinDump -i 網卡介面代號 -c 擷取封包數量 port 通訊埠
bull 例 WinDump -i 2 -c 10 port 80
2-42
網路安全
WinDump 簡易使用操作說明 (續 )
bull 因於命令提示字元視窗內所顯示的資訊不易閱讀可透過下列指令將其所擷取的資訊導向至檔案bull Windump -i 網卡介面代號 gt 檔名
ndash windump -i 2 -c 10 -w message port 80ndash windump -r message gt messagetxtndash windump -i 2 -c 10 port 80 gt messagetxt
2-43
網路安全
WinDump 簡易使用操作說明 (續 )
112338326205 此為封包被擷取的時間『 HHMMSSfraction』的單位IP 透過的通訊協定是 IPwinser 1099 gt w1wwwviptw1yahoocomtw80 代表的是傳送端是 winser 傳送的通訊埠為 1099 大於 (gt) 的符號指的是封包的傳輸方向 w1wwwviptw1yahoocomtw 為接收端 80 為接收埠
P(PUSH) 為資料傳輸標誌且傳輸的資料為整體資料的 1~ 699 byte 所以這個封包帶有 698 bytes 的資料量 ack 1 win 65535 ACK與Window size 的相關資料2-44
網路安全
bull 以 Testbed建立一實驗相關拓樸及設定如下圖SSHClientOSWINXP-SP3-CH-pc3000 IP 10113安裝軟體 putty
SSHServerOSWINXP-SP3-CH-pc3000IP 10123安裝軟體 sshd
實驗環境介紹
2-45
IP1
IP2
WireDumpOSWINXP-SP3-CH-pc3000IP1 10112IP2 10122安裝軟體 WinDump
網路安全
實驗拓樸 on TestbedTWISC- 建立完成的實驗拓樸
2-46
網路安全
SSH連線觀察bull 利用 Putty連線到 SSHServer從中觀察到三向交握建立連線的動作從 SSHClient 端利用 putty連線到SSHServer(10123)的 sshd服務
2-47
網路安全
SSH連線觀察 (續 )
bull SSH 在連線之前會利用三向交握的方式建立連線bull 利用 WinDump觀察 SSH連線動作
ndash 指令 WinDumpexe -N -S -i 4 port 22
三向交握的三個封包三向交握示意圖Server lt- Client SYN 你想連線Server -gt Client SYN ACK 可以我接受Server lt- Client ACK 謝謝
2-48
網路安全
架設實作 (二 )
FTP 擷取密碼案例
2-49
網路安全
FTPClientOSWINXP-SP3-pc3000IP 10112安裝軟體 FileZilla
FTPServerOSWINXP-SP3-pc3000IP 10123安裝軟體 RaidenFTPD
實驗環境介紹bull 以 Testbed建立一實驗相關拓樸及設定如下圖
2-50
IP1IP2
WireSharkOSWINXP-SP3-pc3000IP1 10113IP2 10122安裝軟體 Wireshark
網路安全
實驗拓樸 on TestbedTWISC- 建立完成的實驗拓樸
2-51
網路安全
FTP伺服器工具 - RaidenFTPD
bull 版本ndash 24 build 3720
bull 支援作業平台ndash Windows
bull 下載位址ndash httpwwwraidenmaildcomdownloadraidenftpd2exe
2-52
網路安全
RaidenFTPD 安裝步驟bull 下載Windows平台最新版本檔案下載完成後執行該安裝程式
2-53
網路安全
RaidenFTPD 安裝步驟 (續 )
bull 此步驟使用預設路徑即可按下 Install 進行安裝
2-54
網路安全
RaidenFTPD設定步驟bull 程式開啟畫面如下選擇 Click here to start a new
server 進行 FTP伺服器設定
2-55
網路安全
RaidenFTPD設定步驟 (續 )
bull 此處可設定 Server name與 Server IP 將 Auto IP 取消勾選並將 Server IP設為 10123
2-56
網路安全
RaidenFTPD設定步驟 (續 )
bull 接下來的步驟依照預設值即可
2-57
網路安全
RaidenFTPD設定步驟 (續 )
bull 設定人員帳號與群組按下 Add鈕輸入帳號密碼群組名稱可略過完成後按下 Next 進行下一步驟
2-58
網路安全
RaidenFTPD設定步驟 (續 )
bull 此步驟設定該帳號登入 FTP 時的權限選擇NORMAL 按下 Next 進行下一步驟
2-59
網路安全
RaidenFTPD設定步驟 (續 )
bull 接下來的步驟皆以預設值即可完成設定之後會出現對話視窗顯示您所設定的資訊
2-60
網路安全
FTP 用戶端工具 - Filezilla
bull 版本ndash 328
bull 支援作業平台ndash Windows Linux及Mac
bull 下載位址ndash httpsourceforgenetprojectsfilezillafiles
FileZilla_Client328FileZilla_328_win32zipdownload
2-61
網路安全
Filezilla 安裝步驟bull 執行 Filezilla 安裝程式點選 I agree 鈕
2-62
網路安全
Filezilla 安裝步驟 (續 )
bull 以預設值安裝點選兩次 Next 鈕
2-63
網路安全
Filezilla 安裝步驟 (續 )
bull 以預設值安裝點選 Next 鈕後再點選 Install 鈕
2-64
網路安全
Filezilla 安裝步驟 (續 )
bull 以預設值安裝點選 Next 鈕後再點選 Finish 鈕
2-65
網路安全
封包擷取工具 - Wireshark
bull 版本ndash 165
bull 支援作業平台ndash Windows Linux及 FreeBSD
bull 其他需求ndash 安裝WinPcap 31 以上版本
bull 下載位址ndash httpwiresharkdownloadsriverbedcomwireshark
win32wireshark-win32-165exe
2-66
網路安全
Wireshark 安裝步驟bull 至官方網站下載Windows平台最新版本檔案下載完成後執行該安裝程式
2-67
網路安全
Wireshark 安裝步驟 (續 )
bull 於下一步出現的版權宣告點選 I Agree鈕後繼續下一步驟
2-68
網路安全
Wireshark 安裝步驟 (續 )
bull 此步驟選擇欲安裝的元件以軟體預設勾選之項目安裝
2-69
網路安全
Wireshark 安裝步驟 (續 )
bull 此步驟使用預設路徑即可
2-70
網路安全
Wireshark 安裝步驟 (續 )
bull 此步驟將安裝Windows平台須加裝之套件 -WinPcap 若原系統未安裝過 WinPcap套件請以軟體預設項目安裝之
2-71
網路安全
Wireshark 安裝步驟 (續 )
bull 此步驟代表 Wireshark軟體已安裝完成可點選Finish 鈕或勾選 Run Wireshark 165 隨即使用該套軟體
2-72
網路安全
一般工具列Wireshark軟體介面介紹
2-73
篩選工具列封包清單窗格
封包內容窗格封包位元組窗格
網路安全
Wireshark 使用思考方向bull 遇到網路問題是否觀察網路通道中有異常動作或狀況
ndash 思考方向ndash 反應到擷取數據方法那麼以 Wireshark 擷取使用者需要擷取哪些數據這些數據由使用者電腦哪個裝置來擷取
bull Wireshark操作流程
bull 接下來我們進行軟體操作介紹
解決問題 擷取數據要先做什麼
擷取數據 擷取哪些數據( 過濾條件 )數據哪裡來( 網路介面卡 )
2-74
網路安全
數據哪裡來 - Capture功能bull 一開啟方式
ndash 1 點選快速鈕如紅色圈所示ndash 2 點選 Capture功能表 下拉選單後點選 Optionsndash 3鍵盤快速鍵 Ctrl + K
2-75
網路安全
數據哪裡來 - Capture功能 (續 )
bull 二開啟後顯示 Capture Options 的視窗畫面即可看到所提供的擷取功能選項
2-76
網路安全
數據哪裡來 - Capture功能 (續 )
bull Capture Options 常用的欄位設定ndash Caputure 框
bull 1Interface 會顯示出在系統上所有網路卡但只能選取一個介面作為封包擷取bull 2Capture packets in promiscuous mode 選取此選項就是經過所選取的網路卡的所有封包都會被擷取下來bull 3Capture Filter 指定擷取過濾器運算式擷取想要的特定封包即為擷取中過濾之功能
2-77
網路安全
數據哪裡來 - Capture功能 (續 )
bull Capture Options 常用的欄位設定ndash Display Options 框
bull Update list of packets in real time 指定在擷取封包過程中能夠即時更新已擷取封包清單窗格視窗中的封包資訊若取消則軟體主視窗更新畫面是沒有動作的
2-78
網路安全
bull Capture Options 常用的欄位設定ndash Name Resolution框
bull 1 Enable MAC name resolution 指定是否將網路卡MAC address 的前三個位元組轉換成製造商名稱
bull 2 Enable network name resolution 指定是否將 IP address轉換成 DNS 網域名稱
bull 3 Enable transport name resolution 指定是否將通信埠號碼 (port numbers)轉成協定名稱 (protocols)bull 各位了解數據從哪裡擷取的概念與操作之後即可以進一步加上附帶條件 (篩選條件 ) 等相關操作方式
數據哪裡來 - Capture功能 (續 )
2-79
網路安全
Wireshark操作手法bull 延續遇到問題的思考方向及軟體操作手法我們可以將操作流程分為兩種
ndash 擷取中過濾 (Filter while capturing)bull 優點僅擷取已知範圍資訊網路流量少bull 缺點需先了解問題類型避免可能有遺漏真正欲擷取資訊之狀況
ndash 檢視中過濾 (Filter packets while viewing)bull 優點不用先預設條件擷取所有封包資訊bull 缺點影響網路流量
先預設欲擷取條件 擷取數據
擷取數據 再篩選欲查詢數據2-80
網路安全
Wireshark操作手法 - 擷取中過濾bull 操作步驟
ndash 點選 Capture 下拉視窗選擇 Capture Filters 即呈現此視窗
bull 操作範例ndash 1於 Filter窗格中選擇 IP
Address 10112ndash 2於 Properties窗格中即顯示該選項的設定值如圖所示為 host 10112ndash 3 即可設定軟體僅針對
10112 的封包作擷取動作 延伸操作思考1 改變 Filter string 值得到什麼結果2 點選 Edit 窗格中的 New 鈕 新增自訂條件 2-81
網路安全
Wireshark操作手法 - 檢視中過濾bull 此步驟即以已擷取封包清單窗格為基礎以過濾條件過濾該清單bull 可直接選擇軟體預設項目如以下操作
ndash 操作步驟bull 點選 Analyze 下拉視窗選擇
Display Filters 即呈現此視窗ndash 操作範例
bull 1於 Filter窗格中選擇 IP Address 10112
bull 2於 Properties窗格中即顯示該選項的設定值如圖所示值為host 10112
bull 3 即可設定軟體僅針對 10112的封包作顯示動作 延伸操作思考1 可否進行進一步自訂設定值
2-82
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 若電腦 IP為 10112 欲篩選出 IP 來源為上述 IP 且協定為 TCP 80port 的所有封包ndash 操作步驟
bull 點選 Expression鈕即出現此視窗ndash 1於 Field name框選擇
IP項目中的 ipsrc - Source
ndash 2於 Relation框選擇 ==ndash 3於 Value [IPV4
address]填 入 10112ndash 4 點選 OK鈕 進階思考方式須考慮到例如是來源資訊是目標資訊是什麼協定等更細部所要之條件
2-83
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 再進行第二篩選條件ndash TCP 80 port
bull 操作步驟ndash 1先於 Filter string 輸入文字框「 ipsrc==
10112」後再加上一個空格及「 and 」再進行一次 Expression條件選擇
2-84
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
ndash 2於 Field name框選擇「 tcpdstport」ndash 3於 Relation框選擇「 ==」ndash 4於 Value框填入「 80」ndash 5 選擇「 OK」鈕
2-85
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 注意 Propeties框內的Filter string欄位值已改變為「 ipsrc == 10112 and tcpdstport == 80」
bull 確認條件正確後點選「 OK 」鈕即可發現已擷取封包清單窗格的項目均為所設定過濾條件過濾過結果2-86
網路安全
bull 可單選單一封包進行更進階查詢封包內容bull 操作方式為
ndash 點選其中一項封包項目點選滑鼠右鍵選擇Follow TCP Stream
Wireshark操作手法 - 檢視中過濾 (續 )
2-87
網路安全
ndash 此畫面即可看出該項 TCP 封包溝通內容Wireshark操作手法 - 檢視中過濾 (續 )
2-88
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 此功能將所擷取的封包清單使用多種方式呈現封包統計資料便於使用者查詢擷取時間內何種封包數量多寡及圖型顯示bull 操作步驟點選 Statistics 下拉視窗即呈現此視窗 顯示有關擷取清單的摘要以階梯式通訊協定列表顯示所擷取的所有封包
在特定 IP間顯示通訊流量顯示單一 IP 來往封包的流量
以時間軸顯示視覺化封包流量圖2-89
網路安全
bull 可查看到一時段內其封包總數與平均每秒傳遞接收封包數等相關資訊讓使用者了解平均一時段內網路流量狀況藉以初步獲得資訊
Wireshark操作手法 - 檢視中過濾 (續 )
2-90
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 讓使用者可透過階梯式封包分類表來查看哪一類封包佔為居多可進一步推測是否該類型封包影響到整體網路或是否有異常或不常見封包類型在網路中傳遞
2-91
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 將該擷取時段內封包清單檔以兩個特定 IP 之間對傳封包為區隔顯示出哪兩個特定 IP間傳遞封包數多寡bull 可讓使用者更進一步研判兩個特定 IP所屬設備傳遞狀況是否異常
2-92
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 將該擷取時段內封包清單檔以特定IP 傳遞封包數為區隔顯示出哪特定IP 傳遞封包數多寡
bull 可讓使用者更進一步研判該特定所屬設備傳遞封包數是否異常作為管制緊急管制或禁止通訊之證明2-93
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 以時間軸顯示視覺化封包流量圖bull 讓使用者可觀察所管理設備資訊流通量以了解設備是否能負荷或作相關調整等處置
2-94
網路安全
FTP 擷取密碼案例bull 於Wireshark軟體選擇 Capture 下拉選單功能項點選 Interfaces 選項
2-95
網路安全
FTP 擷取密碼案例 (續 )
bull 確認欲擷取封包之網卡名稱如紅色底線所示確認後點選 Start鈕
2-96
網路安全
FTP 擷取密碼案例 (續 )
bull 切換至 FTP Client 電腦開啟 FileZilla 程式後連線到 FTP Server 於 Host 填入10123 Username填入 tester Password填入testpw 後點選 Quickconnect鈕
2-97
網路安全
FTP 擷取密碼案例 (續 )
bull 擷取到的封包資訊會顯示於已擷取封包清單窗格內
2-98
網路安全
FTP 擷取密碼案例 (續 )
bull 使用 FTP軟體登入 ftp站後 Wireshark 將擷取到的使用者名稱與密碼如紅框所示
2-99
網路安全
FTP 擷取密碼案例 (續 )
bull 點選已擷取封包清單窗格的密碼資訊列如標示1 的紅框所示即可在封包內容窗格看到該密碼的位元碼如標示 2 的紅框所示
1
2
2-100
網路安全
架設實作 (三 )
Outlook Express 擷取密碼案例
2-101
網路安全
實驗環境介紹bull 以 Testbed建立一實驗相關拓樸及設定如下圖
OEClientOSWindows XP SP3IP 10112執行 Outlook Express
MailServerOSWindows XP SP3IP 10122安裝軟體 ArGoSoft Mail Server
2-102
WiresharkOSWindows XP SP3IP1 10113 IP2 10123安裝軟體 Wireshark
IP1IP2
網路安全
實驗拓樸 on TestbedTWISC- 建立完成的實驗拓樸
2-103
網路安全
郵件伺服器工具 - ArGoSoft Mail Server
bull 版本ndash 1892 Freeware
bull 支援作業平台ndash Windows
bull 下載位址ndash httpwwwsoftkingcomtwsoftdownloadaspfid3=7367
2-104
網路安全
郵件客戶端工具 - Outlook Express
bull 版本ndash 60
bull 支援作業平台ndash Windows
bull 下載位址ndash Windows 內建
2-105
網路安全
bull 安裝及設定郵件伺服器ndash 1下載並執行 ArGoSoft Mail Server軟體點選
Setup鈕
Outlook Express 擷取密碼案例
2-106
網路安全
ndash 1 點選 Next鈕ndash 2 點選 Start Installation鈕
Outlook Express 擷取密碼案例 (續 )
2-107
網路安全
ndash 3 點選 OK鈕ndash 4 點選 Finish鈕完成軟體安裝
Outlook Express 擷取密碼案例 (續 )
2-108
網路安全
ndash 5 點選使用者設定鈕如紅圈所示ndash 6 點選新增鈕如紅框所示
Outlook Express 擷取密碼案例 (續 )
2-109
網路安全
ndash 7填入使用者名稱 (tester) 及密碼 (testpw) 如紅圈所示填寫完成後點選 OK鈕ndash 8 點選 Close鈕關閉使用者設定視窗
Outlook Express 擷取密碼案例 (續 )
2-110
網路安全
ndash 9 點選選項鈕如左側圖中紅色圈所示ndash 10 點選紅色打勾鈕如右側圖中紅色圈所示
2-111
Outlook Express 擷取密碼案例 (續 )
網路安全
ndash 11該軟體會自動選取 DNS Server 待選取後點選 Yes鈕ndash 12 勾選 Allow Relay 選項如紅框所示
2-112
Outlook Express 擷取密碼案例 (續 )
網路安全
Outlook Express 擷取密碼案例 (續 )
bull 設定收信帳號ndash 1 點選 Tools功能選單選擇 Accounts 選項
2-113
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 2 點選 Add鈕選擇 Mail 選項
2-114
網路安全
ndash 3填入 tester 點選 Next鈕ndash 4填入 testertestcom 點選 Next鈕
Outlook Express 擷取密碼案例 (續 )
2-115
網路安全
ndash 5填入 10123 如紅框所示點選 Next鈕ndash 6填入帳號為 tester 及密碼為 testpw 點選 Next鈕
Outlook Express 擷取密碼案例 (續 )
2-116
網路安全
ndash 7 點選 Finish鈕ndash 8 點選 Close鈕
Outlook Express 擷取密碼案例 (續 )
2-117
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 模擬條件準備好後首先準備Wireshark 擷取動作開啟Wireshark
2-118
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 於Wireshark軟體選擇 Capture 下拉選單功能項點選 Interfaces 選項
2-119
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 確認欲擷取封包之網卡名稱如紅色底線所示確認後點選 Start鈕
2-120
網路安全
ndash 當使用者收發 email 時即被 Wireshark攔截封包ndash 有發現到該 Outlook Express帳號密碼是如此清晰可見的嗎
Outlook Express 擷取密碼案例 (續 )
2-121
網路安全
結論bull 學習了 Wireshark及WinDump 兩套網路封包擷取軟體基本概念如同電話側錄概念相同從中複製一連串資訊來分析與了解網路的流量及內容為何bull 當你發現網路速度緩慢等狀況你是否會反應到所學的基本概念來找尋問題所在bull 防範概念由此課程的實例可以了解網路內容如被有心人士擷取所造成的損失相當可觀故你是否有對策有哪些方式你可以應用來防範bull 正確的思考善用對的工具將對解決問題事半功倍
2-122
網路安全 2-123
Module 2-5 封包擷取與分析的專案實作()
網路安全
專案目的bull 建立遠端管理傳遞指令資訊環境bull 利用實際攔截封包操作的方式讓同學了解封包擷取運作與網路資訊流通的顧慮等相關議題
2-124
網路安全
專案描述bull 近年來遠端管理伺服器及網路服務普及光是密碼保護就足夠了嗎是否重點網段須全程加密還是作網段隔離經由此專案實作即可了解不僅部分加密仍有其風險所在網路架構如何規劃將是非常重要的課題bull 參考環境配置圖完成下列要求①環境裡的攔截封包主機是 Windows XP SP3 作業系統而該主機安裝Wireshark軟體②另兩台主機的作業系統亦是 Windows XP SP3 並裝上
MySQL軟體 MySQL帳號為 root 密碼為您的學號 (如 Q3896105)
③在MySQLClient 電腦使用 MySQL Commandline 指令連線至MySQLServer 擷取資料庫資訊
④我們針對這兩台主機傳訊的封包擷取由整個實做中思考如何防範資訊外洩與了解傳訊封包如何流動及運作2-125
網路安全
環境配置圖bull 以 Testbed建立一實驗相關拓樸及設定如下圖
MySQLServerOSWINXP-SP3-CH-pc3000 IP 10123安裝軟體 MySQL
MySQLClientOSWINXP-SP3-CH-pc3000 IP 10112安裝軟體 MySQL
2-126
WireSharkOSWINXP-SP3-CH-pc3000 IP1 10113IP2 10122安裝軟體 Wireshark
IP1IP2
網路安全
作業繳交bull 請參考情境測試發送數個 SQL 指令並將過程與擷取到的封包資訊之截圖列於報告中所有圖表皆需要輔以文字說明bull Deadline 2012312 下午 500 以前bull 作業範圍 Module 2-5 (page 2-128)bull 方式 (參考課程網址 )
ndash 帳號密碼小寫的 (ns100ns100)ndash IP 140116164167
2-127
網路安全
有問題嗎
bull 關於 TestBed 使用上的問題請直接 Email至 twisc-testbed-usergooglegroupscom 將有專人為您服務bull 課程網址
httpitlabeenckuedutwcoursesNS_100indexhtml
2-128
bull 助教資訊 (參考課程網址 )
網路安全
參考資料bull Dienet httplinuxdienetman1wiresharkbull Orebaugh Angela Ramirez Gilbert Burke Josh Pesce Larry Wright
Joshua(2007) Wireshark and Ethereal network protocol analyzer toolkitbull Tony Fortunato(2007) Wireshark Training Retrieved July 22 2009 from
the World Wide Web httpwwwthetechfirmcometherealwiresharkpdfbull WinDump httpwwwwinpcaporgWinDumpbull Wireshark httpwwwwiresharkorgbull Wireshark University httpwwwwiresharktrainingcombull 楊中皇 (民 97年 ) 網路安全理論與實務 (2版 ) 台北市學貫bull 蘇淑茵教授 Wireshark 民國 98年 6月 28日取自 httpmywebnckuedutw~sisou
2-129
網路安全
了解封包進階思考bull 並非所有的通訊協定都有相同的欄位資料由於採用不同的通訊協定 (TCP與 UDP) 網路封包的結構都有些許的差異但了解基礎封裝方式即可推理各種不同的通訊協定bull 在實務上想要進行網路封包分析的原因有很多故首要先了解什麼是封包定義及其運作方式後再搭配合適的網路封包擷取程式來解決實務上所遇的問題
2-17
網路安全
Module 2-2 封包結構與通訊協定 ()
2-18
網路安全
bull 目前網路使用相當多不同類型的通訊協定下圖列舉出在 OSI 協定七層中常見的通訊協定bull 網路上有許多不安全的通訊協定且大多採用明碼方式傳送經常造成資訊外洩如
HTTP TELNET及 SMTP 等故必要時須顧慮到資訊安全的議題
PPP
IPARP
UDP TCP
TelnetFTPSMTP
SLIP
HTTP
網路 OSI七層常見通訊協定類型
2-19
網路安全
封包結構與傳輸過程Application
TCP
IP
DeviceDriver
SMTPTELNETFTP
TCPUDP
ARPRARPICMP
EthernetX25PPP
TCPIP 四層 常見通訊協定User Data
App Header
Application DataTCP Header
IP Header
Frame Header
Frame Trailer
User Data
Application Data
Application Data
TCP Header
TCP Header
IP Header
TCP Segment
IP Segment
Frame
封包封裝
Socket NetBIOS
2-20
網路安全
IP 表頭
2-21
0
Precedence(3 Bits)
Delay(1 Bit)
Throughout(1Bit)
Reliability(1 Bit)
Cost(1 Bit)
Reserved(1Bit)
Type Of Service(8 Bits)
=
Reserved(1 Bit)
Donrsquot Fragment
(1 Bit)
More Fragment
(1 Bit)
Flags(3 Bits)
=
Version(4 Bits)
IHL(4 Bits)
Total Length(16 Bits)
Identification(16 Bits)
Fragment Offset(13 Bits)
Time to Live(8 Bits)
Protocal(8Bits)
Header Checksum(16 Bits)
Source Address (32 Bits)
Destination Address (32 Bits)
Options (長度不定 ) Padding (長度不定 )
32
64
96
128
160
Type of Service(8Bits)
Flags(3
Bits)
網路安全
封包 header 實例
2-22
網路安全
封包擷取的原理
A電腦網路卡
目的地A封包
目的地B封包
被丟棄
2-23
網路安全
封包擷取的原理 (續 )
bull 為了監聽到其他使用者的封包監聽者會將網路卡修改為混亂模式 (Promiscuous) 混亂模式不會對目標 MAC 位置做檢查的動作而是將所收到的所有封包做接收的動作bull 藉由混亂模式就可以在 HUB 的區域網路環境中或無線網路的環境中擷取其他人的封包訊息
2-24
網路安全
Module 2-3 封包擷取工具介紹 ()
2-25
網路安全
封包擷取工具比較bull 商業軟體
ndash 優 有廠商維護支援性較佳ndash 缺 成本較高ndash 例 NetResident與 EtherDetect
bull 免費軟體ndash 優 成本較低ndash 缺 功能與使用說明較為簡略ndash 例 Wireshark與WinDump
2-26
網路安全
封包擷取工具 - WinDump
bull 一種開放原始碼的網路軟體工具為 Windows版的 tcpdumpbull 可以分析封包的流向並且對於封包的內容也可以進行 監聽 bull WinDump運算式是一種規則運算式利用一些條件來進行訊息的過濾當訊息滿足運算式的條件則會將其資訊捕獲如果沒有給出任何條件則網路上所有的資訊包將會被擷獲bull 例 WinDump -i interface -c 10 -n port 80 -w
filename
2-27
網路安全
封包擷取工具 - Wireshark
bull 開放原始碼軟體bull 起源於 1997年 Wireshark 的前身即為 Ethereal因為商標問題而改名成 Wiresharkbull 支援通訊協定多且完整使用圖形化的介面讓操作者容易上手過濾條件切割細密讓使用者可於乙太網路撈取且經數據過濾分析後的數據流bull 可由此軟體能夠擷取網路封包並盡可能顯示出最為詳細的網路封包資料提供各方應用
2-28
網路安全
網路存取函式庫 - WinPcap
bull WinPcap 是著名 Unix libpcap的Windows版本API
bull Pcap 是用來擷取封包的應用程式介面 (Application Programming Interface API)
bull 免費直接網路存取函式庫bull 許多網路應用軟體運行均須安裝此套函式庫如WiresharkWinDump Nmap及 Snort
2-29
網路安全
WinDump與Winpcab 示意圖bull 透過 WinDump及Winpcap 工具擷取並分析封包後再將資料蒐集至電腦設備中
2-30
乙太網路Ethernet
網路工具
Windump分析封包結構
Winpcap擷取並過濾封包
封包資訊
網路安全 2-31
Module 2-4 封包擷取的實務 ()
網路安全 2-32
Linux kernel packet processing
網路安全 2-33
網路安全
說明bull 架設實作 (一 ) 請將介紹如何安裝與使用
WinDump 依實驗拓樸請使用 WireDump 主機做安裝及測試bull 架設實作 (二 ) 請利用 Wireshark軟體對 FTP 進行封包擷取依實驗拓樸請使用 Wireshark 主機做安裝及測試bull 架設實作 (三 ) 請利用 Wireshark軟體對
Outlook Express進行封包擷取依實驗拓樸請使用 Wireshark 主機做安裝及測試2-34
網路安全
架設實作 (一 )
WinDump 實作 -SSH連線觀察
2-35
網路安全
封包擷取工具 - WinDump
bull 版本ndash 395
bull 支援作業平台ndash Windows 9598NT2000XP2003
bull 其他需求ndash 安裝WinPcap 31 以上版本
bull 下載位址ndash httpwwwwinpcaporgwindumpinstallbin
windump_3_9_5WinDumpexe
2-36
網路安全
其他需求工具 - WinPcap
bull 版本ndash 402 stable
bull 支援作業平台ndash Windows NT42000
Windows XP2003Vista (x86 and x64)Windows Server 2008 (x86 and x64)
bull 下載位址ndash httpwwwwinpcaporginstallbin
WinPcap_4_0_2exe
2-37
網路安全
WinPcap 安裝步驟bull WinPcap 下載完成後即可進行安裝bull 安裝畫面如下點選 Next按鈕繼續下一步
2-38
網路安全
WinDump與WinPcap測試bull 請將下載的 WinDumpexe 檔案存放至 C
Windowssystem32 的目錄之下bull 測試WinDump及WinPcap 是否可運作
ndash 點選開始 -gt 程式集 -gt附屬應用程式 -gt命令提示字元 -gt 輸入「 windump 」按下 Enter 即會出現「 windump listening on DeviceNPF_GenericDialupAdapter」的訊息代表WinDump及WinPcap 安裝成功且可運作
ndash 停止監聽按「 Ctrl + C」將顯示擷取封包的數量
2-39
網路安全
參數 說明-c 指定收到的封包數目當達到該數目時 Tcpdump 即會停止-d 把編譯過的封包編碼轉碼成可閱讀的格式放置於標準輸出-dd 把編譯過的封包編碼轉碼成 C 語言的格式放置於標準輸出-ddd 把編譯過的封包編碼轉碼成十進位的格式放置於標準輸出-F 從所指定的文件中讀取運算式進而忽略其他運算式-f 用數字顯示 IP 位址 -i 指定擷取封包的網路介面 -w 將擷取的封包直接寫入檔案當中不做分析與顯示於畫面
參數 說明-r 從指定的檔案文件中讀取資料該檔案文件由 -w 所製造出來-v 顯示詳細的封包資訊多了 TTL 及服務類型-s 設定每一個封包的大小-S 用絕對數並非相對數的值列出 TCP 連接數-tt 顯示出原始時間並且為不格式化的時間-n 不進行 IP Address 到 Domain
Name 的轉換-nn 不進行 Port 的轉換如 22 就是
ssh
-x 用十六進位字碼列出封包資料
WinDump相關參數列表
2-40
網路安全
WinDump 簡易使用操作說明bull 語法 windump 參數bull 查看目前系統可使用的網卡介面
ndash windump -Dbull 透過查看網卡介面以利後續監聽之用
2-41
網路安全
WinDump 簡易使用操作說明 (續 )
bull WinDump -i 網卡介面代號 -c 擷取封包數量 port 通訊埠
bull 例 WinDump -i 2 -c 10 port 80
2-42
網路安全
WinDump 簡易使用操作說明 (續 )
bull 因於命令提示字元視窗內所顯示的資訊不易閱讀可透過下列指令將其所擷取的資訊導向至檔案bull Windump -i 網卡介面代號 gt 檔名
ndash windump -i 2 -c 10 -w message port 80ndash windump -r message gt messagetxtndash windump -i 2 -c 10 port 80 gt messagetxt
2-43
網路安全
WinDump 簡易使用操作說明 (續 )
112338326205 此為封包被擷取的時間『 HHMMSSfraction』的單位IP 透過的通訊協定是 IPwinser 1099 gt w1wwwviptw1yahoocomtw80 代表的是傳送端是 winser 傳送的通訊埠為 1099 大於 (gt) 的符號指的是封包的傳輸方向 w1wwwviptw1yahoocomtw 為接收端 80 為接收埠
P(PUSH) 為資料傳輸標誌且傳輸的資料為整體資料的 1~ 699 byte 所以這個封包帶有 698 bytes 的資料量 ack 1 win 65535 ACK與Window size 的相關資料2-44
網路安全
bull 以 Testbed建立一實驗相關拓樸及設定如下圖SSHClientOSWINXP-SP3-CH-pc3000 IP 10113安裝軟體 putty
SSHServerOSWINXP-SP3-CH-pc3000IP 10123安裝軟體 sshd
實驗環境介紹
2-45
IP1
IP2
WireDumpOSWINXP-SP3-CH-pc3000IP1 10112IP2 10122安裝軟體 WinDump
網路安全
實驗拓樸 on TestbedTWISC- 建立完成的實驗拓樸
2-46
網路安全
SSH連線觀察bull 利用 Putty連線到 SSHServer從中觀察到三向交握建立連線的動作從 SSHClient 端利用 putty連線到SSHServer(10123)的 sshd服務
2-47
網路安全
SSH連線觀察 (續 )
bull SSH 在連線之前會利用三向交握的方式建立連線bull 利用 WinDump觀察 SSH連線動作
ndash 指令 WinDumpexe -N -S -i 4 port 22
三向交握的三個封包三向交握示意圖Server lt- Client SYN 你想連線Server -gt Client SYN ACK 可以我接受Server lt- Client ACK 謝謝
2-48
網路安全
架設實作 (二 )
FTP 擷取密碼案例
2-49
網路安全
FTPClientOSWINXP-SP3-pc3000IP 10112安裝軟體 FileZilla
FTPServerOSWINXP-SP3-pc3000IP 10123安裝軟體 RaidenFTPD
實驗環境介紹bull 以 Testbed建立一實驗相關拓樸及設定如下圖
2-50
IP1IP2
WireSharkOSWINXP-SP3-pc3000IP1 10113IP2 10122安裝軟體 Wireshark
網路安全
實驗拓樸 on TestbedTWISC- 建立完成的實驗拓樸
2-51
網路安全
FTP伺服器工具 - RaidenFTPD
bull 版本ndash 24 build 3720
bull 支援作業平台ndash Windows
bull 下載位址ndash httpwwwraidenmaildcomdownloadraidenftpd2exe
2-52
網路安全
RaidenFTPD 安裝步驟bull 下載Windows平台最新版本檔案下載完成後執行該安裝程式
2-53
網路安全
RaidenFTPD 安裝步驟 (續 )
bull 此步驟使用預設路徑即可按下 Install 進行安裝
2-54
網路安全
RaidenFTPD設定步驟bull 程式開啟畫面如下選擇 Click here to start a new
server 進行 FTP伺服器設定
2-55
網路安全
RaidenFTPD設定步驟 (續 )
bull 此處可設定 Server name與 Server IP 將 Auto IP 取消勾選並將 Server IP設為 10123
2-56
網路安全
RaidenFTPD設定步驟 (續 )
bull 接下來的步驟依照預設值即可
2-57
網路安全
RaidenFTPD設定步驟 (續 )
bull 設定人員帳號與群組按下 Add鈕輸入帳號密碼群組名稱可略過完成後按下 Next 進行下一步驟
2-58
網路安全
RaidenFTPD設定步驟 (續 )
bull 此步驟設定該帳號登入 FTP 時的權限選擇NORMAL 按下 Next 進行下一步驟
2-59
網路安全
RaidenFTPD設定步驟 (續 )
bull 接下來的步驟皆以預設值即可完成設定之後會出現對話視窗顯示您所設定的資訊
2-60
網路安全
FTP 用戶端工具 - Filezilla
bull 版本ndash 328
bull 支援作業平台ndash Windows Linux及Mac
bull 下載位址ndash httpsourceforgenetprojectsfilezillafiles
FileZilla_Client328FileZilla_328_win32zipdownload
2-61
網路安全
Filezilla 安裝步驟bull 執行 Filezilla 安裝程式點選 I agree 鈕
2-62
網路安全
Filezilla 安裝步驟 (續 )
bull 以預設值安裝點選兩次 Next 鈕
2-63
網路安全
Filezilla 安裝步驟 (續 )
bull 以預設值安裝點選 Next 鈕後再點選 Install 鈕
2-64
網路安全
Filezilla 安裝步驟 (續 )
bull 以預設值安裝點選 Next 鈕後再點選 Finish 鈕
2-65
網路安全
封包擷取工具 - Wireshark
bull 版本ndash 165
bull 支援作業平台ndash Windows Linux及 FreeBSD
bull 其他需求ndash 安裝WinPcap 31 以上版本
bull 下載位址ndash httpwiresharkdownloadsriverbedcomwireshark
win32wireshark-win32-165exe
2-66
網路安全
Wireshark 安裝步驟bull 至官方網站下載Windows平台最新版本檔案下載完成後執行該安裝程式
2-67
網路安全
Wireshark 安裝步驟 (續 )
bull 於下一步出現的版權宣告點選 I Agree鈕後繼續下一步驟
2-68
網路安全
Wireshark 安裝步驟 (續 )
bull 此步驟選擇欲安裝的元件以軟體預設勾選之項目安裝
2-69
網路安全
Wireshark 安裝步驟 (續 )
bull 此步驟使用預設路徑即可
2-70
網路安全
Wireshark 安裝步驟 (續 )
bull 此步驟將安裝Windows平台須加裝之套件 -WinPcap 若原系統未安裝過 WinPcap套件請以軟體預設項目安裝之
2-71
網路安全
Wireshark 安裝步驟 (續 )
bull 此步驟代表 Wireshark軟體已安裝完成可點選Finish 鈕或勾選 Run Wireshark 165 隨即使用該套軟體
2-72
網路安全
一般工具列Wireshark軟體介面介紹
2-73
篩選工具列封包清單窗格
封包內容窗格封包位元組窗格
網路安全
Wireshark 使用思考方向bull 遇到網路問題是否觀察網路通道中有異常動作或狀況
ndash 思考方向ndash 反應到擷取數據方法那麼以 Wireshark 擷取使用者需要擷取哪些數據這些數據由使用者電腦哪個裝置來擷取
bull Wireshark操作流程
bull 接下來我們進行軟體操作介紹
解決問題 擷取數據要先做什麼
擷取數據 擷取哪些數據( 過濾條件 )數據哪裡來( 網路介面卡 )
2-74
網路安全
數據哪裡來 - Capture功能bull 一開啟方式
ndash 1 點選快速鈕如紅色圈所示ndash 2 點選 Capture功能表 下拉選單後點選 Optionsndash 3鍵盤快速鍵 Ctrl + K
2-75
網路安全
數據哪裡來 - Capture功能 (續 )
bull 二開啟後顯示 Capture Options 的視窗畫面即可看到所提供的擷取功能選項
2-76
網路安全
數據哪裡來 - Capture功能 (續 )
bull Capture Options 常用的欄位設定ndash Caputure 框
bull 1Interface 會顯示出在系統上所有網路卡但只能選取一個介面作為封包擷取bull 2Capture packets in promiscuous mode 選取此選項就是經過所選取的網路卡的所有封包都會被擷取下來bull 3Capture Filter 指定擷取過濾器運算式擷取想要的特定封包即為擷取中過濾之功能
2-77
網路安全
數據哪裡來 - Capture功能 (續 )
bull Capture Options 常用的欄位設定ndash Display Options 框
bull Update list of packets in real time 指定在擷取封包過程中能夠即時更新已擷取封包清單窗格視窗中的封包資訊若取消則軟體主視窗更新畫面是沒有動作的
2-78
網路安全
bull Capture Options 常用的欄位設定ndash Name Resolution框
bull 1 Enable MAC name resolution 指定是否將網路卡MAC address 的前三個位元組轉換成製造商名稱
bull 2 Enable network name resolution 指定是否將 IP address轉換成 DNS 網域名稱
bull 3 Enable transport name resolution 指定是否將通信埠號碼 (port numbers)轉成協定名稱 (protocols)bull 各位了解數據從哪裡擷取的概念與操作之後即可以進一步加上附帶條件 (篩選條件 ) 等相關操作方式
數據哪裡來 - Capture功能 (續 )
2-79
網路安全
Wireshark操作手法bull 延續遇到問題的思考方向及軟體操作手法我們可以將操作流程分為兩種
ndash 擷取中過濾 (Filter while capturing)bull 優點僅擷取已知範圍資訊網路流量少bull 缺點需先了解問題類型避免可能有遺漏真正欲擷取資訊之狀況
ndash 檢視中過濾 (Filter packets while viewing)bull 優點不用先預設條件擷取所有封包資訊bull 缺點影響網路流量
先預設欲擷取條件 擷取數據
擷取數據 再篩選欲查詢數據2-80
網路安全
Wireshark操作手法 - 擷取中過濾bull 操作步驟
ndash 點選 Capture 下拉視窗選擇 Capture Filters 即呈現此視窗
bull 操作範例ndash 1於 Filter窗格中選擇 IP
Address 10112ndash 2於 Properties窗格中即顯示該選項的設定值如圖所示為 host 10112ndash 3 即可設定軟體僅針對
10112 的封包作擷取動作 延伸操作思考1 改變 Filter string 值得到什麼結果2 點選 Edit 窗格中的 New 鈕 新增自訂條件 2-81
網路安全
Wireshark操作手法 - 檢視中過濾bull 此步驟即以已擷取封包清單窗格為基礎以過濾條件過濾該清單bull 可直接選擇軟體預設項目如以下操作
ndash 操作步驟bull 點選 Analyze 下拉視窗選擇
Display Filters 即呈現此視窗ndash 操作範例
bull 1於 Filter窗格中選擇 IP Address 10112
bull 2於 Properties窗格中即顯示該選項的設定值如圖所示值為host 10112
bull 3 即可設定軟體僅針對 10112的封包作顯示動作 延伸操作思考1 可否進行進一步自訂設定值
2-82
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 若電腦 IP為 10112 欲篩選出 IP 來源為上述 IP 且協定為 TCP 80port 的所有封包ndash 操作步驟
bull 點選 Expression鈕即出現此視窗ndash 1於 Field name框選擇
IP項目中的 ipsrc - Source
ndash 2於 Relation框選擇 ==ndash 3於 Value [IPV4
address]填 入 10112ndash 4 點選 OK鈕 進階思考方式須考慮到例如是來源資訊是目標資訊是什麼協定等更細部所要之條件
2-83
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 再進行第二篩選條件ndash TCP 80 port
bull 操作步驟ndash 1先於 Filter string 輸入文字框「 ipsrc==
10112」後再加上一個空格及「 and 」再進行一次 Expression條件選擇
2-84
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
ndash 2於 Field name框選擇「 tcpdstport」ndash 3於 Relation框選擇「 ==」ndash 4於 Value框填入「 80」ndash 5 選擇「 OK」鈕
2-85
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 注意 Propeties框內的Filter string欄位值已改變為「 ipsrc == 10112 and tcpdstport == 80」
bull 確認條件正確後點選「 OK 」鈕即可發現已擷取封包清單窗格的項目均為所設定過濾條件過濾過結果2-86
網路安全
bull 可單選單一封包進行更進階查詢封包內容bull 操作方式為
ndash 點選其中一項封包項目點選滑鼠右鍵選擇Follow TCP Stream
Wireshark操作手法 - 檢視中過濾 (續 )
2-87
網路安全
ndash 此畫面即可看出該項 TCP 封包溝通內容Wireshark操作手法 - 檢視中過濾 (續 )
2-88
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 此功能將所擷取的封包清單使用多種方式呈現封包統計資料便於使用者查詢擷取時間內何種封包數量多寡及圖型顯示bull 操作步驟點選 Statistics 下拉視窗即呈現此視窗 顯示有關擷取清單的摘要以階梯式通訊協定列表顯示所擷取的所有封包
在特定 IP間顯示通訊流量顯示單一 IP 來往封包的流量
以時間軸顯示視覺化封包流量圖2-89
網路安全
bull 可查看到一時段內其封包總數與平均每秒傳遞接收封包數等相關資訊讓使用者了解平均一時段內網路流量狀況藉以初步獲得資訊
Wireshark操作手法 - 檢視中過濾 (續 )
2-90
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 讓使用者可透過階梯式封包分類表來查看哪一類封包佔為居多可進一步推測是否該類型封包影響到整體網路或是否有異常或不常見封包類型在網路中傳遞
2-91
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 將該擷取時段內封包清單檔以兩個特定 IP 之間對傳封包為區隔顯示出哪兩個特定 IP間傳遞封包數多寡bull 可讓使用者更進一步研判兩個特定 IP所屬設備傳遞狀況是否異常
2-92
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 將該擷取時段內封包清單檔以特定IP 傳遞封包數為區隔顯示出哪特定IP 傳遞封包數多寡
bull 可讓使用者更進一步研判該特定所屬設備傳遞封包數是否異常作為管制緊急管制或禁止通訊之證明2-93
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 以時間軸顯示視覺化封包流量圖bull 讓使用者可觀察所管理設備資訊流通量以了解設備是否能負荷或作相關調整等處置
2-94
網路安全
FTP 擷取密碼案例bull 於Wireshark軟體選擇 Capture 下拉選單功能項點選 Interfaces 選項
2-95
網路安全
FTP 擷取密碼案例 (續 )
bull 確認欲擷取封包之網卡名稱如紅色底線所示確認後點選 Start鈕
2-96
網路安全
FTP 擷取密碼案例 (續 )
bull 切換至 FTP Client 電腦開啟 FileZilla 程式後連線到 FTP Server 於 Host 填入10123 Username填入 tester Password填入testpw 後點選 Quickconnect鈕
2-97
網路安全
FTP 擷取密碼案例 (續 )
bull 擷取到的封包資訊會顯示於已擷取封包清單窗格內
2-98
網路安全
FTP 擷取密碼案例 (續 )
bull 使用 FTP軟體登入 ftp站後 Wireshark 將擷取到的使用者名稱與密碼如紅框所示
2-99
網路安全
FTP 擷取密碼案例 (續 )
bull 點選已擷取封包清單窗格的密碼資訊列如標示1 的紅框所示即可在封包內容窗格看到該密碼的位元碼如標示 2 的紅框所示
1
2
2-100
網路安全
架設實作 (三 )
Outlook Express 擷取密碼案例
2-101
網路安全
實驗環境介紹bull 以 Testbed建立一實驗相關拓樸及設定如下圖
OEClientOSWindows XP SP3IP 10112執行 Outlook Express
MailServerOSWindows XP SP3IP 10122安裝軟體 ArGoSoft Mail Server
2-102
WiresharkOSWindows XP SP3IP1 10113 IP2 10123安裝軟體 Wireshark
IP1IP2
網路安全
實驗拓樸 on TestbedTWISC- 建立完成的實驗拓樸
2-103
網路安全
郵件伺服器工具 - ArGoSoft Mail Server
bull 版本ndash 1892 Freeware
bull 支援作業平台ndash Windows
bull 下載位址ndash httpwwwsoftkingcomtwsoftdownloadaspfid3=7367
2-104
網路安全
郵件客戶端工具 - Outlook Express
bull 版本ndash 60
bull 支援作業平台ndash Windows
bull 下載位址ndash Windows 內建
2-105
網路安全
bull 安裝及設定郵件伺服器ndash 1下載並執行 ArGoSoft Mail Server軟體點選
Setup鈕
Outlook Express 擷取密碼案例
2-106
網路安全
ndash 1 點選 Next鈕ndash 2 點選 Start Installation鈕
Outlook Express 擷取密碼案例 (續 )
2-107
網路安全
ndash 3 點選 OK鈕ndash 4 點選 Finish鈕完成軟體安裝
Outlook Express 擷取密碼案例 (續 )
2-108
網路安全
ndash 5 點選使用者設定鈕如紅圈所示ndash 6 點選新增鈕如紅框所示
Outlook Express 擷取密碼案例 (續 )
2-109
網路安全
ndash 7填入使用者名稱 (tester) 及密碼 (testpw) 如紅圈所示填寫完成後點選 OK鈕ndash 8 點選 Close鈕關閉使用者設定視窗
Outlook Express 擷取密碼案例 (續 )
2-110
網路安全
ndash 9 點選選項鈕如左側圖中紅色圈所示ndash 10 點選紅色打勾鈕如右側圖中紅色圈所示
2-111
Outlook Express 擷取密碼案例 (續 )
網路安全
ndash 11該軟體會自動選取 DNS Server 待選取後點選 Yes鈕ndash 12 勾選 Allow Relay 選項如紅框所示
2-112
Outlook Express 擷取密碼案例 (續 )
網路安全
Outlook Express 擷取密碼案例 (續 )
bull 設定收信帳號ndash 1 點選 Tools功能選單選擇 Accounts 選項
2-113
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 2 點選 Add鈕選擇 Mail 選項
2-114
網路安全
ndash 3填入 tester 點選 Next鈕ndash 4填入 testertestcom 點選 Next鈕
Outlook Express 擷取密碼案例 (續 )
2-115
網路安全
ndash 5填入 10123 如紅框所示點選 Next鈕ndash 6填入帳號為 tester 及密碼為 testpw 點選 Next鈕
Outlook Express 擷取密碼案例 (續 )
2-116
網路安全
ndash 7 點選 Finish鈕ndash 8 點選 Close鈕
Outlook Express 擷取密碼案例 (續 )
2-117
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 模擬條件準備好後首先準備Wireshark 擷取動作開啟Wireshark
2-118
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 於Wireshark軟體選擇 Capture 下拉選單功能項點選 Interfaces 選項
2-119
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 確認欲擷取封包之網卡名稱如紅色底線所示確認後點選 Start鈕
2-120
網路安全
ndash 當使用者收發 email 時即被 Wireshark攔截封包ndash 有發現到該 Outlook Express帳號密碼是如此清晰可見的嗎
Outlook Express 擷取密碼案例 (續 )
2-121
網路安全
結論bull 學習了 Wireshark及WinDump 兩套網路封包擷取軟體基本概念如同電話側錄概念相同從中複製一連串資訊來分析與了解網路的流量及內容為何bull 當你發現網路速度緩慢等狀況你是否會反應到所學的基本概念來找尋問題所在bull 防範概念由此課程的實例可以了解網路內容如被有心人士擷取所造成的損失相當可觀故你是否有對策有哪些方式你可以應用來防範bull 正確的思考善用對的工具將對解決問題事半功倍
2-122
網路安全 2-123
Module 2-5 封包擷取與分析的專案實作()
網路安全
專案目的bull 建立遠端管理傳遞指令資訊環境bull 利用實際攔截封包操作的方式讓同學了解封包擷取運作與網路資訊流通的顧慮等相關議題
2-124
網路安全
專案描述bull 近年來遠端管理伺服器及網路服務普及光是密碼保護就足夠了嗎是否重點網段須全程加密還是作網段隔離經由此專案實作即可了解不僅部分加密仍有其風險所在網路架構如何規劃將是非常重要的課題bull 參考環境配置圖完成下列要求①環境裡的攔截封包主機是 Windows XP SP3 作業系統而該主機安裝Wireshark軟體②另兩台主機的作業系統亦是 Windows XP SP3 並裝上
MySQL軟體 MySQL帳號為 root 密碼為您的學號 (如 Q3896105)
③在MySQLClient 電腦使用 MySQL Commandline 指令連線至MySQLServer 擷取資料庫資訊
④我們針對這兩台主機傳訊的封包擷取由整個實做中思考如何防範資訊外洩與了解傳訊封包如何流動及運作2-125
網路安全
環境配置圖bull 以 Testbed建立一實驗相關拓樸及設定如下圖
MySQLServerOSWINXP-SP3-CH-pc3000 IP 10123安裝軟體 MySQL
MySQLClientOSWINXP-SP3-CH-pc3000 IP 10112安裝軟體 MySQL
2-126
WireSharkOSWINXP-SP3-CH-pc3000 IP1 10113IP2 10122安裝軟體 Wireshark
IP1IP2
網路安全
作業繳交bull 請參考情境測試發送數個 SQL 指令並將過程與擷取到的封包資訊之截圖列於報告中所有圖表皆需要輔以文字說明bull Deadline 2012312 下午 500 以前bull 作業範圍 Module 2-5 (page 2-128)bull 方式 (參考課程網址 )
ndash 帳號密碼小寫的 (ns100ns100)ndash IP 140116164167
2-127
網路安全
有問題嗎
bull 關於 TestBed 使用上的問題請直接 Email至 twisc-testbed-usergooglegroupscom 將有專人為您服務bull 課程網址
httpitlabeenckuedutwcoursesNS_100indexhtml
2-128
bull 助教資訊 (參考課程網址 )
網路安全
參考資料bull Dienet httplinuxdienetman1wiresharkbull Orebaugh Angela Ramirez Gilbert Burke Josh Pesce Larry Wright
Joshua(2007) Wireshark and Ethereal network protocol analyzer toolkitbull Tony Fortunato(2007) Wireshark Training Retrieved July 22 2009 from
the World Wide Web httpwwwthetechfirmcometherealwiresharkpdfbull WinDump httpwwwwinpcaporgWinDumpbull Wireshark httpwwwwiresharkorgbull Wireshark University httpwwwwiresharktrainingcombull 楊中皇 (民 97年 ) 網路安全理論與實務 (2版 ) 台北市學貫bull 蘇淑茵教授 Wireshark 民國 98年 6月 28日取自 httpmywebnckuedutw~sisou
2-129
網路安全
Module 2-2 封包結構與通訊協定 ()
2-18
網路安全
bull 目前網路使用相當多不同類型的通訊協定下圖列舉出在 OSI 協定七層中常見的通訊協定bull 網路上有許多不安全的通訊協定且大多採用明碼方式傳送經常造成資訊外洩如
HTTP TELNET及 SMTP 等故必要時須顧慮到資訊安全的議題
PPP
IPARP
UDP TCP
TelnetFTPSMTP
SLIP
HTTP
網路 OSI七層常見通訊協定類型
2-19
網路安全
封包結構與傳輸過程Application
TCP
IP
DeviceDriver
SMTPTELNETFTP
TCPUDP
ARPRARPICMP
EthernetX25PPP
TCPIP 四層 常見通訊協定User Data
App Header
Application DataTCP Header
IP Header
Frame Header
Frame Trailer
User Data
Application Data
Application Data
TCP Header
TCP Header
IP Header
TCP Segment
IP Segment
Frame
封包封裝
Socket NetBIOS
2-20
網路安全
IP 表頭
2-21
0
Precedence(3 Bits)
Delay(1 Bit)
Throughout(1Bit)
Reliability(1 Bit)
Cost(1 Bit)
Reserved(1Bit)
Type Of Service(8 Bits)
=
Reserved(1 Bit)
Donrsquot Fragment
(1 Bit)
More Fragment
(1 Bit)
Flags(3 Bits)
=
Version(4 Bits)
IHL(4 Bits)
Total Length(16 Bits)
Identification(16 Bits)
Fragment Offset(13 Bits)
Time to Live(8 Bits)
Protocal(8Bits)
Header Checksum(16 Bits)
Source Address (32 Bits)
Destination Address (32 Bits)
Options (長度不定 ) Padding (長度不定 )
32
64
96
128
160
Type of Service(8Bits)
Flags(3
Bits)
網路安全
封包 header 實例
2-22
網路安全
封包擷取的原理
A電腦網路卡
目的地A封包
目的地B封包
被丟棄
2-23
網路安全
封包擷取的原理 (續 )
bull 為了監聽到其他使用者的封包監聽者會將網路卡修改為混亂模式 (Promiscuous) 混亂模式不會對目標 MAC 位置做檢查的動作而是將所收到的所有封包做接收的動作bull 藉由混亂模式就可以在 HUB 的區域網路環境中或無線網路的環境中擷取其他人的封包訊息
2-24
網路安全
Module 2-3 封包擷取工具介紹 ()
2-25
網路安全
封包擷取工具比較bull 商業軟體
ndash 優 有廠商維護支援性較佳ndash 缺 成本較高ndash 例 NetResident與 EtherDetect
bull 免費軟體ndash 優 成本較低ndash 缺 功能與使用說明較為簡略ndash 例 Wireshark與WinDump
2-26
網路安全
封包擷取工具 - WinDump
bull 一種開放原始碼的網路軟體工具為 Windows版的 tcpdumpbull 可以分析封包的流向並且對於封包的內容也可以進行 監聽 bull WinDump運算式是一種規則運算式利用一些條件來進行訊息的過濾當訊息滿足運算式的條件則會將其資訊捕獲如果沒有給出任何條件則網路上所有的資訊包將會被擷獲bull 例 WinDump -i interface -c 10 -n port 80 -w
filename
2-27
網路安全
封包擷取工具 - Wireshark
bull 開放原始碼軟體bull 起源於 1997年 Wireshark 的前身即為 Ethereal因為商標問題而改名成 Wiresharkbull 支援通訊協定多且完整使用圖形化的介面讓操作者容易上手過濾條件切割細密讓使用者可於乙太網路撈取且經數據過濾分析後的數據流bull 可由此軟體能夠擷取網路封包並盡可能顯示出最為詳細的網路封包資料提供各方應用
2-28
網路安全
網路存取函式庫 - WinPcap
bull WinPcap 是著名 Unix libpcap的Windows版本API
bull Pcap 是用來擷取封包的應用程式介面 (Application Programming Interface API)
bull 免費直接網路存取函式庫bull 許多網路應用軟體運行均須安裝此套函式庫如WiresharkWinDump Nmap及 Snort
2-29
網路安全
WinDump與Winpcab 示意圖bull 透過 WinDump及Winpcap 工具擷取並分析封包後再將資料蒐集至電腦設備中
2-30
乙太網路Ethernet
網路工具
Windump分析封包結構
Winpcap擷取並過濾封包
封包資訊
網路安全 2-31
Module 2-4 封包擷取的實務 ()
網路安全 2-32
Linux kernel packet processing
網路安全 2-33
網路安全
說明bull 架設實作 (一 ) 請將介紹如何安裝與使用
WinDump 依實驗拓樸請使用 WireDump 主機做安裝及測試bull 架設實作 (二 ) 請利用 Wireshark軟體對 FTP 進行封包擷取依實驗拓樸請使用 Wireshark 主機做安裝及測試bull 架設實作 (三 ) 請利用 Wireshark軟體對
Outlook Express進行封包擷取依實驗拓樸請使用 Wireshark 主機做安裝及測試2-34
網路安全
架設實作 (一 )
WinDump 實作 -SSH連線觀察
2-35
網路安全
封包擷取工具 - WinDump
bull 版本ndash 395
bull 支援作業平台ndash Windows 9598NT2000XP2003
bull 其他需求ndash 安裝WinPcap 31 以上版本
bull 下載位址ndash httpwwwwinpcaporgwindumpinstallbin
windump_3_9_5WinDumpexe
2-36
網路安全
其他需求工具 - WinPcap
bull 版本ndash 402 stable
bull 支援作業平台ndash Windows NT42000
Windows XP2003Vista (x86 and x64)Windows Server 2008 (x86 and x64)
bull 下載位址ndash httpwwwwinpcaporginstallbin
WinPcap_4_0_2exe
2-37
網路安全
WinPcap 安裝步驟bull WinPcap 下載完成後即可進行安裝bull 安裝畫面如下點選 Next按鈕繼續下一步
2-38
網路安全
WinDump與WinPcap測試bull 請將下載的 WinDumpexe 檔案存放至 C
Windowssystem32 的目錄之下bull 測試WinDump及WinPcap 是否可運作
ndash 點選開始 -gt 程式集 -gt附屬應用程式 -gt命令提示字元 -gt 輸入「 windump 」按下 Enter 即會出現「 windump listening on DeviceNPF_GenericDialupAdapter」的訊息代表WinDump及WinPcap 安裝成功且可運作
ndash 停止監聽按「 Ctrl + C」將顯示擷取封包的數量
2-39
網路安全
參數 說明-c 指定收到的封包數目當達到該數目時 Tcpdump 即會停止-d 把編譯過的封包編碼轉碼成可閱讀的格式放置於標準輸出-dd 把編譯過的封包編碼轉碼成 C 語言的格式放置於標準輸出-ddd 把編譯過的封包編碼轉碼成十進位的格式放置於標準輸出-F 從所指定的文件中讀取運算式進而忽略其他運算式-f 用數字顯示 IP 位址 -i 指定擷取封包的網路介面 -w 將擷取的封包直接寫入檔案當中不做分析與顯示於畫面
參數 說明-r 從指定的檔案文件中讀取資料該檔案文件由 -w 所製造出來-v 顯示詳細的封包資訊多了 TTL 及服務類型-s 設定每一個封包的大小-S 用絕對數並非相對數的值列出 TCP 連接數-tt 顯示出原始時間並且為不格式化的時間-n 不進行 IP Address 到 Domain
Name 的轉換-nn 不進行 Port 的轉換如 22 就是
ssh
-x 用十六進位字碼列出封包資料
WinDump相關參數列表
2-40
網路安全
WinDump 簡易使用操作說明bull 語法 windump 參數bull 查看目前系統可使用的網卡介面
ndash windump -Dbull 透過查看網卡介面以利後續監聽之用
2-41
網路安全
WinDump 簡易使用操作說明 (續 )
bull WinDump -i 網卡介面代號 -c 擷取封包數量 port 通訊埠
bull 例 WinDump -i 2 -c 10 port 80
2-42
網路安全
WinDump 簡易使用操作說明 (續 )
bull 因於命令提示字元視窗內所顯示的資訊不易閱讀可透過下列指令將其所擷取的資訊導向至檔案bull Windump -i 網卡介面代號 gt 檔名
ndash windump -i 2 -c 10 -w message port 80ndash windump -r message gt messagetxtndash windump -i 2 -c 10 port 80 gt messagetxt
2-43
網路安全
WinDump 簡易使用操作說明 (續 )
112338326205 此為封包被擷取的時間『 HHMMSSfraction』的單位IP 透過的通訊協定是 IPwinser 1099 gt w1wwwviptw1yahoocomtw80 代表的是傳送端是 winser 傳送的通訊埠為 1099 大於 (gt) 的符號指的是封包的傳輸方向 w1wwwviptw1yahoocomtw 為接收端 80 為接收埠
P(PUSH) 為資料傳輸標誌且傳輸的資料為整體資料的 1~ 699 byte 所以這個封包帶有 698 bytes 的資料量 ack 1 win 65535 ACK與Window size 的相關資料2-44
網路安全
bull 以 Testbed建立一實驗相關拓樸及設定如下圖SSHClientOSWINXP-SP3-CH-pc3000 IP 10113安裝軟體 putty
SSHServerOSWINXP-SP3-CH-pc3000IP 10123安裝軟體 sshd
實驗環境介紹
2-45
IP1
IP2
WireDumpOSWINXP-SP3-CH-pc3000IP1 10112IP2 10122安裝軟體 WinDump
網路安全
實驗拓樸 on TestbedTWISC- 建立完成的實驗拓樸
2-46
網路安全
SSH連線觀察bull 利用 Putty連線到 SSHServer從中觀察到三向交握建立連線的動作從 SSHClient 端利用 putty連線到SSHServer(10123)的 sshd服務
2-47
網路安全
SSH連線觀察 (續 )
bull SSH 在連線之前會利用三向交握的方式建立連線bull 利用 WinDump觀察 SSH連線動作
ndash 指令 WinDumpexe -N -S -i 4 port 22
三向交握的三個封包三向交握示意圖Server lt- Client SYN 你想連線Server -gt Client SYN ACK 可以我接受Server lt- Client ACK 謝謝
2-48
網路安全
架設實作 (二 )
FTP 擷取密碼案例
2-49
網路安全
FTPClientOSWINXP-SP3-pc3000IP 10112安裝軟體 FileZilla
FTPServerOSWINXP-SP3-pc3000IP 10123安裝軟體 RaidenFTPD
實驗環境介紹bull 以 Testbed建立一實驗相關拓樸及設定如下圖
2-50
IP1IP2
WireSharkOSWINXP-SP3-pc3000IP1 10113IP2 10122安裝軟體 Wireshark
網路安全
實驗拓樸 on TestbedTWISC- 建立完成的實驗拓樸
2-51
網路安全
FTP伺服器工具 - RaidenFTPD
bull 版本ndash 24 build 3720
bull 支援作業平台ndash Windows
bull 下載位址ndash httpwwwraidenmaildcomdownloadraidenftpd2exe
2-52
網路安全
RaidenFTPD 安裝步驟bull 下載Windows平台最新版本檔案下載完成後執行該安裝程式
2-53
網路安全
RaidenFTPD 安裝步驟 (續 )
bull 此步驟使用預設路徑即可按下 Install 進行安裝
2-54
網路安全
RaidenFTPD設定步驟bull 程式開啟畫面如下選擇 Click here to start a new
server 進行 FTP伺服器設定
2-55
網路安全
RaidenFTPD設定步驟 (續 )
bull 此處可設定 Server name與 Server IP 將 Auto IP 取消勾選並將 Server IP設為 10123
2-56
網路安全
RaidenFTPD設定步驟 (續 )
bull 接下來的步驟依照預設值即可
2-57
網路安全
RaidenFTPD設定步驟 (續 )
bull 設定人員帳號與群組按下 Add鈕輸入帳號密碼群組名稱可略過完成後按下 Next 進行下一步驟
2-58
網路安全
RaidenFTPD設定步驟 (續 )
bull 此步驟設定該帳號登入 FTP 時的權限選擇NORMAL 按下 Next 進行下一步驟
2-59
網路安全
RaidenFTPD設定步驟 (續 )
bull 接下來的步驟皆以預設值即可完成設定之後會出現對話視窗顯示您所設定的資訊
2-60
網路安全
FTP 用戶端工具 - Filezilla
bull 版本ndash 328
bull 支援作業平台ndash Windows Linux及Mac
bull 下載位址ndash httpsourceforgenetprojectsfilezillafiles
FileZilla_Client328FileZilla_328_win32zipdownload
2-61
網路安全
Filezilla 安裝步驟bull 執行 Filezilla 安裝程式點選 I agree 鈕
2-62
網路安全
Filezilla 安裝步驟 (續 )
bull 以預設值安裝點選兩次 Next 鈕
2-63
網路安全
Filezilla 安裝步驟 (續 )
bull 以預設值安裝點選 Next 鈕後再點選 Install 鈕
2-64
網路安全
Filezilla 安裝步驟 (續 )
bull 以預設值安裝點選 Next 鈕後再點選 Finish 鈕
2-65
網路安全
封包擷取工具 - Wireshark
bull 版本ndash 165
bull 支援作業平台ndash Windows Linux及 FreeBSD
bull 其他需求ndash 安裝WinPcap 31 以上版本
bull 下載位址ndash httpwiresharkdownloadsriverbedcomwireshark
win32wireshark-win32-165exe
2-66
網路安全
Wireshark 安裝步驟bull 至官方網站下載Windows平台最新版本檔案下載完成後執行該安裝程式
2-67
網路安全
Wireshark 安裝步驟 (續 )
bull 於下一步出現的版權宣告點選 I Agree鈕後繼續下一步驟
2-68
網路安全
Wireshark 安裝步驟 (續 )
bull 此步驟選擇欲安裝的元件以軟體預設勾選之項目安裝
2-69
網路安全
Wireshark 安裝步驟 (續 )
bull 此步驟使用預設路徑即可
2-70
網路安全
Wireshark 安裝步驟 (續 )
bull 此步驟將安裝Windows平台須加裝之套件 -WinPcap 若原系統未安裝過 WinPcap套件請以軟體預設項目安裝之
2-71
網路安全
Wireshark 安裝步驟 (續 )
bull 此步驟代表 Wireshark軟體已安裝完成可點選Finish 鈕或勾選 Run Wireshark 165 隨即使用該套軟體
2-72
網路安全
一般工具列Wireshark軟體介面介紹
2-73
篩選工具列封包清單窗格
封包內容窗格封包位元組窗格
網路安全
Wireshark 使用思考方向bull 遇到網路問題是否觀察網路通道中有異常動作或狀況
ndash 思考方向ndash 反應到擷取數據方法那麼以 Wireshark 擷取使用者需要擷取哪些數據這些數據由使用者電腦哪個裝置來擷取
bull Wireshark操作流程
bull 接下來我們進行軟體操作介紹
解決問題 擷取數據要先做什麼
擷取數據 擷取哪些數據( 過濾條件 )數據哪裡來( 網路介面卡 )
2-74
網路安全
數據哪裡來 - Capture功能bull 一開啟方式
ndash 1 點選快速鈕如紅色圈所示ndash 2 點選 Capture功能表 下拉選單後點選 Optionsndash 3鍵盤快速鍵 Ctrl + K
2-75
網路安全
數據哪裡來 - Capture功能 (續 )
bull 二開啟後顯示 Capture Options 的視窗畫面即可看到所提供的擷取功能選項
2-76
網路安全
數據哪裡來 - Capture功能 (續 )
bull Capture Options 常用的欄位設定ndash Caputure 框
bull 1Interface 會顯示出在系統上所有網路卡但只能選取一個介面作為封包擷取bull 2Capture packets in promiscuous mode 選取此選項就是經過所選取的網路卡的所有封包都會被擷取下來bull 3Capture Filter 指定擷取過濾器運算式擷取想要的特定封包即為擷取中過濾之功能
2-77
網路安全
數據哪裡來 - Capture功能 (續 )
bull Capture Options 常用的欄位設定ndash Display Options 框
bull Update list of packets in real time 指定在擷取封包過程中能夠即時更新已擷取封包清單窗格視窗中的封包資訊若取消則軟體主視窗更新畫面是沒有動作的
2-78
網路安全
bull Capture Options 常用的欄位設定ndash Name Resolution框
bull 1 Enable MAC name resolution 指定是否將網路卡MAC address 的前三個位元組轉換成製造商名稱
bull 2 Enable network name resolution 指定是否將 IP address轉換成 DNS 網域名稱
bull 3 Enable transport name resolution 指定是否將通信埠號碼 (port numbers)轉成協定名稱 (protocols)bull 各位了解數據從哪裡擷取的概念與操作之後即可以進一步加上附帶條件 (篩選條件 ) 等相關操作方式
數據哪裡來 - Capture功能 (續 )
2-79
網路安全
Wireshark操作手法bull 延續遇到問題的思考方向及軟體操作手法我們可以將操作流程分為兩種
ndash 擷取中過濾 (Filter while capturing)bull 優點僅擷取已知範圍資訊網路流量少bull 缺點需先了解問題類型避免可能有遺漏真正欲擷取資訊之狀況
ndash 檢視中過濾 (Filter packets while viewing)bull 優點不用先預設條件擷取所有封包資訊bull 缺點影響網路流量
先預設欲擷取條件 擷取數據
擷取數據 再篩選欲查詢數據2-80
網路安全
Wireshark操作手法 - 擷取中過濾bull 操作步驟
ndash 點選 Capture 下拉視窗選擇 Capture Filters 即呈現此視窗
bull 操作範例ndash 1於 Filter窗格中選擇 IP
Address 10112ndash 2於 Properties窗格中即顯示該選項的設定值如圖所示為 host 10112ndash 3 即可設定軟體僅針對
10112 的封包作擷取動作 延伸操作思考1 改變 Filter string 值得到什麼結果2 點選 Edit 窗格中的 New 鈕 新增自訂條件 2-81
網路安全
Wireshark操作手法 - 檢視中過濾bull 此步驟即以已擷取封包清單窗格為基礎以過濾條件過濾該清單bull 可直接選擇軟體預設項目如以下操作
ndash 操作步驟bull 點選 Analyze 下拉視窗選擇
Display Filters 即呈現此視窗ndash 操作範例
bull 1於 Filter窗格中選擇 IP Address 10112
bull 2於 Properties窗格中即顯示該選項的設定值如圖所示值為host 10112
bull 3 即可設定軟體僅針對 10112的封包作顯示動作 延伸操作思考1 可否進行進一步自訂設定值
2-82
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 若電腦 IP為 10112 欲篩選出 IP 來源為上述 IP 且協定為 TCP 80port 的所有封包ndash 操作步驟
bull 點選 Expression鈕即出現此視窗ndash 1於 Field name框選擇
IP項目中的 ipsrc - Source
ndash 2於 Relation框選擇 ==ndash 3於 Value [IPV4
address]填 入 10112ndash 4 點選 OK鈕 進階思考方式須考慮到例如是來源資訊是目標資訊是什麼協定等更細部所要之條件
2-83
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 再進行第二篩選條件ndash TCP 80 port
bull 操作步驟ndash 1先於 Filter string 輸入文字框「 ipsrc==
10112」後再加上一個空格及「 and 」再進行一次 Expression條件選擇
2-84
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
ndash 2於 Field name框選擇「 tcpdstport」ndash 3於 Relation框選擇「 ==」ndash 4於 Value框填入「 80」ndash 5 選擇「 OK」鈕
2-85
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 注意 Propeties框內的Filter string欄位值已改變為「 ipsrc == 10112 and tcpdstport == 80」
bull 確認條件正確後點選「 OK 」鈕即可發現已擷取封包清單窗格的項目均為所設定過濾條件過濾過結果2-86
網路安全
bull 可單選單一封包進行更進階查詢封包內容bull 操作方式為
ndash 點選其中一項封包項目點選滑鼠右鍵選擇Follow TCP Stream
Wireshark操作手法 - 檢視中過濾 (續 )
2-87
網路安全
ndash 此畫面即可看出該項 TCP 封包溝通內容Wireshark操作手法 - 檢視中過濾 (續 )
2-88
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 此功能將所擷取的封包清單使用多種方式呈現封包統計資料便於使用者查詢擷取時間內何種封包數量多寡及圖型顯示bull 操作步驟點選 Statistics 下拉視窗即呈現此視窗 顯示有關擷取清單的摘要以階梯式通訊協定列表顯示所擷取的所有封包
在特定 IP間顯示通訊流量顯示單一 IP 來往封包的流量
以時間軸顯示視覺化封包流量圖2-89
網路安全
bull 可查看到一時段內其封包總數與平均每秒傳遞接收封包數等相關資訊讓使用者了解平均一時段內網路流量狀況藉以初步獲得資訊
Wireshark操作手法 - 檢視中過濾 (續 )
2-90
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 讓使用者可透過階梯式封包分類表來查看哪一類封包佔為居多可進一步推測是否該類型封包影響到整體網路或是否有異常或不常見封包類型在網路中傳遞
2-91
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 將該擷取時段內封包清單檔以兩個特定 IP 之間對傳封包為區隔顯示出哪兩個特定 IP間傳遞封包數多寡bull 可讓使用者更進一步研判兩個特定 IP所屬設備傳遞狀況是否異常
2-92
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 將該擷取時段內封包清單檔以特定IP 傳遞封包數為區隔顯示出哪特定IP 傳遞封包數多寡
bull 可讓使用者更進一步研判該特定所屬設備傳遞封包數是否異常作為管制緊急管制或禁止通訊之證明2-93
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 以時間軸顯示視覺化封包流量圖bull 讓使用者可觀察所管理設備資訊流通量以了解設備是否能負荷或作相關調整等處置
2-94
網路安全
FTP 擷取密碼案例bull 於Wireshark軟體選擇 Capture 下拉選單功能項點選 Interfaces 選項
2-95
網路安全
FTP 擷取密碼案例 (續 )
bull 確認欲擷取封包之網卡名稱如紅色底線所示確認後點選 Start鈕
2-96
網路安全
FTP 擷取密碼案例 (續 )
bull 切換至 FTP Client 電腦開啟 FileZilla 程式後連線到 FTP Server 於 Host 填入10123 Username填入 tester Password填入testpw 後點選 Quickconnect鈕
2-97
網路安全
FTP 擷取密碼案例 (續 )
bull 擷取到的封包資訊會顯示於已擷取封包清單窗格內
2-98
網路安全
FTP 擷取密碼案例 (續 )
bull 使用 FTP軟體登入 ftp站後 Wireshark 將擷取到的使用者名稱與密碼如紅框所示
2-99
網路安全
FTP 擷取密碼案例 (續 )
bull 點選已擷取封包清單窗格的密碼資訊列如標示1 的紅框所示即可在封包內容窗格看到該密碼的位元碼如標示 2 的紅框所示
1
2
2-100
網路安全
架設實作 (三 )
Outlook Express 擷取密碼案例
2-101
網路安全
實驗環境介紹bull 以 Testbed建立一實驗相關拓樸及設定如下圖
OEClientOSWindows XP SP3IP 10112執行 Outlook Express
MailServerOSWindows XP SP3IP 10122安裝軟體 ArGoSoft Mail Server
2-102
WiresharkOSWindows XP SP3IP1 10113 IP2 10123安裝軟體 Wireshark
IP1IP2
網路安全
實驗拓樸 on TestbedTWISC- 建立完成的實驗拓樸
2-103
網路安全
郵件伺服器工具 - ArGoSoft Mail Server
bull 版本ndash 1892 Freeware
bull 支援作業平台ndash Windows
bull 下載位址ndash httpwwwsoftkingcomtwsoftdownloadaspfid3=7367
2-104
網路安全
郵件客戶端工具 - Outlook Express
bull 版本ndash 60
bull 支援作業平台ndash Windows
bull 下載位址ndash Windows 內建
2-105
網路安全
bull 安裝及設定郵件伺服器ndash 1下載並執行 ArGoSoft Mail Server軟體點選
Setup鈕
Outlook Express 擷取密碼案例
2-106
網路安全
ndash 1 點選 Next鈕ndash 2 點選 Start Installation鈕
Outlook Express 擷取密碼案例 (續 )
2-107
網路安全
ndash 3 點選 OK鈕ndash 4 點選 Finish鈕完成軟體安裝
Outlook Express 擷取密碼案例 (續 )
2-108
網路安全
ndash 5 點選使用者設定鈕如紅圈所示ndash 6 點選新增鈕如紅框所示
Outlook Express 擷取密碼案例 (續 )
2-109
網路安全
ndash 7填入使用者名稱 (tester) 及密碼 (testpw) 如紅圈所示填寫完成後點選 OK鈕ndash 8 點選 Close鈕關閉使用者設定視窗
Outlook Express 擷取密碼案例 (續 )
2-110
網路安全
ndash 9 點選選項鈕如左側圖中紅色圈所示ndash 10 點選紅色打勾鈕如右側圖中紅色圈所示
2-111
Outlook Express 擷取密碼案例 (續 )
網路安全
ndash 11該軟體會自動選取 DNS Server 待選取後點選 Yes鈕ndash 12 勾選 Allow Relay 選項如紅框所示
2-112
Outlook Express 擷取密碼案例 (續 )
網路安全
Outlook Express 擷取密碼案例 (續 )
bull 設定收信帳號ndash 1 點選 Tools功能選單選擇 Accounts 選項
2-113
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 2 點選 Add鈕選擇 Mail 選項
2-114
網路安全
ndash 3填入 tester 點選 Next鈕ndash 4填入 testertestcom 點選 Next鈕
Outlook Express 擷取密碼案例 (續 )
2-115
網路安全
ndash 5填入 10123 如紅框所示點選 Next鈕ndash 6填入帳號為 tester 及密碼為 testpw 點選 Next鈕
Outlook Express 擷取密碼案例 (續 )
2-116
網路安全
ndash 7 點選 Finish鈕ndash 8 點選 Close鈕
Outlook Express 擷取密碼案例 (續 )
2-117
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 模擬條件準備好後首先準備Wireshark 擷取動作開啟Wireshark
2-118
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 於Wireshark軟體選擇 Capture 下拉選單功能項點選 Interfaces 選項
2-119
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 確認欲擷取封包之網卡名稱如紅色底線所示確認後點選 Start鈕
2-120
網路安全
ndash 當使用者收發 email 時即被 Wireshark攔截封包ndash 有發現到該 Outlook Express帳號密碼是如此清晰可見的嗎
Outlook Express 擷取密碼案例 (續 )
2-121
網路安全
結論bull 學習了 Wireshark及WinDump 兩套網路封包擷取軟體基本概念如同電話側錄概念相同從中複製一連串資訊來分析與了解網路的流量及內容為何bull 當你發現網路速度緩慢等狀況你是否會反應到所學的基本概念來找尋問題所在bull 防範概念由此課程的實例可以了解網路內容如被有心人士擷取所造成的損失相當可觀故你是否有對策有哪些方式你可以應用來防範bull 正確的思考善用對的工具將對解決問題事半功倍
2-122
網路安全 2-123
Module 2-5 封包擷取與分析的專案實作()
網路安全
專案目的bull 建立遠端管理傳遞指令資訊環境bull 利用實際攔截封包操作的方式讓同學了解封包擷取運作與網路資訊流通的顧慮等相關議題
2-124
網路安全
專案描述bull 近年來遠端管理伺服器及網路服務普及光是密碼保護就足夠了嗎是否重點網段須全程加密還是作網段隔離經由此專案實作即可了解不僅部分加密仍有其風險所在網路架構如何規劃將是非常重要的課題bull 參考環境配置圖完成下列要求①環境裡的攔截封包主機是 Windows XP SP3 作業系統而該主機安裝Wireshark軟體②另兩台主機的作業系統亦是 Windows XP SP3 並裝上
MySQL軟體 MySQL帳號為 root 密碼為您的學號 (如 Q3896105)
③在MySQLClient 電腦使用 MySQL Commandline 指令連線至MySQLServer 擷取資料庫資訊
④我們針對這兩台主機傳訊的封包擷取由整個實做中思考如何防範資訊外洩與了解傳訊封包如何流動及運作2-125
網路安全
環境配置圖bull 以 Testbed建立一實驗相關拓樸及設定如下圖
MySQLServerOSWINXP-SP3-CH-pc3000 IP 10123安裝軟體 MySQL
MySQLClientOSWINXP-SP3-CH-pc3000 IP 10112安裝軟體 MySQL
2-126
WireSharkOSWINXP-SP3-CH-pc3000 IP1 10113IP2 10122安裝軟體 Wireshark
IP1IP2
網路安全
作業繳交bull 請參考情境測試發送數個 SQL 指令並將過程與擷取到的封包資訊之截圖列於報告中所有圖表皆需要輔以文字說明bull Deadline 2012312 下午 500 以前bull 作業範圍 Module 2-5 (page 2-128)bull 方式 (參考課程網址 )
ndash 帳號密碼小寫的 (ns100ns100)ndash IP 140116164167
2-127
網路安全
有問題嗎
bull 關於 TestBed 使用上的問題請直接 Email至 twisc-testbed-usergooglegroupscom 將有專人為您服務bull 課程網址
httpitlabeenckuedutwcoursesNS_100indexhtml
2-128
bull 助教資訊 (參考課程網址 )
網路安全
參考資料bull Dienet httplinuxdienetman1wiresharkbull Orebaugh Angela Ramirez Gilbert Burke Josh Pesce Larry Wright
Joshua(2007) Wireshark and Ethereal network protocol analyzer toolkitbull Tony Fortunato(2007) Wireshark Training Retrieved July 22 2009 from
the World Wide Web httpwwwthetechfirmcometherealwiresharkpdfbull WinDump httpwwwwinpcaporgWinDumpbull Wireshark httpwwwwiresharkorgbull Wireshark University httpwwwwiresharktrainingcombull 楊中皇 (民 97年 ) 網路安全理論與實務 (2版 ) 台北市學貫bull 蘇淑茵教授 Wireshark 民國 98年 6月 28日取自 httpmywebnckuedutw~sisou
2-129
網路安全
bull 目前網路使用相當多不同類型的通訊協定下圖列舉出在 OSI 協定七層中常見的通訊協定bull 網路上有許多不安全的通訊協定且大多採用明碼方式傳送經常造成資訊外洩如
HTTP TELNET及 SMTP 等故必要時須顧慮到資訊安全的議題
PPP
IPARP
UDP TCP
TelnetFTPSMTP
SLIP
HTTP
網路 OSI七層常見通訊協定類型
2-19
網路安全
封包結構與傳輸過程Application
TCP
IP
DeviceDriver
SMTPTELNETFTP
TCPUDP
ARPRARPICMP
EthernetX25PPP
TCPIP 四層 常見通訊協定User Data
App Header
Application DataTCP Header
IP Header
Frame Header
Frame Trailer
User Data
Application Data
Application Data
TCP Header
TCP Header
IP Header
TCP Segment
IP Segment
Frame
封包封裝
Socket NetBIOS
2-20
網路安全
IP 表頭
2-21
0
Precedence(3 Bits)
Delay(1 Bit)
Throughout(1Bit)
Reliability(1 Bit)
Cost(1 Bit)
Reserved(1Bit)
Type Of Service(8 Bits)
=
Reserved(1 Bit)
Donrsquot Fragment
(1 Bit)
More Fragment
(1 Bit)
Flags(3 Bits)
=
Version(4 Bits)
IHL(4 Bits)
Total Length(16 Bits)
Identification(16 Bits)
Fragment Offset(13 Bits)
Time to Live(8 Bits)
Protocal(8Bits)
Header Checksum(16 Bits)
Source Address (32 Bits)
Destination Address (32 Bits)
Options (長度不定 ) Padding (長度不定 )
32
64
96
128
160
Type of Service(8Bits)
Flags(3
Bits)
網路安全
封包 header 實例
2-22
網路安全
封包擷取的原理
A電腦網路卡
目的地A封包
目的地B封包
被丟棄
2-23
網路安全
封包擷取的原理 (續 )
bull 為了監聽到其他使用者的封包監聽者會將網路卡修改為混亂模式 (Promiscuous) 混亂模式不會對目標 MAC 位置做檢查的動作而是將所收到的所有封包做接收的動作bull 藉由混亂模式就可以在 HUB 的區域網路環境中或無線網路的環境中擷取其他人的封包訊息
2-24
網路安全
Module 2-3 封包擷取工具介紹 ()
2-25
網路安全
封包擷取工具比較bull 商業軟體
ndash 優 有廠商維護支援性較佳ndash 缺 成本較高ndash 例 NetResident與 EtherDetect
bull 免費軟體ndash 優 成本較低ndash 缺 功能與使用說明較為簡略ndash 例 Wireshark與WinDump
2-26
網路安全
封包擷取工具 - WinDump
bull 一種開放原始碼的網路軟體工具為 Windows版的 tcpdumpbull 可以分析封包的流向並且對於封包的內容也可以進行 監聽 bull WinDump運算式是一種規則運算式利用一些條件來進行訊息的過濾當訊息滿足運算式的條件則會將其資訊捕獲如果沒有給出任何條件則網路上所有的資訊包將會被擷獲bull 例 WinDump -i interface -c 10 -n port 80 -w
filename
2-27
網路安全
封包擷取工具 - Wireshark
bull 開放原始碼軟體bull 起源於 1997年 Wireshark 的前身即為 Ethereal因為商標問題而改名成 Wiresharkbull 支援通訊協定多且完整使用圖形化的介面讓操作者容易上手過濾條件切割細密讓使用者可於乙太網路撈取且經數據過濾分析後的數據流bull 可由此軟體能夠擷取網路封包並盡可能顯示出最為詳細的網路封包資料提供各方應用
2-28
網路安全
網路存取函式庫 - WinPcap
bull WinPcap 是著名 Unix libpcap的Windows版本API
bull Pcap 是用來擷取封包的應用程式介面 (Application Programming Interface API)
bull 免費直接網路存取函式庫bull 許多網路應用軟體運行均須安裝此套函式庫如WiresharkWinDump Nmap及 Snort
2-29
網路安全
WinDump與Winpcab 示意圖bull 透過 WinDump及Winpcap 工具擷取並分析封包後再將資料蒐集至電腦設備中
2-30
乙太網路Ethernet
網路工具
Windump分析封包結構
Winpcap擷取並過濾封包
封包資訊
網路安全 2-31
Module 2-4 封包擷取的實務 ()
網路安全 2-32
Linux kernel packet processing
網路安全 2-33
網路安全
說明bull 架設實作 (一 ) 請將介紹如何安裝與使用
WinDump 依實驗拓樸請使用 WireDump 主機做安裝及測試bull 架設實作 (二 ) 請利用 Wireshark軟體對 FTP 進行封包擷取依實驗拓樸請使用 Wireshark 主機做安裝及測試bull 架設實作 (三 ) 請利用 Wireshark軟體對
Outlook Express進行封包擷取依實驗拓樸請使用 Wireshark 主機做安裝及測試2-34
網路安全
架設實作 (一 )
WinDump 實作 -SSH連線觀察
2-35
網路安全
封包擷取工具 - WinDump
bull 版本ndash 395
bull 支援作業平台ndash Windows 9598NT2000XP2003
bull 其他需求ndash 安裝WinPcap 31 以上版本
bull 下載位址ndash httpwwwwinpcaporgwindumpinstallbin
windump_3_9_5WinDumpexe
2-36
網路安全
其他需求工具 - WinPcap
bull 版本ndash 402 stable
bull 支援作業平台ndash Windows NT42000
Windows XP2003Vista (x86 and x64)Windows Server 2008 (x86 and x64)
bull 下載位址ndash httpwwwwinpcaporginstallbin
WinPcap_4_0_2exe
2-37
網路安全
WinPcap 安裝步驟bull WinPcap 下載完成後即可進行安裝bull 安裝畫面如下點選 Next按鈕繼續下一步
2-38
網路安全
WinDump與WinPcap測試bull 請將下載的 WinDumpexe 檔案存放至 C
Windowssystem32 的目錄之下bull 測試WinDump及WinPcap 是否可運作
ndash 點選開始 -gt 程式集 -gt附屬應用程式 -gt命令提示字元 -gt 輸入「 windump 」按下 Enter 即會出現「 windump listening on DeviceNPF_GenericDialupAdapter」的訊息代表WinDump及WinPcap 安裝成功且可運作
ndash 停止監聽按「 Ctrl + C」將顯示擷取封包的數量
2-39
網路安全
參數 說明-c 指定收到的封包數目當達到該數目時 Tcpdump 即會停止-d 把編譯過的封包編碼轉碼成可閱讀的格式放置於標準輸出-dd 把編譯過的封包編碼轉碼成 C 語言的格式放置於標準輸出-ddd 把編譯過的封包編碼轉碼成十進位的格式放置於標準輸出-F 從所指定的文件中讀取運算式進而忽略其他運算式-f 用數字顯示 IP 位址 -i 指定擷取封包的網路介面 -w 將擷取的封包直接寫入檔案當中不做分析與顯示於畫面
參數 說明-r 從指定的檔案文件中讀取資料該檔案文件由 -w 所製造出來-v 顯示詳細的封包資訊多了 TTL 及服務類型-s 設定每一個封包的大小-S 用絕對數並非相對數的值列出 TCP 連接數-tt 顯示出原始時間並且為不格式化的時間-n 不進行 IP Address 到 Domain
Name 的轉換-nn 不進行 Port 的轉換如 22 就是
ssh
-x 用十六進位字碼列出封包資料
WinDump相關參數列表
2-40
網路安全
WinDump 簡易使用操作說明bull 語法 windump 參數bull 查看目前系統可使用的網卡介面
ndash windump -Dbull 透過查看網卡介面以利後續監聽之用
2-41
網路安全
WinDump 簡易使用操作說明 (續 )
bull WinDump -i 網卡介面代號 -c 擷取封包數量 port 通訊埠
bull 例 WinDump -i 2 -c 10 port 80
2-42
網路安全
WinDump 簡易使用操作說明 (續 )
bull 因於命令提示字元視窗內所顯示的資訊不易閱讀可透過下列指令將其所擷取的資訊導向至檔案bull Windump -i 網卡介面代號 gt 檔名
ndash windump -i 2 -c 10 -w message port 80ndash windump -r message gt messagetxtndash windump -i 2 -c 10 port 80 gt messagetxt
2-43
網路安全
WinDump 簡易使用操作說明 (續 )
112338326205 此為封包被擷取的時間『 HHMMSSfraction』的單位IP 透過的通訊協定是 IPwinser 1099 gt w1wwwviptw1yahoocomtw80 代表的是傳送端是 winser 傳送的通訊埠為 1099 大於 (gt) 的符號指的是封包的傳輸方向 w1wwwviptw1yahoocomtw 為接收端 80 為接收埠
P(PUSH) 為資料傳輸標誌且傳輸的資料為整體資料的 1~ 699 byte 所以這個封包帶有 698 bytes 的資料量 ack 1 win 65535 ACK與Window size 的相關資料2-44
網路安全
bull 以 Testbed建立一實驗相關拓樸及設定如下圖SSHClientOSWINXP-SP3-CH-pc3000 IP 10113安裝軟體 putty
SSHServerOSWINXP-SP3-CH-pc3000IP 10123安裝軟體 sshd
實驗環境介紹
2-45
IP1
IP2
WireDumpOSWINXP-SP3-CH-pc3000IP1 10112IP2 10122安裝軟體 WinDump
網路安全
實驗拓樸 on TestbedTWISC- 建立完成的實驗拓樸
2-46
網路安全
SSH連線觀察bull 利用 Putty連線到 SSHServer從中觀察到三向交握建立連線的動作從 SSHClient 端利用 putty連線到SSHServer(10123)的 sshd服務
2-47
網路安全
SSH連線觀察 (續 )
bull SSH 在連線之前會利用三向交握的方式建立連線bull 利用 WinDump觀察 SSH連線動作
ndash 指令 WinDumpexe -N -S -i 4 port 22
三向交握的三個封包三向交握示意圖Server lt- Client SYN 你想連線Server -gt Client SYN ACK 可以我接受Server lt- Client ACK 謝謝
2-48
網路安全
架設實作 (二 )
FTP 擷取密碼案例
2-49
網路安全
FTPClientOSWINXP-SP3-pc3000IP 10112安裝軟體 FileZilla
FTPServerOSWINXP-SP3-pc3000IP 10123安裝軟體 RaidenFTPD
實驗環境介紹bull 以 Testbed建立一實驗相關拓樸及設定如下圖
2-50
IP1IP2
WireSharkOSWINXP-SP3-pc3000IP1 10113IP2 10122安裝軟體 Wireshark
網路安全
實驗拓樸 on TestbedTWISC- 建立完成的實驗拓樸
2-51
網路安全
FTP伺服器工具 - RaidenFTPD
bull 版本ndash 24 build 3720
bull 支援作業平台ndash Windows
bull 下載位址ndash httpwwwraidenmaildcomdownloadraidenftpd2exe
2-52
網路安全
RaidenFTPD 安裝步驟bull 下載Windows平台最新版本檔案下載完成後執行該安裝程式
2-53
網路安全
RaidenFTPD 安裝步驟 (續 )
bull 此步驟使用預設路徑即可按下 Install 進行安裝
2-54
網路安全
RaidenFTPD設定步驟bull 程式開啟畫面如下選擇 Click here to start a new
server 進行 FTP伺服器設定
2-55
網路安全
RaidenFTPD設定步驟 (續 )
bull 此處可設定 Server name與 Server IP 將 Auto IP 取消勾選並將 Server IP設為 10123
2-56
網路安全
RaidenFTPD設定步驟 (續 )
bull 接下來的步驟依照預設值即可
2-57
網路安全
RaidenFTPD設定步驟 (續 )
bull 設定人員帳號與群組按下 Add鈕輸入帳號密碼群組名稱可略過完成後按下 Next 進行下一步驟
2-58
網路安全
RaidenFTPD設定步驟 (續 )
bull 此步驟設定該帳號登入 FTP 時的權限選擇NORMAL 按下 Next 進行下一步驟
2-59
網路安全
RaidenFTPD設定步驟 (續 )
bull 接下來的步驟皆以預設值即可完成設定之後會出現對話視窗顯示您所設定的資訊
2-60
網路安全
FTP 用戶端工具 - Filezilla
bull 版本ndash 328
bull 支援作業平台ndash Windows Linux及Mac
bull 下載位址ndash httpsourceforgenetprojectsfilezillafiles
FileZilla_Client328FileZilla_328_win32zipdownload
2-61
網路安全
Filezilla 安裝步驟bull 執行 Filezilla 安裝程式點選 I agree 鈕
2-62
網路安全
Filezilla 安裝步驟 (續 )
bull 以預設值安裝點選兩次 Next 鈕
2-63
網路安全
Filezilla 安裝步驟 (續 )
bull 以預設值安裝點選 Next 鈕後再點選 Install 鈕
2-64
網路安全
Filezilla 安裝步驟 (續 )
bull 以預設值安裝點選 Next 鈕後再點選 Finish 鈕
2-65
網路安全
封包擷取工具 - Wireshark
bull 版本ndash 165
bull 支援作業平台ndash Windows Linux及 FreeBSD
bull 其他需求ndash 安裝WinPcap 31 以上版本
bull 下載位址ndash httpwiresharkdownloadsriverbedcomwireshark
win32wireshark-win32-165exe
2-66
網路安全
Wireshark 安裝步驟bull 至官方網站下載Windows平台最新版本檔案下載完成後執行該安裝程式
2-67
網路安全
Wireshark 安裝步驟 (續 )
bull 於下一步出現的版權宣告點選 I Agree鈕後繼續下一步驟
2-68
網路安全
Wireshark 安裝步驟 (續 )
bull 此步驟選擇欲安裝的元件以軟體預設勾選之項目安裝
2-69
網路安全
Wireshark 安裝步驟 (續 )
bull 此步驟使用預設路徑即可
2-70
網路安全
Wireshark 安裝步驟 (續 )
bull 此步驟將安裝Windows平台須加裝之套件 -WinPcap 若原系統未安裝過 WinPcap套件請以軟體預設項目安裝之
2-71
網路安全
Wireshark 安裝步驟 (續 )
bull 此步驟代表 Wireshark軟體已安裝完成可點選Finish 鈕或勾選 Run Wireshark 165 隨即使用該套軟體
2-72
網路安全
一般工具列Wireshark軟體介面介紹
2-73
篩選工具列封包清單窗格
封包內容窗格封包位元組窗格
網路安全
Wireshark 使用思考方向bull 遇到網路問題是否觀察網路通道中有異常動作或狀況
ndash 思考方向ndash 反應到擷取數據方法那麼以 Wireshark 擷取使用者需要擷取哪些數據這些數據由使用者電腦哪個裝置來擷取
bull Wireshark操作流程
bull 接下來我們進行軟體操作介紹
解決問題 擷取數據要先做什麼
擷取數據 擷取哪些數據( 過濾條件 )數據哪裡來( 網路介面卡 )
2-74
網路安全
數據哪裡來 - Capture功能bull 一開啟方式
ndash 1 點選快速鈕如紅色圈所示ndash 2 點選 Capture功能表 下拉選單後點選 Optionsndash 3鍵盤快速鍵 Ctrl + K
2-75
網路安全
數據哪裡來 - Capture功能 (續 )
bull 二開啟後顯示 Capture Options 的視窗畫面即可看到所提供的擷取功能選項
2-76
網路安全
數據哪裡來 - Capture功能 (續 )
bull Capture Options 常用的欄位設定ndash Caputure 框
bull 1Interface 會顯示出在系統上所有網路卡但只能選取一個介面作為封包擷取bull 2Capture packets in promiscuous mode 選取此選項就是經過所選取的網路卡的所有封包都會被擷取下來bull 3Capture Filter 指定擷取過濾器運算式擷取想要的特定封包即為擷取中過濾之功能
2-77
網路安全
數據哪裡來 - Capture功能 (續 )
bull Capture Options 常用的欄位設定ndash Display Options 框
bull Update list of packets in real time 指定在擷取封包過程中能夠即時更新已擷取封包清單窗格視窗中的封包資訊若取消則軟體主視窗更新畫面是沒有動作的
2-78
網路安全
bull Capture Options 常用的欄位設定ndash Name Resolution框
bull 1 Enable MAC name resolution 指定是否將網路卡MAC address 的前三個位元組轉換成製造商名稱
bull 2 Enable network name resolution 指定是否將 IP address轉換成 DNS 網域名稱
bull 3 Enable transport name resolution 指定是否將通信埠號碼 (port numbers)轉成協定名稱 (protocols)bull 各位了解數據從哪裡擷取的概念與操作之後即可以進一步加上附帶條件 (篩選條件 ) 等相關操作方式
數據哪裡來 - Capture功能 (續 )
2-79
網路安全
Wireshark操作手法bull 延續遇到問題的思考方向及軟體操作手法我們可以將操作流程分為兩種
ndash 擷取中過濾 (Filter while capturing)bull 優點僅擷取已知範圍資訊網路流量少bull 缺點需先了解問題類型避免可能有遺漏真正欲擷取資訊之狀況
ndash 檢視中過濾 (Filter packets while viewing)bull 優點不用先預設條件擷取所有封包資訊bull 缺點影響網路流量
先預設欲擷取條件 擷取數據
擷取數據 再篩選欲查詢數據2-80
網路安全
Wireshark操作手法 - 擷取中過濾bull 操作步驟
ndash 點選 Capture 下拉視窗選擇 Capture Filters 即呈現此視窗
bull 操作範例ndash 1於 Filter窗格中選擇 IP
Address 10112ndash 2於 Properties窗格中即顯示該選項的設定值如圖所示為 host 10112ndash 3 即可設定軟體僅針對
10112 的封包作擷取動作 延伸操作思考1 改變 Filter string 值得到什麼結果2 點選 Edit 窗格中的 New 鈕 新增自訂條件 2-81
網路安全
Wireshark操作手法 - 檢視中過濾bull 此步驟即以已擷取封包清單窗格為基礎以過濾條件過濾該清單bull 可直接選擇軟體預設項目如以下操作
ndash 操作步驟bull 點選 Analyze 下拉視窗選擇
Display Filters 即呈現此視窗ndash 操作範例
bull 1於 Filter窗格中選擇 IP Address 10112
bull 2於 Properties窗格中即顯示該選項的設定值如圖所示值為host 10112
bull 3 即可設定軟體僅針對 10112的封包作顯示動作 延伸操作思考1 可否進行進一步自訂設定值
2-82
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 若電腦 IP為 10112 欲篩選出 IP 來源為上述 IP 且協定為 TCP 80port 的所有封包ndash 操作步驟
bull 點選 Expression鈕即出現此視窗ndash 1於 Field name框選擇
IP項目中的 ipsrc - Source
ndash 2於 Relation框選擇 ==ndash 3於 Value [IPV4
address]填 入 10112ndash 4 點選 OK鈕 進階思考方式須考慮到例如是來源資訊是目標資訊是什麼協定等更細部所要之條件
2-83
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 再進行第二篩選條件ndash TCP 80 port
bull 操作步驟ndash 1先於 Filter string 輸入文字框「 ipsrc==
10112」後再加上一個空格及「 and 」再進行一次 Expression條件選擇
2-84
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
ndash 2於 Field name框選擇「 tcpdstport」ndash 3於 Relation框選擇「 ==」ndash 4於 Value框填入「 80」ndash 5 選擇「 OK」鈕
2-85
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 注意 Propeties框內的Filter string欄位值已改變為「 ipsrc == 10112 and tcpdstport == 80」
bull 確認條件正確後點選「 OK 」鈕即可發現已擷取封包清單窗格的項目均為所設定過濾條件過濾過結果2-86
網路安全
bull 可單選單一封包進行更進階查詢封包內容bull 操作方式為
ndash 點選其中一項封包項目點選滑鼠右鍵選擇Follow TCP Stream
Wireshark操作手法 - 檢視中過濾 (續 )
2-87
網路安全
ndash 此畫面即可看出該項 TCP 封包溝通內容Wireshark操作手法 - 檢視中過濾 (續 )
2-88
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 此功能將所擷取的封包清單使用多種方式呈現封包統計資料便於使用者查詢擷取時間內何種封包數量多寡及圖型顯示bull 操作步驟點選 Statistics 下拉視窗即呈現此視窗 顯示有關擷取清單的摘要以階梯式通訊協定列表顯示所擷取的所有封包
在特定 IP間顯示通訊流量顯示單一 IP 來往封包的流量
以時間軸顯示視覺化封包流量圖2-89
網路安全
bull 可查看到一時段內其封包總數與平均每秒傳遞接收封包數等相關資訊讓使用者了解平均一時段內網路流量狀況藉以初步獲得資訊
Wireshark操作手法 - 檢視中過濾 (續 )
2-90
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 讓使用者可透過階梯式封包分類表來查看哪一類封包佔為居多可進一步推測是否該類型封包影響到整體網路或是否有異常或不常見封包類型在網路中傳遞
2-91
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 將該擷取時段內封包清單檔以兩個特定 IP 之間對傳封包為區隔顯示出哪兩個特定 IP間傳遞封包數多寡bull 可讓使用者更進一步研判兩個特定 IP所屬設備傳遞狀況是否異常
2-92
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 將該擷取時段內封包清單檔以特定IP 傳遞封包數為區隔顯示出哪特定IP 傳遞封包數多寡
bull 可讓使用者更進一步研判該特定所屬設備傳遞封包數是否異常作為管制緊急管制或禁止通訊之證明2-93
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 以時間軸顯示視覺化封包流量圖bull 讓使用者可觀察所管理設備資訊流通量以了解設備是否能負荷或作相關調整等處置
2-94
網路安全
FTP 擷取密碼案例bull 於Wireshark軟體選擇 Capture 下拉選單功能項點選 Interfaces 選項
2-95
網路安全
FTP 擷取密碼案例 (續 )
bull 確認欲擷取封包之網卡名稱如紅色底線所示確認後點選 Start鈕
2-96
網路安全
FTP 擷取密碼案例 (續 )
bull 切換至 FTP Client 電腦開啟 FileZilla 程式後連線到 FTP Server 於 Host 填入10123 Username填入 tester Password填入testpw 後點選 Quickconnect鈕
2-97
網路安全
FTP 擷取密碼案例 (續 )
bull 擷取到的封包資訊會顯示於已擷取封包清單窗格內
2-98
網路安全
FTP 擷取密碼案例 (續 )
bull 使用 FTP軟體登入 ftp站後 Wireshark 將擷取到的使用者名稱與密碼如紅框所示
2-99
網路安全
FTP 擷取密碼案例 (續 )
bull 點選已擷取封包清單窗格的密碼資訊列如標示1 的紅框所示即可在封包內容窗格看到該密碼的位元碼如標示 2 的紅框所示
1
2
2-100
網路安全
架設實作 (三 )
Outlook Express 擷取密碼案例
2-101
網路安全
實驗環境介紹bull 以 Testbed建立一實驗相關拓樸及設定如下圖
OEClientOSWindows XP SP3IP 10112執行 Outlook Express
MailServerOSWindows XP SP3IP 10122安裝軟體 ArGoSoft Mail Server
2-102
WiresharkOSWindows XP SP3IP1 10113 IP2 10123安裝軟體 Wireshark
IP1IP2
網路安全
實驗拓樸 on TestbedTWISC- 建立完成的實驗拓樸
2-103
網路安全
郵件伺服器工具 - ArGoSoft Mail Server
bull 版本ndash 1892 Freeware
bull 支援作業平台ndash Windows
bull 下載位址ndash httpwwwsoftkingcomtwsoftdownloadaspfid3=7367
2-104
網路安全
郵件客戶端工具 - Outlook Express
bull 版本ndash 60
bull 支援作業平台ndash Windows
bull 下載位址ndash Windows 內建
2-105
網路安全
bull 安裝及設定郵件伺服器ndash 1下載並執行 ArGoSoft Mail Server軟體點選
Setup鈕
Outlook Express 擷取密碼案例
2-106
網路安全
ndash 1 點選 Next鈕ndash 2 點選 Start Installation鈕
Outlook Express 擷取密碼案例 (續 )
2-107
網路安全
ndash 3 點選 OK鈕ndash 4 點選 Finish鈕完成軟體安裝
Outlook Express 擷取密碼案例 (續 )
2-108
網路安全
ndash 5 點選使用者設定鈕如紅圈所示ndash 6 點選新增鈕如紅框所示
Outlook Express 擷取密碼案例 (續 )
2-109
網路安全
ndash 7填入使用者名稱 (tester) 及密碼 (testpw) 如紅圈所示填寫完成後點選 OK鈕ndash 8 點選 Close鈕關閉使用者設定視窗
Outlook Express 擷取密碼案例 (續 )
2-110
網路安全
ndash 9 點選選項鈕如左側圖中紅色圈所示ndash 10 點選紅色打勾鈕如右側圖中紅色圈所示
2-111
Outlook Express 擷取密碼案例 (續 )
網路安全
ndash 11該軟體會自動選取 DNS Server 待選取後點選 Yes鈕ndash 12 勾選 Allow Relay 選項如紅框所示
2-112
Outlook Express 擷取密碼案例 (續 )
網路安全
Outlook Express 擷取密碼案例 (續 )
bull 設定收信帳號ndash 1 點選 Tools功能選單選擇 Accounts 選項
2-113
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 2 點選 Add鈕選擇 Mail 選項
2-114
網路安全
ndash 3填入 tester 點選 Next鈕ndash 4填入 testertestcom 點選 Next鈕
Outlook Express 擷取密碼案例 (續 )
2-115
網路安全
ndash 5填入 10123 如紅框所示點選 Next鈕ndash 6填入帳號為 tester 及密碼為 testpw 點選 Next鈕
Outlook Express 擷取密碼案例 (續 )
2-116
網路安全
ndash 7 點選 Finish鈕ndash 8 點選 Close鈕
Outlook Express 擷取密碼案例 (續 )
2-117
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 模擬條件準備好後首先準備Wireshark 擷取動作開啟Wireshark
2-118
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 於Wireshark軟體選擇 Capture 下拉選單功能項點選 Interfaces 選項
2-119
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 確認欲擷取封包之網卡名稱如紅色底線所示確認後點選 Start鈕
2-120
網路安全
ndash 當使用者收發 email 時即被 Wireshark攔截封包ndash 有發現到該 Outlook Express帳號密碼是如此清晰可見的嗎
Outlook Express 擷取密碼案例 (續 )
2-121
網路安全
結論bull 學習了 Wireshark及WinDump 兩套網路封包擷取軟體基本概念如同電話側錄概念相同從中複製一連串資訊來分析與了解網路的流量及內容為何bull 當你發現網路速度緩慢等狀況你是否會反應到所學的基本概念來找尋問題所在bull 防範概念由此課程的實例可以了解網路內容如被有心人士擷取所造成的損失相當可觀故你是否有對策有哪些方式你可以應用來防範bull 正確的思考善用對的工具將對解決問題事半功倍
2-122
網路安全 2-123
Module 2-5 封包擷取與分析的專案實作()
網路安全
專案目的bull 建立遠端管理傳遞指令資訊環境bull 利用實際攔截封包操作的方式讓同學了解封包擷取運作與網路資訊流通的顧慮等相關議題
2-124
網路安全
專案描述bull 近年來遠端管理伺服器及網路服務普及光是密碼保護就足夠了嗎是否重點網段須全程加密還是作網段隔離經由此專案實作即可了解不僅部分加密仍有其風險所在網路架構如何規劃將是非常重要的課題bull 參考環境配置圖完成下列要求①環境裡的攔截封包主機是 Windows XP SP3 作業系統而該主機安裝Wireshark軟體②另兩台主機的作業系統亦是 Windows XP SP3 並裝上
MySQL軟體 MySQL帳號為 root 密碼為您的學號 (如 Q3896105)
③在MySQLClient 電腦使用 MySQL Commandline 指令連線至MySQLServer 擷取資料庫資訊
④我們針對這兩台主機傳訊的封包擷取由整個實做中思考如何防範資訊外洩與了解傳訊封包如何流動及運作2-125
網路安全
環境配置圖bull 以 Testbed建立一實驗相關拓樸及設定如下圖
MySQLServerOSWINXP-SP3-CH-pc3000 IP 10123安裝軟體 MySQL
MySQLClientOSWINXP-SP3-CH-pc3000 IP 10112安裝軟體 MySQL
2-126
WireSharkOSWINXP-SP3-CH-pc3000 IP1 10113IP2 10122安裝軟體 Wireshark
IP1IP2
網路安全
作業繳交bull 請參考情境測試發送數個 SQL 指令並將過程與擷取到的封包資訊之截圖列於報告中所有圖表皆需要輔以文字說明bull Deadline 2012312 下午 500 以前bull 作業範圍 Module 2-5 (page 2-128)bull 方式 (參考課程網址 )
ndash 帳號密碼小寫的 (ns100ns100)ndash IP 140116164167
2-127
網路安全
有問題嗎
bull 關於 TestBed 使用上的問題請直接 Email至 twisc-testbed-usergooglegroupscom 將有專人為您服務bull 課程網址
httpitlabeenckuedutwcoursesNS_100indexhtml
2-128
bull 助教資訊 (參考課程網址 )
網路安全
參考資料bull Dienet httplinuxdienetman1wiresharkbull Orebaugh Angela Ramirez Gilbert Burke Josh Pesce Larry Wright
Joshua(2007) Wireshark and Ethereal network protocol analyzer toolkitbull Tony Fortunato(2007) Wireshark Training Retrieved July 22 2009 from
the World Wide Web httpwwwthetechfirmcometherealwiresharkpdfbull WinDump httpwwwwinpcaporgWinDumpbull Wireshark httpwwwwiresharkorgbull Wireshark University httpwwwwiresharktrainingcombull 楊中皇 (民 97年 ) 網路安全理論與實務 (2版 ) 台北市學貫bull 蘇淑茵教授 Wireshark 民國 98年 6月 28日取自 httpmywebnckuedutw~sisou
2-129
網路安全
封包結構與傳輸過程Application
TCP
IP
DeviceDriver
SMTPTELNETFTP
TCPUDP
ARPRARPICMP
EthernetX25PPP
TCPIP 四層 常見通訊協定User Data
App Header
Application DataTCP Header
IP Header
Frame Header
Frame Trailer
User Data
Application Data
Application Data
TCP Header
TCP Header
IP Header
TCP Segment
IP Segment
Frame
封包封裝
Socket NetBIOS
2-20
網路安全
IP 表頭
2-21
0
Precedence(3 Bits)
Delay(1 Bit)
Throughout(1Bit)
Reliability(1 Bit)
Cost(1 Bit)
Reserved(1Bit)
Type Of Service(8 Bits)
=
Reserved(1 Bit)
Donrsquot Fragment
(1 Bit)
More Fragment
(1 Bit)
Flags(3 Bits)
=
Version(4 Bits)
IHL(4 Bits)
Total Length(16 Bits)
Identification(16 Bits)
Fragment Offset(13 Bits)
Time to Live(8 Bits)
Protocal(8Bits)
Header Checksum(16 Bits)
Source Address (32 Bits)
Destination Address (32 Bits)
Options (長度不定 ) Padding (長度不定 )
32
64
96
128
160
Type of Service(8Bits)
Flags(3
Bits)
網路安全
封包 header 實例
2-22
網路安全
封包擷取的原理
A電腦網路卡
目的地A封包
目的地B封包
被丟棄
2-23
網路安全
封包擷取的原理 (續 )
bull 為了監聽到其他使用者的封包監聽者會將網路卡修改為混亂模式 (Promiscuous) 混亂模式不會對目標 MAC 位置做檢查的動作而是將所收到的所有封包做接收的動作bull 藉由混亂模式就可以在 HUB 的區域網路環境中或無線網路的環境中擷取其他人的封包訊息
2-24
網路安全
Module 2-3 封包擷取工具介紹 ()
2-25
網路安全
封包擷取工具比較bull 商業軟體
ndash 優 有廠商維護支援性較佳ndash 缺 成本較高ndash 例 NetResident與 EtherDetect
bull 免費軟體ndash 優 成本較低ndash 缺 功能與使用說明較為簡略ndash 例 Wireshark與WinDump
2-26
網路安全
封包擷取工具 - WinDump
bull 一種開放原始碼的網路軟體工具為 Windows版的 tcpdumpbull 可以分析封包的流向並且對於封包的內容也可以進行 監聽 bull WinDump運算式是一種規則運算式利用一些條件來進行訊息的過濾當訊息滿足運算式的條件則會將其資訊捕獲如果沒有給出任何條件則網路上所有的資訊包將會被擷獲bull 例 WinDump -i interface -c 10 -n port 80 -w
filename
2-27
網路安全
封包擷取工具 - Wireshark
bull 開放原始碼軟體bull 起源於 1997年 Wireshark 的前身即為 Ethereal因為商標問題而改名成 Wiresharkbull 支援通訊協定多且完整使用圖形化的介面讓操作者容易上手過濾條件切割細密讓使用者可於乙太網路撈取且經數據過濾分析後的數據流bull 可由此軟體能夠擷取網路封包並盡可能顯示出最為詳細的網路封包資料提供各方應用
2-28
網路安全
網路存取函式庫 - WinPcap
bull WinPcap 是著名 Unix libpcap的Windows版本API
bull Pcap 是用來擷取封包的應用程式介面 (Application Programming Interface API)
bull 免費直接網路存取函式庫bull 許多網路應用軟體運行均須安裝此套函式庫如WiresharkWinDump Nmap及 Snort
2-29
網路安全
WinDump與Winpcab 示意圖bull 透過 WinDump及Winpcap 工具擷取並分析封包後再將資料蒐集至電腦設備中
2-30
乙太網路Ethernet
網路工具
Windump分析封包結構
Winpcap擷取並過濾封包
封包資訊
網路安全 2-31
Module 2-4 封包擷取的實務 ()
網路安全 2-32
Linux kernel packet processing
網路安全 2-33
網路安全
說明bull 架設實作 (一 ) 請將介紹如何安裝與使用
WinDump 依實驗拓樸請使用 WireDump 主機做安裝及測試bull 架設實作 (二 ) 請利用 Wireshark軟體對 FTP 進行封包擷取依實驗拓樸請使用 Wireshark 主機做安裝及測試bull 架設實作 (三 ) 請利用 Wireshark軟體對
Outlook Express進行封包擷取依實驗拓樸請使用 Wireshark 主機做安裝及測試2-34
網路安全
架設實作 (一 )
WinDump 實作 -SSH連線觀察
2-35
網路安全
封包擷取工具 - WinDump
bull 版本ndash 395
bull 支援作業平台ndash Windows 9598NT2000XP2003
bull 其他需求ndash 安裝WinPcap 31 以上版本
bull 下載位址ndash httpwwwwinpcaporgwindumpinstallbin
windump_3_9_5WinDumpexe
2-36
網路安全
其他需求工具 - WinPcap
bull 版本ndash 402 stable
bull 支援作業平台ndash Windows NT42000
Windows XP2003Vista (x86 and x64)Windows Server 2008 (x86 and x64)
bull 下載位址ndash httpwwwwinpcaporginstallbin
WinPcap_4_0_2exe
2-37
網路安全
WinPcap 安裝步驟bull WinPcap 下載完成後即可進行安裝bull 安裝畫面如下點選 Next按鈕繼續下一步
2-38
網路安全
WinDump與WinPcap測試bull 請將下載的 WinDumpexe 檔案存放至 C
Windowssystem32 的目錄之下bull 測試WinDump及WinPcap 是否可運作
ndash 點選開始 -gt 程式集 -gt附屬應用程式 -gt命令提示字元 -gt 輸入「 windump 」按下 Enter 即會出現「 windump listening on DeviceNPF_GenericDialupAdapter」的訊息代表WinDump及WinPcap 安裝成功且可運作
ndash 停止監聽按「 Ctrl + C」將顯示擷取封包的數量
2-39
網路安全
參數 說明-c 指定收到的封包數目當達到該數目時 Tcpdump 即會停止-d 把編譯過的封包編碼轉碼成可閱讀的格式放置於標準輸出-dd 把編譯過的封包編碼轉碼成 C 語言的格式放置於標準輸出-ddd 把編譯過的封包編碼轉碼成十進位的格式放置於標準輸出-F 從所指定的文件中讀取運算式進而忽略其他運算式-f 用數字顯示 IP 位址 -i 指定擷取封包的網路介面 -w 將擷取的封包直接寫入檔案當中不做分析與顯示於畫面
參數 說明-r 從指定的檔案文件中讀取資料該檔案文件由 -w 所製造出來-v 顯示詳細的封包資訊多了 TTL 及服務類型-s 設定每一個封包的大小-S 用絕對數並非相對數的值列出 TCP 連接數-tt 顯示出原始時間並且為不格式化的時間-n 不進行 IP Address 到 Domain
Name 的轉換-nn 不進行 Port 的轉換如 22 就是
ssh
-x 用十六進位字碼列出封包資料
WinDump相關參數列表
2-40
網路安全
WinDump 簡易使用操作說明bull 語法 windump 參數bull 查看目前系統可使用的網卡介面
ndash windump -Dbull 透過查看網卡介面以利後續監聽之用
2-41
網路安全
WinDump 簡易使用操作說明 (續 )
bull WinDump -i 網卡介面代號 -c 擷取封包數量 port 通訊埠
bull 例 WinDump -i 2 -c 10 port 80
2-42
網路安全
WinDump 簡易使用操作說明 (續 )
bull 因於命令提示字元視窗內所顯示的資訊不易閱讀可透過下列指令將其所擷取的資訊導向至檔案bull Windump -i 網卡介面代號 gt 檔名
ndash windump -i 2 -c 10 -w message port 80ndash windump -r message gt messagetxtndash windump -i 2 -c 10 port 80 gt messagetxt
2-43
網路安全
WinDump 簡易使用操作說明 (續 )
112338326205 此為封包被擷取的時間『 HHMMSSfraction』的單位IP 透過的通訊協定是 IPwinser 1099 gt w1wwwviptw1yahoocomtw80 代表的是傳送端是 winser 傳送的通訊埠為 1099 大於 (gt) 的符號指的是封包的傳輸方向 w1wwwviptw1yahoocomtw 為接收端 80 為接收埠
P(PUSH) 為資料傳輸標誌且傳輸的資料為整體資料的 1~ 699 byte 所以這個封包帶有 698 bytes 的資料量 ack 1 win 65535 ACK與Window size 的相關資料2-44
網路安全
bull 以 Testbed建立一實驗相關拓樸及設定如下圖SSHClientOSWINXP-SP3-CH-pc3000 IP 10113安裝軟體 putty
SSHServerOSWINXP-SP3-CH-pc3000IP 10123安裝軟體 sshd
實驗環境介紹
2-45
IP1
IP2
WireDumpOSWINXP-SP3-CH-pc3000IP1 10112IP2 10122安裝軟體 WinDump
網路安全
實驗拓樸 on TestbedTWISC- 建立完成的實驗拓樸
2-46
網路安全
SSH連線觀察bull 利用 Putty連線到 SSHServer從中觀察到三向交握建立連線的動作從 SSHClient 端利用 putty連線到SSHServer(10123)的 sshd服務
2-47
網路安全
SSH連線觀察 (續 )
bull SSH 在連線之前會利用三向交握的方式建立連線bull 利用 WinDump觀察 SSH連線動作
ndash 指令 WinDumpexe -N -S -i 4 port 22
三向交握的三個封包三向交握示意圖Server lt- Client SYN 你想連線Server -gt Client SYN ACK 可以我接受Server lt- Client ACK 謝謝
2-48
網路安全
架設實作 (二 )
FTP 擷取密碼案例
2-49
網路安全
FTPClientOSWINXP-SP3-pc3000IP 10112安裝軟體 FileZilla
FTPServerOSWINXP-SP3-pc3000IP 10123安裝軟體 RaidenFTPD
實驗環境介紹bull 以 Testbed建立一實驗相關拓樸及設定如下圖
2-50
IP1IP2
WireSharkOSWINXP-SP3-pc3000IP1 10113IP2 10122安裝軟體 Wireshark
網路安全
實驗拓樸 on TestbedTWISC- 建立完成的實驗拓樸
2-51
網路安全
FTP伺服器工具 - RaidenFTPD
bull 版本ndash 24 build 3720
bull 支援作業平台ndash Windows
bull 下載位址ndash httpwwwraidenmaildcomdownloadraidenftpd2exe
2-52
網路安全
RaidenFTPD 安裝步驟bull 下載Windows平台最新版本檔案下載完成後執行該安裝程式
2-53
網路安全
RaidenFTPD 安裝步驟 (續 )
bull 此步驟使用預設路徑即可按下 Install 進行安裝
2-54
網路安全
RaidenFTPD設定步驟bull 程式開啟畫面如下選擇 Click here to start a new
server 進行 FTP伺服器設定
2-55
網路安全
RaidenFTPD設定步驟 (續 )
bull 此處可設定 Server name與 Server IP 將 Auto IP 取消勾選並將 Server IP設為 10123
2-56
網路安全
RaidenFTPD設定步驟 (續 )
bull 接下來的步驟依照預設值即可
2-57
網路安全
RaidenFTPD設定步驟 (續 )
bull 設定人員帳號與群組按下 Add鈕輸入帳號密碼群組名稱可略過完成後按下 Next 進行下一步驟
2-58
網路安全
RaidenFTPD設定步驟 (續 )
bull 此步驟設定該帳號登入 FTP 時的權限選擇NORMAL 按下 Next 進行下一步驟
2-59
網路安全
RaidenFTPD設定步驟 (續 )
bull 接下來的步驟皆以預設值即可完成設定之後會出現對話視窗顯示您所設定的資訊
2-60
網路安全
FTP 用戶端工具 - Filezilla
bull 版本ndash 328
bull 支援作業平台ndash Windows Linux及Mac
bull 下載位址ndash httpsourceforgenetprojectsfilezillafiles
FileZilla_Client328FileZilla_328_win32zipdownload
2-61
網路安全
Filezilla 安裝步驟bull 執行 Filezilla 安裝程式點選 I agree 鈕
2-62
網路安全
Filezilla 安裝步驟 (續 )
bull 以預設值安裝點選兩次 Next 鈕
2-63
網路安全
Filezilla 安裝步驟 (續 )
bull 以預設值安裝點選 Next 鈕後再點選 Install 鈕
2-64
網路安全
Filezilla 安裝步驟 (續 )
bull 以預設值安裝點選 Next 鈕後再點選 Finish 鈕
2-65
網路安全
封包擷取工具 - Wireshark
bull 版本ndash 165
bull 支援作業平台ndash Windows Linux及 FreeBSD
bull 其他需求ndash 安裝WinPcap 31 以上版本
bull 下載位址ndash httpwiresharkdownloadsriverbedcomwireshark
win32wireshark-win32-165exe
2-66
網路安全
Wireshark 安裝步驟bull 至官方網站下載Windows平台最新版本檔案下載完成後執行該安裝程式
2-67
網路安全
Wireshark 安裝步驟 (續 )
bull 於下一步出現的版權宣告點選 I Agree鈕後繼續下一步驟
2-68
網路安全
Wireshark 安裝步驟 (續 )
bull 此步驟選擇欲安裝的元件以軟體預設勾選之項目安裝
2-69
網路安全
Wireshark 安裝步驟 (續 )
bull 此步驟使用預設路徑即可
2-70
網路安全
Wireshark 安裝步驟 (續 )
bull 此步驟將安裝Windows平台須加裝之套件 -WinPcap 若原系統未安裝過 WinPcap套件請以軟體預設項目安裝之
2-71
網路安全
Wireshark 安裝步驟 (續 )
bull 此步驟代表 Wireshark軟體已安裝完成可點選Finish 鈕或勾選 Run Wireshark 165 隨即使用該套軟體
2-72
網路安全
一般工具列Wireshark軟體介面介紹
2-73
篩選工具列封包清單窗格
封包內容窗格封包位元組窗格
網路安全
Wireshark 使用思考方向bull 遇到網路問題是否觀察網路通道中有異常動作或狀況
ndash 思考方向ndash 反應到擷取數據方法那麼以 Wireshark 擷取使用者需要擷取哪些數據這些數據由使用者電腦哪個裝置來擷取
bull Wireshark操作流程
bull 接下來我們進行軟體操作介紹
解決問題 擷取數據要先做什麼
擷取數據 擷取哪些數據( 過濾條件 )數據哪裡來( 網路介面卡 )
2-74
網路安全
數據哪裡來 - Capture功能bull 一開啟方式
ndash 1 點選快速鈕如紅色圈所示ndash 2 點選 Capture功能表 下拉選單後點選 Optionsndash 3鍵盤快速鍵 Ctrl + K
2-75
網路安全
數據哪裡來 - Capture功能 (續 )
bull 二開啟後顯示 Capture Options 的視窗畫面即可看到所提供的擷取功能選項
2-76
網路安全
數據哪裡來 - Capture功能 (續 )
bull Capture Options 常用的欄位設定ndash Caputure 框
bull 1Interface 會顯示出在系統上所有網路卡但只能選取一個介面作為封包擷取bull 2Capture packets in promiscuous mode 選取此選項就是經過所選取的網路卡的所有封包都會被擷取下來bull 3Capture Filter 指定擷取過濾器運算式擷取想要的特定封包即為擷取中過濾之功能
2-77
網路安全
數據哪裡來 - Capture功能 (續 )
bull Capture Options 常用的欄位設定ndash Display Options 框
bull Update list of packets in real time 指定在擷取封包過程中能夠即時更新已擷取封包清單窗格視窗中的封包資訊若取消則軟體主視窗更新畫面是沒有動作的
2-78
網路安全
bull Capture Options 常用的欄位設定ndash Name Resolution框
bull 1 Enable MAC name resolution 指定是否將網路卡MAC address 的前三個位元組轉換成製造商名稱
bull 2 Enable network name resolution 指定是否將 IP address轉換成 DNS 網域名稱
bull 3 Enable transport name resolution 指定是否將通信埠號碼 (port numbers)轉成協定名稱 (protocols)bull 各位了解數據從哪裡擷取的概念與操作之後即可以進一步加上附帶條件 (篩選條件 ) 等相關操作方式
數據哪裡來 - Capture功能 (續 )
2-79
網路安全
Wireshark操作手法bull 延續遇到問題的思考方向及軟體操作手法我們可以將操作流程分為兩種
ndash 擷取中過濾 (Filter while capturing)bull 優點僅擷取已知範圍資訊網路流量少bull 缺點需先了解問題類型避免可能有遺漏真正欲擷取資訊之狀況
ndash 檢視中過濾 (Filter packets while viewing)bull 優點不用先預設條件擷取所有封包資訊bull 缺點影響網路流量
先預設欲擷取條件 擷取數據
擷取數據 再篩選欲查詢數據2-80
網路安全
Wireshark操作手法 - 擷取中過濾bull 操作步驟
ndash 點選 Capture 下拉視窗選擇 Capture Filters 即呈現此視窗
bull 操作範例ndash 1於 Filter窗格中選擇 IP
Address 10112ndash 2於 Properties窗格中即顯示該選項的設定值如圖所示為 host 10112ndash 3 即可設定軟體僅針對
10112 的封包作擷取動作 延伸操作思考1 改變 Filter string 值得到什麼結果2 點選 Edit 窗格中的 New 鈕 新增自訂條件 2-81
網路安全
Wireshark操作手法 - 檢視中過濾bull 此步驟即以已擷取封包清單窗格為基礎以過濾條件過濾該清單bull 可直接選擇軟體預設項目如以下操作
ndash 操作步驟bull 點選 Analyze 下拉視窗選擇
Display Filters 即呈現此視窗ndash 操作範例
bull 1於 Filter窗格中選擇 IP Address 10112
bull 2於 Properties窗格中即顯示該選項的設定值如圖所示值為host 10112
bull 3 即可設定軟體僅針對 10112的封包作顯示動作 延伸操作思考1 可否進行進一步自訂設定值
2-82
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 若電腦 IP為 10112 欲篩選出 IP 來源為上述 IP 且協定為 TCP 80port 的所有封包ndash 操作步驟
bull 點選 Expression鈕即出現此視窗ndash 1於 Field name框選擇
IP項目中的 ipsrc - Source
ndash 2於 Relation框選擇 ==ndash 3於 Value [IPV4
address]填 入 10112ndash 4 點選 OK鈕 進階思考方式須考慮到例如是來源資訊是目標資訊是什麼協定等更細部所要之條件
2-83
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 再進行第二篩選條件ndash TCP 80 port
bull 操作步驟ndash 1先於 Filter string 輸入文字框「 ipsrc==
10112」後再加上一個空格及「 and 」再進行一次 Expression條件選擇
2-84
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
ndash 2於 Field name框選擇「 tcpdstport」ndash 3於 Relation框選擇「 ==」ndash 4於 Value框填入「 80」ndash 5 選擇「 OK」鈕
2-85
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 注意 Propeties框內的Filter string欄位值已改變為「 ipsrc == 10112 and tcpdstport == 80」
bull 確認條件正確後點選「 OK 」鈕即可發現已擷取封包清單窗格的項目均為所設定過濾條件過濾過結果2-86
網路安全
bull 可單選單一封包進行更進階查詢封包內容bull 操作方式為
ndash 點選其中一項封包項目點選滑鼠右鍵選擇Follow TCP Stream
Wireshark操作手法 - 檢視中過濾 (續 )
2-87
網路安全
ndash 此畫面即可看出該項 TCP 封包溝通內容Wireshark操作手法 - 檢視中過濾 (續 )
2-88
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 此功能將所擷取的封包清單使用多種方式呈現封包統計資料便於使用者查詢擷取時間內何種封包數量多寡及圖型顯示bull 操作步驟點選 Statistics 下拉視窗即呈現此視窗 顯示有關擷取清單的摘要以階梯式通訊協定列表顯示所擷取的所有封包
在特定 IP間顯示通訊流量顯示單一 IP 來往封包的流量
以時間軸顯示視覺化封包流量圖2-89
網路安全
bull 可查看到一時段內其封包總數與平均每秒傳遞接收封包數等相關資訊讓使用者了解平均一時段內網路流量狀況藉以初步獲得資訊
Wireshark操作手法 - 檢視中過濾 (續 )
2-90
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 讓使用者可透過階梯式封包分類表來查看哪一類封包佔為居多可進一步推測是否該類型封包影響到整體網路或是否有異常或不常見封包類型在網路中傳遞
2-91
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 將該擷取時段內封包清單檔以兩個特定 IP 之間對傳封包為區隔顯示出哪兩個特定 IP間傳遞封包數多寡bull 可讓使用者更進一步研判兩個特定 IP所屬設備傳遞狀況是否異常
2-92
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 將該擷取時段內封包清單檔以特定IP 傳遞封包數為區隔顯示出哪特定IP 傳遞封包數多寡
bull 可讓使用者更進一步研判該特定所屬設備傳遞封包數是否異常作為管制緊急管制或禁止通訊之證明2-93
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 以時間軸顯示視覺化封包流量圖bull 讓使用者可觀察所管理設備資訊流通量以了解設備是否能負荷或作相關調整等處置
2-94
網路安全
FTP 擷取密碼案例bull 於Wireshark軟體選擇 Capture 下拉選單功能項點選 Interfaces 選項
2-95
網路安全
FTP 擷取密碼案例 (續 )
bull 確認欲擷取封包之網卡名稱如紅色底線所示確認後點選 Start鈕
2-96
網路安全
FTP 擷取密碼案例 (續 )
bull 切換至 FTP Client 電腦開啟 FileZilla 程式後連線到 FTP Server 於 Host 填入10123 Username填入 tester Password填入testpw 後點選 Quickconnect鈕
2-97
網路安全
FTP 擷取密碼案例 (續 )
bull 擷取到的封包資訊會顯示於已擷取封包清單窗格內
2-98
網路安全
FTP 擷取密碼案例 (續 )
bull 使用 FTP軟體登入 ftp站後 Wireshark 將擷取到的使用者名稱與密碼如紅框所示
2-99
網路安全
FTP 擷取密碼案例 (續 )
bull 點選已擷取封包清單窗格的密碼資訊列如標示1 的紅框所示即可在封包內容窗格看到該密碼的位元碼如標示 2 的紅框所示
1
2
2-100
網路安全
架設實作 (三 )
Outlook Express 擷取密碼案例
2-101
網路安全
實驗環境介紹bull 以 Testbed建立一實驗相關拓樸及設定如下圖
OEClientOSWindows XP SP3IP 10112執行 Outlook Express
MailServerOSWindows XP SP3IP 10122安裝軟體 ArGoSoft Mail Server
2-102
WiresharkOSWindows XP SP3IP1 10113 IP2 10123安裝軟體 Wireshark
IP1IP2
網路安全
實驗拓樸 on TestbedTWISC- 建立完成的實驗拓樸
2-103
網路安全
郵件伺服器工具 - ArGoSoft Mail Server
bull 版本ndash 1892 Freeware
bull 支援作業平台ndash Windows
bull 下載位址ndash httpwwwsoftkingcomtwsoftdownloadaspfid3=7367
2-104
網路安全
郵件客戶端工具 - Outlook Express
bull 版本ndash 60
bull 支援作業平台ndash Windows
bull 下載位址ndash Windows 內建
2-105
網路安全
bull 安裝及設定郵件伺服器ndash 1下載並執行 ArGoSoft Mail Server軟體點選
Setup鈕
Outlook Express 擷取密碼案例
2-106
網路安全
ndash 1 點選 Next鈕ndash 2 點選 Start Installation鈕
Outlook Express 擷取密碼案例 (續 )
2-107
網路安全
ndash 3 點選 OK鈕ndash 4 點選 Finish鈕完成軟體安裝
Outlook Express 擷取密碼案例 (續 )
2-108
網路安全
ndash 5 點選使用者設定鈕如紅圈所示ndash 6 點選新增鈕如紅框所示
Outlook Express 擷取密碼案例 (續 )
2-109
網路安全
ndash 7填入使用者名稱 (tester) 及密碼 (testpw) 如紅圈所示填寫完成後點選 OK鈕ndash 8 點選 Close鈕關閉使用者設定視窗
Outlook Express 擷取密碼案例 (續 )
2-110
網路安全
ndash 9 點選選項鈕如左側圖中紅色圈所示ndash 10 點選紅色打勾鈕如右側圖中紅色圈所示
2-111
Outlook Express 擷取密碼案例 (續 )
網路安全
ndash 11該軟體會自動選取 DNS Server 待選取後點選 Yes鈕ndash 12 勾選 Allow Relay 選項如紅框所示
2-112
Outlook Express 擷取密碼案例 (續 )
網路安全
Outlook Express 擷取密碼案例 (續 )
bull 設定收信帳號ndash 1 點選 Tools功能選單選擇 Accounts 選項
2-113
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 2 點選 Add鈕選擇 Mail 選項
2-114
網路安全
ndash 3填入 tester 點選 Next鈕ndash 4填入 testertestcom 點選 Next鈕
Outlook Express 擷取密碼案例 (續 )
2-115
網路安全
ndash 5填入 10123 如紅框所示點選 Next鈕ndash 6填入帳號為 tester 及密碼為 testpw 點選 Next鈕
Outlook Express 擷取密碼案例 (續 )
2-116
網路安全
ndash 7 點選 Finish鈕ndash 8 點選 Close鈕
Outlook Express 擷取密碼案例 (續 )
2-117
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 模擬條件準備好後首先準備Wireshark 擷取動作開啟Wireshark
2-118
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 於Wireshark軟體選擇 Capture 下拉選單功能項點選 Interfaces 選項
2-119
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 確認欲擷取封包之網卡名稱如紅色底線所示確認後點選 Start鈕
2-120
網路安全
ndash 當使用者收發 email 時即被 Wireshark攔截封包ndash 有發現到該 Outlook Express帳號密碼是如此清晰可見的嗎
Outlook Express 擷取密碼案例 (續 )
2-121
網路安全
結論bull 學習了 Wireshark及WinDump 兩套網路封包擷取軟體基本概念如同電話側錄概念相同從中複製一連串資訊來分析與了解網路的流量及內容為何bull 當你發現網路速度緩慢等狀況你是否會反應到所學的基本概念來找尋問題所在bull 防範概念由此課程的實例可以了解網路內容如被有心人士擷取所造成的損失相當可觀故你是否有對策有哪些方式你可以應用來防範bull 正確的思考善用對的工具將對解決問題事半功倍
2-122
網路安全 2-123
Module 2-5 封包擷取與分析的專案實作()
網路安全
專案目的bull 建立遠端管理傳遞指令資訊環境bull 利用實際攔截封包操作的方式讓同學了解封包擷取運作與網路資訊流通的顧慮等相關議題
2-124
網路安全
專案描述bull 近年來遠端管理伺服器及網路服務普及光是密碼保護就足夠了嗎是否重點網段須全程加密還是作網段隔離經由此專案實作即可了解不僅部分加密仍有其風險所在網路架構如何規劃將是非常重要的課題bull 參考環境配置圖完成下列要求①環境裡的攔截封包主機是 Windows XP SP3 作業系統而該主機安裝Wireshark軟體②另兩台主機的作業系統亦是 Windows XP SP3 並裝上
MySQL軟體 MySQL帳號為 root 密碼為您的學號 (如 Q3896105)
③在MySQLClient 電腦使用 MySQL Commandline 指令連線至MySQLServer 擷取資料庫資訊
④我們針對這兩台主機傳訊的封包擷取由整個實做中思考如何防範資訊外洩與了解傳訊封包如何流動及運作2-125
網路安全
環境配置圖bull 以 Testbed建立一實驗相關拓樸及設定如下圖
MySQLServerOSWINXP-SP3-CH-pc3000 IP 10123安裝軟體 MySQL
MySQLClientOSWINXP-SP3-CH-pc3000 IP 10112安裝軟體 MySQL
2-126
WireSharkOSWINXP-SP3-CH-pc3000 IP1 10113IP2 10122安裝軟體 Wireshark
IP1IP2
網路安全
作業繳交bull 請參考情境測試發送數個 SQL 指令並將過程與擷取到的封包資訊之截圖列於報告中所有圖表皆需要輔以文字說明bull Deadline 2012312 下午 500 以前bull 作業範圍 Module 2-5 (page 2-128)bull 方式 (參考課程網址 )
ndash 帳號密碼小寫的 (ns100ns100)ndash IP 140116164167
2-127
網路安全
有問題嗎
bull 關於 TestBed 使用上的問題請直接 Email至 twisc-testbed-usergooglegroupscom 將有專人為您服務bull 課程網址
httpitlabeenckuedutwcoursesNS_100indexhtml
2-128
bull 助教資訊 (參考課程網址 )
網路安全
參考資料bull Dienet httplinuxdienetman1wiresharkbull Orebaugh Angela Ramirez Gilbert Burke Josh Pesce Larry Wright
Joshua(2007) Wireshark and Ethereal network protocol analyzer toolkitbull Tony Fortunato(2007) Wireshark Training Retrieved July 22 2009 from
the World Wide Web httpwwwthetechfirmcometherealwiresharkpdfbull WinDump httpwwwwinpcaporgWinDumpbull Wireshark httpwwwwiresharkorgbull Wireshark University httpwwwwiresharktrainingcombull 楊中皇 (民 97年 ) 網路安全理論與實務 (2版 ) 台北市學貫bull 蘇淑茵教授 Wireshark 民國 98年 6月 28日取自 httpmywebnckuedutw~sisou
2-129
網路安全
IP 表頭
2-21
0
Precedence(3 Bits)
Delay(1 Bit)
Throughout(1Bit)
Reliability(1 Bit)
Cost(1 Bit)
Reserved(1Bit)
Type Of Service(8 Bits)
=
Reserved(1 Bit)
Donrsquot Fragment
(1 Bit)
More Fragment
(1 Bit)
Flags(3 Bits)
=
Version(4 Bits)
IHL(4 Bits)
Total Length(16 Bits)
Identification(16 Bits)
Fragment Offset(13 Bits)
Time to Live(8 Bits)
Protocal(8Bits)
Header Checksum(16 Bits)
Source Address (32 Bits)
Destination Address (32 Bits)
Options (長度不定 ) Padding (長度不定 )
32
64
96
128
160
Type of Service(8Bits)
Flags(3
Bits)
網路安全
封包 header 實例
2-22
網路安全
封包擷取的原理
A電腦網路卡
目的地A封包
目的地B封包
被丟棄
2-23
網路安全
封包擷取的原理 (續 )
bull 為了監聽到其他使用者的封包監聽者會將網路卡修改為混亂模式 (Promiscuous) 混亂模式不會對目標 MAC 位置做檢查的動作而是將所收到的所有封包做接收的動作bull 藉由混亂模式就可以在 HUB 的區域網路環境中或無線網路的環境中擷取其他人的封包訊息
2-24
網路安全
Module 2-3 封包擷取工具介紹 ()
2-25
網路安全
封包擷取工具比較bull 商業軟體
ndash 優 有廠商維護支援性較佳ndash 缺 成本較高ndash 例 NetResident與 EtherDetect
bull 免費軟體ndash 優 成本較低ndash 缺 功能與使用說明較為簡略ndash 例 Wireshark與WinDump
2-26
網路安全
封包擷取工具 - WinDump
bull 一種開放原始碼的網路軟體工具為 Windows版的 tcpdumpbull 可以分析封包的流向並且對於封包的內容也可以進行 監聽 bull WinDump運算式是一種規則運算式利用一些條件來進行訊息的過濾當訊息滿足運算式的條件則會將其資訊捕獲如果沒有給出任何條件則網路上所有的資訊包將會被擷獲bull 例 WinDump -i interface -c 10 -n port 80 -w
filename
2-27
網路安全
封包擷取工具 - Wireshark
bull 開放原始碼軟體bull 起源於 1997年 Wireshark 的前身即為 Ethereal因為商標問題而改名成 Wiresharkbull 支援通訊協定多且完整使用圖形化的介面讓操作者容易上手過濾條件切割細密讓使用者可於乙太網路撈取且經數據過濾分析後的數據流bull 可由此軟體能夠擷取網路封包並盡可能顯示出最為詳細的網路封包資料提供各方應用
2-28
網路安全
網路存取函式庫 - WinPcap
bull WinPcap 是著名 Unix libpcap的Windows版本API
bull Pcap 是用來擷取封包的應用程式介面 (Application Programming Interface API)
bull 免費直接網路存取函式庫bull 許多網路應用軟體運行均須安裝此套函式庫如WiresharkWinDump Nmap及 Snort
2-29
網路安全
WinDump與Winpcab 示意圖bull 透過 WinDump及Winpcap 工具擷取並分析封包後再將資料蒐集至電腦設備中
2-30
乙太網路Ethernet
網路工具
Windump分析封包結構
Winpcap擷取並過濾封包
封包資訊
網路安全 2-31
Module 2-4 封包擷取的實務 ()
網路安全 2-32
Linux kernel packet processing
網路安全 2-33
網路安全
說明bull 架設實作 (一 ) 請將介紹如何安裝與使用
WinDump 依實驗拓樸請使用 WireDump 主機做安裝及測試bull 架設實作 (二 ) 請利用 Wireshark軟體對 FTP 進行封包擷取依實驗拓樸請使用 Wireshark 主機做安裝及測試bull 架設實作 (三 ) 請利用 Wireshark軟體對
Outlook Express進行封包擷取依實驗拓樸請使用 Wireshark 主機做安裝及測試2-34
網路安全
架設實作 (一 )
WinDump 實作 -SSH連線觀察
2-35
網路安全
封包擷取工具 - WinDump
bull 版本ndash 395
bull 支援作業平台ndash Windows 9598NT2000XP2003
bull 其他需求ndash 安裝WinPcap 31 以上版本
bull 下載位址ndash httpwwwwinpcaporgwindumpinstallbin
windump_3_9_5WinDumpexe
2-36
網路安全
其他需求工具 - WinPcap
bull 版本ndash 402 stable
bull 支援作業平台ndash Windows NT42000
Windows XP2003Vista (x86 and x64)Windows Server 2008 (x86 and x64)
bull 下載位址ndash httpwwwwinpcaporginstallbin
WinPcap_4_0_2exe
2-37
網路安全
WinPcap 安裝步驟bull WinPcap 下載完成後即可進行安裝bull 安裝畫面如下點選 Next按鈕繼續下一步
2-38
網路安全
WinDump與WinPcap測試bull 請將下載的 WinDumpexe 檔案存放至 C
Windowssystem32 的目錄之下bull 測試WinDump及WinPcap 是否可運作
ndash 點選開始 -gt 程式集 -gt附屬應用程式 -gt命令提示字元 -gt 輸入「 windump 」按下 Enter 即會出現「 windump listening on DeviceNPF_GenericDialupAdapter」的訊息代表WinDump及WinPcap 安裝成功且可運作
ndash 停止監聽按「 Ctrl + C」將顯示擷取封包的數量
2-39
網路安全
參數 說明-c 指定收到的封包數目當達到該數目時 Tcpdump 即會停止-d 把編譯過的封包編碼轉碼成可閱讀的格式放置於標準輸出-dd 把編譯過的封包編碼轉碼成 C 語言的格式放置於標準輸出-ddd 把編譯過的封包編碼轉碼成十進位的格式放置於標準輸出-F 從所指定的文件中讀取運算式進而忽略其他運算式-f 用數字顯示 IP 位址 -i 指定擷取封包的網路介面 -w 將擷取的封包直接寫入檔案當中不做分析與顯示於畫面
參數 說明-r 從指定的檔案文件中讀取資料該檔案文件由 -w 所製造出來-v 顯示詳細的封包資訊多了 TTL 及服務類型-s 設定每一個封包的大小-S 用絕對數並非相對數的值列出 TCP 連接數-tt 顯示出原始時間並且為不格式化的時間-n 不進行 IP Address 到 Domain
Name 的轉換-nn 不進行 Port 的轉換如 22 就是
ssh
-x 用十六進位字碼列出封包資料
WinDump相關參數列表
2-40
網路安全
WinDump 簡易使用操作說明bull 語法 windump 參數bull 查看目前系統可使用的網卡介面
ndash windump -Dbull 透過查看網卡介面以利後續監聽之用
2-41
網路安全
WinDump 簡易使用操作說明 (續 )
bull WinDump -i 網卡介面代號 -c 擷取封包數量 port 通訊埠
bull 例 WinDump -i 2 -c 10 port 80
2-42
網路安全
WinDump 簡易使用操作說明 (續 )
bull 因於命令提示字元視窗內所顯示的資訊不易閱讀可透過下列指令將其所擷取的資訊導向至檔案bull Windump -i 網卡介面代號 gt 檔名
ndash windump -i 2 -c 10 -w message port 80ndash windump -r message gt messagetxtndash windump -i 2 -c 10 port 80 gt messagetxt
2-43
網路安全
WinDump 簡易使用操作說明 (續 )
112338326205 此為封包被擷取的時間『 HHMMSSfraction』的單位IP 透過的通訊協定是 IPwinser 1099 gt w1wwwviptw1yahoocomtw80 代表的是傳送端是 winser 傳送的通訊埠為 1099 大於 (gt) 的符號指的是封包的傳輸方向 w1wwwviptw1yahoocomtw 為接收端 80 為接收埠
P(PUSH) 為資料傳輸標誌且傳輸的資料為整體資料的 1~ 699 byte 所以這個封包帶有 698 bytes 的資料量 ack 1 win 65535 ACK與Window size 的相關資料2-44
網路安全
bull 以 Testbed建立一實驗相關拓樸及設定如下圖SSHClientOSWINXP-SP3-CH-pc3000 IP 10113安裝軟體 putty
SSHServerOSWINXP-SP3-CH-pc3000IP 10123安裝軟體 sshd
實驗環境介紹
2-45
IP1
IP2
WireDumpOSWINXP-SP3-CH-pc3000IP1 10112IP2 10122安裝軟體 WinDump
網路安全
實驗拓樸 on TestbedTWISC- 建立完成的實驗拓樸
2-46
網路安全
SSH連線觀察bull 利用 Putty連線到 SSHServer從中觀察到三向交握建立連線的動作從 SSHClient 端利用 putty連線到SSHServer(10123)的 sshd服務
2-47
網路安全
SSH連線觀察 (續 )
bull SSH 在連線之前會利用三向交握的方式建立連線bull 利用 WinDump觀察 SSH連線動作
ndash 指令 WinDumpexe -N -S -i 4 port 22
三向交握的三個封包三向交握示意圖Server lt- Client SYN 你想連線Server -gt Client SYN ACK 可以我接受Server lt- Client ACK 謝謝
2-48
網路安全
架設實作 (二 )
FTP 擷取密碼案例
2-49
網路安全
FTPClientOSWINXP-SP3-pc3000IP 10112安裝軟體 FileZilla
FTPServerOSWINXP-SP3-pc3000IP 10123安裝軟體 RaidenFTPD
實驗環境介紹bull 以 Testbed建立一實驗相關拓樸及設定如下圖
2-50
IP1IP2
WireSharkOSWINXP-SP3-pc3000IP1 10113IP2 10122安裝軟體 Wireshark
網路安全
實驗拓樸 on TestbedTWISC- 建立完成的實驗拓樸
2-51
網路安全
FTP伺服器工具 - RaidenFTPD
bull 版本ndash 24 build 3720
bull 支援作業平台ndash Windows
bull 下載位址ndash httpwwwraidenmaildcomdownloadraidenftpd2exe
2-52
網路安全
RaidenFTPD 安裝步驟bull 下載Windows平台最新版本檔案下載完成後執行該安裝程式
2-53
網路安全
RaidenFTPD 安裝步驟 (續 )
bull 此步驟使用預設路徑即可按下 Install 進行安裝
2-54
網路安全
RaidenFTPD設定步驟bull 程式開啟畫面如下選擇 Click here to start a new
server 進行 FTP伺服器設定
2-55
網路安全
RaidenFTPD設定步驟 (續 )
bull 此處可設定 Server name與 Server IP 將 Auto IP 取消勾選並將 Server IP設為 10123
2-56
網路安全
RaidenFTPD設定步驟 (續 )
bull 接下來的步驟依照預設值即可
2-57
網路安全
RaidenFTPD設定步驟 (續 )
bull 設定人員帳號與群組按下 Add鈕輸入帳號密碼群組名稱可略過完成後按下 Next 進行下一步驟
2-58
網路安全
RaidenFTPD設定步驟 (續 )
bull 此步驟設定該帳號登入 FTP 時的權限選擇NORMAL 按下 Next 進行下一步驟
2-59
網路安全
RaidenFTPD設定步驟 (續 )
bull 接下來的步驟皆以預設值即可完成設定之後會出現對話視窗顯示您所設定的資訊
2-60
網路安全
FTP 用戶端工具 - Filezilla
bull 版本ndash 328
bull 支援作業平台ndash Windows Linux及Mac
bull 下載位址ndash httpsourceforgenetprojectsfilezillafiles
FileZilla_Client328FileZilla_328_win32zipdownload
2-61
網路安全
Filezilla 安裝步驟bull 執行 Filezilla 安裝程式點選 I agree 鈕
2-62
網路安全
Filezilla 安裝步驟 (續 )
bull 以預設值安裝點選兩次 Next 鈕
2-63
網路安全
Filezilla 安裝步驟 (續 )
bull 以預設值安裝點選 Next 鈕後再點選 Install 鈕
2-64
網路安全
Filezilla 安裝步驟 (續 )
bull 以預設值安裝點選 Next 鈕後再點選 Finish 鈕
2-65
網路安全
封包擷取工具 - Wireshark
bull 版本ndash 165
bull 支援作業平台ndash Windows Linux及 FreeBSD
bull 其他需求ndash 安裝WinPcap 31 以上版本
bull 下載位址ndash httpwiresharkdownloadsriverbedcomwireshark
win32wireshark-win32-165exe
2-66
網路安全
Wireshark 安裝步驟bull 至官方網站下載Windows平台最新版本檔案下載完成後執行該安裝程式
2-67
網路安全
Wireshark 安裝步驟 (續 )
bull 於下一步出現的版權宣告點選 I Agree鈕後繼續下一步驟
2-68
網路安全
Wireshark 安裝步驟 (續 )
bull 此步驟選擇欲安裝的元件以軟體預設勾選之項目安裝
2-69
網路安全
Wireshark 安裝步驟 (續 )
bull 此步驟使用預設路徑即可
2-70
網路安全
Wireshark 安裝步驟 (續 )
bull 此步驟將安裝Windows平台須加裝之套件 -WinPcap 若原系統未安裝過 WinPcap套件請以軟體預設項目安裝之
2-71
網路安全
Wireshark 安裝步驟 (續 )
bull 此步驟代表 Wireshark軟體已安裝完成可點選Finish 鈕或勾選 Run Wireshark 165 隨即使用該套軟體
2-72
網路安全
一般工具列Wireshark軟體介面介紹
2-73
篩選工具列封包清單窗格
封包內容窗格封包位元組窗格
網路安全
Wireshark 使用思考方向bull 遇到網路問題是否觀察網路通道中有異常動作或狀況
ndash 思考方向ndash 反應到擷取數據方法那麼以 Wireshark 擷取使用者需要擷取哪些數據這些數據由使用者電腦哪個裝置來擷取
bull Wireshark操作流程
bull 接下來我們進行軟體操作介紹
解決問題 擷取數據要先做什麼
擷取數據 擷取哪些數據( 過濾條件 )數據哪裡來( 網路介面卡 )
2-74
網路安全
數據哪裡來 - Capture功能bull 一開啟方式
ndash 1 點選快速鈕如紅色圈所示ndash 2 點選 Capture功能表 下拉選單後點選 Optionsndash 3鍵盤快速鍵 Ctrl + K
2-75
網路安全
數據哪裡來 - Capture功能 (續 )
bull 二開啟後顯示 Capture Options 的視窗畫面即可看到所提供的擷取功能選項
2-76
網路安全
數據哪裡來 - Capture功能 (續 )
bull Capture Options 常用的欄位設定ndash Caputure 框
bull 1Interface 會顯示出在系統上所有網路卡但只能選取一個介面作為封包擷取bull 2Capture packets in promiscuous mode 選取此選項就是經過所選取的網路卡的所有封包都會被擷取下來bull 3Capture Filter 指定擷取過濾器運算式擷取想要的特定封包即為擷取中過濾之功能
2-77
網路安全
數據哪裡來 - Capture功能 (續 )
bull Capture Options 常用的欄位設定ndash Display Options 框
bull Update list of packets in real time 指定在擷取封包過程中能夠即時更新已擷取封包清單窗格視窗中的封包資訊若取消則軟體主視窗更新畫面是沒有動作的
2-78
網路安全
bull Capture Options 常用的欄位設定ndash Name Resolution框
bull 1 Enable MAC name resolution 指定是否將網路卡MAC address 的前三個位元組轉換成製造商名稱
bull 2 Enable network name resolution 指定是否將 IP address轉換成 DNS 網域名稱
bull 3 Enable transport name resolution 指定是否將通信埠號碼 (port numbers)轉成協定名稱 (protocols)bull 各位了解數據從哪裡擷取的概念與操作之後即可以進一步加上附帶條件 (篩選條件 ) 等相關操作方式
數據哪裡來 - Capture功能 (續 )
2-79
網路安全
Wireshark操作手法bull 延續遇到問題的思考方向及軟體操作手法我們可以將操作流程分為兩種
ndash 擷取中過濾 (Filter while capturing)bull 優點僅擷取已知範圍資訊網路流量少bull 缺點需先了解問題類型避免可能有遺漏真正欲擷取資訊之狀況
ndash 檢視中過濾 (Filter packets while viewing)bull 優點不用先預設條件擷取所有封包資訊bull 缺點影響網路流量
先預設欲擷取條件 擷取數據
擷取數據 再篩選欲查詢數據2-80
網路安全
Wireshark操作手法 - 擷取中過濾bull 操作步驟
ndash 點選 Capture 下拉視窗選擇 Capture Filters 即呈現此視窗
bull 操作範例ndash 1於 Filter窗格中選擇 IP
Address 10112ndash 2於 Properties窗格中即顯示該選項的設定值如圖所示為 host 10112ndash 3 即可設定軟體僅針對
10112 的封包作擷取動作 延伸操作思考1 改變 Filter string 值得到什麼結果2 點選 Edit 窗格中的 New 鈕 新增自訂條件 2-81
網路安全
Wireshark操作手法 - 檢視中過濾bull 此步驟即以已擷取封包清單窗格為基礎以過濾條件過濾該清單bull 可直接選擇軟體預設項目如以下操作
ndash 操作步驟bull 點選 Analyze 下拉視窗選擇
Display Filters 即呈現此視窗ndash 操作範例
bull 1於 Filter窗格中選擇 IP Address 10112
bull 2於 Properties窗格中即顯示該選項的設定值如圖所示值為host 10112
bull 3 即可設定軟體僅針對 10112的封包作顯示動作 延伸操作思考1 可否進行進一步自訂設定值
2-82
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 若電腦 IP為 10112 欲篩選出 IP 來源為上述 IP 且協定為 TCP 80port 的所有封包ndash 操作步驟
bull 點選 Expression鈕即出現此視窗ndash 1於 Field name框選擇
IP項目中的 ipsrc - Source
ndash 2於 Relation框選擇 ==ndash 3於 Value [IPV4
address]填 入 10112ndash 4 點選 OK鈕 進階思考方式須考慮到例如是來源資訊是目標資訊是什麼協定等更細部所要之條件
2-83
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 再進行第二篩選條件ndash TCP 80 port
bull 操作步驟ndash 1先於 Filter string 輸入文字框「 ipsrc==
10112」後再加上一個空格及「 and 」再進行一次 Expression條件選擇
2-84
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
ndash 2於 Field name框選擇「 tcpdstport」ndash 3於 Relation框選擇「 ==」ndash 4於 Value框填入「 80」ndash 5 選擇「 OK」鈕
2-85
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 注意 Propeties框內的Filter string欄位值已改變為「 ipsrc == 10112 and tcpdstport == 80」
bull 確認條件正確後點選「 OK 」鈕即可發現已擷取封包清單窗格的項目均為所設定過濾條件過濾過結果2-86
網路安全
bull 可單選單一封包進行更進階查詢封包內容bull 操作方式為
ndash 點選其中一項封包項目點選滑鼠右鍵選擇Follow TCP Stream
Wireshark操作手法 - 檢視中過濾 (續 )
2-87
網路安全
ndash 此畫面即可看出該項 TCP 封包溝通內容Wireshark操作手法 - 檢視中過濾 (續 )
2-88
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 此功能將所擷取的封包清單使用多種方式呈現封包統計資料便於使用者查詢擷取時間內何種封包數量多寡及圖型顯示bull 操作步驟點選 Statistics 下拉視窗即呈現此視窗 顯示有關擷取清單的摘要以階梯式通訊協定列表顯示所擷取的所有封包
在特定 IP間顯示通訊流量顯示單一 IP 來往封包的流量
以時間軸顯示視覺化封包流量圖2-89
網路安全
bull 可查看到一時段內其封包總數與平均每秒傳遞接收封包數等相關資訊讓使用者了解平均一時段內網路流量狀況藉以初步獲得資訊
Wireshark操作手法 - 檢視中過濾 (續 )
2-90
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 讓使用者可透過階梯式封包分類表來查看哪一類封包佔為居多可進一步推測是否該類型封包影響到整體網路或是否有異常或不常見封包類型在網路中傳遞
2-91
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 將該擷取時段內封包清單檔以兩個特定 IP 之間對傳封包為區隔顯示出哪兩個特定 IP間傳遞封包數多寡bull 可讓使用者更進一步研判兩個特定 IP所屬設備傳遞狀況是否異常
2-92
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 將該擷取時段內封包清單檔以特定IP 傳遞封包數為區隔顯示出哪特定IP 傳遞封包數多寡
bull 可讓使用者更進一步研判該特定所屬設備傳遞封包數是否異常作為管制緊急管制或禁止通訊之證明2-93
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 以時間軸顯示視覺化封包流量圖bull 讓使用者可觀察所管理設備資訊流通量以了解設備是否能負荷或作相關調整等處置
2-94
網路安全
FTP 擷取密碼案例bull 於Wireshark軟體選擇 Capture 下拉選單功能項點選 Interfaces 選項
2-95
網路安全
FTP 擷取密碼案例 (續 )
bull 確認欲擷取封包之網卡名稱如紅色底線所示確認後點選 Start鈕
2-96
網路安全
FTP 擷取密碼案例 (續 )
bull 切換至 FTP Client 電腦開啟 FileZilla 程式後連線到 FTP Server 於 Host 填入10123 Username填入 tester Password填入testpw 後點選 Quickconnect鈕
2-97
網路安全
FTP 擷取密碼案例 (續 )
bull 擷取到的封包資訊會顯示於已擷取封包清單窗格內
2-98
網路安全
FTP 擷取密碼案例 (續 )
bull 使用 FTP軟體登入 ftp站後 Wireshark 將擷取到的使用者名稱與密碼如紅框所示
2-99
網路安全
FTP 擷取密碼案例 (續 )
bull 點選已擷取封包清單窗格的密碼資訊列如標示1 的紅框所示即可在封包內容窗格看到該密碼的位元碼如標示 2 的紅框所示
1
2
2-100
網路安全
架設實作 (三 )
Outlook Express 擷取密碼案例
2-101
網路安全
實驗環境介紹bull 以 Testbed建立一實驗相關拓樸及設定如下圖
OEClientOSWindows XP SP3IP 10112執行 Outlook Express
MailServerOSWindows XP SP3IP 10122安裝軟體 ArGoSoft Mail Server
2-102
WiresharkOSWindows XP SP3IP1 10113 IP2 10123安裝軟體 Wireshark
IP1IP2
網路安全
實驗拓樸 on TestbedTWISC- 建立完成的實驗拓樸
2-103
網路安全
郵件伺服器工具 - ArGoSoft Mail Server
bull 版本ndash 1892 Freeware
bull 支援作業平台ndash Windows
bull 下載位址ndash httpwwwsoftkingcomtwsoftdownloadaspfid3=7367
2-104
網路安全
郵件客戶端工具 - Outlook Express
bull 版本ndash 60
bull 支援作業平台ndash Windows
bull 下載位址ndash Windows 內建
2-105
網路安全
bull 安裝及設定郵件伺服器ndash 1下載並執行 ArGoSoft Mail Server軟體點選
Setup鈕
Outlook Express 擷取密碼案例
2-106
網路安全
ndash 1 點選 Next鈕ndash 2 點選 Start Installation鈕
Outlook Express 擷取密碼案例 (續 )
2-107
網路安全
ndash 3 點選 OK鈕ndash 4 點選 Finish鈕完成軟體安裝
Outlook Express 擷取密碼案例 (續 )
2-108
網路安全
ndash 5 點選使用者設定鈕如紅圈所示ndash 6 點選新增鈕如紅框所示
Outlook Express 擷取密碼案例 (續 )
2-109
網路安全
ndash 7填入使用者名稱 (tester) 及密碼 (testpw) 如紅圈所示填寫完成後點選 OK鈕ndash 8 點選 Close鈕關閉使用者設定視窗
Outlook Express 擷取密碼案例 (續 )
2-110
網路安全
ndash 9 點選選項鈕如左側圖中紅色圈所示ndash 10 點選紅色打勾鈕如右側圖中紅色圈所示
2-111
Outlook Express 擷取密碼案例 (續 )
網路安全
ndash 11該軟體會自動選取 DNS Server 待選取後點選 Yes鈕ndash 12 勾選 Allow Relay 選項如紅框所示
2-112
Outlook Express 擷取密碼案例 (續 )
網路安全
Outlook Express 擷取密碼案例 (續 )
bull 設定收信帳號ndash 1 點選 Tools功能選單選擇 Accounts 選項
2-113
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 2 點選 Add鈕選擇 Mail 選項
2-114
網路安全
ndash 3填入 tester 點選 Next鈕ndash 4填入 testertestcom 點選 Next鈕
Outlook Express 擷取密碼案例 (續 )
2-115
網路安全
ndash 5填入 10123 如紅框所示點選 Next鈕ndash 6填入帳號為 tester 及密碼為 testpw 點選 Next鈕
Outlook Express 擷取密碼案例 (續 )
2-116
網路安全
ndash 7 點選 Finish鈕ndash 8 點選 Close鈕
Outlook Express 擷取密碼案例 (續 )
2-117
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 模擬條件準備好後首先準備Wireshark 擷取動作開啟Wireshark
2-118
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 於Wireshark軟體選擇 Capture 下拉選單功能項點選 Interfaces 選項
2-119
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 確認欲擷取封包之網卡名稱如紅色底線所示確認後點選 Start鈕
2-120
網路安全
ndash 當使用者收發 email 時即被 Wireshark攔截封包ndash 有發現到該 Outlook Express帳號密碼是如此清晰可見的嗎
Outlook Express 擷取密碼案例 (續 )
2-121
網路安全
結論bull 學習了 Wireshark及WinDump 兩套網路封包擷取軟體基本概念如同電話側錄概念相同從中複製一連串資訊來分析與了解網路的流量及內容為何bull 當你發現網路速度緩慢等狀況你是否會反應到所學的基本概念來找尋問題所在bull 防範概念由此課程的實例可以了解網路內容如被有心人士擷取所造成的損失相當可觀故你是否有對策有哪些方式你可以應用來防範bull 正確的思考善用對的工具將對解決問題事半功倍
2-122
網路安全 2-123
Module 2-5 封包擷取與分析的專案實作()
網路安全
專案目的bull 建立遠端管理傳遞指令資訊環境bull 利用實際攔截封包操作的方式讓同學了解封包擷取運作與網路資訊流通的顧慮等相關議題
2-124
網路安全
專案描述bull 近年來遠端管理伺服器及網路服務普及光是密碼保護就足夠了嗎是否重點網段須全程加密還是作網段隔離經由此專案實作即可了解不僅部分加密仍有其風險所在網路架構如何規劃將是非常重要的課題bull 參考環境配置圖完成下列要求①環境裡的攔截封包主機是 Windows XP SP3 作業系統而該主機安裝Wireshark軟體②另兩台主機的作業系統亦是 Windows XP SP3 並裝上
MySQL軟體 MySQL帳號為 root 密碼為您的學號 (如 Q3896105)
③在MySQLClient 電腦使用 MySQL Commandline 指令連線至MySQLServer 擷取資料庫資訊
④我們針對這兩台主機傳訊的封包擷取由整個實做中思考如何防範資訊外洩與了解傳訊封包如何流動及運作2-125
網路安全
環境配置圖bull 以 Testbed建立一實驗相關拓樸及設定如下圖
MySQLServerOSWINXP-SP3-CH-pc3000 IP 10123安裝軟體 MySQL
MySQLClientOSWINXP-SP3-CH-pc3000 IP 10112安裝軟體 MySQL
2-126
WireSharkOSWINXP-SP3-CH-pc3000 IP1 10113IP2 10122安裝軟體 Wireshark
IP1IP2
網路安全
作業繳交bull 請參考情境測試發送數個 SQL 指令並將過程與擷取到的封包資訊之截圖列於報告中所有圖表皆需要輔以文字說明bull Deadline 2012312 下午 500 以前bull 作業範圍 Module 2-5 (page 2-128)bull 方式 (參考課程網址 )
ndash 帳號密碼小寫的 (ns100ns100)ndash IP 140116164167
2-127
網路安全
有問題嗎
bull 關於 TestBed 使用上的問題請直接 Email至 twisc-testbed-usergooglegroupscom 將有專人為您服務bull 課程網址
httpitlabeenckuedutwcoursesNS_100indexhtml
2-128
bull 助教資訊 (參考課程網址 )
網路安全
參考資料bull Dienet httplinuxdienetman1wiresharkbull Orebaugh Angela Ramirez Gilbert Burke Josh Pesce Larry Wright
Joshua(2007) Wireshark and Ethereal network protocol analyzer toolkitbull Tony Fortunato(2007) Wireshark Training Retrieved July 22 2009 from
the World Wide Web httpwwwthetechfirmcometherealwiresharkpdfbull WinDump httpwwwwinpcaporgWinDumpbull Wireshark httpwwwwiresharkorgbull Wireshark University httpwwwwiresharktrainingcombull 楊中皇 (民 97年 ) 網路安全理論與實務 (2版 ) 台北市學貫bull 蘇淑茵教授 Wireshark 民國 98年 6月 28日取自 httpmywebnckuedutw~sisou
2-129
網路安全
封包 header 實例
2-22
網路安全
封包擷取的原理
A電腦網路卡
目的地A封包
目的地B封包
被丟棄
2-23
網路安全
封包擷取的原理 (續 )
bull 為了監聽到其他使用者的封包監聽者會將網路卡修改為混亂模式 (Promiscuous) 混亂模式不會對目標 MAC 位置做檢查的動作而是將所收到的所有封包做接收的動作bull 藉由混亂模式就可以在 HUB 的區域網路環境中或無線網路的環境中擷取其他人的封包訊息
2-24
網路安全
Module 2-3 封包擷取工具介紹 ()
2-25
網路安全
封包擷取工具比較bull 商業軟體
ndash 優 有廠商維護支援性較佳ndash 缺 成本較高ndash 例 NetResident與 EtherDetect
bull 免費軟體ndash 優 成本較低ndash 缺 功能與使用說明較為簡略ndash 例 Wireshark與WinDump
2-26
網路安全
封包擷取工具 - WinDump
bull 一種開放原始碼的網路軟體工具為 Windows版的 tcpdumpbull 可以分析封包的流向並且對於封包的內容也可以進行 監聽 bull WinDump運算式是一種規則運算式利用一些條件來進行訊息的過濾當訊息滿足運算式的條件則會將其資訊捕獲如果沒有給出任何條件則網路上所有的資訊包將會被擷獲bull 例 WinDump -i interface -c 10 -n port 80 -w
filename
2-27
網路安全
封包擷取工具 - Wireshark
bull 開放原始碼軟體bull 起源於 1997年 Wireshark 的前身即為 Ethereal因為商標問題而改名成 Wiresharkbull 支援通訊協定多且完整使用圖形化的介面讓操作者容易上手過濾條件切割細密讓使用者可於乙太網路撈取且經數據過濾分析後的數據流bull 可由此軟體能夠擷取網路封包並盡可能顯示出最為詳細的網路封包資料提供各方應用
2-28
網路安全
網路存取函式庫 - WinPcap
bull WinPcap 是著名 Unix libpcap的Windows版本API
bull Pcap 是用來擷取封包的應用程式介面 (Application Programming Interface API)
bull 免費直接網路存取函式庫bull 許多網路應用軟體運行均須安裝此套函式庫如WiresharkWinDump Nmap及 Snort
2-29
網路安全
WinDump與Winpcab 示意圖bull 透過 WinDump及Winpcap 工具擷取並分析封包後再將資料蒐集至電腦設備中
2-30
乙太網路Ethernet
網路工具
Windump分析封包結構
Winpcap擷取並過濾封包
封包資訊
網路安全 2-31
Module 2-4 封包擷取的實務 ()
網路安全 2-32
Linux kernel packet processing
網路安全 2-33
網路安全
說明bull 架設實作 (一 ) 請將介紹如何安裝與使用
WinDump 依實驗拓樸請使用 WireDump 主機做安裝及測試bull 架設實作 (二 ) 請利用 Wireshark軟體對 FTP 進行封包擷取依實驗拓樸請使用 Wireshark 主機做安裝及測試bull 架設實作 (三 ) 請利用 Wireshark軟體對
Outlook Express進行封包擷取依實驗拓樸請使用 Wireshark 主機做安裝及測試2-34
網路安全
架設實作 (一 )
WinDump 實作 -SSH連線觀察
2-35
網路安全
封包擷取工具 - WinDump
bull 版本ndash 395
bull 支援作業平台ndash Windows 9598NT2000XP2003
bull 其他需求ndash 安裝WinPcap 31 以上版本
bull 下載位址ndash httpwwwwinpcaporgwindumpinstallbin
windump_3_9_5WinDumpexe
2-36
網路安全
其他需求工具 - WinPcap
bull 版本ndash 402 stable
bull 支援作業平台ndash Windows NT42000
Windows XP2003Vista (x86 and x64)Windows Server 2008 (x86 and x64)
bull 下載位址ndash httpwwwwinpcaporginstallbin
WinPcap_4_0_2exe
2-37
網路安全
WinPcap 安裝步驟bull WinPcap 下載完成後即可進行安裝bull 安裝畫面如下點選 Next按鈕繼續下一步
2-38
網路安全
WinDump與WinPcap測試bull 請將下載的 WinDumpexe 檔案存放至 C
Windowssystem32 的目錄之下bull 測試WinDump及WinPcap 是否可運作
ndash 點選開始 -gt 程式集 -gt附屬應用程式 -gt命令提示字元 -gt 輸入「 windump 」按下 Enter 即會出現「 windump listening on DeviceNPF_GenericDialupAdapter」的訊息代表WinDump及WinPcap 安裝成功且可運作
ndash 停止監聽按「 Ctrl + C」將顯示擷取封包的數量
2-39
網路安全
參數 說明-c 指定收到的封包數目當達到該數目時 Tcpdump 即會停止-d 把編譯過的封包編碼轉碼成可閱讀的格式放置於標準輸出-dd 把編譯過的封包編碼轉碼成 C 語言的格式放置於標準輸出-ddd 把編譯過的封包編碼轉碼成十進位的格式放置於標準輸出-F 從所指定的文件中讀取運算式進而忽略其他運算式-f 用數字顯示 IP 位址 -i 指定擷取封包的網路介面 -w 將擷取的封包直接寫入檔案當中不做分析與顯示於畫面
參數 說明-r 從指定的檔案文件中讀取資料該檔案文件由 -w 所製造出來-v 顯示詳細的封包資訊多了 TTL 及服務類型-s 設定每一個封包的大小-S 用絕對數並非相對數的值列出 TCP 連接數-tt 顯示出原始時間並且為不格式化的時間-n 不進行 IP Address 到 Domain
Name 的轉換-nn 不進行 Port 的轉換如 22 就是
ssh
-x 用十六進位字碼列出封包資料
WinDump相關參數列表
2-40
網路安全
WinDump 簡易使用操作說明bull 語法 windump 參數bull 查看目前系統可使用的網卡介面
ndash windump -Dbull 透過查看網卡介面以利後續監聽之用
2-41
網路安全
WinDump 簡易使用操作說明 (續 )
bull WinDump -i 網卡介面代號 -c 擷取封包數量 port 通訊埠
bull 例 WinDump -i 2 -c 10 port 80
2-42
網路安全
WinDump 簡易使用操作說明 (續 )
bull 因於命令提示字元視窗內所顯示的資訊不易閱讀可透過下列指令將其所擷取的資訊導向至檔案bull Windump -i 網卡介面代號 gt 檔名
ndash windump -i 2 -c 10 -w message port 80ndash windump -r message gt messagetxtndash windump -i 2 -c 10 port 80 gt messagetxt
2-43
網路安全
WinDump 簡易使用操作說明 (續 )
112338326205 此為封包被擷取的時間『 HHMMSSfraction』的單位IP 透過的通訊協定是 IPwinser 1099 gt w1wwwviptw1yahoocomtw80 代表的是傳送端是 winser 傳送的通訊埠為 1099 大於 (gt) 的符號指的是封包的傳輸方向 w1wwwviptw1yahoocomtw 為接收端 80 為接收埠
P(PUSH) 為資料傳輸標誌且傳輸的資料為整體資料的 1~ 699 byte 所以這個封包帶有 698 bytes 的資料量 ack 1 win 65535 ACK與Window size 的相關資料2-44
網路安全
bull 以 Testbed建立一實驗相關拓樸及設定如下圖SSHClientOSWINXP-SP3-CH-pc3000 IP 10113安裝軟體 putty
SSHServerOSWINXP-SP3-CH-pc3000IP 10123安裝軟體 sshd
實驗環境介紹
2-45
IP1
IP2
WireDumpOSWINXP-SP3-CH-pc3000IP1 10112IP2 10122安裝軟體 WinDump
網路安全
實驗拓樸 on TestbedTWISC- 建立完成的實驗拓樸
2-46
網路安全
SSH連線觀察bull 利用 Putty連線到 SSHServer從中觀察到三向交握建立連線的動作從 SSHClient 端利用 putty連線到SSHServer(10123)的 sshd服務
2-47
網路安全
SSH連線觀察 (續 )
bull SSH 在連線之前會利用三向交握的方式建立連線bull 利用 WinDump觀察 SSH連線動作
ndash 指令 WinDumpexe -N -S -i 4 port 22
三向交握的三個封包三向交握示意圖Server lt- Client SYN 你想連線Server -gt Client SYN ACK 可以我接受Server lt- Client ACK 謝謝
2-48
網路安全
架設實作 (二 )
FTP 擷取密碼案例
2-49
網路安全
FTPClientOSWINXP-SP3-pc3000IP 10112安裝軟體 FileZilla
FTPServerOSWINXP-SP3-pc3000IP 10123安裝軟體 RaidenFTPD
實驗環境介紹bull 以 Testbed建立一實驗相關拓樸及設定如下圖
2-50
IP1IP2
WireSharkOSWINXP-SP3-pc3000IP1 10113IP2 10122安裝軟體 Wireshark
網路安全
實驗拓樸 on TestbedTWISC- 建立完成的實驗拓樸
2-51
網路安全
FTP伺服器工具 - RaidenFTPD
bull 版本ndash 24 build 3720
bull 支援作業平台ndash Windows
bull 下載位址ndash httpwwwraidenmaildcomdownloadraidenftpd2exe
2-52
網路安全
RaidenFTPD 安裝步驟bull 下載Windows平台最新版本檔案下載完成後執行該安裝程式
2-53
網路安全
RaidenFTPD 安裝步驟 (續 )
bull 此步驟使用預設路徑即可按下 Install 進行安裝
2-54
網路安全
RaidenFTPD設定步驟bull 程式開啟畫面如下選擇 Click here to start a new
server 進行 FTP伺服器設定
2-55
網路安全
RaidenFTPD設定步驟 (續 )
bull 此處可設定 Server name與 Server IP 將 Auto IP 取消勾選並將 Server IP設為 10123
2-56
網路安全
RaidenFTPD設定步驟 (續 )
bull 接下來的步驟依照預設值即可
2-57
網路安全
RaidenFTPD設定步驟 (續 )
bull 設定人員帳號與群組按下 Add鈕輸入帳號密碼群組名稱可略過完成後按下 Next 進行下一步驟
2-58
網路安全
RaidenFTPD設定步驟 (續 )
bull 此步驟設定該帳號登入 FTP 時的權限選擇NORMAL 按下 Next 進行下一步驟
2-59
網路安全
RaidenFTPD設定步驟 (續 )
bull 接下來的步驟皆以預設值即可完成設定之後會出現對話視窗顯示您所設定的資訊
2-60
網路安全
FTP 用戶端工具 - Filezilla
bull 版本ndash 328
bull 支援作業平台ndash Windows Linux及Mac
bull 下載位址ndash httpsourceforgenetprojectsfilezillafiles
FileZilla_Client328FileZilla_328_win32zipdownload
2-61
網路安全
Filezilla 安裝步驟bull 執行 Filezilla 安裝程式點選 I agree 鈕
2-62
網路安全
Filezilla 安裝步驟 (續 )
bull 以預設值安裝點選兩次 Next 鈕
2-63
網路安全
Filezilla 安裝步驟 (續 )
bull 以預設值安裝點選 Next 鈕後再點選 Install 鈕
2-64
網路安全
Filezilla 安裝步驟 (續 )
bull 以預設值安裝點選 Next 鈕後再點選 Finish 鈕
2-65
網路安全
封包擷取工具 - Wireshark
bull 版本ndash 165
bull 支援作業平台ndash Windows Linux及 FreeBSD
bull 其他需求ndash 安裝WinPcap 31 以上版本
bull 下載位址ndash httpwiresharkdownloadsriverbedcomwireshark
win32wireshark-win32-165exe
2-66
網路安全
Wireshark 安裝步驟bull 至官方網站下載Windows平台最新版本檔案下載完成後執行該安裝程式
2-67
網路安全
Wireshark 安裝步驟 (續 )
bull 於下一步出現的版權宣告點選 I Agree鈕後繼續下一步驟
2-68
網路安全
Wireshark 安裝步驟 (續 )
bull 此步驟選擇欲安裝的元件以軟體預設勾選之項目安裝
2-69
網路安全
Wireshark 安裝步驟 (續 )
bull 此步驟使用預設路徑即可
2-70
網路安全
Wireshark 安裝步驟 (續 )
bull 此步驟將安裝Windows平台須加裝之套件 -WinPcap 若原系統未安裝過 WinPcap套件請以軟體預設項目安裝之
2-71
網路安全
Wireshark 安裝步驟 (續 )
bull 此步驟代表 Wireshark軟體已安裝完成可點選Finish 鈕或勾選 Run Wireshark 165 隨即使用該套軟體
2-72
網路安全
一般工具列Wireshark軟體介面介紹
2-73
篩選工具列封包清單窗格
封包內容窗格封包位元組窗格
網路安全
Wireshark 使用思考方向bull 遇到網路問題是否觀察網路通道中有異常動作或狀況
ndash 思考方向ndash 反應到擷取數據方法那麼以 Wireshark 擷取使用者需要擷取哪些數據這些數據由使用者電腦哪個裝置來擷取
bull Wireshark操作流程
bull 接下來我們進行軟體操作介紹
解決問題 擷取數據要先做什麼
擷取數據 擷取哪些數據( 過濾條件 )數據哪裡來( 網路介面卡 )
2-74
網路安全
數據哪裡來 - Capture功能bull 一開啟方式
ndash 1 點選快速鈕如紅色圈所示ndash 2 點選 Capture功能表 下拉選單後點選 Optionsndash 3鍵盤快速鍵 Ctrl + K
2-75
網路安全
數據哪裡來 - Capture功能 (續 )
bull 二開啟後顯示 Capture Options 的視窗畫面即可看到所提供的擷取功能選項
2-76
網路安全
數據哪裡來 - Capture功能 (續 )
bull Capture Options 常用的欄位設定ndash Caputure 框
bull 1Interface 會顯示出在系統上所有網路卡但只能選取一個介面作為封包擷取bull 2Capture packets in promiscuous mode 選取此選項就是經過所選取的網路卡的所有封包都會被擷取下來bull 3Capture Filter 指定擷取過濾器運算式擷取想要的特定封包即為擷取中過濾之功能
2-77
網路安全
數據哪裡來 - Capture功能 (續 )
bull Capture Options 常用的欄位設定ndash Display Options 框
bull Update list of packets in real time 指定在擷取封包過程中能夠即時更新已擷取封包清單窗格視窗中的封包資訊若取消則軟體主視窗更新畫面是沒有動作的
2-78
網路安全
bull Capture Options 常用的欄位設定ndash Name Resolution框
bull 1 Enable MAC name resolution 指定是否將網路卡MAC address 的前三個位元組轉換成製造商名稱
bull 2 Enable network name resolution 指定是否將 IP address轉換成 DNS 網域名稱
bull 3 Enable transport name resolution 指定是否將通信埠號碼 (port numbers)轉成協定名稱 (protocols)bull 各位了解數據從哪裡擷取的概念與操作之後即可以進一步加上附帶條件 (篩選條件 ) 等相關操作方式
數據哪裡來 - Capture功能 (續 )
2-79
網路安全
Wireshark操作手法bull 延續遇到問題的思考方向及軟體操作手法我們可以將操作流程分為兩種
ndash 擷取中過濾 (Filter while capturing)bull 優點僅擷取已知範圍資訊網路流量少bull 缺點需先了解問題類型避免可能有遺漏真正欲擷取資訊之狀況
ndash 檢視中過濾 (Filter packets while viewing)bull 優點不用先預設條件擷取所有封包資訊bull 缺點影響網路流量
先預設欲擷取條件 擷取數據
擷取數據 再篩選欲查詢數據2-80
網路安全
Wireshark操作手法 - 擷取中過濾bull 操作步驟
ndash 點選 Capture 下拉視窗選擇 Capture Filters 即呈現此視窗
bull 操作範例ndash 1於 Filter窗格中選擇 IP
Address 10112ndash 2於 Properties窗格中即顯示該選項的設定值如圖所示為 host 10112ndash 3 即可設定軟體僅針對
10112 的封包作擷取動作 延伸操作思考1 改變 Filter string 值得到什麼結果2 點選 Edit 窗格中的 New 鈕 新增自訂條件 2-81
網路安全
Wireshark操作手法 - 檢視中過濾bull 此步驟即以已擷取封包清單窗格為基礎以過濾條件過濾該清單bull 可直接選擇軟體預設項目如以下操作
ndash 操作步驟bull 點選 Analyze 下拉視窗選擇
Display Filters 即呈現此視窗ndash 操作範例
bull 1於 Filter窗格中選擇 IP Address 10112
bull 2於 Properties窗格中即顯示該選項的設定值如圖所示值為host 10112
bull 3 即可設定軟體僅針對 10112的封包作顯示動作 延伸操作思考1 可否進行進一步自訂設定值
2-82
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 若電腦 IP為 10112 欲篩選出 IP 來源為上述 IP 且協定為 TCP 80port 的所有封包ndash 操作步驟
bull 點選 Expression鈕即出現此視窗ndash 1於 Field name框選擇
IP項目中的 ipsrc - Source
ndash 2於 Relation框選擇 ==ndash 3於 Value [IPV4
address]填 入 10112ndash 4 點選 OK鈕 進階思考方式須考慮到例如是來源資訊是目標資訊是什麼協定等更細部所要之條件
2-83
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 再進行第二篩選條件ndash TCP 80 port
bull 操作步驟ndash 1先於 Filter string 輸入文字框「 ipsrc==
10112」後再加上一個空格及「 and 」再進行一次 Expression條件選擇
2-84
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
ndash 2於 Field name框選擇「 tcpdstport」ndash 3於 Relation框選擇「 ==」ndash 4於 Value框填入「 80」ndash 5 選擇「 OK」鈕
2-85
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 注意 Propeties框內的Filter string欄位值已改變為「 ipsrc == 10112 and tcpdstport == 80」
bull 確認條件正確後點選「 OK 」鈕即可發現已擷取封包清單窗格的項目均為所設定過濾條件過濾過結果2-86
網路安全
bull 可單選單一封包進行更進階查詢封包內容bull 操作方式為
ndash 點選其中一項封包項目點選滑鼠右鍵選擇Follow TCP Stream
Wireshark操作手法 - 檢視中過濾 (續 )
2-87
網路安全
ndash 此畫面即可看出該項 TCP 封包溝通內容Wireshark操作手法 - 檢視中過濾 (續 )
2-88
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 此功能將所擷取的封包清單使用多種方式呈現封包統計資料便於使用者查詢擷取時間內何種封包數量多寡及圖型顯示bull 操作步驟點選 Statistics 下拉視窗即呈現此視窗 顯示有關擷取清單的摘要以階梯式通訊協定列表顯示所擷取的所有封包
在特定 IP間顯示通訊流量顯示單一 IP 來往封包的流量
以時間軸顯示視覺化封包流量圖2-89
網路安全
bull 可查看到一時段內其封包總數與平均每秒傳遞接收封包數等相關資訊讓使用者了解平均一時段內網路流量狀況藉以初步獲得資訊
Wireshark操作手法 - 檢視中過濾 (續 )
2-90
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 讓使用者可透過階梯式封包分類表來查看哪一類封包佔為居多可進一步推測是否該類型封包影響到整體網路或是否有異常或不常見封包類型在網路中傳遞
2-91
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 將該擷取時段內封包清單檔以兩個特定 IP 之間對傳封包為區隔顯示出哪兩個特定 IP間傳遞封包數多寡bull 可讓使用者更進一步研判兩個特定 IP所屬設備傳遞狀況是否異常
2-92
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 將該擷取時段內封包清單檔以特定IP 傳遞封包數為區隔顯示出哪特定IP 傳遞封包數多寡
bull 可讓使用者更進一步研判該特定所屬設備傳遞封包數是否異常作為管制緊急管制或禁止通訊之證明2-93
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 以時間軸顯示視覺化封包流量圖bull 讓使用者可觀察所管理設備資訊流通量以了解設備是否能負荷或作相關調整等處置
2-94
網路安全
FTP 擷取密碼案例bull 於Wireshark軟體選擇 Capture 下拉選單功能項點選 Interfaces 選項
2-95
網路安全
FTP 擷取密碼案例 (續 )
bull 確認欲擷取封包之網卡名稱如紅色底線所示確認後點選 Start鈕
2-96
網路安全
FTP 擷取密碼案例 (續 )
bull 切換至 FTP Client 電腦開啟 FileZilla 程式後連線到 FTP Server 於 Host 填入10123 Username填入 tester Password填入testpw 後點選 Quickconnect鈕
2-97
網路安全
FTP 擷取密碼案例 (續 )
bull 擷取到的封包資訊會顯示於已擷取封包清單窗格內
2-98
網路安全
FTP 擷取密碼案例 (續 )
bull 使用 FTP軟體登入 ftp站後 Wireshark 將擷取到的使用者名稱與密碼如紅框所示
2-99
網路安全
FTP 擷取密碼案例 (續 )
bull 點選已擷取封包清單窗格的密碼資訊列如標示1 的紅框所示即可在封包內容窗格看到該密碼的位元碼如標示 2 的紅框所示
1
2
2-100
網路安全
架設實作 (三 )
Outlook Express 擷取密碼案例
2-101
網路安全
實驗環境介紹bull 以 Testbed建立一實驗相關拓樸及設定如下圖
OEClientOSWindows XP SP3IP 10112執行 Outlook Express
MailServerOSWindows XP SP3IP 10122安裝軟體 ArGoSoft Mail Server
2-102
WiresharkOSWindows XP SP3IP1 10113 IP2 10123安裝軟體 Wireshark
IP1IP2
網路安全
實驗拓樸 on TestbedTWISC- 建立完成的實驗拓樸
2-103
網路安全
郵件伺服器工具 - ArGoSoft Mail Server
bull 版本ndash 1892 Freeware
bull 支援作業平台ndash Windows
bull 下載位址ndash httpwwwsoftkingcomtwsoftdownloadaspfid3=7367
2-104
網路安全
郵件客戶端工具 - Outlook Express
bull 版本ndash 60
bull 支援作業平台ndash Windows
bull 下載位址ndash Windows 內建
2-105
網路安全
bull 安裝及設定郵件伺服器ndash 1下載並執行 ArGoSoft Mail Server軟體點選
Setup鈕
Outlook Express 擷取密碼案例
2-106
網路安全
ndash 1 點選 Next鈕ndash 2 點選 Start Installation鈕
Outlook Express 擷取密碼案例 (續 )
2-107
網路安全
ndash 3 點選 OK鈕ndash 4 點選 Finish鈕完成軟體安裝
Outlook Express 擷取密碼案例 (續 )
2-108
網路安全
ndash 5 點選使用者設定鈕如紅圈所示ndash 6 點選新增鈕如紅框所示
Outlook Express 擷取密碼案例 (續 )
2-109
網路安全
ndash 7填入使用者名稱 (tester) 及密碼 (testpw) 如紅圈所示填寫完成後點選 OK鈕ndash 8 點選 Close鈕關閉使用者設定視窗
Outlook Express 擷取密碼案例 (續 )
2-110
網路安全
ndash 9 點選選項鈕如左側圖中紅色圈所示ndash 10 點選紅色打勾鈕如右側圖中紅色圈所示
2-111
Outlook Express 擷取密碼案例 (續 )
網路安全
ndash 11該軟體會自動選取 DNS Server 待選取後點選 Yes鈕ndash 12 勾選 Allow Relay 選項如紅框所示
2-112
Outlook Express 擷取密碼案例 (續 )
網路安全
Outlook Express 擷取密碼案例 (續 )
bull 設定收信帳號ndash 1 點選 Tools功能選單選擇 Accounts 選項
2-113
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 2 點選 Add鈕選擇 Mail 選項
2-114
網路安全
ndash 3填入 tester 點選 Next鈕ndash 4填入 testertestcom 點選 Next鈕
Outlook Express 擷取密碼案例 (續 )
2-115
網路安全
ndash 5填入 10123 如紅框所示點選 Next鈕ndash 6填入帳號為 tester 及密碼為 testpw 點選 Next鈕
Outlook Express 擷取密碼案例 (續 )
2-116
網路安全
ndash 7 點選 Finish鈕ndash 8 點選 Close鈕
Outlook Express 擷取密碼案例 (續 )
2-117
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 模擬條件準備好後首先準備Wireshark 擷取動作開啟Wireshark
2-118
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 於Wireshark軟體選擇 Capture 下拉選單功能項點選 Interfaces 選項
2-119
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 確認欲擷取封包之網卡名稱如紅色底線所示確認後點選 Start鈕
2-120
網路安全
ndash 當使用者收發 email 時即被 Wireshark攔截封包ndash 有發現到該 Outlook Express帳號密碼是如此清晰可見的嗎
Outlook Express 擷取密碼案例 (續 )
2-121
網路安全
結論bull 學習了 Wireshark及WinDump 兩套網路封包擷取軟體基本概念如同電話側錄概念相同從中複製一連串資訊來分析與了解網路的流量及內容為何bull 當你發現網路速度緩慢等狀況你是否會反應到所學的基本概念來找尋問題所在bull 防範概念由此課程的實例可以了解網路內容如被有心人士擷取所造成的損失相當可觀故你是否有對策有哪些方式你可以應用來防範bull 正確的思考善用對的工具將對解決問題事半功倍
2-122
網路安全 2-123
Module 2-5 封包擷取與分析的專案實作()
網路安全
專案目的bull 建立遠端管理傳遞指令資訊環境bull 利用實際攔截封包操作的方式讓同學了解封包擷取運作與網路資訊流通的顧慮等相關議題
2-124
網路安全
專案描述bull 近年來遠端管理伺服器及網路服務普及光是密碼保護就足夠了嗎是否重點網段須全程加密還是作網段隔離經由此專案實作即可了解不僅部分加密仍有其風險所在網路架構如何規劃將是非常重要的課題bull 參考環境配置圖完成下列要求①環境裡的攔截封包主機是 Windows XP SP3 作業系統而該主機安裝Wireshark軟體②另兩台主機的作業系統亦是 Windows XP SP3 並裝上
MySQL軟體 MySQL帳號為 root 密碼為您的學號 (如 Q3896105)
③在MySQLClient 電腦使用 MySQL Commandline 指令連線至MySQLServer 擷取資料庫資訊
④我們針對這兩台主機傳訊的封包擷取由整個實做中思考如何防範資訊外洩與了解傳訊封包如何流動及運作2-125
網路安全
環境配置圖bull 以 Testbed建立一實驗相關拓樸及設定如下圖
MySQLServerOSWINXP-SP3-CH-pc3000 IP 10123安裝軟體 MySQL
MySQLClientOSWINXP-SP3-CH-pc3000 IP 10112安裝軟體 MySQL
2-126
WireSharkOSWINXP-SP3-CH-pc3000 IP1 10113IP2 10122安裝軟體 Wireshark
IP1IP2
網路安全
作業繳交bull 請參考情境測試發送數個 SQL 指令並將過程與擷取到的封包資訊之截圖列於報告中所有圖表皆需要輔以文字說明bull Deadline 2012312 下午 500 以前bull 作業範圍 Module 2-5 (page 2-128)bull 方式 (參考課程網址 )
ndash 帳號密碼小寫的 (ns100ns100)ndash IP 140116164167
2-127
網路安全
有問題嗎
bull 關於 TestBed 使用上的問題請直接 Email至 twisc-testbed-usergooglegroupscom 將有專人為您服務bull 課程網址
httpitlabeenckuedutwcoursesNS_100indexhtml
2-128
bull 助教資訊 (參考課程網址 )
網路安全
參考資料bull Dienet httplinuxdienetman1wiresharkbull Orebaugh Angela Ramirez Gilbert Burke Josh Pesce Larry Wright
Joshua(2007) Wireshark and Ethereal network protocol analyzer toolkitbull Tony Fortunato(2007) Wireshark Training Retrieved July 22 2009 from
the World Wide Web httpwwwthetechfirmcometherealwiresharkpdfbull WinDump httpwwwwinpcaporgWinDumpbull Wireshark httpwwwwiresharkorgbull Wireshark University httpwwwwiresharktrainingcombull 楊中皇 (民 97年 ) 網路安全理論與實務 (2版 ) 台北市學貫bull 蘇淑茵教授 Wireshark 民國 98年 6月 28日取自 httpmywebnckuedutw~sisou
2-129
網路安全
封包擷取的原理
A電腦網路卡
目的地A封包
目的地B封包
被丟棄
2-23
網路安全
封包擷取的原理 (續 )
bull 為了監聽到其他使用者的封包監聽者會將網路卡修改為混亂模式 (Promiscuous) 混亂模式不會對目標 MAC 位置做檢查的動作而是將所收到的所有封包做接收的動作bull 藉由混亂模式就可以在 HUB 的區域網路環境中或無線網路的環境中擷取其他人的封包訊息
2-24
網路安全
Module 2-3 封包擷取工具介紹 ()
2-25
網路安全
封包擷取工具比較bull 商業軟體
ndash 優 有廠商維護支援性較佳ndash 缺 成本較高ndash 例 NetResident與 EtherDetect
bull 免費軟體ndash 優 成本較低ndash 缺 功能與使用說明較為簡略ndash 例 Wireshark與WinDump
2-26
網路安全
封包擷取工具 - WinDump
bull 一種開放原始碼的網路軟體工具為 Windows版的 tcpdumpbull 可以分析封包的流向並且對於封包的內容也可以進行 監聽 bull WinDump運算式是一種規則運算式利用一些條件來進行訊息的過濾當訊息滿足運算式的條件則會將其資訊捕獲如果沒有給出任何條件則網路上所有的資訊包將會被擷獲bull 例 WinDump -i interface -c 10 -n port 80 -w
filename
2-27
網路安全
封包擷取工具 - Wireshark
bull 開放原始碼軟體bull 起源於 1997年 Wireshark 的前身即為 Ethereal因為商標問題而改名成 Wiresharkbull 支援通訊協定多且完整使用圖形化的介面讓操作者容易上手過濾條件切割細密讓使用者可於乙太網路撈取且經數據過濾分析後的數據流bull 可由此軟體能夠擷取網路封包並盡可能顯示出最為詳細的網路封包資料提供各方應用
2-28
網路安全
網路存取函式庫 - WinPcap
bull WinPcap 是著名 Unix libpcap的Windows版本API
bull Pcap 是用來擷取封包的應用程式介面 (Application Programming Interface API)
bull 免費直接網路存取函式庫bull 許多網路應用軟體運行均須安裝此套函式庫如WiresharkWinDump Nmap及 Snort
2-29
網路安全
WinDump與Winpcab 示意圖bull 透過 WinDump及Winpcap 工具擷取並分析封包後再將資料蒐集至電腦設備中
2-30
乙太網路Ethernet
網路工具
Windump分析封包結構
Winpcap擷取並過濾封包
封包資訊
網路安全 2-31
Module 2-4 封包擷取的實務 ()
網路安全 2-32
Linux kernel packet processing
網路安全 2-33
網路安全
說明bull 架設實作 (一 ) 請將介紹如何安裝與使用
WinDump 依實驗拓樸請使用 WireDump 主機做安裝及測試bull 架設實作 (二 ) 請利用 Wireshark軟體對 FTP 進行封包擷取依實驗拓樸請使用 Wireshark 主機做安裝及測試bull 架設實作 (三 ) 請利用 Wireshark軟體對
Outlook Express進行封包擷取依實驗拓樸請使用 Wireshark 主機做安裝及測試2-34
網路安全
架設實作 (一 )
WinDump 實作 -SSH連線觀察
2-35
網路安全
封包擷取工具 - WinDump
bull 版本ndash 395
bull 支援作業平台ndash Windows 9598NT2000XP2003
bull 其他需求ndash 安裝WinPcap 31 以上版本
bull 下載位址ndash httpwwwwinpcaporgwindumpinstallbin
windump_3_9_5WinDumpexe
2-36
網路安全
其他需求工具 - WinPcap
bull 版本ndash 402 stable
bull 支援作業平台ndash Windows NT42000
Windows XP2003Vista (x86 and x64)Windows Server 2008 (x86 and x64)
bull 下載位址ndash httpwwwwinpcaporginstallbin
WinPcap_4_0_2exe
2-37
網路安全
WinPcap 安裝步驟bull WinPcap 下載完成後即可進行安裝bull 安裝畫面如下點選 Next按鈕繼續下一步
2-38
網路安全
WinDump與WinPcap測試bull 請將下載的 WinDumpexe 檔案存放至 C
Windowssystem32 的目錄之下bull 測試WinDump及WinPcap 是否可運作
ndash 點選開始 -gt 程式集 -gt附屬應用程式 -gt命令提示字元 -gt 輸入「 windump 」按下 Enter 即會出現「 windump listening on DeviceNPF_GenericDialupAdapter」的訊息代表WinDump及WinPcap 安裝成功且可運作
ndash 停止監聽按「 Ctrl + C」將顯示擷取封包的數量
2-39
網路安全
參數 說明-c 指定收到的封包數目當達到該數目時 Tcpdump 即會停止-d 把編譯過的封包編碼轉碼成可閱讀的格式放置於標準輸出-dd 把編譯過的封包編碼轉碼成 C 語言的格式放置於標準輸出-ddd 把編譯過的封包編碼轉碼成十進位的格式放置於標準輸出-F 從所指定的文件中讀取運算式進而忽略其他運算式-f 用數字顯示 IP 位址 -i 指定擷取封包的網路介面 -w 將擷取的封包直接寫入檔案當中不做分析與顯示於畫面
參數 說明-r 從指定的檔案文件中讀取資料該檔案文件由 -w 所製造出來-v 顯示詳細的封包資訊多了 TTL 及服務類型-s 設定每一個封包的大小-S 用絕對數並非相對數的值列出 TCP 連接數-tt 顯示出原始時間並且為不格式化的時間-n 不進行 IP Address 到 Domain
Name 的轉換-nn 不進行 Port 的轉換如 22 就是
ssh
-x 用十六進位字碼列出封包資料
WinDump相關參數列表
2-40
網路安全
WinDump 簡易使用操作說明bull 語法 windump 參數bull 查看目前系統可使用的網卡介面
ndash windump -Dbull 透過查看網卡介面以利後續監聽之用
2-41
網路安全
WinDump 簡易使用操作說明 (續 )
bull WinDump -i 網卡介面代號 -c 擷取封包數量 port 通訊埠
bull 例 WinDump -i 2 -c 10 port 80
2-42
網路安全
WinDump 簡易使用操作說明 (續 )
bull 因於命令提示字元視窗內所顯示的資訊不易閱讀可透過下列指令將其所擷取的資訊導向至檔案bull Windump -i 網卡介面代號 gt 檔名
ndash windump -i 2 -c 10 -w message port 80ndash windump -r message gt messagetxtndash windump -i 2 -c 10 port 80 gt messagetxt
2-43
網路安全
WinDump 簡易使用操作說明 (續 )
112338326205 此為封包被擷取的時間『 HHMMSSfraction』的單位IP 透過的通訊協定是 IPwinser 1099 gt w1wwwviptw1yahoocomtw80 代表的是傳送端是 winser 傳送的通訊埠為 1099 大於 (gt) 的符號指的是封包的傳輸方向 w1wwwviptw1yahoocomtw 為接收端 80 為接收埠
P(PUSH) 為資料傳輸標誌且傳輸的資料為整體資料的 1~ 699 byte 所以這個封包帶有 698 bytes 的資料量 ack 1 win 65535 ACK與Window size 的相關資料2-44
網路安全
bull 以 Testbed建立一實驗相關拓樸及設定如下圖SSHClientOSWINXP-SP3-CH-pc3000 IP 10113安裝軟體 putty
SSHServerOSWINXP-SP3-CH-pc3000IP 10123安裝軟體 sshd
實驗環境介紹
2-45
IP1
IP2
WireDumpOSWINXP-SP3-CH-pc3000IP1 10112IP2 10122安裝軟體 WinDump
網路安全
實驗拓樸 on TestbedTWISC- 建立完成的實驗拓樸
2-46
網路安全
SSH連線觀察bull 利用 Putty連線到 SSHServer從中觀察到三向交握建立連線的動作從 SSHClient 端利用 putty連線到SSHServer(10123)的 sshd服務
2-47
網路安全
SSH連線觀察 (續 )
bull SSH 在連線之前會利用三向交握的方式建立連線bull 利用 WinDump觀察 SSH連線動作
ndash 指令 WinDumpexe -N -S -i 4 port 22
三向交握的三個封包三向交握示意圖Server lt- Client SYN 你想連線Server -gt Client SYN ACK 可以我接受Server lt- Client ACK 謝謝
2-48
網路安全
架設實作 (二 )
FTP 擷取密碼案例
2-49
網路安全
FTPClientOSWINXP-SP3-pc3000IP 10112安裝軟體 FileZilla
FTPServerOSWINXP-SP3-pc3000IP 10123安裝軟體 RaidenFTPD
實驗環境介紹bull 以 Testbed建立一實驗相關拓樸及設定如下圖
2-50
IP1IP2
WireSharkOSWINXP-SP3-pc3000IP1 10113IP2 10122安裝軟體 Wireshark
網路安全
實驗拓樸 on TestbedTWISC- 建立完成的實驗拓樸
2-51
網路安全
FTP伺服器工具 - RaidenFTPD
bull 版本ndash 24 build 3720
bull 支援作業平台ndash Windows
bull 下載位址ndash httpwwwraidenmaildcomdownloadraidenftpd2exe
2-52
網路安全
RaidenFTPD 安裝步驟bull 下載Windows平台最新版本檔案下載完成後執行該安裝程式
2-53
網路安全
RaidenFTPD 安裝步驟 (續 )
bull 此步驟使用預設路徑即可按下 Install 進行安裝
2-54
網路安全
RaidenFTPD設定步驟bull 程式開啟畫面如下選擇 Click here to start a new
server 進行 FTP伺服器設定
2-55
網路安全
RaidenFTPD設定步驟 (續 )
bull 此處可設定 Server name與 Server IP 將 Auto IP 取消勾選並將 Server IP設為 10123
2-56
網路安全
RaidenFTPD設定步驟 (續 )
bull 接下來的步驟依照預設值即可
2-57
網路安全
RaidenFTPD設定步驟 (續 )
bull 設定人員帳號與群組按下 Add鈕輸入帳號密碼群組名稱可略過完成後按下 Next 進行下一步驟
2-58
網路安全
RaidenFTPD設定步驟 (續 )
bull 此步驟設定該帳號登入 FTP 時的權限選擇NORMAL 按下 Next 進行下一步驟
2-59
網路安全
RaidenFTPD設定步驟 (續 )
bull 接下來的步驟皆以預設值即可完成設定之後會出現對話視窗顯示您所設定的資訊
2-60
網路安全
FTP 用戶端工具 - Filezilla
bull 版本ndash 328
bull 支援作業平台ndash Windows Linux及Mac
bull 下載位址ndash httpsourceforgenetprojectsfilezillafiles
FileZilla_Client328FileZilla_328_win32zipdownload
2-61
網路安全
Filezilla 安裝步驟bull 執行 Filezilla 安裝程式點選 I agree 鈕
2-62
網路安全
Filezilla 安裝步驟 (續 )
bull 以預設值安裝點選兩次 Next 鈕
2-63
網路安全
Filezilla 安裝步驟 (續 )
bull 以預設值安裝點選 Next 鈕後再點選 Install 鈕
2-64
網路安全
Filezilla 安裝步驟 (續 )
bull 以預設值安裝點選 Next 鈕後再點選 Finish 鈕
2-65
網路安全
封包擷取工具 - Wireshark
bull 版本ndash 165
bull 支援作業平台ndash Windows Linux及 FreeBSD
bull 其他需求ndash 安裝WinPcap 31 以上版本
bull 下載位址ndash httpwiresharkdownloadsriverbedcomwireshark
win32wireshark-win32-165exe
2-66
網路安全
Wireshark 安裝步驟bull 至官方網站下載Windows平台最新版本檔案下載完成後執行該安裝程式
2-67
網路安全
Wireshark 安裝步驟 (續 )
bull 於下一步出現的版權宣告點選 I Agree鈕後繼續下一步驟
2-68
網路安全
Wireshark 安裝步驟 (續 )
bull 此步驟選擇欲安裝的元件以軟體預設勾選之項目安裝
2-69
網路安全
Wireshark 安裝步驟 (續 )
bull 此步驟使用預設路徑即可
2-70
網路安全
Wireshark 安裝步驟 (續 )
bull 此步驟將安裝Windows平台須加裝之套件 -WinPcap 若原系統未安裝過 WinPcap套件請以軟體預設項目安裝之
2-71
網路安全
Wireshark 安裝步驟 (續 )
bull 此步驟代表 Wireshark軟體已安裝完成可點選Finish 鈕或勾選 Run Wireshark 165 隨即使用該套軟體
2-72
網路安全
一般工具列Wireshark軟體介面介紹
2-73
篩選工具列封包清單窗格
封包內容窗格封包位元組窗格
網路安全
Wireshark 使用思考方向bull 遇到網路問題是否觀察網路通道中有異常動作或狀況
ndash 思考方向ndash 反應到擷取數據方法那麼以 Wireshark 擷取使用者需要擷取哪些數據這些數據由使用者電腦哪個裝置來擷取
bull Wireshark操作流程
bull 接下來我們進行軟體操作介紹
解決問題 擷取數據要先做什麼
擷取數據 擷取哪些數據( 過濾條件 )數據哪裡來( 網路介面卡 )
2-74
網路安全
數據哪裡來 - Capture功能bull 一開啟方式
ndash 1 點選快速鈕如紅色圈所示ndash 2 點選 Capture功能表 下拉選單後點選 Optionsndash 3鍵盤快速鍵 Ctrl + K
2-75
網路安全
數據哪裡來 - Capture功能 (續 )
bull 二開啟後顯示 Capture Options 的視窗畫面即可看到所提供的擷取功能選項
2-76
網路安全
數據哪裡來 - Capture功能 (續 )
bull Capture Options 常用的欄位設定ndash Caputure 框
bull 1Interface 會顯示出在系統上所有網路卡但只能選取一個介面作為封包擷取bull 2Capture packets in promiscuous mode 選取此選項就是經過所選取的網路卡的所有封包都會被擷取下來bull 3Capture Filter 指定擷取過濾器運算式擷取想要的特定封包即為擷取中過濾之功能
2-77
網路安全
數據哪裡來 - Capture功能 (續 )
bull Capture Options 常用的欄位設定ndash Display Options 框
bull Update list of packets in real time 指定在擷取封包過程中能夠即時更新已擷取封包清單窗格視窗中的封包資訊若取消則軟體主視窗更新畫面是沒有動作的
2-78
網路安全
bull Capture Options 常用的欄位設定ndash Name Resolution框
bull 1 Enable MAC name resolution 指定是否將網路卡MAC address 的前三個位元組轉換成製造商名稱
bull 2 Enable network name resolution 指定是否將 IP address轉換成 DNS 網域名稱
bull 3 Enable transport name resolution 指定是否將通信埠號碼 (port numbers)轉成協定名稱 (protocols)bull 各位了解數據從哪裡擷取的概念與操作之後即可以進一步加上附帶條件 (篩選條件 ) 等相關操作方式
數據哪裡來 - Capture功能 (續 )
2-79
網路安全
Wireshark操作手法bull 延續遇到問題的思考方向及軟體操作手法我們可以將操作流程分為兩種
ndash 擷取中過濾 (Filter while capturing)bull 優點僅擷取已知範圍資訊網路流量少bull 缺點需先了解問題類型避免可能有遺漏真正欲擷取資訊之狀況
ndash 檢視中過濾 (Filter packets while viewing)bull 優點不用先預設條件擷取所有封包資訊bull 缺點影響網路流量
先預設欲擷取條件 擷取數據
擷取數據 再篩選欲查詢數據2-80
網路安全
Wireshark操作手法 - 擷取中過濾bull 操作步驟
ndash 點選 Capture 下拉視窗選擇 Capture Filters 即呈現此視窗
bull 操作範例ndash 1於 Filter窗格中選擇 IP
Address 10112ndash 2於 Properties窗格中即顯示該選項的設定值如圖所示為 host 10112ndash 3 即可設定軟體僅針對
10112 的封包作擷取動作 延伸操作思考1 改變 Filter string 值得到什麼結果2 點選 Edit 窗格中的 New 鈕 新增自訂條件 2-81
網路安全
Wireshark操作手法 - 檢視中過濾bull 此步驟即以已擷取封包清單窗格為基礎以過濾條件過濾該清單bull 可直接選擇軟體預設項目如以下操作
ndash 操作步驟bull 點選 Analyze 下拉視窗選擇
Display Filters 即呈現此視窗ndash 操作範例
bull 1於 Filter窗格中選擇 IP Address 10112
bull 2於 Properties窗格中即顯示該選項的設定值如圖所示值為host 10112
bull 3 即可設定軟體僅針對 10112的封包作顯示動作 延伸操作思考1 可否進行進一步自訂設定值
2-82
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 若電腦 IP為 10112 欲篩選出 IP 來源為上述 IP 且協定為 TCP 80port 的所有封包ndash 操作步驟
bull 點選 Expression鈕即出現此視窗ndash 1於 Field name框選擇
IP項目中的 ipsrc - Source
ndash 2於 Relation框選擇 ==ndash 3於 Value [IPV4
address]填 入 10112ndash 4 點選 OK鈕 進階思考方式須考慮到例如是來源資訊是目標資訊是什麼協定等更細部所要之條件
2-83
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 再進行第二篩選條件ndash TCP 80 port
bull 操作步驟ndash 1先於 Filter string 輸入文字框「 ipsrc==
10112」後再加上一個空格及「 and 」再進行一次 Expression條件選擇
2-84
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
ndash 2於 Field name框選擇「 tcpdstport」ndash 3於 Relation框選擇「 ==」ndash 4於 Value框填入「 80」ndash 5 選擇「 OK」鈕
2-85
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 注意 Propeties框內的Filter string欄位值已改變為「 ipsrc == 10112 and tcpdstport == 80」
bull 確認條件正確後點選「 OK 」鈕即可發現已擷取封包清單窗格的項目均為所設定過濾條件過濾過結果2-86
網路安全
bull 可單選單一封包進行更進階查詢封包內容bull 操作方式為
ndash 點選其中一項封包項目點選滑鼠右鍵選擇Follow TCP Stream
Wireshark操作手法 - 檢視中過濾 (續 )
2-87
網路安全
ndash 此畫面即可看出該項 TCP 封包溝通內容Wireshark操作手法 - 檢視中過濾 (續 )
2-88
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 此功能將所擷取的封包清單使用多種方式呈現封包統計資料便於使用者查詢擷取時間內何種封包數量多寡及圖型顯示bull 操作步驟點選 Statistics 下拉視窗即呈現此視窗 顯示有關擷取清單的摘要以階梯式通訊協定列表顯示所擷取的所有封包
在特定 IP間顯示通訊流量顯示單一 IP 來往封包的流量
以時間軸顯示視覺化封包流量圖2-89
網路安全
bull 可查看到一時段內其封包總數與平均每秒傳遞接收封包數等相關資訊讓使用者了解平均一時段內網路流量狀況藉以初步獲得資訊
Wireshark操作手法 - 檢視中過濾 (續 )
2-90
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 讓使用者可透過階梯式封包分類表來查看哪一類封包佔為居多可進一步推測是否該類型封包影響到整體網路或是否有異常或不常見封包類型在網路中傳遞
2-91
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 將該擷取時段內封包清單檔以兩個特定 IP 之間對傳封包為區隔顯示出哪兩個特定 IP間傳遞封包數多寡bull 可讓使用者更進一步研判兩個特定 IP所屬設備傳遞狀況是否異常
2-92
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 將該擷取時段內封包清單檔以特定IP 傳遞封包數為區隔顯示出哪特定IP 傳遞封包數多寡
bull 可讓使用者更進一步研判該特定所屬設備傳遞封包數是否異常作為管制緊急管制或禁止通訊之證明2-93
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 以時間軸顯示視覺化封包流量圖bull 讓使用者可觀察所管理設備資訊流通量以了解設備是否能負荷或作相關調整等處置
2-94
網路安全
FTP 擷取密碼案例bull 於Wireshark軟體選擇 Capture 下拉選單功能項點選 Interfaces 選項
2-95
網路安全
FTP 擷取密碼案例 (續 )
bull 確認欲擷取封包之網卡名稱如紅色底線所示確認後點選 Start鈕
2-96
網路安全
FTP 擷取密碼案例 (續 )
bull 切換至 FTP Client 電腦開啟 FileZilla 程式後連線到 FTP Server 於 Host 填入10123 Username填入 tester Password填入testpw 後點選 Quickconnect鈕
2-97
網路安全
FTP 擷取密碼案例 (續 )
bull 擷取到的封包資訊會顯示於已擷取封包清單窗格內
2-98
網路安全
FTP 擷取密碼案例 (續 )
bull 使用 FTP軟體登入 ftp站後 Wireshark 將擷取到的使用者名稱與密碼如紅框所示
2-99
網路安全
FTP 擷取密碼案例 (續 )
bull 點選已擷取封包清單窗格的密碼資訊列如標示1 的紅框所示即可在封包內容窗格看到該密碼的位元碼如標示 2 的紅框所示
1
2
2-100
網路安全
架設實作 (三 )
Outlook Express 擷取密碼案例
2-101
網路安全
實驗環境介紹bull 以 Testbed建立一實驗相關拓樸及設定如下圖
OEClientOSWindows XP SP3IP 10112執行 Outlook Express
MailServerOSWindows XP SP3IP 10122安裝軟體 ArGoSoft Mail Server
2-102
WiresharkOSWindows XP SP3IP1 10113 IP2 10123安裝軟體 Wireshark
IP1IP2
網路安全
實驗拓樸 on TestbedTWISC- 建立完成的實驗拓樸
2-103
網路安全
郵件伺服器工具 - ArGoSoft Mail Server
bull 版本ndash 1892 Freeware
bull 支援作業平台ndash Windows
bull 下載位址ndash httpwwwsoftkingcomtwsoftdownloadaspfid3=7367
2-104
網路安全
郵件客戶端工具 - Outlook Express
bull 版本ndash 60
bull 支援作業平台ndash Windows
bull 下載位址ndash Windows 內建
2-105
網路安全
bull 安裝及設定郵件伺服器ndash 1下載並執行 ArGoSoft Mail Server軟體點選
Setup鈕
Outlook Express 擷取密碼案例
2-106
網路安全
ndash 1 點選 Next鈕ndash 2 點選 Start Installation鈕
Outlook Express 擷取密碼案例 (續 )
2-107
網路安全
ndash 3 點選 OK鈕ndash 4 點選 Finish鈕完成軟體安裝
Outlook Express 擷取密碼案例 (續 )
2-108
網路安全
ndash 5 點選使用者設定鈕如紅圈所示ndash 6 點選新增鈕如紅框所示
Outlook Express 擷取密碼案例 (續 )
2-109
網路安全
ndash 7填入使用者名稱 (tester) 及密碼 (testpw) 如紅圈所示填寫完成後點選 OK鈕ndash 8 點選 Close鈕關閉使用者設定視窗
Outlook Express 擷取密碼案例 (續 )
2-110
網路安全
ndash 9 點選選項鈕如左側圖中紅色圈所示ndash 10 點選紅色打勾鈕如右側圖中紅色圈所示
2-111
Outlook Express 擷取密碼案例 (續 )
網路安全
ndash 11該軟體會自動選取 DNS Server 待選取後點選 Yes鈕ndash 12 勾選 Allow Relay 選項如紅框所示
2-112
Outlook Express 擷取密碼案例 (續 )
網路安全
Outlook Express 擷取密碼案例 (續 )
bull 設定收信帳號ndash 1 點選 Tools功能選單選擇 Accounts 選項
2-113
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 2 點選 Add鈕選擇 Mail 選項
2-114
網路安全
ndash 3填入 tester 點選 Next鈕ndash 4填入 testertestcom 點選 Next鈕
Outlook Express 擷取密碼案例 (續 )
2-115
網路安全
ndash 5填入 10123 如紅框所示點選 Next鈕ndash 6填入帳號為 tester 及密碼為 testpw 點選 Next鈕
Outlook Express 擷取密碼案例 (續 )
2-116
網路安全
ndash 7 點選 Finish鈕ndash 8 點選 Close鈕
Outlook Express 擷取密碼案例 (續 )
2-117
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 模擬條件準備好後首先準備Wireshark 擷取動作開啟Wireshark
2-118
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 於Wireshark軟體選擇 Capture 下拉選單功能項點選 Interfaces 選項
2-119
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 確認欲擷取封包之網卡名稱如紅色底線所示確認後點選 Start鈕
2-120
網路安全
ndash 當使用者收發 email 時即被 Wireshark攔截封包ndash 有發現到該 Outlook Express帳號密碼是如此清晰可見的嗎
Outlook Express 擷取密碼案例 (續 )
2-121
網路安全
結論bull 學習了 Wireshark及WinDump 兩套網路封包擷取軟體基本概念如同電話側錄概念相同從中複製一連串資訊來分析與了解網路的流量及內容為何bull 當你發現網路速度緩慢等狀況你是否會反應到所學的基本概念來找尋問題所在bull 防範概念由此課程的實例可以了解網路內容如被有心人士擷取所造成的損失相當可觀故你是否有對策有哪些方式你可以應用來防範bull 正確的思考善用對的工具將對解決問題事半功倍
2-122
網路安全 2-123
Module 2-5 封包擷取與分析的專案實作()
網路安全
專案目的bull 建立遠端管理傳遞指令資訊環境bull 利用實際攔截封包操作的方式讓同學了解封包擷取運作與網路資訊流通的顧慮等相關議題
2-124
網路安全
專案描述bull 近年來遠端管理伺服器及網路服務普及光是密碼保護就足夠了嗎是否重點網段須全程加密還是作網段隔離經由此專案實作即可了解不僅部分加密仍有其風險所在網路架構如何規劃將是非常重要的課題bull 參考環境配置圖完成下列要求①環境裡的攔截封包主機是 Windows XP SP3 作業系統而該主機安裝Wireshark軟體②另兩台主機的作業系統亦是 Windows XP SP3 並裝上
MySQL軟體 MySQL帳號為 root 密碼為您的學號 (如 Q3896105)
③在MySQLClient 電腦使用 MySQL Commandline 指令連線至MySQLServer 擷取資料庫資訊
④我們針對這兩台主機傳訊的封包擷取由整個實做中思考如何防範資訊外洩與了解傳訊封包如何流動及運作2-125
網路安全
環境配置圖bull 以 Testbed建立一實驗相關拓樸及設定如下圖
MySQLServerOSWINXP-SP3-CH-pc3000 IP 10123安裝軟體 MySQL
MySQLClientOSWINXP-SP3-CH-pc3000 IP 10112安裝軟體 MySQL
2-126
WireSharkOSWINXP-SP3-CH-pc3000 IP1 10113IP2 10122安裝軟體 Wireshark
IP1IP2
網路安全
作業繳交bull 請參考情境測試發送數個 SQL 指令並將過程與擷取到的封包資訊之截圖列於報告中所有圖表皆需要輔以文字說明bull Deadline 2012312 下午 500 以前bull 作業範圍 Module 2-5 (page 2-128)bull 方式 (參考課程網址 )
ndash 帳號密碼小寫的 (ns100ns100)ndash IP 140116164167
2-127
網路安全
有問題嗎
bull 關於 TestBed 使用上的問題請直接 Email至 twisc-testbed-usergooglegroupscom 將有專人為您服務bull 課程網址
httpitlabeenckuedutwcoursesNS_100indexhtml
2-128
bull 助教資訊 (參考課程網址 )
網路安全
參考資料bull Dienet httplinuxdienetman1wiresharkbull Orebaugh Angela Ramirez Gilbert Burke Josh Pesce Larry Wright
Joshua(2007) Wireshark and Ethereal network protocol analyzer toolkitbull Tony Fortunato(2007) Wireshark Training Retrieved July 22 2009 from
the World Wide Web httpwwwthetechfirmcometherealwiresharkpdfbull WinDump httpwwwwinpcaporgWinDumpbull Wireshark httpwwwwiresharkorgbull Wireshark University httpwwwwiresharktrainingcombull 楊中皇 (民 97年 ) 網路安全理論與實務 (2版 ) 台北市學貫bull 蘇淑茵教授 Wireshark 民國 98年 6月 28日取自 httpmywebnckuedutw~sisou
2-129
網路安全
封包擷取的原理 (續 )
bull 為了監聽到其他使用者的封包監聽者會將網路卡修改為混亂模式 (Promiscuous) 混亂模式不會對目標 MAC 位置做檢查的動作而是將所收到的所有封包做接收的動作bull 藉由混亂模式就可以在 HUB 的區域網路環境中或無線網路的環境中擷取其他人的封包訊息
2-24
網路安全
Module 2-3 封包擷取工具介紹 ()
2-25
網路安全
封包擷取工具比較bull 商業軟體
ndash 優 有廠商維護支援性較佳ndash 缺 成本較高ndash 例 NetResident與 EtherDetect
bull 免費軟體ndash 優 成本較低ndash 缺 功能與使用說明較為簡略ndash 例 Wireshark與WinDump
2-26
網路安全
封包擷取工具 - WinDump
bull 一種開放原始碼的網路軟體工具為 Windows版的 tcpdumpbull 可以分析封包的流向並且對於封包的內容也可以進行 監聽 bull WinDump運算式是一種規則運算式利用一些條件來進行訊息的過濾當訊息滿足運算式的條件則會將其資訊捕獲如果沒有給出任何條件則網路上所有的資訊包將會被擷獲bull 例 WinDump -i interface -c 10 -n port 80 -w
filename
2-27
網路安全
封包擷取工具 - Wireshark
bull 開放原始碼軟體bull 起源於 1997年 Wireshark 的前身即為 Ethereal因為商標問題而改名成 Wiresharkbull 支援通訊協定多且完整使用圖形化的介面讓操作者容易上手過濾條件切割細密讓使用者可於乙太網路撈取且經數據過濾分析後的數據流bull 可由此軟體能夠擷取網路封包並盡可能顯示出最為詳細的網路封包資料提供各方應用
2-28
網路安全
網路存取函式庫 - WinPcap
bull WinPcap 是著名 Unix libpcap的Windows版本API
bull Pcap 是用來擷取封包的應用程式介面 (Application Programming Interface API)
bull 免費直接網路存取函式庫bull 許多網路應用軟體運行均須安裝此套函式庫如WiresharkWinDump Nmap及 Snort
2-29
網路安全
WinDump與Winpcab 示意圖bull 透過 WinDump及Winpcap 工具擷取並分析封包後再將資料蒐集至電腦設備中
2-30
乙太網路Ethernet
網路工具
Windump分析封包結構
Winpcap擷取並過濾封包
封包資訊
網路安全 2-31
Module 2-4 封包擷取的實務 ()
網路安全 2-32
Linux kernel packet processing
網路安全 2-33
網路安全
說明bull 架設實作 (一 ) 請將介紹如何安裝與使用
WinDump 依實驗拓樸請使用 WireDump 主機做安裝及測試bull 架設實作 (二 ) 請利用 Wireshark軟體對 FTP 進行封包擷取依實驗拓樸請使用 Wireshark 主機做安裝及測試bull 架設實作 (三 ) 請利用 Wireshark軟體對
Outlook Express進行封包擷取依實驗拓樸請使用 Wireshark 主機做安裝及測試2-34
網路安全
架設實作 (一 )
WinDump 實作 -SSH連線觀察
2-35
網路安全
封包擷取工具 - WinDump
bull 版本ndash 395
bull 支援作業平台ndash Windows 9598NT2000XP2003
bull 其他需求ndash 安裝WinPcap 31 以上版本
bull 下載位址ndash httpwwwwinpcaporgwindumpinstallbin
windump_3_9_5WinDumpexe
2-36
網路安全
其他需求工具 - WinPcap
bull 版本ndash 402 stable
bull 支援作業平台ndash Windows NT42000
Windows XP2003Vista (x86 and x64)Windows Server 2008 (x86 and x64)
bull 下載位址ndash httpwwwwinpcaporginstallbin
WinPcap_4_0_2exe
2-37
網路安全
WinPcap 安裝步驟bull WinPcap 下載完成後即可進行安裝bull 安裝畫面如下點選 Next按鈕繼續下一步
2-38
網路安全
WinDump與WinPcap測試bull 請將下載的 WinDumpexe 檔案存放至 C
Windowssystem32 的目錄之下bull 測試WinDump及WinPcap 是否可運作
ndash 點選開始 -gt 程式集 -gt附屬應用程式 -gt命令提示字元 -gt 輸入「 windump 」按下 Enter 即會出現「 windump listening on DeviceNPF_GenericDialupAdapter」的訊息代表WinDump及WinPcap 安裝成功且可運作
ndash 停止監聽按「 Ctrl + C」將顯示擷取封包的數量
2-39
網路安全
參數 說明-c 指定收到的封包數目當達到該數目時 Tcpdump 即會停止-d 把編譯過的封包編碼轉碼成可閱讀的格式放置於標準輸出-dd 把編譯過的封包編碼轉碼成 C 語言的格式放置於標準輸出-ddd 把編譯過的封包編碼轉碼成十進位的格式放置於標準輸出-F 從所指定的文件中讀取運算式進而忽略其他運算式-f 用數字顯示 IP 位址 -i 指定擷取封包的網路介面 -w 將擷取的封包直接寫入檔案當中不做分析與顯示於畫面
參數 說明-r 從指定的檔案文件中讀取資料該檔案文件由 -w 所製造出來-v 顯示詳細的封包資訊多了 TTL 及服務類型-s 設定每一個封包的大小-S 用絕對數並非相對數的值列出 TCP 連接數-tt 顯示出原始時間並且為不格式化的時間-n 不進行 IP Address 到 Domain
Name 的轉換-nn 不進行 Port 的轉換如 22 就是
ssh
-x 用十六進位字碼列出封包資料
WinDump相關參數列表
2-40
網路安全
WinDump 簡易使用操作說明bull 語法 windump 參數bull 查看目前系統可使用的網卡介面
ndash windump -Dbull 透過查看網卡介面以利後續監聽之用
2-41
網路安全
WinDump 簡易使用操作說明 (續 )
bull WinDump -i 網卡介面代號 -c 擷取封包數量 port 通訊埠
bull 例 WinDump -i 2 -c 10 port 80
2-42
網路安全
WinDump 簡易使用操作說明 (續 )
bull 因於命令提示字元視窗內所顯示的資訊不易閱讀可透過下列指令將其所擷取的資訊導向至檔案bull Windump -i 網卡介面代號 gt 檔名
ndash windump -i 2 -c 10 -w message port 80ndash windump -r message gt messagetxtndash windump -i 2 -c 10 port 80 gt messagetxt
2-43
網路安全
WinDump 簡易使用操作說明 (續 )
112338326205 此為封包被擷取的時間『 HHMMSSfraction』的單位IP 透過的通訊協定是 IPwinser 1099 gt w1wwwviptw1yahoocomtw80 代表的是傳送端是 winser 傳送的通訊埠為 1099 大於 (gt) 的符號指的是封包的傳輸方向 w1wwwviptw1yahoocomtw 為接收端 80 為接收埠
P(PUSH) 為資料傳輸標誌且傳輸的資料為整體資料的 1~ 699 byte 所以這個封包帶有 698 bytes 的資料量 ack 1 win 65535 ACK與Window size 的相關資料2-44
網路安全
bull 以 Testbed建立一實驗相關拓樸及設定如下圖SSHClientOSWINXP-SP3-CH-pc3000 IP 10113安裝軟體 putty
SSHServerOSWINXP-SP3-CH-pc3000IP 10123安裝軟體 sshd
實驗環境介紹
2-45
IP1
IP2
WireDumpOSWINXP-SP3-CH-pc3000IP1 10112IP2 10122安裝軟體 WinDump
網路安全
實驗拓樸 on TestbedTWISC- 建立完成的實驗拓樸
2-46
網路安全
SSH連線觀察bull 利用 Putty連線到 SSHServer從中觀察到三向交握建立連線的動作從 SSHClient 端利用 putty連線到SSHServer(10123)的 sshd服務
2-47
網路安全
SSH連線觀察 (續 )
bull SSH 在連線之前會利用三向交握的方式建立連線bull 利用 WinDump觀察 SSH連線動作
ndash 指令 WinDumpexe -N -S -i 4 port 22
三向交握的三個封包三向交握示意圖Server lt- Client SYN 你想連線Server -gt Client SYN ACK 可以我接受Server lt- Client ACK 謝謝
2-48
網路安全
架設實作 (二 )
FTP 擷取密碼案例
2-49
網路安全
FTPClientOSWINXP-SP3-pc3000IP 10112安裝軟體 FileZilla
FTPServerOSWINXP-SP3-pc3000IP 10123安裝軟體 RaidenFTPD
實驗環境介紹bull 以 Testbed建立一實驗相關拓樸及設定如下圖
2-50
IP1IP2
WireSharkOSWINXP-SP3-pc3000IP1 10113IP2 10122安裝軟體 Wireshark
網路安全
實驗拓樸 on TestbedTWISC- 建立完成的實驗拓樸
2-51
網路安全
FTP伺服器工具 - RaidenFTPD
bull 版本ndash 24 build 3720
bull 支援作業平台ndash Windows
bull 下載位址ndash httpwwwraidenmaildcomdownloadraidenftpd2exe
2-52
網路安全
RaidenFTPD 安裝步驟bull 下載Windows平台最新版本檔案下載完成後執行該安裝程式
2-53
網路安全
RaidenFTPD 安裝步驟 (續 )
bull 此步驟使用預設路徑即可按下 Install 進行安裝
2-54
網路安全
RaidenFTPD設定步驟bull 程式開啟畫面如下選擇 Click here to start a new
server 進行 FTP伺服器設定
2-55
網路安全
RaidenFTPD設定步驟 (續 )
bull 此處可設定 Server name與 Server IP 將 Auto IP 取消勾選並將 Server IP設為 10123
2-56
網路安全
RaidenFTPD設定步驟 (續 )
bull 接下來的步驟依照預設值即可
2-57
網路安全
RaidenFTPD設定步驟 (續 )
bull 設定人員帳號與群組按下 Add鈕輸入帳號密碼群組名稱可略過完成後按下 Next 進行下一步驟
2-58
網路安全
RaidenFTPD設定步驟 (續 )
bull 此步驟設定該帳號登入 FTP 時的權限選擇NORMAL 按下 Next 進行下一步驟
2-59
網路安全
RaidenFTPD設定步驟 (續 )
bull 接下來的步驟皆以預設值即可完成設定之後會出現對話視窗顯示您所設定的資訊
2-60
網路安全
FTP 用戶端工具 - Filezilla
bull 版本ndash 328
bull 支援作業平台ndash Windows Linux及Mac
bull 下載位址ndash httpsourceforgenetprojectsfilezillafiles
FileZilla_Client328FileZilla_328_win32zipdownload
2-61
網路安全
Filezilla 安裝步驟bull 執行 Filezilla 安裝程式點選 I agree 鈕
2-62
網路安全
Filezilla 安裝步驟 (續 )
bull 以預設值安裝點選兩次 Next 鈕
2-63
網路安全
Filezilla 安裝步驟 (續 )
bull 以預設值安裝點選 Next 鈕後再點選 Install 鈕
2-64
網路安全
Filezilla 安裝步驟 (續 )
bull 以預設值安裝點選 Next 鈕後再點選 Finish 鈕
2-65
網路安全
封包擷取工具 - Wireshark
bull 版本ndash 165
bull 支援作業平台ndash Windows Linux及 FreeBSD
bull 其他需求ndash 安裝WinPcap 31 以上版本
bull 下載位址ndash httpwiresharkdownloadsriverbedcomwireshark
win32wireshark-win32-165exe
2-66
網路安全
Wireshark 安裝步驟bull 至官方網站下載Windows平台最新版本檔案下載完成後執行該安裝程式
2-67
網路安全
Wireshark 安裝步驟 (續 )
bull 於下一步出現的版權宣告點選 I Agree鈕後繼續下一步驟
2-68
網路安全
Wireshark 安裝步驟 (續 )
bull 此步驟選擇欲安裝的元件以軟體預設勾選之項目安裝
2-69
網路安全
Wireshark 安裝步驟 (續 )
bull 此步驟使用預設路徑即可
2-70
網路安全
Wireshark 安裝步驟 (續 )
bull 此步驟將安裝Windows平台須加裝之套件 -WinPcap 若原系統未安裝過 WinPcap套件請以軟體預設項目安裝之
2-71
網路安全
Wireshark 安裝步驟 (續 )
bull 此步驟代表 Wireshark軟體已安裝完成可點選Finish 鈕或勾選 Run Wireshark 165 隨即使用該套軟體
2-72
網路安全
一般工具列Wireshark軟體介面介紹
2-73
篩選工具列封包清單窗格
封包內容窗格封包位元組窗格
網路安全
Wireshark 使用思考方向bull 遇到網路問題是否觀察網路通道中有異常動作或狀況
ndash 思考方向ndash 反應到擷取數據方法那麼以 Wireshark 擷取使用者需要擷取哪些數據這些數據由使用者電腦哪個裝置來擷取
bull Wireshark操作流程
bull 接下來我們進行軟體操作介紹
解決問題 擷取數據要先做什麼
擷取數據 擷取哪些數據( 過濾條件 )數據哪裡來( 網路介面卡 )
2-74
網路安全
數據哪裡來 - Capture功能bull 一開啟方式
ndash 1 點選快速鈕如紅色圈所示ndash 2 點選 Capture功能表 下拉選單後點選 Optionsndash 3鍵盤快速鍵 Ctrl + K
2-75
網路安全
數據哪裡來 - Capture功能 (續 )
bull 二開啟後顯示 Capture Options 的視窗畫面即可看到所提供的擷取功能選項
2-76
網路安全
數據哪裡來 - Capture功能 (續 )
bull Capture Options 常用的欄位設定ndash Caputure 框
bull 1Interface 會顯示出在系統上所有網路卡但只能選取一個介面作為封包擷取bull 2Capture packets in promiscuous mode 選取此選項就是經過所選取的網路卡的所有封包都會被擷取下來bull 3Capture Filter 指定擷取過濾器運算式擷取想要的特定封包即為擷取中過濾之功能
2-77
網路安全
數據哪裡來 - Capture功能 (續 )
bull Capture Options 常用的欄位設定ndash Display Options 框
bull Update list of packets in real time 指定在擷取封包過程中能夠即時更新已擷取封包清單窗格視窗中的封包資訊若取消則軟體主視窗更新畫面是沒有動作的
2-78
網路安全
bull Capture Options 常用的欄位設定ndash Name Resolution框
bull 1 Enable MAC name resolution 指定是否將網路卡MAC address 的前三個位元組轉換成製造商名稱
bull 2 Enable network name resolution 指定是否將 IP address轉換成 DNS 網域名稱
bull 3 Enable transport name resolution 指定是否將通信埠號碼 (port numbers)轉成協定名稱 (protocols)bull 各位了解數據從哪裡擷取的概念與操作之後即可以進一步加上附帶條件 (篩選條件 ) 等相關操作方式
數據哪裡來 - Capture功能 (續 )
2-79
網路安全
Wireshark操作手法bull 延續遇到問題的思考方向及軟體操作手法我們可以將操作流程分為兩種
ndash 擷取中過濾 (Filter while capturing)bull 優點僅擷取已知範圍資訊網路流量少bull 缺點需先了解問題類型避免可能有遺漏真正欲擷取資訊之狀況
ndash 檢視中過濾 (Filter packets while viewing)bull 優點不用先預設條件擷取所有封包資訊bull 缺點影響網路流量
先預設欲擷取條件 擷取數據
擷取數據 再篩選欲查詢數據2-80
網路安全
Wireshark操作手法 - 擷取中過濾bull 操作步驟
ndash 點選 Capture 下拉視窗選擇 Capture Filters 即呈現此視窗
bull 操作範例ndash 1於 Filter窗格中選擇 IP
Address 10112ndash 2於 Properties窗格中即顯示該選項的設定值如圖所示為 host 10112ndash 3 即可設定軟體僅針對
10112 的封包作擷取動作 延伸操作思考1 改變 Filter string 值得到什麼結果2 點選 Edit 窗格中的 New 鈕 新增自訂條件 2-81
網路安全
Wireshark操作手法 - 檢視中過濾bull 此步驟即以已擷取封包清單窗格為基礎以過濾條件過濾該清單bull 可直接選擇軟體預設項目如以下操作
ndash 操作步驟bull 點選 Analyze 下拉視窗選擇
Display Filters 即呈現此視窗ndash 操作範例
bull 1於 Filter窗格中選擇 IP Address 10112
bull 2於 Properties窗格中即顯示該選項的設定值如圖所示值為host 10112
bull 3 即可設定軟體僅針對 10112的封包作顯示動作 延伸操作思考1 可否進行進一步自訂設定值
2-82
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 若電腦 IP為 10112 欲篩選出 IP 來源為上述 IP 且協定為 TCP 80port 的所有封包ndash 操作步驟
bull 點選 Expression鈕即出現此視窗ndash 1於 Field name框選擇
IP項目中的 ipsrc - Source
ndash 2於 Relation框選擇 ==ndash 3於 Value [IPV4
address]填 入 10112ndash 4 點選 OK鈕 進階思考方式須考慮到例如是來源資訊是目標資訊是什麼協定等更細部所要之條件
2-83
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 再進行第二篩選條件ndash TCP 80 port
bull 操作步驟ndash 1先於 Filter string 輸入文字框「 ipsrc==
10112」後再加上一個空格及「 and 」再進行一次 Expression條件選擇
2-84
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
ndash 2於 Field name框選擇「 tcpdstport」ndash 3於 Relation框選擇「 ==」ndash 4於 Value框填入「 80」ndash 5 選擇「 OK」鈕
2-85
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 注意 Propeties框內的Filter string欄位值已改變為「 ipsrc == 10112 and tcpdstport == 80」
bull 確認條件正確後點選「 OK 」鈕即可發現已擷取封包清單窗格的項目均為所設定過濾條件過濾過結果2-86
網路安全
bull 可單選單一封包進行更進階查詢封包內容bull 操作方式為
ndash 點選其中一項封包項目點選滑鼠右鍵選擇Follow TCP Stream
Wireshark操作手法 - 檢視中過濾 (續 )
2-87
網路安全
ndash 此畫面即可看出該項 TCP 封包溝通內容Wireshark操作手法 - 檢視中過濾 (續 )
2-88
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 此功能將所擷取的封包清單使用多種方式呈現封包統計資料便於使用者查詢擷取時間內何種封包數量多寡及圖型顯示bull 操作步驟點選 Statistics 下拉視窗即呈現此視窗 顯示有關擷取清單的摘要以階梯式通訊協定列表顯示所擷取的所有封包
在特定 IP間顯示通訊流量顯示單一 IP 來往封包的流量
以時間軸顯示視覺化封包流量圖2-89
網路安全
bull 可查看到一時段內其封包總數與平均每秒傳遞接收封包數等相關資訊讓使用者了解平均一時段內網路流量狀況藉以初步獲得資訊
Wireshark操作手法 - 檢視中過濾 (續 )
2-90
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 讓使用者可透過階梯式封包分類表來查看哪一類封包佔為居多可進一步推測是否該類型封包影響到整體網路或是否有異常或不常見封包類型在網路中傳遞
2-91
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 將該擷取時段內封包清單檔以兩個特定 IP 之間對傳封包為區隔顯示出哪兩個特定 IP間傳遞封包數多寡bull 可讓使用者更進一步研判兩個特定 IP所屬設備傳遞狀況是否異常
2-92
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 將該擷取時段內封包清單檔以特定IP 傳遞封包數為區隔顯示出哪特定IP 傳遞封包數多寡
bull 可讓使用者更進一步研判該特定所屬設備傳遞封包數是否異常作為管制緊急管制或禁止通訊之證明2-93
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 以時間軸顯示視覺化封包流量圖bull 讓使用者可觀察所管理設備資訊流通量以了解設備是否能負荷或作相關調整等處置
2-94
網路安全
FTP 擷取密碼案例bull 於Wireshark軟體選擇 Capture 下拉選單功能項點選 Interfaces 選項
2-95
網路安全
FTP 擷取密碼案例 (續 )
bull 確認欲擷取封包之網卡名稱如紅色底線所示確認後點選 Start鈕
2-96
網路安全
FTP 擷取密碼案例 (續 )
bull 切換至 FTP Client 電腦開啟 FileZilla 程式後連線到 FTP Server 於 Host 填入10123 Username填入 tester Password填入testpw 後點選 Quickconnect鈕
2-97
網路安全
FTP 擷取密碼案例 (續 )
bull 擷取到的封包資訊會顯示於已擷取封包清單窗格內
2-98
網路安全
FTP 擷取密碼案例 (續 )
bull 使用 FTP軟體登入 ftp站後 Wireshark 將擷取到的使用者名稱與密碼如紅框所示
2-99
網路安全
FTP 擷取密碼案例 (續 )
bull 點選已擷取封包清單窗格的密碼資訊列如標示1 的紅框所示即可在封包內容窗格看到該密碼的位元碼如標示 2 的紅框所示
1
2
2-100
網路安全
架設實作 (三 )
Outlook Express 擷取密碼案例
2-101
網路安全
實驗環境介紹bull 以 Testbed建立一實驗相關拓樸及設定如下圖
OEClientOSWindows XP SP3IP 10112執行 Outlook Express
MailServerOSWindows XP SP3IP 10122安裝軟體 ArGoSoft Mail Server
2-102
WiresharkOSWindows XP SP3IP1 10113 IP2 10123安裝軟體 Wireshark
IP1IP2
網路安全
實驗拓樸 on TestbedTWISC- 建立完成的實驗拓樸
2-103
網路安全
郵件伺服器工具 - ArGoSoft Mail Server
bull 版本ndash 1892 Freeware
bull 支援作業平台ndash Windows
bull 下載位址ndash httpwwwsoftkingcomtwsoftdownloadaspfid3=7367
2-104
網路安全
郵件客戶端工具 - Outlook Express
bull 版本ndash 60
bull 支援作業平台ndash Windows
bull 下載位址ndash Windows 內建
2-105
網路安全
bull 安裝及設定郵件伺服器ndash 1下載並執行 ArGoSoft Mail Server軟體點選
Setup鈕
Outlook Express 擷取密碼案例
2-106
網路安全
ndash 1 點選 Next鈕ndash 2 點選 Start Installation鈕
Outlook Express 擷取密碼案例 (續 )
2-107
網路安全
ndash 3 點選 OK鈕ndash 4 點選 Finish鈕完成軟體安裝
Outlook Express 擷取密碼案例 (續 )
2-108
網路安全
ndash 5 點選使用者設定鈕如紅圈所示ndash 6 點選新增鈕如紅框所示
Outlook Express 擷取密碼案例 (續 )
2-109
網路安全
ndash 7填入使用者名稱 (tester) 及密碼 (testpw) 如紅圈所示填寫完成後點選 OK鈕ndash 8 點選 Close鈕關閉使用者設定視窗
Outlook Express 擷取密碼案例 (續 )
2-110
網路安全
ndash 9 點選選項鈕如左側圖中紅色圈所示ndash 10 點選紅色打勾鈕如右側圖中紅色圈所示
2-111
Outlook Express 擷取密碼案例 (續 )
網路安全
ndash 11該軟體會自動選取 DNS Server 待選取後點選 Yes鈕ndash 12 勾選 Allow Relay 選項如紅框所示
2-112
Outlook Express 擷取密碼案例 (續 )
網路安全
Outlook Express 擷取密碼案例 (續 )
bull 設定收信帳號ndash 1 點選 Tools功能選單選擇 Accounts 選項
2-113
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 2 點選 Add鈕選擇 Mail 選項
2-114
網路安全
ndash 3填入 tester 點選 Next鈕ndash 4填入 testertestcom 點選 Next鈕
Outlook Express 擷取密碼案例 (續 )
2-115
網路安全
ndash 5填入 10123 如紅框所示點選 Next鈕ndash 6填入帳號為 tester 及密碼為 testpw 點選 Next鈕
Outlook Express 擷取密碼案例 (續 )
2-116
網路安全
ndash 7 點選 Finish鈕ndash 8 點選 Close鈕
Outlook Express 擷取密碼案例 (續 )
2-117
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 模擬條件準備好後首先準備Wireshark 擷取動作開啟Wireshark
2-118
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 於Wireshark軟體選擇 Capture 下拉選單功能項點選 Interfaces 選項
2-119
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 確認欲擷取封包之網卡名稱如紅色底線所示確認後點選 Start鈕
2-120
網路安全
ndash 當使用者收發 email 時即被 Wireshark攔截封包ndash 有發現到該 Outlook Express帳號密碼是如此清晰可見的嗎
Outlook Express 擷取密碼案例 (續 )
2-121
網路安全
結論bull 學習了 Wireshark及WinDump 兩套網路封包擷取軟體基本概念如同電話側錄概念相同從中複製一連串資訊來分析與了解網路的流量及內容為何bull 當你發現網路速度緩慢等狀況你是否會反應到所學的基本概念來找尋問題所在bull 防範概念由此課程的實例可以了解網路內容如被有心人士擷取所造成的損失相當可觀故你是否有對策有哪些方式你可以應用來防範bull 正確的思考善用對的工具將對解決問題事半功倍
2-122
網路安全 2-123
Module 2-5 封包擷取與分析的專案實作()
網路安全
專案目的bull 建立遠端管理傳遞指令資訊環境bull 利用實際攔截封包操作的方式讓同學了解封包擷取運作與網路資訊流通的顧慮等相關議題
2-124
網路安全
專案描述bull 近年來遠端管理伺服器及網路服務普及光是密碼保護就足夠了嗎是否重點網段須全程加密還是作網段隔離經由此專案實作即可了解不僅部分加密仍有其風險所在網路架構如何規劃將是非常重要的課題bull 參考環境配置圖完成下列要求①環境裡的攔截封包主機是 Windows XP SP3 作業系統而該主機安裝Wireshark軟體②另兩台主機的作業系統亦是 Windows XP SP3 並裝上
MySQL軟體 MySQL帳號為 root 密碼為您的學號 (如 Q3896105)
③在MySQLClient 電腦使用 MySQL Commandline 指令連線至MySQLServer 擷取資料庫資訊
④我們針對這兩台主機傳訊的封包擷取由整個實做中思考如何防範資訊外洩與了解傳訊封包如何流動及運作2-125
網路安全
環境配置圖bull 以 Testbed建立一實驗相關拓樸及設定如下圖
MySQLServerOSWINXP-SP3-CH-pc3000 IP 10123安裝軟體 MySQL
MySQLClientOSWINXP-SP3-CH-pc3000 IP 10112安裝軟體 MySQL
2-126
WireSharkOSWINXP-SP3-CH-pc3000 IP1 10113IP2 10122安裝軟體 Wireshark
IP1IP2
網路安全
作業繳交bull 請參考情境測試發送數個 SQL 指令並將過程與擷取到的封包資訊之截圖列於報告中所有圖表皆需要輔以文字說明bull Deadline 2012312 下午 500 以前bull 作業範圍 Module 2-5 (page 2-128)bull 方式 (參考課程網址 )
ndash 帳號密碼小寫的 (ns100ns100)ndash IP 140116164167
2-127
網路安全
有問題嗎
bull 關於 TestBed 使用上的問題請直接 Email至 twisc-testbed-usergooglegroupscom 將有專人為您服務bull 課程網址
httpitlabeenckuedutwcoursesNS_100indexhtml
2-128
bull 助教資訊 (參考課程網址 )
網路安全
參考資料bull Dienet httplinuxdienetman1wiresharkbull Orebaugh Angela Ramirez Gilbert Burke Josh Pesce Larry Wright
Joshua(2007) Wireshark and Ethereal network protocol analyzer toolkitbull Tony Fortunato(2007) Wireshark Training Retrieved July 22 2009 from
the World Wide Web httpwwwthetechfirmcometherealwiresharkpdfbull WinDump httpwwwwinpcaporgWinDumpbull Wireshark httpwwwwiresharkorgbull Wireshark University httpwwwwiresharktrainingcombull 楊中皇 (民 97年 ) 網路安全理論與實務 (2版 ) 台北市學貫bull 蘇淑茵教授 Wireshark 民國 98年 6月 28日取自 httpmywebnckuedutw~sisou
2-129
網路安全
Module 2-3 封包擷取工具介紹 ()
2-25
網路安全
封包擷取工具比較bull 商業軟體
ndash 優 有廠商維護支援性較佳ndash 缺 成本較高ndash 例 NetResident與 EtherDetect
bull 免費軟體ndash 優 成本較低ndash 缺 功能與使用說明較為簡略ndash 例 Wireshark與WinDump
2-26
網路安全
封包擷取工具 - WinDump
bull 一種開放原始碼的網路軟體工具為 Windows版的 tcpdumpbull 可以分析封包的流向並且對於封包的內容也可以進行 監聽 bull WinDump運算式是一種規則運算式利用一些條件來進行訊息的過濾當訊息滿足運算式的條件則會將其資訊捕獲如果沒有給出任何條件則網路上所有的資訊包將會被擷獲bull 例 WinDump -i interface -c 10 -n port 80 -w
filename
2-27
網路安全
封包擷取工具 - Wireshark
bull 開放原始碼軟體bull 起源於 1997年 Wireshark 的前身即為 Ethereal因為商標問題而改名成 Wiresharkbull 支援通訊協定多且完整使用圖形化的介面讓操作者容易上手過濾條件切割細密讓使用者可於乙太網路撈取且經數據過濾分析後的數據流bull 可由此軟體能夠擷取網路封包並盡可能顯示出最為詳細的網路封包資料提供各方應用
2-28
網路安全
網路存取函式庫 - WinPcap
bull WinPcap 是著名 Unix libpcap的Windows版本API
bull Pcap 是用來擷取封包的應用程式介面 (Application Programming Interface API)
bull 免費直接網路存取函式庫bull 許多網路應用軟體運行均須安裝此套函式庫如WiresharkWinDump Nmap及 Snort
2-29
網路安全
WinDump與Winpcab 示意圖bull 透過 WinDump及Winpcap 工具擷取並分析封包後再將資料蒐集至電腦設備中
2-30
乙太網路Ethernet
網路工具
Windump分析封包結構
Winpcap擷取並過濾封包
封包資訊
網路安全 2-31
Module 2-4 封包擷取的實務 ()
網路安全 2-32
Linux kernel packet processing
網路安全 2-33
網路安全
說明bull 架設實作 (一 ) 請將介紹如何安裝與使用
WinDump 依實驗拓樸請使用 WireDump 主機做安裝及測試bull 架設實作 (二 ) 請利用 Wireshark軟體對 FTP 進行封包擷取依實驗拓樸請使用 Wireshark 主機做安裝及測試bull 架設實作 (三 ) 請利用 Wireshark軟體對
Outlook Express進行封包擷取依實驗拓樸請使用 Wireshark 主機做安裝及測試2-34
網路安全
架設實作 (一 )
WinDump 實作 -SSH連線觀察
2-35
網路安全
封包擷取工具 - WinDump
bull 版本ndash 395
bull 支援作業平台ndash Windows 9598NT2000XP2003
bull 其他需求ndash 安裝WinPcap 31 以上版本
bull 下載位址ndash httpwwwwinpcaporgwindumpinstallbin
windump_3_9_5WinDumpexe
2-36
網路安全
其他需求工具 - WinPcap
bull 版本ndash 402 stable
bull 支援作業平台ndash Windows NT42000
Windows XP2003Vista (x86 and x64)Windows Server 2008 (x86 and x64)
bull 下載位址ndash httpwwwwinpcaporginstallbin
WinPcap_4_0_2exe
2-37
網路安全
WinPcap 安裝步驟bull WinPcap 下載完成後即可進行安裝bull 安裝畫面如下點選 Next按鈕繼續下一步
2-38
網路安全
WinDump與WinPcap測試bull 請將下載的 WinDumpexe 檔案存放至 C
Windowssystem32 的目錄之下bull 測試WinDump及WinPcap 是否可運作
ndash 點選開始 -gt 程式集 -gt附屬應用程式 -gt命令提示字元 -gt 輸入「 windump 」按下 Enter 即會出現「 windump listening on DeviceNPF_GenericDialupAdapter」的訊息代表WinDump及WinPcap 安裝成功且可運作
ndash 停止監聽按「 Ctrl + C」將顯示擷取封包的數量
2-39
網路安全
參數 說明-c 指定收到的封包數目當達到該數目時 Tcpdump 即會停止-d 把編譯過的封包編碼轉碼成可閱讀的格式放置於標準輸出-dd 把編譯過的封包編碼轉碼成 C 語言的格式放置於標準輸出-ddd 把編譯過的封包編碼轉碼成十進位的格式放置於標準輸出-F 從所指定的文件中讀取運算式進而忽略其他運算式-f 用數字顯示 IP 位址 -i 指定擷取封包的網路介面 -w 將擷取的封包直接寫入檔案當中不做分析與顯示於畫面
參數 說明-r 從指定的檔案文件中讀取資料該檔案文件由 -w 所製造出來-v 顯示詳細的封包資訊多了 TTL 及服務類型-s 設定每一個封包的大小-S 用絕對數並非相對數的值列出 TCP 連接數-tt 顯示出原始時間並且為不格式化的時間-n 不進行 IP Address 到 Domain
Name 的轉換-nn 不進行 Port 的轉換如 22 就是
ssh
-x 用十六進位字碼列出封包資料
WinDump相關參數列表
2-40
網路安全
WinDump 簡易使用操作說明bull 語法 windump 參數bull 查看目前系統可使用的網卡介面
ndash windump -Dbull 透過查看網卡介面以利後續監聽之用
2-41
網路安全
WinDump 簡易使用操作說明 (續 )
bull WinDump -i 網卡介面代號 -c 擷取封包數量 port 通訊埠
bull 例 WinDump -i 2 -c 10 port 80
2-42
網路安全
WinDump 簡易使用操作說明 (續 )
bull 因於命令提示字元視窗內所顯示的資訊不易閱讀可透過下列指令將其所擷取的資訊導向至檔案bull Windump -i 網卡介面代號 gt 檔名
ndash windump -i 2 -c 10 -w message port 80ndash windump -r message gt messagetxtndash windump -i 2 -c 10 port 80 gt messagetxt
2-43
網路安全
WinDump 簡易使用操作說明 (續 )
112338326205 此為封包被擷取的時間『 HHMMSSfraction』的單位IP 透過的通訊協定是 IPwinser 1099 gt w1wwwviptw1yahoocomtw80 代表的是傳送端是 winser 傳送的通訊埠為 1099 大於 (gt) 的符號指的是封包的傳輸方向 w1wwwviptw1yahoocomtw 為接收端 80 為接收埠
P(PUSH) 為資料傳輸標誌且傳輸的資料為整體資料的 1~ 699 byte 所以這個封包帶有 698 bytes 的資料量 ack 1 win 65535 ACK與Window size 的相關資料2-44
網路安全
bull 以 Testbed建立一實驗相關拓樸及設定如下圖SSHClientOSWINXP-SP3-CH-pc3000 IP 10113安裝軟體 putty
SSHServerOSWINXP-SP3-CH-pc3000IP 10123安裝軟體 sshd
實驗環境介紹
2-45
IP1
IP2
WireDumpOSWINXP-SP3-CH-pc3000IP1 10112IP2 10122安裝軟體 WinDump
網路安全
實驗拓樸 on TestbedTWISC- 建立完成的實驗拓樸
2-46
網路安全
SSH連線觀察bull 利用 Putty連線到 SSHServer從中觀察到三向交握建立連線的動作從 SSHClient 端利用 putty連線到SSHServer(10123)的 sshd服務
2-47
網路安全
SSH連線觀察 (續 )
bull SSH 在連線之前會利用三向交握的方式建立連線bull 利用 WinDump觀察 SSH連線動作
ndash 指令 WinDumpexe -N -S -i 4 port 22
三向交握的三個封包三向交握示意圖Server lt- Client SYN 你想連線Server -gt Client SYN ACK 可以我接受Server lt- Client ACK 謝謝
2-48
網路安全
架設實作 (二 )
FTP 擷取密碼案例
2-49
網路安全
FTPClientOSWINXP-SP3-pc3000IP 10112安裝軟體 FileZilla
FTPServerOSWINXP-SP3-pc3000IP 10123安裝軟體 RaidenFTPD
實驗環境介紹bull 以 Testbed建立一實驗相關拓樸及設定如下圖
2-50
IP1IP2
WireSharkOSWINXP-SP3-pc3000IP1 10113IP2 10122安裝軟體 Wireshark
網路安全
實驗拓樸 on TestbedTWISC- 建立完成的實驗拓樸
2-51
網路安全
FTP伺服器工具 - RaidenFTPD
bull 版本ndash 24 build 3720
bull 支援作業平台ndash Windows
bull 下載位址ndash httpwwwraidenmaildcomdownloadraidenftpd2exe
2-52
網路安全
RaidenFTPD 安裝步驟bull 下載Windows平台最新版本檔案下載完成後執行該安裝程式
2-53
網路安全
RaidenFTPD 安裝步驟 (續 )
bull 此步驟使用預設路徑即可按下 Install 進行安裝
2-54
網路安全
RaidenFTPD設定步驟bull 程式開啟畫面如下選擇 Click here to start a new
server 進行 FTP伺服器設定
2-55
網路安全
RaidenFTPD設定步驟 (續 )
bull 此處可設定 Server name與 Server IP 將 Auto IP 取消勾選並將 Server IP設為 10123
2-56
網路安全
RaidenFTPD設定步驟 (續 )
bull 接下來的步驟依照預設值即可
2-57
網路安全
RaidenFTPD設定步驟 (續 )
bull 設定人員帳號與群組按下 Add鈕輸入帳號密碼群組名稱可略過完成後按下 Next 進行下一步驟
2-58
網路安全
RaidenFTPD設定步驟 (續 )
bull 此步驟設定該帳號登入 FTP 時的權限選擇NORMAL 按下 Next 進行下一步驟
2-59
網路安全
RaidenFTPD設定步驟 (續 )
bull 接下來的步驟皆以預設值即可完成設定之後會出現對話視窗顯示您所設定的資訊
2-60
網路安全
FTP 用戶端工具 - Filezilla
bull 版本ndash 328
bull 支援作業平台ndash Windows Linux及Mac
bull 下載位址ndash httpsourceforgenetprojectsfilezillafiles
FileZilla_Client328FileZilla_328_win32zipdownload
2-61
網路安全
Filezilla 安裝步驟bull 執行 Filezilla 安裝程式點選 I agree 鈕
2-62
網路安全
Filezilla 安裝步驟 (續 )
bull 以預設值安裝點選兩次 Next 鈕
2-63
網路安全
Filezilla 安裝步驟 (續 )
bull 以預設值安裝點選 Next 鈕後再點選 Install 鈕
2-64
網路安全
Filezilla 安裝步驟 (續 )
bull 以預設值安裝點選 Next 鈕後再點選 Finish 鈕
2-65
網路安全
封包擷取工具 - Wireshark
bull 版本ndash 165
bull 支援作業平台ndash Windows Linux及 FreeBSD
bull 其他需求ndash 安裝WinPcap 31 以上版本
bull 下載位址ndash httpwiresharkdownloadsriverbedcomwireshark
win32wireshark-win32-165exe
2-66
網路安全
Wireshark 安裝步驟bull 至官方網站下載Windows平台最新版本檔案下載完成後執行該安裝程式
2-67
網路安全
Wireshark 安裝步驟 (續 )
bull 於下一步出現的版權宣告點選 I Agree鈕後繼續下一步驟
2-68
網路安全
Wireshark 安裝步驟 (續 )
bull 此步驟選擇欲安裝的元件以軟體預設勾選之項目安裝
2-69
網路安全
Wireshark 安裝步驟 (續 )
bull 此步驟使用預設路徑即可
2-70
網路安全
Wireshark 安裝步驟 (續 )
bull 此步驟將安裝Windows平台須加裝之套件 -WinPcap 若原系統未安裝過 WinPcap套件請以軟體預設項目安裝之
2-71
網路安全
Wireshark 安裝步驟 (續 )
bull 此步驟代表 Wireshark軟體已安裝完成可點選Finish 鈕或勾選 Run Wireshark 165 隨即使用該套軟體
2-72
網路安全
一般工具列Wireshark軟體介面介紹
2-73
篩選工具列封包清單窗格
封包內容窗格封包位元組窗格
網路安全
Wireshark 使用思考方向bull 遇到網路問題是否觀察網路通道中有異常動作或狀況
ndash 思考方向ndash 反應到擷取數據方法那麼以 Wireshark 擷取使用者需要擷取哪些數據這些數據由使用者電腦哪個裝置來擷取
bull Wireshark操作流程
bull 接下來我們進行軟體操作介紹
解決問題 擷取數據要先做什麼
擷取數據 擷取哪些數據( 過濾條件 )數據哪裡來( 網路介面卡 )
2-74
網路安全
數據哪裡來 - Capture功能bull 一開啟方式
ndash 1 點選快速鈕如紅色圈所示ndash 2 點選 Capture功能表 下拉選單後點選 Optionsndash 3鍵盤快速鍵 Ctrl + K
2-75
網路安全
數據哪裡來 - Capture功能 (續 )
bull 二開啟後顯示 Capture Options 的視窗畫面即可看到所提供的擷取功能選項
2-76
網路安全
數據哪裡來 - Capture功能 (續 )
bull Capture Options 常用的欄位設定ndash Caputure 框
bull 1Interface 會顯示出在系統上所有網路卡但只能選取一個介面作為封包擷取bull 2Capture packets in promiscuous mode 選取此選項就是經過所選取的網路卡的所有封包都會被擷取下來bull 3Capture Filter 指定擷取過濾器運算式擷取想要的特定封包即為擷取中過濾之功能
2-77
網路安全
數據哪裡來 - Capture功能 (續 )
bull Capture Options 常用的欄位設定ndash Display Options 框
bull Update list of packets in real time 指定在擷取封包過程中能夠即時更新已擷取封包清單窗格視窗中的封包資訊若取消則軟體主視窗更新畫面是沒有動作的
2-78
網路安全
bull Capture Options 常用的欄位設定ndash Name Resolution框
bull 1 Enable MAC name resolution 指定是否將網路卡MAC address 的前三個位元組轉換成製造商名稱
bull 2 Enable network name resolution 指定是否將 IP address轉換成 DNS 網域名稱
bull 3 Enable transport name resolution 指定是否將通信埠號碼 (port numbers)轉成協定名稱 (protocols)bull 各位了解數據從哪裡擷取的概念與操作之後即可以進一步加上附帶條件 (篩選條件 ) 等相關操作方式
數據哪裡來 - Capture功能 (續 )
2-79
網路安全
Wireshark操作手法bull 延續遇到問題的思考方向及軟體操作手法我們可以將操作流程分為兩種
ndash 擷取中過濾 (Filter while capturing)bull 優點僅擷取已知範圍資訊網路流量少bull 缺點需先了解問題類型避免可能有遺漏真正欲擷取資訊之狀況
ndash 檢視中過濾 (Filter packets while viewing)bull 優點不用先預設條件擷取所有封包資訊bull 缺點影響網路流量
先預設欲擷取條件 擷取數據
擷取數據 再篩選欲查詢數據2-80
網路安全
Wireshark操作手法 - 擷取中過濾bull 操作步驟
ndash 點選 Capture 下拉視窗選擇 Capture Filters 即呈現此視窗
bull 操作範例ndash 1於 Filter窗格中選擇 IP
Address 10112ndash 2於 Properties窗格中即顯示該選項的設定值如圖所示為 host 10112ndash 3 即可設定軟體僅針對
10112 的封包作擷取動作 延伸操作思考1 改變 Filter string 值得到什麼結果2 點選 Edit 窗格中的 New 鈕 新增自訂條件 2-81
網路安全
Wireshark操作手法 - 檢視中過濾bull 此步驟即以已擷取封包清單窗格為基礎以過濾條件過濾該清單bull 可直接選擇軟體預設項目如以下操作
ndash 操作步驟bull 點選 Analyze 下拉視窗選擇
Display Filters 即呈現此視窗ndash 操作範例
bull 1於 Filter窗格中選擇 IP Address 10112
bull 2於 Properties窗格中即顯示該選項的設定值如圖所示值為host 10112
bull 3 即可設定軟體僅針對 10112的封包作顯示動作 延伸操作思考1 可否進行進一步自訂設定值
2-82
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 若電腦 IP為 10112 欲篩選出 IP 來源為上述 IP 且協定為 TCP 80port 的所有封包ndash 操作步驟
bull 點選 Expression鈕即出現此視窗ndash 1於 Field name框選擇
IP項目中的 ipsrc - Source
ndash 2於 Relation框選擇 ==ndash 3於 Value [IPV4
address]填 入 10112ndash 4 點選 OK鈕 進階思考方式須考慮到例如是來源資訊是目標資訊是什麼協定等更細部所要之條件
2-83
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 再進行第二篩選條件ndash TCP 80 port
bull 操作步驟ndash 1先於 Filter string 輸入文字框「 ipsrc==
10112」後再加上一個空格及「 and 」再進行一次 Expression條件選擇
2-84
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
ndash 2於 Field name框選擇「 tcpdstport」ndash 3於 Relation框選擇「 ==」ndash 4於 Value框填入「 80」ndash 5 選擇「 OK」鈕
2-85
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 注意 Propeties框內的Filter string欄位值已改變為「 ipsrc == 10112 and tcpdstport == 80」
bull 確認條件正確後點選「 OK 」鈕即可發現已擷取封包清單窗格的項目均為所設定過濾條件過濾過結果2-86
網路安全
bull 可單選單一封包進行更進階查詢封包內容bull 操作方式為
ndash 點選其中一項封包項目點選滑鼠右鍵選擇Follow TCP Stream
Wireshark操作手法 - 檢視中過濾 (續 )
2-87
網路安全
ndash 此畫面即可看出該項 TCP 封包溝通內容Wireshark操作手法 - 檢視中過濾 (續 )
2-88
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 此功能將所擷取的封包清單使用多種方式呈現封包統計資料便於使用者查詢擷取時間內何種封包數量多寡及圖型顯示bull 操作步驟點選 Statistics 下拉視窗即呈現此視窗 顯示有關擷取清單的摘要以階梯式通訊協定列表顯示所擷取的所有封包
在特定 IP間顯示通訊流量顯示單一 IP 來往封包的流量
以時間軸顯示視覺化封包流量圖2-89
網路安全
bull 可查看到一時段內其封包總數與平均每秒傳遞接收封包數等相關資訊讓使用者了解平均一時段內網路流量狀況藉以初步獲得資訊
Wireshark操作手法 - 檢視中過濾 (續 )
2-90
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 讓使用者可透過階梯式封包分類表來查看哪一類封包佔為居多可進一步推測是否該類型封包影響到整體網路或是否有異常或不常見封包類型在網路中傳遞
2-91
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 將該擷取時段內封包清單檔以兩個特定 IP 之間對傳封包為區隔顯示出哪兩個特定 IP間傳遞封包數多寡bull 可讓使用者更進一步研判兩個特定 IP所屬設備傳遞狀況是否異常
2-92
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 將該擷取時段內封包清單檔以特定IP 傳遞封包數為區隔顯示出哪特定IP 傳遞封包數多寡
bull 可讓使用者更進一步研判該特定所屬設備傳遞封包數是否異常作為管制緊急管制或禁止通訊之證明2-93
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 以時間軸顯示視覺化封包流量圖bull 讓使用者可觀察所管理設備資訊流通量以了解設備是否能負荷或作相關調整等處置
2-94
網路安全
FTP 擷取密碼案例bull 於Wireshark軟體選擇 Capture 下拉選單功能項點選 Interfaces 選項
2-95
網路安全
FTP 擷取密碼案例 (續 )
bull 確認欲擷取封包之網卡名稱如紅色底線所示確認後點選 Start鈕
2-96
網路安全
FTP 擷取密碼案例 (續 )
bull 切換至 FTP Client 電腦開啟 FileZilla 程式後連線到 FTP Server 於 Host 填入10123 Username填入 tester Password填入testpw 後點選 Quickconnect鈕
2-97
網路安全
FTP 擷取密碼案例 (續 )
bull 擷取到的封包資訊會顯示於已擷取封包清單窗格內
2-98
網路安全
FTP 擷取密碼案例 (續 )
bull 使用 FTP軟體登入 ftp站後 Wireshark 將擷取到的使用者名稱與密碼如紅框所示
2-99
網路安全
FTP 擷取密碼案例 (續 )
bull 點選已擷取封包清單窗格的密碼資訊列如標示1 的紅框所示即可在封包內容窗格看到該密碼的位元碼如標示 2 的紅框所示
1
2
2-100
網路安全
架設實作 (三 )
Outlook Express 擷取密碼案例
2-101
網路安全
實驗環境介紹bull 以 Testbed建立一實驗相關拓樸及設定如下圖
OEClientOSWindows XP SP3IP 10112執行 Outlook Express
MailServerOSWindows XP SP3IP 10122安裝軟體 ArGoSoft Mail Server
2-102
WiresharkOSWindows XP SP3IP1 10113 IP2 10123安裝軟體 Wireshark
IP1IP2
網路安全
實驗拓樸 on TestbedTWISC- 建立完成的實驗拓樸
2-103
網路安全
郵件伺服器工具 - ArGoSoft Mail Server
bull 版本ndash 1892 Freeware
bull 支援作業平台ndash Windows
bull 下載位址ndash httpwwwsoftkingcomtwsoftdownloadaspfid3=7367
2-104
網路安全
郵件客戶端工具 - Outlook Express
bull 版本ndash 60
bull 支援作業平台ndash Windows
bull 下載位址ndash Windows 內建
2-105
網路安全
bull 安裝及設定郵件伺服器ndash 1下載並執行 ArGoSoft Mail Server軟體點選
Setup鈕
Outlook Express 擷取密碼案例
2-106
網路安全
ndash 1 點選 Next鈕ndash 2 點選 Start Installation鈕
Outlook Express 擷取密碼案例 (續 )
2-107
網路安全
ndash 3 點選 OK鈕ndash 4 點選 Finish鈕完成軟體安裝
Outlook Express 擷取密碼案例 (續 )
2-108
網路安全
ndash 5 點選使用者設定鈕如紅圈所示ndash 6 點選新增鈕如紅框所示
Outlook Express 擷取密碼案例 (續 )
2-109
網路安全
ndash 7填入使用者名稱 (tester) 及密碼 (testpw) 如紅圈所示填寫完成後點選 OK鈕ndash 8 點選 Close鈕關閉使用者設定視窗
Outlook Express 擷取密碼案例 (續 )
2-110
網路安全
ndash 9 點選選項鈕如左側圖中紅色圈所示ndash 10 點選紅色打勾鈕如右側圖中紅色圈所示
2-111
Outlook Express 擷取密碼案例 (續 )
網路安全
ndash 11該軟體會自動選取 DNS Server 待選取後點選 Yes鈕ndash 12 勾選 Allow Relay 選項如紅框所示
2-112
Outlook Express 擷取密碼案例 (續 )
網路安全
Outlook Express 擷取密碼案例 (續 )
bull 設定收信帳號ndash 1 點選 Tools功能選單選擇 Accounts 選項
2-113
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 2 點選 Add鈕選擇 Mail 選項
2-114
網路安全
ndash 3填入 tester 點選 Next鈕ndash 4填入 testertestcom 點選 Next鈕
Outlook Express 擷取密碼案例 (續 )
2-115
網路安全
ndash 5填入 10123 如紅框所示點選 Next鈕ndash 6填入帳號為 tester 及密碼為 testpw 點選 Next鈕
Outlook Express 擷取密碼案例 (續 )
2-116
網路安全
ndash 7 點選 Finish鈕ndash 8 點選 Close鈕
Outlook Express 擷取密碼案例 (續 )
2-117
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 模擬條件準備好後首先準備Wireshark 擷取動作開啟Wireshark
2-118
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 於Wireshark軟體選擇 Capture 下拉選單功能項點選 Interfaces 選項
2-119
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 確認欲擷取封包之網卡名稱如紅色底線所示確認後點選 Start鈕
2-120
網路安全
ndash 當使用者收發 email 時即被 Wireshark攔截封包ndash 有發現到該 Outlook Express帳號密碼是如此清晰可見的嗎
Outlook Express 擷取密碼案例 (續 )
2-121
網路安全
結論bull 學習了 Wireshark及WinDump 兩套網路封包擷取軟體基本概念如同電話側錄概念相同從中複製一連串資訊來分析與了解網路的流量及內容為何bull 當你發現網路速度緩慢等狀況你是否會反應到所學的基本概念來找尋問題所在bull 防範概念由此課程的實例可以了解網路內容如被有心人士擷取所造成的損失相當可觀故你是否有對策有哪些方式你可以應用來防範bull 正確的思考善用對的工具將對解決問題事半功倍
2-122
網路安全 2-123
Module 2-5 封包擷取與分析的專案實作()
網路安全
專案目的bull 建立遠端管理傳遞指令資訊環境bull 利用實際攔截封包操作的方式讓同學了解封包擷取運作與網路資訊流通的顧慮等相關議題
2-124
網路安全
專案描述bull 近年來遠端管理伺服器及網路服務普及光是密碼保護就足夠了嗎是否重點網段須全程加密還是作網段隔離經由此專案實作即可了解不僅部分加密仍有其風險所在網路架構如何規劃將是非常重要的課題bull 參考環境配置圖完成下列要求①環境裡的攔截封包主機是 Windows XP SP3 作業系統而該主機安裝Wireshark軟體②另兩台主機的作業系統亦是 Windows XP SP3 並裝上
MySQL軟體 MySQL帳號為 root 密碼為您的學號 (如 Q3896105)
③在MySQLClient 電腦使用 MySQL Commandline 指令連線至MySQLServer 擷取資料庫資訊
④我們針對這兩台主機傳訊的封包擷取由整個實做中思考如何防範資訊外洩與了解傳訊封包如何流動及運作2-125
網路安全
環境配置圖bull 以 Testbed建立一實驗相關拓樸及設定如下圖
MySQLServerOSWINXP-SP3-CH-pc3000 IP 10123安裝軟體 MySQL
MySQLClientOSWINXP-SP3-CH-pc3000 IP 10112安裝軟體 MySQL
2-126
WireSharkOSWINXP-SP3-CH-pc3000 IP1 10113IP2 10122安裝軟體 Wireshark
IP1IP2
網路安全
作業繳交bull 請參考情境測試發送數個 SQL 指令並將過程與擷取到的封包資訊之截圖列於報告中所有圖表皆需要輔以文字說明bull Deadline 2012312 下午 500 以前bull 作業範圍 Module 2-5 (page 2-128)bull 方式 (參考課程網址 )
ndash 帳號密碼小寫的 (ns100ns100)ndash IP 140116164167
2-127
網路安全
有問題嗎
bull 關於 TestBed 使用上的問題請直接 Email至 twisc-testbed-usergooglegroupscom 將有專人為您服務bull 課程網址
httpitlabeenckuedutwcoursesNS_100indexhtml
2-128
bull 助教資訊 (參考課程網址 )
網路安全
參考資料bull Dienet httplinuxdienetman1wiresharkbull Orebaugh Angela Ramirez Gilbert Burke Josh Pesce Larry Wright
Joshua(2007) Wireshark and Ethereal network protocol analyzer toolkitbull Tony Fortunato(2007) Wireshark Training Retrieved July 22 2009 from
the World Wide Web httpwwwthetechfirmcometherealwiresharkpdfbull WinDump httpwwwwinpcaporgWinDumpbull Wireshark httpwwwwiresharkorgbull Wireshark University httpwwwwiresharktrainingcombull 楊中皇 (民 97年 ) 網路安全理論與實務 (2版 ) 台北市學貫bull 蘇淑茵教授 Wireshark 民國 98年 6月 28日取自 httpmywebnckuedutw~sisou
2-129
網路安全
封包擷取工具比較bull 商業軟體
ndash 優 有廠商維護支援性較佳ndash 缺 成本較高ndash 例 NetResident與 EtherDetect
bull 免費軟體ndash 優 成本較低ndash 缺 功能與使用說明較為簡略ndash 例 Wireshark與WinDump
2-26
網路安全
封包擷取工具 - WinDump
bull 一種開放原始碼的網路軟體工具為 Windows版的 tcpdumpbull 可以分析封包的流向並且對於封包的內容也可以進行 監聽 bull WinDump運算式是一種規則運算式利用一些條件來進行訊息的過濾當訊息滿足運算式的條件則會將其資訊捕獲如果沒有給出任何條件則網路上所有的資訊包將會被擷獲bull 例 WinDump -i interface -c 10 -n port 80 -w
filename
2-27
網路安全
封包擷取工具 - Wireshark
bull 開放原始碼軟體bull 起源於 1997年 Wireshark 的前身即為 Ethereal因為商標問題而改名成 Wiresharkbull 支援通訊協定多且完整使用圖形化的介面讓操作者容易上手過濾條件切割細密讓使用者可於乙太網路撈取且經數據過濾分析後的數據流bull 可由此軟體能夠擷取網路封包並盡可能顯示出最為詳細的網路封包資料提供各方應用
2-28
網路安全
網路存取函式庫 - WinPcap
bull WinPcap 是著名 Unix libpcap的Windows版本API
bull Pcap 是用來擷取封包的應用程式介面 (Application Programming Interface API)
bull 免費直接網路存取函式庫bull 許多網路應用軟體運行均須安裝此套函式庫如WiresharkWinDump Nmap及 Snort
2-29
網路安全
WinDump與Winpcab 示意圖bull 透過 WinDump及Winpcap 工具擷取並分析封包後再將資料蒐集至電腦設備中
2-30
乙太網路Ethernet
網路工具
Windump分析封包結構
Winpcap擷取並過濾封包
封包資訊
網路安全 2-31
Module 2-4 封包擷取的實務 ()
網路安全 2-32
Linux kernel packet processing
網路安全 2-33
網路安全
說明bull 架設實作 (一 ) 請將介紹如何安裝與使用
WinDump 依實驗拓樸請使用 WireDump 主機做安裝及測試bull 架設實作 (二 ) 請利用 Wireshark軟體對 FTP 進行封包擷取依實驗拓樸請使用 Wireshark 主機做安裝及測試bull 架設實作 (三 ) 請利用 Wireshark軟體對
Outlook Express進行封包擷取依實驗拓樸請使用 Wireshark 主機做安裝及測試2-34
網路安全
架設實作 (一 )
WinDump 實作 -SSH連線觀察
2-35
網路安全
封包擷取工具 - WinDump
bull 版本ndash 395
bull 支援作業平台ndash Windows 9598NT2000XP2003
bull 其他需求ndash 安裝WinPcap 31 以上版本
bull 下載位址ndash httpwwwwinpcaporgwindumpinstallbin
windump_3_9_5WinDumpexe
2-36
網路安全
其他需求工具 - WinPcap
bull 版本ndash 402 stable
bull 支援作業平台ndash Windows NT42000
Windows XP2003Vista (x86 and x64)Windows Server 2008 (x86 and x64)
bull 下載位址ndash httpwwwwinpcaporginstallbin
WinPcap_4_0_2exe
2-37
網路安全
WinPcap 安裝步驟bull WinPcap 下載完成後即可進行安裝bull 安裝畫面如下點選 Next按鈕繼續下一步
2-38
網路安全
WinDump與WinPcap測試bull 請將下載的 WinDumpexe 檔案存放至 C
Windowssystem32 的目錄之下bull 測試WinDump及WinPcap 是否可運作
ndash 點選開始 -gt 程式集 -gt附屬應用程式 -gt命令提示字元 -gt 輸入「 windump 」按下 Enter 即會出現「 windump listening on DeviceNPF_GenericDialupAdapter」的訊息代表WinDump及WinPcap 安裝成功且可運作
ndash 停止監聽按「 Ctrl + C」將顯示擷取封包的數量
2-39
網路安全
參數 說明-c 指定收到的封包數目當達到該數目時 Tcpdump 即會停止-d 把編譯過的封包編碼轉碼成可閱讀的格式放置於標準輸出-dd 把編譯過的封包編碼轉碼成 C 語言的格式放置於標準輸出-ddd 把編譯過的封包編碼轉碼成十進位的格式放置於標準輸出-F 從所指定的文件中讀取運算式進而忽略其他運算式-f 用數字顯示 IP 位址 -i 指定擷取封包的網路介面 -w 將擷取的封包直接寫入檔案當中不做分析與顯示於畫面
參數 說明-r 從指定的檔案文件中讀取資料該檔案文件由 -w 所製造出來-v 顯示詳細的封包資訊多了 TTL 及服務類型-s 設定每一個封包的大小-S 用絕對數並非相對數的值列出 TCP 連接數-tt 顯示出原始時間並且為不格式化的時間-n 不進行 IP Address 到 Domain
Name 的轉換-nn 不進行 Port 的轉換如 22 就是
ssh
-x 用十六進位字碼列出封包資料
WinDump相關參數列表
2-40
網路安全
WinDump 簡易使用操作說明bull 語法 windump 參數bull 查看目前系統可使用的網卡介面
ndash windump -Dbull 透過查看網卡介面以利後續監聽之用
2-41
網路安全
WinDump 簡易使用操作說明 (續 )
bull WinDump -i 網卡介面代號 -c 擷取封包數量 port 通訊埠
bull 例 WinDump -i 2 -c 10 port 80
2-42
網路安全
WinDump 簡易使用操作說明 (續 )
bull 因於命令提示字元視窗內所顯示的資訊不易閱讀可透過下列指令將其所擷取的資訊導向至檔案bull Windump -i 網卡介面代號 gt 檔名
ndash windump -i 2 -c 10 -w message port 80ndash windump -r message gt messagetxtndash windump -i 2 -c 10 port 80 gt messagetxt
2-43
網路安全
WinDump 簡易使用操作說明 (續 )
112338326205 此為封包被擷取的時間『 HHMMSSfraction』的單位IP 透過的通訊協定是 IPwinser 1099 gt w1wwwviptw1yahoocomtw80 代表的是傳送端是 winser 傳送的通訊埠為 1099 大於 (gt) 的符號指的是封包的傳輸方向 w1wwwviptw1yahoocomtw 為接收端 80 為接收埠
P(PUSH) 為資料傳輸標誌且傳輸的資料為整體資料的 1~ 699 byte 所以這個封包帶有 698 bytes 的資料量 ack 1 win 65535 ACK與Window size 的相關資料2-44
網路安全
bull 以 Testbed建立一實驗相關拓樸及設定如下圖SSHClientOSWINXP-SP3-CH-pc3000 IP 10113安裝軟體 putty
SSHServerOSWINXP-SP3-CH-pc3000IP 10123安裝軟體 sshd
實驗環境介紹
2-45
IP1
IP2
WireDumpOSWINXP-SP3-CH-pc3000IP1 10112IP2 10122安裝軟體 WinDump
網路安全
實驗拓樸 on TestbedTWISC- 建立完成的實驗拓樸
2-46
網路安全
SSH連線觀察bull 利用 Putty連線到 SSHServer從中觀察到三向交握建立連線的動作從 SSHClient 端利用 putty連線到SSHServer(10123)的 sshd服務
2-47
網路安全
SSH連線觀察 (續 )
bull SSH 在連線之前會利用三向交握的方式建立連線bull 利用 WinDump觀察 SSH連線動作
ndash 指令 WinDumpexe -N -S -i 4 port 22
三向交握的三個封包三向交握示意圖Server lt- Client SYN 你想連線Server -gt Client SYN ACK 可以我接受Server lt- Client ACK 謝謝
2-48
網路安全
架設實作 (二 )
FTP 擷取密碼案例
2-49
網路安全
FTPClientOSWINXP-SP3-pc3000IP 10112安裝軟體 FileZilla
FTPServerOSWINXP-SP3-pc3000IP 10123安裝軟體 RaidenFTPD
實驗環境介紹bull 以 Testbed建立一實驗相關拓樸及設定如下圖
2-50
IP1IP2
WireSharkOSWINXP-SP3-pc3000IP1 10113IP2 10122安裝軟體 Wireshark
網路安全
實驗拓樸 on TestbedTWISC- 建立完成的實驗拓樸
2-51
網路安全
FTP伺服器工具 - RaidenFTPD
bull 版本ndash 24 build 3720
bull 支援作業平台ndash Windows
bull 下載位址ndash httpwwwraidenmaildcomdownloadraidenftpd2exe
2-52
網路安全
RaidenFTPD 安裝步驟bull 下載Windows平台最新版本檔案下載完成後執行該安裝程式
2-53
網路安全
RaidenFTPD 安裝步驟 (續 )
bull 此步驟使用預設路徑即可按下 Install 進行安裝
2-54
網路安全
RaidenFTPD設定步驟bull 程式開啟畫面如下選擇 Click here to start a new
server 進行 FTP伺服器設定
2-55
網路安全
RaidenFTPD設定步驟 (續 )
bull 此處可設定 Server name與 Server IP 將 Auto IP 取消勾選並將 Server IP設為 10123
2-56
網路安全
RaidenFTPD設定步驟 (續 )
bull 接下來的步驟依照預設值即可
2-57
網路安全
RaidenFTPD設定步驟 (續 )
bull 設定人員帳號與群組按下 Add鈕輸入帳號密碼群組名稱可略過完成後按下 Next 進行下一步驟
2-58
網路安全
RaidenFTPD設定步驟 (續 )
bull 此步驟設定該帳號登入 FTP 時的權限選擇NORMAL 按下 Next 進行下一步驟
2-59
網路安全
RaidenFTPD設定步驟 (續 )
bull 接下來的步驟皆以預設值即可完成設定之後會出現對話視窗顯示您所設定的資訊
2-60
網路安全
FTP 用戶端工具 - Filezilla
bull 版本ndash 328
bull 支援作業平台ndash Windows Linux及Mac
bull 下載位址ndash httpsourceforgenetprojectsfilezillafiles
FileZilla_Client328FileZilla_328_win32zipdownload
2-61
網路安全
Filezilla 安裝步驟bull 執行 Filezilla 安裝程式點選 I agree 鈕
2-62
網路安全
Filezilla 安裝步驟 (續 )
bull 以預設值安裝點選兩次 Next 鈕
2-63
網路安全
Filezilla 安裝步驟 (續 )
bull 以預設值安裝點選 Next 鈕後再點選 Install 鈕
2-64
網路安全
Filezilla 安裝步驟 (續 )
bull 以預設值安裝點選 Next 鈕後再點選 Finish 鈕
2-65
網路安全
封包擷取工具 - Wireshark
bull 版本ndash 165
bull 支援作業平台ndash Windows Linux及 FreeBSD
bull 其他需求ndash 安裝WinPcap 31 以上版本
bull 下載位址ndash httpwiresharkdownloadsriverbedcomwireshark
win32wireshark-win32-165exe
2-66
網路安全
Wireshark 安裝步驟bull 至官方網站下載Windows平台最新版本檔案下載完成後執行該安裝程式
2-67
網路安全
Wireshark 安裝步驟 (續 )
bull 於下一步出現的版權宣告點選 I Agree鈕後繼續下一步驟
2-68
網路安全
Wireshark 安裝步驟 (續 )
bull 此步驟選擇欲安裝的元件以軟體預設勾選之項目安裝
2-69
網路安全
Wireshark 安裝步驟 (續 )
bull 此步驟使用預設路徑即可
2-70
網路安全
Wireshark 安裝步驟 (續 )
bull 此步驟將安裝Windows平台須加裝之套件 -WinPcap 若原系統未安裝過 WinPcap套件請以軟體預設項目安裝之
2-71
網路安全
Wireshark 安裝步驟 (續 )
bull 此步驟代表 Wireshark軟體已安裝完成可點選Finish 鈕或勾選 Run Wireshark 165 隨即使用該套軟體
2-72
網路安全
一般工具列Wireshark軟體介面介紹
2-73
篩選工具列封包清單窗格
封包內容窗格封包位元組窗格
網路安全
Wireshark 使用思考方向bull 遇到網路問題是否觀察網路通道中有異常動作或狀況
ndash 思考方向ndash 反應到擷取數據方法那麼以 Wireshark 擷取使用者需要擷取哪些數據這些數據由使用者電腦哪個裝置來擷取
bull Wireshark操作流程
bull 接下來我們進行軟體操作介紹
解決問題 擷取數據要先做什麼
擷取數據 擷取哪些數據( 過濾條件 )數據哪裡來( 網路介面卡 )
2-74
網路安全
數據哪裡來 - Capture功能bull 一開啟方式
ndash 1 點選快速鈕如紅色圈所示ndash 2 點選 Capture功能表 下拉選單後點選 Optionsndash 3鍵盤快速鍵 Ctrl + K
2-75
網路安全
數據哪裡來 - Capture功能 (續 )
bull 二開啟後顯示 Capture Options 的視窗畫面即可看到所提供的擷取功能選項
2-76
網路安全
數據哪裡來 - Capture功能 (續 )
bull Capture Options 常用的欄位設定ndash Caputure 框
bull 1Interface 會顯示出在系統上所有網路卡但只能選取一個介面作為封包擷取bull 2Capture packets in promiscuous mode 選取此選項就是經過所選取的網路卡的所有封包都會被擷取下來bull 3Capture Filter 指定擷取過濾器運算式擷取想要的特定封包即為擷取中過濾之功能
2-77
網路安全
數據哪裡來 - Capture功能 (續 )
bull Capture Options 常用的欄位設定ndash Display Options 框
bull Update list of packets in real time 指定在擷取封包過程中能夠即時更新已擷取封包清單窗格視窗中的封包資訊若取消則軟體主視窗更新畫面是沒有動作的
2-78
網路安全
bull Capture Options 常用的欄位設定ndash Name Resolution框
bull 1 Enable MAC name resolution 指定是否將網路卡MAC address 的前三個位元組轉換成製造商名稱
bull 2 Enable network name resolution 指定是否將 IP address轉換成 DNS 網域名稱
bull 3 Enable transport name resolution 指定是否將通信埠號碼 (port numbers)轉成協定名稱 (protocols)bull 各位了解數據從哪裡擷取的概念與操作之後即可以進一步加上附帶條件 (篩選條件 ) 等相關操作方式
數據哪裡來 - Capture功能 (續 )
2-79
網路安全
Wireshark操作手法bull 延續遇到問題的思考方向及軟體操作手法我們可以將操作流程分為兩種
ndash 擷取中過濾 (Filter while capturing)bull 優點僅擷取已知範圍資訊網路流量少bull 缺點需先了解問題類型避免可能有遺漏真正欲擷取資訊之狀況
ndash 檢視中過濾 (Filter packets while viewing)bull 優點不用先預設條件擷取所有封包資訊bull 缺點影響網路流量
先預設欲擷取條件 擷取數據
擷取數據 再篩選欲查詢數據2-80
網路安全
Wireshark操作手法 - 擷取中過濾bull 操作步驟
ndash 點選 Capture 下拉視窗選擇 Capture Filters 即呈現此視窗
bull 操作範例ndash 1於 Filter窗格中選擇 IP
Address 10112ndash 2於 Properties窗格中即顯示該選項的設定值如圖所示為 host 10112ndash 3 即可設定軟體僅針對
10112 的封包作擷取動作 延伸操作思考1 改變 Filter string 值得到什麼結果2 點選 Edit 窗格中的 New 鈕 新增自訂條件 2-81
網路安全
Wireshark操作手法 - 檢視中過濾bull 此步驟即以已擷取封包清單窗格為基礎以過濾條件過濾該清單bull 可直接選擇軟體預設項目如以下操作
ndash 操作步驟bull 點選 Analyze 下拉視窗選擇
Display Filters 即呈現此視窗ndash 操作範例
bull 1於 Filter窗格中選擇 IP Address 10112
bull 2於 Properties窗格中即顯示該選項的設定值如圖所示值為host 10112
bull 3 即可設定軟體僅針對 10112的封包作顯示動作 延伸操作思考1 可否進行進一步自訂設定值
2-82
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 若電腦 IP為 10112 欲篩選出 IP 來源為上述 IP 且協定為 TCP 80port 的所有封包ndash 操作步驟
bull 點選 Expression鈕即出現此視窗ndash 1於 Field name框選擇
IP項目中的 ipsrc - Source
ndash 2於 Relation框選擇 ==ndash 3於 Value [IPV4
address]填 入 10112ndash 4 點選 OK鈕 進階思考方式須考慮到例如是來源資訊是目標資訊是什麼協定等更細部所要之條件
2-83
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 再進行第二篩選條件ndash TCP 80 port
bull 操作步驟ndash 1先於 Filter string 輸入文字框「 ipsrc==
10112」後再加上一個空格及「 and 」再進行一次 Expression條件選擇
2-84
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
ndash 2於 Field name框選擇「 tcpdstport」ndash 3於 Relation框選擇「 ==」ndash 4於 Value框填入「 80」ndash 5 選擇「 OK」鈕
2-85
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 注意 Propeties框內的Filter string欄位值已改變為「 ipsrc == 10112 and tcpdstport == 80」
bull 確認條件正確後點選「 OK 」鈕即可發現已擷取封包清單窗格的項目均為所設定過濾條件過濾過結果2-86
網路安全
bull 可單選單一封包進行更進階查詢封包內容bull 操作方式為
ndash 點選其中一項封包項目點選滑鼠右鍵選擇Follow TCP Stream
Wireshark操作手法 - 檢視中過濾 (續 )
2-87
網路安全
ndash 此畫面即可看出該項 TCP 封包溝通內容Wireshark操作手法 - 檢視中過濾 (續 )
2-88
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 此功能將所擷取的封包清單使用多種方式呈現封包統計資料便於使用者查詢擷取時間內何種封包數量多寡及圖型顯示bull 操作步驟點選 Statistics 下拉視窗即呈現此視窗 顯示有關擷取清單的摘要以階梯式通訊協定列表顯示所擷取的所有封包
在特定 IP間顯示通訊流量顯示單一 IP 來往封包的流量
以時間軸顯示視覺化封包流量圖2-89
網路安全
bull 可查看到一時段內其封包總數與平均每秒傳遞接收封包數等相關資訊讓使用者了解平均一時段內網路流量狀況藉以初步獲得資訊
Wireshark操作手法 - 檢視中過濾 (續 )
2-90
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 讓使用者可透過階梯式封包分類表來查看哪一類封包佔為居多可進一步推測是否該類型封包影響到整體網路或是否有異常或不常見封包類型在網路中傳遞
2-91
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 將該擷取時段內封包清單檔以兩個特定 IP 之間對傳封包為區隔顯示出哪兩個特定 IP間傳遞封包數多寡bull 可讓使用者更進一步研判兩個特定 IP所屬設備傳遞狀況是否異常
2-92
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 將該擷取時段內封包清單檔以特定IP 傳遞封包數為區隔顯示出哪特定IP 傳遞封包數多寡
bull 可讓使用者更進一步研判該特定所屬設備傳遞封包數是否異常作為管制緊急管制或禁止通訊之證明2-93
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 以時間軸顯示視覺化封包流量圖bull 讓使用者可觀察所管理設備資訊流通量以了解設備是否能負荷或作相關調整等處置
2-94
網路安全
FTP 擷取密碼案例bull 於Wireshark軟體選擇 Capture 下拉選單功能項點選 Interfaces 選項
2-95
網路安全
FTP 擷取密碼案例 (續 )
bull 確認欲擷取封包之網卡名稱如紅色底線所示確認後點選 Start鈕
2-96
網路安全
FTP 擷取密碼案例 (續 )
bull 切換至 FTP Client 電腦開啟 FileZilla 程式後連線到 FTP Server 於 Host 填入10123 Username填入 tester Password填入testpw 後點選 Quickconnect鈕
2-97
網路安全
FTP 擷取密碼案例 (續 )
bull 擷取到的封包資訊會顯示於已擷取封包清單窗格內
2-98
網路安全
FTP 擷取密碼案例 (續 )
bull 使用 FTP軟體登入 ftp站後 Wireshark 將擷取到的使用者名稱與密碼如紅框所示
2-99
網路安全
FTP 擷取密碼案例 (續 )
bull 點選已擷取封包清單窗格的密碼資訊列如標示1 的紅框所示即可在封包內容窗格看到該密碼的位元碼如標示 2 的紅框所示
1
2
2-100
網路安全
架設實作 (三 )
Outlook Express 擷取密碼案例
2-101
網路安全
實驗環境介紹bull 以 Testbed建立一實驗相關拓樸及設定如下圖
OEClientOSWindows XP SP3IP 10112執行 Outlook Express
MailServerOSWindows XP SP3IP 10122安裝軟體 ArGoSoft Mail Server
2-102
WiresharkOSWindows XP SP3IP1 10113 IP2 10123安裝軟體 Wireshark
IP1IP2
網路安全
實驗拓樸 on TestbedTWISC- 建立完成的實驗拓樸
2-103
網路安全
郵件伺服器工具 - ArGoSoft Mail Server
bull 版本ndash 1892 Freeware
bull 支援作業平台ndash Windows
bull 下載位址ndash httpwwwsoftkingcomtwsoftdownloadaspfid3=7367
2-104
網路安全
郵件客戶端工具 - Outlook Express
bull 版本ndash 60
bull 支援作業平台ndash Windows
bull 下載位址ndash Windows 內建
2-105
網路安全
bull 安裝及設定郵件伺服器ndash 1下載並執行 ArGoSoft Mail Server軟體點選
Setup鈕
Outlook Express 擷取密碼案例
2-106
網路安全
ndash 1 點選 Next鈕ndash 2 點選 Start Installation鈕
Outlook Express 擷取密碼案例 (續 )
2-107
網路安全
ndash 3 點選 OK鈕ndash 4 點選 Finish鈕完成軟體安裝
Outlook Express 擷取密碼案例 (續 )
2-108
網路安全
ndash 5 點選使用者設定鈕如紅圈所示ndash 6 點選新增鈕如紅框所示
Outlook Express 擷取密碼案例 (續 )
2-109
網路安全
ndash 7填入使用者名稱 (tester) 及密碼 (testpw) 如紅圈所示填寫完成後點選 OK鈕ndash 8 點選 Close鈕關閉使用者設定視窗
Outlook Express 擷取密碼案例 (續 )
2-110
網路安全
ndash 9 點選選項鈕如左側圖中紅色圈所示ndash 10 點選紅色打勾鈕如右側圖中紅色圈所示
2-111
Outlook Express 擷取密碼案例 (續 )
網路安全
ndash 11該軟體會自動選取 DNS Server 待選取後點選 Yes鈕ndash 12 勾選 Allow Relay 選項如紅框所示
2-112
Outlook Express 擷取密碼案例 (續 )
網路安全
Outlook Express 擷取密碼案例 (續 )
bull 設定收信帳號ndash 1 點選 Tools功能選單選擇 Accounts 選項
2-113
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 2 點選 Add鈕選擇 Mail 選項
2-114
網路安全
ndash 3填入 tester 點選 Next鈕ndash 4填入 testertestcom 點選 Next鈕
Outlook Express 擷取密碼案例 (續 )
2-115
網路安全
ndash 5填入 10123 如紅框所示點選 Next鈕ndash 6填入帳號為 tester 及密碼為 testpw 點選 Next鈕
Outlook Express 擷取密碼案例 (續 )
2-116
網路安全
ndash 7 點選 Finish鈕ndash 8 點選 Close鈕
Outlook Express 擷取密碼案例 (續 )
2-117
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 模擬條件準備好後首先準備Wireshark 擷取動作開啟Wireshark
2-118
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 於Wireshark軟體選擇 Capture 下拉選單功能項點選 Interfaces 選項
2-119
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 確認欲擷取封包之網卡名稱如紅色底線所示確認後點選 Start鈕
2-120
網路安全
ndash 當使用者收發 email 時即被 Wireshark攔截封包ndash 有發現到該 Outlook Express帳號密碼是如此清晰可見的嗎
Outlook Express 擷取密碼案例 (續 )
2-121
網路安全
結論bull 學習了 Wireshark及WinDump 兩套網路封包擷取軟體基本概念如同電話側錄概念相同從中複製一連串資訊來分析與了解網路的流量及內容為何bull 當你發現網路速度緩慢等狀況你是否會反應到所學的基本概念來找尋問題所在bull 防範概念由此課程的實例可以了解網路內容如被有心人士擷取所造成的損失相當可觀故你是否有對策有哪些方式你可以應用來防範bull 正確的思考善用對的工具將對解決問題事半功倍
2-122
網路安全 2-123
Module 2-5 封包擷取與分析的專案實作()
網路安全
專案目的bull 建立遠端管理傳遞指令資訊環境bull 利用實際攔截封包操作的方式讓同學了解封包擷取運作與網路資訊流通的顧慮等相關議題
2-124
網路安全
專案描述bull 近年來遠端管理伺服器及網路服務普及光是密碼保護就足夠了嗎是否重點網段須全程加密還是作網段隔離經由此專案實作即可了解不僅部分加密仍有其風險所在網路架構如何規劃將是非常重要的課題bull 參考環境配置圖完成下列要求①環境裡的攔截封包主機是 Windows XP SP3 作業系統而該主機安裝Wireshark軟體②另兩台主機的作業系統亦是 Windows XP SP3 並裝上
MySQL軟體 MySQL帳號為 root 密碼為您的學號 (如 Q3896105)
③在MySQLClient 電腦使用 MySQL Commandline 指令連線至MySQLServer 擷取資料庫資訊
④我們針對這兩台主機傳訊的封包擷取由整個實做中思考如何防範資訊外洩與了解傳訊封包如何流動及運作2-125
網路安全
環境配置圖bull 以 Testbed建立一實驗相關拓樸及設定如下圖
MySQLServerOSWINXP-SP3-CH-pc3000 IP 10123安裝軟體 MySQL
MySQLClientOSWINXP-SP3-CH-pc3000 IP 10112安裝軟體 MySQL
2-126
WireSharkOSWINXP-SP3-CH-pc3000 IP1 10113IP2 10122安裝軟體 Wireshark
IP1IP2
網路安全
作業繳交bull 請參考情境測試發送數個 SQL 指令並將過程與擷取到的封包資訊之截圖列於報告中所有圖表皆需要輔以文字說明bull Deadline 2012312 下午 500 以前bull 作業範圍 Module 2-5 (page 2-128)bull 方式 (參考課程網址 )
ndash 帳號密碼小寫的 (ns100ns100)ndash IP 140116164167
2-127
網路安全
有問題嗎
bull 關於 TestBed 使用上的問題請直接 Email至 twisc-testbed-usergooglegroupscom 將有專人為您服務bull 課程網址
httpitlabeenckuedutwcoursesNS_100indexhtml
2-128
bull 助教資訊 (參考課程網址 )
網路安全
參考資料bull Dienet httplinuxdienetman1wiresharkbull Orebaugh Angela Ramirez Gilbert Burke Josh Pesce Larry Wright
Joshua(2007) Wireshark and Ethereal network protocol analyzer toolkitbull Tony Fortunato(2007) Wireshark Training Retrieved July 22 2009 from
the World Wide Web httpwwwthetechfirmcometherealwiresharkpdfbull WinDump httpwwwwinpcaporgWinDumpbull Wireshark httpwwwwiresharkorgbull Wireshark University httpwwwwiresharktrainingcombull 楊中皇 (民 97年 ) 網路安全理論與實務 (2版 ) 台北市學貫bull 蘇淑茵教授 Wireshark 民國 98年 6月 28日取自 httpmywebnckuedutw~sisou
2-129
網路安全
封包擷取工具 - WinDump
bull 一種開放原始碼的網路軟體工具為 Windows版的 tcpdumpbull 可以分析封包的流向並且對於封包的內容也可以進行 監聽 bull WinDump運算式是一種規則運算式利用一些條件來進行訊息的過濾當訊息滿足運算式的條件則會將其資訊捕獲如果沒有給出任何條件則網路上所有的資訊包將會被擷獲bull 例 WinDump -i interface -c 10 -n port 80 -w
filename
2-27
網路安全
封包擷取工具 - Wireshark
bull 開放原始碼軟體bull 起源於 1997年 Wireshark 的前身即為 Ethereal因為商標問題而改名成 Wiresharkbull 支援通訊協定多且完整使用圖形化的介面讓操作者容易上手過濾條件切割細密讓使用者可於乙太網路撈取且經數據過濾分析後的數據流bull 可由此軟體能夠擷取網路封包並盡可能顯示出最為詳細的網路封包資料提供各方應用
2-28
網路安全
網路存取函式庫 - WinPcap
bull WinPcap 是著名 Unix libpcap的Windows版本API
bull Pcap 是用來擷取封包的應用程式介面 (Application Programming Interface API)
bull 免費直接網路存取函式庫bull 許多網路應用軟體運行均須安裝此套函式庫如WiresharkWinDump Nmap及 Snort
2-29
網路安全
WinDump與Winpcab 示意圖bull 透過 WinDump及Winpcap 工具擷取並分析封包後再將資料蒐集至電腦設備中
2-30
乙太網路Ethernet
網路工具
Windump分析封包結構
Winpcap擷取並過濾封包
封包資訊
網路安全 2-31
Module 2-4 封包擷取的實務 ()
網路安全 2-32
Linux kernel packet processing
網路安全 2-33
網路安全
說明bull 架設實作 (一 ) 請將介紹如何安裝與使用
WinDump 依實驗拓樸請使用 WireDump 主機做安裝及測試bull 架設實作 (二 ) 請利用 Wireshark軟體對 FTP 進行封包擷取依實驗拓樸請使用 Wireshark 主機做安裝及測試bull 架設實作 (三 ) 請利用 Wireshark軟體對
Outlook Express進行封包擷取依實驗拓樸請使用 Wireshark 主機做安裝及測試2-34
網路安全
架設實作 (一 )
WinDump 實作 -SSH連線觀察
2-35
網路安全
封包擷取工具 - WinDump
bull 版本ndash 395
bull 支援作業平台ndash Windows 9598NT2000XP2003
bull 其他需求ndash 安裝WinPcap 31 以上版本
bull 下載位址ndash httpwwwwinpcaporgwindumpinstallbin
windump_3_9_5WinDumpexe
2-36
網路安全
其他需求工具 - WinPcap
bull 版本ndash 402 stable
bull 支援作業平台ndash Windows NT42000
Windows XP2003Vista (x86 and x64)Windows Server 2008 (x86 and x64)
bull 下載位址ndash httpwwwwinpcaporginstallbin
WinPcap_4_0_2exe
2-37
網路安全
WinPcap 安裝步驟bull WinPcap 下載完成後即可進行安裝bull 安裝畫面如下點選 Next按鈕繼續下一步
2-38
網路安全
WinDump與WinPcap測試bull 請將下載的 WinDumpexe 檔案存放至 C
Windowssystem32 的目錄之下bull 測試WinDump及WinPcap 是否可運作
ndash 點選開始 -gt 程式集 -gt附屬應用程式 -gt命令提示字元 -gt 輸入「 windump 」按下 Enter 即會出現「 windump listening on DeviceNPF_GenericDialupAdapter」的訊息代表WinDump及WinPcap 安裝成功且可運作
ndash 停止監聽按「 Ctrl + C」將顯示擷取封包的數量
2-39
網路安全
參數 說明-c 指定收到的封包數目當達到該數目時 Tcpdump 即會停止-d 把編譯過的封包編碼轉碼成可閱讀的格式放置於標準輸出-dd 把編譯過的封包編碼轉碼成 C 語言的格式放置於標準輸出-ddd 把編譯過的封包編碼轉碼成十進位的格式放置於標準輸出-F 從所指定的文件中讀取運算式進而忽略其他運算式-f 用數字顯示 IP 位址 -i 指定擷取封包的網路介面 -w 將擷取的封包直接寫入檔案當中不做分析與顯示於畫面
參數 說明-r 從指定的檔案文件中讀取資料該檔案文件由 -w 所製造出來-v 顯示詳細的封包資訊多了 TTL 及服務類型-s 設定每一個封包的大小-S 用絕對數並非相對數的值列出 TCP 連接數-tt 顯示出原始時間並且為不格式化的時間-n 不進行 IP Address 到 Domain
Name 的轉換-nn 不進行 Port 的轉換如 22 就是
ssh
-x 用十六進位字碼列出封包資料
WinDump相關參數列表
2-40
網路安全
WinDump 簡易使用操作說明bull 語法 windump 參數bull 查看目前系統可使用的網卡介面
ndash windump -Dbull 透過查看網卡介面以利後續監聽之用
2-41
網路安全
WinDump 簡易使用操作說明 (續 )
bull WinDump -i 網卡介面代號 -c 擷取封包數量 port 通訊埠
bull 例 WinDump -i 2 -c 10 port 80
2-42
網路安全
WinDump 簡易使用操作說明 (續 )
bull 因於命令提示字元視窗內所顯示的資訊不易閱讀可透過下列指令將其所擷取的資訊導向至檔案bull Windump -i 網卡介面代號 gt 檔名
ndash windump -i 2 -c 10 -w message port 80ndash windump -r message gt messagetxtndash windump -i 2 -c 10 port 80 gt messagetxt
2-43
網路安全
WinDump 簡易使用操作說明 (續 )
112338326205 此為封包被擷取的時間『 HHMMSSfraction』的單位IP 透過的通訊協定是 IPwinser 1099 gt w1wwwviptw1yahoocomtw80 代表的是傳送端是 winser 傳送的通訊埠為 1099 大於 (gt) 的符號指的是封包的傳輸方向 w1wwwviptw1yahoocomtw 為接收端 80 為接收埠
P(PUSH) 為資料傳輸標誌且傳輸的資料為整體資料的 1~ 699 byte 所以這個封包帶有 698 bytes 的資料量 ack 1 win 65535 ACK與Window size 的相關資料2-44
網路安全
bull 以 Testbed建立一實驗相關拓樸及設定如下圖SSHClientOSWINXP-SP3-CH-pc3000 IP 10113安裝軟體 putty
SSHServerOSWINXP-SP3-CH-pc3000IP 10123安裝軟體 sshd
實驗環境介紹
2-45
IP1
IP2
WireDumpOSWINXP-SP3-CH-pc3000IP1 10112IP2 10122安裝軟體 WinDump
網路安全
實驗拓樸 on TestbedTWISC- 建立完成的實驗拓樸
2-46
網路安全
SSH連線觀察bull 利用 Putty連線到 SSHServer從中觀察到三向交握建立連線的動作從 SSHClient 端利用 putty連線到SSHServer(10123)的 sshd服務
2-47
網路安全
SSH連線觀察 (續 )
bull SSH 在連線之前會利用三向交握的方式建立連線bull 利用 WinDump觀察 SSH連線動作
ndash 指令 WinDumpexe -N -S -i 4 port 22
三向交握的三個封包三向交握示意圖Server lt- Client SYN 你想連線Server -gt Client SYN ACK 可以我接受Server lt- Client ACK 謝謝
2-48
網路安全
架設實作 (二 )
FTP 擷取密碼案例
2-49
網路安全
FTPClientOSWINXP-SP3-pc3000IP 10112安裝軟體 FileZilla
FTPServerOSWINXP-SP3-pc3000IP 10123安裝軟體 RaidenFTPD
實驗環境介紹bull 以 Testbed建立一實驗相關拓樸及設定如下圖
2-50
IP1IP2
WireSharkOSWINXP-SP3-pc3000IP1 10113IP2 10122安裝軟體 Wireshark
網路安全
實驗拓樸 on TestbedTWISC- 建立完成的實驗拓樸
2-51
網路安全
FTP伺服器工具 - RaidenFTPD
bull 版本ndash 24 build 3720
bull 支援作業平台ndash Windows
bull 下載位址ndash httpwwwraidenmaildcomdownloadraidenftpd2exe
2-52
網路安全
RaidenFTPD 安裝步驟bull 下載Windows平台最新版本檔案下載完成後執行該安裝程式
2-53
網路安全
RaidenFTPD 安裝步驟 (續 )
bull 此步驟使用預設路徑即可按下 Install 進行安裝
2-54
網路安全
RaidenFTPD設定步驟bull 程式開啟畫面如下選擇 Click here to start a new
server 進行 FTP伺服器設定
2-55
網路安全
RaidenFTPD設定步驟 (續 )
bull 此處可設定 Server name與 Server IP 將 Auto IP 取消勾選並將 Server IP設為 10123
2-56
網路安全
RaidenFTPD設定步驟 (續 )
bull 接下來的步驟依照預設值即可
2-57
網路安全
RaidenFTPD設定步驟 (續 )
bull 設定人員帳號與群組按下 Add鈕輸入帳號密碼群組名稱可略過完成後按下 Next 進行下一步驟
2-58
網路安全
RaidenFTPD設定步驟 (續 )
bull 此步驟設定該帳號登入 FTP 時的權限選擇NORMAL 按下 Next 進行下一步驟
2-59
網路安全
RaidenFTPD設定步驟 (續 )
bull 接下來的步驟皆以預設值即可完成設定之後會出現對話視窗顯示您所設定的資訊
2-60
網路安全
FTP 用戶端工具 - Filezilla
bull 版本ndash 328
bull 支援作業平台ndash Windows Linux及Mac
bull 下載位址ndash httpsourceforgenetprojectsfilezillafiles
FileZilla_Client328FileZilla_328_win32zipdownload
2-61
網路安全
Filezilla 安裝步驟bull 執行 Filezilla 安裝程式點選 I agree 鈕
2-62
網路安全
Filezilla 安裝步驟 (續 )
bull 以預設值安裝點選兩次 Next 鈕
2-63
網路安全
Filezilla 安裝步驟 (續 )
bull 以預設值安裝點選 Next 鈕後再點選 Install 鈕
2-64
網路安全
Filezilla 安裝步驟 (續 )
bull 以預設值安裝點選 Next 鈕後再點選 Finish 鈕
2-65
網路安全
封包擷取工具 - Wireshark
bull 版本ndash 165
bull 支援作業平台ndash Windows Linux及 FreeBSD
bull 其他需求ndash 安裝WinPcap 31 以上版本
bull 下載位址ndash httpwiresharkdownloadsriverbedcomwireshark
win32wireshark-win32-165exe
2-66
網路安全
Wireshark 安裝步驟bull 至官方網站下載Windows平台最新版本檔案下載完成後執行該安裝程式
2-67
網路安全
Wireshark 安裝步驟 (續 )
bull 於下一步出現的版權宣告點選 I Agree鈕後繼續下一步驟
2-68
網路安全
Wireshark 安裝步驟 (續 )
bull 此步驟選擇欲安裝的元件以軟體預設勾選之項目安裝
2-69
網路安全
Wireshark 安裝步驟 (續 )
bull 此步驟使用預設路徑即可
2-70
網路安全
Wireshark 安裝步驟 (續 )
bull 此步驟將安裝Windows平台須加裝之套件 -WinPcap 若原系統未安裝過 WinPcap套件請以軟體預設項目安裝之
2-71
網路安全
Wireshark 安裝步驟 (續 )
bull 此步驟代表 Wireshark軟體已安裝完成可點選Finish 鈕或勾選 Run Wireshark 165 隨即使用該套軟體
2-72
網路安全
一般工具列Wireshark軟體介面介紹
2-73
篩選工具列封包清單窗格
封包內容窗格封包位元組窗格
網路安全
Wireshark 使用思考方向bull 遇到網路問題是否觀察網路通道中有異常動作或狀況
ndash 思考方向ndash 反應到擷取數據方法那麼以 Wireshark 擷取使用者需要擷取哪些數據這些數據由使用者電腦哪個裝置來擷取
bull Wireshark操作流程
bull 接下來我們進行軟體操作介紹
解決問題 擷取數據要先做什麼
擷取數據 擷取哪些數據( 過濾條件 )數據哪裡來( 網路介面卡 )
2-74
網路安全
數據哪裡來 - Capture功能bull 一開啟方式
ndash 1 點選快速鈕如紅色圈所示ndash 2 點選 Capture功能表 下拉選單後點選 Optionsndash 3鍵盤快速鍵 Ctrl + K
2-75
網路安全
數據哪裡來 - Capture功能 (續 )
bull 二開啟後顯示 Capture Options 的視窗畫面即可看到所提供的擷取功能選項
2-76
網路安全
數據哪裡來 - Capture功能 (續 )
bull Capture Options 常用的欄位設定ndash Caputure 框
bull 1Interface 會顯示出在系統上所有網路卡但只能選取一個介面作為封包擷取bull 2Capture packets in promiscuous mode 選取此選項就是經過所選取的網路卡的所有封包都會被擷取下來bull 3Capture Filter 指定擷取過濾器運算式擷取想要的特定封包即為擷取中過濾之功能
2-77
網路安全
數據哪裡來 - Capture功能 (續 )
bull Capture Options 常用的欄位設定ndash Display Options 框
bull Update list of packets in real time 指定在擷取封包過程中能夠即時更新已擷取封包清單窗格視窗中的封包資訊若取消則軟體主視窗更新畫面是沒有動作的
2-78
網路安全
bull Capture Options 常用的欄位設定ndash Name Resolution框
bull 1 Enable MAC name resolution 指定是否將網路卡MAC address 的前三個位元組轉換成製造商名稱
bull 2 Enable network name resolution 指定是否將 IP address轉換成 DNS 網域名稱
bull 3 Enable transport name resolution 指定是否將通信埠號碼 (port numbers)轉成協定名稱 (protocols)bull 各位了解數據從哪裡擷取的概念與操作之後即可以進一步加上附帶條件 (篩選條件 ) 等相關操作方式
數據哪裡來 - Capture功能 (續 )
2-79
網路安全
Wireshark操作手法bull 延續遇到問題的思考方向及軟體操作手法我們可以將操作流程分為兩種
ndash 擷取中過濾 (Filter while capturing)bull 優點僅擷取已知範圍資訊網路流量少bull 缺點需先了解問題類型避免可能有遺漏真正欲擷取資訊之狀況
ndash 檢視中過濾 (Filter packets while viewing)bull 優點不用先預設條件擷取所有封包資訊bull 缺點影響網路流量
先預設欲擷取條件 擷取數據
擷取數據 再篩選欲查詢數據2-80
網路安全
Wireshark操作手法 - 擷取中過濾bull 操作步驟
ndash 點選 Capture 下拉視窗選擇 Capture Filters 即呈現此視窗
bull 操作範例ndash 1於 Filter窗格中選擇 IP
Address 10112ndash 2於 Properties窗格中即顯示該選項的設定值如圖所示為 host 10112ndash 3 即可設定軟體僅針對
10112 的封包作擷取動作 延伸操作思考1 改變 Filter string 值得到什麼結果2 點選 Edit 窗格中的 New 鈕 新增自訂條件 2-81
網路安全
Wireshark操作手法 - 檢視中過濾bull 此步驟即以已擷取封包清單窗格為基礎以過濾條件過濾該清單bull 可直接選擇軟體預設項目如以下操作
ndash 操作步驟bull 點選 Analyze 下拉視窗選擇
Display Filters 即呈現此視窗ndash 操作範例
bull 1於 Filter窗格中選擇 IP Address 10112
bull 2於 Properties窗格中即顯示該選項的設定值如圖所示值為host 10112
bull 3 即可設定軟體僅針對 10112的封包作顯示動作 延伸操作思考1 可否進行進一步自訂設定值
2-82
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 若電腦 IP為 10112 欲篩選出 IP 來源為上述 IP 且協定為 TCP 80port 的所有封包ndash 操作步驟
bull 點選 Expression鈕即出現此視窗ndash 1於 Field name框選擇
IP項目中的 ipsrc - Source
ndash 2於 Relation框選擇 ==ndash 3於 Value [IPV4
address]填 入 10112ndash 4 點選 OK鈕 進階思考方式須考慮到例如是來源資訊是目標資訊是什麼協定等更細部所要之條件
2-83
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 再進行第二篩選條件ndash TCP 80 port
bull 操作步驟ndash 1先於 Filter string 輸入文字框「 ipsrc==
10112」後再加上一個空格及「 and 」再進行一次 Expression條件選擇
2-84
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
ndash 2於 Field name框選擇「 tcpdstport」ndash 3於 Relation框選擇「 ==」ndash 4於 Value框填入「 80」ndash 5 選擇「 OK」鈕
2-85
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 注意 Propeties框內的Filter string欄位值已改變為「 ipsrc == 10112 and tcpdstport == 80」
bull 確認條件正確後點選「 OK 」鈕即可發現已擷取封包清單窗格的項目均為所設定過濾條件過濾過結果2-86
網路安全
bull 可單選單一封包進行更進階查詢封包內容bull 操作方式為
ndash 點選其中一項封包項目點選滑鼠右鍵選擇Follow TCP Stream
Wireshark操作手法 - 檢視中過濾 (續 )
2-87
網路安全
ndash 此畫面即可看出該項 TCP 封包溝通內容Wireshark操作手法 - 檢視中過濾 (續 )
2-88
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 此功能將所擷取的封包清單使用多種方式呈現封包統計資料便於使用者查詢擷取時間內何種封包數量多寡及圖型顯示bull 操作步驟點選 Statistics 下拉視窗即呈現此視窗 顯示有關擷取清單的摘要以階梯式通訊協定列表顯示所擷取的所有封包
在特定 IP間顯示通訊流量顯示單一 IP 來往封包的流量
以時間軸顯示視覺化封包流量圖2-89
網路安全
bull 可查看到一時段內其封包總數與平均每秒傳遞接收封包數等相關資訊讓使用者了解平均一時段內網路流量狀況藉以初步獲得資訊
Wireshark操作手法 - 檢視中過濾 (續 )
2-90
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 讓使用者可透過階梯式封包分類表來查看哪一類封包佔為居多可進一步推測是否該類型封包影響到整體網路或是否有異常或不常見封包類型在網路中傳遞
2-91
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 將該擷取時段內封包清單檔以兩個特定 IP 之間對傳封包為區隔顯示出哪兩個特定 IP間傳遞封包數多寡bull 可讓使用者更進一步研判兩個特定 IP所屬設備傳遞狀況是否異常
2-92
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 將該擷取時段內封包清單檔以特定IP 傳遞封包數為區隔顯示出哪特定IP 傳遞封包數多寡
bull 可讓使用者更進一步研判該特定所屬設備傳遞封包數是否異常作為管制緊急管制或禁止通訊之證明2-93
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 以時間軸顯示視覺化封包流量圖bull 讓使用者可觀察所管理設備資訊流通量以了解設備是否能負荷或作相關調整等處置
2-94
網路安全
FTP 擷取密碼案例bull 於Wireshark軟體選擇 Capture 下拉選單功能項點選 Interfaces 選項
2-95
網路安全
FTP 擷取密碼案例 (續 )
bull 確認欲擷取封包之網卡名稱如紅色底線所示確認後點選 Start鈕
2-96
網路安全
FTP 擷取密碼案例 (續 )
bull 切換至 FTP Client 電腦開啟 FileZilla 程式後連線到 FTP Server 於 Host 填入10123 Username填入 tester Password填入testpw 後點選 Quickconnect鈕
2-97
網路安全
FTP 擷取密碼案例 (續 )
bull 擷取到的封包資訊會顯示於已擷取封包清單窗格內
2-98
網路安全
FTP 擷取密碼案例 (續 )
bull 使用 FTP軟體登入 ftp站後 Wireshark 將擷取到的使用者名稱與密碼如紅框所示
2-99
網路安全
FTP 擷取密碼案例 (續 )
bull 點選已擷取封包清單窗格的密碼資訊列如標示1 的紅框所示即可在封包內容窗格看到該密碼的位元碼如標示 2 的紅框所示
1
2
2-100
網路安全
架設實作 (三 )
Outlook Express 擷取密碼案例
2-101
網路安全
實驗環境介紹bull 以 Testbed建立一實驗相關拓樸及設定如下圖
OEClientOSWindows XP SP3IP 10112執行 Outlook Express
MailServerOSWindows XP SP3IP 10122安裝軟體 ArGoSoft Mail Server
2-102
WiresharkOSWindows XP SP3IP1 10113 IP2 10123安裝軟體 Wireshark
IP1IP2
網路安全
實驗拓樸 on TestbedTWISC- 建立完成的實驗拓樸
2-103
網路安全
郵件伺服器工具 - ArGoSoft Mail Server
bull 版本ndash 1892 Freeware
bull 支援作業平台ndash Windows
bull 下載位址ndash httpwwwsoftkingcomtwsoftdownloadaspfid3=7367
2-104
網路安全
郵件客戶端工具 - Outlook Express
bull 版本ndash 60
bull 支援作業平台ndash Windows
bull 下載位址ndash Windows 內建
2-105
網路安全
bull 安裝及設定郵件伺服器ndash 1下載並執行 ArGoSoft Mail Server軟體點選
Setup鈕
Outlook Express 擷取密碼案例
2-106
網路安全
ndash 1 點選 Next鈕ndash 2 點選 Start Installation鈕
Outlook Express 擷取密碼案例 (續 )
2-107
網路安全
ndash 3 點選 OK鈕ndash 4 點選 Finish鈕完成軟體安裝
Outlook Express 擷取密碼案例 (續 )
2-108
網路安全
ndash 5 點選使用者設定鈕如紅圈所示ndash 6 點選新增鈕如紅框所示
Outlook Express 擷取密碼案例 (續 )
2-109
網路安全
ndash 7填入使用者名稱 (tester) 及密碼 (testpw) 如紅圈所示填寫完成後點選 OK鈕ndash 8 點選 Close鈕關閉使用者設定視窗
Outlook Express 擷取密碼案例 (續 )
2-110
網路安全
ndash 9 點選選項鈕如左側圖中紅色圈所示ndash 10 點選紅色打勾鈕如右側圖中紅色圈所示
2-111
Outlook Express 擷取密碼案例 (續 )
網路安全
ndash 11該軟體會自動選取 DNS Server 待選取後點選 Yes鈕ndash 12 勾選 Allow Relay 選項如紅框所示
2-112
Outlook Express 擷取密碼案例 (續 )
網路安全
Outlook Express 擷取密碼案例 (續 )
bull 設定收信帳號ndash 1 點選 Tools功能選單選擇 Accounts 選項
2-113
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 2 點選 Add鈕選擇 Mail 選項
2-114
網路安全
ndash 3填入 tester 點選 Next鈕ndash 4填入 testertestcom 點選 Next鈕
Outlook Express 擷取密碼案例 (續 )
2-115
網路安全
ndash 5填入 10123 如紅框所示點選 Next鈕ndash 6填入帳號為 tester 及密碼為 testpw 點選 Next鈕
Outlook Express 擷取密碼案例 (續 )
2-116
網路安全
ndash 7 點選 Finish鈕ndash 8 點選 Close鈕
Outlook Express 擷取密碼案例 (續 )
2-117
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 模擬條件準備好後首先準備Wireshark 擷取動作開啟Wireshark
2-118
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 於Wireshark軟體選擇 Capture 下拉選單功能項點選 Interfaces 選項
2-119
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 確認欲擷取封包之網卡名稱如紅色底線所示確認後點選 Start鈕
2-120
網路安全
ndash 當使用者收發 email 時即被 Wireshark攔截封包ndash 有發現到該 Outlook Express帳號密碼是如此清晰可見的嗎
Outlook Express 擷取密碼案例 (續 )
2-121
網路安全
結論bull 學習了 Wireshark及WinDump 兩套網路封包擷取軟體基本概念如同電話側錄概念相同從中複製一連串資訊來分析與了解網路的流量及內容為何bull 當你發現網路速度緩慢等狀況你是否會反應到所學的基本概念來找尋問題所在bull 防範概念由此課程的實例可以了解網路內容如被有心人士擷取所造成的損失相當可觀故你是否有對策有哪些方式你可以應用來防範bull 正確的思考善用對的工具將對解決問題事半功倍
2-122
網路安全 2-123
Module 2-5 封包擷取與分析的專案實作()
網路安全
專案目的bull 建立遠端管理傳遞指令資訊環境bull 利用實際攔截封包操作的方式讓同學了解封包擷取運作與網路資訊流通的顧慮等相關議題
2-124
網路安全
專案描述bull 近年來遠端管理伺服器及網路服務普及光是密碼保護就足夠了嗎是否重點網段須全程加密還是作網段隔離經由此專案實作即可了解不僅部分加密仍有其風險所在網路架構如何規劃將是非常重要的課題bull 參考環境配置圖完成下列要求①環境裡的攔截封包主機是 Windows XP SP3 作業系統而該主機安裝Wireshark軟體②另兩台主機的作業系統亦是 Windows XP SP3 並裝上
MySQL軟體 MySQL帳號為 root 密碼為您的學號 (如 Q3896105)
③在MySQLClient 電腦使用 MySQL Commandline 指令連線至MySQLServer 擷取資料庫資訊
④我們針對這兩台主機傳訊的封包擷取由整個實做中思考如何防範資訊外洩與了解傳訊封包如何流動及運作2-125
網路安全
環境配置圖bull 以 Testbed建立一實驗相關拓樸及設定如下圖
MySQLServerOSWINXP-SP3-CH-pc3000 IP 10123安裝軟體 MySQL
MySQLClientOSWINXP-SP3-CH-pc3000 IP 10112安裝軟體 MySQL
2-126
WireSharkOSWINXP-SP3-CH-pc3000 IP1 10113IP2 10122安裝軟體 Wireshark
IP1IP2
網路安全
作業繳交bull 請參考情境測試發送數個 SQL 指令並將過程與擷取到的封包資訊之截圖列於報告中所有圖表皆需要輔以文字說明bull Deadline 2012312 下午 500 以前bull 作業範圍 Module 2-5 (page 2-128)bull 方式 (參考課程網址 )
ndash 帳號密碼小寫的 (ns100ns100)ndash IP 140116164167
2-127
網路安全
有問題嗎
bull 關於 TestBed 使用上的問題請直接 Email至 twisc-testbed-usergooglegroupscom 將有專人為您服務bull 課程網址
httpitlabeenckuedutwcoursesNS_100indexhtml
2-128
bull 助教資訊 (參考課程網址 )
網路安全
參考資料bull Dienet httplinuxdienetman1wiresharkbull Orebaugh Angela Ramirez Gilbert Burke Josh Pesce Larry Wright
Joshua(2007) Wireshark and Ethereal network protocol analyzer toolkitbull Tony Fortunato(2007) Wireshark Training Retrieved July 22 2009 from
the World Wide Web httpwwwthetechfirmcometherealwiresharkpdfbull WinDump httpwwwwinpcaporgWinDumpbull Wireshark httpwwwwiresharkorgbull Wireshark University httpwwwwiresharktrainingcombull 楊中皇 (民 97年 ) 網路安全理論與實務 (2版 ) 台北市學貫bull 蘇淑茵教授 Wireshark 民國 98年 6月 28日取自 httpmywebnckuedutw~sisou
2-129
網路安全
封包擷取工具 - Wireshark
bull 開放原始碼軟體bull 起源於 1997年 Wireshark 的前身即為 Ethereal因為商標問題而改名成 Wiresharkbull 支援通訊協定多且完整使用圖形化的介面讓操作者容易上手過濾條件切割細密讓使用者可於乙太網路撈取且經數據過濾分析後的數據流bull 可由此軟體能夠擷取網路封包並盡可能顯示出最為詳細的網路封包資料提供各方應用
2-28
網路安全
網路存取函式庫 - WinPcap
bull WinPcap 是著名 Unix libpcap的Windows版本API
bull Pcap 是用來擷取封包的應用程式介面 (Application Programming Interface API)
bull 免費直接網路存取函式庫bull 許多網路應用軟體運行均須安裝此套函式庫如WiresharkWinDump Nmap及 Snort
2-29
網路安全
WinDump與Winpcab 示意圖bull 透過 WinDump及Winpcap 工具擷取並分析封包後再將資料蒐集至電腦設備中
2-30
乙太網路Ethernet
網路工具
Windump分析封包結構
Winpcap擷取並過濾封包
封包資訊
網路安全 2-31
Module 2-4 封包擷取的實務 ()
網路安全 2-32
Linux kernel packet processing
網路安全 2-33
網路安全
說明bull 架設實作 (一 ) 請將介紹如何安裝與使用
WinDump 依實驗拓樸請使用 WireDump 主機做安裝及測試bull 架設實作 (二 ) 請利用 Wireshark軟體對 FTP 進行封包擷取依實驗拓樸請使用 Wireshark 主機做安裝及測試bull 架設實作 (三 ) 請利用 Wireshark軟體對
Outlook Express進行封包擷取依實驗拓樸請使用 Wireshark 主機做安裝及測試2-34
網路安全
架設實作 (一 )
WinDump 實作 -SSH連線觀察
2-35
網路安全
封包擷取工具 - WinDump
bull 版本ndash 395
bull 支援作業平台ndash Windows 9598NT2000XP2003
bull 其他需求ndash 安裝WinPcap 31 以上版本
bull 下載位址ndash httpwwwwinpcaporgwindumpinstallbin
windump_3_9_5WinDumpexe
2-36
網路安全
其他需求工具 - WinPcap
bull 版本ndash 402 stable
bull 支援作業平台ndash Windows NT42000
Windows XP2003Vista (x86 and x64)Windows Server 2008 (x86 and x64)
bull 下載位址ndash httpwwwwinpcaporginstallbin
WinPcap_4_0_2exe
2-37
網路安全
WinPcap 安裝步驟bull WinPcap 下載完成後即可進行安裝bull 安裝畫面如下點選 Next按鈕繼續下一步
2-38
網路安全
WinDump與WinPcap測試bull 請將下載的 WinDumpexe 檔案存放至 C
Windowssystem32 的目錄之下bull 測試WinDump及WinPcap 是否可運作
ndash 點選開始 -gt 程式集 -gt附屬應用程式 -gt命令提示字元 -gt 輸入「 windump 」按下 Enter 即會出現「 windump listening on DeviceNPF_GenericDialupAdapter」的訊息代表WinDump及WinPcap 安裝成功且可運作
ndash 停止監聽按「 Ctrl + C」將顯示擷取封包的數量
2-39
網路安全
參數 說明-c 指定收到的封包數目當達到該數目時 Tcpdump 即會停止-d 把編譯過的封包編碼轉碼成可閱讀的格式放置於標準輸出-dd 把編譯過的封包編碼轉碼成 C 語言的格式放置於標準輸出-ddd 把編譯過的封包編碼轉碼成十進位的格式放置於標準輸出-F 從所指定的文件中讀取運算式進而忽略其他運算式-f 用數字顯示 IP 位址 -i 指定擷取封包的網路介面 -w 將擷取的封包直接寫入檔案當中不做分析與顯示於畫面
參數 說明-r 從指定的檔案文件中讀取資料該檔案文件由 -w 所製造出來-v 顯示詳細的封包資訊多了 TTL 及服務類型-s 設定每一個封包的大小-S 用絕對數並非相對數的值列出 TCP 連接數-tt 顯示出原始時間並且為不格式化的時間-n 不進行 IP Address 到 Domain
Name 的轉換-nn 不進行 Port 的轉換如 22 就是
ssh
-x 用十六進位字碼列出封包資料
WinDump相關參數列表
2-40
網路安全
WinDump 簡易使用操作說明bull 語法 windump 參數bull 查看目前系統可使用的網卡介面
ndash windump -Dbull 透過查看網卡介面以利後續監聽之用
2-41
網路安全
WinDump 簡易使用操作說明 (續 )
bull WinDump -i 網卡介面代號 -c 擷取封包數量 port 通訊埠
bull 例 WinDump -i 2 -c 10 port 80
2-42
網路安全
WinDump 簡易使用操作說明 (續 )
bull 因於命令提示字元視窗內所顯示的資訊不易閱讀可透過下列指令將其所擷取的資訊導向至檔案bull Windump -i 網卡介面代號 gt 檔名
ndash windump -i 2 -c 10 -w message port 80ndash windump -r message gt messagetxtndash windump -i 2 -c 10 port 80 gt messagetxt
2-43
網路安全
WinDump 簡易使用操作說明 (續 )
112338326205 此為封包被擷取的時間『 HHMMSSfraction』的單位IP 透過的通訊協定是 IPwinser 1099 gt w1wwwviptw1yahoocomtw80 代表的是傳送端是 winser 傳送的通訊埠為 1099 大於 (gt) 的符號指的是封包的傳輸方向 w1wwwviptw1yahoocomtw 為接收端 80 為接收埠
P(PUSH) 為資料傳輸標誌且傳輸的資料為整體資料的 1~ 699 byte 所以這個封包帶有 698 bytes 的資料量 ack 1 win 65535 ACK與Window size 的相關資料2-44
網路安全
bull 以 Testbed建立一實驗相關拓樸及設定如下圖SSHClientOSWINXP-SP3-CH-pc3000 IP 10113安裝軟體 putty
SSHServerOSWINXP-SP3-CH-pc3000IP 10123安裝軟體 sshd
實驗環境介紹
2-45
IP1
IP2
WireDumpOSWINXP-SP3-CH-pc3000IP1 10112IP2 10122安裝軟體 WinDump
網路安全
實驗拓樸 on TestbedTWISC- 建立完成的實驗拓樸
2-46
網路安全
SSH連線觀察bull 利用 Putty連線到 SSHServer從中觀察到三向交握建立連線的動作從 SSHClient 端利用 putty連線到SSHServer(10123)的 sshd服務
2-47
網路安全
SSH連線觀察 (續 )
bull SSH 在連線之前會利用三向交握的方式建立連線bull 利用 WinDump觀察 SSH連線動作
ndash 指令 WinDumpexe -N -S -i 4 port 22
三向交握的三個封包三向交握示意圖Server lt- Client SYN 你想連線Server -gt Client SYN ACK 可以我接受Server lt- Client ACK 謝謝
2-48
網路安全
架設實作 (二 )
FTP 擷取密碼案例
2-49
網路安全
FTPClientOSWINXP-SP3-pc3000IP 10112安裝軟體 FileZilla
FTPServerOSWINXP-SP3-pc3000IP 10123安裝軟體 RaidenFTPD
實驗環境介紹bull 以 Testbed建立一實驗相關拓樸及設定如下圖
2-50
IP1IP2
WireSharkOSWINXP-SP3-pc3000IP1 10113IP2 10122安裝軟體 Wireshark
網路安全
實驗拓樸 on TestbedTWISC- 建立完成的實驗拓樸
2-51
網路安全
FTP伺服器工具 - RaidenFTPD
bull 版本ndash 24 build 3720
bull 支援作業平台ndash Windows
bull 下載位址ndash httpwwwraidenmaildcomdownloadraidenftpd2exe
2-52
網路安全
RaidenFTPD 安裝步驟bull 下載Windows平台最新版本檔案下載完成後執行該安裝程式
2-53
網路安全
RaidenFTPD 安裝步驟 (續 )
bull 此步驟使用預設路徑即可按下 Install 進行安裝
2-54
網路安全
RaidenFTPD設定步驟bull 程式開啟畫面如下選擇 Click here to start a new
server 進行 FTP伺服器設定
2-55
網路安全
RaidenFTPD設定步驟 (續 )
bull 此處可設定 Server name與 Server IP 將 Auto IP 取消勾選並將 Server IP設為 10123
2-56
網路安全
RaidenFTPD設定步驟 (續 )
bull 接下來的步驟依照預設值即可
2-57
網路安全
RaidenFTPD設定步驟 (續 )
bull 設定人員帳號與群組按下 Add鈕輸入帳號密碼群組名稱可略過完成後按下 Next 進行下一步驟
2-58
網路安全
RaidenFTPD設定步驟 (續 )
bull 此步驟設定該帳號登入 FTP 時的權限選擇NORMAL 按下 Next 進行下一步驟
2-59
網路安全
RaidenFTPD設定步驟 (續 )
bull 接下來的步驟皆以預設值即可完成設定之後會出現對話視窗顯示您所設定的資訊
2-60
網路安全
FTP 用戶端工具 - Filezilla
bull 版本ndash 328
bull 支援作業平台ndash Windows Linux及Mac
bull 下載位址ndash httpsourceforgenetprojectsfilezillafiles
FileZilla_Client328FileZilla_328_win32zipdownload
2-61
網路安全
Filezilla 安裝步驟bull 執行 Filezilla 安裝程式點選 I agree 鈕
2-62
網路安全
Filezilla 安裝步驟 (續 )
bull 以預設值安裝點選兩次 Next 鈕
2-63
網路安全
Filezilla 安裝步驟 (續 )
bull 以預設值安裝點選 Next 鈕後再點選 Install 鈕
2-64
網路安全
Filezilla 安裝步驟 (續 )
bull 以預設值安裝點選 Next 鈕後再點選 Finish 鈕
2-65
網路安全
封包擷取工具 - Wireshark
bull 版本ndash 165
bull 支援作業平台ndash Windows Linux及 FreeBSD
bull 其他需求ndash 安裝WinPcap 31 以上版本
bull 下載位址ndash httpwiresharkdownloadsriverbedcomwireshark
win32wireshark-win32-165exe
2-66
網路安全
Wireshark 安裝步驟bull 至官方網站下載Windows平台最新版本檔案下載完成後執行該安裝程式
2-67
網路安全
Wireshark 安裝步驟 (續 )
bull 於下一步出現的版權宣告點選 I Agree鈕後繼續下一步驟
2-68
網路安全
Wireshark 安裝步驟 (續 )
bull 此步驟選擇欲安裝的元件以軟體預設勾選之項目安裝
2-69
網路安全
Wireshark 安裝步驟 (續 )
bull 此步驟使用預設路徑即可
2-70
網路安全
Wireshark 安裝步驟 (續 )
bull 此步驟將安裝Windows平台須加裝之套件 -WinPcap 若原系統未安裝過 WinPcap套件請以軟體預設項目安裝之
2-71
網路安全
Wireshark 安裝步驟 (續 )
bull 此步驟代表 Wireshark軟體已安裝完成可點選Finish 鈕或勾選 Run Wireshark 165 隨即使用該套軟體
2-72
網路安全
一般工具列Wireshark軟體介面介紹
2-73
篩選工具列封包清單窗格
封包內容窗格封包位元組窗格
網路安全
Wireshark 使用思考方向bull 遇到網路問題是否觀察網路通道中有異常動作或狀況
ndash 思考方向ndash 反應到擷取數據方法那麼以 Wireshark 擷取使用者需要擷取哪些數據這些數據由使用者電腦哪個裝置來擷取
bull Wireshark操作流程
bull 接下來我們進行軟體操作介紹
解決問題 擷取數據要先做什麼
擷取數據 擷取哪些數據( 過濾條件 )數據哪裡來( 網路介面卡 )
2-74
網路安全
數據哪裡來 - Capture功能bull 一開啟方式
ndash 1 點選快速鈕如紅色圈所示ndash 2 點選 Capture功能表 下拉選單後點選 Optionsndash 3鍵盤快速鍵 Ctrl + K
2-75
網路安全
數據哪裡來 - Capture功能 (續 )
bull 二開啟後顯示 Capture Options 的視窗畫面即可看到所提供的擷取功能選項
2-76
網路安全
數據哪裡來 - Capture功能 (續 )
bull Capture Options 常用的欄位設定ndash Caputure 框
bull 1Interface 會顯示出在系統上所有網路卡但只能選取一個介面作為封包擷取bull 2Capture packets in promiscuous mode 選取此選項就是經過所選取的網路卡的所有封包都會被擷取下來bull 3Capture Filter 指定擷取過濾器運算式擷取想要的特定封包即為擷取中過濾之功能
2-77
網路安全
數據哪裡來 - Capture功能 (續 )
bull Capture Options 常用的欄位設定ndash Display Options 框
bull Update list of packets in real time 指定在擷取封包過程中能夠即時更新已擷取封包清單窗格視窗中的封包資訊若取消則軟體主視窗更新畫面是沒有動作的
2-78
網路安全
bull Capture Options 常用的欄位設定ndash Name Resolution框
bull 1 Enable MAC name resolution 指定是否將網路卡MAC address 的前三個位元組轉換成製造商名稱
bull 2 Enable network name resolution 指定是否將 IP address轉換成 DNS 網域名稱
bull 3 Enable transport name resolution 指定是否將通信埠號碼 (port numbers)轉成協定名稱 (protocols)bull 各位了解數據從哪裡擷取的概念與操作之後即可以進一步加上附帶條件 (篩選條件 ) 等相關操作方式
數據哪裡來 - Capture功能 (續 )
2-79
網路安全
Wireshark操作手法bull 延續遇到問題的思考方向及軟體操作手法我們可以將操作流程分為兩種
ndash 擷取中過濾 (Filter while capturing)bull 優點僅擷取已知範圍資訊網路流量少bull 缺點需先了解問題類型避免可能有遺漏真正欲擷取資訊之狀況
ndash 檢視中過濾 (Filter packets while viewing)bull 優點不用先預設條件擷取所有封包資訊bull 缺點影響網路流量
先預設欲擷取條件 擷取數據
擷取數據 再篩選欲查詢數據2-80
網路安全
Wireshark操作手法 - 擷取中過濾bull 操作步驟
ndash 點選 Capture 下拉視窗選擇 Capture Filters 即呈現此視窗
bull 操作範例ndash 1於 Filter窗格中選擇 IP
Address 10112ndash 2於 Properties窗格中即顯示該選項的設定值如圖所示為 host 10112ndash 3 即可設定軟體僅針對
10112 的封包作擷取動作 延伸操作思考1 改變 Filter string 值得到什麼結果2 點選 Edit 窗格中的 New 鈕 新增自訂條件 2-81
網路安全
Wireshark操作手法 - 檢視中過濾bull 此步驟即以已擷取封包清單窗格為基礎以過濾條件過濾該清單bull 可直接選擇軟體預設項目如以下操作
ndash 操作步驟bull 點選 Analyze 下拉視窗選擇
Display Filters 即呈現此視窗ndash 操作範例
bull 1於 Filter窗格中選擇 IP Address 10112
bull 2於 Properties窗格中即顯示該選項的設定值如圖所示值為host 10112
bull 3 即可設定軟體僅針對 10112的封包作顯示動作 延伸操作思考1 可否進行進一步自訂設定值
2-82
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 若電腦 IP為 10112 欲篩選出 IP 來源為上述 IP 且協定為 TCP 80port 的所有封包ndash 操作步驟
bull 點選 Expression鈕即出現此視窗ndash 1於 Field name框選擇
IP項目中的 ipsrc - Source
ndash 2於 Relation框選擇 ==ndash 3於 Value [IPV4
address]填 入 10112ndash 4 點選 OK鈕 進階思考方式須考慮到例如是來源資訊是目標資訊是什麼協定等更細部所要之條件
2-83
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 再進行第二篩選條件ndash TCP 80 port
bull 操作步驟ndash 1先於 Filter string 輸入文字框「 ipsrc==
10112」後再加上一個空格及「 and 」再進行一次 Expression條件選擇
2-84
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
ndash 2於 Field name框選擇「 tcpdstport」ndash 3於 Relation框選擇「 ==」ndash 4於 Value框填入「 80」ndash 5 選擇「 OK」鈕
2-85
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 注意 Propeties框內的Filter string欄位值已改變為「 ipsrc == 10112 and tcpdstport == 80」
bull 確認條件正確後點選「 OK 」鈕即可發現已擷取封包清單窗格的項目均為所設定過濾條件過濾過結果2-86
網路安全
bull 可單選單一封包進行更進階查詢封包內容bull 操作方式為
ndash 點選其中一項封包項目點選滑鼠右鍵選擇Follow TCP Stream
Wireshark操作手法 - 檢視中過濾 (續 )
2-87
網路安全
ndash 此畫面即可看出該項 TCP 封包溝通內容Wireshark操作手法 - 檢視中過濾 (續 )
2-88
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 此功能將所擷取的封包清單使用多種方式呈現封包統計資料便於使用者查詢擷取時間內何種封包數量多寡及圖型顯示bull 操作步驟點選 Statistics 下拉視窗即呈現此視窗 顯示有關擷取清單的摘要以階梯式通訊協定列表顯示所擷取的所有封包
在特定 IP間顯示通訊流量顯示單一 IP 來往封包的流量
以時間軸顯示視覺化封包流量圖2-89
網路安全
bull 可查看到一時段內其封包總數與平均每秒傳遞接收封包數等相關資訊讓使用者了解平均一時段內網路流量狀況藉以初步獲得資訊
Wireshark操作手法 - 檢視中過濾 (續 )
2-90
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 讓使用者可透過階梯式封包分類表來查看哪一類封包佔為居多可進一步推測是否該類型封包影響到整體網路或是否有異常或不常見封包類型在網路中傳遞
2-91
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 將該擷取時段內封包清單檔以兩個特定 IP 之間對傳封包為區隔顯示出哪兩個特定 IP間傳遞封包數多寡bull 可讓使用者更進一步研判兩個特定 IP所屬設備傳遞狀況是否異常
2-92
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 將該擷取時段內封包清單檔以特定IP 傳遞封包數為區隔顯示出哪特定IP 傳遞封包數多寡
bull 可讓使用者更進一步研判該特定所屬設備傳遞封包數是否異常作為管制緊急管制或禁止通訊之證明2-93
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 以時間軸顯示視覺化封包流量圖bull 讓使用者可觀察所管理設備資訊流通量以了解設備是否能負荷或作相關調整等處置
2-94
網路安全
FTP 擷取密碼案例bull 於Wireshark軟體選擇 Capture 下拉選單功能項點選 Interfaces 選項
2-95
網路安全
FTP 擷取密碼案例 (續 )
bull 確認欲擷取封包之網卡名稱如紅色底線所示確認後點選 Start鈕
2-96
網路安全
FTP 擷取密碼案例 (續 )
bull 切換至 FTP Client 電腦開啟 FileZilla 程式後連線到 FTP Server 於 Host 填入10123 Username填入 tester Password填入testpw 後點選 Quickconnect鈕
2-97
網路安全
FTP 擷取密碼案例 (續 )
bull 擷取到的封包資訊會顯示於已擷取封包清單窗格內
2-98
網路安全
FTP 擷取密碼案例 (續 )
bull 使用 FTP軟體登入 ftp站後 Wireshark 將擷取到的使用者名稱與密碼如紅框所示
2-99
網路安全
FTP 擷取密碼案例 (續 )
bull 點選已擷取封包清單窗格的密碼資訊列如標示1 的紅框所示即可在封包內容窗格看到該密碼的位元碼如標示 2 的紅框所示
1
2
2-100
網路安全
架設實作 (三 )
Outlook Express 擷取密碼案例
2-101
網路安全
實驗環境介紹bull 以 Testbed建立一實驗相關拓樸及設定如下圖
OEClientOSWindows XP SP3IP 10112執行 Outlook Express
MailServerOSWindows XP SP3IP 10122安裝軟體 ArGoSoft Mail Server
2-102
WiresharkOSWindows XP SP3IP1 10113 IP2 10123安裝軟體 Wireshark
IP1IP2
網路安全
實驗拓樸 on TestbedTWISC- 建立完成的實驗拓樸
2-103
網路安全
郵件伺服器工具 - ArGoSoft Mail Server
bull 版本ndash 1892 Freeware
bull 支援作業平台ndash Windows
bull 下載位址ndash httpwwwsoftkingcomtwsoftdownloadaspfid3=7367
2-104
網路安全
郵件客戶端工具 - Outlook Express
bull 版本ndash 60
bull 支援作業平台ndash Windows
bull 下載位址ndash Windows 內建
2-105
網路安全
bull 安裝及設定郵件伺服器ndash 1下載並執行 ArGoSoft Mail Server軟體點選
Setup鈕
Outlook Express 擷取密碼案例
2-106
網路安全
ndash 1 點選 Next鈕ndash 2 點選 Start Installation鈕
Outlook Express 擷取密碼案例 (續 )
2-107
網路安全
ndash 3 點選 OK鈕ndash 4 點選 Finish鈕完成軟體安裝
Outlook Express 擷取密碼案例 (續 )
2-108
網路安全
ndash 5 點選使用者設定鈕如紅圈所示ndash 6 點選新增鈕如紅框所示
Outlook Express 擷取密碼案例 (續 )
2-109
網路安全
ndash 7填入使用者名稱 (tester) 及密碼 (testpw) 如紅圈所示填寫完成後點選 OK鈕ndash 8 點選 Close鈕關閉使用者設定視窗
Outlook Express 擷取密碼案例 (續 )
2-110
網路安全
ndash 9 點選選項鈕如左側圖中紅色圈所示ndash 10 點選紅色打勾鈕如右側圖中紅色圈所示
2-111
Outlook Express 擷取密碼案例 (續 )
網路安全
ndash 11該軟體會自動選取 DNS Server 待選取後點選 Yes鈕ndash 12 勾選 Allow Relay 選項如紅框所示
2-112
Outlook Express 擷取密碼案例 (續 )
網路安全
Outlook Express 擷取密碼案例 (續 )
bull 設定收信帳號ndash 1 點選 Tools功能選單選擇 Accounts 選項
2-113
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 2 點選 Add鈕選擇 Mail 選項
2-114
網路安全
ndash 3填入 tester 點選 Next鈕ndash 4填入 testertestcom 點選 Next鈕
Outlook Express 擷取密碼案例 (續 )
2-115
網路安全
ndash 5填入 10123 如紅框所示點選 Next鈕ndash 6填入帳號為 tester 及密碼為 testpw 點選 Next鈕
Outlook Express 擷取密碼案例 (續 )
2-116
網路安全
ndash 7 點選 Finish鈕ndash 8 點選 Close鈕
Outlook Express 擷取密碼案例 (續 )
2-117
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 模擬條件準備好後首先準備Wireshark 擷取動作開啟Wireshark
2-118
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 於Wireshark軟體選擇 Capture 下拉選單功能項點選 Interfaces 選項
2-119
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 確認欲擷取封包之網卡名稱如紅色底線所示確認後點選 Start鈕
2-120
網路安全
ndash 當使用者收發 email 時即被 Wireshark攔截封包ndash 有發現到該 Outlook Express帳號密碼是如此清晰可見的嗎
Outlook Express 擷取密碼案例 (續 )
2-121
網路安全
結論bull 學習了 Wireshark及WinDump 兩套網路封包擷取軟體基本概念如同電話側錄概念相同從中複製一連串資訊來分析與了解網路的流量及內容為何bull 當你發現網路速度緩慢等狀況你是否會反應到所學的基本概念來找尋問題所在bull 防範概念由此課程的實例可以了解網路內容如被有心人士擷取所造成的損失相當可觀故你是否有對策有哪些方式你可以應用來防範bull 正確的思考善用對的工具將對解決問題事半功倍
2-122
網路安全 2-123
Module 2-5 封包擷取與分析的專案實作()
網路安全
專案目的bull 建立遠端管理傳遞指令資訊環境bull 利用實際攔截封包操作的方式讓同學了解封包擷取運作與網路資訊流通的顧慮等相關議題
2-124
網路安全
專案描述bull 近年來遠端管理伺服器及網路服務普及光是密碼保護就足夠了嗎是否重點網段須全程加密還是作網段隔離經由此專案實作即可了解不僅部分加密仍有其風險所在網路架構如何規劃將是非常重要的課題bull 參考環境配置圖完成下列要求①環境裡的攔截封包主機是 Windows XP SP3 作業系統而該主機安裝Wireshark軟體②另兩台主機的作業系統亦是 Windows XP SP3 並裝上
MySQL軟體 MySQL帳號為 root 密碼為您的學號 (如 Q3896105)
③在MySQLClient 電腦使用 MySQL Commandline 指令連線至MySQLServer 擷取資料庫資訊
④我們針對這兩台主機傳訊的封包擷取由整個實做中思考如何防範資訊外洩與了解傳訊封包如何流動及運作2-125
網路安全
環境配置圖bull 以 Testbed建立一實驗相關拓樸及設定如下圖
MySQLServerOSWINXP-SP3-CH-pc3000 IP 10123安裝軟體 MySQL
MySQLClientOSWINXP-SP3-CH-pc3000 IP 10112安裝軟體 MySQL
2-126
WireSharkOSWINXP-SP3-CH-pc3000 IP1 10113IP2 10122安裝軟體 Wireshark
IP1IP2
網路安全
作業繳交bull 請參考情境測試發送數個 SQL 指令並將過程與擷取到的封包資訊之截圖列於報告中所有圖表皆需要輔以文字說明bull Deadline 2012312 下午 500 以前bull 作業範圍 Module 2-5 (page 2-128)bull 方式 (參考課程網址 )
ndash 帳號密碼小寫的 (ns100ns100)ndash IP 140116164167
2-127
網路安全
有問題嗎
bull 關於 TestBed 使用上的問題請直接 Email至 twisc-testbed-usergooglegroupscom 將有專人為您服務bull 課程網址
httpitlabeenckuedutwcoursesNS_100indexhtml
2-128
bull 助教資訊 (參考課程網址 )
網路安全
參考資料bull Dienet httplinuxdienetman1wiresharkbull Orebaugh Angela Ramirez Gilbert Burke Josh Pesce Larry Wright
Joshua(2007) Wireshark and Ethereal network protocol analyzer toolkitbull Tony Fortunato(2007) Wireshark Training Retrieved July 22 2009 from
the World Wide Web httpwwwthetechfirmcometherealwiresharkpdfbull WinDump httpwwwwinpcaporgWinDumpbull Wireshark httpwwwwiresharkorgbull Wireshark University httpwwwwiresharktrainingcombull 楊中皇 (民 97年 ) 網路安全理論與實務 (2版 ) 台北市學貫bull 蘇淑茵教授 Wireshark 民國 98年 6月 28日取自 httpmywebnckuedutw~sisou
2-129
網路安全
網路存取函式庫 - WinPcap
bull WinPcap 是著名 Unix libpcap的Windows版本API
bull Pcap 是用來擷取封包的應用程式介面 (Application Programming Interface API)
bull 免費直接網路存取函式庫bull 許多網路應用軟體運行均須安裝此套函式庫如WiresharkWinDump Nmap及 Snort
2-29
網路安全
WinDump與Winpcab 示意圖bull 透過 WinDump及Winpcap 工具擷取並分析封包後再將資料蒐集至電腦設備中
2-30
乙太網路Ethernet
網路工具
Windump分析封包結構
Winpcap擷取並過濾封包
封包資訊
網路安全 2-31
Module 2-4 封包擷取的實務 ()
網路安全 2-32
Linux kernel packet processing
網路安全 2-33
網路安全
說明bull 架設實作 (一 ) 請將介紹如何安裝與使用
WinDump 依實驗拓樸請使用 WireDump 主機做安裝及測試bull 架設實作 (二 ) 請利用 Wireshark軟體對 FTP 進行封包擷取依實驗拓樸請使用 Wireshark 主機做安裝及測試bull 架設實作 (三 ) 請利用 Wireshark軟體對
Outlook Express進行封包擷取依實驗拓樸請使用 Wireshark 主機做安裝及測試2-34
網路安全
架設實作 (一 )
WinDump 實作 -SSH連線觀察
2-35
網路安全
封包擷取工具 - WinDump
bull 版本ndash 395
bull 支援作業平台ndash Windows 9598NT2000XP2003
bull 其他需求ndash 安裝WinPcap 31 以上版本
bull 下載位址ndash httpwwwwinpcaporgwindumpinstallbin
windump_3_9_5WinDumpexe
2-36
網路安全
其他需求工具 - WinPcap
bull 版本ndash 402 stable
bull 支援作業平台ndash Windows NT42000
Windows XP2003Vista (x86 and x64)Windows Server 2008 (x86 and x64)
bull 下載位址ndash httpwwwwinpcaporginstallbin
WinPcap_4_0_2exe
2-37
網路安全
WinPcap 安裝步驟bull WinPcap 下載完成後即可進行安裝bull 安裝畫面如下點選 Next按鈕繼續下一步
2-38
網路安全
WinDump與WinPcap測試bull 請將下載的 WinDumpexe 檔案存放至 C
Windowssystem32 的目錄之下bull 測試WinDump及WinPcap 是否可運作
ndash 點選開始 -gt 程式集 -gt附屬應用程式 -gt命令提示字元 -gt 輸入「 windump 」按下 Enter 即會出現「 windump listening on DeviceNPF_GenericDialupAdapter」的訊息代表WinDump及WinPcap 安裝成功且可運作
ndash 停止監聽按「 Ctrl + C」將顯示擷取封包的數量
2-39
網路安全
參數 說明-c 指定收到的封包數目當達到該數目時 Tcpdump 即會停止-d 把編譯過的封包編碼轉碼成可閱讀的格式放置於標準輸出-dd 把編譯過的封包編碼轉碼成 C 語言的格式放置於標準輸出-ddd 把編譯過的封包編碼轉碼成十進位的格式放置於標準輸出-F 從所指定的文件中讀取運算式進而忽略其他運算式-f 用數字顯示 IP 位址 -i 指定擷取封包的網路介面 -w 將擷取的封包直接寫入檔案當中不做分析與顯示於畫面
參數 說明-r 從指定的檔案文件中讀取資料該檔案文件由 -w 所製造出來-v 顯示詳細的封包資訊多了 TTL 及服務類型-s 設定每一個封包的大小-S 用絕對數並非相對數的值列出 TCP 連接數-tt 顯示出原始時間並且為不格式化的時間-n 不進行 IP Address 到 Domain
Name 的轉換-nn 不進行 Port 的轉換如 22 就是
ssh
-x 用十六進位字碼列出封包資料
WinDump相關參數列表
2-40
網路安全
WinDump 簡易使用操作說明bull 語法 windump 參數bull 查看目前系統可使用的網卡介面
ndash windump -Dbull 透過查看網卡介面以利後續監聽之用
2-41
網路安全
WinDump 簡易使用操作說明 (續 )
bull WinDump -i 網卡介面代號 -c 擷取封包數量 port 通訊埠
bull 例 WinDump -i 2 -c 10 port 80
2-42
網路安全
WinDump 簡易使用操作說明 (續 )
bull 因於命令提示字元視窗內所顯示的資訊不易閱讀可透過下列指令將其所擷取的資訊導向至檔案bull Windump -i 網卡介面代號 gt 檔名
ndash windump -i 2 -c 10 -w message port 80ndash windump -r message gt messagetxtndash windump -i 2 -c 10 port 80 gt messagetxt
2-43
網路安全
WinDump 簡易使用操作說明 (續 )
112338326205 此為封包被擷取的時間『 HHMMSSfraction』的單位IP 透過的通訊協定是 IPwinser 1099 gt w1wwwviptw1yahoocomtw80 代表的是傳送端是 winser 傳送的通訊埠為 1099 大於 (gt) 的符號指的是封包的傳輸方向 w1wwwviptw1yahoocomtw 為接收端 80 為接收埠
P(PUSH) 為資料傳輸標誌且傳輸的資料為整體資料的 1~ 699 byte 所以這個封包帶有 698 bytes 的資料量 ack 1 win 65535 ACK與Window size 的相關資料2-44
網路安全
bull 以 Testbed建立一實驗相關拓樸及設定如下圖SSHClientOSWINXP-SP3-CH-pc3000 IP 10113安裝軟體 putty
SSHServerOSWINXP-SP3-CH-pc3000IP 10123安裝軟體 sshd
實驗環境介紹
2-45
IP1
IP2
WireDumpOSWINXP-SP3-CH-pc3000IP1 10112IP2 10122安裝軟體 WinDump
網路安全
實驗拓樸 on TestbedTWISC- 建立完成的實驗拓樸
2-46
網路安全
SSH連線觀察bull 利用 Putty連線到 SSHServer從中觀察到三向交握建立連線的動作從 SSHClient 端利用 putty連線到SSHServer(10123)的 sshd服務
2-47
網路安全
SSH連線觀察 (續 )
bull SSH 在連線之前會利用三向交握的方式建立連線bull 利用 WinDump觀察 SSH連線動作
ndash 指令 WinDumpexe -N -S -i 4 port 22
三向交握的三個封包三向交握示意圖Server lt- Client SYN 你想連線Server -gt Client SYN ACK 可以我接受Server lt- Client ACK 謝謝
2-48
網路安全
架設實作 (二 )
FTP 擷取密碼案例
2-49
網路安全
FTPClientOSWINXP-SP3-pc3000IP 10112安裝軟體 FileZilla
FTPServerOSWINXP-SP3-pc3000IP 10123安裝軟體 RaidenFTPD
實驗環境介紹bull 以 Testbed建立一實驗相關拓樸及設定如下圖
2-50
IP1IP2
WireSharkOSWINXP-SP3-pc3000IP1 10113IP2 10122安裝軟體 Wireshark
網路安全
實驗拓樸 on TestbedTWISC- 建立完成的實驗拓樸
2-51
網路安全
FTP伺服器工具 - RaidenFTPD
bull 版本ndash 24 build 3720
bull 支援作業平台ndash Windows
bull 下載位址ndash httpwwwraidenmaildcomdownloadraidenftpd2exe
2-52
網路安全
RaidenFTPD 安裝步驟bull 下載Windows平台最新版本檔案下載完成後執行該安裝程式
2-53
網路安全
RaidenFTPD 安裝步驟 (續 )
bull 此步驟使用預設路徑即可按下 Install 進行安裝
2-54
網路安全
RaidenFTPD設定步驟bull 程式開啟畫面如下選擇 Click here to start a new
server 進行 FTP伺服器設定
2-55
網路安全
RaidenFTPD設定步驟 (續 )
bull 此處可設定 Server name與 Server IP 將 Auto IP 取消勾選並將 Server IP設為 10123
2-56
網路安全
RaidenFTPD設定步驟 (續 )
bull 接下來的步驟依照預設值即可
2-57
網路安全
RaidenFTPD設定步驟 (續 )
bull 設定人員帳號與群組按下 Add鈕輸入帳號密碼群組名稱可略過完成後按下 Next 進行下一步驟
2-58
網路安全
RaidenFTPD設定步驟 (續 )
bull 此步驟設定該帳號登入 FTP 時的權限選擇NORMAL 按下 Next 進行下一步驟
2-59
網路安全
RaidenFTPD設定步驟 (續 )
bull 接下來的步驟皆以預設值即可完成設定之後會出現對話視窗顯示您所設定的資訊
2-60
網路安全
FTP 用戶端工具 - Filezilla
bull 版本ndash 328
bull 支援作業平台ndash Windows Linux及Mac
bull 下載位址ndash httpsourceforgenetprojectsfilezillafiles
FileZilla_Client328FileZilla_328_win32zipdownload
2-61
網路安全
Filezilla 安裝步驟bull 執行 Filezilla 安裝程式點選 I agree 鈕
2-62
網路安全
Filezilla 安裝步驟 (續 )
bull 以預設值安裝點選兩次 Next 鈕
2-63
網路安全
Filezilla 安裝步驟 (續 )
bull 以預設值安裝點選 Next 鈕後再點選 Install 鈕
2-64
網路安全
Filezilla 安裝步驟 (續 )
bull 以預設值安裝點選 Next 鈕後再點選 Finish 鈕
2-65
網路安全
封包擷取工具 - Wireshark
bull 版本ndash 165
bull 支援作業平台ndash Windows Linux及 FreeBSD
bull 其他需求ndash 安裝WinPcap 31 以上版本
bull 下載位址ndash httpwiresharkdownloadsriverbedcomwireshark
win32wireshark-win32-165exe
2-66
網路安全
Wireshark 安裝步驟bull 至官方網站下載Windows平台最新版本檔案下載完成後執行該安裝程式
2-67
網路安全
Wireshark 安裝步驟 (續 )
bull 於下一步出現的版權宣告點選 I Agree鈕後繼續下一步驟
2-68
網路安全
Wireshark 安裝步驟 (續 )
bull 此步驟選擇欲安裝的元件以軟體預設勾選之項目安裝
2-69
網路安全
Wireshark 安裝步驟 (續 )
bull 此步驟使用預設路徑即可
2-70
網路安全
Wireshark 安裝步驟 (續 )
bull 此步驟將安裝Windows平台須加裝之套件 -WinPcap 若原系統未安裝過 WinPcap套件請以軟體預設項目安裝之
2-71
網路安全
Wireshark 安裝步驟 (續 )
bull 此步驟代表 Wireshark軟體已安裝完成可點選Finish 鈕或勾選 Run Wireshark 165 隨即使用該套軟體
2-72
網路安全
一般工具列Wireshark軟體介面介紹
2-73
篩選工具列封包清單窗格
封包內容窗格封包位元組窗格
網路安全
Wireshark 使用思考方向bull 遇到網路問題是否觀察網路通道中有異常動作或狀況
ndash 思考方向ndash 反應到擷取數據方法那麼以 Wireshark 擷取使用者需要擷取哪些數據這些數據由使用者電腦哪個裝置來擷取
bull Wireshark操作流程
bull 接下來我們進行軟體操作介紹
解決問題 擷取數據要先做什麼
擷取數據 擷取哪些數據( 過濾條件 )數據哪裡來( 網路介面卡 )
2-74
網路安全
數據哪裡來 - Capture功能bull 一開啟方式
ndash 1 點選快速鈕如紅色圈所示ndash 2 點選 Capture功能表 下拉選單後點選 Optionsndash 3鍵盤快速鍵 Ctrl + K
2-75
網路安全
數據哪裡來 - Capture功能 (續 )
bull 二開啟後顯示 Capture Options 的視窗畫面即可看到所提供的擷取功能選項
2-76
網路安全
數據哪裡來 - Capture功能 (續 )
bull Capture Options 常用的欄位設定ndash Caputure 框
bull 1Interface 會顯示出在系統上所有網路卡但只能選取一個介面作為封包擷取bull 2Capture packets in promiscuous mode 選取此選項就是經過所選取的網路卡的所有封包都會被擷取下來bull 3Capture Filter 指定擷取過濾器運算式擷取想要的特定封包即為擷取中過濾之功能
2-77
網路安全
數據哪裡來 - Capture功能 (續 )
bull Capture Options 常用的欄位設定ndash Display Options 框
bull Update list of packets in real time 指定在擷取封包過程中能夠即時更新已擷取封包清單窗格視窗中的封包資訊若取消則軟體主視窗更新畫面是沒有動作的
2-78
網路安全
bull Capture Options 常用的欄位設定ndash Name Resolution框
bull 1 Enable MAC name resolution 指定是否將網路卡MAC address 的前三個位元組轉換成製造商名稱
bull 2 Enable network name resolution 指定是否將 IP address轉換成 DNS 網域名稱
bull 3 Enable transport name resolution 指定是否將通信埠號碼 (port numbers)轉成協定名稱 (protocols)bull 各位了解數據從哪裡擷取的概念與操作之後即可以進一步加上附帶條件 (篩選條件 ) 等相關操作方式
數據哪裡來 - Capture功能 (續 )
2-79
網路安全
Wireshark操作手法bull 延續遇到問題的思考方向及軟體操作手法我們可以將操作流程分為兩種
ndash 擷取中過濾 (Filter while capturing)bull 優點僅擷取已知範圍資訊網路流量少bull 缺點需先了解問題類型避免可能有遺漏真正欲擷取資訊之狀況
ndash 檢視中過濾 (Filter packets while viewing)bull 優點不用先預設條件擷取所有封包資訊bull 缺點影響網路流量
先預設欲擷取條件 擷取數據
擷取數據 再篩選欲查詢數據2-80
網路安全
Wireshark操作手法 - 擷取中過濾bull 操作步驟
ndash 點選 Capture 下拉視窗選擇 Capture Filters 即呈現此視窗
bull 操作範例ndash 1於 Filter窗格中選擇 IP
Address 10112ndash 2於 Properties窗格中即顯示該選項的設定值如圖所示為 host 10112ndash 3 即可設定軟體僅針對
10112 的封包作擷取動作 延伸操作思考1 改變 Filter string 值得到什麼結果2 點選 Edit 窗格中的 New 鈕 新增自訂條件 2-81
網路安全
Wireshark操作手法 - 檢視中過濾bull 此步驟即以已擷取封包清單窗格為基礎以過濾條件過濾該清單bull 可直接選擇軟體預設項目如以下操作
ndash 操作步驟bull 點選 Analyze 下拉視窗選擇
Display Filters 即呈現此視窗ndash 操作範例
bull 1於 Filter窗格中選擇 IP Address 10112
bull 2於 Properties窗格中即顯示該選項的設定值如圖所示值為host 10112
bull 3 即可設定軟體僅針對 10112的封包作顯示動作 延伸操作思考1 可否進行進一步自訂設定值
2-82
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 若電腦 IP為 10112 欲篩選出 IP 來源為上述 IP 且協定為 TCP 80port 的所有封包ndash 操作步驟
bull 點選 Expression鈕即出現此視窗ndash 1於 Field name框選擇
IP項目中的 ipsrc - Source
ndash 2於 Relation框選擇 ==ndash 3於 Value [IPV4
address]填 入 10112ndash 4 點選 OK鈕 進階思考方式須考慮到例如是來源資訊是目標資訊是什麼協定等更細部所要之條件
2-83
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 再進行第二篩選條件ndash TCP 80 port
bull 操作步驟ndash 1先於 Filter string 輸入文字框「 ipsrc==
10112」後再加上一個空格及「 and 」再進行一次 Expression條件選擇
2-84
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
ndash 2於 Field name框選擇「 tcpdstport」ndash 3於 Relation框選擇「 ==」ndash 4於 Value框填入「 80」ndash 5 選擇「 OK」鈕
2-85
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 注意 Propeties框內的Filter string欄位值已改變為「 ipsrc == 10112 and tcpdstport == 80」
bull 確認條件正確後點選「 OK 」鈕即可發現已擷取封包清單窗格的項目均為所設定過濾條件過濾過結果2-86
網路安全
bull 可單選單一封包進行更進階查詢封包內容bull 操作方式為
ndash 點選其中一項封包項目點選滑鼠右鍵選擇Follow TCP Stream
Wireshark操作手法 - 檢視中過濾 (續 )
2-87
網路安全
ndash 此畫面即可看出該項 TCP 封包溝通內容Wireshark操作手法 - 檢視中過濾 (續 )
2-88
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 此功能將所擷取的封包清單使用多種方式呈現封包統計資料便於使用者查詢擷取時間內何種封包數量多寡及圖型顯示bull 操作步驟點選 Statistics 下拉視窗即呈現此視窗 顯示有關擷取清單的摘要以階梯式通訊協定列表顯示所擷取的所有封包
在特定 IP間顯示通訊流量顯示單一 IP 來往封包的流量
以時間軸顯示視覺化封包流量圖2-89
網路安全
bull 可查看到一時段內其封包總數與平均每秒傳遞接收封包數等相關資訊讓使用者了解平均一時段內網路流量狀況藉以初步獲得資訊
Wireshark操作手法 - 檢視中過濾 (續 )
2-90
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 讓使用者可透過階梯式封包分類表來查看哪一類封包佔為居多可進一步推測是否該類型封包影響到整體網路或是否有異常或不常見封包類型在網路中傳遞
2-91
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 將該擷取時段內封包清單檔以兩個特定 IP 之間對傳封包為區隔顯示出哪兩個特定 IP間傳遞封包數多寡bull 可讓使用者更進一步研判兩個特定 IP所屬設備傳遞狀況是否異常
2-92
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 將該擷取時段內封包清單檔以特定IP 傳遞封包數為區隔顯示出哪特定IP 傳遞封包數多寡
bull 可讓使用者更進一步研判該特定所屬設備傳遞封包數是否異常作為管制緊急管制或禁止通訊之證明2-93
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 以時間軸顯示視覺化封包流量圖bull 讓使用者可觀察所管理設備資訊流通量以了解設備是否能負荷或作相關調整等處置
2-94
網路安全
FTP 擷取密碼案例bull 於Wireshark軟體選擇 Capture 下拉選單功能項點選 Interfaces 選項
2-95
網路安全
FTP 擷取密碼案例 (續 )
bull 確認欲擷取封包之網卡名稱如紅色底線所示確認後點選 Start鈕
2-96
網路安全
FTP 擷取密碼案例 (續 )
bull 切換至 FTP Client 電腦開啟 FileZilla 程式後連線到 FTP Server 於 Host 填入10123 Username填入 tester Password填入testpw 後點選 Quickconnect鈕
2-97
網路安全
FTP 擷取密碼案例 (續 )
bull 擷取到的封包資訊會顯示於已擷取封包清單窗格內
2-98
網路安全
FTP 擷取密碼案例 (續 )
bull 使用 FTP軟體登入 ftp站後 Wireshark 將擷取到的使用者名稱與密碼如紅框所示
2-99
網路安全
FTP 擷取密碼案例 (續 )
bull 點選已擷取封包清單窗格的密碼資訊列如標示1 的紅框所示即可在封包內容窗格看到該密碼的位元碼如標示 2 的紅框所示
1
2
2-100
網路安全
架設實作 (三 )
Outlook Express 擷取密碼案例
2-101
網路安全
實驗環境介紹bull 以 Testbed建立一實驗相關拓樸及設定如下圖
OEClientOSWindows XP SP3IP 10112執行 Outlook Express
MailServerOSWindows XP SP3IP 10122安裝軟體 ArGoSoft Mail Server
2-102
WiresharkOSWindows XP SP3IP1 10113 IP2 10123安裝軟體 Wireshark
IP1IP2
網路安全
實驗拓樸 on TestbedTWISC- 建立完成的實驗拓樸
2-103
網路安全
郵件伺服器工具 - ArGoSoft Mail Server
bull 版本ndash 1892 Freeware
bull 支援作業平台ndash Windows
bull 下載位址ndash httpwwwsoftkingcomtwsoftdownloadaspfid3=7367
2-104
網路安全
郵件客戶端工具 - Outlook Express
bull 版本ndash 60
bull 支援作業平台ndash Windows
bull 下載位址ndash Windows 內建
2-105
網路安全
bull 安裝及設定郵件伺服器ndash 1下載並執行 ArGoSoft Mail Server軟體點選
Setup鈕
Outlook Express 擷取密碼案例
2-106
網路安全
ndash 1 點選 Next鈕ndash 2 點選 Start Installation鈕
Outlook Express 擷取密碼案例 (續 )
2-107
網路安全
ndash 3 點選 OK鈕ndash 4 點選 Finish鈕完成軟體安裝
Outlook Express 擷取密碼案例 (續 )
2-108
網路安全
ndash 5 點選使用者設定鈕如紅圈所示ndash 6 點選新增鈕如紅框所示
Outlook Express 擷取密碼案例 (續 )
2-109
網路安全
ndash 7填入使用者名稱 (tester) 及密碼 (testpw) 如紅圈所示填寫完成後點選 OK鈕ndash 8 點選 Close鈕關閉使用者設定視窗
Outlook Express 擷取密碼案例 (續 )
2-110
網路安全
ndash 9 點選選項鈕如左側圖中紅色圈所示ndash 10 點選紅色打勾鈕如右側圖中紅色圈所示
2-111
Outlook Express 擷取密碼案例 (續 )
網路安全
ndash 11該軟體會自動選取 DNS Server 待選取後點選 Yes鈕ndash 12 勾選 Allow Relay 選項如紅框所示
2-112
Outlook Express 擷取密碼案例 (續 )
網路安全
Outlook Express 擷取密碼案例 (續 )
bull 設定收信帳號ndash 1 點選 Tools功能選單選擇 Accounts 選項
2-113
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 2 點選 Add鈕選擇 Mail 選項
2-114
網路安全
ndash 3填入 tester 點選 Next鈕ndash 4填入 testertestcom 點選 Next鈕
Outlook Express 擷取密碼案例 (續 )
2-115
網路安全
ndash 5填入 10123 如紅框所示點選 Next鈕ndash 6填入帳號為 tester 及密碼為 testpw 點選 Next鈕
Outlook Express 擷取密碼案例 (續 )
2-116
網路安全
ndash 7 點選 Finish鈕ndash 8 點選 Close鈕
Outlook Express 擷取密碼案例 (續 )
2-117
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 模擬條件準備好後首先準備Wireshark 擷取動作開啟Wireshark
2-118
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 於Wireshark軟體選擇 Capture 下拉選單功能項點選 Interfaces 選項
2-119
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 確認欲擷取封包之網卡名稱如紅色底線所示確認後點選 Start鈕
2-120
網路安全
ndash 當使用者收發 email 時即被 Wireshark攔截封包ndash 有發現到該 Outlook Express帳號密碼是如此清晰可見的嗎
Outlook Express 擷取密碼案例 (續 )
2-121
網路安全
結論bull 學習了 Wireshark及WinDump 兩套網路封包擷取軟體基本概念如同電話側錄概念相同從中複製一連串資訊來分析與了解網路的流量及內容為何bull 當你發現網路速度緩慢等狀況你是否會反應到所學的基本概念來找尋問題所在bull 防範概念由此課程的實例可以了解網路內容如被有心人士擷取所造成的損失相當可觀故你是否有對策有哪些方式你可以應用來防範bull 正確的思考善用對的工具將對解決問題事半功倍
2-122
網路安全 2-123
Module 2-5 封包擷取與分析的專案實作()
網路安全
專案目的bull 建立遠端管理傳遞指令資訊環境bull 利用實際攔截封包操作的方式讓同學了解封包擷取運作與網路資訊流通的顧慮等相關議題
2-124
網路安全
專案描述bull 近年來遠端管理伺服器及網路服務普及光是密碼保護就足夠了嗎是否重點網段須全程加密還是作網段隔離經由此專案實作即可了解不僅部分加密仍有其風險所在網路架構如何規劃將是非常重要的課題bull 參考環境配置圖完成下列要求①環境裡的攔截封包主機是 Windows XP SP3 作業系統而該主機安裝Wireshark軟體②另兩台主機的作業系統亦是 Windows XP SP3 並裝上
MySQL軟體 MySQL帳號為 root 密碼為您的學號 (如 Q3896105)
③在MySQLClient 電腦使用 MySQL Commandline 指令連線至MySQLServer 擷取資料庫資訊
④我們針對這兩台主機傳訊的封包擷取由整個實做中思考如何防範資訊外洩與了解傳訊封包如何流動及運作2-125
網路安全
環境配置圖bull 以 Testbed建立一實驗相關拓樸及設定如下圖
MySQLServerOSWINXP-SP3-CH-pc3000 IP 10123安裝軟體 MySQL
MySQLClientOSWINXP-SP3-CH-pc3000 IP 10112安裝軟體 MySQL
2-126
WireSharkOSWINXP-SP3-CH-pc3000 IP1 10113IP2 10122安裝軟體 Wireshark
IP1IP2
網路安全
作業繳交bull 請參考情境測試發送數個 SQL 指令並將過程與擷取到的封包資訊之截圖列於報告中所有圖表皆需要輔以文字說明bull Deadline 2012312 下午 500 以前bull 作業範圍 Module 2-5 (page 2-128)bull 方式 (參考課程網址 )
ndash 帳號密碼小寫的 (ns100ns100)ndash IP 140116164167
2-127
網路安全
有問題嗎
bull 關於 TestBed 使用上的問題請直接 Email至 twisc-testbed-usergooglegroupscom 將有專人為您服務bull 課程網址
httpitlabeenckuedutwcoursesNS_100indexhtml
2-128
bull 助教資訊 (參考課程網址 )
網路安全
參考資料bull Dienet httplinuxdienetman1wiresharkbull Orebaugh Angela Ramirez Gilbert Burke Josh Pesce Larry Wright
Joshua(2007) Wireshark and Ethereal network protocol analyzer toolkitbull Tony Fortunato(2007) Wireshark Training Retrieved July 22 2009 from
the World Wide Web httpwwwthetechfirmcometherealwiresharkpdfbull WinDump httpwwwwinpcaporgWinDumpbull Wireshark httpwwwwiresharkorgbull Wireshark University httpwwwwiresharktrainingcombull 楊中皇 (民 97年 ) 網路安全理論與實務 (2版 ) 台北市學貫bull 蘇淑茵教授 Wireshark 民國 98年 6月 28日取自 httpmywebnckuedutw~sisou
2-129
網路安全
WinDump與Winpcab 示意圖bull 透過 WinDump及Winpcap 工具擷取並分析封包後再將資料蒐集至電腦設備中
2-30
乙太網路Ethernet
網路工具
Windump分析封包結構
Winpcap擷取並過濾封包
封包資訊
網路安全 2-31
Module 2-4 封包擷取的實務 ()
網路安全 2-32
Linux kernel packet processing
網路安全 2-33
網路安全
說明bull 架設實作 (一 ) 請將介紹如何安裝與使用
WinDump 依實驗拓樸請使用 WireDump 主機做安裝及測試bull 架設實作 (二 ) 請利用 Wireshark軟體對 FTP 進行封包擷取依實驗拓樸請使用 Wireshark 主機做安裝及測試bull 架設實作 (三 ) 請利用 Wireshark軟體對
Outlook Express進行封包擷取依實驗拓樸請使用 Wireshark 主機做安裝及測試2-34
網路安全
架設實作 (一 )
WinDump 實作 -SSH連線觀察
2-35
網路安全
封包擷取工具 - WinDump
bull 版本ndash 395
bull 支援作業平台ndash Windows 9598NT2000XP2003
bull 其他需求ndash 安裝WinPcap 31 以上版本
bull 下載位址ndash httpwwwwinpcaporgwindumpinstallbin
windump_3_9_5WinDumpexe
2-36
網路安全
其他需求工具 - WinPcap
bull 版本ndash 402 stable
bull 支援作業平台ndash Windows NT42000
Windows XP2003Vista (x86 and x64)Windows Server 2008 (x86 and x64)
bull 下載位址ndash httpwwwwinpcaporginstallbin
WinPcap_4_0_2exe
2-37
網路安全
WinPcap 安裝步驟bull WinPcap 下載完成後即可進行安裝bull 安裝畫面如下點選 Next按鈕繼續下一步
2-38
網路安全
WinDump與WinPcap測試bull 請將下載的 WinDumpexe 檔案存放至 C
Windowssystem32 的目錄之下bull 測試WinDump及WinPcap 是否可運作
ndash 點選開始 -gt 程式集 -gt附屬應用程式 -gt命令提示字元 -gt 輸入「 windump 」按下 Enter 即會出現「 windump listening on DeviceNPF_GenericDialupAdapter」的訊息代表WinDump及WinPcap 安裝成功且可運作
ndash 停止監聽按「 Ctrl + C」將顯示擷取封包的數量
2-39
網路安全
參數 說明-c 指定收到的封包數目當達到該數目時 Tcpdump 即會停止-d 把編譯過的封包編碼轉碼成可閱讀的格式放置於標準輸出-dd 把編譯過的封包編碼轉碼成 C 語言的格式放置於標準輸出-ddd 把編譯過的封包編碼轉碼成十進位的格式放置於標準輸出-F 從所指定的文件中讀取運算式進而忽略其他運算式-f 用數字顯示 IP 位址 -i 指定擷取封包的網路介面 -w 將擷取的封包直接寫入檔案當中不做分析與顯示於畫面
參數 說明-r 從指定的檔案文件中讀取資料該檔案文件由 -w 所製造出來-v 顯示詳細的封包資訊多了 TTL 及服務類型-s 設定每一個封包的大小-S 用絕對數並非相對數的值列出 TCP 連接數-tt 顯示出原始時間並且為不格式化的時間-n 不進行 IP Address 到 Domain
Name 的轉換-nn 不進行 Port 的轉換如 22 就是
ssh
-x 用十六進位字碼列出封包資料
WinDump相關參數列表
2-40
網路安全
WinDump 簡易使用操作說明bull 語法 windump 參數bull 查看目前系統可使用的網卡介面
ndash windump -Dbull 透過查看網卡介面以利後續監聽之用
2-41
網路安全
WinDump 簡易使用操作說明 (續 )
bull WinDump -i 網卡介面代號 -c 擷取封包數量 port 通訊埠
bull 例 WinDump -i 2 -c 10 port 80
2-42
網路安全
WinDump 簡易使用操作說明 (續 )
bull 因於命令提示字元視窗內所顯示的資訊不易閱讀可透過下列指令將其所擷取的資訊導向至檔案bull Windump -i 網卡介面代號 gt 檔名
ndash windump -i 2 -c 10 -w message port 80ndash windump -r message gt messagetxtndash windump -i 2 -c 10 port 80 gt messagetxt
2-43
網路安全
WinDump 簡易使用操作說明 (續 )
112338326205 此為封包被擷取的時間『 HHMMSSfraction』的單位IP 透過的通訊協定是 IPwinser 1099 gt w1wwwviptw1yahoocomtw80 代表的是傳送端是 winser 傳送的通訊埠為 1099 大於 (gt) 的符號指的是封包的傳輸方向 w1wwwviptw1yahoocomtw 為接收端 80 為接收埠
P(PUSH) 為資料傳輸標誌且傳輸的資料為整體資料的 1~ 699 byte 所以這個封包帶有 698 bytes 的資料量 ack 1 win 65535 ACK與Window size 的相關資料2-44
網路安全
bull 以 Testbed建立一實驗相關拓樸及設定如下圖SSHClientOSWINXP-SP3-CH-pc3000 IP 10113安裝軟體 putty
SSHServerOSWINXP-SP3-CH-pc3000IP 10123安裝軟體 sshd
實驗環境介紹
2-45
IP1
IP2
WireDumpOSWINXP-SP3-CH-pc3000IP1 10112IP2 10122安裝軟體 WinDump
網路安全
實驗拓樸 on TestbedTWISC- 建立完成的實驗拓樸
2-46
網路安全
SSH連線觀察bull 利用 Putty連線到 SSHServer從中觀察到三向交握建立連線的動作從 SSHClient 端利用 putty連線到SSHServer(10123)的 sshd服務
2-47
網路安全
SSH連線觀察 (續 )
bull SSH 在連線之前會利用三向交握的方式建立連線bull 利用 WinDump觀察 SSH連線動作
ndash 指令 WinDumpexe -N -S -i 4 port 22
三向交握的三個封包三向交握示意圖Server lt- Client SYN 你想連線Server -gt Client SYN ACK 可以我接受Server lt- Client ACK 謝謝
2-48
網路安全
架設實作 (二 )
FTP 擷取密碼案例
2-49
網路安全
FTPClientOSWINXP-SP3-pc3000IP 10112安裝軟體 FileZilla
FTPServerOSWINXP-SP3-pc3000IP 10123安裝軟體 RaidenFTPD
實驗環境介紹bull 以 Testbed建立一實驗相關拓樸及設定如下圖
2-50
IP1IP2
WireSharkOSWINXP-SP3-pc3000IP1 10113IP2 10122安裝軟體 Wireshark
網路安全
實驗拓樸 on TestbedTWISC- 建立完成的實驗拓樸
2-51
網路安全
FTP伺服器工具 - RaidenFTPD
bull 版本ndash 24 build 3720
bull 支援作業平台ndash Windows
bull 下載位址ndash httpwwwraidenmaildcomdownloadraidenftpd2exe
2-52
網路安全
RaidenFTPD 安裝步驟bull 下載Windows平台最新版本檔案下載完成後執行該安裝程式
2-53
網路安全
RaidenFTPD 安裝步驟 (續 )
bull 此步驟使用預設路徑即可按下 Install 進行安裝
2-54
網路安全
RaidenFTPD設定步驟bull 程式開啟畫面如下選擇 Click here to start a new
server 進行 FTP伺服器設定
2-55
網路安全
RaidenFTPD設定步驟 (續 )
bull 此處可設定 Server name與 Server IP 將 Auto IP 取消勾選並將 Server IP設為 10123
2-56
網路安全
RaidenFTPD設定步驟 (續 )
bull 接下來的步驟依照預設值即可
2-57
網路安全
RaidenFTPD設定步驟 (續 )
bull 設定人員帳號與群組按下 Add鈕輸入帳號密碼群組名稱可略過完成後按下 Next 進行下一步驟
2-58
網路安全
RaidenFTPD設定步驟 (續 )
bull 此步驟設定該帳號登入 FTP 時的權限選擇NORMAL 按下 Next 進行下一步驟
2-59
網路安全
RaidenFTPD設定步驟 (續 )
bull 接下來的步驟皆以預設值即可完成設定之後會出現對話視窗顯示您所設定的資訊
2-60
網路安全
FTP 用戶端工具 - Filezilla
bull 版本ndash 328
bull 支援作業平台ndash Windows Linux及Mac
bull 下載位址ndash httpsourceforgenetprojectsfilezillafiles
FileZilla_Client328FileZilla_328_win32zipdownload
2-61
網路安全
Filezilla 安裝步驟bull 執行 Filezilla 安裝程式點選 I agree 鈕
2-62
網路安全
Filezilla 安裝步驟 (續 )
bull 以預設值安裝點選兩次 Next 鈕
2-63
網路安全
Filezilla 安裝步驟 (續 )
bull 以預設值安裝點選 Next 鈕後再點選 Install 鈕
2-64
網路安全
Filezilla 安裝步驟 (續 )
bull 以預設值安裝點選 Next 鈕後再點選 Finish 鈕
2-65
網路安全
封包擷取工具 - Wireshark
bull 版本ndash 165
bull 支援作業平台ndash Windows Linux及 FreeBSD
bull 其他需求ndash 安裝WinPcap 31 以上版本
bull 下載位址ndash httpwiresharkdownloadsriverbedcomwireshark
win32wireshark-win32-165exe
2-66
網路安全
Wireshark 安裝步驟bull 至官方網站下載Windows平台最新版本檔案下載完成後執行該安裝程式
2-67
網路安全
Wireshark 安裝步驟 (續 )
bull 於下一步出現的版權宣告點選 I Agree鈕後繼續下一步驟
2-68
網路安全
Wireshark 安裝步驟 (續 )
bull 此步驟選擇欲安裝的元件以軟體預設勾選之項目安裝
2-69
網路安全
Wireshark 安裝步驟 (續 )
bull 此步驟使用預設路徑即可
2-70
網路安全
Wireshark 安裝步驟 (續 )
bull 此步驟將安裝Windows平台須加裝之套件 -WinPcap 若原系統未安裝過 WinPcap套件請以軟體預設項目安裝之
2-71
網路安全
Wireshark 安裝步驟 (續 )
bull 此步驟代表 Wireshark軟體已安裝完成可點選Finish 鈕或勾選 Run Wireshark 165 隨即使用該套軟體
2-72
網路安全
一般工具列Wireshark軟體介面介紹
2-73
篩選工具列封包清單窗格
封包內容窗格封包位元組窗格
網路安全
Wireshark 使用思考方向bull 遇到網路問題是否觀察網路通道中有異常動作或狀況
ndash 思考方向ndash 反應到擷取數據方法那麼以 Wireshark 擷取使用者需要擷取哪些數據這些數據由使用者電腦哪個裝置來擷取
bull Wireshark操作流程
bull 接下來我們進行軟體操作介紹
解決問題 擷取數據要先做什麼
擷取數據 擷取哪些數據( 過濾條件 )數據哪裡來( 網路介面卡 )
2-74
網路安全
數據哪裡來 - Capture功能bull 一開啟方式
ndash 1 點選快速鈕如紅色圈所示ndash 2 點選 Capture功能表 下拉選單後點選 Optionsndash 3鍵盤快速鍵 Ctrl + K
2-75
網路安全
數據哪裡來 - Capture功能 (續 )
bull 二開啟後顯示 Capture Options 的視窗畫面即可看到所提供的擷取功能選項
2-76
網路安全
數據哪裡來 - Capture功能 (續 )
bull Capture Options 常用的欄位設定ndash Caputure 框
bull 1Interface 會顯示出在系統上所有網路卡但只能選取一個介面作為封包擷取bull 2Capture packets in promiscuous mode 選取此選項就是經過所選取的網路卡的所有封包都會被擷取下來bull 3Capture Filter 指定擷取過濾器運算式擷取想要的特定封包即為擷取中過濾之功能
2-77
網路安全
數據哪裡來 - Capture功能 (續 )
bull Capture Options 常用的欄位設定ndash Display Options 框
bull Update list of packets in real time 指定在擷取封包過程中能夠即時更新已擷取封包清單窗格視窗中的封包資訊若取消則軟體主視窗更新畫面是沒有動作的
2-78
網路安全
bull Capture Options 常用的欄位設定ndash Name Resolution框
bull 1 Enable MAC name resolution 指定是否將網路卡MAC address 的前三個位元組轉換成製造商名稱
bull 2 Enable network name resolution 指定是否將 IP address轉換成 DNS 網域名稱
bull 3 Enable transport name resolution 指定是否將通信埠號碼 (port numbers)轉成協定名稱 (protocols)bull 各位了解數據從哪裡擷取的概念與操作之後即可以進一步加上附帶條件 (篩選條件 ) 等相關操作方式
數據哪裡來 - Capture功能 (續 )
2-79
網路安全
Wireshark操作手法bull 延續遇到問題的思考方向及軟體操作手法我們可以將操作流程分為兩種
ndash 擷取中過濾 (Filter while capturing)bull 優點僅擷取已知範圍資訊網路流量少bull 缺點需先了解問題類型避免可能有遺漏真正欲擷取資訊之狀況
ndash 檢視中過濾 (Filter packets while viewing)bull 優點不用先預設條件擷取所有封包資訊bull 缺點影響網路流量
先預設欲擷取條件 擷取數據
擷取數據 再篩選欲查詢數據2-80
網路安全
Wireshark操作手法 - 擷取中過濾bull 操作步驟
ndash 點選 Capture 下拉視窗選擇 Capture Filters 即呈現此視窗
bull 操作範例ndash 1於 Filter窗格中選擇 IP
Address 10112ndash 2於 Properties窗格中即顯示該選項的設定值如圖所示為 host 10112ndash 3 即可設定軟體僅針對
10112 的封包作擷取動作 延伸操作思考1 改變 Filter string 值得到什麼結果2 點選 Edit 窗格中的 New 鈕 新增自訂條件 2-81
網路安全
Wireshark操作手法 - 檢視中過濾bull 此步驟即以已擷取封包清單窗格為基礎以過濾條件過濾該清單bull 可直接選擇軟體預設項目如以下操作
ndash 操作步驟bull 點選 Analyze 下拉視窗選擇
Display Filters 即呈現此視窗ndash 操作範例
bull 1於 Filter窗格中選擇 IP Address 10112
bull 2於 Properties窗格中即顯示該選項的設定值如圖所示值為host 10112
bull 3 即可設定軟體僅針對 10112的封包作顯示動作 延伸操作思考1 可否進行進一步自訂設定值
2-82
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 若電腦 IP為 10112 欲篩選出 IP 來源為上述 IP 且協定為 TCP 80port 的所有封包ndash 操作步驟
bull 點選 Expression鈕即出現此視窗ndash 1於 Field name框選擇
IP項目中的 ipsrc - Source
ndash 2於 Relation框選擇 ==ndash 3於 Value [IPV4
address]填 入 10112ndash 4 點選 OK鈕 進階思考方式須考慮到例如是來源資訊是目標資訊是什麼協定等更細部所要之條件
2-83
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 再進行第二篩選條件ndash TCP 80 port
bull 操作步驟ndash 1先於 Filter string 輸入文字框「 ipsrc==
10112」後再加上一個空格及「 and 」再進行一次 Expression條件選擇
2-84
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
ndash 2於 Field name框選擇「 tcpdstport」ndash 3於 Relation框選擇「 ==」ndash 4於 Value框填入「 80」ndash 5 選擇「 OK」鈕
2-85
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 注意 Propeties框內的Filter string欄位值已改變為「 ipsrc == 10112 and tcpdstport == 80」
bull 確認條件正確後點選「 OK 」鈕即可發現已擷取封包清單窗格的項目均為所設定過濾條件過濾過結果2-86
網路安全
bull 可單選單一封包進行更進階查詢封包內容bull 操作方式為
ndash 點選其中一項封包項目點選滑鼠右鍵選擇Follow TCP Stream
Wireshark操作手法 - 檢視中過濾 (續 )
2-87
網路安全
ndash 此畫面即可看出該項 TCP 封包溝通內容Wireshark操作手法 - 檢視中過濾 (續 )
2-88
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 此功能將所擷取的封包清單使用多種方式呈現封包統計資料便於使用者查詢擷取時間內何種封包數量多寡及圖型顯示bull 操作步驟點選 Statistics 下拉視窗即呈現此視窗 顯示有關擷取清單的摘要以階梯式通訊協定列表顯示所擷取的所有封包
在特定 IP間顯示通訊流量顯示單一 IP 來往封包的流量
以時間軸顯示視覺化封包流量圖2-89
網路安全
bull 可查看到一時段內其封包總數與平均每秒傳遞接收封包數等相關資訊讓使用者了解平均一時段內網路流量狀況藉以初步獲得資訊
Wireshark操作手法 - 檢視中過濾 (續 )
2-90
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 讓使用者可透過階梯式封包分類表來查看哪一類封包佔為居多可進一步推測是否該類型封包影響到整體網路或是否有異常或不常見封包類型在網路中傳遞
2-91
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 將該擷取時段內封包清單檔以兩個特定 IP 之間對傳封包為區隔顯示出哪兩個特定 IP間傳遞封包數多寡bull 可讓使用者更進一步研判兩個特定 IP所屬設備傳遞狀況是否異常
2-92
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 將該擷取時段內封包清單檔以特定IP 傳遞封包數為區隔顯示出哪特定IP 傳遞封包數多寡
bull 可讓使用者更進一步研判該特定所屬設備傳遞封包數是否異常作為管制緊急管制或禁止通訊之證明2-93
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 以時間軸顯示視覺化封包流量圖bull 讓使用者可觀察所管理設備資訊流通量以了解設備是否能負荷或作相關調整等處置
2-94
網路安全
FTP 擷取密碼案例bull 於Wireshark軟體選擇 Capture 下拉選單功能項點選 Interfaces 選項
2-95
網路安全
FTP 擷取密碼案例 (續 )
bull 確認欲擷取封包之網卡名稱如紅色底線所示確認後點選 Start鈕
2-96
網路安全
FTP 擷取密碼案例 (續 )
bull 切換至 FTP Client 電腦開啟 FileZilla 程式後連線到 FTP Server 於 Host 填入10123 Username填入 tester Password填入testpw 後點選 Quickconnect鈕
2-97
網路安全
FTP 擷取密碼案例 (續 )
bull 擷取到的封包資訊會顯示於已擷取封包清單窗格內
2-98
網路安全
FTP 擷取密碼案例 (續 )
bull 使用 FTP軟體登入 ftp站後 Wireshark 將擷取到的使用者名稱與密碼如紅框所示
2-99
網路安全
FTP 擷取密碼案例 (續 )
bull 點選已擷取封包清單窗格的密碼資訊列如標示1 的紅框所示即可在封包內容窗格看到該密碼的位元碼如標示 2 的紅框所示
1
2
2-100
網路安全
架設實作 (三 )
Outlook Express 擷取密碼案例
2-101
網路安全
實驗環境介紹bull 以 Testbed建立一實驗相關拓樸及設定如下圖
OEClientOSWindows XP SP3IP 10112執行 Outlook Express
MailServerOSWindows XP SP3IP 10122安裝軟體 ArGoSoft Mail Server
2-102
WiresharkOSWindows XP SP3IP1 10113 IP2 10123安裝軟體 Wireshark
IP1IP2
網路安全
實驗拓樸 on TestbedTWISC- 建立完成的實驗拓樸
2-103
網路安全
郵件伺服器工具 - ArGoSoft Mail Server
bull 版本ndash 1892 Freeware
bull 支援作業平台ndash Windows
bull 下載位址ndash httpwwwsoftkingcomtwsoftdownloadaspfid3=7367
2-104
網路安全
郵件客戶端工具 - Outlook Express
bull 版本ndash 60
bull 支援作業平台ndash Windows
bull 下載位址ndash Windows 內建
2-105
網路安全
bull 安裝及設定郵件伺服器ndash 1下載並執行 ArGoSoft Mail Server軟體點選
Setup鈕
Outlook Express 擷取密碼案例
2-106
網路安全
ndash 1 點選 Next鈕ndash 2 點選 Start Installation鈕
Outlook Express 擷取密碼案例 (續 )
2-107
網路安全
ndash 3 點選 OK鈕ndash 4 點選 Finish鈕完成軟體安裝
Outlook Express 擷取密碼案例 (續 )
2-108
網路安全
ndash 5 點選使用者設定鈕如紅圈所示ndash 6 點選新增鈕如紅框所示
Outlook Express 擷取密碼案例 (續 )
2-109
網路安全
ndash 7填入使用者名稱 (tester) 及密碼 (testpw) 如紅圈所示填寫完成後點選 OK鈕ndash 8 點選 Close鈕關閉使用者設定視窗
Outlook Express 擷取密碼案例 (續 )
2-110
網路安全
ndash 9 點選選項鈕如左側圖中紅色圈所示ndash 10 點選紅色打勾鈕如右側圖中紅色圈所示
2-111
Outlook Express 擷取密碼案例 (續 )
網路安全
ndash 11該軟體會自動選取 DNS Server 待選取後點選 Yes鈕ndash 12 勾選 Allow Relay 選項如紅框所示
2-112
Outlook Express 擷取密碼案例 (續 )
網路安全
Outlook Express 擷取密碼案例 (續 )
bull 設定收信帳號ndash 1 點選 Tools功能選單選擇 Accounts 選項
2-113
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 2 點選 Add鈕選擇 Mail 選項
2-114
網路安全
ndash 3填入 tester 點選 Next鈕ndash 4填入 testertestcom 點選 Next鈕
Outlook Express 擷取密碼案例 (續 )
2-115
網路安全
ndash 5填入 10123 如紅框所示點選 Next鈕ndash 6填入帳號為 tester 及密碼為 testpw 點選 Next鈕
Outlook Express 擷取密碼案例 (續 )
2-116
網路安全
ndash 7 點選 Finish鈕ndash 8 點選 Close鈕
Outlook Express 擷取密碼案例 (續 )
2-117
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 模擬條件準備好後首先準備Wireshark 擷取動作開啟Wireshark
2-118
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 於Wireshark軟體選擇 Capture 下拉選單功能項點選 Interfaces 選項
2-119
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 確認欲擷取封包之網卡名稱如紅色底線所示確認後點選 Start鈕
2-120
網路安全
ndash 當使用者收發 email 時即被 Wireshark攔截封包ndash 有發現到該 Outlook Express帳號密碼是如此清晰可見的嗎
Outlook Express 擷取密碼案例 (續 )
2-121
網路安全
結論bull 學習了 Wireshark及WinDump 兩套網路封包擷取軟體基本概念如同電話側錄概念相同從中複製一連串資訊來分析與了解網路的流量及內容為何bull 當你發現網路速度緩慢等狀況你是否會反應到所學的基本概念來找尋問題所在bull 防範概念由此課程的實例可以了解網路內容如被有心人士擷取所造成的損失相當可觀故你是否有對策有哪些方式你可以應用來防範bull 正確的思考善用對的工具將對解決問題事半功倍
2-122
網路安全 2-123
Module 2-5 封包擷取與分析的專案實作()
網路安全
專案目的bull 建立遠端管理傳遞指令資訊環境bull 利用實際攔截封包操作的方式讓同學了解封包擷取運作與網路資訊流通的顧慮等相關議題
2-124
網路安全
專案描述bull 近年來遠端管理伺服器及網路服務普及光是密碼保護就足夠了嗎是否重點網段須全程加密還是作網段隔離經由此專案實作即可了解不僅部分加密仍有其風險所在網路架構如何規劃將是非常重要的課題bull 參考環境配置圖完成下列要求①環境裡的攔截封包主機是 Windows XP SP3 作業系統而該主機安裝Wireshark軟體②另兩台主機的作業系統亦是 Windows XP SP3 並裝上
MySQL軟體 MySQL帳號為 root 密碼為您的學號 (如 Q3896105)
③在MySQLClient 電腦使用 MySQL Commandline 指令連線至MySQLServer 擷取資料庫資訊
④我們針對這兩台主機傳訊的封包擷取由整個實做中思考如何防範資訊外洩與了解傳訊封包如何流動及運作2-125
網路安全
環境配置圖bull 以 Testbed建立一實驗相關拓樸及設定如下圖
MySQLServerOSWINXP-SP3-CH-pc3000 IP 10123安裝軟體 MySQL
MySQLClientOSWINXP-SP3-CH-pc3000 IP 10112安裝軟體 MySQL
2-126
WireSharkOSWINXP-SP3-CH-pc3000 IP1 10113IP2 10122安裝軟體 Wireshark
IP1IP2
網路安全
作業繳交bull 請參考情境測試發送數個 SQL 指令並將過程與擷取到的封包資訊之截圖列於報告中所有圖表皆需要輔以文字說明bull Deadline 2012312 下午 500 以前bull 作業範圍 Module 2-5 (page 2-128)bull 方式 (參考課程網址 )
ndash 帳號密碼小寫的 (ns100ns100)ndash IP 140116164167
2-127
網路安全
有問題嗎
bull 關於 TestBed 使用上的問題請直接 Email至 twisc-testbed-usergooglegroupscom 將有專人為您服務bull 課程網址
httpitlabeenckuedutwcoursesNS_100indexhtml
2-128
bull 助教資訊 (參考課程網址 )
網路安全
參考資料bull Dienet httplinuxdienetman1wiresharkbull Orebaugh Angela Ramirez Gilbert Burke Josh Pesce Larry Wright
Joshua(2007) Wireshark and Ethereal network protocol analyzer toolkitbull Tony Fortunato(2007) Wireshark Training Retrieved July 22 2009 from
the World Wide Web httpwwwthetechfirmcometherealwiresharkpdfbull WinDump httpwwwwinpcaporgWinDumpbull Wireshark httpwwwwiresharkorgbull Wireshark University httpwwwwiresharktrainingcombull 楊中皇 (民 97年 ) 網路安全理論與實務 (2版 ) 台北市學貫bull 蘇淑茵教授 Wireshark 民國 98年 6月 28日取自 httpmywebnckuedutw~sisou
2-129
網路安全 2-31
Module 2-4 封包擷取的實務 ()
網路安全 2-32
Linux kernel packet processing
網路安全 2-33
網路安全
說明bull 架設實作 (一 ) 請將介紹如何安裝與使用
WinDump 依實驗拓樸請使用 WireDump 主機做安裝及測試bull 架設實作 (二 ) 請利用 Wireshark軟體對 FTP 進行封包擷取依實驗拓樸請使用 Wireshark 主機做安裝及測試bull 架設實作 (三 ) 請利用 Wireshark軟體對
Outlook Express進行封包擷取依實驗拓樸請使用 Wireshark 主機做安裝及測試2-34
網路安全
架設實作 (一 )
WinDump 實作 -SSH連線觀察
2-35
網路安全
封包擷取工具 - WinDump
bull 版本ndash 395
bull 支援作業平台ndash Windows 9598NT2000XP2003
bull 其他需求ndash 安裝WinPcap 31 以上版本
bull 下載位址ndash httpwwwwinpcaporgwindumpinstallbin
windump_3_9_5WinDumpexe
2-36
網路安全
其他需求工具 - WinPcap
bull 版本ndash 402 stable
bull 支援作業平台ndash Windows NT42000
Windows XP2003Vista (x86 and x64)Windows Server 2008 (x86 and x64)
bull 下載位址ndash httpwwwwinpcaporginstallbin
WinPcap_4_0_2exe
2-37
網路安全
WinPcap 安裝步驟bull WinPcap 下載完成後即可進行安裝bull 安裝畫面如下點選 Next按鈕繼續下一步
2-38
網路安全
WinDump與WinPcap測試bull 請將下載的 WinDumpexe 檔案存放至 C
Windowssystem32 的目錄之下bull 測試WinDump及WinPcap 是否可運作
ndash 點選開始 -gt 程式集 -gt附屬應用程式 -gt命令提示字元 -gt 輸入「 windump 」按下 Enter 即會出現「 windump listening on DeviceNPF_GenericDialupAdapter」的訊息代表WinDump及WinPcap 安裝成功且可運作
ndash 停止監聽按「 Ctrl + C」將顯示擷取封包的數量
2-39
網路安全
參數 說明-c 指定收到的封包數目當達到該數目時 Tcpdump 即會停止-d 把編譯過的封包編碼轉碼成可閱讀的格式放置於標準輸出-dd 把編譯過的封包編碼轉碼成 C 語言的格式放置於標準輸出-ddd 把編譯過的封包編碼轉碼成十進位的格式放置於標準輸出-F 從所指定的文件中讀取運算式進而忽略其他運算式-f 用數字顯示 IP 位址 -i 指定擷取封包的網路介面 -w 將擷取的封包直接寫入檔案當中不做分析與顯示於畫面
參數 說明-r 從指定的檔案文件中讀取資料該檔案文件由 -w 所製造出來-v 顯示詳細的封包資訊多了 TTL 及服務類型-s 設定每一個封包的大小-S 用絕對數並非相對數的值列出 TCP 連接數-tt 顯示出原始時間並且為不格式化的時間-n 不進行 IP Address 到 Domain
Name 的轉換-nn 不進行 Port 的轉換如 22 就是
ssh
-x 用十六進位字碼列出封包資料
WinDump相關參數列表
2-40
網路安全
WinDump 簡易使用操作說明bull 語法 windump 參數bull 查看目前系統可使用的網卡介面
ndash windump -Dbull 透過查看網卡介面以利後續監聽之用
2-41
網路安全
WinDump 簡易使用操作說明 (續 )
bull WinDump -i 網卡介面代號 -c 擷取封包數量 port 通訊埠
bull 例 WinDump -i 2 -c 10 port 80
2-42
網路安全
WinDump 簡易使用操作說明 (續 )
bull 因於命令提示字元視窗內所顯示的資訊不易閱讀可透過下列指令將其所擷取的資訊導向至檔案bull Windump -i 網卡介面代號 gt 檔名
ndash windump -i 2 -c 10 -w message port 80ndash windump -r message gt messagetxtndash windump -i 2 -c 10 port 80 gt messagetxt
2-43
網路安全
WinDump 簡易使用操作說明 (續 )
112338326205 此為封包被擷取的時間『 HHMMSSfraction』的單位IP 透過的通訊協定是 IPwinser 1099 gt w1wwwviptw1yahoocomtw80 代表的是傳送端是 winser 傳送的通訊埠為 1099 大於 (gt) 的符號指的是封包的傳輸方向 w1wwwviptw1yahoocomtw 為接收端 80 為接收埠
P(PUSH) 為資料傳輸標誌且傳輸的資料為整體資料的 1~ 699 byte 所以這個封包帶有 698 bytes 的資料量 ack 1 win 65535 ACK與Window size 的相關資料2-44
網路安全
bull 以 Testbed建立一實驗相關拓樸及設定如下圖SSHClientOSWINXP-SP3-CH-pc3000 IP 10113安裝軟體 putty
SSHServerOSWINXP-SP3-CH-pc3000IP 10123安裝軟體 sshd
實驗環境介紹
2-45
IP1
IP2
WireDumpOSWINXP-SP3-CH-pc3000IP1 10112IP2 10122安裝軟體 WinDump
網路安全
實驗拓樸 on TestbedTWISC- 建立完成的實驗拓樸
2-46
網路安全
SSH連線觀察bull 利用 Putty連線到 SSHServer從中觀察到三向交握建立連線的動作從 SSHClient 端利用 putty連線到SSHServer(10123)的 sshd服務
2-47
網路安全
SSH連線觀察 (續 )
bull SSH 在連線之前會利用三向交握的方式建立連線bull 利用 WinDump觀察 SSH連線動作
ndash 指令 WinDumpexe -N -S -i 4 port 22
三向交握的三個封包三向交握示意圖Server lt- Client SYN 你想連線Server -gt Client SYN ACK 可以我接受Server lt- Client ACK 謝謝
2-48
網路安全
架設實作 (二 )
FTP 擷取密碼案例
2-49
網路安全
FTPClientOSWINXP-SP3-pc3000IP 10112安裝軟體 FileZilla
FTPServerOSWINXP-SP3-pc3000IP 10123安裝軟體 RaidenFTPD
實驗環境介紹bull 以 Testbed建立一實驗相關拓樸及設定如下圖
2-50
IP1IP2
WireSharkOSWINXP-SP3-pc3000IP1 10113IP2 10122安裝軟體 Wireshark
網路安全
實驗拓樸 on TestbedTWISC- 建立完成的實驗拓樸
2-51
網路安全
FTP伺服器工具 - RaidenFTPD
bull 版本ndash 24 build 3720
bull 支援作業平台ndash Windows
bull 下載位址ndash httpwwwraidenmaildcomdownloadraidenftpd2exe
2-52
網路安全
RaidenFTPD 安裝步驟bull 下載Windows平台最新版本檔案下載完成後執行該安裝程式
2-53
網路安全
RaidenFTPD 安裝步驟 (續 )
bull 此步驟使用預設路徑即可按下 Install 進行安裝
2-54
網路安全
RaidenFTPD設定步驟bull 程式開啟畫面如下選擇 Click here to start a new
server 進行 FTP伺服器設定
2-55
網路安全
RaidenFTPD設定步驟 (續 )
bull 此處可設定 Server name與 Server IP 將 Auto IP 取消勾選並將 Server IP設為 10123
2-56
網路安全
RaidenFTPD設定步驟 (續 )
bull 接下來的步驟依照預設值即可
2-57
網路安全
RaidenFTPD設定步驟 (續 )
bull 設定人員帳號與群組按下 Add鈕輸入帳號密碼群組名稱可略過完成後按下 Next 進行下一步驟
2-58
網路安全
RaidenFTPD設定步驟 (續 )
bull 此步驟設定該帳號登入 FTP 時的權限選擇NORMAL 按下 Next 進行下一步驟
2-59
網路安全
RaidenFTPD設定步驟 (續 )
bull 接下來的步驟皆以預設值即可完成設定之後會出現對話視窗顯示您所設定的資訊
2-60
網路安全
FTP 用戶端工具 - Filezilla
bull 版本ndash 328
bull 支援作業平台ndash Windows Linux及Mac
bull 下載位址ndash httpsourceforgenetprojectsfilezillafiles
FileZilla_Client328FileZilla_328_win32zipdownload
2-61
網路安全
Filezilla 安裝步驟bull 執行 Filezilla 安裝程式點選 I agree 鈕
2-62
網路安全
Filezilla 安裝步驟 (續 )
bull 以預設值安裝點選兩次 Next 鈕
2-63
網路安全
Filezilla 安裝步驟 (續 )
bull 以預設值安裝點選 Next 鈕後再點選 Install 鈕
2-64
網路安全
Filezilla 安裝步驟 (續 )
bull 以預設值安裝點選 Next 鈕後再點選 Finish 鈕
2-65
網路安全
封包擷取工具 - Wireshark
bull 版本ndash 165
bull 支援作業平台ndash Windows Linux及 FreeBSD
bull 其他需求ndash 安裝WinPcap 31 以上版本
bull 下載位址ndash httpwiresharkdownloadsriverbedcomwireshark
win32wireshark-win32-165exe
2-66
網路安全
Wireshark 安裝步驟bull 至官方網站下載Windows平台最新版本檔案下載完成後執行該安裝程式
2-67
網路安全
Wireshark 安裝步驟 (續 )
bull 於下一步出現的版權宣告點選 I Agree鈕後繼續下一步驟
2-68
網路安全
Wireshark 安裝步驟 (續 )
bull 此步驟選擇欲安裝的元件以軟體預設勾選之項目安裝
2-69
網路安全
Wireshark 安裝步驟 (續 )
bull 此步驟使用預設路徑即可
2-70
網路安全
Wireshark 安裝步驟 (續 )
bull 此步驟將安裝Windows平台須加裝之套件 -WinPcap 若原系統未安裝過 WinPcap套件請以軟體預設項目安裝之
2-71
網路安全
Wireshark 安裝步驟 (續 )
bull 此步驟代表 Wireshark軟體已安裝完成可點選Finish 鈕或勾選 Run Wireshark 165 隨即使用該套軟體
2-72
網路安全
一般工具列Wireshark軟體介面介紹
2-73
篩選工具列封包清單窗格
封包內容窗格封包位元組窗格
網路安全
Wireshark 使用思考方向bull 遇到網路問題是否觀察網路通道中有異常動作或狀況
ndash 思考方向ndash 反應到擷取數據方法那麼以 Wireshark 擷取使用者需要擷取哪些數據這些數據由使用者電腦哪個裝置來擷取
bull Wireshark操作流程
bull 接下來我們進行軟體操作介紹
解決問題 擷取數據要先做什麼
擷取數據 擷取哪些數據( 過濾條件 )數據哪裡來( 網路介面卡 )
2-74
網路安全
數據哪裡來 - Capture功能bull 一開啟方式
ndash 1 點選快速鈕如紅色圈所示ndash 2 點選 Capture功能表 下拉選單後點選 Optionsndash 3鍵盤快速鍵 Ctrl + K
2-75
網路安全
數據哪裡來 - Capture功能 (續 )
bull 二開啟後顯示 Capture Options 的視窗畫面即可看到所提供的擷取功能選項
2-76
網路安全
數據哪裡來 - Capture功能 (續 )
bull Capture Options 常用的欄位設定ndash Caputure 框
bull 1Interface 會顯示出在系統上所有網路卡但只能選取一個介面作為封包擷取bull 2Capture packets in promiscuous mode 選取此選項就是經過所選取的網路卡的所有封包都會被擷取下來bull 3Capture Filter 指定擷取過濾器運算式擷取想要的特定封包即為擷取中過濾之功能
2-77
網路安全
數據哪裡來 - Capture功能 (續 )
bull Capture Options 常用的欄位設定ndash Display Options 框
bull Update list of packets in real time 指定在擷取封包過程中能夠即時更新已擷取封包清單窗格視窗中的封包資訊若取消則軟體主視窗更新畫面是沒有動作的
2-78
網路安全
bull Capture Options 常用的欄位設定ndash Name Resolution框
bull 1 Enable MAC name resolution 指定是否將網路卡MAC address 的前三個位元組轉換成製造商名稱
bull 2 Enable network name resolution 指定是否將 IP address轉換成 DNS 網域名稱
bull 3 Enable transport name resolution 指定是否將通信埠號碼 (port numbers)轉成協定名稱 (protocols)bull 各位了解數據從哪裡擷取的概念與操作之後即可以進一步加上附帶條件 (篩選條件 ) 等相關操作方式
數據哪裡來 - Capture功能 (續 )
2-79
網路安全
Wireshark操作手法bull 延續遇到問題的思考方向及軟體操作手法我們可以將操作流程分為兩種
ndash 擷取中過濾 (Filter while capturing)bull 優點僅擷取已知範圍資訊網路流量少bull 缺點需先了解問題類型避免可能有遺漏真正欲擷取資訊之狀況
ndash 檢視中過濾 (Filter packets while viewing)bull 優點不用先預設條件擷取所有封包資訊bull 缺點影響網路流量
先預設欲擷取條件 擷取數據
擷取數據 再篩選欲查詢數據2-80
網路安全
Wireshark操作手法 - 擷取中過濾bull 操作步驟
ndash 點選 Capture 下拉視窗選擇 Capture Filters 即呈現此視窗
bull 操作範例ndash 1於 Filter窗格中選擇 IP
Address 10112ndash 2於 Properties窗格中即顯示該選項的設定值如圖所示為 host 10112ndash 3 即可設定軟體僅針對
10112 的封包作擷取動作 延伸操作思考1 改變 Filter string 值得到什麼結果2 點選 Edit 窗格中的 New 鈕 新增自訂條件 2-81
網路安全
Wireshark操作手法 - 檢視中過濾bull 此步驟即以已擷取封包清單窗格為基礎以過濾條件過濾該清單bull 可直接選擇軟體預設項目如以下操作
ndash 操作步驟bull 點選 Analyze 下拉視窗選擇
Display Filters 即呈現此視窗ndash 操作範例
bull 1於 Filter窗格中選擇 IP Address 10112
bull 2於 Properties窗格中即顯示該選項的設定值如圖所示值為host 10112
bull 3 即可設定軟體僅針對 10112的封包作顯示動作 延伸操作思考1 可否進行進一步自訂設定值
2-82
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 若電腦 IP為 10112 欲篩選出 IP 來源為上述 IP 且協定為 TCP 80port 的所有封包ndash 操作步驟
bull 點選 Expression鈕即出現此視窗ndash 1於 Field name框選擇
IP項目中的 ipsrc - Source
ndash 2於 Relation框選擇 ==ndash 3於 Value [IPV4
address]填 入 10112ndash 4 點選 OK鈕 進階思考方式須考慮到例如是來源資訊是目標資訊是什麼協定等更細部所要之條件
2-83
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 再進行第二篩選條件ndash TCP 80 port
bull 操作步驟ndash 1先於 Filter string 輸入文字框「 ipsrc==
10112」後再加上一個空格及「 and 」再進行一次 Expression條件選擇
2-84
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
ndash 2於 Field name框選擇「 tcpdstport」ndash 3於 Relation框選擇「 ==」ndash 4於 Value框填入「 80」ndash 5 選擇「 OK」鈕
2-85
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 注意 Propeties框內的Filter string欄位值已改變為「 ipsrc == 10112 and tcpdstport == 80」
bull 確認條件正確後點選「 OK 」鈕即可發現已擷取封包清單窗格的項目均為所設定過濾條件過濾過結果2-86
網路安全
bull 可單選單一封包進行更進階查詢封包內容bull 操作方式為
ndash 點選其中一項封包項目點選滑鼠右鍵選擇Follow TCP Stream
Wireshark操作手法 - 檢視中過濾 (續 )
2-87
網路安全
ndash 此畫面即可看出該項 TCP 封包溝通內容Wireshark操作手法 - 檢視中過濾 (續 )
2-88
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 此功能將所擷取的封包清單使用多種方式呈現封包統計資料便於使用者查詢擷取時間內何種封包數量多寡及圖型顯示bull 操作步驟點選 Statistics 下拉視窗即呈現此視窗 顯示有關擷取清單的摘要以階梯式通訊協定列表顯示所擷取的所有封包
在特定 IP間顯示通訊流量顯示單一 IP 來往封包的流量
以時間軸顯示視覺化封包流量圖2-89
網路安全
bull 可查看到一時段內其封包總數與平均每秒傳遞接收封包數等相關資訊讓使用者了解平均一時段內網路流量狀況藉以初步獲得資訊
Wireshark操作手法 - 檢視中過濾 (續 )
2-90
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 讓使用者可透過階梯式封包分類表來查看哪一類封包佔為居多可進一步推測是否該類型封包影響到整體網路或是否有異常或不常見封包類型在網路中傳遞
2-91
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 將該擷取時段內封包清單檔以兩個特定 IP 之間對傳封包為區隔顯示出哪兩個特定 IP間傳遞封包數多寡bull 可讓使用者更進一步研判兩個特定 IP所屬設備傳遞狀況是否異常
2-92
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 將該擷取時段內封包清單檔以特定IP 傳遞封包數為區隔顯示出哪特定IP 傳遞封包數多寡
bull 可讓使用者更進一步研判該特定所屬設備傳遞封包數是否異常作為管制緊急管制或禁止通訊之證明2-93
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 以時間軸顯示視覺化封包流量圖bull 讓使用者可觀察所管理設備資訊流通量以了解設備是否能負荷或作相關調整等處置
2-94
網路安全
FTP 擷取密碼案例bull 於Wireshark軟體選擇 Capture 下拉選單功能項點選 Interfaces 選項
2-95
網路安全
FTP 擷取密碼案例 (續 )
bull 確認欲擷取封包之網卡名稱如紅色底線所示確認後點選 Start鈕
2-96
網路安全
FTP 擷取密碼案例 (續 )
bull 切換至 FTP Client 電腦開啟 FileZilla 程式後連線到 FTP Server 於 Host 填入10123 Username填入 tester Password填入testpw 後點選 Quickconnect鈕
2-97
網路安全
FTP 擷取密碼案例 (續 )
bull 擷取到的封包資訊會顯示於已擷取封包清單窗格內
2-98
網路安全
FTP 擷取密碼案例 (續 )
bull 使用 FTP軟體登入 ftp站後 Wireshark 將擷取到的使用者名稱與密碼如紅框所示
2-99
網路安全
FTP 擷取密碼案例 (續 )
bull 點選已擷取封包清單窗格的密碼資訊列如標示1 的紅框所示即可在封包內容窗格看到該密碼的位元碼如標示 2 的紅框所示
1
2
2-100
網路安全
架設實作 (三 )
Outlook Express 擷取密碼案例
2-101
網路安全
實驗環境介紹bull 以 Testbed建立一實驗相關拓樸及設定如下圖
OEClientOSWindows XP SP3IP 10112執行 Outlook Express
MailServerOSWindows XP SP3IP 10122安裝軟體 ArGoSoft Mail Server
2-102
WiresharkOSWindows XP SP3IP1 10113 IP2 10123安裝軟體 Wireshark
IP1IP2
網路安全
實驗拓樸 on TestbedTWISC- 建立完成的實驗拓樸
2-103
網路安全
郵件伺服器工具 - ArGoSoft Mail Server
bull 版本ndash 1892 Freeware
bull 支援作業平台ndash Windows
bull 下載位址ndash httpwwwsoftkingcomtwsoftdownloadaspfid3=7367
2-104
網路安全
郵件客戶端工具 - Outlook Express
bull 版本ndash 60
bull 支援作業平台ndash Windows
bull 下載位址ndash Windows 內建
2-105
網路安全
bull 安裝及設定郵件伺服器ndash 1下載並執行 ArGoSoft Mail Server軟體點選
Setup鈕
Outlook Express 擷取密碼案例
2-106
網路安全
ndash 1 點選 Next鈕ndash 2 點選 Start Installation鈕
Outlook Express 擷取密碼案例 (續 )
2-107
網路安全
ndash 3 點選 OK鈕ndash 4 點選 Finish鈕完成軟體安裝
Outlook Express 擷取密碼案例 (續 )
2-108
網路安全
ndash 5 點選使用者設定鈕如紅圈所示ndash 6 點選新增鈕如紅框所示
Outlook Express 擷取密碼案例 (續 )
2-109
網路安全
ndash 7填入使用者名稱 (tester) 及密碼 (testpw) 如紅圈所示填寫完成後點選 OK鈕ndash 8 點選 Close鈕關閉使用者設定視窗
Outlook Express 擷取密碼案例 (續 )
2-110
網路安全
ndash 9 點選選項鈕如左側圖中紅色圈所示ndash 10 點選紅色打勾鈕如右側圖中紅色圈所示
2-111
Outlook Express 擷取密碼案例 (續 )
網路安全
ndash 11該軟體會自動選取 DNS Server 待選取後點選 Yes鈕ndash 12 勾選 Allow Relay 選項如紅框所示
2-112
Outlook Express 擷取密碼案例 (續 )
網路安全
Outlook Express 擷取密碼案例 (續 )
bull 設定收信帳號ndash 1 點選 Tools功能選單選擇 Accounts 選項
2-113
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 2 點選 Add鈕選擇 Mail 選項
2-114
網路安全
ndash 3填入 tester 點選 Next鈕ndash 4填入 testertestcom 點選 Next鈕
Outlook Express 擷取密碼案例 (續 )
2-115
網路安全
ndash 5填入 10123 如紅框所示點選 Next鈕ndash 6填入帳號為 tester 及密碼為 testpw 點選 Next鈕
Outlook Express 擷取密碼案例 (續 )
2-116
網路安全
ndash 7 點選 Finish鈕ndash 8 點選 Close鈕
Outlook Express 擷取密碼案例 (續 )
2-117
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 模擬條件準備好後首先準備Wireshark 擷取動作開啟Wireshark
2-118
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 於Wireshark軟體選擇 Capture 下拉選單功能項點選 Interfaces 選項
2-119
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 確認欲擷取封包之網卡名稱如紅色底線所示確認後點選 Start鈕
2-120
網路安全
ndash 當使用者收發 email 時即被 Wireshark攔截封包ndash 有發現到該 Outlook Express帳號密碼是如此清晰可見的嗎
Outlook Express 擷取密碼案例 (續 )
2-121
網路安全
結論bull 學習了 Wireshark及WinDump 兩套網路封包擷取軟體基本概念如同電話側錄概念相同從中複製一連串資訊來分析與了解網路的流量及內容為何bull 當你發現網路速度緩慢等狀況你是否會反應到所學的基本概念來找尋問題所在bull 防範概念由此課程的實例可以了解網路內容如被有心人士擷取所造成的損失相當可觀故你是否有對策有哪些方式你可以應用來防範bull 正確的思考善用對的工具將對解決問題事半功倍
2-122
網路安全 2-123
Module 2-5 封包擷取與分析的專案實作()
網路安全
專案目的bull 建立遠端管理傳遞指令資訊環境bull 利用實際攔截封包操作的方式讓同學了解封包擷取運作與網路資訊流通的顧慮等相關議題
2-124
網路安全
專案描述bull 近年來遠端管理伺服器及網路服務普及光是密碼保護就足夠了嗎是否重點網段須全程加密還是作網段隔離經由此專案實作即可了解不僅部分加密仍有其風險所在網路架構如何規劃將是非常重要的課題bull 參考環境配置圖完成下列要求①環境裡的攔截封包主機是 Windows XP SP3 作業系統而該主機安裝Wireshark軟體②另兩台主機的作業系統亦是 Windows XP SP3 並裝上
MySQL軟體 MySQL帳號為 root 密碼為您的學號 (如 Q3896105)
③在MySQLClient 電腦使用 MySQL Commandline 指令連線至MySQLServer 擷取資料庫資訊
④我們針對這兩台主機傳訊的封包擷取由整個實做中思考如何防範資訊外洩與了解傳訊封包如何流動及運作2-125
網路安全
環境配置圖bull 以 Testbed建立一實驗相關拓樸及設定如下圖
MySQLServerOSWINXP-SP3-CH-pc3000 IP 10123安裝軟體 MySQL
MySQLClientOSWINXP-SP3-CH-pc3000 IP 10112安裝軟體 MySQL
2-126
WireSharkOSWINXP-SP3-CH-pc3000 IP1 10113IP2 10122安裝軟體 Wireshark
IP1IP2
網路安全
作業繳交bull 請參考情境測試發送數個 SQL 指令並將過程與擷取到的封包資訊之截圖列於報告中所有圖表皆需要輔以文字說明bull Deadline 2012312 下午 500 以前bull 作業範圍 Module 2-5 (page 2-128)bull 方式 (參考課程網址 )
ndash 帳號密碼小寫的 (ns100ns100)ndash IP 140116164167
2-127
網路安全
有問題嗎
bull 關於 TestBed 使用上的問題請直接 Email至 twisc-testbed-usergooglegroupscom 將有專人為您服務bull 課程網址
httpitlabeenckuedutwcoursesNS_100indexhtml
2-128
bull 助教資訊 (參考課程網址 )
網路安全
參考資料bull Dienet httplinuxdienetman1wiresharkbull Orebaugh Angela Ramirez Gilbert Burke Josh Pesce Larry Wright
Joshua(2007) Wireshark and Ethereal network protocol analyzer toolkitbull Tony Fortunato(2007) Wireshark Training Retrieved July 22 2009 from
the World Wide Web httpwwwthetechfirmcometherealwiresharkpdfbull WinDump httpwwwwinpcaporgWinDumpbull Wireshark httpwwwwiresharkorgbull Wireshark University httpwwwwiresharktrainingcombull 楊中皇 (民 97年 ) 網路安全理論與實務 (2版 ) 台北市學貫bull 蘇淑茵教授 Wireshark 民國 98年 6月 28日取自 httpmywebnckuedutw~sisou
2-129
網路安全 2-32
Linux kernel packet processing
網路安全 2-33
網路安全
說明bull 架設實作 (一 ) 請將介紹如何安裝與使用
WinDump 依實驗拓樸請使用 WireDump 主機做安裝及測試bull 架設實作 (二 ) 請利用 Wireshark軟體對 FTP 進行封包擷取依實驗拓樸請使用 Wireshark 主機做安裝及測試bull 架設實作 (三 ) 請利用 Wireshark軟體對
Outlook Express進行封包擷取依實驗拓樸請使用 Wireshark 主機做安裝及測試2-34
網路安全
架設實作 (一 )
WinDump 實作 -SSH連線觀察
2-35
網路安全
封包擷取工具 - WinDump
bull 版本ndash 395
bull 支援作業平台ndash Windows 9598NT2000XP2003
bull 其他需求ndash 安裝WinPcap 31 以上版本
bull 下載位址ndash httpwwwwinpcaporgwindumpinstallbin
windump_3_9_5WinDumpexe
2-36
網路安全
其他需求工具 - WinPcap
bull 版本ndash 402 stable
bull 支援作業平台ndash Windows NT42000
Windows XP2003Vista (x86 and x64)Windows Server 2008 (x86 and x64)
bull 下載位址ndash httpwwwwinpcaporginstallbin
WinPcap_4_0_2exe
2-37
網路安全
WinPcap 安裝步驟bull WinPcap 下載完成後即可進行安裝bull 安裝畫面如下點選 Next按鈕繼續下一步
2-38
網路安全
WinDump與WinPcap測試bull 請將下載的 WinDumpexe 檔案存放至 C
Windowssystem32 的目錄之下bull 測試WinDump及WinPcap 是否可運作
ndash 點選開始 -gt 程式集 -gt附屬應用程式 -gt命令提示字元 -gt 輸入「 windump 」按下 Enter 即會出現「 windump listening on DeviceNPF_GenericDialupAdapter」的訊息代表WinDump及WinPcap 安裝成功且可運作
ndash 停止監聽按「 Ctrl + C」將顯示擷取封包的數量
2-39
網路安全
參數 說明-c 指定收到的封包數目當達到該數目時 Tcpdump 即會停止-d 把編譯過的封包編碼轉碼成可閱讀的格式放置於標準輸出-dd 把編譯過的封包編碼轉碼成 C 語言的格式放置於標準輸出-ddd 把編譯過的封包編碼轉碼成十進位的格式放置於標準輸出-F 從所指定的文件中讀取運算式進而忽略其他運算式-f 用數字顯示 IP 位址 -i 指定擷取封包的網路介面 -w 將擷取的封包直接寫入檔案當中不做分析與顯示於畫面
參數 說明-r 從指定的檔案文件中讀取資料該檔案文件由 -w 所製造出來-v 顯示詳細的封包資訊多了 TTL 及服務類型-s 設定每一個封包的大小-S 用絕對數並非相對數的值列出 TCP 連接數-tt 顯示出原始時間並且為不格式化的時間-n 不進行 IP Address 到 Domain
Name 的轉換-nn 不進行 Port 的轉換如 22 就是
ssh
-x 用十六進位字碼列出封包資料
WinDump相關參數列表
2-40
網路安全
WinDump 簡易使用操作說明bull 語法 windump 參數bull 查看目前系統可使用的網卡介面
ndash windump -Dbull 透過查看網卡介面以利後續監聽之用
2-41
網路安全
WinDump 簡易使用操作說明 (續 )
bull WinDump -i 網卡介面代號 -c 擷取封包數量 port 通訊埠
bull 例 WinDump -i 2 -c 10 port 80
2-42
網路安全
WinDump 簡易使用操作說明 (續 )
bull 因於命令提示字元視窗內所顯示的資訊不易閱讀可透過下列指令將其所擷取的資訊導向至檔案bull Windump -i 網卡介面代號 gt 檔名
ndash windump -i 2 -c 10 -w message port 80ndash windump -r message gt messagetxtndash windump -i 2 -c 10 port 80 gt messagetxt
2-43
網路安全
WinDump 簡易使用操作說明 (續 )
112338326205 此為封包被擷取的時間『 HHMMSSfraction』的單位IP 透過的通訊協定是 IPwinser 1099 gt w1wwwviptw1yahoocomtw80 代表的是傳送端是 winser 傳送的通訊埠為 1099 大於 (gt) 的符號指的是封包的傳輸方向 w1wwwviptw1yahoocomtw 為接收端 80 為接收埠
P(PUSH) 為資料傳輸標誌且傳輸的資料為整體資料的 1~ 699 byte 所以這個封包帶有 698 bytes 的資料量 ack 1 win 65535 ACK與Window size 的相關資料2-44
網路安全
bull 以 Testbed建立一實驗相關拓樸及設定如下圖SSHClientOSWINXP-SP3-CH-pc3000 IP 10113安裝軟體 putty
SSHServerOSWINXP-SP3-CH-pc3000IP 10123安裝軟體 sshd
實驗環境介紹
2-45
IP1
IP2
WireDumpOSWINXP-SP3-CH-pc3000IP1 10112IP2 10122安裝軟體 WinDump
網路安全
實驗拓樸 on TestbedTWISC- 建立完成的實驗拓樸
2-46
網路安全
SSH連線觀察bull 利用 Putty連線到 SSHServer從中觀察到三向交握建立連線的動作從 SSHClient 端利用 putty連線到SSHServer(10123)的 sshd服務
2-47
網路安全
SSH連線觀察 (續 )
bull SSH 在連線之前會利用三向交握的方式建立連線bull 利用 WinDump觀察 SSH連線動作
ndash 指令 WinDumpexe -N -S -i 4 port 22
三向交握的三個封包三向交握示意圖Server lt- Client SYN 你想連線Server -gt Client SYN ACK 可以我接受Server lt- Client ACK 謝謝
2-48
網路安全
架設實作 (二 )
FTP 擷取密碼案例
2-49
網路安全
FTPClientOSWINXP-SP3-pc3000IP 10112安裝軟體 FileZilla
FTPServerOSWINXP-SP3-pc3000IP 10123安裝軟體 RaidenFTPD
實驗環境介紹bull 以 Testbed建立一實驗相關拓樸及設定如下圖
2-50
IP1IP2
WireSharkOSWINXP-SP3-pc3000IP1 10113IP2 10122安裝軟體 Wireshark
網路安全
實驗拓樸 on TestbedTWISC- 建立完成的實驗拓樸
2-51
網路安全
FTP伺服器工具 - RaidenFTPD
bull 版本ndash 24 build 3720
bull 支援作業平台ndash Windows
bull 下載位址ndash httpwwwraidenmaildcomdownloadraidenftpd2exe
2-52
網路安全
RaidenFTPD 安裝步驟bull 下載Windows平台最新版本檔案下載完成後執行該安裝程式
2-53
網路安全
RaidenFTPD 安裝步驟 (續 )
bull 此步驟使用預設路徑即可按下 Install 進行安裝
2-54
網路安全
RaidenFTPD設定步驟bull 程式開啟畫面如下選擇 Click here to start a new
server 進行 FTP伺服器設定
2-55
網路安全
RaidenFTPD設定步驟 (續 )
bull 此處可設定 Server name與 Server IP 將 Auto IP 取消勾選並將 Server IP設為 10123
2-56
網路安全
RaidenFTPD設定步驟 (續 )
bull 接下來的步驟依照預設值即可
2-57
網路安全
RaidenFTPD設定步驟 (續 )
bull 設定人員帳號與群組按下 Add鈕輸入帳號密碼群組名稱可略過完成後按下 Next 進行下一步驟
2-58
網路安全
RaidenFTPD設定步驟 (續 )
bull 此步驟設定該帳號登入 FTP 時的權限選擇NORMAL 按下 Next 進行下一步驟
2-59
網路安全
RaidenFTPD設定步驟 (續 )
bull 接下來的步驟皆以預設值即可完成設定之後會出現對話視窗顯示您所設定的資訊
2-60
網路安全
FTP 用戶端工具 - Filezilla
bull 版本ndash 328
bull 支援作業平台ndash Windows Linux及Mac
bull 下載位址ndash httpsourceforgenetprojectsfilezillafiles
FileZilla_Client328FileZilla_328_win32zipdownload
2-61
網路安全
Filezilla 安裝步驟bull 執行 Filezilla 安裝程式點選 I agree 鈕
2-62
網路安全
Filezilla 安裝步驟 (續 )
bull 以預設值安裝點選兩次 Next 鈕
2-63
網路安全
Filezilla 安裝步驟 (續 )
bull 以預設值安裝點選 Next 鈕後再點選 Install 鈕
2-64
網路安全
Filezilla 安裝步驟 (續 )
bull 以預設值安裝點選 Next 鈕後再點選 Finish 鈕
2-65
網路安全
封包擷取工具 - Wireshark
bull 版本ndash 165
bull 支援作業平台ndash Windows Linux及 FreeBSD
bull 其他需求ndash 安裝WinPcap 31 以上版本
bull 下載位址ndash httpwiresharkdownloadsriverbedcomwireshark
win32wireshark-win32-165exe
2-66
網路安全
Wireshark 安裝步驟bull 至官方網站下載Windows平台最新版本檔案下載完成後執行該安裝程式
2-67
網路安全
Wireshark 安裝步驟 (續 )
bull 於下一步出現的版權宣告點選 I Agree鈕後繼續下一步驟
2-68
網路安全
Wireshark 安裝步驟 (續 )
bull 此步驟選擇欲安裝的元件以軟體預設勾選之項目安裝
2-69
網路安全
Wireshark 安裝步驟 (續 )
bull 此步驟使用預設路徑即可
2-70
網路安全
Wireshark 安裝步驟 (續 )
bull 此步驟將安裝Windows平台須加裝之套件 -WinPcap 若原系統未安裝過 WinPcap套件請以軟體預設項目安裝之
2-71
網路安全
Wireshark 安裝步驟 (續 )
bull 此步驟代表 Wireshark軟體已安裝完成可點選Finish 鈕或勾選 Run Wireshark 165 隨即使用該套軟體
2-72
網路安全
一般工具列Wireshark軟體介面介紹
2-73
篩選工具列封包清單窗格
封包內容窗格封包位元組窗格
網路安全
Wireshark 使用思考方向bull 遇到網路問題是否觀察網路通道中有異常動作或狀況
ndash 思考方向ndash 反應到擷取數據方法那麼以 Wireshark 擷取使用者需要擷取哪些數據這些數據由使用者電腦哪個裝置來擷取
bull Wireshark操作流程
bull 接下來我們進行軟體操作介紹
解決問題 擷取數據要先做什麼
擷取數據 擷取哪些數據( 過濾條件 )數據哪裡來( 網路介面卡 )
2-74
網路安全
數據哪裡來 - Capture功能bull 一開啟方式
ndash 1 點選快速鈕如紅色圈所示ndash 2 點選 Capture功能表 下拉選單後點選 Optionsndash 3鍵盤快速鍵 Ctrl + K
2-75
網路安全
數據哪裡來 - Capture功能 (續 )
bull 二開啟後顯示 Capture Options 的視窗畫面即可看到所提供的擷取功能選項
2-76
網路安全
數據哪裡來 - Capture功能 (續 )
bull Capture Options 常用的欄位設定ndash Caputure 框
bull 1Interface 會顯示出在系統上所有網路卡但只能選取一個介面作為封包擷取bull 2Capture packets in promiscuous mode 選取此選項就是經過所選取的網路卡的所有封包都會被擷取下來bull 3Capture Filter 指定擷取過濾器運算式擷取想要的特定封包即為擷取中過濾之功能
2-77
網路安全
數據哪裡來 - Capture功能 (續 )
bull Capture Options 常用的欄位設定ndash Display Options 框
bull Update list of packets in real time 指定在擷取封包過程中能夠即時更新已擷取封包清單窗格視窗中的封包資訊若取消則軟體主視窗更新畫面是沒有動作的
2-78
網路安全
bull Capture Options 常用的欄位設定ndash Name Resolution框
bull 1 Enable MAC name resolution 指定是否將網路卡MAC address 的前三個位元組轉換成製造商名稱
bull 2 Enable network name resolution 指定是否將 IP address轉換成 DNS 網域名稱
bull 3 Enable transport name resolution 指定是否將通信埠號碼 (port numbers)轉成協定名稱 (protocols)bull 各位了解數據從哪裡擷取的概念與操作之後即可以進一步加上附帶條件 (篩選條件 ) 等相關操作方式
數據哪裡來 - Capture功能 (續 )
2-79
網路安全
Wireshark操作手法bull 延續遇到問題的思考方向及軟體操作手法我們可以將操作流程分為兩種
ndash 擷取中過濾 (Filter while capturing)bull 優點僅擷取已知範圍資訊網路流量少bull 缺點需先了解問題類型避免可能有遺漏真正欲擷取資訊之狀況
ndash 檢視中過濾 (Filter packets while viewing)bull 優點不用先預設條件擷取所有封包資訊bull 缺點影響網路流量
先預設欲擷取條件 擷取數據
擷取數據 再篩選欲查詢數據2-80
網路安全
Wireshark操作手法 - 擷取中過濾bull 操作步驟
ndash 點選 Capture 下拉視窗選擇 Capture Filters 即呈現此視窗
bull 操作範例ndash 1於 Filter窗格中選擇 IP
Address 10112ndash 2於 Properties窗格中即顯示該選項的設定值如圖所示為 host 10112ndash 3 即可設定軟體僅針對
10112 的封包作擷取動作 延伸操作思考1 改變 Filter string 值得到什麼結果2 點選 Edit 窗格中的 New 鈕 新增自訂條件 2-81
網路安全
Wireshark操作手法 - 檢視中過濾bull 此步驟即以已擷取封包清單窗格為基礎以過濾條件過濾該清單bull 可直接選擇軟體預設項目如以下操作
ndash 操作步驟bull 點選 Analyze 下拉視窗選擇
Display Filters 即呈現此視窗ndash 操作範例
bull 1於 Filter窗格中選擇 IP Address 10112
bull 2於 Properties窗格中即顯示該選項的設定值如圖所示值為host 10112
bull 3 即可設定軟體僅針對 10112的封包作顯示動作 延伸操作思考1 可否進行進一步自訂設定值
2-82
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 若電腦 IP為 10112 欲篩選出 IP 來源為上述 IP 且協定為 TCP 80port 的所有封包ndash 操作步驟
bull 點選 Expression鈕即出現此視窗ndash 1於 Field name框選擇
IP項目中的 ipsrc - Source
ndash 2於 Relation框選擇 ==ndash 3於 Value [IPV4
address]填 入 10112ndash 4 點選 OK鈕 進階思考方式須考慮到例如是來源資訊是目標資訊是什麼協定等更細部所要之條件
2-83
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 再進行第二篩選條件ndash TCP 80 port
bull 操作步驟ndash 1先於 Filter string 輸入文字框「 ipsrc==
10112」後再加上一個空格及「 and 」再進行一次 Expression條件選擇
2-84
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
ndash 2於 Field name框選擇「 tcpdstport」ndash 3於 Relation框選擇「 ==」ndash 4於 Value框填入「 80」ndash 5 選擇「 OK」鈕
2-85
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 注意 Propeties框內的Filter string欄位值已改變為「 ipsrc == 10112 and tcpdstport == 80」
bull 確認條件正確後點選「 OK 」鈕即可發現已擷取封包清單窗格的項目均為所設定過濾條件過濾過結果2-86
網路安全
bull 可單選單一封包進行更進階查詢封包內容bull 操作方式為
ndash 點選其中一項封包項目點選滑鼠右鍵選擇Follow TCP Stream
Wireshark操作手法 - 檢視中過濾 (續 )
2-87
網路安全
ndash 此畫面即可看出該項 TCP 封包溝通內容Wireshark操作手法 - 檢視中過濾 (續 )
2-88
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 此功能將所擷取的封包清單使用多種方式呈現封包統計資料便於使用者查詢擷取時間內何種封包數量多寡及圖型顯示bull 操作步驟點選 Statistics 下拉視窗即呈現此視窗 顯示有關擷取清單的摘要以階梯式通訊協定列表顯示所擷取的所有封包
在特定 IP間顯示通訊流量顯示單一 IP 來往封包的流量
以時間軸顯示視覺化封包流量圖2-89
網路安全
bull 可查看到一時段內其封包總數與平均每秒傳遞接收封包數等相關資訊讓使用者了解平均一時段內網路流量狀況藉以初步獲得資訊
Wireshark操作手法 - 檢視中過濾 (續 )
2-90
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 讓使用者可透過階梯式封包分類表來查看哪一類封包佔為居多可進一步推測是否該類型封包影響到整體網路或是否有異常或不常見封包類型在網路中傳遞
2-91
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 將該擷取時段內封包清單檔以兩個特定 IP 之間對傳封包為區隔顯示出哪兩個特定 IP間傳遞封包數多寡bull 可讓使用者更進一步研判兩個特定 IP所屬設備傳遞狀況是否異常
2-92
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 將該擷取時段內封包清單檔以特定IP 傳遞封包數為區隔顯示出哪特定IP 傳遞封包數多寡
bull 可讓使用者更進一步研判該特定所屬設備傳遞封包數是否異常作為管制緊急管制或禁止通訊之證明2-93
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 以時間軸顯示視覺化封包流量圖bull 讓使用者可觀察所管理設備資訊流通量以了解設備是否能負荷或作相關調整等處置
2-94
網路安全
FTP 擷取密碼案例bull 於Wireshark軟體選擇 Capture 下拉選單功能項點選 Interfaces 選項
2-95
網路安全
FTP 擷取密碼案例 (續 )
bull 確認欲擷取封包之網卡名稱如紅色底線所示確認後點選 Start鈕
2-96
網路安全
FTP 擷取密碼案例 (續 )
bull 切換至 FTP Client 電腦開啟 FileZilla 程式後連線到 FTP Server 於 Host 填入10123 Username填入 tester Password填入testpw 後點選 Quickconnect鈕
2-97
網路安全
FTP 擷取密碼案例 (續 )
bull 擷取到的封包資訊會顯示於已擷取封包清單窗格內
2-98
網路安全
FTP 擷取密碼案例 (續 )
bull 使用 FTP軟體登入 ftp站後 Wireshark 將擷取到的使用者名稱與密碼如紅框所示
2-99
網路安全
FTP 擷取密碼案例 (續 )
bull 點選已擷取封包清單窗格的密碼資訊列如標示1 的紅框所示即可在封包內容窗格看到該密碼的位元碼如標示 2 的紅框所示
1
2
2-100
網路安全
架設實作 (三 )
Outlook Express 擷取密碼案例
2-101
網路安全
實驗環境介紹bull 以 Testbed建立一實驗相關拓樸及設定如下圖
OEClientOSWindows XP SP3IP 10112執行 Outlook Express
MailServerOSWindows XP SP3IP 10122安裝軟體 ArGoSoft Mail Server
2-102
WiresharkOSWindows XP SP3IP1 10113 IP2 10123安裝軟體 Wireshark
IP1IP2
網路安全
實驗拓樸 on TestbedTWISC- 建立完成的實驗拓樸
2-103
網路安全
郵件伺服器工具 - ArGoSoft Mail Server
bull 版本ndash 1892 Freeware
bull 支援作業平台ndash Windows
bull 下載位址ndash httpwwwsoftkingcomtwsoftdownloadaspfid3=7367
2-104
網路安全
郵件客戶端工具 - Outlook Express
bull 版本ndash 60
bull 支援作業平台ndash Windows
bull 下載位址ndash Windows 內建
2-105
網路安全
bull 安裝及設定郵件伺服器ndash 1下載並執行 ArGoSoft Mail Server軟體點選
Setup鈕
Outlook Express 擷取密碼案例
2-106
網路安全
ndash 1 點選 Next鈕ndash 2 點選 Start Installation鈕
Outlook Express 擷取密碼案例 (續 )
2-107
網路安全
ndash 3 點選 OK鈕ndash 4 點選 Finish鈕完成軟體安裝
Outlook Express 擷取密碼案例 (續 )
2-108
網路安全
ndash 5 點選使用者設定鈕如紅圈所示ndash 6 點選新增鈕如紅框所示
Outlook Express 擷取密碼案例 (續 )
2-109
網路安全
ndash 7填入使用者名稱 (tester) 及密碼 (testpw) 如紅圈所示填寫完成後點選 OK鈕ndash 8 點選 Close鈕關閉使用者設定視窗
Outlook Express 擷取密碼案例 (續 )
2-110
網路安全
ndash 9 點選選項鈕如左側圖中紅色圈所示ndash 10 點選紅色打勾鈕如右側圖中紅色圈所示
2-111
Outlook Express 擷取密碼案例 (續 )
網路安全
ndash 11該軟體會自動選取 DNS Server 待選取後點選 Yes鈕ndash 12 勾選 Allow Relay 選項如紅框所示
2-112
Outlook Express 擷取密碼案例 (續 )
網路安全
Outlook Express 擷取密碼案例 (續 )
bull 設定收信帳號ndash 1 點選 Tools功能選單選擇 Accounts 選項
2-113
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 2 點選 Add鈕選擇 Mail 選項
2-114
網路安全
ndash 3填入 tester 點選 Next鈕ndash 4填入 testertestcom 點選 Next鈕
Outlook Express 擷取密碼案例 (續 )
2-115
網路安全
ndash 5填入 10123 如紅框所示點選 Next鈕ndash 6填入帳號為 tester 及密碼為 testpw 點選 Next鈕
Outlook Express 擷取密碼案例 (續 )
2-116
網路安全
ndash 7 點選 Finish鈕ndash 8 點選 Close鈕
Outlook Express 擷取密碼案例 (續 )
2-117
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 模擬條件準備好後首先準備Wireshark 擷取動作開啟Wireshark
2-118
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 於Wireshark軟體選擇 Capture 下拉選單功能項點選 Interfaces 選項
2-119
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 確認欲擷取封包之網卡名稱如紅色底線所示確認後點選 Start鈕
2-120
網路安全
ndash 當使用者收發 email 時即被 Wireshark攔截封包ndash 有發現到該 Outlook Express帳號密碼是如此清晰可見的嗎
Outlook Express 擷取密碼案例 (續 )
2-121
網路安全
結論bull 學習了 Wireshark及WinDump 兩套網路封包擷取軟體基本概念如同電話側錄概念相同從中複製一連串資訊來分析與了解網路的流量及內容為何bull 當你發現網路速度緩慢等狀況你是否會反應到所學的基本概念來找尋問題所在bull 防範概念由此課程的實例可以了解網路內容如被有心人士擷取所造成的損失相當可觀故你是否有對策有哪些方式你可以應用來防範bull 正確的思考善用對的工具將對解決問題事半功倍
2-122
網路安全 2-123
Module 2-5 封包擷取與分析的專案實作()
網路安全
專案目的bull 建立遠端管理傳遞指令資訊環境bull 利用實際攔截封包操作的方式讓同學了解封包擷取運作與網路資訊流通的顧慮等相關議題
2-124
網路安全
專案描述bull 近年來遠端管理伺服器及網路服務普及光是密碼保護就足夠了嗎是否重點網段須全程加密還是作網段隔離經由此專案實作即可了解不僅部分加密仍有其風險所在網路架構如何規劃將是非常重要的課題bull 參考環境配置圖完成下列要求①環境裡的攔截封包主機是 Windows XP SP3 作業系統而該主機安裝Wireshark軟體②另兩台主機的作業系統亦是 Windows XP SP3 並裝上
MySQL軟體 MySQL帳號為 root 密碼為您的學號 (如 Q3896105)
③在MySQLClient 電腦使用 MySQL Commandline 指令連線至MySQLServer 擷取資料庫資訊
④我們針對這兩台主機傳訊的封包擷取由整個實做中思考如何防範資訊外洩與了解傳訊封包如何流動及運作2-125
網路安全
環境配置圖bull 以 Testbed建立一實驗相關拓樸及設定如下圖
MySQLServerOSWINXP-SP3-CH-pc3000 IP 10123安裝軟體 MySQL
MySQLClientOSWINXP-SP3-CH-pc3000 IP 10112安裝軟體 MySQL
2-126
WireSharkOSWINXP-SP3-CH-pc3000 IP1 10113IP2 10122安裝軟體 Wireshark
IP1IP2
網路安全
作業繳交bull 請參考情境測試發送數個 SQL 指令並將過程與擷取到的封包資訊之截圖列於報告中所有圖表皆需要輔以文字說明bull Deadline 2012312 下午 500 以前bull 作業範圍 Module 2-5 (page 2-128)bull 方式 (參考課程網址 )
ndash 帳號密碼小寫的 (ns100ns100)ndash IP 140116164167
2-127
網路安全
有問題嗎
bull 關於 TestBed 使用上的問題請直接 Email至 twisc-testbed-usergooglegroupscom 將有專人為您服務bull 課程網址
httpitlabeenckuedutwcoursesNS_100indexhtml
2-128
bull 助教資訊 (參考課程網址 )
網路安全
參考資料bull Dienet httplinuxdienetman1wiresharkbull Orebaugh Angela Ramirez Gilbert Burke Josh Pesce Larry Wright
Joshua(2007) Wireshark and Ethereal network protocol analyzer toolkitbull Tony Fortunato(2007) Wireshark Training Retrieved July 22 2009 from
the World Wide Web httpwwwthetechfirmcometherealwiresharkpdfbull WinDump httpwwwwinpcaporgWinDumpbull Wireshark httpwwwwiresharkorgbull Wireshark University httpwwwwiresharktrainingcombull 楊中皇 (民 97年 ) 網路安全理論與實務 (2版 ) 台北市學貫bull 蘇淑茵教授 Wireshark 民國 98年 6月 28日取自 httpmywebnckuedutw~sisou
2-129
網路安全 2-33
網路安全
說明bull 架設實作 (一 ) 請將介紹如何安裝與使用
WinDump 依實驗拓樸請使用 WireDump 主機做安裝及測試bull 架設實作 (二 ) 請利用 Wireshark軟體對 FTP 進行封包擷取依實驗拓樸請使用 Wireshark 主機做安裝及測試bull 架設實作 (三 ) 請利用 Wireshark軟體對
Outlook Express進行封包擷取依實驗拓樸請使用 Wireshark 主機做安裝及測試2-34
網路安全
架設實作 (一 )
WinDump 實作 -SSH連線觀察
2-35
網路安全
封包擷取工具 - WinDump
bull 版本ndash 395
bull 支援作業平台ndash Windows 9598NT2000XP2003
bull 其他需求ndash 安裝WinPcap 31 以上版本
bull 下載位址ndash httpwwwwinpcaporgwindumpinstallbin
windump_3_9_5WinDumpexe
2-36
網路安全
其他需求工具 - WinPcap
bull 版本ndash 402 stable
bull 支援作業平台ndash Windows NT42000
Windows XP2003Vista (x86 and x64)Windows Server 2008 (x86 and x64)
bull 下載位址ndash httpwwwwinpcaporginstallbin
WinPcap_4_0_2exe
2-37
網路安全
WinPcap 安裝步驟bull WinPcap 下載完成後即可進行安裝bull 安裝畫面如下點選 Next按鈕繼續下一步
2-38
網路安全
WinDump與WinPcap測試bull 請將下載的 WinDumpexe 檔案存放至 C
Windowssystem32 的目錄之下bull 測試WinDump及WinPcap 是否可運作
ndash 點選開始 -gt 程式集 -gt附屬應用程式 -gt命令提示字元 -gt 輸入「 windump 」按下 Enter 即會出現「 windump listening on DeviceNPF_GenericDialupAdapter」的訊息代表WinDump及WinPcap 安裝成功且可運作
ndash 停止監聽按「 Ctrl + C」將顯示擷取封包的數量
2-39
網路安全
參數 說明-c 指定收到的封包數目當達到該數目時 Tcpdump 即會停止-d 把編譯過的封包編碼轉碼成可閱讀的格式放置於標準輸出-dd 把編譯過的封包編碼轉碼成 C 語言的格式放置於標準輸出-ddd 把編譯過的封包編碼轉碼成十進位的格式放置於標準輸出-F 從所指定的文件中讀取運算式進而忽略其他運算式-f 用數字顯示 IP 位址 -i 指定擷取封包的網路介面 -w 將擷取的封包直接寫入檔案當中不做分析與顯示於畫面
參數 說明-r 從指定的檔案文件中讀取資料該檔案文件由 -w 所製造出來-v 顯示詳細的封包資訊多了 TTL 及服務類型-s 設定每一個封包的大小-S 用絕對數並非相對數的值列出 TCP 連接數-tt 顯示出原始時間並且為不格式化的時間-n 不進行 IP Address 到 Domain
Name 的轉換-nn 不進行 Port 的轉換如 22 就是
ssh
-x 用十六進位字碼列出封包資料
WinDump相關參數列表
2-40
網路安全
WinDump 簡易使用操作說明bull 語法 windump 參數bull 查看目前系統可使用的網卡介面
ndash windump -Dbull 透過查看網卡介面以利後續監聽之用
2-41
網路安全
WinDump 簡易使用操作說明 (續 )
bull WinDump -i 網卡介面代號 -c 擷取封包數量 port 通訊埠
bull 例 WinDump -i 2 -c 10 port 80
2-42
網路安全
WinDump 簡易使用操作說明 (續 )
bull 因於命令提示字元視窗內所顯示的資訊不易閱讀可透過下列指令將其所擷取的資訊導向至檔案bull Windump -i 網卡介面代號 gt 檔名
ndash windump -i 2 -c 10 -w message port 80ndash windump -r message gt messagetxtndash windump -i 2 -c 10 port 80 gt messagetxt
2-43
網路安全
WinDump 簡易使用操作說明 (續 )
112338326205 此為封包被擷取的時間『 HHMMSSfraction』的單位IP 透過的通訊協定是 IPwinser 1099 gt w1wwwviptw1yahoocomtw80 代表的是傳送端是 winser 傳送的通訊埠為 1099 大於 (gt) 的符號指的是封包的傳輸方向 w1wwwviptw1yahoocomtw 為接收端 80 為接收埠
P(PUSH) 為資料傳輸標誌且傳輸的資料為整體資料的 1~ 699 byte 所以這個封包帶有 698 bytes 的資料量 ack 1 win 65535 ACK與Window size 的相關資料2-44
網路安全
bull 以 Testbed建立一實驗相關拓樸及設定如下圖SSHClientOSWINXP-SP3-CH-pc3000 IP 10113安裝軟體 putty
SSHServerOSWINXP-SP3-CH-pc3000IP 10123安裝軟體 sshd
實驗環境介紹
2-45
IP1
IP2
WireDumpOSWINXP-SP3-CH-pc3000IP1 10112IP2 10122安裝軟體 WinDump
網路安全
實驗拓樸 on TestbedTWISC- 建立完成的實驗拓樸
2-46
網路安全
SSH連線觀察bull 利用 Putty連線到 SSHServer從中觀察到三向交握建立連線的動作從 SSHClient 端利用 putty連線到SSHServer(10123)的 sshd服務
2-47
網路安全
SSH連線觀察 (續 )
bull SSH 在連線之前會利用三向交握的方式建立連線bull 利用 WinDump觀察 SSH連線動作
ndash 指令 WinDumpexe -N -S -i 4 port 22
三向交握的三個封包三向交握示意圖Server lt- Client SYN 你想連線Server -gt Client SYN ACK 可以我接受Server lt- Client ACK 謝謝
2-48
網路安全
架設實作 (二 )
FTP 擷取密碼案例
2-49
網路安全
FTPClientOSWINXP-SP3-pc3000IP 10112安裝軟體 FileZilla
FTPServerOSWINXP-SP3-pc3000IP 10123安裝軟體 RaidenFTPD
實驗環境介紹bull 以 Testbed建立一實驗相關拓樸及設定如下圖
2-50
IP1IP2
WireSharkOSWINXP-SP3-pc3000IP1 10113IP2 10122安裝軟體 Wireshark
網路安全
實驗拓樸 on TestbedTWISC- 建立完成的實驗拓樸
2-51
網路安全
FTP伺服器工具 - RaidenFTPD
bull 版本ndash 24 build 3720
bull 支援作業平台ndash Windows
bull 下載位址ndash httpwwwraidenmaildcomdownloadraidenftpd2exe
2-52
網路安全
RaidenFTPD 安裝步驟bull 下載Windows平台最新版本檔案下載完成後執行該安裝程式
2-53
網路安全
RaidenFTPD 安裝步驟 (續 )
bull 此步驟使用預設路徑即可按下 Install 進行安裝
2-54
網路安全
RaidenFTPD設定步驟bull 程式開啟畫面如下選擇 Click here to start a new
server 進行 FTP伺服器設定
2-55
網路安全
RaidenFTPD設定步驟 (續 )
bull 此處可設定 Server name與 Server IP 將 Auto IP 取消勾選並將 Server IP設為 10123
2-56
網路安全
RaidenFTPD設定步驟 (續 )
bull 接下來的步驟依照預設值即可
2-57
網路安全
RaidenFTPD設定步驟 (續 )
bull 設定人員帳號與群組按下 Add鈕輸入帳號密碼群組名稱可略過完成後按下 Next 進行下一步驟
2-58
網路安全
RaidenFTPD設定步驟 (續 )
bull 此步驟設定該帳號登入 FTP 時的權限選擇NORMAL 按下 Next 進行下一步驟
2-59
網路安全
RaidenFTPD設定步驟 (續 )
bull 接下來的步驟皆以預設值即可完成設定之後會出現對話視窗顯示您所設定的資訊
2-60
網路安全
FTP 用戶端工具 - Filezilla
bull 版本ndash 328
bull 支援作業平台ndash Windows Linux及Mac
bull 下載位址ndash httpsourceforgenetprojectsfilezillafiles
FileZilla_Client328FileZilla_328_win32zipdownload
2-61
網路安全
Filezilla 安裝步驟bull 執行 Filezilla 安裝程式點選 I agree 鈕
2-62
網路安全
Filezilla 安裝步驟 (續 )
bull 以預設值安裝點選兩次 Next 鈕
2-63
網路安全
Filezilla 安裝步驟 (續 )
bull 以預設值安裝點選 Next 鈕後再點選 Install 鈕
2-64
網路安全
Filezilla 安裝步驟 (續 )
bull 以預設值安裝點選 Next 鈕後再點選 Finish 鈕
2-65
網路安全
封包擷取工具 - Wireshark
bull 版本ndash 165
bull 支援作業平台ndash Windows Linux及 FreeBSD
bull 其他需求ndash 安裝WinPcap 31 以上版本
bull 下載位址ndash httpwiresharkdownloadsriverbedcomwireshark
win32wireshark-win32-165exe
2-66
網路安全
Wireshark 安裝步驟bull 至官方網站下載Windows平台最新版本檔案下載完成後執行該安裝程式
2-67
網路安全
Wireshark 安裝步驟 (續 )
bull 於下一步出現的版權宣告點選 I Agree鈕後繼續下一步驟
2-68
網路安全
Wireshark 安裝步驟 (續 )
bull 此步驟選擇欲安裝的元件以軟體預設勾選之項目安裝
2-69
網路安全
Wireshark 安裝步驟 (續 )
bull 此步驟使用預設路徑即可
2-70
網路安全
Wireshark 安裝步驟 (續 )
bull 此步驟將安裝Windows平台須加裝之套件 -WinPcap 若原系統未安裝過 WinPcap套件請以軟體預設項目安裝之
2-71
網路安全
Wireshark 安裝步驟 (續 )
bull 此步驟代表 Wireshark軟體已安裝完成可點選Finish 鈕或勾選 Run Wireshark 165 隨即使用該套軟體
2-72
網路安全
一般工具列Wireshark軟體介面介紹
2-73
篩選工具列封包清單窗格
封包內容窗格封包位元組窗格
網路安全
Wireshark 使用思考方向bull 遇到網路問題是否觀察網路通道中有異常動作或狀況
ndash 思考方向ndash 反應到擷取數據方法那麼以 Wireshark 擷取使用者需要擷取哪些數據這些數據由使用者電腦哪個裝置來擷取
bull Wireshark操作流程
bull 接下來我們進行軟體操作介紹
解決問題 擷取數據要先做什麼
擷取數據 擷取哪些數據( 過濾條件 )數據哪裡來( 網路介面卡 )
2-74
網路安全
數據哪裡來 - Capture功能bull 一開啟方式
ndash 1 點選快速鈕如紅色圈所示ndash 2 點選 Capture功能表 下拉選單後點選 Optionsndash 3鍵盤快速鍵 Ctrl + K
2-75
網路安全
數據哪裡來 - Capture功能 (續 )
bull 二開啟後顯示 Capture Options 的視窗畫面即可看到所提供的擷取功能選項
2-76
網路安全
數據哪裡來 - Capture功能 (續 )
bull Capture Options 常用的欄位設定ndash Caputure 框
bull 1Interface 會顯示出在系統上所有網路卡但只能選取一個介面作為封包擷取bull 2Capture packets in promiscuous mode 選取此選項就是經過所選取的網路卡的所有封包都會被擷取下來bull 3Capture Filter 指定擷取過濾器運算式擷取想要的特定封包即為擷取中過濾之功能
2-77
網路安全
數據哪裡來 - Capture功能 (續 )
bull Capture Options 常用的欄位設定ndash Display Options 框
bull Update list of packets in real time 指定在擷取封包過程中能夠即時更新已擷取封包清單窗格視窗中的封包資訊若取消則軟體主視窗更新畫面是沒有動作的
2-78
網路安全
bull Capture Options 常用的欄位設定ndash Name Resolution框
bull 1 Enable MAC name resolution 指定是否將網路卡MAC address 的前三個位元組轉換成製造商名稱
bull 2 Enable network name resolution 指定是否將 IP address轉換成 DNS 網域名稱
bull 3 Enable transport name resolution 指定是否將通信埠號碼 (port numbers)轉成協定名稱 (protocols)bull 各位了解數據從哪裡擷取的概念與操作之後即可以進一步加上附帶條件 (篩選條件 ) 等相關操作方式
數據哪裡來 - Capture功能 (續 )
2-79
網路安全
Wireshark操作手法bull 延續遇到問題的思考方向及軟體操作手法我們可以將操作流程分為兩種
ndash 擷取中過濾 (Filter while capturing)bull 優點僅擷取已知範圍資訊網路流量少bull 缺點需先了解問題類型避免可能有遺漏真正欲擷取資訊之狀況
ndash 檢視中過濾 (Filter packets while viewing)bull 優點不用先預設條件擷取所有封包資訊bull 缺點影響網路流量
先預設欲擷取條件 擷取數據
擷取數據 再篩選欲查詢數據2-80
網路安全
Wireshark操作手法 - 擷取中過濾bull 操作步驟
ndash 點選 Capture 下拉視窗選擇 Capture Filters 即呈現此視窗
bull 操作範例ndash 1於 Filter窗格中選擇 IP
Address 10112ndash 2於 Properties窗格中即顯示該選項的設定值如圖所示為 host 10112ndash 3 即可設定軟體僅針對
10112 的封包作擷取動作 延伸操作思考1 改變 Filter string 值得到什麼結果2 點選 Edit 窗格中的 New 鈕 新增自訂條件 2-81
網路安全
Wireshark操作手法 - 檢視中過濾bull 此步驟即以已擷取封包清單窗格為基礎以過濾條件過濾該清單bull 可直接選擇軟體預設項目如以下操作
ndash 操作步驟bull 點選 Analyze 下拉視窗選擇
Display Filters 即呈現此視窗ndash 操作範例
bull 1於 Filter窗格中選擇 IP Address 10112
bull 2於 Properties窗格中即顯示該選項的設定值如圖所示值為host 10112
bull 3 即可設定軟體僅針對 10112的封包作顯示動作 延伸操作思考1 可否進行進一步自訂設定值
2-82
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 若電腦 IP為 10112 欲篩選出 IP 來源為上述 IP 且協定為 TCP 80port 的所有封包ndash 操作步驟
bull 點選 Expression鈕即出現此視窗ndash 1於 Field name框選擇
IP項目中的 ipsrc - Source
ndash 2於 Relation框選擇 ==ndash 3於 Value [IPV4
address]填 入 10112ndash 4 點選 OK鈕 進階思考方式須考慮到例如是來源資訊是目標資訊是什麼協定等更細部所要之條件
2-83
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 再進行第二篩選條件ndash TCP 80 port
bull 操作步驟ndash 1先於 Filter string 輸入文字框「 ipsrc==
10112」後再加上一個空格及「 and 」再進行一次 Expression條件選擇
2-84
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
ndash 2於 Field name框選擇「 tcpdstport」ndash 3於 Relation框選擇「 ==」ndash 4於 Value框填入「 80」ndash 5 選擇「 OK」鈕
2-85
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 注意 Propeties框內的Filter string欄位值已改變為「 ipsrc == 10112 and tcpdstport == 80」
bull 確認條件正確後點選「 OK 」鈕即可發現已擷取封包清單窗格的項目均為所設定過濾條件過濾過結果2-86
網路安全
bull 可單選單一封包進行更進階查詢封包內容bull 操作方式為
ndash 點選其中一項封包項目點選滑鼠右鍵選擇Follow TCP Stream
Wireshark操作手法 - 檢視中過濾 (續 )
2-87
網路安全
ndash 此畫面即可看出該項 TCP 封包溝通內容Wireshark操作手法 - 檢視中過濾 (續 )
2-88
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 此功能將所擷取的封包清單使用多種方式呈現封包統計資料便於使用者查詢擷取時間內何種封包數量多寡及圖型顯示bull 操作步驟點選 Statistics 下拉視窗即呈現此視窗 顯示有關擷取清單的摘要以階梯式通訊協定列表顯示所擷取的所有封包
在特定 IP間顯示通訊流量顯示單一 IP 來往封包的流量
以時間軸顯示視覺化封包流量圖2-89
網路安全
bull 可查看到一時段內其封包總數與平均每秒傳遞接收封包數等相關資訊讓使用者了解平均一時段內網路流量狀況藉以初步獲得資訊
Wireshark操作手法 - 檢視中過濾 (續 )
2-90
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 讓使用者可透過階梯式封包分類表來查看哪一類封包佔為居多可進一步推測是否該類型封包影響到整體網路或是否有異常或不常見封包類型在網路中傳遞
2-91
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 將該擷取時段內封包清單檔以兩個特定 IP 之間對傳封包為區隔顯示出哪兩個特定 IP間傳遞封包數多寡bull 可讓使用者更進一步研判兩個特定 IP所屬設備傳遞狀況是否異常
2-92
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 將該擷取時段內封包清單檔以特定IP 傳遞封包數為區隔顯示出哪特定IP 傳遞封包數多寡
bull 可讓使用者更進一步研判該特定所屬設備傳遞封包數是否異常作為管制緊急管制或禁止通訊之證明2-93
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 以時間軸顯示視覺化封包流量圖bull 讓使用者可觀察所管理設備資訊流通量以了解設備是否能負荷或作相關調整等處置
2-94
網路安全
FTP 擷取密碼案例bull 於Wireshark軟體選擇 Capture 下拉選單功能項點選 Interfaces 選項
2-95
網路安全
FTP 擷取密碼案例 (續 )
bull 確認欲擷取封包之網卡名稱如紅色底線所示確認後點選 Start鈕
2-96
網路安全
FTP 擷取密碼案例 (續 )
bull 切換至 FTP Client 電腦開啟 FileZilla 程式後連線到 FTP Server 於 Host 填入10123 Username填入 tester Password填入testpw 後點選 Quickconnect鈕
2-97
網路安全
FTP 擷取密碼案例 (續 )
bull 擷取到的封包資訊會顯示於已擷取封包清單窗格內
2-98
網路安全
FTP 擷取密碼案例 (續 )
bull 使用 FTP軟體登入 ftp站後 Wireshark 將擷取到的使用者名稱與密碼如紅框所示
2-99
網路安全
FTP 擷取密碼案例 (續 )
bull 點選已擷取封包清單窗格的密碼資訊列如標示1 的紅框所示即可在封包內容窗格看到該密碼的位元碼如標示 2 的紅框所示
1
2
2-100
網路安全
架設實作 (三 )
Outlook Express 擷取密碼案例
2-101
網路安全
實驗環境介紹bull 以 Testbed建立一實驗相關拓樸及設定如下圖
OEClientOSWindows XP SP3IP 10112執行 Outlook Express
MailServerOSWindows XP SP3IP 10122安裝軟體 ArGoSoft Mail Server
2-102
WiresharkOSWindows XP SP3IP1 10113 IP2 10123安裝軟體 Wireshark
IP1IP2
網路安全
實驗拓樸 on TestbedTWISC- 建立完成的實驗拓樸
2-103
網路安全
郵件伺服器工具 - ArGoSoft Mail Server
bull 版本ndash 1892 Freeware
bull 支援作業平台ndash Windows
bull 下載位址ndash httpwwwsoftkingcomtwsoftdownloadaspfid3=7367
2-104
網路安全
郵件客戶端工具 - Outlook Express
bull 版本ndash 60
bull 支援作業平台ndash Windows
bull 下載位址ndash Windows 內建
2-105
網路安全
bull 安裝及設定郵件伺服器ndash 1下載並執行 ArGoSoft Mail Server軟體點選
Setup鈕
Outlook Express 擷取密碼案例
2-106
網路安全
ndash 1 點選 Next鈕ndash 2 點選 Start Installation鈕
Outlook Express 擷取密碼案例 (續 )
2-107
網路安全
ndash 3 點選 OK鈕ndash 4 點選 Finish鈕完成軟體安裝
Outlook Express 擷取密碼案例 (續 )
2-108
網路安全
ndash 5 點選使用者設定鈕如紅圈所示ndash 6 點選新增鈕如紅框所示
Outlook Express 擷取密碼案例 (續 )
2-109
網路安全
ndash 7填入使用者名稱 (tester) 及密碼 (testpw) 如紅圈所示填寫完成後點選 OK鈕ndash 8 點選 Close鈕關閉使用者設定視窗
Outlook Express 擷取密碼案例 (續 )
2-110
網路安全
ndash 9 點選選項鈕如左側圖中紅色圈所示ndash 10 點選紅色打勾鈕如右側圖中紅色圈所示
2-111
Outlook Express 擷取密碼案例 (續 )
網路安全
ndash 11該軟體會自動選取 DNS Server 待選取後點選 Yes鈕ndash 12 勾選 Allow Relay 選項如紅框所示
2-112
Outlook Express 擷取密碼案例 (續 )
網路安全
Outlook Express 擷取密碼案例 (續 )
bull 設定收信帳號ndash 1 點選 Tools功能選單選擇 Accounts 選項
2-113
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 2 點選 Add鈕選擇 Mail 選項
2-114
網路安全
ndash 3填入 tester 點選 Next鈕ndash 4填入 testertestcom 點選 Next鈕
Outlook Express 擷取密碼案例 (續 )
2-115
網路安全
ndash 5填入 10123 如紅框所示點選 Next鈕ndash 6填入帳號為 tester 及密碼為 testpw 點選 Next鈕
Outlook Express 擷取密碼案例 (續 )
2-116
網路安全
ndash 7 點選 Finish鈕ndash 8 點選 Close鈕
Outlook Express 擷取密碼案例 (續 )
2-117
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 模擬條件準備好後首先準備Wireshark 擷取動作開啟Wireshark
2-118
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 於Wireshark軟體選擇 Capture 下拉選單功能項點選 Interfaces 選項
2-119
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 確認欲擷取封包之網卡名稱如紅色底線所示確認後點選 Start鈕
2-120
網路安全
ndash 當使用者收發 email 時即被 Wireshark攔截封包ndash 有發現到該 Outlook Express帳號密碼是如此清晰可見的嗎
Outlook Express 擷取密碼案例 (續 )
2-121
網路安全
結論bull 學習了 Wireshark及WinDump 兩套網路封包擷取軟體基本概念如同電話側錄概念相同從中複製一連串資訊來分析與了解網路的流量及內容為何bull 當你發現網路速度緩慢等狀況你是否會反應到所學的基本概念來找尋問題所在bull 防範概念由此課程的實例可以了解網路內容如被有心人士擷取所造成的損失相當可觀故你是否有對策有哪些方式你可以應用來防範bull 正確的思考善用對的工具將對解決問題事半功倍
2-122
網路安全 2-123
Module 2-5 封包擷取與分析的專案實作()
網路安全
專案目的bull 建立遠端管理傳遞指令資訊環境bull 利用實際攔截封包操作的方式讓同學了解封包擷取運作與網路資訊流通的顧慮等相關議題
2-124
網路安全
專案描述bull 近年來遠端管理伺服器及網路服務普及光是密碼保護就足夠了嗎是否重點網段須全程加密還是作網段隔離經由此專案實作即可了解不僅部分加密仍有其風險所在網路架構如何規劃將是非常重要的課題bull 參考環境配置圖完成下列要求①環境裡的攔截封包主機是 Windows XP SP3 作業系統而該主機安裝Wireshark軟體②另兩台主機的作業系統亦是 Windows XP SP3 並裝上
MySQL軟體 MySQL帳號為 root 密碼為您的學號 (如 Q3896105)
③在MySQLClient 電腦使用 MySQL Commandline 指令連線至MySQLServer 擷取資料庫資訊
④我們針對這兩台主機傳訊的封包擷取由整個實做中思考如何防範資訊外洩與了解傳訊封包如何流動及運作2-125
網路安全
環境配置圖bull 以 Testbed建立一實驗相關拓樸及設定如下圖
MySQLServerOSWINXP-SP3-CH-pc3000 IP 10123安裝軟體 MySQL
MySQLClientOSWINXP-SP3-CH-pc3000 IP 10112安裝軟體 MySQL
2-126
WireSharkOSWINXP-SP3-CH-pc3000 IP1 10113IP2 10122安裝軟體 Wireshark
IP1IP2
網路安全
作業繳交bull 請參考情境測試發送數個 SQL 指令並將過程與擷取到的封包資訊之截圖列於報告中所有圖表皆需要輔以文字說明bull Deadline 2012312 下午 500 以前bull 作業範圍 Module 2-5 (page 2-128)bull 方式 (參考課程網址 )
ndash 帳號密碼小寫的 (ns100ns100)ndash IP 140116164167
2-127
網路安全
有問題嗎
bull 關於 TestBed 使用上的問題請直接 Email至 twisc-testbed-usergooglegroupscom 將有專人為您服務bull 課程網址
httpitlabeenckuedutwcoursesNS_100indexhtml
2-128
bull 助教資訊 (參考課程網址 )
網路安全
參考資料bull Dienet httplinuxdienetman1wiresharkbull Orebaugh Angela Ramirez Gilbert Burke Josh Pesce Larry Wright
Joshua(2007) Wireshark and Ethereal network protocol analyzer toolkitbull Tony Fortunato(2007) Wireshark Training Retrieved July 22 2009 from
the World Wide Web httpwwwthetechfirmcometherealwiresharkpdfbull WinDump httpwwwwinpcaporgWinDumpbull Wireshark httpwwwwiresharkorgbull Wireshark University httpwwwwiresharktrainingcombull 楊中皇 (民 97年 ) 網路安全理論與實務 (2版 ) 台北市學貫bull 蘇淑茵教授 Wireshark 民國 98年 6月 28日取自 httpmywebnckuedutw~sisou
2-129
網路安全
說明bull 架設實作 (一 ) 請將介紹如何安裝與使用
WinDump 依實驗拓樸請使用 WireDump 主機做安裝及測試bull 架設實作 (二 ) 請利用 Wireshark軟體對 FTP 進行封包擷取依實驗拓樸請使用 Wireshark 主機做安裝及測試bull 架設實作 (三 ) 請利用 Wireshark軟體對
Outlook Express進行封包擷取依實驗拓樸請使用 Wireshark 主機做安裝及測試2-34
網路安全
架設實作 (一 )
WinDump 實作 -SSH連線觀察
2-35
網路安全
封包擷取工具 - WinDump
bull 版本ndash 395
bull 支援作業平台ndash Windows 9598NT2000XP2003
bull 其他需求ndash 安裝WinPcap 31 以上版本
bull 下載位址ndash httpwwwwinpcaporgwindumpinstallbin
windump_3_9_5WinDumpexe
2-36
網路安全
其他需求工具 - WinPcap
bull 版本ndash 402 stable
bull 支援作業平台ndash Windows NT42000
Windows XP2003Vista (x86 and x64)Windows Server 2008 (x86 and x64)
bull 下載位址ndash httpwwwwinpcaporginstallbin
WinPcap_4_0_2exe
2-37
網路安全
WinPcap 安裝步驟bull WinPcap 下載完成後即可進行安裝bull 安裝畫面如下點選 Next按鈕繼續下一步
2-38
網路安全
WinDump與WinPcap測試bull 請將下載的 WinDumpexe 檔案存放至 C
Windowssystem32 的目錄之下bull 測試WinDump及WinPcap 是否可運作
ndash 點選開始 -gt 程式集 -gt附屬應用程式 -gt命令提示字元 -gt 輸入「 windump 」按下 Enter 即會出現「 windump listening on DeviceNPF_GenericDialupAdapter」的訊息代表WinDump及WinPcap 安裝成功且可運作
ndash 停止監聽按「 Ctrl + C」將顯示擷取封包的數量
2-39
網路安全
參數 說明-c 指定收到的封包數目當達到該數目時 Tcpdump 即會停止-d 把編譯過的封包編碼轉碼成可閱讀的格式放置於標準輸出-dd 把編譯過的封包編碼轉碼成 C 語言的格式放置於標準輸出-ddd 把編譯過的封包編碼轉碼成十進位的格式放置於標準輸出-F 從所指定的文件中讀取運算式進而忽略其他運算式-f 用數字顯示 IP 位址 -i 指定擷取封包的網路介面 -w 將擷取的封包直接寫入檔案當中不做分析與顯示於畫面
參數 說明-r 從指定的檔案文件中讀取資料該檔案文件由 -w 所製造出來-v 顯示詳細的封包資訊多了 TTL 及服務類型-s 設定每一個封包的大小-S 用絕對數並非相對數的值列出 TCP 連接數-tt 顯示出原始時間並且為不格式化的時間-n 不進行 IP Address 到 Domain
Name 的轉換-nn 不進行 Port 的轉換如 22 就是
ssh
-x 用十六進位字碼列出封包資料
WinDump相關參數列表
2-40
網路安全
WinDump 簡易使用操作說明bull 語法 windump 參數bull 查看目前系統可使用的網卡介面
ndash windump -Dbull 透過查看網卡介面以利後續監聽之用
2-41
網路安全
WinDump 簡易使用操作說明 (續 )
bull WinDump -i 網卡介面代號 -c 擷取封包數量 port 通訊埠
bull 例 WinDump -i 2 -c 10 port 80
2-42
網路安全
WinDump 簡易使用操作說明 (續 )
bull 因於命令提示字元視窗內所顯示的資訊不易閱讀可透過下列指令將其所擷取的資訊導向至檔案bull Windump -i 網卡介面代號 gt 檔名
ndash windump -i 2 -c 10 -w message port 80ndash windump -r message gt messagetxtndash windump -i 2 -c 10 port 80 gt messagetxt
2-43
網路安全
WinDump 簡易使用操作說明 (續 )
112338326205 此為封包被擷取的時間『 HHMMSSfraction』的單位IP 透過的通訊協定是 IPwinser 1099 gt w1wwwviptw1yahoocomtw80 代表的是傳送端是 winser 傳送的通訊埠為 1099 大於 (gt) 的符號指的是封包的傳輸方向 w1wwwviptw1yahoocomtw 為接收端 80 為接收埠
P(PUSH) 為資料傳輸標誌且傳輸的資料為整體資料的 1~ 699 byte 所以這個封包帶有 698 bytes 的資料量 ack 1 win 65535 ACK與Window size 的相關資料2-44
網路安全
bull 以 Testbed建立一實驗相關拓樸及設定如下圖SSHClientOSWINXP-SP3-CH-pc3000 IP 10113安裝軟體 putty
SSHServerOSWINXP-SP3-CH-pc3000IP 10123安裝軟體 sshd
實驗環境介紹
2-45
IP1
IP2
WireDumpOSWINXP-SP3-CH-pc3000IP1 10112IP2 10122安裝軟體 WinDump
網路安全
實驗拓樸 on TestbedTWISC- 建立完成的實驗拓樸
2-46
網路安全
SSH連線觀察bull 利用 Putty連線到 SSHServer從中觀察到三向交握建立連線的動作從 SSHClient 端利用 putty連線到SSHServer(10123)的 sshd服務
2-47
網路安全
SSH連線觀察 (續 )
bull SSH 在連線之前會利用三向交握的方式建立連線bull 利用 WinDump觀察 SSH連線動作
ndash 指令 WinDumpexe -N -S -i 4 port 22
三向交握的三個封包三向交握示意圖Server lt- Client SYN 你想連線Server -gt Client SYN ACK 可以我接受Server lt- Client ACK 謝謝
2-48
網路安全
架設實作 (二 )
FTP 擷取密碼案例
2-49
網路安全
FTPClientOSWINXP-SP3-pc3000IP 10112安裝軟體 FileZilla
FTPServerOSWINXP-SP3-pc3000IP 10123安裝軟體 RaidenFTPD
實驗環境介紹bull 以 Testbed建立一實驗相關拓樸及設定如下圖
2-50
IP1IP2
WireSharkOSWINXP-SP3-pc3000IP1 10113IP2 10122安裝軟體 Wireshark
網路安全
實驗拓樸 on TestbedTWISC- 建立完成的實驗拓樸
2-51
網路安全
FTP伺服器工具 - RaidenFTPD
bull 版本ndash 24 build 3720
bull 支援作業平台ndash Windows
bull 下載位址ndash httpwwwraidenmaildcomdownloadraidenftpd2exe
2-52
網路安全
RaidenFTPD 安裝步驟bull 下載Windows平台最新版本檔案下載完成後執行該安裝程式
2-53
網路安全
RaidenFTPD 安裝步驟 (續 )
bull 此步驟使用預設路徑即可按下 Install 進行安裝
2-54
網路安全
RaidenFTPD設定步驟bull 程式開啟畫面如下選擇 Click here to start a new
server 進行 FTP伺服器設定
2-55
網路安全
RaidenFTPD設定步驟 (續 )
bull 此處可設定 Server name與 Server IP 將 Auto IP 取消勾選並將 Server IP設為 10123
2-56
網路安全
RaidenFTPD設定步驟 (續 )
bull 接下來的步驟依照預設值即可
2-57
網路安全
RaidenFTPD設定步驟 (續 )
bull 設定人員帳號與群組按下 Add鈕輸入帳號密碼群組名稱可略過完成後按下 Next 進行下一步驟
2-58
網路安全
RaidenFTPD設定步驟 (續 )
bull 此步驟設定該帳號登入 FTP 時的權限選擇NORMAL 按下 Next 進行下一步驟
2-59
網路安全
RaidenFTPD設定步驟 (續 )
bull 接下來的步驟皆以預設值即可完成設定之後會出現對話視窗顯示您所設定的資訊
2-60
網路安全
FTP 用戶端工具 - Filezilla
bull 版本ndash 328
bull 支援作業平台ndash Windows Linux及Mac
bull 下載位址ndash httpsourceforgenetprojectsfilezillafiles
FileZilla_Client328FileZilla_328_win32zipdownload
2-61
網路安全
Filezilla 安裝步驟bull 執行 Filezilla 安裝程式點選 I agree 鈕
2-62
網路安全
Filezilla 安裝步驟 (續 )
bull 以預設值安裝點選兩次 Next 鈕
2-63
網路安全
Filezilla 安裝步驟 (續 )
bull 以預設值安裝點選 Next 鈕後再點選 Install 鈕
2-64
網路安全
Filezilla 安裝步驟 (續 )
bull 以預設值安裝點選 Next 鈕後再點選 Finish 鈕
2-65
網路安全
封包擷取工具 - Wireshark
bull 版本ndash 165
bull 支援作業平台ndash Windows Linux及 FreeBSD
bull 其他需求ndash 安裝WinPcap 31 以上版本
bull 下載位址ndash httpwiresharkdownloadsriverbedcomwireshark
win32wireshark-win32-165exe
2-66
網路安全
Wireshark 安裝步驟bull 至官方網站下載Windows平台最新版本檔案下載完成後執行該安裝程式
2-67
網路安全
Wireshark 安裝步驟 (續 )
bull 於下一步出現的版權宣告點選 I Agree鈕後繼續下一步驟
2-68
網路安全
Wireshark 安裝步驟 (續 )
bull 此步驟選擇欲安裝的元件以軟體預設勾選之項目安裝
2-69
網路安全
Wireshark 安裝步驟 (續 )
bull 此步驟使用預設路徑即可
2-70
網路安全
Wireshark 安裝步驟 (續 )
bull 此步驟將安裝Windows平台須加裝之套件 -WinPcap 若原系統未安裝過 WinPcap套件請以軟體預設項目安裝之
2-71
網路安全
Wireshark 安裝步驟 (續 )
bull 此步驟代表 Wireshark軟體已安裝完成可點選Finish 鈕或勾選 Run Wireshark 165 隨即使用該套軟體
2-72
網路安全
一般工具列Wireshark軟體介面介紹
2-73
篩選工具列封包清單窗格
封包內容窗格封包位元組窗格
網路安全
Wireshark 使用思考方向bull 遇到網路問題是否觀察網路通道中有異常動作或狀況
ndash 思考方向ndash 反應到擷取數據方法那麼以 Wireshark 擷取使用者需要擷取哪些數據這些數據由使用者電腦哪個裝置來擷取
bull Wireshark操作流程
bull 接下來我們進行軟體操作介紹
解決問題 擷取數據要先做什麼
擷取數據 擷取哪些數據( 過濾條件 )數據哪裡來( 網路介面卡 )
2-74
網路安全
數據哪裡來 - Capture功能bull 一開啟方式
ndash 1 點選快速鈕如紅色圈所示ndash 2 點選 Capture功能表 下拉選單後點選 Optionsndash 3鍵盤快速鍵 Ctrl + K
2-75
網路安全
數據哪裡來 - Capture功能 (續 )
bull 二開啟後顯示 Capture Options 的視窗畫面即可看到所提供的擷取功能選項
2-76
網路安全
數據哪裡來 - Capture功能 (續 )
bull Capture Options 常用的欄位設定ndash Caputure 框
bull 1Interface 會顯示出在系統上所有網路卡但只能選取一個介面作為封包擷取bull 2Capture packets in promiscuous mode 選取此選項就是經過所選取的網路卡的所有封包都會被擷取下來bull 3Capture Filter 指定擷取過濾器運算式擷取想要的特定封包即為擷取中過濾之功能
2-77
網路安全
數據哪裡來 - Capture功能 (續 )
bull Capture Options 常用的欄位設定ndash Display Options 框
bull Update list of packets in real time 指定在擷取封包過程中能夠即時更新已擷取封包清單窗格視窗中的封包資訊若取消則軟體主視窗更新畫面是沒有動作的
2-78
網路安全
bull Capture Options 常用的欄位設定ndash Name Resolution框
bull 1 Enable MAC name resolution 指定是否將網路卡MAC address 的前三個位元組轉換成製造商名稱
bull 2 Enable network name resolution 指定是否將 IP address轉換成 DNS 網域名稱
bull 3 Enable transport name resolution 指定是否將通信埠號碼 (port numbers)轉成協定名稱 (protocols)bull 各位了解數據從哪裡擷取的概念與操作之後即可以進一步加上附帶條件 (篩選條件 ) 等相關操作方式
數據哪裡來 - Capture功能 (續 )
2-79
網路安全
Wireshark操作手法bull 延續遇到問題的思考方向及軟體操作手法我們可以將操作流程分為兩種
ndash 擷取中過濾 (Filter while capturing)bull 優點僅擷取已知範圍資訊網路流量少bull 缺點需先了解問題類型避免可能有遺漏真正欲擷取資訊之狀況
ndash 檢視中過濾 (Filter packets while viewing)bull 優點不用先預設條件擷取所有封包資訊bull 缺點影響網路流量
先預設欲擷取條件 擷取數據
擷取數據 再篩選欲查詢數據2-80
網路安全
Wireshark操作手法 - 擷取中過濾bull 操作步驟
ndash 點選 Capture 下拉視窗選擇 Capture Filters 即呈現此視窗
bull 操作範例ndash 1於 Filter窗格中選擇 IP
Address 10112ndash 2於 Properties窗格中即顯示該選項的設定值如圖所示為 host 10112ndash 3 即可設定軟體僅針對
10112 的封包作擷取動作 延伸操作思考1 改變 Filter string 值得到什麼結果2 點選 Edit 窗格中的 New 鈕 新增自訂條件 2-81
網路安全
Wireshark操作手法 - 檢視中過濾bull 此步驟即以已擷取封包清單窗格為基礎以過濾條件過濾該清單bull 可直接選擇軟體預設項目如以下操作
ndash 操作步驟bull 點選 Analyze 下拉視窗選擇
Display Filters 即呈現此視窗ndash 操作範例
bull 1於 Filter窗格中選擇 IP Address 10112
bull 2於 Properties窗格中即顯示該選項的設定值如圖所示值為host 10112
bull 3 即可設定軟體僅針對 10112的封包作顯示動作 延伸操作思考1 可否進行進一步自訂設定值
2-82
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 若電腦 IP為 10112 欲篩選出 IP 來源為上述 IP 且協定為 TCP 80port 的所有封包ndash 操作步驟
bull 點選 Expression鈕即出現此視窗ndash 1於 Field name框選擇
IP項目中的 ipsrc - Source
ndash 2於 Relation框選擇 ==ndash 3於 Value [IPV4
address]填 入 10112ndash 4 點選 OK鈕 進階思考方式須考慮到例如是來源資訊是目標資訊是什麼協定等更細部所要之條件
2-83
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 再進行第二篩選條件ndash TCP 80 port
bull 操作步驟ndash 1先於 Filter string 輸入文字框「 ipsrc==
10112」後再加上一個空格及「 and 」再進行一次 Expression條件選擇
2-84
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
ndash 2於 Field name框選擇「 tcpdstport」ndash 3於 Relation框選擇「 ==」ndash 4於 Value框填入「 80」ndash 5 選擇「 OK」鈕
2-85
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 注意 Propeties框內的Filter string欄位值已改變為「 ipsrc == 10112 and tcpdstport == 80」
bull 確認條件正確後點選「 OK 」鈕即可發現已擷取封包清單窗格的項目均為所設定過濾條件過濾過結果2-86
網路安全
bull 可單選單一封包進行更進階查詢封包內容bull 操作方式為
ndash 點選其中一項封包項目點選滑鼠右鍵選擇Follow TCP Stream
Wireshark操作手法 - 檢視中過濾 (續 )
2-87
網路安全
ndash 此畫面即可看出該項 TCP 封包溝通內容Wireshark操作手法 - 檢視中過濾 (續 )
2-88
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 此功能將所擷取的封包清單使用多種方式呈現封包統計資料便於使用者查詢擷取時間內何種封包數量多寡及圖型顯示bull 操作步驟點選 Statistics 下拉視窗即呈現此視窗 顯示有關擷取清單的摘要以階梯式通訊協定列表顯示所擷取的所有封包
在特定 IP間顯示通訊流量顯示單一 IP 來往封包的流量
以時間軸顯示視覺化封包流量圖2-89
網路安全
bull 可查看到一時段內其封包總數與平均每秒傳遞接收封包數等相關資訊讓使用者了解平均一時段內網路流量狀況藉以初步獲得資訊
Wireshark操作手法 - 檢視中過濾 (續 )
2-90
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 讓使用者可透過階梯式封包分類表來查看哪一類封包佔為居多可進一步推測是否該類型封包影響到整體網路或是否有異常或不常見封包類型在網路中傳遞
2-91
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 將該擷取時段內封包清單檔以兩個特定 IP 之間對傳封包為區隔顯示出哪兩個特定 IP間傳遞封包數多寡bull 可讓使用者更進一步研判兩個特定 IP所屬設備傳遞狀況是否異常
2-92
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 將該擷取時段內封包清單檔以特定IP 傳遞封包數為區隔顯示出哪特定IP 傳遞封包數多寡
bull 可讓使用者更進一步研判該特定所屬設備傳遞封包數是否異常作為管制緊急管制或禁止通訊之證明2-93
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 以時間軸顯示視覺化封包流量圖bull 讓使用者可觀察所管理設備資訊流通量以了解設備是否能負荷或作相關調整等處置
2-94
網路安全
FTP 擷取密碼案例bull 於Wireshark軟體選擇 Capture 下拉選單功能項點選 Interfaces 選項
2-95
網路安全
FTP 擷取密碼案例 (續 )
bull 確認欲擷取封包之網卡名稱如紅色底線所示確認後點選 Start鈕
2-96
網路安全
FTP 擷取密碼案例 (續 )
bull 切換至 FTP Client 電腦開啟 FileZilla 程式後連線到 FTP Server 於 Host 填入10123 Username填入 tester Password填入testpw 後點選 Quickconnect鈕
2-97
網路安全
FTP 擷取密碼案例 (續 )
bull 擷取到的封包資訊會顯示於已擷取封包清單窗格內
2-98
網路安全
FTP 擷取密碼案例 (續 )
bull 使用 FTP軟體登入 ftp站後 Wireshark 將擷取到的使用者名稱與密碼如紅框所示
2-99
網路安全
FTP 擷取密碼案例 (續 )
bull 點選已擷取封包清單窗格的密碼資訊列如標示1 的紅框所示即可在封包內容窗格看到該密碼的位元碼如標示 2 的紅框所示
1
2
2-100
網路安全
架設實作 (三 )
Outlook Express 擷取密碼案例
2-101
網路安全
實驗環境介紹bull 以 Testbed建立一實驗相關拓樸及設定如下圖
OEClientOSWindows XP SP3IP 10112執行 Outlook Express
MailServerOSWindows XP SP3IP 10122安裝軟體 ArGoSoft Mail Server
2-102
WiresharkOSWindows XP SP3IP1 10113 IP2 10123安裝軟體 Wireshark
IP1IP2
網路安全
實驗拓樸 on TestbedTWISC- 建立完成的實驗拓樸
2-103
網路安全
郵件伺服器工具 - ArGoSoft Mail Server
bull 版本ndash 1892 Freeware
bull 支援作業平台ndash Windows
bull 下載位址ndash httpwwwsoftkingcomtwsoftdownloadaspfid3=7367
2-104
網路安全
郵件客戶端工具 - Outlook Express
bull 版本ndash 60
bull 支援作業平台ndash Windows
bull 下載位址ndash Windows 內建
2-105
網路安全
bull 安裝及設定郵件伺服器ndash 1下載並執行 ArGoSoft Mail Server軟體點選
Setup鈕
Outlook Express 擷取密碼案例
2-106
網路安全
ndash 1 點選 Next鈕ndash 2 點選 Start Installation鈕
Outlook Express 擷取密碼案例 (續 )
2-107
網路安全
ndash 3 點選 OK鈕ndash 4 點選 Finish鈕完成軟體安裝
Outlook Express 擷取密碼案例 (續 )
2-108
網路安全
ndash 5 點選使用者設定鈕如紅圈所示ndash 6 點選新增鈕如紅框所示
Outlook Express 擷取密碼案例 (續 )
2-109
網路安全
ndash 7填入使用者名稱 (tester) 及密碼 (testpw) 如紅圈所示填寫完成後點選 OK鈕ndash 8 點選 Close鈕關閉使用者設定視窗
Outlook Express 擷取密碼案例 (續 )
2-110
網路安全
ndash 9 點選選項鈕如左側圖中紅色圈所示ndash 10 點選紅色打勾鈕如右側圖中紅色圈所示
2-111
Outlook Express 擷取密碼案例 (續 )
網路安全
ndash 11該軟體會自動選取 DNS Server 待選取後點選 Yes鈕ndash 12 勾選 Allow Relay 選項如紅框所示
2-112
Outlook Express 擷取密碼案例 (續 )
網路安全
Outlook Express 擷取密碼案例 (續 )
bull 設定收信帳號ndash 1 點選 Tools功能選單選擇 Accounts 選項
2-113
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 2 點選 Add鈕選擇 Mail 選項
2-114
網路安全
ndash 3填入 tester 點選 Next鈕ndash 4填入 testertestcom 點選 Next鈕
Outlook Express 擷取密碼案例 (續 )
2-115
網路安全
ndash 5填入 10123 如紅框所示點選 Next鈕ndash 6填入帳號為 tester 及密碼為 testpw 點選 Next鈕
Outlook Express 擷取密碼案例 (續 )
2-116
網路安全
ndash 7 點選 Finish鈕ndash 8 點選 Close鈕
Outlook Express 擷取密碼案例 (續 )
2-117
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 模擬條件準備好後首先準備Wireshark 擷取動作開啟Wireshark
2-118
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 於Wireshark軟體選擇 Capture 下拉選單功能項點選 Interfaces 選項
2-119
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 確認欲擷取封包之網卡名稱如紅色底線所示確認後點選 Start鈕
2-120
網路安全
ndash 當使用者收發 email 時即被 Wireshark攔截封包ndash 有發現到該 Outlook Express帳號密碼是如此清晰可見的嗎
Outlook Express 擷取密碼案例 (續 )
2-121
網路安全
結論bull 學習了 Wireshark及WinDump 兩套網路封包擷取軟體基本概念如同電話側錄概念相同從中複製一連串資訊來分析與了解網路的流量及內容為何bull 當你發現網路速度緩慢等狀況你是否會反應到所學的基本概念來找尋問題所在bull 防範概念由此課程的實例可以了解網路內容如被有心人士擷取所造成的損失相當可觀故你是否有對策有哪些方式你可以應用來防範bull 正確的思考善用對的工具將對解決問題事半功倍
2-122
網路安全 2-123
Module 2-5 封包擷取與分析的專案實作()
網路安全
專案目的bull 建立遠端管理傳遞指令資訊環境bull 利用實際攔截封包操作的方式讓同學了解封包擷取運作與網路資訊流通的顧慮等相關議題
2-124
網路安全
專案描述bull 近年來遠端管理伺服器及網路服務普及光是密碼保護就足夠了嗎是否重點網段須全程加密還是作網段隔離經由此專案實作即可了解不僅部分加密仍有其風險所在網路架構如何規劃將是非常重要的課題bull 參考環境配置圖完成下列要求①環境裡的攔截封包主機是 Windows XP SP3 作業系統而該主機安裝Wireshark軟體②另兩台主機的作業系統亦是 Windows XP SP3 並裝上
MySQL軟體 MySQL帳號為 root 密碼為您的學號 (如 Q3896105)
③在MySQLClient 電腦使用 MySQL Commandline 指令連線至MySQLServer 擷取資料庫資訊
④我們針對這兩台主機傳訊的封包擷取由整個實做中思考如何防範資訊外洩與了解傳訊封包如何流動及運作2-125
網路安全
環境配置圖bull 以 Testbed建立一實驗相關拓樸及設定如下圖
MySQLServerOSWINXP-SP3-CH-pc3000 IP 10123安裝軟體 MySQL
MySQLClientOSWINXP-SP3-CH-pc3000 IP 10112安裝軟體 MySQL
2-126
WireSharkOSWINXP-SP3-CH-pc3000 IP1 10113IP2 10122安裝軟體 Wireshark
IP1IP2
網路安全
作業繳交bull 請參考情境測試發送數個 SQL 指令並將過程與擷取到的封包資訊之截圖列於報告中所有圖表皆需要輔以文字說明bull Deadline 2012312 下午 500 以前bull 作業範圍 Module 2-5 (page 2-128)bull 方式 (參考課程網址 )
ndash 帳號密碼小寫的 (ns100ns100)ndash IP 140116164167
2-127
網路安全
有問題嗎
bull 關於 TestBed 使用上的問題請直接 Email至 twisc-testbed-usergooglegroupscom 將有專人為您服務bull 課程網址
httpitlabeenckuedutwcoursesNS_100indexhtml
2-128
bull 助教資訊 (參考課程網址 )
網路安全
參考資料bull Dienet httplinuxdienetman1wiresharkbull Orebaugh Angela Ramirez Gilbert Burke Josh Pesce Larry Wright
Joshua(2007) Wireshark and Ethereal network protocol analyzer toolkitbull Tony Fortunato(2007) Wireshark Training Retrieved July 22 2009 from
the World Wide Web httpwwwthetechfirmcometherealwiresharkpdfbull WinDump httpwwwwinpcaporgWinDumpbull Wireshark httpwwwwiresharkorgbull Wireshark University httpwwwwiresharktrainingcombull 楊中皇 (民 97年 ) 網路安全理論與實務 (2版 ) 台北市學貫bull 蘇淑茵教授 Wireshark 民國 98年 6月 28日取自 httpmywebnckuedutw~sisou
2-129
網路安全
架設實作 (一 )
WinDump 實作 -SSH連線觀察
2-35
網路安全
封包擷取工具 - WinDump
bull 版本ndash 395
bull 支援作業平台ndash Windows 9598NT2000XP2003
bull 其他需求ndash 安裝WinPcap 31 以上版本
bull 下載位址ndash httpwwwwinpcaporgwindumpinstallbin
windump_3_9_5WinDumpexe
2-36
網路安全
其他需求工具 - WinPcap
bull 版本ndash 402 stable
bull 支援作業平台ndash Windows NT42000
Windows XP2003Vista (x86 and x64)Windows Server 2008 (x86 and x64)
bull 下載位址ndash httpwwwwinpcaporginstallbin
WinPcap_4_0_2exe
2-37
網路安全
WinPcap 安裝步驟bull WinPcap 下載完成後即可進行安裝bull 安裝畫面如下點選 Next按鈕繼續下一步
2-38
網路安全
WinDump與WinPcap測試bull 請將下載的 WinDumpexe 檔案存放至 C
Windowssystem32 的目錄之下bull 測試WinDump及WinPcap 是否可運作
ndash 點選開始 -gt 程式集 -gt附屬應用程式 -gt命令提示字元 -gt 輸入「 windump 」按下 Enter 即會出現「 windump listening on DeviceNPF_GenericDialupAdapter」的訊息代表WinDump及WinPcap 安裝成功且可運作
ndash 停止監聽按「 Ctrl + C」將顯示擷取封包的數量
2-39
網路安全
參數 說明-c 指定收到的封包數目當達到該數目時 Tcpdump 即會停止-d 把編譯過的封包編碼轉碼成可閱讀的格式放置於標準輸出-dd 把編譯過的封包編碼轉碼成 C 語言的格式放置於標準輸出-ddd 把編譯過的封包編碼轉碼成十進位的格式放置於標準輸出-F 從所指定的文件中讀取運算式進而忽略其他運算式-f 用數字顯示 IP 位址 -i 指定擷取封包的網路介面 -w 將擷取的封包直接寫入檔案當中不做分析與顯示於畫面
參數 說明-r 從指定的檔案文件中讀取資料該檔案文件由 -w 所製造出來-v 顯示詳細的封包資訊多了 TTL 及服務類型-s 設定每一個封包的大小-S 用絕對數並非相對數的值列出 TCP 連接數-tt 顯示出原始時間並且為不格式化的時間-n 不進行 IP Address 到 Domain
Name 的轉換-nn 不進行 Port 的轉換如 22 就是
ssh
-x 用十六進位字碼列出封包資料
WinDump相關參數列表
2-40
網路安全
WinDump 簡易使用操作說明bull 語法 windump 參數bull 查看目前系統可使用的網卡介面
ndash windump -Dbull 透過查看網卡介面以利後續監聽之用
2-41
網路安全
WinDump 簡易使用操作說明 (續 )
bull WinDump -i 網卡介面代號 -c 擷取封包數量 port 通訊埠
bull 例 WinDump -i 2 -c 10 port 80
2-42
網路安全
WinDump 簡易使用操作說明 (續 )
bull 因於命令提示字元視窗內所顯示的資訊不易閱讀可透過下列指令將其所擷取的資訊導向至檔案bull Windump -i 網卡介面代號 gt 檔名
ndash windump -i 2 -c 10 -w message port 80ndash windump -r message gt messagetxtndash windump -i 2 -c 10 port 80 gt messagetxt
2-43
網路安全
WinDump 簡易使用操作說明 (續 )
112338326205 此為封包被擷取的時間『 HHMMSSfraction』的單位IP 透過的通訊協定是 IPwinser 1099 gt w1wwwviptw1yahoocomtw80 代表的是傳送端是 winser 傳送的通訊埠為 1099 大於 (gt) 的符號指的是封包的傳輸方向 w1wwwviptw1yahoocomtw 為接收端 80 為接收埠
P(PUSH) 為資料傳輸標誌且傳輸的資料為整體資料的 1~ 699 byte 所以這個封包帶有 698 bytes 的資料量 ack 1 win 65535 ACK與Window size 的相關資料2-44
網路安全
bull 以 Testbed建立一實驗相關拓樸及設定如下圖SSHClientOSWINXP-SP3-CH-pc3000 IP 10113安裝軟體 putty
SSHServerOSWINXP-SP3-CH-pc3000IP 10123安裝軟體 sshd
實驗環境介紹
2-45
IP1
IP2
WireDumpOSWINXP-SP3-CH-pc3000IP1 10112IP2 10122安裝軟體 WinDump
網路安全
實驗拓樸 on TestbedTWISC- 建立完成的實驗拓樸
2-46
網路安全
SSH連線觀察bull 利用 Putty連線到 SSHServer從中觀察到三向交握建立連線的動作從 SSHClient 端利用 putty連線到SSHServer(10123)的 sshd服務
2-47
網路安全
SSH連線觀察 (續 )
bull SSH 在連線之前會利用三向交握的方式建立連線bull 利用 WinDump觀察 SSH連線動作
ndash 指令 WinDumpexe -N -S -i 4 port 22
三向交握的三個封包三向交握示意圖Server lt- Client SYN 你想連線Server -gt Client SYN ACK 可以我接受Server lt- Client ACK 謝謝
2-48
網路安全
架設實作 (二 )
FTP 擷取密碼案例
2-49
網路安全
FTPClientOSWINXP-SP3-pc3000IP 10112安裝軟體 FileZilla
FTPServerOSWINXP-SP3-pc3000IP 10123安裝軟體 RaidenFTPD
實驗環境介紹bull 以 Testbed建立一實驗相關拓樸及設定如下圖
2-50
IP1IP2
WireSharkOSWINXP-SP3-pc3000IP1 10113IP2 10122安裝軟體 Wireshark
網路安全
實驗拓樸 on TestbedTWISC- 建立完成的實驗拓樸
2-51
網路安全
FTP伺服器工具 - RaidenFTPD
bull 版本ndash 24 build 3720
bull 支援作業平台ndash Windows
bull 下載位址ndash httpwwwraidenmaildcomdownloadraidenftpd2exe
2-52
網路安全
RaidenFTPD 安裝步驟bull 下載Windows平台最新版本檔案下載完成後執行該安裝程式
2-53
網路安全
RaidenFTPD 安裝步驟 (續 )
bull 此步驟使用預設路徑即可按下 Install 進行安裝
2-54
網路安全
RaidenFTPD設定步驟bull 程式開啟畫面如下選擇 Click here to start a new
server 進行 FTP伺服器設定
2-55
網路安全
RaidenFTPD設定步驟 (續 )
bull 此處可設定 Server name與 Server IP 將 Auto IP 取消勾選並將 Server IP設為 10123
2-56
網路安全
RaidenFTPD設定步驟 (續 )
bull 接下來的步驟依照預設值即可
2-57
網路安全
RaidenFTPD設定步驟 (續 )
bull 設定人員帳號與群組按下 Add鈕輸入帳號密碼群組名稱可略過完成後按下 Next 進行下一步驟
2-58
網路安全
RaidenFTPD設定步驟 (續 )
bull 此步驟設定該帳號登入 FTP 時的權限選擇NORMAL 按下 Next 進行下一步驟
2-59
網路安全
RaidenFTPD設定步驟 (續 )
bull 接下來的步驟皆以預設值即可完成設定之後會出現對話視窗顯示您所設定的資訊
2-60
網路安全
FTP 用戶端工具 - Filezilla
bull 版本ndash 328
bull 支援作業平台ndash Windows Linux及Mac
bull 下載位址ndash httpsourceforgenetprojectsfilezillafiles
FileZilla_Client328FileZilla_328_win32zipdownload
2-61
網路安全
Filezilla 安裝步驟bull 執行 Filezilla 安裝程式點選 I agree 鈕
2-62
網路安全
Filezilla 安裝步驟 (續 )
bull 以預設值安裝點選兩次 Next 鈕
2-63
網路安全
Filezilla 安裝步驟 (續 )
bull 以預設值安裝點選 Next 鈕後再點選 Install 鈕
2-64
網路安全
Filezilla 安裝步驟 (續 )
bull 以預設值安裝點選 Next 鈕後再點選 Finish 鈕
2-65
網路安全
封包擷取工具 - Wireshark
bull 版本ndash 165
bull 支援作業平台ndash Windows Linux及 FreeBSD
bull 其他需求ndash 安裝WinPcap 31 以上版本
bull 下載位址ndash httpwiresharkdownloadsriverbedcomwireshark
win32wireshark-win32-165exe
2-66
網路安全
Wireshark 安裝步驟bull 至官方網站下載Windows平台最新版本檔案下載完成後執行該安裝程式
2-67
網路安全
Wireshark 安裝步驟 (續 )
bull 於下一步出現的版權宣告點選 I Agree鈕後繼續下一步驟
2-68
網路安全
Wireshark 安裝步驟 (續 )
bull 此步驟選擇欲安裝的元件以軟體預設勾選之項目安裝
2-69
網路安全
Wireshark 安裝步驟 (續 )
bull 此步驟使用預設路徑即可
2-70
網路安全
Wireshark 安裝步驟 (續 )
bull 此步驟將安裝Windows平台須加裝之套件 -WinPcap 若原系統未安裝過 WinPcap套件請以軟體預設項目安裝之
2-71
網路安全
Wireshark 安裝步驟 (續 )
bull 此步驟代表 Wireshark軟體已安裝完成可點選Finish 鈕或勾選 Run Wireshark 165 隨即使用該套軟體
2-72
網路安全
一般工具列Wireshark軟體介面介紹
2-73
篩選工具列封包清單窗格
封包內容窗格封包位元組窗格
網路安全
Wireshark 使用思考方向bull 遇到網路問題是否觀察網路通道中有異常動作或狀況
ndash 思考方向ndash 反應到擷取數據方法那麼以 Wireshark 擷取使用者需要擷取哪些數據這些數據由使用者電腦哪個裝置來擷取
bull Wireshark操作流程
bull 接下來我們進行軟體操作介紹
解決問題 擷取數據要先做什麼
擷取數據 擷取哪些數據( 過濾條件 )數據哪裡來( 網路介面卡 )
2-74
網路安全
數據哪裡來 - Capture功能bull 一開啟方式
ndash 1 點選快速鈕如紅色圈所示ndash 2 點選 Capture功能表 下拉選單後點選 Optionsndash 3鍵盤快速鍵 Ctrl + K
2-75
網路安全
數據哪裡來 - Capture功能 (續 )
bull 二開啟後顯示 Capture Options 的視窗畫面即可看到所提供的擷取功能選項
2-76
網路安全
數據哪裡來 - Capture功能 (續 )
bull Capture Options 常用的欄位設定ndash Caputure 框
bull 1Interface 會顯示出在系統上所有網路卡但只能選取一個介面作為封包擷取bull 2Capture packets in promiscuous mode 選取此選項就是經過所選取的網路卡的所有封包都會被擷取下來bull 3Capture Filter 指定擷取過濾器運算式擷取想要的特定封包即為擷取中過濾之功能
2-77
網路安全
數據哪裡來 - Capture功能 (續 )
bull Capture Options 常用的欄位設定ndash Display Options 框
bull Update list of packets in real time 指定在擷取封包過程中能夠即時更新已擷取封包清單窗格視窗中的封包資訊若取消則軟體主視窗更新畫面是沒有動作的
2-78
網路安全
bull Capture Options 常用的欄位設定ndash Name Resolution框
bull 1 Enable MAC name resolution 指定是否將網路卡MAC address 的前三個位元組轉換成製造商名稱
bull 2 Enable network name resolution 指定是否將 IP address轉換成 DNS 網域名稱
bull 3 Enable transport name resolution 指定是否將通信埠號碼 (port numbers)轉成協定名稱 (protocols)bull 各位了解數據從哪裡擷取的概念與操作之後即可以進一步加上附帶條件 (篩選條件 ) 等相關操作方式
數據哪裡來 - Capture功能 (續 )
2-79
網路安全
Wireshark操作手法bull 延續遇到問題的思考方向及軟體操作手法我們可以將操作流程分為兩種
ndash 擷取中過濾 (Filter while capturing)bull 優點僅擷取已知範圍資訊網路流量少bull 缺點需先了解問題類型避免可能有遺漏真正欲擷取資訊之狀況
ndash 檢視中過濾 (Filter packets while viewing)bull 優點不用先預設條件擷取所有封包資訊bull 缺點影響網路流量
先預設欲擷取條件 擷取數據
擷取數據 再篩選欲查詢數據2-80
網路安全
Wireshark操作手法 - 擷取中過濾bull 操作步驟
ndash 點選 Capture 下拉視窗選擇 Capture Filters 即呈現此視窗
bull 操作範例ndash 1於 Filter窗格中選擇 IP
Address 10112ndash 2於 Properties窗格中即顯示該選項的設定值如圖所示為 host 10112ndash 3 即可設定軟體僅針對
10112 的封包作擷取動作 延伸操作思考1 改變 Filter string 值得到什麼結果2 點選 Edit 窗格中的 New 鈕 新增自訂條件 2-81
網路安全
Wireshark操作手法 - 檢視中過濾bull 此步驟即以已擷取封包清單窗格為基礎以過濾條件過濾該清單bull 可直接選擇軟體預設項目如以下操作
ndash 操作步驟bull 點選 Analyze 下拉視窗選擇
Display Filters 即呈現此視窗ndash 操作範例
bull 1於 Filter窗格中選擇 IP Address 10112
bull 2於 Properties窗格中即顯示該選項的設定值如圖所示值為host 10112
bull 3 即可設定軟體僅針對 10112的封包作顯示動作 延伸操作思考1 可否進行進一步自訂設定值
2-82
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 若電腦 IP為 10112 欲篩選出 IP 來源為上述 IP 且協定為 TCP 80port 的所有封包ndash 操作步驟
bull 點選 Expression鈕即出現此視窗ndash 1於 Field name框選擇
IP項目中的 ipsrc - Source
ndash 2於 Relation框選擇 ==ndash 3於 Value [IPV4
address]填 入 10112ndash 4 點選 OK鈕 進階思考方式須考慮到例如是來源資訊是目標資訊是什麼協定等更細部所要之條件
2-83
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 再進行第二篩選條件ndash TCP 80 port
bull 操作步驟ndash 1先於 Filter string 輸入文字框「 ipsrc==
10112」後再加上一個空格及「 and 」再進行一次 Expression條件選擇
2-84
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
ndash 2於 Field name框選擇「 tcpdstport」ndash 3於 Relation框選擇「 ==」ndash 4於 Value框填入「 80」ndash 5 選擇「 OK」鈕
2-85
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 注意 Propeties框內的Filter string欄位值已改變為「 ipsrc == 10112 and tcpdstport == 80」
bull 確認條件正確後點選「 OK 」鈕即可發現已擷取封包清單窗格的項目均為所設定過濾條件過濾過結果2-86
網路安全
bull 可單選單一封包進行更進階查詢封包內容bull 操作方式為
ndash 點選其中一項封包項目點選滑鼠右鍵選擇Follow TCP Stream
Wireshark操作手法 - 檢視中過濾 (續 )
2-87
網路安全
ndash 此畫面即可看出該項 TCP 封包溝通內容Wireshark操作手法 - 檢視中過濾 (續 )
2-88
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 此功能將所擷取的封包清單使用多種方式呈現封包統計資料便於使用者查詢擷取時間內何種封包數量多寡及圖型顯示bull 操作步驟點選 Statistics 下拉視窗即呈現此視窗 顯示有關擷取清單的摘要以階梯式通訊協定列表顯示所擷取的所有封包
在特定 IP間顯示通訊流量顯示單一 IP 來往封包的流量
以時間軸顯示視覺化封包流量圖2-89
網路安全
bull 可查看到一時段內其封包總數與平均每秒傳遞接收封包數等相關資訊讓使用者了解平均一時段內網路流量狀況藉以初步獲得資訊
Wireshark操作手法 - 檢視中過濾 (續 )
2-90
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 讓使用者可透過階梯式封包分類表來查看哪一類封包佔為居多可進一步推測是否該類型封包影響到整體網路或是否有異常或不常見封包類型在網路中傳遞
2-91
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 將該擷取時段內封包清單檔以兩個特定 IP 之間對傳封包為區隔顯示出哪兩個特定 IP間傳遞封包數多寡bull 可讓使用者更進一步研判兩個特定 IP所屬設備傳遞狀況是否異常
2-92
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 將該擷取時段內封包清單檔以特定IP 傳遞封包數為區隔顯示出哪特定IP 傳遞封包數多寡
bull 可讓使用者更進一步研判該特定所屬設備傳遞封包數是否異常作為管制緊急管制或禁止通訊之證明2-93
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 以時間軸顯示視覺化封包流量圖bull 讓使用者可觀察所管理設備資訊流通量以了解設備是否能負荷或作相關調整等處置
2-94
網路安全
FTP 擷取密碼案例bull 於Wireshark軟體選擇 Capture 下拉選單功能項點選 Interfaces 選項
2-95
網路安全
FTP 擷取密碼案例 (續 )
bull 確認欲擷取封包之網卡名稱如紅色底線所示確認後點選 Start鈕
2-96
網路安全
FTP 擷取密碼案例 (續 )
bull 切換至 FTP Client 電腦開啟 FileZilla 程式後連線到 FTP Server 於 Host 填入10123 Username填入 tester Password填入testpw 後點選 Quickconnect鈕
2-97
網路安全
FTP 擷取密碼案例 (續 )
bull 擷取到的封包資訊會顯示於已擷取封包清單窗格內
2-98
網路安全
FTP 擷取密碼案例 (續 )
bull 使用 FTP軟體登入 ftp站後 Wireshark 將擷取到的使用者名稱與密碼如紅框所示
2-99
網路安全
FTP 擷取密碼案例 (續 )
bull 點選已擷取封包清單窗格的密碼資訊列如標示1 的紅框所示即可在封包內容窗格看到該密碼的位元碼如標示 2 的紅框所示
1
2
2-100
網路安全
架設實作 (三 )
Outlook Express 擷取密碼案例
2-101
網路安全
實驗環境介紹bull 以 Testbed建立一實驗相關拓樸及設定如下圖
OEClientOSWindows XP SP3IP 10112執行 Outlook Express
MailServerOSWindows XP SP3IP 10122安裝軟體 ArGoSoft Mail Server
2-102
WiresharkOSWindows XP SP3IP1 10113 IP2 10123安裝軟體 Wireshark
IP1IP2
網路安全
實驗拓樸 on TestbedTWISC- 建立完成的實驗拓樸
2-103
網路安全
郵件伺服器工具 - ArGoSoft Mail Server
bull 版本ndash 1892 Freeware
bull 支援作業平台ndash Windows
bull 下載位址ndash httpwwwsoftkingcomtwsoftdownloadaspfid3=7367
2-104
網路安全
郵件客戶端工具 - Outlook Express
bull 版本ndash 60
bull 支援作業平台ndash Windows
bull 下載位址ndash Windows 內建
2-105
網路安全
bull 安裝及設定郵件伺服器ndash 1下載並執行 ArGoSoft Mail Server軟體點選
Setup鈕
Outlook Express 擷取密碼案例
2-106
網路安全
ndash 1 點選 Next鈕ndash 2 點選 Start Installation鈕
Outlook Express 擷取密碼案例 (續 )
2-107
網路安全
ndash 3 點選 OK鈕ndash 4 點選 Finish鈕完成軟體安裝
Outlook Express 擷取密碼案例 (續 )
2-108
網路安全
ndash 5 點選使用者設定鈕如紅圈所示ndash 6 點選新增鈕如紅框所示
Outlook Express 擷取密碼案例 (續 )
2-109
網路安全
ndash 7填入使用者名稱 (tester) 及密碼 (testpw) 如紅圈所示填寫完成後點選 OK鈕ndash 8 點選 Close鈕關閉使用者設定視窗
Outlook Express 擷取密碼案例 (續 )
2-110
網路安全
ndash 9 點選選項鈕如左側圖中紅色圈所示ndash 10 點選紅色打勾鈕如右側圖中紅色圈所示
2-111
Outlook Express 擷取密碼案例 (續 )
網路安全
ndash 11該軟體會自動選取 DNS Server 待選取後點選 Yes鈕ndash 12 勾選 Allow Relay 選項如紅框所示
2-112
Outlook Express 擷取密碼案例 (續 )
網路安全
Outlook Express 擷取密碼案例 (續 )
bull 設定收信帳號ndash 1 點選 Tools功能選單選擇 Accounts 選項
2-113
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 2 點選 Add鈕選擇 Mail 選項
2-114
網路安全
ndash 3填入 tester 點選 Next鈕ndash 4填入 testertestcom 點選 Next鈕
Outlook Express 擷取密碼案例 (續 )
2-115
網路安全
ndash 5填入 10123 如紅框所示點選 Next鈕ndash 6填入帳號為 tester 及密碼為 testpw 點選 Next鈕
Outlook Express 擷取密碼案例 (續 )
2-116
網路安全
ndash 7 點選 Finish鈕ndash 8 點選 Close鈕
Outlook Express 擷取密碼案例 (續 )
2-117
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 模擬條件準備好後首先準備Wireshark 擷取動作開啟Wireshark
2-118
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 於Wireshark軟體選擇 Capture 下拉選單功能項點選 Interfaces 選項
2-119
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 確認欲擷取封包之網卡名稱如紅色底線所示確認後點選 Start鈕
2-120
網路安全
ndash 當使用者收發 email 時即被 Wireshark攔截封包ndash 有發現到該 Outlook Express帳號密碼是如此清晰可見的嗎
Outlook Express 擷取密碼案例 (續 )
2-121
網路安全
結論bull 學習了 Wireshark及WinDump 兩套網路封包擷取軟體基本概念如同電話側錄概念相同從中複製一連串資訊來分析與了解網路的流量及內容為何bull 當你發現網路速度緩慢等狀況你是否會反應到所學的基本概念來找尋問題所在bull 防範概念由此課程的實例可以了解網路內容如被有心人士擷取所造成的損失相當可觀故你是否有對策有哪些方式你可以應用來防範bull 正確的思考善用對的工具將對解決問題事半功倍
2-122
網路安全 2-123
Module 2-5 封包擷取與分析的專案實作()
網路安全
專案目的bull 建立遠端管理傳遞指令資訊環境bull 利用實際攔截封包操作的方式讓同學了解封包擷取運作與網路資訊流通的顧慮等相關議題
2-124
網路安全
專案描述bull 近年來遠端管理伺服器及網路服務普及光是密碼保護就足夠了嗎是否重點網段須全程加密還是作網段隔離經由此專案實作即可了解不僅部分加密仍有其風險所在網路架構如何規劃將是非常重要的課題bull 參考環境配置圖完成下列要求①環境裡的攔截封包主機是 Windows XP SP3 作業系統而該主機安裝Wireshark軟體②另兩台主機的作業系統亦是 Windows XP SP3 並裝上
MySQL軟體 MySQL帳號為 root 密碼為您的學號 (如 Q3896105)
③在MySQLClient 電腦使用 MySQL Commandline 指令連線至MySQLServer 擷取資料庫資訊
④我們針對這兩台主機傳訊的封包擷取由整個實做中思考如何防範資訊外洩與了解傳訊封包如何流動及運作2-125
網路安全
環境配置圖bull 以 Testbed建立一實驗相關拓樸及設定如下圖
MySQLServerOSWINXP-SP3-CH-pc3000 IP 10123安裝軟體 MySQL
MySQLClientOSWINXP-SP3-CH-pc3000 IP 10112安裝軟體 MySQL
2-126
WireSharkOSWINXP-SP3-CH-pc3000 IP1 10113IP2 10122安裝軟體 Wireshark
IP1IP2
網路安全
作業繳交bull 請參考情境測試發送數個 SQL 指令並將過程與擷取到的封包資訊之截圖列於報告中所有圖表皆需要輔以文字說明bull Deadline 2012312 下午 500 以前bull 作業範圍 Module 2-5 (page 2-128)bull 方式 (參考課程網址 )
ndash 帳號密碼小寫的 (ns100ns100)ndash IP 140116164167
2-127
網路安全
有問題嗎
bull 關於 TestBed 使用上的問題請直接 Email至 twisc-testbed-usergooglegroupscom 將有專人為您服務bull 課程網址
httpitlabeenckuedutwcoursesNS_100indexhtml
2-128
bull 助教資訊 (參考課程網址 )
網路安全
參考資料bull Dienet httplinuxdienetman1wiresharkbull Orebaugh Angela Ramirez Gilbert Burke Josh Pesce Larry Wright
Joshua(2007) Wireshark and Ethereal network protocol analyzer toolkitbull Tony Fortunato(2007) Wireshark Training Retrieved July 22 2009 from
the World Wide Web httpwwwthetechfirmcometherealwiresharkpdfbull WinDump httpwwwwinpcaporgWinDumpbull Wireshark httpwwwwiresharkorgbull Wireshark University httpwwwwiresharktrainingcombull 楊中皇 (民 97年 ) 網路安全理論與實務 (2版 ) 台北市學貫bull 蘇淑茵教授 Wireshark 民國 98年 6月 28日取自 httpmywebnckuedutw~sisou
2-129
網路安全
封包擷取工具 - WinDump
bull 版本ndash 395
bull 支援作業平台ndash Windows 9598NT2000XP2003
bull 其他需求ndash 安裝WinPcap 31 以上版本
bull 下載位址ndash httpwwwwinpcaporgwindumpinstallbin
windump_3_9_5WinDumpexe
2-36
網路安全
其他需求工具 - WinPcap
bull 版本ndash 402 stable
bull 支援作業平台ndash Windows NT42000
Windows XP2003Vista (x86 and x64)Windows Server 2008 (x86 and x64)
bull 下載位址ndash httpwwwwinpcaporginstallbin
WinPcap_4_0_2exe
2-37
網路安全
WinPcap 安裝步驟bull WinPcap 下載完成後即可進行安裝bull 安裝畫面如下點選 Next按鈕繼續下一步
2-38
網路安全
WinDump與WinPcap測試bull 請將下載的 WinDumpexe 檔案存放至 C
Windowssystem32 的目錄之下bull 測試WinDump及WinPcap 是否可運作
ndash 點選開始 -gt 程式集 -gt附屬應用程式 -gt命令提示字元 -gt 輸入「 windump 」按下 Enter 即會出現「 windump listening on DeviceNPF_GenericDialupAdapter」的訊息代表WinDump及WinPcap 安裝成功且可運作
ndash 停止監聽按「 Ctrl + C」將顯示擷取封包的數量
2-39
網路安全
參數 說明-c 指定收到的封包數目當達到該數目時 Tcpdump 即會停止-d 把編譯過的封包編碼轉碼成可閱讀的格式放置於標準輸出-dd 把編譯過的封包編碼轉碼成 C 語言的格式放置於標準輸出-ddd 把編譯過的封包編碼轉碼成十進位的格式放置於標準輸出-F 從所指定的文件中讀取運算式進而忽略其他運算式-f 用數字顯示 IP 位址 -i 指定擷取封包的網路介面 -w 將擷取的封包直接寫入檔案當中不做分析與顯示於畫面
參數 說明-r 從指定的檔案文件中讀取資料該檔案文件由 -w 所製造出來-v 顯示詳細的封包資訊多了 TTL 及服務類型-s 設定每一個封包的大小-S 用絕對數並非相對數的值列出 TCP 連接數-tt 顯示出原始時間並且為不格式化的時間-n 不進行 IP Address 到 Domain
Name 的轉換-nn 不進行 Port 的轉換如 22 就是
ssh
-x 用十六進位字碼列出封包資料
WinDump相關參數列表
2-40
網路安全
WinDump 簡易使用操作說明bull 語法 windump 參數bull 查看目前系統可使用的網卡介面
ndash windump -Dbull 透過查看網卡介面以利後續監聽之用
2-41
網路安全
WinDump 簡易使用操作說明 (續 )
bull WinDump -i 網卡介面代號 -c 擷取封包數量 port 通訊埠
bull 例 WinDump -i 2 -c 10 port 80
2-42
網路安全
WinDump 簡易使用操作說明 (續 )
bull 因於命令提示字元視窗內所顯示的資訊不易閱讀可透過下列指令將其所擷取的資訊導向至檔案bull Windump -i 網卡介面代號 gt 檔名
ndash windump -i 2 -c 10 -w message port 80ndash windump -r message gt messagetxtndash windump -i 2 -c 10 port 80 gt messagetxt
2-43
網路安全
WinDump 簡易使用操作說明 (續 )
112338326205 此為封包被擷取的時間『 HHMMSSfraction』的單位IP 透過的通訊協定是 IPwinser 1099 gt w1wwwviptw1yahoocomtw80 代表的是傳送端是 winser 傳送的通訊埠為 1099 大於 (gt) 的符號指的是封包的傳輸方向 w1wwwviptw1yahoocomtw 為接收端 80 為接收埠
P(PUSH) 為資料傳輸標誌且傳輸的資料為整體資料的 1~ 699 byte 所以這個封包帶有 698 bytes 的資料量 ack 1 win 65535 ACK與Window size 的相關資料2-44
網路安全
bull 以 Testbed建立一實驗相關拓樸及設定如下圖SSHClientOSWINXP-SP3-CH-pc3000 IP 10113安裝軟體 putty
SSHServerOSWINXP-SP3-CH-pc3000IP 10123安裝軟體 sshd
實驗環境介紹
2-45
IP1
IP2
WireDumpOSWINXP-SP3-CH-pc3000IP1 10112IP2 10122安裝軟體 WinDump
網路安全
實驗拓樸 on TestbedTWISC- 建立完成的實驗拓樸
2-46
網路安全
SSH連線觀察bull 利用 Putty連線到 SSHServer從中觀察到三向交握建立連線的動作從 SSHClient 端利用 putty連線到SSHServer(10123)的 sshd服務
2-47
網路安全
SSH連線觀察 (續 )
bull SSH 在連線之前會利用三向交握的方式建立連線bull 利用 WinDump觀察 SSH連線動作
ndash 指令 WinDumpexe -N -S -i 4 port 22
三向交握的三個封包三向交握示意圖Server lt- Client SYN 你想連線Server -gt Client SYN ACK 可以我接受Server lt- Client ACK 謝謝
2-48
網路安全
架設實作 (二 )
FTP 擷取密碼案例
2-49
網路安全
FTPClientOSWINXP-SP3-pc3000IP 10112安裝軟體 FileZilla
FTPServerOSWINXP-SP3-pc3000IP 10123安裝軟體 RaidenFTPD
實驗環境介紹bull 以 Testbed建立一實驗相關拓樸及設定如下圖
2-50
IP1IP2
WireSharkOSWINXP-SP3-pc3000IP1 10113IP2 10122安裝軟體 Wireshark
網路安全
實驗拓樸 on TestbedTWISC- 建立完成的實驗拓樸
2-51
網路安全
FTP伺服器工具 - RaidenFTPD
bull 版本ndash 24 build 3720
bull 支援作業平台ndash Windows
bull 下載位址ndash httpwwwraidenmaildcomdownloadraidenftpd2exe
2-52
網路安全
RaidenFTPD 安裝步驟bull 下載Windows平台最新版本檔案下載完成後執行該安裝程式
2-53
網路安全
RaidenFTPD 安裝步驟 (續 )
bull 此步驟使用預設路徑即可按下 Install 進行安裝
2-54
網路安全
RaidenFTPD設定步驟bull 程式開啟畫面如下選擇 Click here to start a new
server 進行 FTP伺服器設定
2-55
網路安全
RaidenFTPD設定步驟 (續 )
bull 此處可設定 Server name與 Server IP 將 Auto IP 取消勾選並將 Server IP設為 10123
2-56
網路安全
RaidenFTPD設定步驟 (續 )
bull 接下來的步驟依照預設值即可
2-57
網路安全
RaidenFTPD設定步驟 (續 )
bull 設定人員帳號與群組按下 Add鈕輸入帳號密碼群組名稱可略過完成後按下 Next 進行下一步驟
2-58
網路安全
RaidenFTPD設定步驟 (續 )
bull 此步驟設定該帳號登入 FTP 時的權限選擇NORMAL 按下 Next 進行下一步驟
2-59
網路安全
RaidenFTPD設定步驟 (續 )
bull 接下來的步驟皆以預設值即可完成設定之後會出現對話視窗顯示您所設定的資訊
2-60
網路安全
FTP 用戶端工具 - Filezilla
bull 版本ndash 328
bull 支援作業平台ndash Windows Linux及Mac
bull 下載位址ndash httpsourceforgenetprojectsfilezillafiles
FileZilla_Client328FileZilla_328_win32zipdownload
2-61
網路安全
Filezilla 安裝步驟bull 執行 Filezilla 安裝程式點選 I agree 鈕
2-62
網路安全
Filezilla 安裝步驟 (續 )
bull 以預設值安裝點選兩次 Next 鈕
2-63
網路安全
Filezilla 安裝步驟 (續 )
bull 以預設值安裝點選 Next 鈕後再點選 Install 鈕
2-64
網路安全
Filezilla 安裝步驟 (續 )
bull 以預設值安裝點選 Next 鈕後再點選 Finish 鈕
2-65
網路安全
封包擷取工具 - Wireshark
bull 版本ndash 165
bull 支援作業平台ndash Windows Linux及 FreeBSD
bull 其他需求ndash 安裝WinPcap 31 以上版本
bull 下載位址ndash httpwiresharkdownloadsriverbedcomwireshark
win32wireshark-win32-165exe
2-66
網路安全
Wireshark 安裝步驟bull 至官方網站下載Windows平台最新版本檔案下載完成後執行該安裝程式
2-67
網路安全
Wireshark 安裝步驟 (續 )
bull 於下一步出現的版權宣告點選 I Agree鈕後繼續下一步驟
2-68
網路安全
Wireshark 安裝步驟 (續 )
bull 此步驟選擇欲安裝的元件以軟體預設勾選之項目安裝
2-69
網路安全
Wireshark 安裝步驟 (續 )
bull 此步驟使用預設路徑即可
2-70
網路安全
Wireshark 安裝步驟 (續 )
bull 此步驟將安裝Windows平台須加裝之套件 -WinPcap 若原系統未安裝過 WinPcap套件請以軟體預設項目安裝之
2-71
網路安全
Wireshark 安裝步驟 (續 )
bull 此步驟代表 Wireshark軟體已安裝完成可點選Finish 鈕或勾選 Run Wireshark 165 隨即使用該套軟體
2-72
網路安全
一般工具列Wireshark軟體介面介紹
2-73
篩選工具列封包清單窗格
封包內容窗格封包位元組窗格
網路安全
Wireshark 使用思考方向bull 遇到網路問題是否觀察網路通道中有異常動作或狀況
ndash 思考方向ndash 反應到擷取數據方法那麼以 Wireshark 擷取使用者需要擷取哪些數據這些數據由使用者電腦哪個裝置來擷取
bull Wireshark操作流程
bull 接下來我們進行軟體操作介紹
解決問題 擷取數據要先做什麼
擷取數據 擷取哪些數據( 過濾條件 )數據哪裡來( 網路介面卡 )
2-74
網路安全
數據哪裡來 - Capture功能bull 一開啟方式
ndash 1 點選快速鈕如紅色圈所示ndash 2 點選 Capture功能表 下拉選單後點選 Optionsndash 3鍵盤快速鍵 Ctrl + K
2-75
網路安全
數據哪裡來 - Capture功能 (續 )
bull 二開啟後顯示 Capture Options 的視窗畫面即可看到所提供的擷取功能選項
2-76
網路安全
數據哪裡來 - Capture功能 (續 )
bull Capture Options 常用的欄位設定ndash Caputure 框
bull 1Interface 會顯示出在系統上所有網路卡但只能選取一個介面作為封包擷取bull 2Capture packets in promiscuous mode 選取此選項就是經過所選取的網路卡的所有封包都會被擷取下來bull 3Capture Filter 指定擷取過濾器運算式擷取想要的特定封包即為擷取中過濾之功能
2-77
網路安全
數據哪裡來 - Capture功能 (續 )
bull Capture Options 常用的欄位設定ndash Display Options 框
bull Update list of packets in real time 指定在擷取封包過程中能夠即時更新已擷取封包清單窗格視窗中的封包資訊若取消則軟體主視窗更新畫面是沒有動作的
2-78
網路安全
bull Capture Options 常用的欄位設定ndash Name Resolution框
bull 1 Enable MAC name resolution 指定是否將網路卡MAC address 的前三個位元組轉換成製造商名稱
bull 2 Enable network name resolution 指定是否將 IP address轉換成 DNS 網域名稱
bull 3 Enable transport name resolution 指定是否將通信埠號碼 (port numbers)轉成協定名稱 (protocols)bull 各位了解數據從哪裡擷取的概念與操作之後即可以進一步加上附帶條件 (篩選條件 ) 等相關操作方式
數據哪裡來 - Capture功能 (續 )
2-79
網路安全
Wireshark操作手法bull 延續遇到問題的思考方向及軟體操作手法我們可以將操作流程分為兩種
ndash 擷取中過濾 (Filter while capturing)bull 優點僅擷取已知範圍資訊網路流量少bull 缺點需先了解問題類型避免可能有遺漏真正欲擷取資訊之狀況
ndash 檢視中過濾 (Filter packets while viewing)bull 優點不用先預設條件擷取所有封包資訊bull 缺點影響網路流量
先預設欲擷取條件 擷取數據
擷取數據 再篩選欲查詢數據2-80
網路安全
Wireshark操作手法 - 擷取中過濾bull 操作步驟
ndash 點選 Capture 下拉視窗選擇 Capture Filters 即呈現此視窗
bull 操作範例ndash 1於 Filter窗格中選擇 IP
Address 10112ndash 2於 Properties窗格中即顯示該選項的設定值如圖所示為 host 10112ndash 3 即可設定軟體僅針對
10112 的封包作擷取動作 延伸操作思考1 改變 Filter string 值得到什麼結果2 點選 Edit 窗格中的 New 鈕 新增自訂條件 2-81
網路安全
Wireshark操作手法 - 檢視中過濾bull 此步驟即以已擷取封包清單窗格為基礎以過濾條件過濾該清單bull 可直接選擇軟體預設項目如以下操作
ndash 操作步驟bull 點選 Analyze 下拉視窗選擇
Display Filters 即呈現此視窗ndash 操作範例
bull 1於 Filter窗格中選擇 IP Address 10112
bull 2於 Properties窗格中即顯示該選項的設定值如圖所示值為host 10112
bull 3 即可設定軟體僅針對 10112的封包作顯示動作 延伸操作思考1 可否進行進一步自訂設定值
2-82
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 若電腦 IP為 10112 欲篩選出 IP 來源為上述 IP 且協定為 TCP 80port 的所有封包ndash 操作步驟
bull 點選 Expression鈕即出現此視窗ndash 1於 Field name框選擇
IP項目中的 ipsrc - Source
ndash 2於 Relation框選擇 ==ndash 3於 Value [IPV4
address]填 入 10112ndash 4 點選 OK鈕 進階思考方式須考慮到例如是來源資訊是目標資訊是什麼協定等更細部所要之條件
2-83
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 再進行第二篩選條件ndash TCP 80 port
bull 操作步驟ndash 1先於 Filter string 輸入文字框「 ipsrc==
10112」後再加上一個空格及「 and 」再進行一次 Expression條件選擇
2-84
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
ndash 2於 Field name框選擇「 tcpdstport」ndash 3於 Relation框選擇「 ==」ndash 4於 Value框填入「 80」ndash 5 選擇「 OK」鈕
2-85
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 注意 Propeties框內的Filter string欄位值已改變為「 ipsrc == 10112 and tcpdstport == 80」
bull 確認條件正確後點選「 OK 」鈕即可發現已擷取封包清單窗格的項目均為所設定過濾條件過濾過結果2-86
網路安全
bull 可單選單一封包進行更進階查詢封包內容bull 操作方式為
ndash 點選其中一項封包項目點選滑鼠右鍵選擇Follow TCP Stream
Wireshark操作手法 - 檢視中過濾 (續 )
2-87
網路安全
ndash 此畫面即可看出該項 TCP 封包溝通內容Wireshark操作手法 - 檢視中過濾 (續 )
2-88
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 此功能將所擷取的封包清單使用多種方式呈現封包統計資料便於使用者查詢擷取時間內何種封包數量多寡及圖型顯示bull 操作步驟點選 Statistics 下拉視窗即呈現此視窗 顯示有關擷取清單的摘要以階梯式通訊協定列表顯示所擷取的所有封包
在特定 IP間顯示通訊流量顯示單一 IP 來往封包的流量
以時間軸顯示視覺化封包流量圖2-89
網路安全
bull 可查看到一時段內其封包總數與平均每秒傳遞接收封包數等相關資訊讓使用者了解平均一時段內網路流量狀況藉以初步獲得資訊
Wireshark操作手法 - 檢視中過濾 (續 )
2-90
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 讓使用者可透過階梯式封包分類表來查看哪一類封包佔為居多可進一步推測是否該類型封包影響到整體網路或是否有異常或不常見封包類型在網路中傳遞
2-91
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 將該擷取時段內封包清單檔以兩個特定 IP 之間對傳封包為區隔顯示出哪兩個特定 IP間傳遞封包數多寡bull 可讓使用者更進一步研判兩個特定 IP所屬設備傳遞狀況是否異常
2-92
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 將該擷取時段內封包清單檔以特定IP 傳遞封包數為區隔顯示出哪特定IP 傳遞封包數多寡
bull 可讓使用者更進一步研判該特定所屬設備傳遞封包數是否異常作為管制緊急管制或禁止通訊之證明2-93
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 以時間軸顯示視覺化封包流量圖bull 讓使用者可觀察所管理設備資訊流通量以了解設備是否能負荷或作相關調整等處置
2-94
網路安全
FTP 擷取密碼案例bull 於Wireshark軟體選擇 Capture 下拉選單功能項點選 Interfaces 選項
2-95
網路安全
FTP 擷取密碼案例 (續 )
bull 確認欲擷取封包之網卡名稱如紅色底線所示確認後點選 Start鈕
2-96
網路安全
FTP 擷取密碼案例 (續 )
bull 切換至 FTP Client 電腦開啟 FileZilla 程式後連線到 FTP Server 於 Host 填入10123 Username填入 tester Password填入testpw 後點選 Quickconnect鈕
2-97
網路安全
FTP 擷取密碼案例 (續 )
bull 擷取到的封包資訊會顯示於已擷取封包清單窗格內
2-98
網路安全
FTP 擷取密碼案例 (續 )
bull 使用 FTP軟體登入 ftp站後 Wireshark 將擷取到的使用者名稱與密碼如紅框所示
2-99
網路安全
FTP 擷取密碼案例 (續 )
bull 點選已擷取封包清單窗格的密碼資訊列如標示1 的紅框所示即可在封包內容窗格看到該密碼的位元碼如標示 2 的紅框所示
1
2
2-100
網路安全
架設實作 (三 )
Outlook Express 擷取密碼案例
2-101
網路安全
實驗環境介紹bull 以 Testbed建立一實驗相關拓樸及設定如下圖
OEClientOSWindows XP SP3IP 10112執行 Outlook Express
MailServerOSWindows XP SP3IP 10122安裝軟體 ArGoSoft Mail Server
2-102
WiresharkOSWindows XP SP3IP1 10113 IP2 10123安裝軟體 Wireshark
IP1IP2
網路安全
實驗拓樸 on TestbedTWISC- 建立完成的實驗拓樸
2-103
網路安全
郵件伺服器工具 - ArGoSoft Mail Server
bull 版本ndash 1892 Freeware
bull 支援作業平台ndash Windows
bull 下載位址ndash httpwwwsoftkingcomtwsoftdownloadaspfid3=7367
2-104
網路安全
郵件客戶端工具 - Outlook Express
bull 版本ndash 60
bull 支援作業平台ndash Windows
bull 下載位址ndash Windows 內建
2-105
網路安全
bull 安裝及設定郵件伺服器ndash 1下載並執行 ArGoSoft Mail Server軟體點選
Setup鈕
Outlook Express 擷取密碼案例
2-106
網路安全
ndash 1 點選 Next鈕ndash 2 點選 Start Installation鈕
Outlook Express 擷取密碼案例 (續 )
2-107
網路安全
ndash 3 點選 OK鈕ndash 4 點選 Finish鈕完成軟體安裝
Outlook Express 擷取密碼案例 (續 )
2-108
網路安全
ndash 5 點選使用者設定鈕如紅圈所示ndash 6 點選新增鈕如紅框所示
Outlook Express 擷取密碼案例 (續 )
2-109
網路安全
ndash 7填入使用者名稱 (tester) 及密碼 (testpw) 如紅圈所示填寫完成後點選 OK鈕ndash 8 點選 Close鈕關閉使用者設定視窗
Outlook Express 擷取密碼案例 (續 )
2-110
網路安全
ndash 9 點選選項鈕如左側圖中紅色圈所示ndash 10 點選紅色打勾鈕如右側圖中紅色圈所示
2-111
Outlook Express 擷取密碼案例 (續 )
網路安全
ndash 11該軟體會自動選取 DNS Server 待選取後點選 Yes鈕ndash 12 勾選 Allow Relay 選項如紅框所示
2-112
Outlook Express 擷取密碼案例 (續 )
網路安全
Outlook Express 擷取密碼案例 (續 )
bull 設定收信帳號ndash 1 點選 Tools功能選單選擇 Accounts 選項
2-113
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 2 點選 Add鈕選擇 Mail 選項
2-114
網路安全
ndash 3填入 tester 點選 Next鈕ndash 4填入 testertestcom 點選 Next鈕
Outlook Express 擷取密碼案例 (續 )
2-115
網路安全
ndash 5填入 10123 如紅框所示點選 Next鈕ndash 6填入帳號為 tester 及密碼為 testpw 點選 Next鈕
Outlook Express 擷取密碼案例 (續 )
2-116
網路安全
ndash 7 點選 Finish鈕ndash 8 點選 Close鈕
Outlook Express 擷取密碼案例 (續 )
2-117
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 模擬條件準備好後首先準備Wireshark 擷取動作開啟Wireshark
2-118
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 於Wireshark軟體選擇 Capture 下拉選單功能項點選 Interfaces 選項
2-119
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 確認欲擷取封包之網卡名稱如紅色底線所示確認後點選 Start鈕
2-120
網路安全
ndash 當使用者收發 email 時即被 Wireshark攔截封包ndash 有發現到該 Outlook Express帳號密碼是如此清晰可見的嗎
Outlook Express 擷取密碼案例 (續 )
2-121
網路安全
結論bull 學習了 Wireshark及WinDump 兩套網路封包擷取軟體基本概念如同電話側錄概念相同從中複製一連串資訊來分析與了解網路的流量及內容為何bull 當你發現網路速度緩慢等狀況你是否會反應到所學的基本概念來找尋問題所在bull 防範概念由此課程的實例可以了解網路內容如被有心人士擷取所造成的損失相當可觀故你是否有對策有哪些方式你可以應用來防範bull 正確的思考善用對的工具將對解決問題事半功倍
2-122
網路安全 2-123
Module 2-5 封包擷取與分析的專案實作()
網路安全
專案目的bull 建立遠端管理傳遞指令資訊環境bull 利用實際攔截封包操作的方式讓同學了解封包擷取運作與網路資訊流通的顧慮等相關議題
2-124
網路安全
專案描述bull 近年來遠端管理伺服器及網路服務普及光是密碼保護就足夠了嗎是否重點網段須全程加密還是作網段隔離經由此專案實作即可了解不僅部分加密仍有其風險所在網路架構如何規劃將是非常重要的課題bull 參考環境配置圖完成下列要求①環境裡的攔截封包主機是 Windows XP SP3 作業系統而該主機安裝Wireshark軟體②另兩台主機的作業系統亦是 Windows XP SP3 並裝上
MySQL軟體 MySQL帳號為 root 密碼為您的學號 (如 Q3896105)
③在MySQLClient 電腦使用 MySQL Commandline 指令連線至MySQLServer 擷取資料庫資訊
④我們針對這兩台主機傳訊的封包擷取由整個實做中思考如何防範資訊外洩與了解傳訊封包如何流動及運作2-125
網路安全
環境配置圖bull 以 Testbed建立一實驗相關拓樸及設定如下圖
MySQLServerOSWINXP-SP3-CH-pc3000 IP 10123安裝軟體 MySQL
MySQLClientOSWINXP-SP3-CH-pc3000 IP 10112安裝軟體 MySQL
2-126
WireSharkOSWINXP-SP3-CH-pc3000 IP1 10113IP2 10122安裝軟體 Wireshark
IP1IP2
網路安全
作業繳交bull 請參考情境測試發送數個 SQL 指令並將過程與擷取到的封包資訊之截圖列於報告中所有圖表皆需要輔以文字說明bull Deadline 2012312 下午 500 以前bull 作業範圍 Module 2-5 (page 2-128)bull 方式 (參考課程網址 )
ndash 帳號密碼小寫的 (ns100ns100)ndash IP 140116164167
2-127
網路安全
有問題嗎
bull 關於 TestBed 使用上的問題請直接 Email至 twisc-testbed-usergooglegroupscom 將有專人為您服務bull 課程網址
httpitlabeenckuedutwcoursesNS_100indexhtml
2-128
bull 助教資訊 (參考課程網址 )
網路安全
參考資料bull Dienet httplinuxdienetman1wiresharkbull Orebaugh Angela Ramirez Gilbert Burke Josh Pesce Larry Wright
Joshua(2007) Wireshark and Ethereal network protocol analyzer toolkitbull Tony Fortunato(2007) Wireshark Training Retrieved July 22 2009 from
the World Wide Web httpwwwthetechfirmcometherealwiresharkpdfbull WinDump httpwwwwinpcaporgWinDumpbull Wireshark httpwwwwiresharkorgbull Wireshark University httpwwwwiresharktrainingcombull 楊中皇 (民 97年 ) 網路安全理論與實務 (2版 ) 台北市學貫bull 蘇淑茵教授 Wireshark 民國 98年 6月 28日取自 httpmywebnckuedutw~sisou
2-129
網路安全
其他需求工具 - WinPcap
bull 版本ndash 402 stable
bull 支援作業平台ndash Windows NT42000
Windows XP2003Vista (x86 and x64)Windows Server 2008 (x86 and x64)
bull 下載位址ndash httpwwwwinpcaporginstallbin
WinPcap_4_0_2exe
2-37
網路安全
WinPcap 安裝步驟bull WinPcap 下載完成後即可進行安裝bull 安裝畫面如下點選 Next按鈕繼續下一步
2-38
網路安全
WinDump與WinPcap測試bull 請將下載的 WinDumpexe 檔案存放至 C
Windowssystem32 的目錄之下bull 測試WinDump及WinPcap 是否可運作
ndash 點選開始 -gt 程式集 -gt附屬應用程式 -gt命令提示字元 -gt 輸入「 windump 」按下 Enter 即會出現「 windump listening on DeviceNPF_GenericDialupAdapter」的訊息代表WinDump及WinPcap 安裝成功且可運作
ndash 停止監聽按「 Ctrl + C」將顯示擷取封包的數量
2-39
網路安全
參數 說明-c 指定收到的封包數目當達到該數目時 Tcpdump 即會停止-d 把編譯過的封包編碼轉碼成可閱讀的格式放置於標準輸出-dd 把編譯過的封包編碼轉碼成 C 語言的格式放置於標準輸出-ddd 把編譯過的封包編碼轉碼成十進位的格式放置於標準輸出-F 從所指定的文件中讀取運算式進而忽略其他運算式-f 用數字顯示 IP 位址 -i 指定擷取封包的網路介面 -w 將擷取的封包直接寫入檔案當中不做分析與顯示於畫面
參數 說明-r 從指定的檔案文件中讀取資料該檔案文件由 -w 所製造出來-v 顯示詳細的封包資訊多了 TTL 及服務類型-s 設定每一個封包的大小-S 用絕對數並非相對數的值列出 TCP 連接數-tt 顯示出原始時間並且為不格式化的時間-n 不進行 IP Address 到 Domain
Name 的轉換-nn 不進行 Port 的轉換如 22 就是
ssh
-x 用十六進位字碼列出封包資料
WinDump相關參數列表
2-40
網路安全
WinDump 簡易使用操作說明bull 語法 windump 參數bull 查看目前系統可使用的網卡介面
ndash windump -Dbull 透過查看網卡介面以利後續監聽之用
2-41
網路安全
WinDump 簡易使用操作說明 (續 )
bull WinDump -i 網卡介面代號 -c 擷取封包數量 port 通訊埠
bull 例 WinDump -i 2 -c 10 port 80
2-42
網路安全
WinDump 簡易使用操作說明 (續 )
bull 因於命令提示字元視窗內所顯示的資訊不易閱讀可透過下列指令將其所擷取的資訊導向至檔案bull Windump -i 網卡介面代號 gt 檔名
ndash windump -i 2 -c 10 -w message port 80ndash windump -r message gt messagetxtndash windump -i 2 -c 10 port 80 gt messagetxt
2-43
網路安全
WinDump 簡易使用操作說明 (續 )
112338326205 此為封包被擷取的時間『 HHMMSSfraction』的單位IP 透過的通訊協定是 IPwinser 1099 gt w1wwwviptw1yahoocomtw80 代表的是傳送端是 winser 傳送的通訊埠為 1099 大於 (gt) 的符號指的是封包的傳輸方向 w1wwwviptw1yahoocomtw 為接收端 80 為接收埠
P(PUSH) 為資料傳輸標誌且傳輸的資料為整體資料的 1~ 699 byte 所以這個封包帶有 698 bytes 的資料量 ack 1 win 65535 ACK與Window size 的相關資料2-44
網路安全
bull 以 Testbed建立一實驗相關拓樸及設定如下圖SSHClientOSWINXP-SP3-CH-pc3000 IP 10113安裝軟體 putty
SSHServerOSWINXP-SP3-CH-pc3000IP 10123安裝軟體 sshd
實驗環境介紹
2-45
IP1
IP2
WireDumpOSWINXP-SP3-CH-pc3000IP1 10112IP2 10122安裝軟體 WinDump
網路安全
實驗拓樸 on TestbedTWISC- 建立完成的實驗拓樸
2-46
網路安全
SSH連線觀察bull 利用 Putty連線到 SSHServer從中觀察到三向交握建立連線的動作從 SSHClient 端利用 putty連線到SSHServer(10123)的 sshd服務
2-47
網路安全
SSH連線觀察 (續 )
bull SSH 在連線之前會利用三向交握的方式建立連線bull 利用 WinDump觀察 SSH連線動作
ndash 指令 WinDumpexe -N -S -i 4 port 22
三向交握的三個封包三向交握示意圖Server lt- Client SYN 你想連線Server -gt Client SYN ACK 可以我接受Server lt- Client ACK 謝謝
2-48
網路安全
架設實作 (二 )
FTP 擷取密碼案例
2-49
網路安全
FTPClientOSWINXP-SP3-pc3000IP 10112安裝軟體 FileZilla
FTPServerOSWINXP-SP3-pc3000IP 10123安裝軟體 RaidenFTPD
實驗環境介紹bull 以 Testbed建立一實驗相關拓樸及設定如下圖
2-50
IP1IP2
WireSharkOSWINXP-SP3-pc3000IP1 10113IP2 10122安裝軟體 Wireshark
網路安全
實驗拓樸 on TestbedTWISC- 建立完成的實驗拓樸
2-51
網路安全
FTP伺服器工具 - RaidenFTPD
bull 版本ndash 24 build 3720
bull 支援作業平台ndash Windows
bull 下載位址ndash httpwwwraidenmaildcomdownloadraidenftpd2exe
2-52
網路安全
RaidenFTPD 安裝步驟bull 下載Windows平台最新版本檔案下載完成後執行該安裝程式
2-53
網路安全
RaidenFTPD 安裝步驟 (續 )
bull 此步驟使用預設路徑即可按下 Install 進行安裝
2-54
網路安全
RaidenFTPD設定步驟bull 程式開啟畫面如下選擇 Click here to start a new
server 進行 FTP伺服器設定
2-55
網路安全
RaidenFTPD設定步驟 (續 )
bull 此處可設定 Server name與 Server IP 將 Auto IP 取消勾選並將 Server IP設為 10123
2-56
網路安全
RaidenFTPD設定步驟 (續 )
bull 接下來的步驟依照預設值即可
2-57
網路安全
RaidenFTPD設定步驟 (續 )
bull 設定人員帳號與群組按下 Add鈕輸入帳號密碼群組名稱可略過完成後按下 Next 進行下一步驟
2-58
網路安全
RaidenFTPD設定步驟 (續 )
bull 此步驟設定該帳號登入 FTP 時的權限選擇NORMAL 按下 Next 進行下一步驟
2-59
網路安全
RaidenFTPD設定步驟 (續 )
bull 接下來的步驟皆以預設值即可完成設定之後會出現對話視窗顯示您所設定的資訊
2-60
網路安全
FTP 用戶端工具 - Filezilla
bull 版本ndash 328
bull 支援作業平台ndash Windows Linux及Mac
bull 下載位址ndash httpsourceforgenetprojectsfilezillafiles
FileZilla_Client328FileZilla_328_win32zipdownload
2-61
網路安全
Filezilla 安裝步驟bull 執行 Filezilla 安裝程式點選 I agree 鈕
2-62
網路安全
Filezilla 安裝步驟 (續 )
bull 以預設值安裝點選兩次 Next 鈕
2-63
網路安全
Filezilla 安裝步驟 (續 )
bull 以預設值安裝點選 Next 鈕後再點選 Install 鈕
2-64
網路安全
Filezilla 安裝步驟 (續 )
bull 以預設值安裝點選 Next 鈕後再點選 Finish 鈕
2-65
網路安全
封包擷取工具 - Wireshark
bull 版本ndash 165
bull 支援作業平台ndash Windows Linux及 FreeBSD
bull 其他需求ndash 安裝WinPcap 31 以上版本
bull 下載位址ndash httpwiresharkdownloadsriverbedcomwireshark
win32wireshark-win32-165exe
2-66
網路安全
Wireshark 安裝步驟bull 至官方網站下載Windows平台最新版本檔案下載完成後執行該安裝程式
2-67
網路安全
Wireshark 安裝步驟 (續 )
bull 於下一步出現的版權宣告點選 I Agree鈕後繼續下一步驟
2-68
網路安全
Wireshark 安裝步驟 (續 )
bull 此步驟選擇欲安裝的元件以軟體預設勾選之項目安裝
2-69
網路安全
Wireshark 安裝步驟 (續 )
bull 此步驟使用預設路徑即可
2-70
網路安全
Wireshark 安裝步驟 (續 )
bull 此步驟將安裝Windows平台須加裝之套件 -WinPcap 若原系統未安裝過 WinPcap套件請以軟體預設項目安裝之
2-71
網路安全
Wireshark 安裝步驟 (續 )
bull 此步驟代表 Wireshark軟體已安裝完成可點選Finish 鈕或勾選 Run Wireshark 165 隨即使用該套軟體
2-72
網路安全
一般工具列Wireshark軟體介面介紹
2-73
篩選工具列封包清單窗格
封包內容窗格封包位元組窗格
網路安全
Wireshark 使用思考方向bull 遇到網路問題是否觀察網路通道中有異常動作或狀況
ndash 思考方向ndash 反應到擷取數據方法那麼以 Wireshark 擷取使用者需要擷取哪些數據這些數據由使用者電腦哪個裝置來擷取
bull Wireshark操作流程
bull 接下來我們進行軟體操作介紹
解決問題 擷取數據要先做什麼
擷取數據 擷取哪些數據( 過濾條件 )數據哪裡來( 網路介面卡 )
2-74
網路安全
數據哪裡來 - Capture功能bull 一開啟方式
ndash 1 點選快速鈕如紅色圈所示ndash 2 點選 Capture功能表 下拉選單後點選 Optionsndash 3鍵盤快速鍵 Ctrl + K
2-75
網路安全
數據哪裡來 - Capture功能 (續 )
bull 二開啟後顯示 Capture Options 的視窗畫面即可看到所提供的擷取功能選項
2-76
網路安全
數據哪裡來 - Capture功能 (續 )
bull Capture Options 常用的欄位設定ndash Caputure 框
bull 1Interface 會顯示出在系統上所有網路卡但只能選取一個介面作為封包擷取bull 2Capture packets in promiscuous mode 選取此選項就是經過所選取的網路卡的所有封包都會被擷取下來bull 3Capture Filter 指定擷取過濾器運算式擷取想要的特定封包即為擷取中過濾之功能
2-77
網路安全
數據哪裡來 - Capture功能 (續 )
bull Capture Options 常用的欄位設定ndash Display Options 框
bull Update list of packets in real time 指定在擷取封包過程中能夠即時更新已擷取封包清單窗格視窗中的封包資訊若取消則軟體主視窗更新畫面是沒有動作的
2-78
網路安全
bull Capture Options 常用的欄位設定ndash Name Resolution框
bull 1 Enable MAC name resolution 指定是否將網路卡MAC address 的前三個位元組轉換成製造商名稱
bull 2 Enable network name resolution 指定是否將 IP address轉換成 DNS 網域名稱
bull 3 Enable transport name resolution 指定是否將通信埠號碼 (port numbers)轉成協定名稱 (protocols)bull 各位了解數據從哪裡擷取的概念與操作之後即可以進一步加上附帶條件 (篩選條件 ) 等相關操作方式
數據哪裡來 - Capture功能 (續 )
2-79
網路安全
Wireshark操作手法bull 延續遇到問題的思考方向及軟體操作手法我們可以將操作流程分為兩種
ndash 擷取中過濾 (Filter while capturing)bull 優點僅擷取已知範圍資訊網路流量少bull 缺點需先了解問題類型避免可能有遺漏真正欲擷取資訊之狀況
ndash 檢視中過濾 (Filter packets while viewing)bull 優點不用先預設條件擷取所有封包資訊bull 缺點影響網路流量
先預設欲擷取條件 擷取數據
擷取數據 再篩選欲查詢數據2-80
網路安全
Wireshark操作手法 - 擷取中過濾bull 操作步驟
ndash 點選 Capture 下拉視窗選擇 Capture Filters 即呈現此視窗
bull 操作範例ndash 1於 Filter窗格中選擇 IP
Address 10112ndash 2於 Properties窗格中即顯示該選項的設定值如圖所示為 host 10112ndash 3 即可設定軟體僅針對
10112 的封包作擷取動作 延伸操作思考1 改變 Filter string 值得到什麼結果2 點選 Edit 窗格中的 New 鈕 新增自訂條件 2-81
網路安全
Wireshark操作手法 - 檢視中過濾bull 此步驟即以已擷取封包清單窗格為基礎以過濾條件過濾該清單bull 可直接選擇軟體預設項目如以下操作
ndash 操作步驟bull 點選 Analyze 下拉視窗選擇
Display Filters 即呈現此視窗ndash 操作範例
bull 1於 Filter窗格中選擇 IP Address 10112
bull 2於 Properties窗格中即顯示該選項的設定值如圖所示值為host 10112
bull 3 即可設定軟體僅針對 10112的封包作顯示動作 延伸操作思考1 可否進行進一步自訂設定值
2-82
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 若電腦 IP為 10112 欲篩選出 IP 來源為上述 IP 且協定為 TCP 80port 的所有封包ndash 操作步驟
bull 點選 Expression鈕即出現此視窗ndash 1於 Field name框選擇
IP項目中的 ipsrc - Source
ndash 2於 Relation框選擇 ==ndash 3於 Value [IPV4
address]填 入 10112ndash 4 點選 OK鈕 進階思考方式須考慮到例如是來源資訊是目標資訊是什麼協定等更細部所要之條件
2-83
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 再進行第二篩選條件ndash TCP 80 port
bull 操作步驟ndash 1先於 Filter string 輸入文字框「 ipsrc==
10112」後再加上一個空格及「 and 」再進行一次 Expression條件選擇
2-84
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
ndash 2於 Field name框選擇「 tcpdstport」ndash 3於 Relation框選擇「 ==」ndash 4於 Value框填入「 80」ndash 5 選擇「 OK」鈕
2-85
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 注意 Propeties框內的Filter string欄位值已改變為「 ipsrc == 10112 and tcpdstport == 80」
bull 確認條件正確後點選「 OK 」鈕即可發現已擷取封包清單窗格的項目均為所設定過濾條件過濾過結果2-86
網路安全
bull 可單選單一封包進行更進階查詢封包內容bull 操作方式為
ndash 點選其中一項封包項目點選滑鼠右鍵選擇Follow TCP Stream
Wireshark操作手法 - 檢視中過濾 (續 )
2-87
網路安全
ndash 此畫面即可看出該項 TCP 封包溝通內容Wireshark操作手法 - 檢視中過濾 (續 )
2-88
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 此功能將所擷取的封包清單使用多種方式呈現封包統計資料便於使用者查詢擷取時間內何種封包數量多寡及圖型顯示bull 操作步驟點選 Statistics 下拉視窗即呈現此視窗 顯示有關擷取清單的摘要以階梯式通訊協定列表顯示所擷取的所有封包
在特定 IP間顯示通訊流量顯示單一 IP 來往封包的流量
以時間軸顯示視覺化封包流量圖2-89
網路安全
bull 可查看到一時段內其封包總數與平均每秒傳遞接收封包數等相關資訊讓使用者了解平均一時段內網路流量狀況藉以初步獲得資訊
Wireshark操作手法 - 檢視中過濾 (續 )
2-90
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 讓使用者可透過階梯式封包分類表來查看哪一類封包佔為居多可進一步推測是否該類型封包影響到整體網路或是否有異常或不常見封包類型在網路中傳遞
2-91
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 將該擷取時段內封包清單檔以兩個特定 IP 之間對傳封包為區隔顯示出哪兩個特定 IP間傳遞封包數多寡bull 可讓使用者更進一步研判兩個特定 IP所屬設備傳遞狀況是否異常
2-92
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 將該擷取時段內封包清單檔以特定IP 傳遞封包數為區隔顯示出哪特定IP 傳遞封包數多寡
bull 可讓使用者更進一步研判該特定所屬設備傳遞封包數是否異常作為管制緊急管制或禁止通訊之證明2-93
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 以時間軸顯示視覺化封包流量圖bull 讓使用者可觀察所管理設備資訊流通量以了解設備是否能負荷或作相關調整等處置
2-94
網路安全
FTP 擷取密碼案例bull 於Wireshark軟體選擇 Capture 下拉選單功能項點選 Interfaces 選項
2-95
網路安全
FTP 擷取密碼案例 (續 )
bull 確認欲擷取封包之網卡名稱如紅色底線所示確認後點選 Start鈕
2-96
網路安全
FTP 擷取密碼案例 (續 )
bull 切換至 FTP Client 電腦開啟 FileZilla 程式後連線到 FTP Server 於 Host 填入10123 Username填入 tester Password填入testpw 後點選 Quickconnect鈕
2-97
網路安全
FTP 擷取密碼案例 (續 )
bull 擷取到的封包資訊會顯示於已擷取封包清單窗格內
2-98
網路安全
FTP 擷取密碼案例 (續 )
bull 使用 FTP軟體登入 ftp站後 Wireshark 將擷取到的使用者名稱與密碼如紅框所示
2-99
網路安全
FTP 擷取密碼案例 (續 )
bull 點選已擷取封包清單窗格的密碼資訊列如標示1 的紅框所示即可在封包內容窗格看到該密碼的位元碼如標示 2 的紅框所示
1
2
2-100
網路安全
架設實作 (三 )
Outlook Express 擷取密碼案例
2-101
網路安全
實驗環境介紹bull 以 Testbed建立一實驗相關拓樸及設定如下圖
OEClientOSWindows XP SP3IP 10112執行 Outlook Express
MailServerOSWindows XP SP3IP 10122安裝軟體 ArGoSoft Mail Server
2-102
WiresharkOSWindows XP SP3IP1 10113 IP2 10123安裝軟體 Wireshark
IP1IP2
網路安全
實驗拓樸 on TestbedTWISC- 建立完成的實驗拓樸
2-103
網路安全
郵件伺服器工具 - ArGoSoft Mail Server
bull 版本ndash 1892 Freeware
bull 支援作業平台ndash Windows
bull 下載位址ndash httpwwwsoftkingcomtwsoftdownloadaspfid3=7367
2-104
網路安全
郵件客戶端工具 - Outlook Express
bull 版本ndash 60
bull 支援作業平台ndash Windows
bull 下載位址ndash Windows 內建
2-105
網路安全
bull 安裝及設定郵件伺服器ndash 1下載並執行 ArGoSoft Mail Server軟體點選
Setup鈕
Outlook Express 擷取密碼案例
2-106
網路安全
ndash 1 點選 Next鈕ndash 2 點選 Start Installation鈕
Outlook Express 擷取密碼案例 (續 )
2-107
網路安全
ndash 3 點選 OK鈕ndash 4 點選 Finish鈕完成軟體安裝
Outlook Express 擷取密碼案例 (續 )
2-108
網路安全
ndash 5 點選使用者設定鈕如紅圈所示ndash 6 點選新增鈕如紅框所示
Outlook Express 擷取密碼案例 (續 )
2-109
網路安全
ndash 7填入使用者名稱 (tester) 及密碼 (testpw) 如紅圈所示填寫完成後點選 OK鈕ndash 8 點選 Close鈕關閉使用者設定視窗
Outlook Express 擷取密碼案例 (續 )
2-110
網路安全
ndash 9 點選選項鈕如左側圖中紅色圈所示ndash 10 點選紅色打勾鈕如右側圖中紅色圈所示
2-111
Outlook Express 擷取密碼案例 (續 )
網路安全
ndash 11該軟體會自動選取 DNS Server 待選取後點選 Yes鈕ndash 12 勾選 Allow Relay 選項如紅框所示
2-112
Outlook Express 擷取密碼案例 (續 )
網路安全
Outlook Express 擷取密碼案例 (續 )
bull 設定收信帳號ndash 1 點選 Tools功能選單選擇 Accounts 選項
2-113
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 2 點選 Add鈕選擇 Mail 選項
2-114
網路安全
ndash 3填入 tester 點選 Next鈕ndash 4填入 testertestcom 點選 Next鈕
Outlook Express 擷取密碼案例 (續 )
2-115
網路安全
ndash 5填入 10123 如紅框所示點選 Next鈕ndash 6填入帳號為 tester 及密碼為 testpw 點選 Next鈕
Outlook Express 擷取密碼案例 (續 )
2-116
網路安全
ndash 7 點選 Finish鈕ndash 8 點選 Close鈕
Outlook Express 擷取密碼案例 (續 )
2-117
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 模擬條件準備好後首先準備Wireshark 擷取動作開啟Wireshark
2-118
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 於Wireshark軟體選擇 Capture 下拉選單功能項點選 Interfaces 選項
2-119
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 確認欲擷取封包之網卡名稱如紅色底線所示確認後點選 Start鈕
2-120
網路安全
ndash 當使用者收發 email 時即被 Wireshark攔截封包ndash 有發現到該 Outlook Express帳號密碼是如此清晰可見的嗎
Outlook Express 擷取密碼案例 (續 )
2-121
網路安全
結論bull 學習了 Wireshark及WinDump 兩套網路封包擷取軟體基本概念如同電話側錄概念相同從中複製一連串資訊來分析與了解網路的流量及內容為何bull 當你發現網路速度緩慢等狀況你是否會反應到所學的基本概念來找尋問題所在bull 防範概念由此課程的實例可以了解網路內容如被有心人士擷取所造成的損失相當可觀故你是否有對策有哪些方式你可以應用來防範bull 正確的思考善用對的工具將對解決問題事半功倍
2-122
網路安全 2-123
Module 2-5 封包擷取與分析的專案實作()
網路安全
專案目的bull 建立遠端管理傳遞指令資訊環境bull 利用實際攔截封包操作的方式讓同學了解封包擷取運作與網路資訊流通的顧慮等相關議題
2-124
網路安全
專案描述bull 近年來遠端管理伺服器及網路服務普及光是密碼保護就足夠了嗎是否重點網段須全程加密還是作網段隔離經由此專案實作即可了解不僅部分加密仍有其風險所在網路架構如何規劃將是非常重要的課題bull 參考環境配置圖完成下列要求①環境裡的攔截封包主機是 Windows XP SP3 作業系統而該主機安裝Wireshark軟體②另兩台主機的作業系統亦是 Windows XP SP3 並裝上
MySQL軟體 MySQL帳號為 root 密碼為您的學號 (如 Q3896105)
③在MySQLClient 電腦使用 MySQL Commandline 指令連線至MySQLServer 擷取資料庫資訊
④我們針對這兩台主機傳訊的封包擷取由整個實做中思考如何防範資訊外洩與了解傳訊封包如何流動及運作2-125
網路安全
環境配置圖bull 以 Testbed建立一實驗相關拓樸及設定如下圖
MySQLServerOSWINXP-SP3-CH-pc3000 IP 10123安裝軟體 MySQL
MySQLClientOSWINXP-SP3-CH-pc3000 IP 10112安裝軟體 MySQL
2-126
WireSharkOSWINXP-SP3-CH-pc3000 IP1 10113IP2 10122安裝軟體 Wireshark
IP1IP2
網路安全
作業繳交bull 請參考情境測試發送數個 SQL 指令並將過程與擷取到的封包資訊之截圖列於報告中所有圖表皆需要輔以文字說明bull Deadline 2012312 下午 500 以前bull 作業範圍 Module 2-5 (page 2-128)bull 方式 (參考課程網址 )
ndash 帳號密碼小寫的 (ns100ns100)ndash IP 140116164167
2-127
網路安全
有問題嗎
bull 關於 TestBed 使用上的問題請直接 Email至 twisc-testbed-usergooglegroupscom 將有專人為您服務bull 課程網址
httpitlabeenckuedutwcoursesNS_100indexhtml
2-128
bull 助教資訊 (參考課程網址 )
網路安全
參考資料bull Dienet httplinuxdienetman1wiresharkbull Orebaugh Angela Ramirez Gilbert Burke Josh Pesce Larry Wright
Joshua(2007) Wireshark and Ethereal network protocol analyzer toolkitbull Tony Fortunato(2007) Wireshark Training Retrieved July 22 2009 from
the World Wide Web httpwwwthetechfirmcometherealwiresharkpdfbull WinDump httpwwwwinpcaporgWinDumpbull Wireshark httpwwwwiresharkorgbull Wireshark University httpwwwwiresharktrainingcombull 楊中皇 (民 97年 ) 網路安全理論與實務 (2版 ) 台北市學貫bull 蘇淑茵教授 Wireshark 民國 98年 6月 28日取自 httpmywebnckuedutw~sisou
2-129
網路安全
WinPcap 安裝步驟bull WinPcap 下載完成後即可進行安裝bull 安裝畫面如下點選 Next按鈕繼續下一步
2-38
網路安全
WinDump與WinPcap測試bull 請將下載的 WinDumpexe 檔案存放至 C
Windowssystem32 的目錄之下bull 測試WinDump及WinPcap 是否可運作
ndash 點選開始 -gt 程式集 -gt附屬應用程式 -gt命令提示字元 -gt 輸入「 windump 」按下 Enter 即會出現「 windump listening on DeviceNPF_GenericDialupAdapter」的訊息代表WinDump及WinPcap 安裝成功且可運作
ndash 停止監聽按「 Ctrl + C」將顯示擷取封包的數量
2-39
網路安全
參數 說明-c 指定收到的封包數目當達到該數目時 Tcpdump 即會停止-d 把編譯過的封包編碼轉碼成可閱讀的格式放置於標準輸出-dd 把編譯過的封包編碼轉碼成 C 語言的格式放置於標準輸出-ddd 把編譯過的封包編碼轉碼成十進位的格式放置於標準輸出-F 從所指定的文件中讀取運算式進而忽略其他運算式-f 用數字顯示 IP 位址 -i 指定擷取封包的網路介面 -w 將擷取的封包直接寫入檔案當中不做分析與顯示於畫面
參數 說明-r 從指定的檔案文件中讀取資料該檔案文件由 -w 所製造出來-v 顯示詳細的封包資訊多了 TTL 及服務類型-s 設定每一個封包的大小-S 用絕對數並非相對數的值列出 TCP 連接數-tt 顯示出原始時間並且為不格式化的時間-n 不進行 IP Address 到 Domain
Name 的轉換-nn 不進行 Port 的轉換如 22 就是
ssh
-x 用十六進位字碼列出封包資料
WinDump相關參數列表
2-40
網路安全
WinDump 簡易使用操作說明bull 語法 windump 參數bull 查看目前系統可使用的網卡介面
ndash windump -Dbull 透過查看網卡介面以利後續監聽之用
2-41
網路安全
WinDump 簡易使用操作說明 (續 )
bull WinDump -i 網卡介面代號 -c 擷取封包數量 port 通訊埠
bull 例 WinDump -i 2 -c 10 port 80
2-42
網路安全
WinDump 簡易使用操作說明 (續 )
bull 因於命令提示字元視窗內所顯示的資訊不易閱讀可透過下列指令將其所擷取的資訊導向至檔案bull Windump -i 網卡介面代號 gt 檔名
ndash windump -i 2 -c 10 -w message port 80ndash windump -r message gt messagetxtndash windump -i 2 -c 10 port 80 gt messagetxt
2-43
網路安全
WinDump 簡易使用操作說明 (續 )
112338326205 此為封包被擷取的時間『 HHMMSSfraction』的單位IP 透過的通訊協定是 IPwinser 1099 gt w1wwwviptw1yahoocomtw80 代表的是傳送端是 winser 傳送的通訊埠為 1099 大於 (gt) 的符號指的是封包的傳輸方向 w1wwwviptw1yahoocomtw 為接收端 80 為接收埠
P(PUSH) 為資料傳輸標誌且傳輸的資料為整體資料的 1~ 699 byte 所以這個封包帶有 698 bytes 的資料量 ack 1 win 65535 ACK與Window size 的相關資料2-44
網路安全
bull 以 Testbed建立一實驗相關拓樸及設定如下圖SSHClientOSWINXP-SP3-CH-pc3000 IP 10113安裝軟體 putty
SSHServerOSWINXP-SP3-CH-pc3000IP 10123安裝軟體 sshd
實驗環境介紹
2-45
IP1
IP2
WireDumpOSWINXP-SP3-CH-pc3000IP1 10112IP2 10122安裝軟體 WinDump
網路安全
實驗拓樸 on TestbedTWISC- 建立完成的實驗拓樸
2-46
網路安全
SSH連線觀察bull 利用 Putty連線到 SSHServer從中觀察到三向交握建立連線的動作從 SSHClient 端利用 putty連線到SSHServer(10123)的 sshd服務
2-47
網路安全
SSH連線觀察 (續 )
bull SSH 在連線之前會利用三向交握的方式建立連線bull 利用 WinDump觀察 SSH連線動作
ndash 指令 WinDumpexe -N -S -i 4 port 22
三向交握的三個封包三向交握示意圖Server lt- Client SYN 你想連線Server -gt Client SYN ACK 可以我接受Server lt- Client ACK 謝謝
2-48
網路安全
架設實作 (二 )
FTP 擷取密碼案例
2-49
網路安全
FTPClientOSWINXP-SP3-pc3000IP 10112安裝軟體 FileZilla
FTPServerOSWINXP-SP3-pc3000IP 10123安裝軟體 RaidenFTPD
實驗環境介紹bull 以 Testbed建立一實驗相關拓樸及設定如下圖
2-50
IP1IP2
WireSharkOSWINXP-SP3-pc3000IP1 10113IP2 10122安裝軟體 Wireshark
網路安全
實驗拓樸 on TestbedTWISC- 建立完成的實驗拓樸
2-51
網路安全
FTP伺服器工具 - RaidenFTPD
bull 版本ndash 24 build 3720
bull 支援作業平台ndash Windows
bull 下載位址ndash httpwwwraidenmaildcomdownloadraidenftpd2exe
2-52
網路安全
RaidenFTPD 安裝步驟bull 下載Windows平台最新版本檔案下載完成後執行該安裝程式
2-53
網路安全
RaidenFTPD 安裝步驟 (續 )
bull 此步驟使用預設路徑即可按下 Install 進行安裝
2-54
網路安全
RaidenFTPD設定步驟bull 程式開啟畫面如下選擇 Click here to start a new
server 進行 FTP伺服器設定
2-55
網路安全
RaidenFTPD設定步驟 (續 )
bull 此處可設定 Server name與 Server IP 將 Auto IP 取消勾選並將 Server IP設為 10123
2-56
網路安全
RaidenFTPD設定步驟 (續 )
bull 接下來的步驟依照預設值即可
2-57
網路安全
RaidenFTPD設定步驟 (續 )
bull 設定人員帳號與群組按下 Add鈕輸入帳號密碼群組名稱可略過完成後按下 Next 進行下一步驟
2-58
網路安全
RaidenFTPD設定步驟 (續 )
bull 此步驟設定該帳號登入 FTP 時的權限選擇NORMAL 按下 Next 進行下一步驟
2-59
網路安全
RaidenFTPD設定步驟 (續 )
bull 接下來的步驟皆以預設值即可完成設定之後會出現對話視窗顯示您所設定的資訊
2-60
網路安全
FTP 用戶端工具 - Filezilla
bull 版本ndash 328
bull 支援作業平台ndash Windows Linux及Mac
bull 下載位址ndash httpsourceforgenetprojectsfilezillafiles
FileZilla_Client328FileZilla_328_win32zipdownload
2-61
網路安全
Filezilla 安裝步驟bull 執行 Filezilla 安裝程式點選 I agree 鈕
2-62
網路安全
Filezilla 安裝步驟 (續 )
bull 以預設值安裝點選兩次 Next 鈕
2-63
網路安全
Filezilla 安裝步驟 (續 )
bull 以預設值安裝點選 Next 鈕後再點選 Install 鈕
2-64
網路安全
Filezilla 安裝步驟 (續 )
bull 以預設值安裝點選 Next 鈕後再點選 Finish 鈕
2-65
網路安全
封包擷取工具 - Wireshark
bull 版本ndash 165
bull 支援作業平台ndash Windows Linux及 FreeBSD
bull 其他需求ndash 安裝WinPcap 31 以上版本
bull 下載位址ndash httpwiresharkdownloadsriverbedcomwireshark
win32wireshark-win32-165exe
2-66
網路安全
Wireshark 安裝步驟bull 至官方網站下載Windows平台最新版本檔案下載完成後執行該安裝程式
2-67
網路安全
Wireshark 安裝步驟 (續 )
bull 於下一步出現的版權宣告點選 I Agree鈕後繼續下一步驟
2-68
網路安全
Wireshark 安裝步驟 (續 )
bull 此步驟選擇欲安裝的元件以軟體預設勾選之項目安裝
2-69
網路安全
Wireshark 安裝步驟 (續 )
bull 此步驟使用預設路徑即可
2-70
網路安全
Wireshark 安裝步驟 (續 )
bull 此步驟將安裝Windows平台須加裝之套件 -WinPcap 若原系統未安裝過 WinPcap套件請以軟體預設項目安裝之
2-71
網路安全
Wireshark 安裝步驟 (續 )
bull 此步驟代表 Wireshark軟體已安裝完成可點選Finish 鈕或勾選 Run Wireshark 165 隨即使用該套軟體
2-72
網路安全
一般工具列Wireshark軟體介面介紹
2-73
篩選工具列封包清單窗格
封包內容窗格封包位元組窗格
網路安全
Wireshark 使用思考方向bull 遇到網路問題是否觀察網路通道中有異常動作或狀況
ndash 思考方向ndash 反應到擷取數據方法那麼以 Wireshark 擷取使用者需要擷取哪些數據這些數據由使用者電腦哪個裝置來擷取
bull Wireshark操作流程
bull 接下來我們進行軟體操作介紹
解決問題 擷取數據要先做什麼
擷取數據 擷取哪些數據( 過濾條件 )數據哪裡來( 網路介面卡 )
2-74
網路安全
數據哪裡來 - Capture功能bull 一開啟方式
ndash 1 點選快速鈕如紅色圈所示ndash 2 點選 Capture功能表 下拉選單後點選 Optionsndash 3鍵盤快速鍵 Ctrl + K
2-75
網路安全
數據哪裡來 - Capture功能 (續 )
bull 二開啟後顯示 Capture Options 的視窗畫面即可看到所提供的擷取功能選項
2-76
網路安全
數據哪裡來 - Capture功能 (續 )
bull Capture Options 常用的欄位設定ndash Caputure 框
bull 1Interface 會顯示出在系統上所有網路卡但只能選取一個介面作為封包擷取bull 2Capture packets in promiscuous mode 選取此選項就是經過所選取的網路卡的所有封包都會被擷取下來bull 3Capture Filter 指定擷取過濾器運算式擷取想要的特定封包即為擷取中過濾之功能
2-77
網路安全
數據哪裡來 - Capture功能 (續 )
bull Capture Options 常用的欄位設定ndash Display Options 框
bull Update list of packets in real time 指定在擷取封包過程中能夠即時更新已擷取封包清單窗格視窗中的封包資訊若取消則軟體主視窗更新畫面是沒有動作的
2-78
網路安全
bull Capture Options 常用的欄位設定ndash Name Resolution框
bull 1 Enable MAC name resolution 指定是否將網路卡MAC address 的前三個位元組轉換成製造商名稱
bull 2 Enable network name resolution 指定是否將 IP address轉換成 DNS 網域名稱
bull 3 Enable transport name resolution 指定是否將通信埠號碼 (port numbers)轉成協定名稱 (protocols)bull 各位了解數據從哪裡擷取的概念與操作之後即可以進一步加上附帶條件 (篩選條件 ) 等相關操作方式
數據哪裡來 - Capture功能 (續 )
2-79
網路安全
Wireshark操作手法bull 延續遇到問題的思考方向及軟體操作手法我們可以將操作流程分為兩種
ndash 擷取中過濾 (Filter while capturing)bull 優點僅擷取已知範圍資訊網路流量少bull 缺點需先了解問題類型避免可能有遺漏真正欲擷取資訊之狀況
ndash 檢視中過濾 (Filter packets while viewing)bull 優點不用先預設條件擷取所有封包資訊bull 缺點影響網路流量
先預設欲擷取條件 擷取數據
擷取數據 再篩選欲查詢數據2-80
網路安全
Wireshark操作手法 - 擷取中過濾bull 操作步驟
ndash 點選 Capture 下拉視窗選擇 Capture Filters 即呈現此視窗
bull 操作範例ndash 1於 Filter窗格中選擇 IP
Address 10112ndash 2於 Properties窗格中即顯示該選項的設定值如圖所示為 host 10112ndash 3 即可設定軟體僅針對
10112 的封包作擷取動作 延伸操作思考1 改變 Filter string 值得到什麼結果2 點選 Edit 窗格中的 New 鈕 新增自訂條件 2-81
網路安全
Wireshark操作手法 - 檢視中過濾bull 此步驟即以已擷取封包清單窗格為基礎以過濾條件過濾該清單bull 可直接選擇軟體預設項目如以下操作
ndash 操作步驟bull 點選 Analyze 下拉視窗選擇
Display Filters 即呈現此視窗ndash 操作範例
bull 1於 Filter窗格中選擇 IP Address 10112
bull 2於 Properties窗格中即顯示該選項的設定值如圖所示值為host 10112
bull 3 即可設定軟體僅針對 10112的封包作顯示動作 延伸操作思考1 可否進行進一步自訂設定值
2-82
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 若電腦 IP為 10112 欲篩選出 IP 來源為上述 IP 且協定為 TCP 80port 的所有封包ndash 操作步驟
bull 點選 Expression鈕即出現此視窗ndash 1於 Field name框選擇
IP項目中的 ipsrc - Source
ndash 2於 Relation框選擇 ==ndash 3於 Value [IPV4
address]填 入 10112ndash 4 點選 OK鈕 進階思考方式須考慮到例如是來源資訊是目標資訊是什麼協定等更細部所要之條件
2-83
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 再進行第二篩選條件ndash TCP 80 port
bull 操作步驟ndash 1先於 Filter string 輸入文字框「 ipsrc==
10112」後再加上一個空格及「 and 」再進行一次 Expression條件選擇
2-84
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
ndash 2於 Field name框選擇「 tcpdstport」ndash 3於 Relation框選擇「 ==」ndash 4於 Value框填入「 80」ndash 5 選擇「 OK」鈕
2-85
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 注意 Propeties框內的Filter string欄位值已改變為「 ipsrc == 10112 and tcpdstport == 80」
bull 確認條件正確後點選「 OK 」鈕即可發現已擷取封包清單窗格的項目均為所設定過濾條件過濾過結果2-86
網路安全
bull 可單選單一封包進行更進階查詢封包內容bull 操作方式為
ndash 點選其中一項封包項目點選滑鼠右鍵選擇Follow TCP Stream
Wireshark操作手法 - 檢視中過濾 (續 )
2-87
網路安全
ndash 此畫面即可看出該項 TCP 封包溝通內容Wireshark操作手法 - 檢視中過濾 (續 )
2-88
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 此功能將所擷取的封包清單使用多種方式呈現封包統計資料便於使用者查詢擷取時間內何種封包數量多寡及圖型顯示bull 操作步驟點選 Statistics 下拉視窗即呈現此視窗 顯示有關擷取清單的摘要以階梯式通訊協定列表顯示所擷取的所有封包
在特定 IP間顯示通訊流量顯示單一 IP 來往封包的流量
以時間軸顯示視覺化封包流量圖2-89
網路安全
bull 可查看到一時段內其封包總數與平均每秒傳遞接收封包數等相關資訊讓使用者了解平均一時段內網路流量狀況藉以初步獲得資訊
Wireshark操作手法 - 檢視中過濾 (續 )
2-90
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 讓使用者可透過階梯式封包分類表來查看哪一類封包佔為居多可進一步推測是否該類型封包影響到整體網路或是否有異常或不常見封包類型在網路中傳遞
2-91
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 將該擷取時段內封包清單檔以兩個特定 IP 之間對傳封包為區隔顯示出哪兩個特定 IP間傳遞封包數多寡bull 可讓使用者更進一步研判兩個特定 IP所屬設備傳遞狀況是否異常
2-92
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 將該擷取時段內封包清單檔以特定IP 傳遞封包數為區隔顯示出哪特定IP 傳遞封包數多寡
bull 可讓使用者更進一步研判該特定所屬設備傳遞封包數是否異常作為管制緊急管制或禁止通訊之證明2-93
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 以時間軸顯示視覺化封包流量圖bull 讓使用者可觀察所管理設備資訊流通量以了解設備是否能負荷或作相關調整等處置
2-94
網路安全
FTP 擷取密碼案例bull 於Wireshark軟體選擇 Capture 下拉選單功能項點選 Interfaces 選項
2-95
網路安全
FTP 擷取密碼案例 (續 )
bull 確認欲擷取封包之網卡名稱如紅色底線所示確認後點選 Start鈕
2-96
網路安全
FTP 擷取密碼案例 (續 )
bull 切換至 FTP Client 電腦開啟 FileZilla 程式後連線到 FTP Server 於 Host 填入10123 Username填入 tester Password填入testpw 後點選 Quickconnect鈕
2-97
網路安全
FTP 擷取密碼案例 (續 )
bull 擷取到的封包資訊會顯示於已擷取封包清單窗格內
2-98
網路安全
FTP 擷取密碼案例 (續 )
bull 使用 FTP軟體登入 ftp站後 Wireshark 將擷取到的使用者名稱與密碼如紅框所示
2-99
網路安全
FTP 擷取密碼案例 (續 )
bull 點選已擷取封包清單窗格的密碼資訊列如標示1 的紅框所示即可在封包內容窗格看到該密碼的位元碼如標示 2 的紅框所示
1
2
2-100
網路安全
架設實作 (三 )
Outlook Express 擷取密碼案例
2-101
網路安全
實驗環境介紹bull 以 Testbed建立一實驗相關拓樸及設定如下圖
OEClientOSWindows XP SP3IP 10112執行 Outlook Express
MailServerOSWindows XP SP3IP 10122安裝軟體 ArGoSoft Mail Server
2-102
WiresharkOSWindows XP SP3IP1 10113 IP2 10123安裝軟體 Wireshark
IP1IP2
網路安全
實驗拓樸 on TestbedTWISC- 建立完成的實驗拓樸
2-103
網路安全
郵件伺服器工具 - ArGoSoft Mail Server
bull 版本ndash 1892 Freeware
bull 支援作業平台ndash Windows
bull 下載位址ndash httpwwwsoftkingcomtwsoftdownloadaspfid3=7367
2-104
網路安全
郵件客戶端工具 - Outlook Express
bull 版本ndash 60
bull 支援作業平台ndash Windows
bull 下載位址ndash Windows 內建
2-105
網路安全
bull 安裝及設定郵件伺服器ndash 1下載並執行 ArGoSoft Mail Server軟體點選
Setup鈕
Outlook Express 擷取密碼案例
2-106
網路安全
ndash 1 點選 Next鈕ndash 2 點選 Start Installation鈕
Outlook Express 擷取密碼案例 (續 )
2-107
網路安全
ndash 3 點選 OK鈕ndash 4 點選 Finish鈕完成軟體安裝
Outlook Express 擷取密碼案例 (續 )
2-108
網路安全
ndash 5 點選使用者設定鈕如紅圈所示ndash 6 點選新增鈕如紅框所示
Outlook Express 擷取密碼案例 (續 )
2-109
網路安全
ndash 7填入使用者名稱 (tester) 及密碼 (testpw) 如紅圈所示填寫完成後點選 OK鈕ndash 8 點選 Close鈕關閉使用者設定視窗
Outlook Express 擷取密碼案例 (續 )
2-110
網路安全
ndash 9 點選選項鈕如左側圖中紅色圈所示ndash 10 點選紅色打勾鈕如右側圖中紅色圈所示
2-111
Outlook Express 擷取密碼案例 (續 )
網路安全
ndash 11該軟體會自動選取 DNS Server 待選取後點選 Yes鈕ndash 12 勾選 Allow Relay 選項如紅框所示
2-112
Outlook Express 擷取密碼案例 (續 )
網路安全
Outlook Express 擷取密碼案例 (續 )
bull 設定收信帳號ndash 1 點選 Tools功能選單選擇 Accounts 選項
2-113
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 2 點選 Add鈕選擇 Mail 選項
2-114
網路安全
ndash 3填入 tester 點選 Next鈕ndash 4填入 testertestcom 點選 Next鈕
Outlook Express 擷取密碼案例 (續 )
2-115
網路安全
ndash 5填入 10123 如紅框所示點選 Next鈕ndash 6填入帳號為 tester 及密碼為 testpw 點選 Next鈕
Outlook Express 擷取密碼案例 (續 )
2-116
網路安全
ndash 7 點選 Finish鈕ndash 8 點選 Close鈕
Outlook Express 擷取密碼案例 (續 )
2-117
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 模擬條件準備好後首先準備Wireshark 擷取動作開啟Wireshark
2-118
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 於Wireshark軟體選擇 Capture 下拉選單功能項點選 Interfaces 選項
2-119
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 確認欲擷取封包之網卡名稱如紅色底線所示確認後點選 Start鈕
2-120
網路安全
ndash 當使用者收發 email 時即被 Wireshark攔截封包ndash 有發現到該 Outlook Express帳號密碼是如此清晰可見的嗎
Outlook Express 擷取密碼案例 (續 )
2-121
網路安全
結論bull 學習了 Wireshark及WinDump 兩套網路封包擷取軟體基本概念如同電話側錄概念相同從中複製一連串資訊來分析與了解網路的流量及內容為何bull 當你發現網路速度緩慢等狀況你是否會反應到所學的基本概念來找尋問題所在bull 防範概念由此課程的實例可以了解網路內容如被有心人士擷取所造成的損失相當可觀故你是否有對策有哪些方式你可以應用來防範bull 正確的思考善用對的工具將對解決問題事半功倍
2-122
網路安全 2-123
Module 2-5 封包擷取與分析的專案實作()
網路安全
專案目的bull 建立遠端管理傳遞指令資訊環境bull 利用實際攔截封包操作的方式讓同學了解封包擷取運作與網路資訊流通的顧慮等相關議題
2-124
網路安全
專案描述bull 近年來遠端管理伺服器及網路服務普及光是密碼保護就足夠了嗎是否重點網段須全程加密還是作網段隔離經由此專案實作即可了解不僅部分加密仍有其風險所在網路架構如何規劃將是非常重要的課題bull 參考環境配置圖完成下列要求①環境裡的攔截封包主機是 Windows XP SP3 作業系統而該主機安裝Wireshark軟體②另兩台主機的作業系統亦是 Windows XP SP3 並裝上
MySQL軟體 MySQL帳號為 root 密碼為您的學號 (如 Q3896105)
③在MySQLClient 電腦使用 MySQL Commandline 指令連線至MySQLServer 擷取資料庫資訊
④我們針對這兩台主機傳訊的封包擷取由整個實做中思考如何防範資訊外洩與了解傳訊封包如何流動及運作2-125
網路安全
環境配置圖bull 以 Testbed建立一實驗相關拓樸及設定如下圖
MySQLServerOSWINXP-SP3-CH-pc3000 IP 10123安裝軟體 MySQL
MySQLClientOSWINXP-SP3-CH-pc3000 IP 10112安裝軟體 MySQL
2-126
WireSharkOSWINXP-SP3-CH-pc3000 IP1 10113IP2 10122安裝軟體 Wireshark
IP1IP2
網路安全
作業繳交bull 請參考情境測試發送數個 SQL 指令並將過程與擷取到的封包資訊之截圖列於報告中所有圖表皆需要輔以文字說明bull Deadline 2012312 下午 500 以前bull 作業範圍 Module 2-5 (page 2-128)bull 方式 (參考課程網址 )
ndash 帳號密碼小寫的 (ns100ns100)ndash IP 140116164167
2-127
網路安全
有問題嗎
bull 關於 TestBed 使用上的問題請直接 Email至 twisc-testbed-usergooglegroupscom 將有專人為您服務bull 課程網址
httpitlabeenckuedutwcoursesNS_100indexhtml
2-128
bull 助教資訊 (參考課程網址 )
網路安全
參考資料bull Dienet httplinuxdienetman1wiresharkbull Orebaugh Angela Ramirez Gilbert Burke Josh Pesce Larry Wright
Joshua(2007) Wireshark and Ethereal network protocol analyzer toolkitbull Tony Fortunato(2007) Wireshark Training Retrieved July 22 2009 from
the World Wide Web httpwwwthetechfirmcometherealwiresharkpdfbull WinDump httpwwwwinpcaporgWinDumpbull Wireshark httpwwwwiresharkorgbull Wireshark University httpwwwwiresharktrainingcombull 楊中皇 (民 97年 ) 網路安全理論與實務 (2版 ) 台北市學貫bull 蘇淑茵教授 Wireshark 民國 98年 6月 28日取自 httpmywebnckuedutw~sisou
2-129
網路安全
WinDump與WinPcap測試bull 請將下載的 WinDumpexe 檔案存放至 C
Windowssystem32 的目錄之下bull 測試WinDump及WinPcap 是否可運作
ndash 點選開始 -gt 程式集 -gt附屬應用程式 -gt命令提示字元 -gt 輸入「 windump 」按下 Enter 即會出現「 windump listening on DeviceNPF_GenericDialupAdapter」的訊息代表WinDump及WinPcap 安裝成功且可運作
ndash 停止監聽按「 Ctrl + C」將顯示擷取封包的數量
2-39
網路安全
參數 說明-c 指定收到的封包數目當達到該數目時 Tcpdump 即會停止-d 把編譯過的封包編碼轉碼成可閱讀的格式放置於標準輸出-dd 把編譯過的封包編碼轉碼成 C 語言的格式放置於標準輸出-ddd 把編譯過的封包編碼轉碼成十進位的格式放置於標準輸出-F 從所指定的文件中讀取運算式進而忽略其他運算式-f 用數字顯示 IP 位址 -i 指定擷取封包的網路介面 -w 將擷取的封包直接寫入檔案當中不做分析與顯示於畫面
參數 說明-r 從指定的檔案文件中讀取資料該檔案文件由 -w 所製造出來-v 顯示詳細的封包資訊多了 TTL 及服務類型-s 設定每一個封包的大小-S 用絕對數並非相對數的值列出 TCP 連接數-tt 顯示出原始時間並且為不格式化的時間-n 不進行 IP Address 到 Domain
Name 的轉換-nn 不進行 Port 的轉換如 22 就是
ssh
-x 用十六進位字碼列出封包資料
WinDump相關參數列表
2-40
網路安全
WinDump 簡易使用操作說明bull 語法 windump 參數bull 查看目前系統可使用的網卡介面
ndash windump -Dbull 透過查看網卡介面以利後續監聽之用
2-41
網路安全
WinDump 簡易使用操作說明 (續 )
bull WinDump -i 網卡介面代號 -c 擷取封包數量 port 通訊埠
bull 例 WinDump -i 2 -c 10 port 80
2-42
網路安全
WinDump 簡易使用操作說明 (續 )
bull 因於命令提示字元視窗內所顯示的資訊不易閱讀可透過下列指令將其所擷取的資訊導向至檔案bull Windump -i 網卡介面代號 gt 檔名
ndash windump -i 2 -c 10 -w message port 80ndash windump -r message gt messagetxtndash windump -i 2 -c 10 port 80 gt messagetxt
2-43
網路安全
WinDump 簡易使用操作說明 (續 )
112338326205 此為封包被擷取的時間『 HHMMSSfraction』的單位IP 透過的通訊協定是 IPwinser 1099 gt w1wwwviptw1yahoocomtw80 代表的是傳送端是 winser 傳送的通訊埠為 1099 大於 (gt) 的符號指的是封包的傳輸方向 w1wwwviptw1yahoocomtw 為接收端 80 為接收埠
P(PUSH) 為資料傳輸標誌且傳輸的資料為整體資料的 1~ 699 byte 所以這個封包帶有 698 bytes 的資料量 ack 1 win 65535 ACK與Window size 的相關資料2-44
網路安全
bull 以 Testbed建立一實驗相關拓樸及設定如下圖SSHClientOSWINXP-SP3-CH-pc3000 IP 10113安裝軟體 putty
SSHServerOSWINXP-SP3-CH-pc3000IP 10123安裝軟體 sshd
實驗環境介紹
2-45
IP1
IP2
WireDumpOSWINXP-SP3-CH-pc3000IP1 10112IP2 10122安裝軟體 WinDump
網路安全
實驗拓樸 on TestbedTWISC- 建立完成的實驗拓樸
2-46
網路安全
SSH連線觀察bull 利用 Putty連線到 SSHServer從中觀察到三向交握建立連線的動作從 SSHClient 端利用 putty連線到SSHServer(10123)的 sshd服務
2-47
網路安全
SSH連線觀察 (續 )
bull SSH 在連線之前會利用三向交握的方式建立連線bull 利用 WinDump觀察 SSH連線動作
ndash 指令 WinDumpexe -N -S -i 4 port 22
三向交握的三個封包三向交握示意圖Server lt- Client SYN 你想連線Server -gt Client SYN ACK 可以我接受Server lt- Client ACK 謝謝
2-48
網路安全
架設實作 (二 )
FTP 擷取密碼案例
2-49
網路安全
FTPClientOSWINXP-SP3-pc3000IP 10112安裝軟體 FileZilla
FTPServerOSWINXP-SP3-pc3000IP 10123安裝軟體 RaidenFTPD
實驗環境介紹bull 以 Testbed建立一實驗相關拓樸及設定如下圖
2-50
IP1IP2
WireSharkOSWINXP-SP3-pc3000IP1 10113IP2 10122安裝軟體 Wireshark
網路安全
實驗拓樸 on TestbedTWISC- 建立完成的實驗拓樸
2-51
網路安全
FTP伺服器工具 - RaidenFTPD
bull 版本ndash 24 build 3720
bull 支援作業平台ndash Windows
bull 下載位址ndash httpwwwraidenmaildcomdownloadraidenftpd2exe
2-52
網路安全
RaidenFTPD 安裝步驟bull 下載Windows平台最新版本檔案下載完成後執行該安裝程式
2-53
網路安全
RaidenFTPD 安裝步驟 (續 )
bull 此步驟使用預設路徑即可按下 Install 進行安裝
2-54
網路安全
RaidenFTPD設定步驟bull 程式開啟畫面如下選擇 Click here to start a new
server 進行 FTP伺服器設定
2-55
網路安全
RaidenFTPD設定步驟 (續 )
bull 此處可設定 Server name與 Server IP 將 Auto IP 取消勾選並將 Server IP設為 10123
2-56
網路安全
RaidenFTPD設定步驟 (續 )
bull 接下來的步驟依照預設值即可
2-57
網路安全
RaidenFTPD設定步驟 (續 )
bull 設定人員帳號與群組按下 Add鈕輸入帳號密碼群組名稱可略過完成後按下 Next 進行下一步驟
2-58
網路安全
RaidenFTPD設定步驟 (續 )
bull 此步驟設定該帳號登入 FTP 時的權限選擇NORMAL 按下 Next 進行下一步驟
2-59
網路安全
RaidenFTPD設定步驟 (續 )
bull 接下來的步驟皆以預設值即可完成設定之後會出現對話視窗顯示您所設定的資訊
2-60
網路安全
FTP 用戶端工具 - Filezilla
bull 版本ndash 328
bull 支援作業平台ndash Windows Linux及Mac
bull 下載位址ndash httpsourceforgenetprojectsfilezillafiles
FileZilla_Client328FileZilla_328_win32zipdownload
2-61
網路安全
Filezilla 安裝步驟bull 執行 Filezilla 安裝程式點選 I agree 鈕
2-62
網路安全
Filezilla 安裝步驟 (續 )
bull 以預設值安裝點選兩次 Next 鈕
2-63
網路安全
Filezilla 安裝步驟 (續 )
bull 以預設值安裝點選 Next 鈕後再點選 Install 鈕
2-64
網路安全
Filezilla 安裝步驟 (續 )
bull 以預設值安裝點選 Next 鈕後再點選 Finish 鈕
2-65
網路安全
封包擷取工具 - Wireshark
bull 版本ndash 165
bull 支援作業平台ndash Windows Linux及 FreeBSD
bull 其他需求ndash 安裝WinPcap 31 以上版本
bull 下載位址ndash httpwiresharkdownloadsriverbedcomwireshark
win32wireshark-win32-165exe
2-66
網路安全
Wireshark 安裝步驟bull 至官方網站下載Windows平台最新版本檔案下載完成後執行該安裝程式
2-67
網路安全
Wireshark 安裝步驟 (續 )
bull 於下一步出現的版權宣告點選 I Agree鈕後繼續下一步驟
2-68
網路安全
Wireshark 安裝步驟 (續 )
bull 此步驟選擇欲安裝的元件以軟體預設勾選之項目安裝
2-69
網路安全
Wireshark 安裝步驟 (續 )
bull 此步驟使用預設路徑即可
2-70
網路安全
Wireshark 安裝步驟 (續 )
bull 此步驟將安裝Windows平台須加裝之套件 -WinPcap 若原系統未安裝過 WinPcap套件請以軟體預設項目安裝之
2-71
網路安全
Wireshark 安裝步驟 (續 )
bull 此步驟代表 Wireshark軟體已安裝完成可點選Finish 鈕或勾選 Run Wireshark 165 隨即使用該套軟體
2-72
網路安全
一般工具列Wireshark軟體介面介紹
2-73
篩選工具列封包清單窗格
封包內容窗格封包位元組窗格
網路安全
Wireshark 使用思考方向bull 遇到網路問題是否觀察網路通道中有異常動作或狀況
ndash 思考方向ndash 反應到擷取數據方法那麼以 Wireshark 擷取使用者需要擷取哪些數據這些數據由使用者電腦哪個裝置來擷取
bull Wireshark操作流程
bull 接下來我們進行軟體操作介紹
解決問題 擷取數據要先做什麼
擷取數據 擷取哪些數據( 過濾條件 )數據哪裡來( 網路介面卡 )
2-74
網路安全
數據哪裡來 - Capture功能bull 一開啟方式
ndash 1 點選快速鈕如紅色圈所示ndash 2 點選 Capture功能表 下拉選單後點選 Optionsndash 3鍵盤快速鍵 Ctrl + K
2-75
網路安全
數據哪裡來 - Capture功能 (續 )
bull 二開啟後顯示 Capture Options 的視窗畫面即可看到所提供的擷取功能選項
2-76
網路安全
數據哪裡來 - Capture功能 (續 )
bull Capture Options 常用的欄位設定ndash Caputure 框
bull 1Interface 會顯示出在系統上所有網路卡但只能選取一個介面作為封包擷取bull 2Capture packets in promiscuous mode 選取此選項就是經過所選取的網路卡的所有封包都會被擷取下來bull 3Capture Filter 指定擷取過濾器運算式擷取想要的特定封包即為擷取中過濾之功能
2-77
網路安全
數據哪裡來 - Capture功能 (續 )
bull Capture Options 常用的欄位設定ndash Display Options 框
bull Update list of packets in real time 指定在擷取封包過程中能夠即時更新已擷取封包清單窗格視窗中的封包資訊若取消則軟體主視窗更新畫面是沒有動作的
2-78
網路安全
bull Capture Options 常用的欄位設定ndash Name Resolution框
bull 1 Enable MAC name resolution 指定是否將網路卡MAC address 的前三個位元組轉換成製造商名稱
bull 2 Enable network name resolution 指定是否將 IP address轉換成 DNS 網域名稱
bull 3 Enable transport name resolution 指定是否將通信埠號碼 (port numbers)轉成協定名稱 (protocols)bull 各位了解數據從哪裡擷取的概念與操作之後即可以進一步加上附帶條件 (篩選條件 ) 等相關操作方式
數據哪裡來 - Capture功能 (續 )
2-79
網路安全
Wireshark操作手法bull 延續遇到問題的思考方向及軟體操作手法我們可以將操作流程分為兩種
ndash 擷取中過濾 (Filter while capturing)bull 優點僅擷取已知範圍資訊網路流量少bull 缺點需先了解問題類型避免可能有遺漏真正欲擷取資訊之狀況
ndash 檢視中過濾 (Filter packets while viewing)bull 優點不用先預設條件擷取所有封包資訊bull 缺點影響網路流量
先預設欲擷取條件 擷取數據
擷取數據 再篩選欲查詢數據2-80
網路安全
Wireshark操作手法 - 擷取中過濾bull 操作步驟
ndash 點選 Capture 下拉視窗選擇 Capture Filters 即呈現此視窗
bull 操作範例ndash 1於 Filter窗格中選擇 IP
Address 10112ndash 2於 Properties窗格中即顯示該選項的設定值如圖所示為 host 10112ndash 3 即可設定軟體僅針對
10112 的封包作擷取動作 延伸操作思考1 改變 Filter string 值得到什麼結果2 點選 Edit 窗格中的 New 鈕 新增自訂條件 2-81
網路安全
Wireshark操作手法 - 檢視中過濾bull 此步驟即以已擷取封包清單窗格為基礎以過濾條件過濾該清單bull 可直接選擇軟體預設項目如以下操作
ndash 操作步驟bull 點選 Analyze 下拉視窗選擇
Display Filters 即呈現此視窗ndash 操作範例
bull 1於 Filter窗格中選擇 IP Address 10112
bull 2於 Properties窗格中即顯示該選項的設定值如圖所示值為host 10112
bull 3 即可設定軟體僅針對 10112的封包作顯示動作 延伸操作思考1 可否進行進一步自訂設定值
2-82
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 若電腦 IP為 10112 欲篩選出 IP 來源為上述 IP 且協定為 TCP 80port 的所有封包ndash 操作步驟
bull 點選 Expression鈕即出現此視窗ndash 1於 Field name框選擇
IP項目中的 ipsrc - Source
ndash 2於 Relation框選擇 ==ndash 3於 Value [IPV4
address]填 入 10112ndash 4 點選 OK鈕 進階思考方式須考慮到例如是來源資訊是目標資訊是什麼協定等更細部所要之條件
2-83
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 再進行第二篩選條件ndash TCP 80 port
bull 操作步驟ndash 1先於 Filter string 輸入文字框「 ipsrc==
10112」後再加上一個空格及「 and 」再進行一次 Expression條件選擇
2-84
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
ndash 2於 Field name框選擇「 tcpdstport」ndash 3於 Relation框選擇「 ==」ndash 4於 Value框填入「 80」ndash 5 選擇「 OK」鈕
2-85
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 注意 Propeties框內的Filter string欄位值已改變為「 ipsrc == 10112 and tcpdstport == 80」
bull 確認條件正確後點選「 OK 」鈕即可發現已擷取封包清單窗格的項目均為所設定過濾條件過濾過結果2-86
網路安全
bull 可單選單一封包進行更進階查詢封包內容bull 操作方式為
ndash 點選其中一項封包項目點選滑鼠右鍵選擇Follow TCP Stream
Wireshark操作手法 - 檢視中過濾 (續 )
2-87
網路安全
ndash 此畫面即可看出該項 TCP 封包溝通內容Wireshark操作手法 - 檢視中過濾 (續 )
2-88
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 此功能將所擷取的封包清單使用多種方式呈現封包統計資料便於使用者查詢擷取時間內何種封包數量多寡及圖型顯示bull 操作步驟點選 Statistics 下拉視窗即呈現此視窗 顯示有關擷取清單的摘要以階梯式通訊協定列表顯示所擷取的所有封包
在特定 IP間顯示通訊流量顯示單一 IP 來往封包的流量
以時間軸顯示視覺化封包流量圖2-89
網路安全
bull 可查看到一時段內其封包總數與平均每秒傳遞接收封包數等相關資訊讓使用者了解平均一時段內網路流量狀況藉以初步獲得資訊
Wireshark操作手法 - 檢視中過濾 (續 )
2-90
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 讓使用者可透過階梯式封包分類表來查看哪一類封包佔為居多可進一步推測是否該類型封包影響到整體網路或是否有異常或不常見封包類型在網路中傳遞
2-91
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 將該擷取時段內封包清單檔以兩個特定 IP 之間對傳封包為區隔顯示出哪兩個特定 IP間傳遞封包數多寡bull 可讓使用者更進一步研判兩個特定 IP所屬設備傳遞狀況是否異常
2-92
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 將該擷取時段內封包清單檔以特定IP 傳遞封包數為區隔顯示出哪特定IP 傳遞封包數多寡
bull 可讓使用者更進一步研判該特定所屬設備傳遞封包數是否異常作為管制緊急管制或禁止通訊之證明2-93
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 以時間軸顯示視覺化封包流量圖bull 讓使用者可觀察所管理設備資訊流通量以了解設備是否能負荷或作相關調整等處置
2-94
網路安全
FTP 擷取密碼案例bull 於Wireshark軟體選擇 Capture 下拉選單功能項點選 Interfaces 選項
2-95
網路安全
FTP 擷取密碼案例 (續 )
bull 確認欲擷取封包之網卡名稱如紅色底線所示確認後點選 Start鈕
2-96
網路安全
FTP 擷取密碼案例 (續 )
bull 切換至 FTP Client 電腦開啟 FileZilla 程式後連線到 FTP Server 於 Host 填入10123 Username填入 tester Password填入testpw 後點選 Quickconnect鈕
2-97
網路安全
FTP 擷取密碼案例 (續 )
bull 擷取到的封包資訊會顯示於已擷取封包清單窗格內
2-98
網路安全
FTP 擷取密碼案例 (續 )
bull 使用 FTP軟體登入 ftp站後 Wireshark 將擷取到的使用者名稱與密碼如紅框所示
2-99
網路安全
FTP 擷取密碼案例 (續 )
bull 點選已擷取封包清單窗格的密碼資訊列如標示1 的紅框所示即可在封包內容窗格看到該密碼的位元碼如標示 2 的紅框所示
1
2
2-100
網路安全
架設實作 (三 )
Outlook Express 擷取密碼案例
2-101
網路安全
實驗環境介紹bull 以 Testbed建立一實驗相關拓樸及設定如下圖
OEClientOSWindows XP SP3IP 10112執行 Outlook Express
MailServerOSWindows XP SP3IP 10122安裝軟體 ArGoSoft Mail Server
2-102
WiresharkOSWindows XP SP3IP1 10113 IP2 10123安裝軟體 Wireshark
IP1IP2
網路安全
實驗拓樸 on TestbedTWISC- 建立完成的實驗拓樸
2-103
網路安全
郵件伺服器工具 - ArGoSoft Mail Server
bull 版本ndash 1892 Freeware
bull 支援作業平台ndash Windows
bull 下載位址ndash httpwwwsoftkingcomtwsoftdownloadaspfid3=7367
2-104
網路安全
郵件客戶端工具 - Outlook Express
bull 版本ndash 60
bull 支援作業平台ndash Windows
bull 下載位址ndash Windows 內建
2-105
網路安全
bull 安裝及設定郵件伺服器ndash 1下載並執行 ArGoSoft Mail Server軟體點選
Setup鈕
Outlook Express 擷取密碼案例
2-106
網路安全
ndash 1 點選 Next鈕ndash 2 點選 Start Installation鈕
Outlook Express 擷取密碼案例 (續 )
2-107
網路安全
ndash 3 點選 OK鈕ndash 4 點選 Finish鈕完成軟體安裝
Outlook Express 擷取密碼案例 (續 )
2-108
網路安全
ndash 5 點選使用者設定鈕如紅圈所示ndash 6 點選新增鈕如紅框所示
Outlook Express 擷取密碼案例 (續 )
2-109
網路安全
ndash 7填入使用者名稱 (tester) 及密碼 (testpw) 如紅圈所示填寫完成後點選 OK鈕ndash 8 點選 Close鈕關閉使用者設定視窗
Outlook Express 擷取密碼案例 (續 )
2-110
網路安全
ndash 9 點選選項鈕如左側圖中紅色圈所示ndash 10 點選紅色打勾鈕如右側圖中紅色圈所示
2-111
Outlook Express 擷取密碼案例 (續 )
網路安全
ndash 11該軟體會自動選取 DNS Server 待選取後點選 Yes鈕ndash 12 勾選 Allow Relay 選項如紅框所示
2-112
Outlook Express 擷取密碼案例 (續 )
網路安全
Outlook Express 擷取密碼案例 (續 )
bull 設定收信帳號ndash 1 點選 Tools功能選單選擇 Accounts 選項
2-113
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 2 點選 Add鈕選擇 Mail 選項
2-114
網路安全
ndash 3填入 tester 點選 Next鈕ndash 4填入 testertestcom 點選 Next鈕
Outlook Express 擷取密碼案例 (續 )
2-115
網路安全
ndash 5填入 10123 如紅框所示點選 Next鈕ndash 6填入帳號為 tester 及密碼為 testpw 點選 Next鈕
Outlook Express 擷取密碼案例 (續 )
2-116
網路安全
ndash 7 點選 Finish鈕ndash 8 點選 Close鈕
Outlook Express 擷取密碼案例 (續 )
2-117
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 模擬條件準備好後首先準備Wireshark 擷取動作開啟Wireshark
2-118
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 於Wireshark軟體選擇 Capture 下拉選單功能項點選 Interfaces 選項
2-119
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 確認欲擷取封包之網卡名稱如紅色底線所示確認後點選 Start鈕
2-120
網路安全
ndash 當使用者收發 email 時即被 Wireshark攔截封包ndash 有發現到該 Outlook Express帳號密碼是如此清晰可見的嗎
Outlook Express 擷取密碼案例 (續 )
2-121
網路安全
結論bull 學習了 Wireshark及WinDump 兩套網路封包擷取軟體基本概念如同電話側錄概念相同從中複製一連串資訊來分析與了解網路的流量及內容為何bull 當你發現網路速度緩慢等狀況你是否會反應到所學的基本概念來找尋問題所在bull 防範概念由此課程的實例可以了解網路內容如被有心人士擷取所造成的損失相當可觀故你是否有對策有哪些方式你可以應用來防範bull 正確的思考善用對的工具將對解決問題事半功倍
2-122
網路安全 2-123
Module 2-5 封包擷取與分析的專案實作()
網路安全
專案目的bull 建立遠端管理傳遞指令資訊環境bull 利用實際攔截封包操作的方式讓同學了解封包擷取運作與網路資訊流通的顧慮等相關議題
2-124
網路安全
專案描述bull 近年來遠端管理伺服器及網路服務普及光是密碼保護就足夠了嗎是否重點網段須全程加密還是作網段隔離經由此專案實作即可了解不僅部分加密仍有其風險所在網路架構如何規劃將是非常重要的課題bull 參考環境配置圖完成下列要求①環境裡的攔截封包主機是 Windows XP SP3 作業系統而該主機安裝Wireshark軟體②另兩台主機的作業系統亦是 Windows XP SP3 並裝上
MySQL軟體 MySQL帳號為 root 密碼為您的學號 (如 Q3896105)
③在MySQLClient 電腦使用 MySQL Commandline 指令連線至MySQLServer 擷取資料庫資訊
④我們針對這兩台主機傳訊的封包擷取由整個實做中思考如何防範資訊外洩與了解傳訊封包如何流動及運作2-125
網路安全
環境配置圖bull 以 Testbed建立一實驗相關拓樸及設定如下圖
MySQLServerOSWINXP-SP3-CH-pc3000 IP 10123安裝軟體 MySQL
MySQLClientOSWINXP-SP3-CH-pc3000 IP 10112安裝軟體 MySQL
2-126
WireSharkOSWINXP-SP3-CH-pc3000 IP1 10113IP2 10122安裝軟體 Wireshark
IP1IP2
網路安全
作業繳交bull 請參考情境測試發送數個 SQL 指令並將過程與擷取到的封包資訊之截圖列於報告中所有圖表皆需要輔以文字說明bull Deadline 2012312 下午 500 以前bull 作業範圍 Module 2-5 (page 2-128)bull 方式 (參考課程網址 )
ndash 帳號密碼小寫的 (ns100ns100)ndash IP 140116164167
2-127
網路安全
有問題嗎
bull 關於 TestBed 使用上的問題請直接 Email至 twisc-testbed-usergooglegroupscom 將有專人為您服務bull 課程網址
httpitlabeenckuedutwcoursesNS_100indexhtml
2-128
bull 助教資訊 (參考課程網址 )
網路安全
參考資料bull Dienet httplinuxdienetman1wiresharkbull Orebaugh Angela Ramirez Gilbert Burke Josh Pesce Larry Wright
Joshua(2007) Wireshark and Ethereal network protocol analyzer toolkitbull Tony Fortunato(2007) Wireshark Training Retrieved July 22 2009 from
the World Wide Web httpwwwthetechfirmcometherealwiresharkpdfbull WinDump httpwwwwinpcaporgWinDumpbull Wireshark httpwwwwiresharkorgbull Wireshark University httpwwwwiresharktrainingcombull 楊中皇 (民 97年 ) 網路安全理論與實務 (2版 ) 台北市學貫bull 蘇淑茵教授 Wireshark 民國 98年 6月 28日取自 httpmywebnckuedutw~sisou
2-129
網路安全
參數 說明-c 指定收到的封包數目當達到該數目時 Tcpdump 即會停止-d 把編譯過的封包編碼轉碼成可閱讀的格式放置於標準輸出-dd 把編譯過的封包編碼轉碼成 C 語言的格式放置於標準輸出-ddd 把編譯過的封包編碼轉碼成十進位的格式放置於標準輸出-F 從所指定的文件中讀取運算式進而忽略其他運算式-f 用數字顯示 IP 位址 -i 指定擷取封包的網路介面 -w 將擷取的封包直接寫入檔案當中不做分析與顯示於畫面
參數 說明-r 從指定的檔案文件中讀取資料該檔案文件由 -w 所製造出來-v 顯示詳細的封包資訊多了 TTL 及服務類型-s 設定每一個封包的大小-S 用絕對數並非相對數的值列出 TCP 連接數-tt 顯示出原始時間並且為不格式化的時間-n 不進行 IP Address 到 Domain
Name 的轉換-nn 不進行 Port 的轉換如 22 就是
ssh
-x 用十六進位字碼列出封包資料
WinDump相關參數列表
2-40
網路安全
WinDump 簡易使用操作說明bull 語法 windump 參數bull 查看目前系統可使用的網卡介面
ndash windump -Dbull 透過查看網卡介面以利後續監聽之用
2-41
網路安全
WinDump 簡易使用操作說明 (續 )
bull WinDump -i 網卡介面代號 -c 擷取封包數量 port 通訊埠
bull 例 WinDump -i 2 -c 10 port 80
2-42
網路安全
WinDump 簡易使用操作說明 (續 )
bull 因於命令提示字元視窗內所顯示的資訊不易閱讀可透過下列指令將其所擷取的資訊導向至檔案bull Windump -i 網卡介面代號 gt 檔名
ndash windump -i 2 -c 10 -w message port 80ndash windump -r message gt messagetxtndash windump -i 2 -c 10 port 80 gt messagetxt
2-43
網路安全
WinDump 簡易使用操作說明 (續 )
112338326205 此為封包被擷取的時間『 HHMMSSfraction』的單位IP 透過的通訊協定是 IPwinser 1099 gt w1wwwviptw1yahoocomtw80 代表的是傳送端是 winser 傳送的通訊埠為 1099 大於 (gt) 的符號指的是封包的傳輸方向 w1wwwviptw1yahoocomtw 為接收端 80 為接收埠
P(PUSH) 為資料傳輸標誌且傳輸的資料為整體資料的 1~ 699 byte 所以這個封包帶有 698 bytes 的資料量 ack 1 win 65535 ACK與Window size 的相關資料2-44
網路安全
bull 以 Testbed建立一實驗相關拓樸及設定如下圖SSHClientOSWINXP-SP3-CH-pc3000 IP 10113安裝軟體 putty
SSHServerOSWINXP-SP3-CH-pc3000IP 10123安裝軟體 sshd
實驗環境介紹
2-45
IP1
IP2
WireDumpOSWINXP-SP3-CH-pc3000IP1 10112IP2 10122安裝軟體 WinDump
網路安全
實驗拓樸 on TestbedTWISC- 建立完成的實驗拓樸
2-46
網路安全
SSH連線觀察bull 利用 Putty連線到 SSHServer從中觀察到三向交握建立連線的動作從 SSHClient 端利用 putty連線到SSHServer(10123)的 sshd服務
2-47
網路安全
SSH連線觀察 (續 )
bull SSH 在連線之前會利用三向交握的方式建立連線bull 利用 WinDump觀察 SSH連線動作
ndash 指令 WinDumpexe -N -S -i 4 port 22
三向交握的三個封包三向交握示意圖Server lt- Client SYN 你想連線Server -gt Client SYN ACK 可以我接受Server lt- Client ACK 謝謝
2-48
網路安全
架設實作 (二 )
FTP 擷取密碼案例
2-49
網路安全
FTPClientOSWINXP-SP3-pc3000IP 10112安裝軟體 FileZilla
FTPServerOSWINXP-SP3-pc3000IP 10123安裝軟體 RaidenFTPD
實驗環境介紹bull 以 Testbed建立一實驗相關拓樸及設定如下圖
2-50
IP1IP2
WireSharkOSWINXP-SP3-pc3000IP1 10113IP2 10122安裝軟體 Wireshark
網路安全
實驗拓樸 on TestbedTWISC- 建立完成的實驗拓樸
2-51
網路安全
FTP伺服器工具 - RaidenFTPD
bull 版本ndash 24 build 3720
bull 支援作業平台ndash Windows
bull 下載位址ndash httpwwwraidenmaildcomdownloadraidenftpd2exe
2-52
網路安全
RaidenFTPD 安裝步驟bull 下載Windows平台最新版本檔案下載完成後執行該安裝程式
2-53
網路安全
RaidenFTPD 安裝步驟 (續 )
bull 此步驟使用預設路徑即可按下 Install 進行安裝
2-54
網路安全
RaidenFTPD設定步驟bull 程式開啟畫面如下選擇 Click here to start a new
server 進行 FTP伺服器設定
2-55
網路安全
RaidenFTPD設定步驟 (續 )
bull 此處可設定 Server name與 Server IP 將 Auto IP 取消勾選並將 Server IP設為 10123
2-56
網路安全
RaidenFTPD設定步驟 (續 )
bull 接下來的步驟依照預設值即可
2-57
網路安全
RaidenFTPD設定步驟 (續 )
bull 設定人員帳號與群組按下 Add鈕輸入帳號密碼群組名稱可略過完成後按下 Next 進行下一步驟
2-58
網路安全
RaidenFTPD設定步驟 (續 )
bull 此步驟設定該帳號登入 FTP 時的權限選擇NORMAL 按下 Next 進行下一步驟
2-59
網路安全
RaidenFTPD設定步驟 (續 )
bull 接下來的步驟皆以預設值即可完成設定之後會出現對話視窗顯示您所設定的資訊
2-60
網路安全
FTP 用戶端工具 - Filezilla
bull 版本ndash 328
bull 支援作業平台ndash Windows Linux及Mac
bull 下載位址ndash httpsourceforgenetprojectsfilezillafiles
FileZilla_Client328FileZilla_328_win32zipdownload
2-61
網路安全
Filezilla 安裝步驟bull 執行 Filezilla 安裝程式點選 I agree 鈕
2-62
網路安全
Filezilla 安裝步驟 (續 )
bull 以預設值安裝點選兩次 Next 鈕
2-63
網路安全
Filezilla 安裝步驟 (續 )
bull 以預設值安裝點選 Next 鈕後再點選 Install 鈕
2-64
網路安全
Filezilla 安裝步驟 (續 )
bull 以預設值安裝點選 Next 鈕後再點選 Finish 鈕
2-65
網路安全
封包擷取工具 - Wireshark
bull 版本ndash 165
bull 支援作業平台ndash Windows Linux及 FreeBSD
bull 其他需求ndash 安裝WinPcap 31 以上版本
bull 下載位址ndash httpwiresharkdownloadsriverbedcomwireshark
win32wireshark-win32-165exe
2-66
網路安全
Wireshark 安裝步驟bull 至官方網站下載Windows平台最新版本檔案下載完成後執行該安裝程式
2-67
網路安全
Wireshark 安裝步驟 (續 )
bull 於下一步出現的版權宣告點選 I Agree鈕後繼續下一步驟
2-68
網路安全
Wireshark 安裝步驟 (續 )
bull 此步驟選擇欲安裝的元件以軟體預設勾選之項目安裝
2-69
網路安全
Wireshark 安裝步驟 (續 )
bull 此步驟使用預設路徑即可
2-70
網路安全
Wireshark 安裝步驟 (續 )
bull 此步驟將安裝Windows平台須加裝之套件 -WinPcap 若原系統未安裝過 WinPcap套件請以軟體預設項目安裝之
2-71
網路安全
Wireshark 安裝步驟 (續 )
bull 此步驟代表 Wireshark軟體已安裝完成可點選Finish 鈕或勾選 Run Wireshark 165 隨即使用該套軟體
2-72
網路安全
一般工具列Wireshark軟體介面介紹
2-73
篩選工具列封包清單窗格
封包內容窗格封包位元組窗格
網路安全
Wireshark 使用思考方向bull 遇到網路問題是否觀察網路通道中有異常動作或狀況
ndash 思考方向ndash 反應到擷取數據方法那麼以 Wireshark 擷取使用者需要擷取哪些數據這些數據由使用者電腦哪個裝置來擷取
bull Wireshark操作流程
bull 接下來我們進行軟體操作介紹
解決問題 擷取數據要先做什麼
擷取數據 擷取哪些數據( 過濾條件 )數據哪裡來( 網路介面卡 )
2-74
網路安全
數據哪裡來 - Capture功能bull 一開啟方式
ndash 1 點選快速鈕如紅色圈所示ndash 2 點選 Capture功能表 下拉選單後點選 Optionsndash 3鍵盤快速鍵 Ctrl + K
2-75
網路安全
數據哪裡來 - Capture功能 (續 )
bull 二開啟後顯示 Capture Options 的視窗畫面即可看到所提供的擷取功能選項
2-76
網路安全
數據哪裡來 - Capture功能 (續 )
bull Capture Options 常用的欄位設定ndash Caputure 框
bull 1Interface 會顯示出在系統上所有網路卡但只能選取一個介面作為封包擷取bull 2Capture packets in promiscuous mode 選取此選項就是經過所選取的網路卡的所有封包都會被擷取下來bull 3Capture Filter 指定擷取過濾器運算式擷取想要的特定封包即為擷取中過濾之功能
2-77
網路安全
數據哪裡來 - Capture功能 (續 )
bull Capture Options 常用的欄位設定ndash Display Options 框
bull Update list of packets in real time 指定在擷取封包過程中能夠即時更新已擷取封包清單窗格視窗中的封包資訊若取消則軟體主視窗更新畫面是沒有動作的
2-78
網路安全
bull Capture Options 常用的欄位設定ndash Name Resolution框
bull 1 Enable MAC name resolution 指定是否將網路卡MAC address 的前三個位元組轉換成製造商名稱
bull 2 Enable network name resolution 指定是否將 IP address轉換成 DNS 網域名稱
bull 3 Enable transport name resolution 指定是否將通信埠號碼 (port numbers)轉成協定名稱 (protocols)bull 各位了解數據從哪裡擷取的概念與操作之後即可以進一步加上附帶條件 (篩選條件 ) 等相關操作方式
數據哪裡來 - Capture功能 (續 )
2-79
網路安全
Wireshark操作手法bull 延續遇到問題的思考方向及軟體操作手法我們可以將操作流程分為兩種
ndash 擷取中過濾 (Filter while capturing)bull 優點僅擷取已知範圍資訊網路流量少bull 缺點需先了解問題類型避免可能有遺漏真正欲擷取資訊之狀況
ndash 檢視中過濾 (Filter packets while viewing)bull 優點不用先預設條件擷取所有封包資訊bull 缺點影響網路流量
先預設欲擷取條件 擷取數據
擷取數據 再篩選欲查詢數據2-80
網路安全
Wireshark操作手法 - 擷取中過濾bull 操作步驟
ndash 點選 Capture 下拉視窗選擇 Capture Filters 即呈現此視窗
bull 操作範例ndash 1於 Filter窗格中選擇 IP
Address 10112ndash 2於 Properties窗格中即顯示該選項的設定值如圖所示為 host 10112ndash 3 即可設定軟體僅針對
10112 的封包作擷取動作 延伸操作思考1 改變 Filter string 值得到什麼結果2 點選 Edit 窗格中的 New 鈕 新增自訂條件 2-81
網路安全
Wireshark操作手法 - 檢視中過濾bull 此步驟即以已擷取封包清單窗格為基礎以過濾條件過濾該清單bull 可直接選擇軟體預設項目如以下操作
ndash 操作步驟bull 點選 Analyze 下拉視窗選擇
Display Filters 即呈現此視窗ndash 操作範例
bull 1於 Filter窗格中選擇 IP Address 10112
bull 2於 Properties窗格中即顯示該選項的設定值如圖所示值為host 10112
bull 3 即可設定軟體僅針對 10112的封包作顯示動作 延伸操作思考1 可否進行進一步自訂設定值
2-82
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 若電腦 IP為 10112 欲篩選出 IP 來源為上述 IP 且協定為 TCP 80port 的所有封包ndash 操作步驟
bull 點選 Expression鈕即出現此視窗ndash 1於 Field name框選擇
IP項目中的 ipsrc - Source
ndash 2於 Relation框選擇 ==ndash 3於 Value [IPV4
address]填 入 10112ndash 4 點選 OK鈕 進階思考方式須考慮到例如是來源資訊是目標資訊是什麼協定等更細部所要之條件
2-83
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 再進行第二篩選條件ndash TCP 80 port
bull 操作步驟ndash 1先於 Filter string 輸入文字框「 ipsrc==
10112」後再加上一個空格及「 and 」再進行一次 Expression條件選擇
2-84
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
ndash 2於 Field name框選擇「 tcpdstport」ndash 3於 Relation框選擇「 ==」ndash 4於 Value框填入「 80」ndash 5 選擇「 OK」鈕
2-85
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 注意 Propeties框內的Filter string欄位值已改變為「 ipsrc == 10112 and tcpdstport == 80」
bull 確認條件正確後點選「 OK 」鈕即可發現已擷取封包清單窗格的項目均為所設定過濾條件過濾過結果2-86
網路安全
bull 可單選單一封包進行更進階查詢封包內容bull 操作方式為
ndash 點選其中一項封包項目點選滑鼠右鍵選擇Follow TCP Stream
Wireshark操作手法 - 檢視中過濾 (續 )
2-87
網路安全
ndash 此畫面即可看出該項 TCP 封包溝通內容Wireshark操作手法 - 檢視中過濾 (續 )
2-88
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 此功能將所擷取的封包清單使用多種方式呈現封包統計資料便於使用者查詢擷取時間內何種封包數量多寡及圖型顯示bull 操作步驟點選 Statistics 下拉視窗即呈現此視窗 顯示有關擷取清單的摘要以階梯式通訊協定列表顯示所擷取的所有封包
在特定 IP間顯示通訊流量顯示單一 IP 來往封包的流量
以時間軸顯示視覺化封包流量圖2-89
網路安全
bull 可查看到一時段內其封包總數與平均每秒傳遞接收封包數等相關資訊讓使用者了解平均一時段內網路流量狀況藉以初步獲得資訊
Wireshark操作手法 - 檢視中過濾 (續 )
2-90
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 讓使用者可透過階梯式封包分類表來查看哪一類封包佔為居多可進一步推測是否該類型封包影響到整體網路或是否有異常或不常見封包類型在網路中傳遞
2-91
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 將該擷取時段內封包清單檔以兩個特定 IP 之間對傳封包為區隔顯示出哪兩個特定 IP間傳遞封包數多寡bull 可讓使用者更進一步研判兩個特定 IP所屬設備傳遞狀況是否異常
2-92
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 將該擷取時段內封包清單檔以特定IP 傳遞封包數為區隔顯示出哪特定IP 傳遞封包數多寡
bull 可讓使用者更進一步研判該特定所屬設備傳遞封包數是否異常作為管制緊急管制或禁止通訊之證明2-93
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 以時間軸顯示視覺化封包流量圖bull 讓使用者可觀察所管理設備資訊流通量以了解設備是否能負荷或作相關調整等處置
2-94
網路安全
FTP 擷取密碼案例bull 於Wireshark軟體選擇 Capture 下拉選單功能項點選 Interfaces 選項
2-95
網路安全
FTP 擷取密碼案例 (續 )
bull 確認欲擷取封包之網卡名稱如紅色底線所示確認後點選 Start鈕
2-96
網路安全
FTP 擷取密碼案例 (續 )
bull 切換至 FTP Client 電腦開啟 FileZilla 程式後連線到 FTP Server 於 Host 填入10123 Username填入 tester Password填入testpw 後點選 Quickconnect鈕
2-97
網路安全
FTP 擷取密碼案例 (續 )
bull 擷取到的封包資訊會顯示於已擷取封包清單窗格內
2-98
網路安全
FTP 擷取密碼案例 (續 )
bull 使用 FTP軟體登入 ftp站後 Wireshark 將擷取到的使用者名稱與密碼如紅框所示
2-99
網路安全
FTP 擷取密碼案例 (續 )
bull 點選已擷取封包清單窗格的密碼資訊列如標示1 的紅框所示即可在封包內容窗格看到該密碼的位元碼如標示 2 的紅框所示
1
2
2-100
網路安全
架設實作 (三 )
Outlook Express 擷取密碼案例
2-101
網路安全
實驗環境介紹bull 以 Testbed建立一實驗相關拓樸及設定如下圖
OEClientOSWindows XP SP3IP 10112執行 Outlook Express
MailServerOSWindows XP SP3IP 10122安裝軟體 ArGoSoft Mail Server
2-102
WiresharkOSWindows XP SP3IP1 10113 IP2 10123安裝軟體 Wireshark
IP1IP2
網路安全
實驗拓樸 on TestbedTWISC- 建立完成的實驗拓樸
2-103
網路安全
郵件伺服器工具 - ArGoSoft Mail Server
bull 版本ndash 1892 Freeware
bull 支援作業平台ndash Windows
bull 下載位址ndash httpwwwsoftkingcomtwsoftdownloadaspfid3=7367
2-104
網路安全
郵件客戶端工具 - Outlook Express
bull 版本ndash 60
bull 支援作業平台ndash Windows
bull 下載位址ndash Windows 內建
2-105
網路安全
bull 安裝及設定郵件伺服器ndash 1下載並執行 ArGoSoft Mail Server軟體點選
Setup鈕
Outlook Express 擷取密碼案例
2-106
網路安全
ndash 1 點選 Next鈕ndash 2 點選 Start Installation鈕
Outlook Express 擷取密碼案例 (續 )
2-107
網路安全
ndash 3 點選 OK鈕ndash 4 點選 Finish鈕完成軟體安裝
Outlook Express 擷取密碼案例 (續 )
2-108
網路安全
ndash 5 點選使用者設定鈕如紅圈所示ndash 6 點選新增鈕如紅框所示
Outlook Express 擷取密碼案例 (續 )
2-109
網路安全
ndash 7填入使用者名稱 (tester) 及密碼 (testpw) 如紅圈所示填寫完成後點選 OK鈕ndash 8 點選 Close鈕關閉使用者設定視窗
Outlook Express 擷取密碼案例 (續 )
2-110
網路安全
ndash 9 點選選項鈕如左側圖中紅色圈所示ndash 10 點選紅色打勾鈕如右側圖中紅色圈所示
2-111
Outlook Express 擷取密碼案例 (續 )
網路安全
ndash 11該軟體會自動選取 DNS Server 待選取後點選 Yes鈕ndash 12 勾選 Allow Relay 選項如紅框所示
2-112
Outlook Express 擷取密碼案例 (續 )
網路安全
Outlook Express 擷取密碼案例 (續 )
bull 設定收信帳號ndash 1 點選 Tools功能選單選擇 Accounts 選項
2-113
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 2 點選 Add鈕選擇 Mail 選項
2-114
網路安全
ndash 3填入 tester 點選 Next鈕ndash 4填入 testertestcom 點選 Next鈕
Outlook Express 擷取密碼案例 (續 )
2-115
網路安全
ndash 5填入 10123 如紅框所示點選 Next鈕ndash 6填入帳號為 tester 及密碼為 testpw 點選 Next鈕
Outlook Express 擷取密碼案例 (續 )
2-116
網路安全
ndash 7 點選 Finish鈕ndash 8 點選 Close鈕
Outlook Express 擷取密碼案例 (續 )
2-117
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 模擬條件準備好後首先準備Wireshark 擷取動作開啟Wireshark
2-118
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 於Wireshark軟體選擇 Capture 下拉選單功能項點選 Interfaces 選項
2-119
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 確認欲擷取封包之網卡名稱如紅色底線所示確認後點選 Start鈕
2-120
網路安全
ndash 當使用者收發 email 時即被 Wireshark攔截封包ndash 有發現到該 Outlook Express帳號密碼是如此清晰可見的嗎
Outlook Express 擷取密碼案例 (續 )
2-121
網路安全
結論bull 學習了 Wireshark及WinDump 兩套網路封包擷取軟體基本概念如同電話側錄概念相同從中複製一連串資訊來分析與了解網路的流量及內容為何bull 當你發現網路速度緩慢等狀況你是否會反應到所學的基本概念來找尋問題所在bull 防範概念由此課程的實例可以了解網路內容如被有心人士擷取所造成的損失相當可觀故你是否有對策有哪些方式你可以應用來防範bull 正確的思考善用對的工具將對解決問題事半功倍
2-122
網路安全 2-123
Module 2-5 封包擷取與分析的專案實作()
網路安全
專案目的bull 建立遠端管理傳遞指令資訊環境bull 利用實際攔截封包操作的方式讓同學了解封包擷取運作與網路資訊流通的顧慮等相關議題
2-124
網路安全
專案描述bull 近年來遠端管理伺服器及網路服務普及光是密碼保護就足夠了嗎是否重點網段須全程加密還是作網段隔離經由此專案實作即可了解不僅部分加密仍有其風險所在網路架構如何規劃將是非常重要的課題bull 參考環境配置圖完成下列要求①環境裡的攔截封包主機是 Windows XP SP3 作業系統而該主機安裝Wireshark軟體②另兩台主機的作業系統亦是 Windows XP SP3 並裝上
MySQL軟體 MySQL帳號為 root 密碼為您的學號 (如 Q3896105)
③在MySQLClient 電腦使用 MySQL Commandline 指令連線至MySQLServer 擷取資料庫資訊
④我們針對這兩台主機傳訊的封包擷取由整個實做中思考如何防範資訊外洩與了解傳訊封包如何流動及運作2-125
網路安全
環境配置圖bull 以 Testbed建立一實驗相關拓樸及設定如下圖
MySQLServerOSWINXP-SP3-CH-pc3000 IP 10123安裝軟體 MySQL
MySQLClientOSWINXP-SP3-CH-pc3000 IP 10112安裝軟體 MySQL
2-126
WireSharkOSWINXP-SP3-CH-pc3000 IP1 10113IP2 10122安裝軟體 Wireshark
IP1IP2
網路安全
作業繳交bull 請參考情境測試發送數個 SQL 指令並將過程與擷取到的封包資訊之截圖列於報告中所有圖表皆需要輔以文字說明bull Deadline 2012312 下午 500 以前bull 作業範圍 Module 2-5 (page 2-128)bull 方式 (參考課程網址 )
ndash 帳號密碼小寫的 (ns100ns100)ndash IP 140116164167
2-127
網路安全
有問題嗎
bull 關於 TestBed 使用上的問題請直接 Email至 twisc-testbed-usergooglegroupscom 將有專人為您服務bull 課程網址
httpitlabeenckuedutwcoursesNS_100indexhtml
2-128
bull 助教資訊 (參考課程網址 )
網路安全
參考資料bull Dienet httplinuxdienetman1wiresharkbull Orebaugh Angela Ramirez Gilbert Burke Josh Pesce Larry Wright
Joshua(2007) Wireshark and Ethereal network protocol analyzer toolkitbull Tony Fortunato(2007) Wireshark Training Retrieved July 22 2009 from
the World Wide Web httpwwwthetechfirmcometherealwiresharkpdfbull WinDump httpwwwwinpcaporgWinDumpbull Wireshark httpwwwwiresharkorgbull Wireshark University httpwwwwiresharktrainingcombull 楊中皇 (民 97年 ) 網路安全理論與實務 (2版 ) 台北市學貫bull 蘇淑茵教授 Wireshark 民國 98年 6月 28日取自 httpmywebnckuedutw~sisou
2-129
網路安全
WinDump 簡易使用操作說明bull 語法 windump 參數bull 查看目前系統可使用的網卡介面
ndash windump -Dbull 透過查看網卡介面以利後續監聽之用
2-41
網路安全
WinDump 簡易使用操作說明 (續 )
bull WinDump -i 網卡介面代號 -c 擷取封包數量 port 通訊埠
bull 例 WinDump -i 2 -c 10 port 80
2-42
網路安全
WinDump 簡易使用操作說明 (續 )
bull 因於命令提示字元視窗內所顯示的資訊不易閱讀可透過下列指令將其所擷取的資訊導向至檔案bull Windump -i 網卡介面代號 gt 檔名
ndash windump -i 2 -c 10 -w message port 80ndash windump -r message gt messagetxtndash windump -i 2 -c 10 port 80 gt messagetxt
2-43
網路安全
WinDump 簡易使用操作說明 (續 )
112338326205 此為封包被擷取的時間『 HHMMSSfraction』的單位IP 透過的通訊協定是 IPwinser 1099 gt w1wwwviptw1yahoocomtw80 代表的是傳送端是 winser 傳送的通訊埠為 1099 大於 (gt) 的符號指的是封包的傳輸方向 w1wwwviptw1yahoocomtw 為接收端 80 為接收埠
P(PUSH) 為資料傳輸標誌且傳輸的資料為整體資料的 1~ 699 byte 所以這個封包帶有 698 bytes 的資料量 ack 1 win 65535 ACK與Window size 的相關資料2-44
網路安全
bull 以 Testbed建立一實驗相關拓樸及設定如下圖SSHClientOSWINXP-SP3-CH-pc3000 IP 10113安裝軟體 putty
SSHServerOSWINXP-SP3-CH-pc3000IP 10123安裝軟體 sshd
實驗環境介紹
2-45
IP1
IP2
WireDumpOSWINXP-SP3-CH-pc3000IP1 10112IP2 10122安裝軟體 WinDump
網路安全
實驗拓樸 on TestbedTWISC- 建立完成的實驗拓樸
2-46
網路安全
SSH連線觀察bull 利用 Putty連線到 SSHServer從中觀察到三向交握建立連線的動作從 SSHClient 端利用 putty連線到SSHServer(10123)的 sshd服務
2-47
網路安全
SSH連線觀察 (續 )
bull SSH 在連線之前會利用三向交握的方式建立連線bull 利用 WinDump觀察 SSH連線動作
ndash 指令 WinDumpexe -N -S -i 4 port 22
三向交握的三個封包三向交握示意圖Server lt- Client SYN 你想連線Server -gt Client SYN ACK 可以我接受Server lt- Client ACK 謝謝
2-48
網路安全
架設實作 (二 )
FTP 擷取密碼案例
2-49
網路安全
FTPClientOSWINXP-SP3-pc3000IP 10112安裝軟體 FileZilla
FTPServerOSWINXP-SP3-pc3000IP 10123安裝軟體 RaidenFTPD
實驗環境介紹bull 以 Testbed建立一實驗相關拓樸及設定如下圖
2-50
IP1IP2
WireSharkOSWINXP-SP3-pc3000IP1 10113IP2 10122安裝軟體 Wireshark
網路安全
實驗拓樸 on TestbedTWISC- 建立完成的實驗拓樸
2-51
網路安全
FTP伺服器工具 - RaidenFTPD
bull 版本ndash 24 build 3720
bull 支援作業平台ndash Windows
bull 下載位址ndash httpwwwraidenmaildcomdownloadraidenftpd2exe
2-52
網路安全
RaidenFTPD 安裝步驟bull 下載Windows平台最新版本檔案下載完成後執行該安裝程式
2-53
網路安全
RaidenFTPD 安裝步驟 (續 )
bull 此步驟使用預設路徑即可按下 Install 進行安裝
2-54
網路安全
RaidenFTPD設定步驟bull 程式開啟畫面如下選擇 Click here to start a new
server 進行 FTP伺服器設定
2-55
網路安全
RaidenFTPD設定步驟 (續 )
bull 此處可設定 Server name與 Server IP 將 Auto IP 取消勾選並將 Server IP設為 10123
2-56
網路安全
RaidenFTPD設定步驟 (續 )
bull 接下來的步驟依照預設值即可
2-57
網路安全
RaidenFTPD設定步驟 (續 )
bull 設定人員帳號與群組按下 Add鈕輸入帳號密碼群組名稱可略過完成後按下 Next 進行下一步驟
2-58
網路安全
RaidenFTPD設定步驟 (續 )
bull 此步驟設定該帳號登入 FTP 時的權限選擇NORMAL 按下 Next 進行下一步驟
2-59
網路安全
RaidenFTPD設定步驟 (續 )
bull 接下來的步驟皆以預設值即可完成設定之後會出現對話視窗顯示您所設定的資訊
2-60
網路安全
FTP 用戶端工具 - Filezilla
bull 版本ndash 328
bull 支援作業平台ndash Windows Linux及Mac
bull 下載位址ndash httpsourceforgenetprojectsfilezillafiles
FileZilla_Client328FileZilla_328_win32zipdownload
2-61
網路安全
Filezilla 安裝步驟bull 執行 Filezilla 安裝程式點選 I agree 鈕
2-62
網路安全
Filezilla 安裝步驟 (續 )
bull 以預設值安裝點選兩次 Next 鈕
2-63
網路安全
Filezilla 安裝步驟 (續 )
bull 以預設值安裝點選 Next 鈕後再點選 Install 鈕
2-64
網路安全
Filezilla 安裝步驟 (續 )
bull 以預設值安裝點選 Next 鈕後再點選 Finish 鈕
2-65
網路安全
封包擷取工具 - Wireshark
bull 版本ndash 165
bull 支援作業平台ndash Windows Linux及 FreeBSD
bull 其他需求ndash 安裝WinPcap 31 以上版本
bull 下載位址ndash httpwiresharkdownloadsriverbedcomwireshark
win32wireshark-win32-165exe
2-66
網路安全
Wireshark 安裝步驟bull 至官方網站下載Windows平台最新版本檔案下載完成後執行該安裝程式
2-67
網路安全
Wireshark 安裝步驟 (續 )
bull 於下一步出現的版權宣告點選 I Agree鈕後繼續下一步驟
2-68
網路安全
Wireshark 安裝步驟 (續 )
bull 此步驟選擇欲安裝的元件以軟體預設勾選之項目安裝
2-69
網路安全
Wireshark 安裝步驟 (續 )
bull 此步驟使用預設路徑即可
2-70
網路安全
Wireshark 安裝步驟 (續 )
bull 此步驟將安裝Windows平台須加裝之套件 -WinPcap 若原系統未安裝過 WinPcap套件請以軟體預設項目安裝之
2-71
網路安全
Wireshark 安裝步驟 (續 )
bull 此步驟代表 Wireshark軟體已安裝完成可點選Finish 鈕或勾選 Run Wireshark 165 隨即使用該套軟體
2-72
網路安全
一般工具列Wireshark軟體介面介紹
2-73
篩選工具列封包清單窗格
封包內容窗格封包位元組窗格
網路安全
Wireshark 使用思考方向bull 遇到網路問題是否觀察網路通道中有異常動作或狀況
ndash 思考方向ndash 反應到擷取數據方法那麼以 Wireshark 擷取使用者需要擷取哪些數據這些數據由使用者電腦哪個裝置來擷取
bull Wireshark操作流程
bull 接下來我們進行軟體操作介紹
解決問題 擷取數據要先做什麼
擷取數據 擷取哪些數據( 過濾條件 )數據哪裡來( 網路介面卡 )
2-74
網路安全
數據哪裡來 - Capture功能bull 一開啟方式
ndash 1 點選快速鈕如紅色圈所示ndash 2 點選 Capture功能表 下拉選單後點選 Optionsndash 3鍵盤快速鍵 Ctrl + K
2-75
網路安全
數據哪裡來 - Capture功能 (續 )
bull 二開啟後顯示 Capture Options 的視窗畫面即可看到所提供的擷取功能選項
2-76
網路安全
數據哪裡來 - Capture功能 (續 )
bull Capture Options 常用的欄位設定ndash Caputure 框
bull 1Interface 會顯示出在系統上所有網路卡但只能選取一個介面作為封包擷取bull 2Capture packets in promiscuous mode 選取此選項就是經過所選取的網路卡的所有封包都會被擷取下來bull 3Capture Filter 指定擷取過濾器運算式擷取想要的特定封包即為擷取中過濾之功能
2-77
網路安全
數據哪裡來 - Capture功能 (續 )
bull Capture Options 常用的欄位設定ndash Display Options 框
bull Update list of packets in real time 指定在擷取封包過程中能夠即時更新已擷取封包清單窗格視窗中的封包資訊若取消則軟體主視窗更新畫面是沒有動作的
2-78
網路安全
bull Capture Options 常用的欄位設定ndash Name Resolution框
bull 1 Enable MAC name resolution 指定是否將網路卡MAC address 的前三個位元組轉換成製造商名稱
bull 2 Enable network name resolution 指定是否將 IP address轉換成 DNS 網域名稱
bull 3 Enable transport name resolution 指定是否將通信埠號碼 (port numbers)轉成協定名稱 (protocols)bull 各位了解數據從哪裡擷取的概念與操作之後即可以進一步加上附帶條件 (篩選條件 ) 等相關操作方式
數據哪裡來 - Capture功能 (續 )
2-79
網路安全
Wireshark操作手法bull 延續遇到問題的思考方向及軟體操作手法我們可以將操作流程分為兩種
ndash 擷取中過濾 (Filter while capturing)bull 優點僅擷取已知範圍資訊網路流量少bull 缺點需先了解問題類型避免可能有遺漏真正欲擷取資訊之狀況
ndash 檢視中過濾 (Filter packets while viewing)bull 優點不用先預設條件擷取所有封包資訊bull 缺點影響網路流量
先預設欲擷取條件 擷取數據
擷取數據 再篩選欲查詢數據2-80
網路安全
Wireshark操作手法 - 擷取中過濾bull 操作步驟
ndash 點選 Capture 下拉視窗選擇 Capture Filters 即呈現此視窗
bull 操作範例ndash 1於 Filter窗格中選擇 IP
Address 10112ndash 2於 Properties窗格中即顯示該選項的設定值如圖所示為 host 10112ndash 3 即可設定軟體僅針對
10112 的封包作擷取動作 延伸操作思考1 改變 Filter string 值得到什麼結果2 點選 Edit 窗格中的 New 鈕 新增自訂條件 2-81
網路安全
Wireshark操作手法 - 檢視中過濾bull 此步驟即以已擷取封包清單窗格為基礎以過濾條件過濾該清單bull 可直接選擇軟體預設項目如以下操作
ndash 操作步驟bull 點選 Analyze 下拉視窗選擇
Display Filters 即呈現此視窗ndash 操作範例
bull 1於 Filter窗格中選擇 IP Address 10112
bull 2於 Properties窗格中即顯示該選項的設定值如圖所示值為host 10112
bull 3 即可設定軟體僅針對 10112的封包作顯示動作 延伸操作思考1 可否進行進一步自訂設定值
2-82
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 若電腦 IP為 10112 欲篩選出 IP 來源為上述 IP 且協定為 TCP 80port 的所有封包ndash 操作步驟
bull 點選 Expression鈕即出現此視窗ndash 1於 Field name框選擇
IP項目中的 ipsrc - Source
ndash 2於 Relation框選擇 ==ndash 3於 Value [IPV4
address]填 入 10112ndash 4 點選 OK鈕 進階思考方式須考慮到例如是來源資訊是目標資訊是什麼協定等更細部所要之條件
2-83
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 再進行第二篩選條件ndash TCP 80 port
bull 操作步驟ndash 1先於 Filter string 輸入文字框「 ipsrc==
10112」後再加上一個空格及「 and 」再進行一次 Expression條件選擇
2-84
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
ndash 2於 Field name框選擇「 tcpdstport」ndash 3於 Relation框選擇「 ==」ndash 4於 Value框填入「 80」ndash 5 選擇「 OK」鈕
2-85
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 注意 Propeties框內的Filter string欄位值已改變為「 ipsrc == 10112 and tcpdstport == 80」
bull 確認條件正確後點選「 OK 」鈕即可發現已擷取封包清單窗格的項目均為所設定過濾條件過濾過結果2-86
網路安全
bull 可單選單一封包進行更進階查詢封包內容bull 操作方式為
ndash 點選其中一項封包項目點選滑鼠右鍵選擇Follow TCP Stream
Wireshark操作手法 - 檢視中過濾 (續 )
2-87
網路安全
ndash 此畫面即可看出該項 TCP 封包溝通內容Wireshark操作手法 - 檢視中過濾 (續 )
2-88
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 此功能將所擷取的封包清單使用多種方式呈現封包統計資料便於使用者查詢擷取時間內何種封包數量多寡及圖型顯示bull 操作步驟點選 Statistics 下拉視窗即呈現此視窗 顯示有關擷取清單的摘要以階梯式通訊協定列表顯示所擷取的所有封包
在特定 IP間顯示通訊流量顯示單一 IP 來往封包的流量
以時間軸顯示視覺化封包流量圖2-89
網路安全
bull 可查看到一時段內其封包總數與平均每秒傳遞接收封包數等相關資訊讓使用者了解平均一時段內網路流量狀況藉以初步獲得資訊
Wireshark操作手法 - 檢視中過濾 (續 )
2-90
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 讓使用者可透過階梯式封包分類表來查看哪一類封包佔為居多可進一步推測是否該類型封包影響到整體網路或是否有異常或不常見封包類型在網路中傳遞
2-91
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 將該擷取時段內封包清單檔以兩個特定 IP 之間對傳封包為區隔顯示出哪兩個特定 IP間傳遞封包數多寡bull 可讓使用者更進一步研判兩個特定 IP所屬設備傳遞狀況是否異常
2-92
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 將該擷取時段內封包清單檔以特定IP 傳遞封包數為區隔顯示出哪特定IP 傳遞封包數多寡
bull 可讓使用者更進一步研判該特定所屬設備傳遞封包數是否異常作為管制緊急管制或禁止通訊之證明2-93
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 以時間軸顯示視覺化封包流量圖bull 讓使用者可觀察所管理設備資訊流通量以了解設備是否能負荷或作相關調整等處置
2-94
網路安全
FTP 擷取密碼案例bull 於Wireshark軟體選擇 Capture 下拉選單功能項點選 Interfaces 選項
2-95
網路安全
FTP 擷取密碼案例 (續 )
bull 確認欲擷取封包之網卡名稱如紅色底線所示確認後點選 Start鈕
2-96
網路安全
FTP 擷取密碼案例 (續 )
bull 切換至 FTP Client 電腦開啟 FileZilla 程式後連線到 FTP Server 於 Host 填入10123 Username填入 tester Password填入testpw 後點選 Quickconnect鈕
2-97
網路安全
FTP 擷取密碼案例 (續 )
bull 擷取到的封包資訊會顯示於已擷取封包清單窗格內
2-98
網路安全
FTP 擷取密碼案例 (續 )
bull 使用 FTP軟體登入 ftp站後 Wireshark 將擷取到的使用者名稱與密碼如紅框所示
2-99
網路安全
FTP 擷取密碼案例 (續 )
bull 點選已擷取封包清單窗格的密碼資訊列如標示1 的紅框所示即可在封包內容窗格看到該密碼的位元碼如標示 2 的紅框所示
1
2
2-100
網路安全
架設實作 (三 )
Outlook Express 擷取密碼案例
2-101
網路安全
實驗環境介紹bull 以 Testbed建立一實驗相關拓樸及設定如下圖
OEClientOSWindows XP SP3IP 10112執行 Outlook Express
MailServerOSWindows XP SP3IP 10122安裝軟體 ArGoSoft Mail Server
2-102
WiresharkOSWindows XP SP3IP1 10113 IP2 10123安裝軟體 Wireshark
IP1IP2
網路安全
實驗拓樸 on TestbedTWISC- 建立完成的實驗拓樸
2-103
網路安全
郵件伺服器工具 - ArGoSoft Mail Server
bull 版本ndash 1892 Freeware
bull 支援作業平台ndash Windows
bull 下載位址ndash httpwwwsoftkingcomtwsoftdownloadaspfid3=7367
2-104
網路安全
郵件客戶端工具 - Outlook Express
bull 版本ndash 60
bull 支援作業平台ndash Windows
bull 下載位址ndash Windows 內建
2-105
網路安全
bull 安裝及設定郵件伺服器ndash 1下載並執行 ArGoSoft Mail Server軟體點選
Setup鈕
Outlook Express 擷取密碼案例
2-106
網路安全
ndash 1 點選 Next鈕ndash 2 點選 Start Installation鈕
Outlook Express 擷取密碼案例 (續 )
2-107
網路安全
ndash 3 點選 OK鈕ndash 4 點選 Finish鈕完成軟體安裝
Outlook Express 擷取密碼案例 (續 )
2-108
網路安全
ndash 5 點選使用者設定鈕如紅圈所示ndash 6 點選新增鈕如紅框所示
Outlook Express 擷取密碼案例 (續 )
2-109
網路安全
ndash 7填入使用者名稱 (tester) 及密碼 (testpw) 如紅圈所示填寫完成後點選 OK鈕ndash 8 點選 Close鈕關閉使用者設定視窗
Outlook Express 擷取密碼案例 (續 )
2-110
網路安全
ndash 9 點選選項鈕如左側圖中紅色圈所示ndash 10 點選紅色打勾鈕如右側圖中紅色圈所示
2-111
Outlook Express 擷取密碼案例 (續 )
網路安全
ndash 11該軟體會自動選取 DNS Server 待選取後點選 Yes鈕ndash 12 勾選 Allow Relay 選項如紅框所示
2-112
Outlook Express 擷取密碼案例 (續 )
網路安全
Outlook Express 擷取密碼案例 (續 )
bull 設定收信帳號ndash 1 點選 Tools功能選單選擇 Accounts 選項
2-113
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 2 點選 Add鈕選擇 Mail 選項
2-114
網路安全
ndash 3填入 tester 點選 Next鈕ndash 4填入 testertestcom 點選 Next鈕
Outlook Express 擷取密碼案例 (續 )
2-115
網路安全
ndash 5填入 10123 如紅框所示點選 Next鈕ndash 6填入帳號為 tester 及密碼為 testpw 點選 Next鈕
Outlook Express 擷取密碼案例 (續 )
2-116
網路安全
ndash 7 點選 Finish鈕ndash 8 點選 Close鈕
Outlook Express 擷取密碼案例 (續 )
2-117
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 模擬條件準備好後首先準備Wireshark 擷取動作開啟Wireshark
2-118
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 於Wireshark軟體選擇 Capture 下拉選單功能項點選 Interfaces 選項
2-119
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 確認欲擷取封包之網卡名稱如紅色底線所示確認後點選 Start鈕
2-120
網路安全
ndash 當使用者收發 email 時即被 Wireshark攔截封包ndash 有發現到該 Outlook Express帳號密碼是如此清晰可見的嗎
Outlook Express 擷取密碼案例 (續 )
2-121
網路安全
結論bull 學習了 Wireshark及WinDump 兩套網路封包擷取軟體基本概念如同電話側錄概念相同從中複製一連串資訊來分析與了解網路的流量及內容為何bull 當你發現網路速度緩慢等狀況你是否會反應到所學的基本概念來找尋問題所在bull 防範概念由此課程的實例可以了解網路內容如被有心人士擷取所造成的損失相當可觀故你是否有對策有哪些方式你可以應用來防範bull 正確的思考善用對的工具將對解決問題事半功倍
2-122
網路安全 2-123
Module 2-5 封包擷取與分析的專案實作()
網路安全
專案目的bull 建立遠端管理傳遞指令資訊環境bull 利用實際攔截封包操作的方式讓同學了解封包擷取運作與網路資訊流通的顧慮等相關議題
2-124
網路安全
專案描述bull 近年來遠端管理伺服器及網路服務普及光是密碼保護就足夠了嗎是否重點網段須全程加密還是作網段隔離經由此專案實作即可了解不僅部分加密仍有其風險所在網路架構如何規劃將是非常重要的課題bull 參考環境配置圖完成下列要求①環境裡的攔截封包主機是 Windows XP SP3 作業系統而該主機安裝Wireshark軟體②另兩台主機的作業系統亦是 Windows XP SP3 並裝上
MySQL軟體 MySQL帳號為 root 密碼為您的學號 (如 Q3896105)
③在MySQLClient 電腦使用 MySQL Commandline 指令連線至MySQLServer 擷取資料庫資訊
④我們針對這兩台主機傳訊的封包擷取由整個實做中思考如何防範資訊外洩與了解傳訊封包如何流動及運作2-125
網路安全
環境配置圖bull 以 Testbed建立一實驗相關拓樸及設定如下圖
MySQLServerOSWINXP-SP3-CH-pc3000 IP 10123安裝軟體 MySQL
MySQLClientOSWINXP-SP3-CH-pc3000 IP 10112安裝軟體 MySQL
2-126
WireSharkOSWINXP-SP3-CH-pc3000 IP1 10113IP2 10122安裝軟體 Wireshark
IP1IP2
網路安全
作業繳交bull 請參考情境測試發送數個 SQL 指令並將過程與擷取到的封包資訊之截圖列於報告中所有圖表皆需要輔以文字說明bull Deadline 2012312 下午 500 以前bull 作業範圍 Module 2-5 (page 2-128)bull 方式 (參考課程網址 )
ndash 帳號密碼小寫的 (ns100ns100)ndash IP 140116164167
2-127
網路安全
有問題嗎
bull 關於 TestBed 使用上的問題請直接 Email至 twisc-testbed-usergooglegroupscom 將有專人為您服務bull 課程網址
httpitlabeenckuedutwcoursesNS_100indexhtml
2-128
bull 助教資訊 (參考課程網址 )
網路安全
參考資料bull Dienet httplinuxdienetman1wiresharkbull Orebaugh Angela Ramirez Gilbert Burke Josh Pesce Larry Wright
Joshua(2007) Wireshark and Ethereal network protocol analyzer toolkitbull Tony Fortunato(2007) Wireshark Training Retrieved July 22 2009 from
the World Wide Web httpwwwthetechfirmcometherealwiresharkpdfbull WinDump httpwwwwinpcaporgWinDumpbull Wireshark httpwwwwiresharkorgbull Wireshark University httpwwwwiresharktrainingcombull 楊中皇 (民 97年 ) 網路安全理論與實務 (2版 ) 台北市學貫bull 蘇淑茵教授 Wireshark 民國 98年 6月 28日取自 httpmywebnckuedutw~sisou
2-129
網路安全
WinDump 簡易使用操作說明 (續 )
bull WinDump -i 網卡介面代號 -c 擷取封包數量 port 通訊埠
bull 例 WinDump -i 2 -c 10 port 80
2-42
網路安全
WinDump 簡易使用操作說明 (續 )
bull 因於命令提示字元視窗內所顯示的資訊不易閱讀可透過下列指令將其所擷取的資訊導向至檔案bull Windump -i 網卡介面代號 gt 檔名
ndash windump -i 2 -c 10 -w message port 80ndash windump -r message gt messagetxtndash windump -i 2 -c 10 port 80 gt messagetxt
2-43
網路安全
WinDump 簡易使用操作說明 (續 )
112338326205 此為封包被擷取的時間『 HHMMSSfraction』的單位IP 透過的通訊協定是 IPwinser 1099 gt w1wwwviptw1yahoocomtw80 代表的是傳送端是 winser 傳送的通訊埠為 1099 大於 (gt) 的符號指的是封包的傳輸方向 w1wwwviptw1yahoocomtw 為接收端 80 為接收埠
P(PUSH) 為資料傳輸標誌且傳輸的資料為整體資料的 1~ 699 byte 所以這個封包帶有 698 bytes 的資料量 ack 1 win 65535 ACK與Window size 的相關資料2-44
網路安全
bull 以 Testbed建立一實驗相關拓樸及設定如下圖SSHClientOSWINXP-SP3-CH-pc3000 IP 10113安裝軟體 putty
SSHServerOSWINXP-SP3-CH-pc3000IP 10123安裝軟體 sshd
實驗環境介紹
2-45
IP1
IP2
WireDumpOSWINXP-SP3-CH-pc3000IP1 10112IP2 10122安裝軟體 WinDump
網路安全
實驗拓樸 on TestbedTWISC- 建立完成的實驗拓樸
2-46
網路安全
SSH連線觀察bull 利用 Putty連線到 SSHServer從中觀察到三向交握建立連線的動作從 SSHClient 端利用 putty連線到SSHServer(10123)的 sshd服務
2-47
網路安全
SSH連線觀察 (續 )
bull SSH 在連線之前會利用三向交握的方式建立連線bull 利用 WinDump觀察 SSH連線動作
ndash 指令 WinDumpexe -N -S -i 4 port 22
三向交握的三個封包三向交握示意圖Server lt- Client SYN 你想連線Server -gt Client SYN ACK 可以我接受Server lt- Client ACK 謝謝
2-48
網路安全
架設實作 (二 )
FTP 擷取密碼案例
2-49
網路安全
FTPClientOSWINXP-SP3-pc3000IP 10112安裝軟體 FileZilla
FTPServerOSWINXP-SP3-pc3000IP 10123安裝軟體 RaidenFTPD
實驗環境介紹bull 以 Testbed建立一實驗相關拓樸及設定如下圖
2-50
IP1IP2
WireSharkOSWINXP-SP3-pc3000IP1 10113IP2 10122安裝軟體 Wireshark
網路安全
實驗拓樸 on TestbedTWISC- 建立完成的實驗拓樸
2-51
網路安全
FTP伺服器工具 - RaidenFTPD
bull 版本ndash 24 build 3720
bull 支援作業平台ndash Windows
bull 下載位址ndash httpwwwraidenmaildcomdownloadraidenftpd2exe
2-52
網路安全
RaidenFTPD 安裝步驟bull 下載Windows平台最新版本檔案下載完成後執行該安裝程式
2-53
網路安全
RaidenFTPD 安裝步驟 (續 )
bull 此步驟使用預設路徑即可按下 Install 進行安裝
2-54
網路安全
RaidenFTPD設定步驟bull 程式開啟畫面如下選擇 Click here to start a new
server 進行 FTP伺服器設定
2-55
網路安全
RaidenFTPD設定步驟 (續 )
bull 此處可設定 Server name與 Server IP 將 Auto IP 取消勾選並將 Server IP設為 10123
2-56
網路安全
RaidenFTPD設定步驟 (續 )
bull 接下來的步驟依照預設值即可
2-57
網路安全
RaidenFTPD設定步驟 (續 )
bull 設定人員帳號與群組按下 Add鈕輸入帳號密碼群組名稱可略過完成後按下 Next 進行下一步驟
2-58
網路安全
RaidenFTPD設定步驟 (續 )
bull 此步驟設定該帳號登入 FTP 時的權限選擇NORMAL 按下 Next 進行下一步驟
2-59
網路安全
RaidenFTPD設定步驟 (續 )
bull 接下來的步驟皆以預設值即可完成設定之後會出現對話視窗顯示您所設定的資訊
2-60
網路安全
FTP 用戶端工具 - Filezilla
bull 版本ndash 328
bull 支援作業平台ndash Windows Linux及Mac
bull 下載位址ndash httpsourceforgenetprojectsfilezillafiles
FileZilla_Client328FileZilla_328_win32zipdownload
2-61
網路安全
Filezilla 安裝步驟bull 執行 Filezilla 安裝程式點選 I agree 鈕
2-62
網路安全
Filezilla 安裝步驟 (續 )
bull 以預設值安裝點選兩次 Next 鈕
2-63
網路安全
Filezilla 安裝步驟 (續 )
bull 以預設值安裝點選 Next 鈕後再點選 Install 鈕
2-64
網路安全
Filezilla 安裝步驟 (續 )
bull 以預設值安裝點選 Next 鈕後再點選 Finish 鈕
2-65
網路安全
封包擷取工具 - Wireshark
bull 版本ndash 165
bull 支援作業平台ndash Windows Linux及 FreeBSD
bull 其他需求ndash 安裝WinPcap 31 以上版本
bull 下載位址ndash httpwiresharkdownloadsriverbedcomwireshark
win32wireshark-win32-165exe
2-66
網路安全
Wireshark 安裝步驟bull 至官方網站下載Windows平台最新版本檔案下載完成後執行該安裝程式
2-67
網路安全
Wireshark 安裝步驟 (續 )
bull 於下一步出現的版權宣告點選 I Agree鈕後繼續下一步驟
2-68
網路安全
Wireshark 安裝步驟 (續 )
bull 此步驟選擇欲安裝的元件以軟體預設勾選之項目安裝
2-69
網路安全
Wireshark 安裝步驟 (續 )
bull 此步驟使用預設路徑即可
2-70
網路安全
Wireshark 安裝步驟 (續 )
bull 此步驟將安裝Windows平台須加裝之套件 -WinPcap 若原系統未安裝過 WinPcap套件請以軟體預設項目安裝之
2-71
網路安全
Wireshark 安裝步驟 (續 )
bull 此步驟代表 Wireshark軟體已安裝完成可點選Finish 鈕或勾選 Run Wireshark 165 隨即使用該套軟體
2-72
網路安全
一般工具列Wireshark軟體介面介紹
2-73
篩選工具列封包清單窗格
封包內容窗格封包位元組窗格
網路安全
Wireshark 使用思考方向bull 遇到網路問題是否觀察網路通道中有異常動作或狀況
ndash 思考方向ndash 反應到擷取數據方法那麼以 Wireshark 擷取使用者需要擷取哪些數據這些數據由使用者電腦哪個裝置來擷取
bull Wireshark操作流程
bull 接下來我們進行軟體操作介紹
解決問題 擷取數據要先做什麼
擷取數據 擷取哪些數據( 過濾條件 )數據哪裡來( 網路介面卡 )
2-74
網路安全
數據哪裡來 - Capture功能bull 一開啟方式
ndash 1 點選快速鈕如紅色圈所示ndash 2 點選 Capture功能表 下拉選單後點選 Optionsndash 3鍵盤快速鍵 Ctrl + K
2-75
網路安全
數據哪裡來 - Capture功能 (續 )
bull 二開啟後顯示 Capture Options 的視窗畫面即可看到所提供的擷取功能選項
2-76
網路安全
數據哪裡來 - Capture功能 (續 )
bull Capture Options 常用的欄位設定ndash Caputure 框
bull 1Interface 會顯示出在系統上所有網路卡但只能選取一個介面作為封包擷取bull 2Capture packets in promiscuous mode 選取此選項就是經過所選取的網路卡的所有封包都會被擷取下來bull 3Capture Filter 指定擷取過濾器運算式擷取想要的特定封包即為擷取中過濾之功能
2-77
網路安全
數據哪裡來 - Capture功能 (續 )
bull Capture Options 常用的欄位設定ndash Display Options 框
bull Update list of packets in real time 指定在擷取封包過程中能夠即時更新已擷取封包清單窗格視窗中的封包資訊若取消則軟體主視窗更新畫面是沒有動作的
2-78
網路安全
bull Capture Options 常用的欄位設定ndash Name Resolution框
bull 1 Enable MAC name resolution 指定是否將網路卡MAC address 的前三個位元組轉換成製造商名稱
bull 2 Enable network name resolution 指定是否將 IP address轉換成 DNS 網域名稱
bull 3 Enable transport name resolution 指定是否將通信埠號碼 (port numbers)轉成協定名稱 (protocols)bull 各位了解數據從哪裡擷取的概念與操作之後即可以進一步加上附帶條件 (篩選條件 ) 等相關操作方式
數據哪裡來 - Capture功能 (續 )
2-79
網路安全
Wireshark操作手法bull 延續遇到問題的思考方向及軟體操作手法我們可以將操作流程分為兩種
ndash 擷取中過濾 (Filter while capturing)bull 優點僅擷取已知範圍資訊網路流量少bull 缺點需先了解問題類型避免可能有遺漏真正欲擷取資訊之狀況
ndash 檢視中過濾 (Filter packets while viewing)bull 優點不用先預設條件擷取所有封包資訊bull 缺點影響網路流量
先預設欲擷取條件 擷取數據
擷取數據 再篩選欲查詢數據2-80
網路安全
Wireshark操作手法 - 擷取中過濾bull 操作步驟
ndash 點選 Capture 下拉視窗選擇 Capture Filters 即呈現此視窗
bull 操作範例ndash 1於 Filter窗格中選擇 IP
Address 10112ndash 2於 Properties窗格中即顯示該選項的設定值如圖所示為 host 10112ndash 3 即可設定軟體僅針對
10112 的封包作擷取動作 延伸操作思考1 改變 Filter string 值得到什麼結果2 點選 Edit 窗格中的 New 鈕 新增自訂條件 2-81
網路安全
Wireshark操作手法 - 檢視中過濾bull 此步驟即以已擷取封包清單窗格為基礎以過濾條件過濾該清單bull 可直接選擇軟體預設項目如以下操作
ndash 操作步驟bull 點選 Analyze 下拉視窗選擇
Display Filters 即呈現此視窗ndash 操作範例
bull 1於 Filter窗格中選擇 IP Address 10112
bull 2於 Properties窗格中即顯示該選項的設定值如圖所示值為host 10112
bull 3 即可設定軟體僅針對 10112的封包作顯示動作 延伸操作思考1 可否進行進一步自訂設定值
2-82
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 若電腦 IP為 10112 欲篩選出 IP 來源為上述 IP 且協定為 TCP 80port 的所有封包ndash 操作步驟
bull 點選 Expression鈕即出現此視窗ndash 1於 Field name框選擇
IP項目中的 ipsrc - Source
ndash 2於 Relation框選擇 ==ndash 3於 Value [IPV4
address]填 入 10112ndash 4 點選 OK鈕 進階思考方式須考慮到例如是來源資訊是目標資訊是什麼協定等更細部所要之條件
2-83
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 再進行第二篩選條件ndash TCP 80 port
bull 操作步驟ndash 1先於 Filter string 輸入文字框「 ipsrc==
10112」後再加上一個空格及「 and 」再進行一次 Expression條件選擇
2-84
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
ndash 2於 Field name框選擇「 tcpdstport」ndash 3於 Relation框選擇「 ==」ndash 4於 Value框填入「 80」ndash 5 選擇「 OK」鈕
2-85
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 注意 Propeties框內的Filter string欄位值已改變為「 ipsrc == 10112 and tcpdstport == 80」
bull 確認條件正確後點選「 OK 」鈕即可發現已擷取封包清單窗格的項目均為所設定過濾條件過濾過結果2-86
網路安全
bull 可單選單一封包進行更進階查詢封包內容bull 操作方式為
ndash 點選其中一項封包項目點選滑鼠右鍵選擇Follow TCP Stream
Wireshark操作手法 - 檢視中過濾 (續 )
2-87
網路安全
ndash 此畫面即可看出該項 TCP 封包溝通內容Wireshark操作手法 - 檢視中過濾 (續 )
2-88
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 此功能將所擷取的封包清單使用多種方式呈現封包統計資料便於使用者查詢擷取時間內何種封包數量多寡及圖型顯示bull 操作步驟點選 Statistics 下拉視窗即呈現此視窗 顯示有關擷取清單的摘要以階梯式通訊協定列表顯示所擷取的所有封包
在特定 IP間顯示通訊流量顯示單一 IP 來往封包的流量
以時間軸顯示視覺化封包流量圖2-89
網路安全
bull 可查看到一時段內其封包總數與平均每秒傳遞接收封包數等相關資訊讓使用者了解平均一時段內網路流量狀況藉以初步獲得資訊
Wireshark操作手法 - 檢視中過濾 (續 )
2-90
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 讓使用者可透過階梯式封包分類表來查看哪一類封包佔為居多可進一步推測是否該類型封包影響到整體網路或是否有異常或不常見封包類型在網路中傳遞
2-91
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 將該擷取時段內封包清單檔以兩個特定 IP 之間對傳封包為區隔顯示出哪兩個特定 IP間傳遞封包數多寡bull 可讓使用者更進一步研判兩個特定 IP所屬設備傳遞狀況是否異常
2-92
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 將該擷取時段內封包清單檔以特定IP 傳遞封包數為區隔顯示出哪特定IP 傳遞封包數多寡
bull 可讓使用者更進一步研判該特定所屬設備傳遞封包數是否異常作為管制緊急管制或禁止通訊之證明2-93
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 以時間軸顯示視覺化封包流量圖bull 讓使用者可觀察所管理設備資訊流通量以了解設備是否能負荷或作相關調整等處置
2-94
網路安全
FTP 擷取密碼案例bull 於Wireshark軟體選擇 Capture 下拉選單功能項點選 Interfaces 選項
2-95
網路安全
FTP 擷取密碼案例 (續 )
bull 確認欲擷取封包之網卡名稱如紅色底線所示確認後點選 Start鈕
2-96
網路安全
FTP 擷取密碼案例 (續 )
bull 切換至 FTP Client 電腦開啟 FileZilla 程式後連線到 FTP Server 於 Host 填入10123 Username填入 tester Password填入testpw 後點選 Quickconnect鈕
2-97
網路安全
FTP 擷取密碼案例 (續 )
bull 擷取到的封包資訊會顯示於已擷取封包清單窗格內
2-98
網路安全
FTP 擷取密碼案例 (續 )
bull 使用 FTP軟體登入 ftp站後 Wireshark 將擷取到的使用者名稱與密碼如紅框所示
2-99
網路安全
FTP 擷取密碼案例 (續 )
bull 點選已擷取封包清單窗格的密碼資訊列如標示1 的紅框所示即可在封包內容窗格看到該密碼的位元碼如標示 2 的紅框所示
1
2
2-100
網路安全
架設實作 (三 )
Outlook Express 擷取密碼案例
2-101
網路安全
實驗環境介紹bull 以 Testbed建立一實驗相關拓樸及設定如下圖
OEClientOSWindows XP SP3IP 10112執行 Outlook Express
MailServerOSWindows XP SP3IP 10122安裝軟體 ArGoSoft Mail Server
2-102
WiresharkOSWindows XP SP3IP1 10113 IP2 10123安裝軟體 Wireshark
IP1IP2
網路安全
實驗拓樸 on TestbedTWISC- 建立完成的實驗拓樸
2-103
網路安全
郵件伺服器工具 - ArGoSoft Mail Server
bull 版本ndash 1892 Freeware
bull 支援作業平台ndash Windows
bull 下載位址ndash httpwwwsoftkingcomtwsoftdownloadaspfid3=7367
2-104
網路安全
郵件客戶端工具 - Outlook Express
bull 版本ndash 60
bull 支援作業平台ndash Windows
bull 下載位址ndash Windows 內建
2-105
網路安全
bull 安裝及設定郵件伺服器ndash 1下載並執行 ArGoSoft Mail Server軟體點選
Setup鈕
Outlook Express 擷取密碼案例
2-106
網路安全
ndash 1 點選 Next鈕ndash 2 點選 Start Installation鈕
Outlook Express 擷取密碼案例 (續 )
2-107
網路安全
ndash 3 點選 OK鈕ndash 4 點選 Finish鈕完成軟體安裝
Outlook Express 擷取密碼案例 (續 )
2-108
網路安全
ndash 5 點選使用者設定鈕如紅圈所示ndash 6 點選新增鈕如紅框所示
Outlook Express 擷取密碼案例 (續 )
2-109
網路安全
ndash 7填入使用者名稱 (tester) 及密碼 (testpw) 如紅圈所示填寫完成後點選 OK鈕ndash 8 點選 Close鈕關閉使用者設定視窗
Outlook Express 擷取密碼案例 (續 )
2-110
網路安全
ndash 9 點選選項鈕如左側圖中紅色圈所示ndash 10 點選紅色打勾鈕如右側圖中紅色圈所示
2-111
Outlook Express 擷取密碼案例 (續 )
網路安全
ndash 11該軟體會自動選取 DNS Server 待選取後點選 Yes鈕ndash 12 勾選 Allow Relay 選項如紅框所示
2-112
Outlook Express 擷取密碼案例 (續 )
網路安全
Outlook Express 擷取密碼案例 (續 )
bull 設定收信帳號ndash 1 點選 Tools功能選單選擇 Accounts 選項
2-113
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 2 點選 Add鈕選擇 Mail 選項
2-114
網路安全
ndash 3填入 tester 點選 Next鈕ndash 4填入 testertestcom 點選 Next鈕
Outlook Express 擷取密碼案例 (續 )
2-115
網路安全
ndash 5填入 10123 如紅框所示點選 Next鈕ndash 6填入帳號為 tester 及密碼為 testpw 點選 Next鈕
Outlook Express 擷取密碼案例 (續 )
2-116
網路安全
ndash 7 點選 Finish鈕ndash 8 點選 Close鈕
Outlook Express 擷取密碼案例 (續 )
2-117
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 模擬條件準備好後首先準備Wireshark 擷取動作開啟Wireshark
2-118
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 於Wireshark軟體選擇 Capture 下拉選單功能項點選 Interfaces 選項
2-119
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 確認欲擷取封包之網卡名稱如紅色底線所示確認後點選 Start鈕
2-120
網路安全
ndash 當使用者收發 email 時即被 Wireshark攔截封包ndash 有發現到該 Outlook Express帳號密碼是如此清晰可見的嗎
Outlook Express 擷取密碼案例 (續 )
2-121
網路安全
結論bull 學習了 Wireshark及WinDump 兩套網路封包擷取軟體基本概念如同電話側錄概念相同從中複製一連串資訊來分析與了解網路的流量及內容為何bull 當你發現網路速度緩慢等狀況你是否會反應到所學的基本概念來找尋問題所在bull 防範概念由此課程的實例可以了解網路內容如被有心人士擷取所造成的損失相當可觀故你是否有對策有哪些方式你可以應用來防範bull 正確的思考善用對的工具將對解決問題事半功倍
2-122
網路安全 2-123
Module 2-5 封包擷取與分析的專案實作()
網路安全
專案目的bull 建立遠端管理傳遞指令資訊環境bull 利用實際攔截封包操作的方式讓同學了解封包擷取運作與網路資訊流通的顧慮等相關議題
2-124
網路安全
專案描述bull 近年來遠端管理伺服器及網路服務普及光是密碼保護就足夠了嗎是否重點網段須全程加密還是作網段隔離經由此專案實作即可了解不僅部分加密仍有其風險所在網路架構如何規劃將是非常重要的課題bull 參考環境配置圖完成下列要求①環境裡的攔截封包主機是 Windows XP SP3 作業系統而該主機安裝Wireshark軟體②另兩台主機的作業系統亦是 Windows XP SP3 並裝上
MySQL軟體 MySQL帳號為 root 密碼為您的學號 (如 Q3896105)
③在MySQLClient 電腦使用 MySQL Commandline 指令連線至MySQLServer 擷取資料庫資訊
④我們針對這兩台主機傳訊的封包擷取由整個實做中思考如何防範資訊外洩與了解傳訊封包如何流動及運作2-125
網路安全
環境配置圖bull 以 Testbed建立一實驗相關拓樸及設定如下圖
MySQLServerOSWINXP-SP3-CH-pc3000 IP 10123安裝軟體 MySQL
MySQLClientOSWINXP-SP3-CH-pc3000 IP 10112安裝軟體 MySQL
2-126
WireSharkOSWINXP-SP3-CH-pc3000 IP1 10113IP2 10122安裝軟體 Wireshark
IP1IP2
網路安全
作業繳交bull 請參考情境測試發送數個 SQL 指令並將過程與擷取到的封包資訊之截圖列於報告中所有圖表皆需要輔以文字說明bull Deadline 2012312 下午 500 以前bull 作業範圍 Module 2-5 (page 2-128)bull 方式 (參考課程網址 )
ndash 帳號密碼小寫的 (ns100ns100)ndash IP 140116164167
2-127
網路安全
有問題嗎
bull 關於 TestBed 使用上的問題請直接 Email至 twisc-testbed-usergooglegroupscom 將有專人為您服務bull 課程網址
httpitlabeenckuedutwcoursesNS_100indexhtml
2-128
bull 助教資訊 (參考課程網址 )
網路安全
參考資料bull Dienet httplinuxdienetman1wiresharkbull Orebaugh Angela Ramirez Gilbert Burke Josh Pesce Larry Wright
Joshua(2007) Wireshark and Ethereal network protocol analyzer toolkitbull Tony Fortunato(2007) Wireshark Training Retrieved July 22 2009 from
the World Wide Web httpwwwthetechfirmcometherealwiresharkpdfbull WinDump httpwwwwinpcaporgWinDumpbull Wireshark httpwwwwiresharkorgbull Wireshark University httpwwwwiresharktrainingcombull 楊中皇 (民 97年 ) 網路安全理論與實務 (2版 ) 台北市學貫bull 蘇淑茵教授 Wireshark 民國 98年 6月 28日取自 httpmywebnckuedutw~sisou
2-129
網路安全
WinDump 簡易使用操作說明 (續 )
bull 因於命令提示字元視窗內所顯示的資訊不易閱讀可透過下列指令將其所擷取的資訊導向至檔案bull Windump -i 網卡介面代號 gt 檔名
ndash windump -i 2 -c 10 -w message port 80ndash windump -r message gt messagetxtndash windump -i 2 -c 10 port 80 gt messagetxt
2-43
網路安全
WinDump 簡易使用操作說明 (續 )
112338326205 此為封包被擷取的時間『 HHMMSSfraction』的單位IP 透過的通訊協定是 IPwinser 1099 gt w1wwwviptw1yahoocomtw80 代表的是傳送端是 winser 傳送的通訊埠為 1099 大於 (gt) 的符號指的是封包的傳輸方向 w1wwwviptw1yahoocomtw 為接收端 80 為接收埠
P(PUSH) 為資料傳輸標誌且傳輸的資料為整體資料的 1~ 699 byte 所以這個封包帶有 698 bytes 的資料量 ack 1 win 65535 ACK與Window size 的相關資料2-44
網路安全
bull 以 Testbed建立一實驗相關拓樸及設定如下圖SSHClientOSWINXP-SP3-CH-pc3000 IP 10113安裝軟體 putty
SSHServerOSWINXP-SP3-CH-pc3000IP 10123安裝軟體 sshd
實驗環境介紹
2-45
IP1
IP2
WireDumpOSWINXP-SP3-CH-pc3000IP1 10112IP2 10122安裝軟體 WinDump
網路安全
實驗拓樸 on TestbedTWISC- 建立完成的實驗拓樸
2-46
網路安全
SSH連線觀察bull 利用 Putty連線到 SSHServer從中觀察到三向交握建立連線的動作從 SSHClient 端利用 putty連線到SSHServer(10123)的 sshd服務
2-47
網路安全
SSH連線觀察 (續 )
bull SSH 在連線之前會利用三向交握的方式建立連線bull 利用 WinDump觀察 SSH連線動作
ndash 指令 WinDumpexe -N -S -i 4 port 22
三向交握的三個封包三向交握示意圖Server lt- Client SYN 你想連線Server -gt Client SYN ACK 可以我接受Server lt- Client ACK 謝謝
2-48
網路安全
架設實作 (二 )
FTP 擷取密碼案例
2-49
網路安全
FTPClientOSWINXP-SP3-pc3000IP 10112安裝軟體 FileZilla
FTPServerOSWINXP-SP3-pc3000IP 10123安裝軟體 RaidenFTPD
實驗環境介紹bull 以 Testbed建立一實驗相關拓樸及設定如下圖
2-50
IP1IP2
WireSharkOSWINXP-SP3-pc3000IP1 10113IP2 10122安裝軟體 Wireshark
網路安全
實驗拓樸 on TestbedTWISC- 建立完成的實驗拓樸
2-51
網路安全
FTP伺服器工具 - RaidenFTPD
bull 版本ndash 24 build 3720
bull 支援作業平台ndash Windows
bull 下載位址ndash httpwwwraidenmaildcomdownloadraidenftpd2exe
2-52
網路安全
RaidenFTPD 安裝步驟bull 下載Windows平台最新版本檔案下載完成後執行該安裝程式
2-53
網路安全
RaidenFTPD 安裝步驟 (續 )
bull 此步驟使用預設路徑即可按下 Install 進行安裝
2-54
網路安全
RaidenFTPD設定步驟bull 程式開啟畫面如下選擇 Click here to start a new
server 進行 FTP伺服器設定
2-55
網路安全
RaidenFTPD設定步驟 (續 )
bull 此處可設定 Server name與 Server IP 將 Auto IP 取消勾選並將 Server IP設為 10123
2-56
網路安全
RaidenFTPD設定步驟 (續 )
bull 接下來的步驟依照預設值即可
2-57
網路安全
RaidenFTPD設定步驟 (續 )
bull 設定人員帳號與群組按下 Add鈕輸入帳號密碼群組名稱可略過完成後按下 Next 進行下一步驟
2-58
網路安全
RaidenFTPD設定步驟 (續 )
bull 此步驟設定該帳號登入 FTP 時的權限選擇NORMAL 按下 Next 進行下一步驟
2-59
網路安全
RaidenFTPD設定步驟 (續 )
bull 接下來的步驟皆以預設值即可完成設定之後會出現對話視窗顯示您所設定的資訊
2-60
網路安全
FTP 用戶端工具 - Filezilla
bull 版本ndash 328
bull 支援作業平台ndash Windows Linux及Mac
bull 下載位址ndash httpsourceforgenetprojectsfilezillafiles
FileZilla_Client328FileZilla_328_win32zipdownload
2-61
網路安全
Filezilla 安裝步驟bull 執行 Filezilla 安裝程式點選 I agree 鈕
2-62
網路安全
Filezilla 安裝步驟 (續 )
bull 以預設值安裝點選兩次 Next 鈕
2-63
網路安全
Filezilla 安裝步驟 (續 )
bull 以預設值安裝點選 Next 鈕後再點選 Install 鈕
2-64
網路安全
Filezilla 安裝步驟 (續 )
bull 以預設值安裝點選 Next 鈕後再點選 Finish 鈕
2-65
網路安全
封包擷取工具 - Wireshark
bull 版本ndash 165
bull 支援作業平台ndash Windows Linux及 FreeBSD
bull 其他需求ndash 安裝WinPcap 31 以上版本
bull 下載位址ndash httpwiresharkdownloadsriverbedcomwireshark
win32wireshark-win32-165exe
2-66
網路安全
Wireshark 安裝步驟bull 至官方網站下載Windows平台最新版本檔案下載完成後執行該安裝程式
2-67
網路安全
Wireshark 安裝步驟 (續 )
bull 於下一步出現的版權宣告點選 I Agree鈕後繼續下一步驟
2-68
網路安全
Wireshark 安裝步驟 (續 )
bull 此步驟選擇欲安裝的元件以軟體預設勾選之項目安裝
2-69
網路安全
Wireshark 安裝步驟 (續 )
bull 此步驟使用預設路徑即可
2-70
網路安全
Wireshark 安裝步驟 (續 )
bull 此步驟將安裝Windows平台須加裝之套件 -WinPcap 若原系統未安裝過 WinPcap套件請以軟體預設項目安裝之
2-71
網路安全
Wireshark 安裝步驟 (續 )
bull 此步驟代表 Wireshark軟體已安裝完成可點選Finish 鈕或勾選 Run Wireshark 165 隨即使用該套軟體
2-72
網路安全
一般工具列Wireshark軟體介面介紹
2-73
篩選工具列封包清單窗格
封包內容窗格封包位元組窗格
網路安全
Wireshark 使用思考方向bull 遇到網路問題是否觀察網路通道中有異常動作或狀況
ndash 思考方向ndash 反應到擷取數據方法那麼以 Wireshark 擷取使用者需要擷取哪些數據這些數據由使用者電腦哪個裝置來擷取
bull Wireshark操作流程
bull 接下來我們進行軟體操作介紹
解決問題 擷取數據要先做什麼
擷取數據 擷取哪些數據( 過濾條件 )數據哪裡來( 網路介面卡 )
2-74
網路安全
數據哪裡來 - Capture功能bull 一開啟方式
ndash 1 點選快速鈕如紅色圈所示ndash 2 點選 Capture功能表 下拉選單後點選 Optionsndash 3鍵盤快速鍵 Ctrl + K
2-75
網路安全
數據哪裡來 - Capture功能 (續 )
bull 二開啟後顯示 Capture Options 的視窗畫面即可看到所提供的擷取功能選項
2-76
網路安全
數據哪裡來 - Capture功能 (續 )
bull Capture Options 常用的欄位設定ndash Caputure 框
bull 1Interface 會顯示出在系統上所有網路卡但只能選取一個介面作為封包擷取bull 2Capture packets in promiscuous mode 選取此選項就是經過所選取的網路卡的所有封包都會被擷取下來bull 3Capture Filter 指定擷取過濾器運算式擷取想要的特定封包即為擷取中過濾之功能
2-77
網路安全
數據哪裡來 - Capture功能 (續 )
bull Capture Options 常用的欄位設定ndash Display Options 框
bull Update list of packets in real time 指定在擷取封包過程中能夠即時更新已擷取封包清單窗格視窗中的封包資訊若取消則軟體主視窗更新畫面是沒有動作的
2-78
網路安全
bull Capture Options 常用的欄位設定ndash Name Resolution框
bull 1 Enable MAC name resolution 指定是否將網路卡MAC address 的前三個位元組轉換成製造商名稱
bull 2 Enable network name resolution 指定是否將 IP address轉換成 DNS 網域名稱
bull 3 Enable transport name resolution 指定是否將通信埠號碼 (port numbers)轉成協定名稱 (protocols)bull 各位了解數據從哪裡擷取的概念與操作之後即可以進一步加上附帶條件 (篩選條件 ) 等相關操作方式
數據哪裡來 - Capture功能 (續 )
2-79
網路安全
Wireshark操作手法bull 延續遇到問題的思考方向及軟體操作手法我們可以將操作流程分為兩種
ndash 擷取中過濾 (Filter while capturing)bull 優點僅擷取已知範圍資訊網路流量少bull 缺點需先了解問題類型避免可能有遺漏真正欲擷取資訊之狀況
ndash 檢視中過濾 (Filter packets while viewing)bull 優點不用先預設條件擷取所有封包資訊bull 缺點影響網路流量
先預設欲擷取條件 擷取數據
擷取數據 再篩選欲查詢數據2-80
網路安全
Wireshark操作手法 - 擷取中過濾bull 操作步驟
ndash 點選 Capture 下拉視窗選擇 Capture Filters 即呈現此視窗
bull 操作範例ndash 1於 Filter窗格中選擇 IP
Address 10112ndash 2於 Properties窗格中即顯示該選項的設定值如圖所示為 host 10112ndash 3 即可設定軟體僅針對
10112 的封包作擷取動作 延伸操作思考1 改變 Filter string 值得到什麼結果2 點選 Edit 窗格中的 New 鈕 新增自訂條件 2-81
網路安全
Wireshark操作手法 - 檢視中過濾bull 此步驟即以已擷取封包清單窗格為基礎以過濾條件過濾該清單bull 可直接選擇軟體預設項目如以下操作
ndash 操作步驟bull 點選 Analyze 下拉視窗選擇
Display Filters 即呈現此視窗ndash 操作範例
bull 1於 Filter窗格中選擇 IP Address 10112
bull 2於 Properties窗格中即顯示該選項的設定值如圖所示值為host 10112
bull 3 即可設定軟體僅針對 10112的封包作顯示動作 延伸操作思考1 可否進行進一步自訂設定值
2-82
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 若電腦 IP為 10112 欲篩選出 IP 來源為上述 IP 且協定為 TCP 80port 的所有封包ndash 操作步驟
bull 點選 Expression鈕即出現此視窗ndash 1於 Field name框選擇
IP項目中的 ipsrc - Source
ndash 2於 Relation框選擇 ==ndash 3於 Value [IPV4
address]填 入 10112ndash 4 點選 OK鈕 進階思考方式須考慮到例如是來源資訊是目標資訊是什麼協定等更細部所要之條件
2-83
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 再進行第二篩選條件ndash TCP 80 port
bull 操作步驟ndash 1先於 Filter string 輸入文字框「 ipsrc==
10112」後再加上一個空格及「 and 」再進行一次 Expression條件選擇
2-84
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
ndash 2於 Field name框選擇「 tcpdstport」ndash 3於 Relation框選擇「 ==」ndash 4於 Value框填入「 80」ndash 5 選擇「 OK」鈕
2-85
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 注意 Propeties框內的Filter string欄位值已改變為「 ipsrc == 10112 and tcpdstport == 80」
bull 確認條件正確後點選「 OK 」鈕即可發現已擷取封包清單窗格的項目均為所設定過濾條件過濾過結果2-86
網路安全
bull 可單選單一封包進行更進階查詢封包內容bull 操作方式為
ndash 點選其中一項封包項目點選滑鼠右鍵選擇Follow TCP Stream
Wireshark操作手法 - 檢視中過濾 (續 )
2-87
網路安全
ndash 此畫面即可看出該項 TCP 封包溝通內容Wireshark操作手法 - 檢視中過濾 (續 )
2-88
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 此功能將所擷取的封包清單使用多種方式呈現封包統計資料便於使用者查詢擷取時間內何種封包數量多寡及圖型顯示bull 操作步驟點選 Statistics 下拉視窗即呈現此視窗 顯示有關擷取清單的摘要以階梯式通訊協定列表顯示所擷取的所有封包
在特定 IP間顯示通訊流量顯示單一 IP 來往封包的流量
以時間軸顯示視覺化封包流量圖2-89
網路安全
bull 可查看到一時段內其封包總數與平均每秒傳遞接收封包數等相關資訊讓使用者了解平均一時段內網路流量狀況藉以初步獲得資訊
Wireshark操作手法 - 檢視中過濾 (續 )
2-90
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 讓使用者可透過階梯式封包分類表來查看哪一類封包佔為居多可進一步推測是否該類型封包影響到整體網路或是否有異常或不常見封包類型在網路中傳遞
2-91
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 將該擷取時段內封包清單檔以兩個特定 IP 之間對傳封包為區隔顯示出哪兩個特定 IP間傳遞封包數多寡bull 可讓使用者更進一步研判兩個特定 IP所屬設備傳遞狀況是否異常
2-92
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 將該擷取時段內封包清單檔以特定IP 傳遞封包數為區隔顯示出哪特定IP 傳遞封包數多寡
bull 可讓使用者更進一步研判該特定所屬設備傳遞封包數是否異常作為管制緊急管制或禁止通訊之證明2-93
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 以時間軸顯示視覺化封包流量圖bull 讓使用者可觀察所管理設備資訊流通量以了解設備是否能負荷或作相關調整等處置
2-94
網路安全
FTP 擷取密碼案例bull 於Wireshark軟體選擇 Capture 下拉選單功能項點選 Interfaces 選項
2-95
網路安全
FTP 擷取密碼案例 (續 )
bull 確認欲擷取封包之網卡名稱如紅色底線所示確認後點選 Start鈕
2-96
網路安全
FTP 擷取密碼案例 (續 )
bull 切換至 FTP Client 電腦開啟 FileZilla 程式後連線到 FTP Server 於 Host 填入10123 Username填入 tester Password填入testpw 後點選 Quickconnect鈕
2-97
網路安全
FTP 擷取密碼案例 (續 )
bull 擷取到的封包資訊會顯示於已擷取封包清單窗格內
2-98
網路安全
FTP 擷取密碼案例 (續 )
bull 使用 FTP軟體登入 ftp站後 Wireshark 將擷取到的使用者名稱與密碼如紅框所示
2-99
網路安全
FTP 擷取密碼案例 (續 )
bull 點選已擷取封包清單窗格的密碼資訊列如標示1 的紅框所示即可在封包內容窗格看到該密碼的位元碼如標示 2 的紅框所示
1
2
2-100
網路安全
架設實作 (三 )
Outlook Express 擷取密碼案例
2-101
網路安全
實驗環境介紹bull 以 Testbed建立一實驗相關拓樸及設定如下圖
OEClientOSWindows XP SP3IP 10112執行 Outlook Express
MailServerOSWindows XP SP3IP 10122安裝軟體 ArGoSoft Mail Server
2-102
WiresharkOSWindows XP SP3IP1 10113 IP2 10123安裝軟體 Wireshark
IP1IP2
網路安全
實驗拓樸 on TestbedTWISC- 建立完成的實驗拓樸
2-103
網路安全
郵件伺服器工具 - ArGoSoft Mail Server
bull 版本ndash 1892 Freeware
bull 支援作業平台ndash Windows
bull 下載位址ndash httpwwwsoftkingcomtwsoftdownloadaspfid3=7367
2-104
網路安全
郵件客戶端工具 - Outlook Express
bull 版本ndash 60
bull 支援作業平台ndash Windows
bull 下載位址ndash Windows 內建
2-105
網路安全
bull 安裝及設定郵件伺服器ndash 1下載並執行 ArGoSoft Mail Server軟體點選
Setup鈕
Outlook Express 擷取密碼案例
2-106
網路安全
ndash 1 點選 Next鈕ndash 2 點選 Start Installation鈕
Outlook Express 擷取密碼案例 (續 )
2-107
網路安全
ndash 3 點選 OK鈕ndash 4 點選 Finish鈕完成軟體安裝
Outlook Express 擷取密碼案例 (續 )
2-108
網路安全
ndash 5 點選使用者設定鈕如紅圈所示ndash 6 點選新增鈕如紅框所示
Outlook Express 擷取密碼案例 (續 )
2-109
網路安全
ndash 7填入使用者名稱 (tester) 及密碼 (testpw) 如紅圈所示填寫完成後點選 OK鈕ndash 8 點選 Close鈕關閉使用者設定視窗
Outlook Express 擷取密碼案例 (續 )
2-110
網路安全
ndash 9 點選選項鈕如左側圖中紅色圈所示ndash 10 點選紅色打勾鈕如右側圖中紅色圈所示
2-111
Outlook Express 擷取密碼案例 (續 )
網路安全
ndash 11該軟體會自動選取 DNS Server 待選取後點選 Yes鈕ndash 12 勾選 Allow Relay 選項如紅框所示
2-112
Outlook Express 擷取密碼案例 (續 )
網路安全
Outlook Express 擷取密碼案例 (續 )
bull 設定收信帳號ndash 1 點選 Tools功能選單選擇 Accounts 選項
2-113
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 2 點選 Add鈕選擇 Mail 選項
2-114
網路安全
ndash 3填入 tester 點選 Next鈕ndash 4填入 testertestcom 點選 Next鈕
Outlook Express 擷取密碼案例 (續 )
2-115
網路安全
ndash 5填入 10123 如紅框所示點選 Next鈕ndash 6填入帳號為 tester 及密碼為 testpw 點選 Next鈕
Outlook Express 擷取密碼案例 (續 )
2-116
網路安全
ndash 7 點選 Finish鈕ndash 8 點選 Close鈕
Outlook Express 擷取密碼案例 (續 )
2-117
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 模擬條件準備好後首先準備Wireshark 擷取動作開啟Wireshark
2-118
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 於Wireshark軟體選擇 Capture 下拉選單功能項點選 Interfaces 選項
2-119
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 確認欲擷取封包之網卡名稱如紅色底線所示確認後點選 Start鈕
2-120
網路安全
ndash 當使用者收發 email 時即被 Wireshark攔截封包ndash 有發現到該 Outlook Express帳號密碼是如此清晰可見的嗎
Outlook Express 擷取密碼案例 (續 )
2-121
網路安全
結論bull 學習了 Wireshark及WinDump 兩套網路封包擷取軟體基本概念如同電話側錄概念相同從中複製一連串資訊來分析與了解網路的流量及內容為何bull 當你發現網路速度緩慢等狀況你是否會反應到所學的基本概念來找尋問題所在bull 防範概念由此課程的實例可以了解網路內容如被有心人士擷取所造成的損失相當可觀故你是否有對策有哪些方式你可以應用來防範bull 正確的思考善用對的工具將對解決問題事半功倍
2-122
網路安全 2-123
Module 2-5 封包擷取與分析的專案實作()
網路安全
專案目的bull 建立遠端管理傳遞指令資訊環境bull 利用實際攔截封包操作的方式讓同學了解封包擷取運作與網路資訊流通的顧慮等相關議題
2-124
網路安全
專案描述bull 近年來遠端管理伺服器及網路服務普及光是密碼保護就足夠了嗎是否重點網段須全程加密還是作網段隔離經由此專案實作即可了解不僅部分加密仍有其風險所在網路架構如何規劃將是非常重要的課題bull 參考環境配置圖完成下列要求①環境裡的攔截封包主機是 Windows XP SP3 作業系統而該主機安裝Wireshark軟體②另兩台主機的作業系統亦是 Windows XP SP3 並裝上
MySQL軟體 MySQL帳號為 root 密碼為您的學號 (如 Q3896105)
③在MySQLClient 電腦使用 MySQL Commandline 指令連線至MySQLServer 擷取資料庫資訊
④我們針對這兩台主機傳訊的封包擷取由整個實做中思考如何防範資訊外洩與了解傳訊封包如何流動及運作2-125
網路安全
環境配置圖bull 以 Testbed建立一實驗相關拓樸及設定如下圖
MySQLServerOSWINXP-SP3-CH-pc3000 IP 10123安裝軟體 MySQL
MySQLClientOSWINXP-SP3-CH-pc3000 IP 10112安裝軟體 MySQL
2-126
WireSharkOSWINXP-SP3-CH-pc3000 IP1 10113IP2 10122安裝軟體 Wireshark
IP1IP2
網路安全
作業繳交bull 請參考情境測試發送數個 SQL 指令並將過程與擷取到的封包資訊之截圖列於報告中所有圖表皆需要輔以文字說明bull Deadline 2012312 下午 500 以前bull 作業範圍 Module 2-5 (page 2-128)bull 方式 (參考課程網址 )
ndash 帳號密碼小寫的 (ns100ns100)ndash IP 140116164167
2-127
網路安全
有問題嗎
bull 關於 TestBed 使用上的問題請直接 Email至 twisc-testbed-usergooglegroupscom 將有專人為您服務bull 課程網址
httpitlabeenckuedutwcoursesNS_100indexhtml
2-128
bull 助教資訊 (參考課程網址 )
網路安全
參考資料bull Dienet httplinuxdienetman1wiresharkbull Orebaugh Angela Ramirez Gilbert Burke Josh Pesce Larry Wright
Joshua(2007) Wireshark and Ethereal network protocol analyzer toolkitbull Tony Fortunato(2007) Wireshark Training Retrieved July 22 2009 from
the World Wide Web httpwwwthetechfirmcometherealwiresharkpdfbull WinDump httpwwwwinpcaporgWinDumpbull Wireshark httpwwwwiresharkorgbull Wireshark University httpwwwwiresharktrainingcombull 楊中皇 (民 97年 ) 網路安全理論與實務 (2版 ) 台北市學貫bull 蘇淑茵教授 Wireshark 民國 98年 6月 28日取自 httpmywebnckuedutw~sisou
2-129
網路安全
WinDump 簡易使用操作說明 (續 )
112338326205 此為封包被擷取的時間『 HHMMSSfraction』的單位IP 透過的通訊協定是 IPwinser 1099 gt w1wwwviptw1yahoocomtw80 代表的是傳送端是 winser 傳送的通訊埠為 1099 大於 (gt) 的符號指的是封包的傳輸方向 w1wwwviptw1yahoocomtw 為接收端 80 為接收埠
P(PUSH) 為資料傳輸標誌且傳輸的資料為整體資料的 1~ 699 byte 所以這個封包帶有 698 bytes 的資料量 ack 1 win 65535 ACK與Window size 的相關資料2-44
網路安全
bull 以 Testbed建立一實驗相關拓樸及設定如下圖SSHClientOSWINXP-SP3-CH-pc3000 IP 10113安裝軟體 putty
SSHServerOSWINXP-SP3-CH-pc3000IP 10123安裝軟體 sshd
實驗環境介紹
2-45
IP1
IP2
WireDumpOSWINXP-SP3-CH-pc3000IP1 10112IP2 10122安裝軟體 WinDump
網路安全
實驗拓樸 on TestbedTWISC- 建立完成的實驗拓樸
2-46
網路安全
SSH連線觀察bull 利用 Putty連線到 SSHServer從中觀察到三向交握建立連線的動作從 SSHClient 端利用 putty連線到SSHServer(10123)的 sshd服務
2-47
網路安全
SSH連線觀察 (續 )
bull SSH 在連線之前會利用三向交握的方式建立連線bull 利用 WinDump觀察 SSH連線動作
ndash 指令 WinDumpexe -N -S -i 4 port 22
三向交握的三個封包三向交握示意圖Server lt- Client SYN 你想連線Server -gt Client SYN ACK 可以我接受Server lt- Client ACK 謝謝
2-48
網路安全
架設實作 (二 )
FTP 擷取密碼案例
2-49
網路安全
FTPClientOSWINXP-SP3-pc3000IP 10112安裝軟體 FileZilla
FTPServerOSWINXP-SP3-pc3000IP 10123安裝軟體 RaidenFTPD
實驗環境介紹bull 以 Testbed建立一實驗相關拓樸及設定如下圖
2-50
IP1IP2
WireSharkOSWINXP-SP3-pc3000IP1 10113IP2 10122安裝軟體 Wireshark
網路安全
實驗拓樸 on TestbedTWISC- 建立完成的實驗拓樸
2-51
網路安全
FTP伺服器工具 - RaidenFTPD
bull 版本ndash 24 build 3720
bull 支援作業平台ndash Windows
bull 下載位址ndash httpwwwraidenmaildcomdownloadraidenftpd2exe
2-52
網路安全
RaidenFTPD 安裝步驟bull 下載Windows平台最新版本檔案下載完成後執行該安裝程式
2-53
網路安全
RaidenFTPD 安裝步驟 (續 )
bull 此步驟使用預設路徑即可按下 Install 進行安裝
2-54
網路安全
RaidenFTPD設定步驟bull 程式開啟畫面如下選擇 Click here to start a new
server 進行 FTP伺服器設定
2-55
網路安全
RaidenFTPD設定步驟 (續 )
bull 此處可設定 Server name與 Server IP 將 Auto IP 取消勾選並將 Server IP設為 10123
2-56
網路安全
RaidenFTPD設定步驟 (續 )
bull 接下來的步驟依照預設值即可
2-57
網路安全
RaidenFTPD設定步驟 (續 )
bull 設定人員帳號與群組按下 Add鈕輸入帳號密碼群組名稱可略過完成後按下 Next 進行下一步驟
2-58
網路安全
RaidenFTPD設定步驟 (續 )
bull 此步驟設定該帳號登入 FTP 時的權限選擇NORMAL 按下 Next 進行下一步驟
2-59
網路安全
RaidenFTPD設定步驟 (續 )
bull 接下來的步驟皆以預設值即可完成設定之後會出現對話視窗顯示您所設定的資訊
2-60
網路安全
FTP 用戶端工具 - Filezilla
bull 版本ndash 328
bull 支援作業平台ndash Windows Linux及Mac
bull 下載位址ndash httpsourceforgenetprojectsfilezillafiles
FileZilla_Client328FileZilla_328_win32zipdownload
2-61
網路安全
Filezilla 安裝步驟bull 執行 Filezilla 安裝程式點選 I agree 鈕
2-62
網路安全
Filezilla 安裝步驟 (續 )
bull 以預設值安裝點選兩次 Next 鈕
2-63
網路安全
Filezilla 安裝步驟 (續 )
bull 以預設值安裝點選 Next 鈕後再點選 Install 鈕
2-64
網路安全
Filezilla 安裝步驟 (續 )
bull 以預設值安裝點選 Next 鈕後再點選 Finish 鈕
2-65
網路安全
封包擷取工具 - Wireshark
bull 版本ndash 165
bull 支援作業平台ndash Windows Linux及 FreeBSD
bull 其他需求ndash 安裝WinPcap 31 以上版本
bull 下載位址ndash httpwiresharkdownloadsriverbedcomwireshark
win32wireshark-win32-165exe
2-66
網路安全
Wireshark 安裝步驟bull 至官方網站下載Windows平台最新版本檔案下載完成後執行該安裝程式
2-67
網路安全
Wireshark 安裝步驟 (續 )
bull 於下一步出現的版權宣告點選 I Agree鈕後繼續下一步驟
2-68
網路安全
Wireshark 安裝步驟 (續 )
bull 此步驟選擇欲安裝的元件以軟體預設勾選之項目安裝
2-69
網路安全
Wireshark 安裝步驟 (續 )
bull 此步驟使用預設路徑即可
2-70
網路安全
Wireshark 安裝步驟 (續 )
bull 此步驟將安裝Windows平台須加裝之套件 -WinPcap 若原系統未安裝過 WinPcap套件請以軟體預設項目安裝之
2-71
網路安全
Wireshark 安裝步驟 (續 )
bull 此步驟代表 Wireshark軟體已安裝完成可點選Finish 鈕或勾選 Run Wireshark 165 隨即使用該套軟體
2-72
網路安全
一般工具列Wireshark軟體介面介紹
2-73
篩選工具列封包清單窗格
封包內容窗格封包位元組窗格
網路安全
Wireshark 使用思考方向bull 遇到網路問題是否觀察網路通道中有異常動作或狀況
ndash 思考方向ndash 反應到擷取數據方法那麼以 Wireshark 擷取使用者需要擷取哪些數據這些數據由使用者電腦哪個裝置來擷取
bull Wireshark操作流程
bull 接下來我們進行軟體操作介紹
解決問題 擷取數據要先做什麼
擷取數據 擷取哪些數據( 過濾條件 )數據哪裡來( 網路介面卡 )
2-74
網路安全
數據哪裡來 - Capture功能bull 一開啟方式
ndash 1 點選快速鈕如紅色圈所示ndash 2 點選 Capture功能表 下拉選單後點選 Optionsndash 3鍵盤快速鍵 Ctrl + K
2-75
網路安全
數據哪裡來 - Capture功能 (續 )
bull 二開啟後顯示 Capture Options 的視窗畫面即可看到所提供的擷取功能選項
2-76
網路安全
數據哪裡來 - Capture功能 (續 )
bull Capture Options 常用的欄位設定ndash Caputure 框
bull 1Interface 會顯示出在系統上所有網路卡但只能選取一個介面作為封包擷取bull 2Capture packets in promiscuous mode 選取此選項就是經過所選取的網路卡的所有封包都會被擷取下來bull 3Capture Filter 指定擷取過濾器運算式擷取想要的特定封包即為擷取中過濾之功能
2-77
網路安全
數據哪裡來 - Capture功能 (續 )
bull Capture Options 常用的欄位設定ndash Display Options 框
bull Update list of packets in real time 指定在擷取封包過程中能夠即時更新已擷取封包清單窗格視窗中的封包資訊若取消則軟體主視窗更新畫面是沒有動作的
2-78
網路安全
bull Capture Options 常用的欄位設定ndash Name Resolution框
bull 1 Enable MAC name resolution 指定是否將網路卡MAC address 的前三個位元組轉換成製造商名稱
bull 2 Enable network name resolution 指定是否將 IP address轉換成 DNS 網域名稱
bull 3 Enable transport name resolution 指定是否將通信埠號碼 (port numbers)轉成協定名稱 (protocols)bull 各位了解數據從哪裡擷取的概念與操作之後即可以進一步加上附帶條件 (篩選條件 ) 等相關操作方式
數據哪裡來 - Capture功能 (續 )
2-79
網路安全
Wireshark操作手法bull 延續遇到問題的思考方向及軟體操作手法我們可以將操作流程分為兩種
ndash 擷取中過濾 (Filter while capturing)bull 優點僅擷取已知範圍資訊網路流量少bull 缺點需先了解問題類型避免可能有遺漏真正欲擷取資訊之狀況
ndash 檢視中過濾 (Filter packets while viewing)bull 優點不用先預設條件擷取所有封包資訊bull 缺點影響網路流量
先預設欲擷取條件 擷取數據
擷取數據 再篩選欲查詢數據2-80
網路安全
Wireshark操作手法 - 擷取中過濾bull 操作步驟
ndash 點選 Capture 下拉視窗選擇 Capture Filters 即呈現此視窗
bull 操作範例ndash 1於 Filter窗格中選擇 IP
Address 10112ndash 2於 Properties窗格中即顯示該選項的設定值如圖所示為 host 10112ndash 3 即可設定軟體僅針對
10112 的封包作擷取動作 延伸操作思考1 改變 Filter string 值得到什麼結果2 點選 Edit 窗格中的 New 鈕 新增自訂條件 2-81
網路安全
Wireshark操作手法 - 檢視中過濾bull 此步驟即以已擷取封包清單窗格為基礎以過濾條件過濾該清單bull 可直接選擇軟體預設項目如以下操作
ndash 操作步驟bull 點選 Analyze 下拉視窗選擇
Display Filters 即呈現此視窗ndash 操作範例
bull 1於 Filter窗格中選擇 IP Address 10112
bull 2於 Properties窗格中即顯示該選項的設定值如圖所示值為host 10112
bull 3 即可設定軟體僅針對 10112的封包作顯示動作 延伸操作思考1 可否進行進一步自訂設定值
2-82
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 若電腦 IP為 10112 欲篩選出 IP 來源為上述 IP 且協定為 TCP 80port 的所有封包ndash 操作步驟
bull 點選 Expression鈕即出現此視窗ndash 1於 Field name框選擇
IP項目中的 ipsrc - Source
ndash 2於 Relation框選擇 ==ndash 3於 Value [IPV4
address]填 入 10112ndash 4 點選 OK鈕 進階思考方式須考慮到例如是來源資訊是目標資訊是什麼協定等更細部所要之條件
2-83
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 再進行第二篩選條件ndash TCP 80 port
bull 操作步驟ndash 1先於 Filter string 輸入文字框「 ipsrc==
10112」後再加上一個空格及「 and 」再進行一次 Expression條件選擇
2-84
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
ndash 2於 Field name框選擇「 tcpdstport」ndash 3於 Relation框選擇「 ==」ndash 4於 Value框填入「 80」ndash 5 選擇「 OK」鈕
2-85
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 注意 Propeties框內的Filter string欄位值已改變為「 ipsrc == 10112 and tcpdstport == 80」
bull 確認條件正確後點選「 OK 」鈕即可發現已擷取封包清單窗格的項目均為所設定過濾條件過濾過結果2-86
網路安全
bull 可單選單一封包進行更進階查詢封包內容bull 操作方式為
ndash 點選其中一項封包項目點選滑鼠右鍵選擇Follow TCP Stream
Wireshark操作手法 - 檢視中過濾 (續 )
2-87
網路安全
ndash 此畫面即可看出該項 TCP 封包溝通內容Wireshark操作手法 - 檢視中過濾 (續 )
2-88
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 此功能將所擷取的封包清單使用多種方式呈現封包統計資料便於使用者查詢擷取時間內何種封包數量多寡及圖型顯示bull 操作步驟點選 Statistics 下拉視窗即呈現此視窗 顯示有關擷取清單的摘要以階梯式通訊協定列表顯示所擷取的所有封包
在特定 IP間顯示通訊流量顯示單一 IP 來往封包的流量
以時間軸顯示視覺化封包流量圖2-89
網路安全
bull 可查看到一時段內其封包總數與平均每秒傳遞接收封包數等相關資訊讓使用者了解平均一時段內網路流量狀況藉以初步獲得資訊
Wireshark操作手法 - 檢視中過濾 (續 )
2-90
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 讓使用者可透過階梯式封包分類表來查看哪一類封包佔為居多可進一步推測是否該類型封包影響到整體網路或是否有異常或不常見封包類型在網路中傳遞
2-91
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 將該擷取時段內封包清單檔以兩個特定 IP 之間對傳封包為區隔顯示出哪兩個特定 IP間傳遞封包數多寡bull 可讓使用者更進一步研判兩個特定 IP所屬設備傳遞狀況是否異常
2-92
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 將該擷取時段內封包清單檔以特定IP 傳遞封包數為區隔顯示出哪特定IP 傳遞封包數多寡
bull 可讓使用者更進一步研判該特定所屬設備傳遞封包數是否異常作為管制緊急管制或禁止通訊之證明2-93
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 以時間軸顯示視覺化封包流量圖bull 讓使用者可觀察所管理設備資訊流通量以了解設備是否能負荷或作相關調整等處置
2-94
網路安全
FTP 擷取密碼案例bull 於Wireshark軟體選擇 Capture 下拉選單功能項點選 Interfaces 選項
2-95
網路安全
FTP 擷取密碼案例 (續 )
bull 確認欲擷取封包之網卡名稱如紅色底線所示確認後點選 Start鈕
2-96
網路安全
FTP 擷取密碼案例 (續 )
bull 切換至 FTP Client 電腦開啟 FileZilla 程式後連線到 FTP Server 於 Host 填入10123 Username填入 tester Password填入testpw 後點選 Quickconnect鈕
2-97
網路安全
FTP 擷取密碼案例 (續 )
bull 擷取到的封包資訊會顯示於已擷取封包清單窗格內
2-98
網路安全
FTP 擷取密碼案例 (續 )
bull 使用 FTP軟體登入 ftp站後 Wireshark 將擷取到的使用者名稱與密碼如紅框所示
2-99
網路安全
FTP 擷取密碼案例 (續 )
bull 點選已擷取封包清單窗格的密碼資訊列如標示1 的紅框所示即可在封包內容窗格看到該密碼的位元碼如標示 2 的紅框所示
1
2
2-100
網路安全
架設實作 (三 )
Outlook Express 擷取密碼案例
2-101
網路安全
實驗環境介紹bull 以 Testbed建立一實驗相關拓樸及設定如下圖
OEClientOSWindows XP SP3IP 10112執行 Outlook Express
MailServerOSWindows XP SP3IP 10122安裝軟體 ArGoSoft Mail Server
2-102
WiresharkOSWindows XP SP3IP1 10113 IP2 10123安裝軟體 Wireshark
IP1IP2
網路安全
實驗拓樸 on TestbedTWISC- 建立完成的實驗拓樸
2-103
網路安全
郵件伺服器工具 - ArGoSoft Mail Server
bull 版本ndash 1892 Freeware
bull 支援作業平台ndash Windows
bull 下載位址ndash httpwwwsoftkingcomtwsoftdownloadaspfid3=7367
2-104
網路安全
郵件客戶端工具 - Outlook Express
bull 版本ndash 60
bull 支援作業平台ndash Windows
bull 下載位址ndash Windows 內建
2-105
網路安全
bull 安裝及設定郵件伺服器ndash 1下載並執行 ArGoSoft Mail Server軟體點選
Setup鈕
Outlook Express 擷取密碼案例
2-106
網路安全
ndash 1 點選 Next鈕ndash 2 點選 Start Installation鈕
Outlook Express 擷取密碼案例 (續 )
2-107
網路安全
ndash 3 點選 OK鈕ndash 4 點選 Finish鈕完成軟體安裝
Outlook Express 擷取密碼案例 (續 )
2-108
網路安全
ndash 5 點選使用者設定鈕如紅圈所示ndash 6 點選新增鈕如紅框所示
Outlook Express 擷取密碼案例 (續 )
2-109
網路安全
ndash 7填入使用者名稱 (tester) 及密碼 (testpw) 如紅圈所示填寫完成後點選 OK鈕ndash 8 點選 Close鈕關閉使用者設定視窗
Outlook Express 擷取密碼案例 (續 )
2-110
網路安全
ndash 9 點選選項鈕如左側圖中紅色圈所示ndash 10 點選紅色打勾鈕如右側圖中紅色圈所示
2-111
Outlook Express 擷取密碼案例 (續 )
網路安全
ndash 11該軟體會自動選取 DNS Server 待選取後點選 Yes鈕ndash 12 勾選 Allow Relay 選項如紅框所示
2-112
Outlook Express 擷取密碼案例 (續 )
網路安全
Outlook Express 擷取密碼案例 (續 )
bull 設定收信帳號ndash 1 點選 Tools功能選單選擇 Accounts 選項
2-113
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 2 點選 Add鈕選擇 Mail 選項
2-114
網路安全
ndash 3填入 tester 點選 Next鈕ndash 4填入 testertestcom 點選 Next鈕
Outlook Express 擷取密碼案例 (續 )
2-115
網路安全
ndash 5填入 10123 如紅框所示點選 Next鈕ndash 6填入帳號為 tester 及密碼為 testpw 點選 Next鈕
Outlook Express 擷取密碼案例 (續 )
2-116
網路安全
ndash 7 點選 Finish鈕ndash 8 點選 Close鈕
Outlook Express 擷取密碼案例 (續 )
2-117
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 模擬條件準備好後首先準備Wireshark 擷取動作開啟Wireshark
2-118
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 於Wireshark軟體選擇 Capture 下拉選單功能項點選 Interfaces 選項
2-119
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 確認欲擷取封包之網卡名稱如紅色底線所示確認後點選 Start鈕
2-120
網路安全
ndash 當使用者收發 email 時即被 Wireshark攔截封包ndash 有發現到該 Outlook Express帳號密碼是如此清晰可見的嗎
Outlook Express 擷取密碼案例 (續 )
2-121
網路安全
結論bull 學習了 Wireshark及WinDump 兩套網路封包擷取軟體基本概念如同電話側錄概念相同從中複製一連串資訊來分析與了解網路的流量及內容為何bull 當你發現網路速度緩慢等狀況你是否會反應到所學的基本概念來找尋問題所在bull 防範概念由此課程的實例可以了解網路內容如被有心人士擷取所造成的損失相當可觀故你是否有對策有哪些方式你可以應用來防範bull 正確的思考善用對的工具將對解決問題事半功倍
2-122
網路安全 2-123
Module 2-5 封包擷取與分析的專案實作()
網路安全
專案目的bull 建立遠端管理傳遞指令資訊環境bull 利用實際攔截封包操作的方式讓同學了解封包擷取運作與網路資訊流通的顧慮等相關議題
2-124
網路安全
專案描述bull 近年來遠端管理伺服器及網路服務普及光是密碼保護就足夠了嗎是否重點網段須全程加密還是作網段隔離經由此專案實作即可了解不僅部分加密仍有其風險所在網路架構如何規劃將是非常重要的課題bull 參考環境配置圖完成下列要求①環境裡的攔截封包主機是 Windows XP SP3 作業系統而該主機安裝Wireshark軟體②另兩台主機的作業系統亦是 Windows XP SP3 並裝上
MySQL軟體 MySQL帳號為 root 密碼為您的學號 (如 Q3896105)
③在MySQLClient 電腦使用 MySQL Commandline 指令連線至MySQLServer 擷取資料庫資訊
④我們針對這兩台主機傳訊的封包擷取由整個實做中思考如何防範資訊外洩與了解傳訊封包如何流動及運作2-125
網路安全
環境配置圖bull 以 Testbed建立一實驗相關拓樸及設定如下圖
MySQLServerOSWINXP-SP3-CH-pc3000 IP 10123安裝軟體 MySQL
MySQLClientOSWINXP-SP3-CH-pc3000 IP 10112安裝軟體 MySQL
2-126
WireSharkOSWINXP-SP3-CH-pc3000 IP1 10113IP2 10122安裝軟體 Wireshark
IP1IP2
網路安全
作業繳交bull 請參考情境測試發送數個 SQL 指令並將過程與擷取到的封包資訊之截圖列於報告中所有圖表皆需要輔以文字說明bull Deadline 2012312 下午 500 以前bull 作業範圍 Module 2-5 (page 2-128)bull 方式 (參考課程網址 )
ndash 帳號密碼小寫的 (ns100ns100)ndash IP 140116164167
2-127
網路安全
有問題嗎
bull 關於 TestBed 使用上的問題請直接 Email至 twisc-testbed-usergooglegroupscom 將有專人為您服務bull 課程網址
httpitlabeenckuedutwcoursesNS_100indexhtml
2-128
bull 助教資訊 (參考課程網址 )
網路安全
參考資料bull Dienet httplinuxdienetman1wiresharkbull Orebaugh Angela Ramirez Gilbert Burke Josh Pesce Larry Wright
Joshua(2007) Wireshark and Ethereal network protocol analyzer toolkitbull Tony Fortunato(2007) Wireshark Training Retrieved July 22 2009 from
the World Wide Web httpwwwthetechfirmcometherealwiresharkpdfbull WinDump httpwwwwinpcaporgWinDumpbull Wireshark httpwwwwiresharkorgbull Wireshark University httpwwwwiresharktrainingcombull 楊中皇 (民 97年 ) 網路安全理論與實務 (2版 ) 台北市學貫bull 蘇淑茵教授 Wireshark 民國 98年 6月 28日取自 httpmywebnckuedutw~sisou
2-129
網路安全
bull 以 Testbed建立一實驗相關拓樸及設定如下圖SSHClientOSWINXP-SP3-CH-pc3000 IP 10113安裝軟體 putty
SSHServerOSWINXP-SP3-CH-pc3000IP 10123安裝軟體 sshd
實驗環境介紹
2-45
IP1
IP2
WireDumpOSWINXP-SP3-CH-pc3000IP1 10112IP2 10122安裝軟體 WinDump
網路安全
實驗拓樸 on TestbedTWISC- 建立完成的實驗拓樸
2-46
網路安全
SSH連線觀察bull 利用 Putty連線到 SSHServer從中觀察到三向交握建立連線的動作從 SSHClient 端利用 putty連線到SSHServer(10123)的 sshd服務
2-47
網路安全
SSH連線觀察 (續 )
bull SSH 在連線之前會利用三向交握的方式建立連線bull 利用 WinDump觀察 SSH連線動作
ndash 指令 WinDumpexe -N -S -i 4 port 22
三向交握的三個封包三向交握示意圖Server lt- Client SYN 你想連線Server -gt Client SYN ACK 可以我接受Server lt- Client ACK 謝謝
2-48
網路安全
架設實作 (二 )
FTP 擷取密碼案例
2-49
網路安全
FTPClientOSWINXP-SP3-pc3000IP 10112安裝軟體 FileZilla
FTPServerOSWINXP-SP3-pc3000IP 10123安裝軟體 RaidenFTPD
實驗環境介紹bull 以 Testbed建立一實驗相關拓樸及設定如下圖
2-50
IP1IP2
WireSharkOSWINXP-SP3-pc3000IP1 10113IP2 10122安裝軟體 Wireshark
網路安全
實驗拓樸 on TestbedTWISC- 建立完成的實驗拓樸
2-51
網路安全
FTP伺服器工具 - RaidenFTPD
bull 版本ndash 24 build 3720
bull 支援作業平台ndash Windows
bull 下載位址ndash httpwwwraidenmaildcomdownloadraidenftpd2exe
2-52
網路安全
RaidenFTPD 安裝步驟bull 下載Windows平台最新版本檔案下載完成後執行該安裝程式
2-53
網路安全
RaidenFTPD 安裝步驟 (續 )
bull 此步驟使用預設路徑即可按下 Install 進行安裝
2-54
網路安全
RaidenFTPD設定步驟bull 程式開啟畫面如下選擇 Click here to start a new
server 進行 FTP伺服器設定
2-55
網路安全
RaidenFTPD設定步驟 (續 )
bull 此處可設定 Server name與 Server IP 將 Auto IP 取消勾選並將 Server IP設為 10123
2-56
網路安全
RaidenFTPD設定步驟 (續 )
bull 接下來的步驟依照預設值即可
2-57
網路安全
RaidenFTPD設定步驟 (續 )
bull 設定人員帳號與群組按下 Add鈕輸入帳號密碼群組名稱可略過完成後按下 Next 進行下一步驟
2-58
網路安全
RaidenFTPD設定步驟 (續 )
bull 此步驟設定該帳號登入 FTP 時的權限選擇NORMAL 按下 Next 進行下一步驟
2-59
網路安全
RaidenFTPD設定步驟 (續 )
bull 接下來的步驟皆以預設值即可完成設定之後會出現對話視窗顯示您所設定的資訊
2-60
網路安全
FTP 用戶端工具 - Filezilla
bull 版本ndash 328
bull 支援作業平台ndash Windows Linux及Mac
bull 下載位址ndash httpsourceforgenetprojectsfilezillafiles
FileZilla_Client328FileZilla_328_win32zipdownload
2-61
網路安全
Filezilla 安裝步驟bull 執行 Filezilla 安裝程式點選 I agree 鈕
2-62
網路安全
Filezilla 安裝步驟 (續 )
bull 以預設值安裝點選兩次 Next 鈕
2-63
網路安全
Filezilla 安裝步驟 (續 )
bull 以預設值安裝點選 Next 鈕後再點選 Install 鈕
2-64
網路安全
Filezilla 安裝步驟 (續 )
bull 以預設值安裝點選 Next 鈕後再點選 Finish 鈕
2-65
網路安全
封包擷取工具 - Wireshark
bull 版本ndash 165
bull 支援作業平台ndash Windows Linux及 FreeBSD
bull 其他需求ndash 安裝WinPcap 31 以上版本
bull 下載位址ndash httpwiresharkdownloadsriverbedcomwireshark
win32wireshark-win32-165exe
2-66
網路安全
Wireshark 安裝步驟bull 至官方網站下載Windows平台最新版本檔案下載完成後執行該安裝程式
2-67
網路安全
Wireshark 安裝步驟 (續 )
bull 於下一步出現的版權宣告點選 I Agree鈕後繼續下一步驟
2-68
網路安全
Wireshark 安裝步驟 (續 )
bull 此步驟選擇欲安裝的元件以軟體預設勾選之項目安裝
2-69
網路安全
Wireshark 安裝步驟 (續 )
bull 此步驟使用預設路徑即可
2-70
網路安全
Wireshark 安裝步驟 (續 )
bull 此步驟將安裝Windows平台須加裝之套件 -WinPcap 若原系統未安裝過 WinPcap套件請以軟體預設項目安裝之
2-71
網路安全
Wireshark 安裝步驟 (續 )
bull 此步驟代表 Wireshark軟體已安裝完成可點選Finish 鈕或勾選 Run Wireshark 165 隨即使用該套軟體
2-72
網路安全
一般工具列Wireshark軟體介面介紹
2-73
篩選工具列封包清單窗格
封包內容窗格封包位元組窗格
網路安全
Wireshark 使用思考方向bull 遇到網路問題是否觀察網路通道中有異常動作或狀況
ndash 思考方向ndash 反應到擷取數據方法那麼以 Wireshark 擷取使用者需要擷取哪些數據這些數據由使用者電腦哪個裝置來擷取
bull Wireshark操作流程
bull 接下來我們進行軟體操作介紹
解決問題 擷取數據要先做什麼
擷取數據 擷取哪些數據( 過濾條件 )數據哪裡來( 網路介面卡 )
2-74
網路安全
數據哪裡來 - Capture功能bull 一開啟方式
ndash 1 點選快速鈕如紅色圈所示ndash 2 點選 Capture功能表 下拉選單後點選 Optionsndash 3鍵盤快速鍵 Ctrl + K
2-75
網路安全
數據哪裡來 - Capture功能 (續 )
bull 二開啟後顯示 Capture Options 的視窗畫面即可看到所提供的擷取功能選項
2-76
網路安全
數據哪裡來 - Capture功能 (續 )
bull Capture Options 常用的欄位設定ndash Caputure 框
bull 1Interface 會顯示出在系統上所有網路卡但只能選取一個介面作為封包擷取bull 2Capture packets in promiscuous mode 選取此選項就是經過所選取的網路卡的所有封包都會被擷取下來bull 3Capture Filter 指定擷取過濾器運算式擷取想要的特定封包即為擷取中過濾之功能
2-77
網路安全
數據哪裡來 - Capture功能 (續 )
bull Capture Options 常用的欄位設定ndash Display Options 框
bull Update list of packets in real time 指定在擷取封包過程中能夠即時更新已擷取封包清單窗格視窗中的封包資訊若取消則軟體主視窗更新畫面是沒有動作的
2-78
網路安全
bull Capture Options 常用的欄位設定ndash Name Resolution框
bull 1 Enable MAC name resolution 指定是否將網路卡MAC address 的前三個位元組轉換成製造商名稱
bull 2 Enable network name resolution 指定是否將 IP address轉換成 DNS 網域名稱
bull 3 Enable transport name resolution 指定是否將通信埠號碼 (port numbers)轉成協定名稱 (protocols)bull 各位了解數據從哪裡擷取的概念與操作之後即可以進一步加上附帶條件 (篩選條件 ) 等相關操作方式
數據哪裡來 - Capture功能 (續 )
2-79
網路安全
Wireshark操作手法bull 延續遇到問題的思考方向及軟體操作手法我們可以將操作流程分為兩種
ndash 擷取中過濾 (Filter while capturing)bull 優點僅擷取已知範圍資訊網路流量少bull 缺點需先了解問題類型避免可能有遺漏真正欲擷取資訊之狀況
ndash 檢視中過濾 (Filter packets while viewing)bull 優點不用先預設條件擷取所有封包資訊bull 缺點影響網路流量
先預設欲擷取條件 擷取數據
擷取數據 再篩選欲查詢數據2-80
網路安全
Wireshark操作手法 - 擷取中過濾bull 操作步驟
ndash 點選 Capture 下拉視窗選擇 Capture Filters 即呈現此視窗
bull 操作範例ndash 1於 Filter窗格中選擇 IP
Address 10112ndash 2於 Properties窗格中即顯示該選項的設定值如圖所示為 host 10112ndash 3 即可設定軟體僅針對
10112 的封包作擷取動作 延伸操作思考1 改變 Filter string 值得到什麼結果2 點選 Edit 窗格中的 New 鈕 新增自訂條件 2-81
網路安全
Wireshark操作手法 - 檢視中過濾bull 此步驟即以已擷取封包清單窗格為基礎以過濾條件過濾該清單bull 可直接選擇軟體預設項目如以下操作
ndash 操作步驟bull 點選 Analyze 下拉視窗選擇
Display Filters 即呈現此視窗ndash 操作範例
bull 1於 Filter窗格中選擇 IP Address 10112
bull 2於 Properties窗格中即顯示該選項的設定值如圖所示值為host 10112
bull 3 即可設定軟體僅針對 10112的封包作顯示動作 延伸操作思考1 可否進行進一步自訂設定值
2-82
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 若電腦 IP為 10112 欲篩選出 IP 來源為上述 IP 且協定為 TCP 80port 的所有封包ndash 操作步驟
bull 點選 Expression鈕即出現此視窗ndash 1於 Field name框選擇
IP項目中的 ipsrc - Source
ndash 2於 Relation框選擇 ==ndash 3於 Value [IPV4
address]填 入 10112ndash 4 點選 OK鈕 進階思考方式須考慮到例如是來源資訊是目標資訊是什麼協定等更細部所要之條件
2-83
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 再進行第二篩選條件ndash TCP 80 port
bull 操作步驟ndash 1先於 Filter string 輸入文字框「 ipsrc==
10112」後再加上一個空格及「 and 」再進行一次 Expression條件選擇
2-84
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
ndash 2於 Field name框選擇「 tcpdstport」ndash 3於 Relation框選擇「 ==」ndash 4於 Value框填入「 80」ndash 5 選擇「 OK」鈕
2-85
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 注意 Propeties框內的Filter string欄位值已改變為「 ipsrc == 10112 and tcpdstport == 80」
bull 確認條件正確後點選「 OK 」鈕即可發現已擷取封包清單窗格的項目均為所設定過濾條件過濾過結果2-86
網路安全
bull 可單選單一封包進行更進階查詢封包內容bull 操作方式為
ndash 點選其中一項封包項目點選滑鼠右鍵選擇Follow TCP Stream
Wireshark操作手法 - 檢視中過濾 (續 )
2-87
網路安全
ndash 此畫面即可看出該項 TCP 封包溝通內容Wireshark操作手法 - 檢視中過濾 (續 )
2-88
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 此功能將所擷取的封包清單使用多種方式呈現封包統計資料便於使用者查詢擷取時間內何種封包數量多寡及圖型顯示bull 操作步驟點選 Statistics 下拉視窗即呈現此視窗 顯示有關擷取清單的摘要以階梯式通訊協定列表顯示所擷取的所有封包
在特定 IP間顯示通訊流量顯示單一 IP 來往封包的流量
以時間軸顯示視覺化封包流量圖2-89
網路安全
bull 可查看到一時段內其封包總數與平均每秒傳遞接收封包數等相關資訊讓使用者了解平均一時段內網路流量狀況藉以初步獲得資訊
Wireshark操作手法 - 檢視中過濾 (續 )
2-90
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 讓使用者可透過階梯式封包分類表來查看哪一類封包佔為居多可進一步推測是否該類型封包影響到整體網路或是否有異常或不常見封包類型在網路中傳遞
2-91
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 將該擷取時段內封包清單檔以兩個特定 IP 之間對傳封包為區隔顯示出哪兩個特定 IP間傳遞封包數多寡bull 可讓使用者更進一步研判兩個特定 IP所屬設備傳遞狀況是否異常
2-92
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 將該擷取時段內封包清單檔以特定IP 傳遞封包數為區隔顯示出哪特定IP 傳遞封包數多寡
bull 可讓使用者更進一步研判該特定所屬設備傳遞封包數是否異常作為管制緊急管制或禁止通訊之證明2-93
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 以時間軸顯示視覺化封包流量圖bull 讓使用者可觀察所管理設備資訊流通量以了解設備是否能負荷或作相關調整等處置
2-94
網路安全
FTP 擷取密碼案例bull 於Wireshark軟體選擇 Capture 下拉選單功能項點選 Interfaces 選項
2-95
網路安全
FTP 擷取密碼案例 (續 )
bull 確認欲擷取封包之網卡名稱如紅色底線所示確認後點選 Start鈕
2-96
網路安全
FTP 擷取密碼案例 (續 )
bull 切換至 FTP Client 電腦開啟 FileZilla 程式後連線到 FTP Server 於 Host 填入10123 Username填入 tester Password填入testpw 後點選 Quickconnect鈕
2-97
網路安全
FTP 擷取密碼案例 (續 )
bull 擷取到的封包資訊會顯示於已擷取封包清單窗格內
2-98
網路安全
FTP 擷取密碼案例 (續 )
bull 使用 FTP軟體登入 ftp站後 Wireshark 將擷取到的使用者名稱與密碼如紅框所示
2-99
網路安全
FTP 擷取密碼案例 (續 )
bull 點選已擷取封包清單窗格的密碼資訊列如標示1 的紅框所示即可在封包內容窗格看到該密碼的位元碼如標示 2 的紅框所示
1
2
2-100
網路安全
架設實作 (三 )
Outlook Express 擷取密碼案例
2-101
網路安全
實驗環境介紹bull 以 Testbed建立一實驗相關拓樸及設定如下圖
OEClientOSWindows XP SP3IP 10112執行 Outlook Express
MailServerOSWindows XP SP3IP 10122安裝軟體 ArGoSoft Mail Server
2-102
WiresharkOSWindows XP SP3IP1 10113 IP2 10123安裝軟體 Wireshark
IP1IP2
網路安全
實驗拓樸 on TestbedTWISC- 建立完成的實驗拓樸
2-103
網路安全
郵件伺服器工具 - ArGoSoft Mail Server
bull 版本ndash 1892 Freeware
bull 支援作業平台ndash Windows
bull 下載位址ndash httpwwwsoftkingcomtwsoftdownloadaspfid3=7367
2-104
網路安全
郵件客戶端工具 - Outlook Express
bull 版本ndash 60
bull 支援作業平台ndash Windows
bull 下載位址ndash Windows 內建
2-105
網路安全
bull 安裝及設定郵件伺服器ndash 1下載並執行 ArGoSoft Mail Server軟體點選
Setup鈕
Outlook Express 擷取密碼案例
2-106
網路安全
ndash 1 點選 Next鈕ndash 2 點選 Start Installation鈕
Outlook Express 擷取密碼案例 (續 )
2-107
網路安全
ndash 3 點選 OK鈕ndash 4 點選 Finish鈕完成軟體安裝
Outlook Express 擷取密碼案例 (續 )
2-108
網路安全
ndash 5 點選使用者設定鈕如紅圈所示ndash 6 點選新增鈕如紅框所示
Outlook Express 擷取密碼案例 (續 )
2-109
網路安全
ndash 7填入使用者名稱 (tester) 及密碼 (testpw) 如紅圈所示填寫完成後點選 OK鈕ndash 8 點選 Close鈕關閉使用者設定視窗
Outlook Express 擷取密碼案例 (續 )
2-110
網路安全
ndash 9 點選選項鈕如左側圖中紅色圈所示ndash 10 點選紅色打勾鈕如右側圖中紅色圈所示
2-111
Outlook Express 擷取密碼案例 (續 )
網路安全
ndash 11該軟體會自動選取 DNS Server 待選取後點選 Yes鈕ndash 12 勾選 Allow Relay 選項如紅框所示
2-112
Outlook Express 擷取密碼案例 (續 )
網路安全
Outlook Express 擷取密碼案例 (續 )
bull 設定收信帳號ndash 1 點選 Tools功能選單選擇 Accounts 選項
2-113
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 2 點選 Add鈕選擇 Mail 選項
2-114
網路安全
ndash 3填入 tester 點選 Next鈕ndash 4填入 testertestcom 點選 Next鈕
Outlook Express 擷取密碼案例 (續 )
2-115
網路安全
ndash 5填入 10123 如紅框所示點選 Next鈕ndash 6填入帳號為 tester 及密碼為 testpw 點選 Next鈕
Outlook Express 擷取密碼案例 (續 )
2-116
網路安全
ndash 7 點選 Finish鈕ndash 8 點選 Close鈕
Outlook Express 擷取密碼案例 (續 )
2-117
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 模擬條件準備好後首先準備Wireshark 擷取動作開啟Wireshark
2-118
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 於Wireshark軟體選擇 Capture 下拉選單功能項點選 Interfaces 選項
2-119
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 確認欲擷取封包之網卡名稱如紅色底線所示確認後點選 Start鈕
2-120
網路安全
ndash 當使用者收發 email 時即被 Wireshark攔截封包ndash 有發現到該 Outlook Express帳號密碼是如此清晰可見的嗎
Outlook Express 擷取密碼案例 (續 )
2-121
網路安全
結論bull 學習了 Wireshark及WinDump 兩套網路封包擷取軟體基本概念如同電話側錄概念相同從中複製一連串資訊來分析與了解網路的流量及內容為何bull 當你發現網路速度緩慢等狀況你是否會反應到所學的基本概念來找尋問題所在bull 防範概念由此課程的實例可以了解網路內容如被有心人士擷取所造成的損失相當可觀故你是否有對策有哪些方式你可以應用來防範bull 正確的思考善用對的工具將對解決問題事半功倍
2-122
網路安全 2-123
Module 2-5 封包擷取與分析的專案實作()
網路安全
專案目的bull 建立遠端管理傳遞指令資訊環境bull 利用實際攔截封包操作的方式讓同學了解封包擷取運作與網路資訊流通的顧慮等相關議題
2-124
網路安全
專案描述bull 近年來遠端管理伺服器及網路服務普及光是密碼保護就足夠了嗎是否重點網段須全程加密還是作網段隔離經由此專案實作即可了解不僅部分加密仍有其風險所在網路架構如何規劃將是非常重要的課題bull 參考環境配置圖完成下列要求①環境裡的攔截封包主機是 Windows XP SP3 作業系統而該主機安裝Wireshark軟體②另兩台主機的作業系統亦是 Windows XP SP3 並裝上
MySQL軟體 MySQL帳號為 root 密碼為您的學號 (如 Q3896105)
③在MySQLClient 電腦使用 MySQL Commandline 指令連線至MySQLServer 擷取資料庫資訊
④我們針對這兩台主機傳訊的封包擷取由整個實做中思考如何防範資訊外洩與了解傳訊封包如何流動及運作2-125
網路安全
環境配置圖bull 以 Testbed建立一實驗相關拓樸及設定如下圖
MySQLServerOSWINXP-SP3-CH-pc3000 IP 10123安裝軟體 MySQL
MySQLClientOSWINXP-SP3-CH-pc3000 IP 10112安裝軟體 MySQL
2-126
WireSharkOSWINXP-SP3-CH-pc3000 IP1 10113IP2 10122安裝軟體 Wireshark
IP1IP2
網路安全
作業繳交bull 請參考情境測試發送數個 SQL 指令並將過程與擷取到的封包資訊之截圖列於報告中所有圖表皆需要輔以文字說明bull Deadline 2012312 下午 500 以前bull 作業範圍 Module 2-5 (page 2-128)bull 方式 (參考課程網址 )
ndash 帳號密碼小寫的 (ns100ns100)ndash IP 140116164167
2-127
網路安全
有問題嗎
bull 關於 TestBed 使用上的問題請直接 Email至 twisc-testbed-usergooglegroupscom 將有專人為您服務bull 課程網址
httpitlabeenckuedutwcoursesNS_100indexhtml
2-128
bull 助教資訊 (參考課程網址 )
網路安全
參考資料bull Dienet httplinuxdienetman1wiresharkbull Orebaugh Angela Ramirez Gilbert Burke Josh Pesce Larry Wright
Joshua(2007) Wireshark and Ethereal network protocol analyzer toolkitbull Tony Fortunato(2007) Wireshark Training Retrieved July 22 2009 from
the World Wide Web httpwwwthetechfirmcometherealwiresharkpdfbull WinDump httpwwwwinpcaporgWinDumpbull Wireshark httpwwwwiresharkorgbull Wireshark University httpwwwwiresharktrainingcombull 楊中皇 (民 97年 ) 網路安全理論與實務 (2版 ) 台北市學貫bull 蘇淑茵教授 Wireshark 民國 98年 6月 28日取自 httpmywebnckuedutw~sisou
2-129
網路安全
實驗拓樸 on TestbedTWISC- 建立完成的實驗拓樸
2-46
網路安全
SSH連線觀察bull 利用 Putty連線到 SSHServer從中觀察到三向交握建立連線的動作從 SSHClient 端利用 putty連線到SSHServer(10123)的 sshd服務
2-47
網路安全
SSH連線觀察 (續 )
bull SSH 在連線之前會利用三向交握的方式建立連線bull 利用 WinDump觀察 SSH連線動作
ndash 指令 WinDumpexe -N -S -i 4 port 22
三向交握的三個封包三向交握示意圖Server lt- Client SYN 你想連線Server -gt Client SYN ACK 可以我接受Server lt- Client ACK 謝謝
2-48
網路安全
架設實作 (二 )
FTP 擷取密碼案例
2-49
網路安全
FTPClientOSWINXP-SP3-pc3000IP 10112安裝軟體 FileZilla
FTPServerOSWINXP-SP3-pc3000IP 10123安裝軟體 RaidenFTPD
實驗環境介紹bull 以 Testbed建立一實驗相關拓樸及設定如下圖
2-50
IP1IP2
WireSharkOSWINXP-SP3-pc3000IP1 10113IP2 10122安裝軟體 Wireshark
網路安全
實驗拓樸 on TestbedTWISC- 建立完成的實驗拓樸
2-51
網路安全
FTP伺服器工具 - RaidenFTPD
bull 版本ndash 24 build 3720
bull 支援作業平台ndash Windows
bull 下載位址ndash httpwwwraidenmaildcomdownloadraidenftpd2exe
2-52
網路安全
RaidenFTPD 安裝步驟bull 下載Windows平台最新版本檔案下載完成後執行該安裝程式
2-53
網路安全
RaidenFTPD 安裝步驟 (續 )
bull 此步驟使用預設路徑即可按下 Install 進行安裝
2-54
網路安全
RaidenFTPD設定步驟bull 程式開啟畫面如下選擇 Click here to start a new
server 進行 FTP伺服器設定
2-55
網路安全
RaidenFTPD設定步驟 (續 )
bull 此處可設定 Server name與 Server IP 將 Auto IP 取消勾選並將 Server IP設為 10123
2-56
網路安全
RaidenFTPD設定步驟 (續 )
bull 接下來的步驟依照預設值即可
2-57
網路安全
RaidenFTPD設定步驟 (續 )
bull 設定人員帳號與群組按下 Add鈕輸入帳號密碼群組名稱可略過完成後按下 Next 進行下一步驟
2-58
網路安全
RaidenFTPD設定步驟 (續 )
bull 此步驟設定該帳號登入 FTP 時的權限選擇NORMAL 按下 Next 進行下一步驟
2-59
網路安全
RaidenFTPD設定步驟 (續 )
bull 接下來的步驟皆以預設值即可完成設定之後會出現對話視窗顯示您所設定的資訊
2-60
網路安全
FTP 用戶端工具 - Filezilla
bull 版本ndash 328
bull 支援作業平台ndash Windows Linux及Mac
bull 下載位址ndash httpsourceforgenetprojectsfilezillafiles
FileZilla_Client328FileZilla_328_win32zipdownload
2-61
網路安全
Filezilla 安裝步驟bull 執行 Filezilla 安裝程式點選 I agree 鈕
2-62
網路安全
Filezilla 安裝步驟 (續 )
bull 以預設值安裝點選兩次 Next 鈕
2-63
網路安全
Filezilla 安裝步驟 (續 )
bull 以預設值安裝點選 Next 鈕後再點選 Install 鈕
2-64
網路安全
Filezilla 安裝步驟 (續 )
bull 以預設值安裝點選 Next 鈕後再點選 Finish 鈕
2-65
網路安全
封包擷取工具 - Wireshark
bull 版本ndash 165
bull 支援作業平台ndash Windows Linux及 FreeBSD
bull 其他需求ndash 安裝WinPcap 31 以上版本
bull 下載位址ndash httpwiresharkdownloadsriverbedcomwireshark
win32wireshark-win32-165exe
2-66
網路安全
Wireshark 安裝步驟bull 至官方網站下載Windows平台最新版本檔案下載完成後執行該安裝程式
2-67
網路安全
Wireshark 安裝步驟 (續 )
bull 於下一步出現的版權宣告點選 I Agree鈕後繼續下一步驟
2-68
網路安全
Wireshark 安裝步驟 (續 )
bull 此步驟選擇欲安裝的元件以軟體預設勾選之項目安裝
2-69
網路安全
Wireshark 安裝步驟 (續 )
bull 此步驟使用預設路徑即可
2-70
網路安全
Wireshark 安裝步驟 (續 )
bull 此步驟將安裝Windows平台須加裝之套件 -WinPcap 若原系統未安裝過 WinPcap套件請以軟體預設項目安裝之
2-71
網路安全
Wireshark 安裝步驟 (續 )
bull 此步驟代表 Wireshark軟體已安裝完成可點選Finish 鈕或勾選 Run Wireshark 165 隨即使用該套軟體
2-72
網路安全
一般工具列Wireshark軟體介面介紹
2-73
篩選工具列封包清單窗格
封包內容窗格封包位元組窗格
網路安全
Wireshark 使用思考方向bull 遇到網路問題是否觀察網路通道中有異常動作或狀況
ndash 思考方向ndash 反應到擷取數據方法那麼以 Wireshark 擷取使用者需要擷取哪些數據這些數據由使用者電腦哪個裝置來擷取
bull Wireshark操作流程
bull 接下來我們進行軟體操作介紹
解決問題 擷取數據要先做什麼
擷取數據 擷取哪些數據( 過濾條件 )數據哪裡來( 網路介面卡 )
2-74
網路安全
數據哪裡來 - Capture功能bull 一開啟方式
ndash 1 點選快速鈕如紅色圈所示ndash 2 點選 Capture功能表 下拉選單後點選 Optionsndash 3鍵盤快速鍵 Ctrl + K
2-75
網路安全
數據哪裡來 - Capture功能 (續 )
bull 二開啟後顯示 Capture Options 的視窗畫面即可看到所提供的擷取功能選項
2-76
網路安全
數據哪裡來 - Capture功能 (續 )
bull Capture Options 常用的欄位設定ndash Caputure 框
bull 1Interface 會顯示出在系統上所有網路卡但只能選取一個介面作為封包擷取bull 2Capture packets in promiscuous mode 選取此選項就是經過所選取的網路卡的所有封包都會被擷取下來bull 3Capture Filter 指定擷取過濾器運算式擷取想要的特定封包即為擷取中過濾之功能
2-77
網路安全
數據哪裡來 - Capture功能 (續 )
bull Capture Options 常用的欄位設定ndash Display Options 框
bull Update list of packets in real time 指定在擷取封包過程中能夠即時更新已擷取封包清單窗格視窗中的封包資訊若取消則軟體主視窗更新畫面是沒有動作的
2-78
網路安全
bull Capture Options 常用的欄位設定ndash Name Resolution框
bull 1 Enable MAC name resolution 指定是否將網路卡MAC address 的前三個位元組轉換成製造商名稱
bull 2 Enable network name resolution 指定是否將 IP address轉換成 DNS 網域名稱
bull 3 Enable transport name resolution 指定是否將通信埠號碼 (port numbers)轉成協定名稱 (protocols)bull 各位了解數據從哪裡擷取的概念與操作之後即可以進一步加上附帶條件 (篩選條件 ) 等相關操作方式
數據哪裡來 - Capture功能 (續 )
2-79
網路安全
Wireshark操作手法bull 延續遇到問題的思考方向及軟體操作手法我們可以將操作流程分為兩種
ndash 擷取中過濾 (Filter while capturing)bull 優點僅擷取已知範圍資訊網路流量少bull 缺點需先了解問題類型避免可能有遺漏真正欲擷取資訊之狀況
ndash 檢視中過濾 (Filter packets while viewing)bull 優點不用先預設條件擷取所有封包資訊bull 缺點影響網路流量
先預設欲擷取條件 擷取數據
擷取數據 再篩選欲查詢數據2-80
網路安全
Wireshark操作手法 - 擷取中過濾bull 操作步驟
ndash 點選 Capture 下拉視窗選擇 Capture Filters 即呈現此視窗
bull 操作範例ndash 1於 Filter窗格中選擇 IP
Address 10112ndash 2於 Properties窗格中即顯示該選項的設定值如圖所示為 host 10112ndash 3 即可設定軟體僅針對
10112 的封包作擷取動作 延伸操作思考1 改變 Filter string 值得到什麼結果2 點選 Edit 窗格中的 New 鈕 新增自訂條件 2-81
網路安全
Wireshark操作手法 - 檢視中過濾bull 此步驟即以已擷取封包清單窗格為基礎以過濾條件過濾該清單bull 可直接選擇軟體預設項目如以下操作
ndash 操作步驟bull 點選 Analyze 下拉視窗選擇
Display Filters 即呈現此視窗ndash 操作範例
bull 1於 Filter窗格中選擇 IP Address 10112
bull 2於 Properties窗格中即顯示該選項的設定值如圖所示值為host 10112
bull 3 即可設定軟體僅針對 10112的封包作顯示動作 延伸操作思考1 可否進行進一步自訂設定值
2-82
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 若電腦 IP為 10112 欲篩選出 IP 來源為上述 IP 且協定為 TCP 80port 的所有封包ndash 操作步驟
bull 點選 Expression鈕即出現此視窗ndash 1於 Field name框選擇
IP項目中的 ipsrc - Source
ndash 2於 Relation框選擇 ==ndash 3於 Value [IPV4
address]填 入 10112ndash 4 點選 OK鈕 進階思考方式須考慮到例如是來源資訊是目標資訊是什麼協定等更細部所要之條件
2-83
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 再進行第二篩選條件ndash TCP 80 port
bull 操作步驟ndash 1先於 Filter string 輸入文字框「 ipsrc==
10112」後再加上一個空格及「 and 」再進行一次 Expression條件選擇
2-84
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
ndash 2於 Field name框選擇「 tcpdstport」ndash 3於 Relation框選擇「 ==」ndash 4於 Value框填入「 80」ndash 5 選擇「 OK」鈕
2-85
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 注意 Propeties框內的Filter string欄位值已改變為「 ipsrc == 10112 and tcpdstport == 80」
bull 確認條件正確後點選「 OK 」鈕即可發現已擷取封包清單窗格的項目均為所設定過濾條件過濾過結果2-86
網路安全
bull 可單選單一封包進行更進階查詢封包內容bull 操作方式為
ndash 點選其中一項封包項目點選滑鼠右鍵選擇Follow TCP Stream
Wireshark操作手法 - 檢視中過濾 (續 )
2-87
網路安全
ndash 此畫面即可看出該項 TCP 封包溝通內容Wireshark操作手法 - 檢視中過濾 (續 )
2-88
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 此功能將所擷取的封包清單使用多種方式呈現封包統計資料便於使用者查詢擷取時間內何種封包數量多寡及圖型顯示bull 操作步驟點選 Statistics 下拉視窗即呈現此視窗 顯示有關擷取清單的摘要以階梯式通訊協定列表顯示所擷取的所有封包
在特定 IP間顯示通訊流量顯示單一 IP 來往封包的流量
以時間軸顯示視覺化封包流量圖2-89
網路安全
bull 可查看到一時段內其封包總數與平均每秒傳遞接收封包數等相關資訊讓使用者了解平均一時段內網路流量狀況藉以初步獲得資訊
Wireshark操作手法 - 檢視中過濾 (續 )
2-90
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 讓使用者可透過階梯式封包分類表來查看哪一類封包佔為居多可進一步推測是否該類型封包影響到整體網路或是否有異常或不常見封包類型在網路中傳遞
2-91
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 將該擷取時段內封包清單檔以兩個特定 IP 之間對傳封包為區隔顯示出哪兩個特定 IP間傳遞封包數多寡bull 可讓使用者更進一步研判兩個特定 IP所屬設備傳遞狀況是否異常
2-92
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 將該擷取時段內封包清單檔以特定IP 傳遞封包數為區隔顯示出哪特定IP 傳遞封包數多寡
bull 可讓使用者更進一步研判該特定所屬設備傳遞封包數是否異常作為管制緊急管制或禁止通訊之證明2-93
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 以時間軸顯示視覺化封包流量圖bull 讓使用者可觀察所管理設備資訊流通量以了解設備是否能負荷或作相關調整等處置
2-94
網路安全
FTP 擷取密碼案例bull 於Wireshark軟體選擇 Capture 下拉選單功能項點選 Interfaces 選項
2-95
網路安全
FTP 擷取密碼案例 (續 )
bull 確認欲擷取封包之網卡名稱如紅色底線所示確認後點選 Start鈕
2-96
網路安全
FTP 擷取密碼案例 (續 )
bull 切換至 FTP Client 電腦開啟 FileZilla 程式後連線到 FTP Server 於 Host 填入10123 Username填入 tester Password填入testpw 後點選 Quickconnect鈕
2-97
網路安全
FTP 擷取密碼案例 (續 )
bull 擷取到的封包資訊會顯示於已擷取封包清單窗格內
2-98
網路安全
FTP 擷取密碼案例 (續 )
bull 使用 FTP軟體登入 ftp站後 Wireshark 將擷取到的使用者名稱與密碼如紅框所示
2-99
網路安全
FTP 擷取密碼案例 (續 )
bull 點選已擷取封包清單窗格的密碼資訊列如標示1 的紅框所示即可在封包內容窗格看到該密碼的位元碼如標示 2 的紅框所示
1
2
2-100
網路安全
架設實作 (三 )
Outlook Express 擷取密碼案例
2-101
網路安全
實驗環境介紹bull 以 Testbed建立一實驗相關拓樸及設定如下圖
OEClientOSWindows XP SP3IP 10112執行 Outlook Express
MailServerOSWindows XP SP3IP 10122安裝軟體 ArGoSoft Mail Server
2-102
WiresharkOSWindows XP SP3IP1 10113 IP2 10123安裝軟體 Wireshark
IP1IP2
網路安全
實驗拓樸 on TestbedTWISC- 建立完成的實驗拓樸
2-103
網路安全
郵件伺服器工具 - ArGoSoft Mail Server
bull 版本ndash 1892 Freeware
bull 支援作業平台ndash Windows
bull 下載位址ndash httpwwwsoftkingcomtwsoftdownloadaspfid3=7367
2-104
網路安全
郵件客戶端工具 - Outlook Express
bull 版本ndash 60
bull 支援作業平台ndash Windows
bull 下載位址ndash Windows 內建
2-105
網路安全
bull 安裝及設定郵件伺服器ndash 1下載並執行 ArGoSoft Mail Server軟體點選
Setup鈕
Outlook Express 擷取密碼案例
2-106
網路安全
ndash 1 點選 Next鈕ndash 2 點選 Start Installation鈕
Outlook Express 擷取密碼案例 (續 )
2-107
網路安全
ndash 3 點選 OK鈕ndash 4 點選 Finish鈕完成軟體安裝
Outlook Express 擷取密碼案例 (續 )
2-108
網路安全
ndash 5 點選使用者設定鈕如紅圈所示ndash 6 點選新增鈕如紅框所示
Outlook Express 擷取密碼案例 (續 )
2-109
網路安全
ndash 7填入使用者名稱 (tester) 及密碼 (testpw) 如紅圈所示填寫完成後點選 OK鈕ndash 8 點選 Close鈕關閉使用者設定視窗
Outlook Express 擷取密碼案例 (續 )
2-110
網路安全
ndash 9 點選選項鈕如左側圖中紅色圈所示ndash 10 點選紅色打勾鈕如右側圖中紅色圈所示
2-111
Outlook Express 擷取密碼案例 (續 )
網路安全
ndash 11該軟體會自動選取 DNS Server 待選取後點選 Yes鈕ndash 12 勾選 Allow Relay 選項如紅框所示
2-112
Outlook Express 擷取密碼案例 (續 )
網路安全
Outlook Express 擷取密碼案例 (續 )
bull 設定收信帳號ndash 1 點選 Tools功能選單選擇 Accounts 選項
2-113
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 2 點選 Add鈕選擇 Mail 選項
2-114
網路安全
ndash 3填入 tester 點選 Next鈕ndash 4填入 testertestcom 點選 Next鈕
Outlook Express 擷取密碼案例 (續 )
2-115
網路安全
ndash 5填入 10123 如紅框所示點選 Next鈕ndash 6填入帳號為 tester 及密碼為 testpw 點選 Next鈕
Outlook Express 擷取密碼案例 (續 )
2-116
網路安全
ndash 7 點選 Finish鈕ndash 8 點選 Close鈕
Outlook Express 擷取密碼案例 (續 )
2-117
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 模擬條件準備好後首先準備Wireshark 擷取動作開啟Wireshark
2-118
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 於Wireshark軟體選擇 Capture 下拉選單功能項點選 Interfaces 選項
2-119
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 確認欲擷取封包之網卡名稱如紅色底線所示確認後點選 Start鈕
2-120
網路安全
ndash 當使用者收發 email 時即被 Wireshark攔截封包ndash 有發現到該 Outlook Express帳號密碼是如此清晰可見的嗎
Outlook Express 擷取密碼案例 (續 )
2-121
網路安全
結論bull 學習了 Wireshark及WinDump 兩套網路封包擷取軟體基本概念如同電話側錄概念相同從中複製一連串資訊來分析與了解網路的流量及內容為何bull 當你發現網路速度緩慢等狀況你是否會反應到所學的基本概念來找尋問題所在bull 防範概念由此課程的實例可以了解網路內容如被有心人士擷取所造成的損失相當可觀故你是否有對策有哪些方式你可以應用來防範bull 正確的思考善用對的工具將對解決問題事半功倍
2-122
網路安全 2-123
Module 2-5 封包擷取與分析的專案實作()
網路安全
專案目的bull 建立遠端管理傳遞指令資訊環境bull 利用實際攔截封包操作的方式讓同學了解封包擷取運作與網路資訊流通的顧慮等相關議題
2-124
網路安全
專案描述bull 近年來遠端管理伺服器及網路服務普及光是密碼保護就足夠了嗎是否重點網段須全程加密還是作網段隔離經由此專案實作即可了解不僅部分加密仍有其風險所在網路架構如何規劃將是非常重要的課題bull 參考環境配置圖完成下列要求①環境裡的攔截封包主機是 Windows XP SP3 作業系統而該主機安裝Wireshark軟體②另兩台主機的作業系統亦是 Windows XP SP3 並裝上
MySQL軟體 MySQL帳號為 root 密碼為您的學號 (如 Q3896105)
③在MySQLClient 電腦使用 MySQL Commandline 指令連線至MySQLServer 擷取資料庫資訊
④我們針對這兩台主機傳訊的封包擷取由整個實做中思考如何防範資訊外洩與了解傳訊封包如何流動及運作2-125
網路安全
環境配置圖bull 以 Testbed建立一實驗相關拓樸及設定如下圖
MySQLServerOSWINXP-SP3-CH-pc3000 IP 10123安裝軟體 MySQL
MySQLClientOSWINXP-SP3-CH-pc3000 IP 10112安裝軟體 MySQL
2-126
WireSharkOSWINXP-SP3-CH-pc3000 IP1 10113IP2 10122安裝軟體 Wireshark
IP1IP2
網路安全
作業繳交bull 請參考情境測試發送數個 SQL 指令並將過程與擷取到的封包資訊之截圖列於報告中所有圖表皆需要輔以文字說明bull Deadline 2012312 下午 500 以前bull 作業範圍 Module 2-5 (page 2-128)bull 方式 (參考課程網址 )
ndash 帳號密碼小寫的 (ns100ns100)ndash IP 140116164167
2-127
網路安全
有問題嗎
bull 關於 TestBed 使用上的問題請直接 Email至 twisc-testbed-usergooglegroupscom 將有專人為您服務bull 課程網址
httpitlabeenckuedutwcoursesNS_100indexhtml
2-128
bull 助教資訊 (參考課程網址 )
網路安全
參考資料bull Dienet httplinuxdienetman1wiresharkbull Orebaugh Angela Ramirez Gilbert Burke Josh Pesce Larry Wright
Joshua(2007) Wireshark and Ethereal network protocol analyzer toolkitbull Tony Fortunato(2007) Wireshark Training Retrieved July 22 2009 from
the World Wide Web httpwwwthetechfirmcometherealwiresharkpdfbull WinDump httpwwwwinpcaporgWinDumpbull Wireshark httpwwwwiresharkorgbull Wireshark University httpwwwwiresharktrainingcombull 楊中皇 (民 97年 ) 網路安全理論與實務 (2版 ) 台北市學貫bull 蘇淑茵教授 Wireshark 民國 98年 6月 28日取自 httpmywebnckuedutw~sisou
2-129
網路安全
SSH連線觀察bull 利用 Putty連線到 SSHServer從中觀察到三向交握建立連線的動作從 SSHClient 端利用 putty連線到SSHServer(10123)的 sshd服務
2-47
網路安全
SSH連線觀察 (續 )
bull SSH 在連線之前會利用三向交握的方式建立連線bull 利用 WinDump觀察 SSH連線動作
ndash 指令 WinDumpexe -N -S -i 4 port 22
三向交握的三個封包三向交握示意圖Server lt- Client SYN 你想連線Server -gt Client SYN ACK 可以我接受Server lt- Client ACK 謝謝
2-48
網路安全
架設實作 (二 )
FTP 擷取密碼案例
2-49
網路安全
FTPClientOSWINXP-SP3-pc3000IP 10112安裝軟體 FileZilla
FTPServerOSWINXP-SP3-pc3000IP 10123安裝軟體 RaidenFTPD
實驗環境介紹bull 以 Testbed建立一實驗相關拓樸及設定如下圖
2-50
IP1IP2
WireSharkOSWINXP-SP3-pc3000IP1 10113IP2 10122安裝軟體 Wireshark
網路安全
實驗拓樸 on TestbedTWISC- 建立完成的實驗拓樸
2-51
網路安全
FTP伺服器工具 - RaidenFTPD
bull 版本ndash 24 build 3720
bull 支援作業平台ndash Windows
bull 下載位址ndash httpwwwraidenmaildcomdownloadraidenftpd2exe
2-52
網路安全
RaidenFTPD 安裝步驟bull 下載Windows平台最新版本檔案下載完成後執行該安裝程式
2-53
網路安全
RaidenFTPD 安裝步驟 (續 )
bull 此步驟使用預設路徑即可按下 Install 進行安裝
2-54
網路安全
RaidenFTPD設定步驟bull 程式開啟畫面如下選擇 Click here to start a new
server 進行 FTP伺服器設定
2-55
網路安全
RaidenFTPD設定步驟 (續 )
bull 此處可設定 Server name與 Server IP 將 Auto IP 取消勾選並將 Server IP設為 10123
2-56
網路安全
RaidenFTPD設定步驟 (續 )
bull 接下來的步驟依照預設值即可
2-57
網路安全
RaidenFTPD設定步驟 (續 )
bull 設定人員帳號與群組按下 Add鈕輸入帳號密碼群組名稱可略過完成後按下 Next 進行下一步驟
2-58
網路安全
RaidenFTPD設定步驟 (續 )
bull 此步驟設定該帳號登入 FTP 時的權限選擇NORMAL 按下 Next 進行下一步驟
2-59
網路安全
RaidenFTPD設定步驟 (續 )
bull 接下來的步驟皆以預設值即可完成設定之後會出現對話視窗顯示您所設定的資訊
2-60
網路安全
FTP 用戶端工具 - Filezilla
bull 版本ndash 328
bull 支援作業平台ndash Windows Linux及Mac
bull 下載位址ndash httpsourceforgenetprojectsfilezillafiles
FileZilla_Client328FileZilla_328_win32zipdownload
2-61
網路安全
Filezilla 安裝步驟bull 執行 Filezilla 安裝程式點選 I agree 鈕
2-62
網路安全
Filezilla 安裝步驟 (續 )
bull 以預設值安裝點選兩次 Next 鈕
2-63
網路安全
Filezilla 安裝步驟 (續 )
bull 以預設值安裝點選 Next 鈕後再點選 Install 鈕
2-64
網路安全
Filezilla 安裝步驟 (續 )
bull 以預設值安裝點選 Next 鈕後再點選 Finish 鈕
2-65
網路安全
封包擷取工具 - Wireshark
bull 版本ndash 165
bull 支援作業平台ndash Windows Linux及 FreeBSD
bull 其他需求ndash 安裝WinPcap 31 以上版本
bull 下載位址ndash httpwiresharkdownloadsriverbedcomwireshark
win32wireshark-win32-165exe
2-66
網路安全
Wireshark 安裝步驟bull 至官方網站下載Windows平台最新版本檔案下載完成後執行該安裝程式
2-67
網路安全
Wireshark 安裝步驟 (續 )
bull 於下一步出現的版權宣告點選 I Agree鈕後繼續下一步驟
2-68
網路安全
Wireshark 安裝步驟 (續 )
bull 此步驟選擇欲安裝的元件以軟體預設勾選之項目安裝
2-69
網路安全
Wireshark 安裝步驟 (續 )
bull 此步驟使用預設路徑即可
2-70
網路安全
Wireshark 安裝步驟 (續 )
bull 此步驟將安裝Windows平台須加裝之套件 -WinPcap 若原系統未安裝過 WinPcap套件請以軟體預設項目安裝之
2-71
網路安全
Wireshark 安裝步驟 (續 )
bull 此步驟代表 Wireshark軟體已安裝完成可點選Finish 鈕或勾選 Run Wireshark 165 隨即使用該套軟體
2-72
網路安全
一般工具列Wireshark軟體介面介紹
2-73
篩選工具列封包清單窗格
封包內容窗格封包位元組窗格
網路安全
Wireshark 使用思考方向bull 遇到網路問題是否觀察網路通道中有異常動作或狀況
ndash 思考方向ndash 反應到擷取數據方法那麼以 Wireshark 擷取使用者需要擷取哪些數據這些數據由使用者電腦哪個裝置來擷取
bull Wireshark操作流程
bull 接下來我們進行軟體操作介紹
解決問題 擷取數據要先做什麼
擷取數據 擷取哪些數據( 過濾條件 )數據哪裡來( 網路介面卡 )
2-74
網路安全
數據哪裡來 - Capture功能bull 一開啟方式
ndash 1 點選快速鈕如紅色圈所示ndash 2 點選 Capture功能表 下拉選單後點選 Optionsndash 3鍵盤快速鍵 Ctrl + K
2-75
網路安全
數據哪裡來 - Capture功能 (續 )
bull 二開啟後顯示 Capture Options 的視窗畫面即可看到所提供的擷取功能選項
2-76
網路安全
數據哪裡來 - Capture功能 (續 )
bull Capture Options 常用的欄位設定ndash Caputure 框
bull 1Interface 會顯示出在系統上所有網路卡但只能選取一個介面作為封包擷取bull 2Capture packets in promiscuous mode 選取此選項就是經過所選取的網路卡的所有封包都會被擷取下來bull 3Capture Filter 指定擷取過濾器運算式擷取想要的特定封包即為擷取中過濾之功能
2-77
網路安全
數據哪裡來 - Capture功能 (續 )
bull Capture Options 常用的欄位設定ndash Display Options 框
bull Update list of packets in real time 指定在擷取封包過程中能夠即時更新已擷取封包清單窗格視窗中的封包資訊若取消則軟體主視窗更新畫面是沒有動作的
2-78
網路安全
bull Capture Options 常用的欄位設定ndash Name Resolution框
bull 1 Enable MAC name resolution 指定是否將網路卡MAC address 的前三個位元組轉換成製造商名稱
bull 2 Enable network name resolution 指定是否將 IP address轉換成 DNS 網域名稱
bull 3 Enable transport name resolution 指定是否將通信埠號碼 (port numbers)轉成協定名稱 (protocols)bull 各位了解數據從哪裡擷取的概念與操作之後即可以進一步加上附帶條件 (篩選條件 ) 等相關操作方式
數據哪裡來 - Capture功能 (續 )
2-79
網路安全
Wireshark操作手法bull 延續遇到問題的思考方向及軟體操作手法我們可以將操作流程分為兩種
ndash 擷取中過濾 (Filter while capturing)bull 優點僅擷取已知範圍資訊網路流量少bull 缺點需先了解問題類型避免可能有遺漏真正欲擷取資訊之狀況
ndash 檢視中過濾 (Filter packets while viewing)bull 優點不用先預設條件擷取所有封包資訊bull 缺點影響網路流量
先預設欲擷取條件 擷取數據
擷取數據 再篩選欲查詢數據2-80
網路安全
Wireshark操作手法 - 擷取中過濾bull 操作步驟
ndash 點選 Capture 下拉視窗選擇 Capture Filters 即呈現此視窗
bull 操作範例ndash 1於 Filter窗格中選擇 IP
Address 10112ndash 2於 Properties窗格中即顯示該選項的設定值如圖所示為 host 10112ndash 3 即可設定軟體僅針對
10112 的封包作擷取動作 延伸操作思考1 改變 Filter string 值得到什麼結果2 點選 Edit 窗格中的 New 鈕 新增自訂條件 2-81
網路安全
Wireshark操作手法 - 檢視中過濾bull 此步驟即以已擷取封包清單窗格為基礎以過濾條件過濾該清單bull 可直接選擇軟體預設項目如以下操作
ndash 操作步驟bull 點選 Analyze 下拉視窗選擇
Display Filters 即呈現此視窗ndash 操作範例
bull 1於 Filter窗格中選擇 IP Address 10112
bull 2於 Properties窗格中即顯示該選項的設定值如圖所示值為host 10112
bull 3 即可設定軟體僅針對 10112的封包作顯示動作 延伸操作思考1 可否進行進一步自訂設定值
2-82
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 若電腦 IP為 10112 欲篩選出 IP 來源為上述 IP 且協定為 TCP 80port 的所有封包ndash 操作步驟
bull 點選 Expression鈕即出現此視窗ndash 1於 Field name框選擇
IP項目中的 ipsrc - Source
ndash 2於 Relation框選擇 ==ndash 3於 Value [IPV4
address]填 入 10112ndash 4 點選 OK鈕 進階思考方式須考慮到例如是來源資訊是目標資訊是什麼協定等更細部所要之條件
2-83
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 再進行第二篩選條件ndash TCP 80 port
bull 操作步驟ndash 1先於 Filter string 輸入文字框「 ipsrc==
10112」後再加上一個空格及「 and 」再進行一次 Expression條件選擇
2-84
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
ndash 2於 Field name框選擇「 tcpdstport」ndash 3於 Relation框選擇「 ==」ndash 4於 Value框填入「 80」ndash 5 選擇「 OK」鈕
2-85
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 注意 Propeties框內的Filter string欄位值已改變為「 ipsrc == 10112 and tcpdstport == 80」
bull 確認條件正確後點選「 OK 」鈕即可發現已擷取封包清單窗格的項目均為所設定過濾條件過濾過結果2-86
網路安全
bull 可單選單一封包進行更進階查詢封包內容bull 操作方式為
ndash 點選其中一項封包項目點選滑鼠右鍵選擇Follow TCP Stream
Wireshark操作手法 - 檢視中過濾 (續 )
2-87
網路安全
ndash 此畫面即可看出該項 TCP 封包溝通內容Wireshark操作手法 - 檢視中過濾 (續 )
2-88
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 此功能將所擷取的封包清單使用多種方式呈現封包統計資料便於使用者查詢擷取時間內何種封包數量多寡及圖型顯示bull 操作步驟點選 Statistics 下拉視窗即呈現此視窗 顯示有關擷取清單的摘要以階梯式通訊協定列表顯示所擷取的所有封包
在特定 IP間顯示通訊流量顯示單一 IP 來往封包的流量
以時間軸顯示視覺化封包流量圖2-89
網路安全
bull 可查看到一時段內其封包總數與平均每秒傳遞接收封包數等相關資訊讓使用者了解平均一時段內網路流量狀況藉以初步獲得資訊
Wireshark操作手法 - 檢視中過濾 (續 )
2-90
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 讓使用者可透過階梯式封包分類表來查看哪一類封包佔為居多可進一步推測是否該類型封包影響到整體網路或是否有異常或不常見封包類型在網路中傳遞
2-91
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 將該擷取時段內封包清單檔以兩個特定 IP 之間對傳封包為區隔顯示出哪兩個特定 IP間傳遞封包數多寡bull 可讓使用者更進一步研判兩個特定 IP所屬設備傳遞狀況是否異常
2-92
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 將該擷取時段內封包清單檔以特定IP 傳遞封包數為區隔顯示出哪特定IP 傳遞封包數多寡
bull 可讓使用者更進一步研判該特定所屬設備傳遞封包數是否異常作為管制緊急管制或禁止通訊之證明2-93
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 以時間軸顯示視覺化封包流量圖bull 讓使用者可觀察所管理設備資訊流通量以了解設備是否能負荷或作相關調整等處置
2-94
網路安全
FTP 擷取密碼案例bull 於Wireshark軟體選擇 Capture 下拉選單功能項點選 Interfaces 選項
2-95
網路安全
FTP 擷取密碼案例 (續 )
bull 確認欲擷取封包之網卡名稱如紅色底線所示確認後點選 Start鈕
2-96
網路安全
FTP 擷取密碼案例 (續 )
bull 切換至 FTP Client 電腦開啟 FileZilla 程式後連線到 FTP Server 於 Host 填入10123 Username填入 tester Password填入testpw 後點選 Quickconnect鈕
2-97
網路安全
FTP 擷取密碼案例 (續 )
bull 擷取到的封包資訊會顯示於已擷取封包清單窗格內
2-98
網路安全
FTP 擷取密碼案例 (續 )
bull 使用 FTP軟體登入 ftp站後 Wireshark 將擷取到的使用者名稱與密碼如紅框所示
2-99
網路安全
FTP 擷取密碼案例 (續 )
bull 點選已擷取封包清單窗格的密碼資訊列如標示1 的紅框所示即可在封包內容窗格看到該密碼的位元碼如標示 2 的紅框所示
1
2
2-100
網路安全
架設實作 (三 )
Outlook Express 擷取密碼案例
2-101
網路安全
實驗環境介紹bull 以 Testbed建立一實驗相關拓樸及設定如下圖
OEClientOSWindows XP SP3IP 10112執行 Outlook Express
MailServerOSWindows XP SP3IP 10122安裝軟體 ArGoSoft Mail Server
2-102
WiresharkOSWindows XP SP3IP1 10113 IP2 10123安裝軟體 Wireshark
IP1IP2
網路安全
實驗拓樸 on TestbedTWISC- 建立完成的實驗拓樸
2-103
網路安全
郵件伺服器工具 - ArGoSoft Mail Server
bull 版本ndash 1892 Freeware
bull 支援作業平台ndash Windows
bull 下載位址ndash httpwwwsoftkingcomtwsoftdownloadaspfid3=7367
2-104
網路安全
郵件客戶端工具 - Outlook Express
bull 版本ndash 60
bull 支援作業平台ndash Windows
bull 下載位址ndash Windows 內建
2-105
網路安全
bull 安裝及設定郵件伺服器ndash 1下載並執行 ArGoSoft Mail Server軟體點選
Setup鈕
Outlook Express 擷取密碼案例
2-106
網路安全
ndash 1 點選 Next鈕ndash 2 點選 Start Installation鈕
Outlook Express 擷取密碼案例 (續 )
2-107
網路安全
ndash 3 點選 OK鈕ndash 4 點選 Finish鈕完成軟體安裝
Outlook Express 擷取密碼案例 (續 )
2-108
網路安全
ndash 5 點選使用者設定鈕如紅圈所示ndash 6 點選新增鈕如紅框所示
Outlook Express 擷取密碼案例 (續 )
2-109
網路安全
ndash 7填入使用者名稱 (tester) 及密碼 (testpw) 如紅圈所示填寫完成後點選 OK鈕ndash 8 點選 Close鈕關閉使用者設定視窗
Outlook Express 擷取密碼案例 (續 )
2-110
網路安全
ndash 9 點選選項鈕如左側圖中紅色圈所示ndash 10 點選紅色打勾鈕如右側圖中紅色圈所示
2-111
Outlook Express 擷取密碼案例 (續 )
網路安全
ndash 11該軟體會自動選取 DNS Server 待選取後點選 Yes鈕ndash 12 勾選 Allow Relay 選項如紅框所示
2-112
Outlook Express 擷取密碼案例 (續 )
網路安全
Outlook Express 擷取密碼案例 (續 )
bull 設定收信帳號ndash 1 點選 Tools功能選單選擇 Accounts 選項
2-113
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 2 點選 Add鈕選擇 Mail 選項
2-114
網路安全
ndash 3填入 tester 點選 Next鈕ndash 4填入 testertestcom 點選 Next鈕
Outlook Express 擷取密碼案例 (續 )
2-115
網路安全
ndash 5填入 10123 如紅框所示點選 Next鈕ndash 6填入帳號為 tester 及密碼為 testpw 點選 Next鈕
Outlook Express 擷取密碼案例 (續 )
2-116
網路安全
ndash 7 點選 Finish鈕ndash 8 點選 Close鈕
Outlook Express 擷取密碼案例 (續 )
2-117
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 模擬條件準備好後首先準備Wireshark 擷取動作開啟Wireshark
2-118
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 於Wireshark軟體選擇 Capture 下拉選單功能項點選 Interfaces 選項
2-119
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 確認欲擷取封包之網卡名稱如紅色底線所示確認後點選 Start鈕
2-120
網路安全
ndash 當使用者收發 email 時即被 Wireshark攔截封包ndash 有發現到該 Outlook Express帳號密碼是如此清晰可見的嗎
Outlook Express 擷取密碼案例 (續 )
2-121
網路安全
結論bull 學習了 Wireshark及WinDump 兩套網路封包擷取軟體基本概念如同電話側錄概念相同從中複製一連串資訊來分析與了解網路的流量及內容為何bull 當你發現網路速度緩慢等狀況你是否會反應到所學的基本概念來找尋問題所在bull 防範概念由此課程的實例可以了解網路內容如被有心人士擷取所造成的損失相當可觀故你是否有對策有哪些方式你可以應用來防範bull 正確的思考善用對的工具將對解決問題事半功倍
2-122
網路安全 2-123
Module 2-5 封包擷取與分析的專案實作()
網路安全
專案目的bull 建立遠端管理傳遞指令資訊環境bull 利用實際攔截封包操作的方式讓同學了解封包擷取運作與網路資訊流通的顧慮等相關議題
2-124
網路安全
專案描述bull 近年來遠端管理伺服器及網路服務普及光是密碼保護就足夠了嗎是否重點網段須全程加密還是作網段隔離經由此專案實作即可了解不僅部分加密仍有其風險所在網路架構如何規劃將是非常重要的課題bull 參考環境配置圖完成下列要求①環境裡的攔截封包主機是 Windows XP SP3 作業系統而該主機安裝Wireshark軟體②另兩台主機的作業系統亦是 Windows XP SP3 並裝上
MySQL軟體 MySQL帳號為 root 密碼為您的學號 (如 Q3896105)
③在MySQLClient 電腦使用 MySQL Commandline 指令連線至MySQLServer 擷取資料庫資訊
④我們針對這兩台主機傳訊的封包擷取由整個實做中思考如何防範資訊外洩與了解傳訊封包如何流動及運作2-125
網路安全
環境配置圖bull 以 Testbed建立一實驗相關拓樸及設定如下圖
MySQLServerOSWINXP-SP3-CH-pc3000 IP 10123安裝軟體 MySQL
MySQLClientOSWINXP-SP3-CH-pc3000 IP 10112安裝軟體 MySQL
2-126
WireSharkOSWINXP-SP3-CH-pc3000 IP1 10113IP2 10122安裝軟體 Wireshark
IP1IP2
網路安全
作業繳交bull 請參考情境測試發送數個 SQL 指令並將過程與擷取到的封包資訊之截圖列於報告中所有圖表皆需要輔以文字說明bull Deadline 2012312 下午 500 以前bull 作業範圍 Module 2-5 (page 2-128)bull 方式 (參考課程網址 )
ndash 帳號密碼小寫的 (ns100ns100)ndash IP 140116164167
2-127
網路安全
有問題嗎
bull 關於 TestBed 使用上的問題請直接 Email至 twisc-testbed-usergooglegroupscom 將有專人為您服務bull 課程網址
httpitlabeenckuedutwcoursesNS_100indexhtml
2-128
bull 助教資訊 (參考課程網址 )
網路安全
參考資料bull Dienet httplinuxdienetman1wiresharkbull Orebaugh Angela Ramirez Gilbert Burke Josh Pesce Larry Wright
Joshua(2007) Wireshark and Ethereal network protocol analyzer toolkitbull Tony Fortunato(2007) Wireshark Training Retrieved July 22 2009 from
the World Wide Web httpwwwthetechfirmcometherealwiresharkpdfbull WinDump httpwwwwinpcaporgWinDumpbull Wireshark httpwwwwiresharkorgbull Wireshark University httpwwwwiresharktrainingcombull 楊中皇 (民 97年 ) 網路安全理論與實務 (2版 ) 台北市學貫bull 蘇淑茵教授 Wireshark 民國 98年 6月 28日取自 httpmywebnckuedutw~sisou
2-129
網路安全
SSH連線觀察 (續 )
bull SSH 在連線之前會利用三向交握的方式建立連線bull 利用 WinDump觀察 SSH連線動作
ndash 指令 WinDumpexe -N -S -i 4 port 22
三向交握的三個封包三向交握示意圖Server lt- Client SYN 你想連線Server -gt Client SYN ACK 可以我接受Server lt- Client ACK 謝謝
2-48
網路安全
架設實作 (二 )
FTP 擷取密碼案例
2-49
網路安全
FTPClientOSWINXP-SP3-pc3000IP 10112安裝軟體 FileZilla
FTPServerOSWINXP-SP3-pc3000IP 10123安裝軟體 RaidenFTPD
實驗環境介紹bull 以 Testbed建立一實驗相關拓樸及設定如下圖
2-50
IP1IP2
WireSharkOSWINXP-SP3-pc3000IP1 10113IP2 10122安裝軟體 Wireshark
網路安全
實驗拓樸 on TestbedTWISC- 建立完成的實驗拓樸
2-51
網路安全
FTP伺服器工具 - RaidenFTPD
bull 版本ndash 24 build 3720
bull 支援作業平台ndash Windows
bull 下載位址ndash httpwwwraidenmaildcomdownloadraidenftpd2exe
2-52
網路安全
RaidenFTPD 安裝步驟bull 下載Windows平台最新版本檔案下載完成後執行該安裝程式
2-53
網路安全
RaidenFTPD 安裝步驟 (續 )
bull 此步驟使用預設路徑即可按下 Install 進行安裝
2-54
網路安全
RaidenFTPD設定步驟bull 程式開啟畫面如下選擇 Click here to start a new
server 進行 FTP伺服器設定
2-55
網路安全
RaidenFTPD設定步驟 (續 )
bull 此處可設定 Server name與 Server IP 將 Auto IP 取消勾選並將 Server IP設為 10123
2-56
網路安全
RaidenFTPD設定步驟 (續 )
bull 接下來的步驟依照預設值即可
2-57
網路安全
RaidenFTPD設定步驟 (續 )
bull 設定人員帳號與群組按下 Add鈕輸入帳號密碼群組名稱可略過完成後按下 Next 進行下一步驟
2-58
網路安全
RaidenFTPD設定步驟 (續 )
bull 此步驟設定該帳號登入 FTP 時的權限選擇NORMAL 按下 Next 進行下一步驟
2-59
網路安全
RaidenFTPD設定步驟 (續 )
bull 接下來的步驟皆以預設值即可完成設定之後會出現對話視窗顯示您所設定的資訊
2-60
網路安全
FTP 用戶端工具 - Filezilla
bull 版本ndash 328
bull 支援作業平台ndash Windows Linux及Mac
bull 下載位址ndash httpsourceforgenetprojectsfilezillafiles
FileZilla_Client328FileZilla_328_win32zipdownload
2-61
網路安全
Filezilla 安裝步驟bull 執行 Filezilla 安裝程式點選 I agree 鈕
2-62
網路安全
Filezilla 安裝步驟 (續 )
bull 以預設值安裝點選兩次 Next 鈕
2-63
網路安全
Filezilla 安裝步驟 (續 )
bull 以預設值安裝點選 Next 鈕後再點選 Install 鈕
2-64
網路安全
Filezilla 安裝步驟 (續 )
bull 以預設值安裝點選 Next 鈕後再點選 Finish 鈕
2-65
網路安全
封包擷取工具 - Wireshark
bull 版本ndash 165
bull 支援作業平台ndash Windows Linux及 FreeBSD
bull 其他需求ndash 安裝WinPcap 31 以上版本
bull 下載位址ndash httpwiresharkdownloadsriverbedcomwireshark
win32wireshark-win32-165exe
2-66
網路安全
Wireshark 安裝步驟bull 至官方網站下載Windows平台最新版本檔案下載完成後執行該安裝程式
2-67
網路安全
Wireshark 安裝步驟 (續 )
bull 於下一步出現的版權宣告點選 I Agree鈕後繼續下一步驟
2-68
網路安全
Wireshark 安裝步驟 (續 )
bull 此步驟選擇欲安裝的元件以軟體預設勾選之項目安裝
2-69
網路安全
Wireshark 安裝步驟 (續 )
bull 此步驟使用預設路徑即可
2-70
網路安全
Wireshark 安裝步驟 (續 )
bull 此步驟將安裝Windows平台須加裝之套件 -WinPcap 若原系統未安裝過 WinPcap套件請以軟體預設項目安裝之
2-71
網路安全
Wireshark 安裝步驟 (續 )
bull 此步驟代表 Wireshark軟體已安裝完成可點選Finish 鈕或勾選 Run Wireshark 165 隨即使用該套軟體
2-72
網路安全
一般工具列Wireshark軟體介面介紹
2-73
篩選工具列封包清單窗格
封包內容窗格封包位元組窗格
網路安全
Wireshark 使用思考方向bull 遇到網路問題是否觀察網路通道中有異常動作或狀況
ndash 思考方向ndash 反應到擷取數據方法那麼以 Wireshark 擷取使用者需要擷取哪些數據這些數據由使用者電腦哪個裝置來擷取
bull Wireshark操作流程
bull 接下來我們進行軟體操作介紹
解決問題 擷取數據要先做什麼
擷取數據 擷取哪些數據( 過濾條件 )數據哪裡來( 網路介面卡 )
2-74
網路安全
數據哪裡來 - Capture功能bull 一開啟方式
ndash 1 點選快速鈕如紅色圈所示ndash 2 點選 Capture功能表 下拉選單後點選 Optionsndash 3鍵盤快速鍵 Ctrl + K
2-75
網路安全
數據哪裡來 - Capture功能 (續 )
bull 二開啟後顯示 Capture Options 的視窗畫面即可看到所提供的擷取功能選項
2-76
網路安全
數據哪裡來 - Capture功能 (續 )
bull Capture Options 常用的欄位設定ndash Caputure 框
bull 1Interface 會顯示出在系統上所有網路卡但只能選取一個介面作為封包擷取bull 2Capture packets in promiscuous mode 選取此選項就是經過所選取的網路卡的所有封包都會被擷取下來bull 3Capture Filter 指定擷取過濾器運算式擷取想要的特定封包即為擷取中過濾之功能
2-77
網路安全
數據哪裡來 - Capture功能 (續 )
bull Capture Options 常用的欄位設定ndash Display Options 框
bull Update list of packets in real time 指定在擷取封包過程中能夠即時更新已擷取封包清單窗格視窗中的封包資訊若取消則軟體主視窗更新畫面是沒有動作的
2-78
網路安全
bull Capture Options 常用的欄位設定ndash Name Resolution框
bull 1 Enable MAC name resolution 指定是否將網路卡MAC address 的前三個位元組轉換成製造商名稱
bull 2 Enable network name resolution 指定是否將 IP address轉換成 DNS 網域名稱
bull 3 Enable transport name resolution 指定是否將通信埠號碼 (port numbers)轉成協定名稱 (protocols)bull 各位了解數據從哪裡擷取的概念與操作之後即可以進一步加上附帶條件 (篩選條件 ) 等相關操作方式
數據哪裡來 - Capture功能 (續 )
2-79
網路安全
Wireshark操作手法bull 延續遇到問題的思考方向及軟體操作手法我們可以將操作流程分為兩種
ndash 擷取中過濾 (Filter while capturing)bull 優點僅擷取已知範圍資訊網路流量少bull 缺點需先了解問題類型避免可能有遺漏真正欲擷取資訊之狀況
ndash 檢視中過濾 (Filter packets while viewing)bull 優點不用先預設條件擷取所有封包資訊bull 缺點影響網路流量
先預設欲擷取條件 擷取數據
擷取數據 再篩選欲查詢數據2-80
網路安全
Wireshark操作手法 - 擷取中過濾bull 操作步驟
ndash 點選 Capture 下拉視窗選擇 Capture Filters 即呈現此視窗
bull 操作範例ndash 1於 Filter窗格中選擇 IP
Address 10112ndash 2於 Properties窗格中即顯示該選項的設定值如圖所示為 host 10112ndash 3 即可設定軟體僅針對
10112 的封包作擷取動作 延伸操作思考1 改變 Filter string 值得到什麼結果2 點選 Edit 窗格中的 New 鈕 新增自訂條件 2-81
網路安全
Wireshark操作手法 - 檢視中過濾bull 此步驟即以已擷取封包清單窗格為基礎以過濾條件過濾該清單bull 可直接選擇軟體預設項目如以下操作
ndash 操作步驟bull 點選 Analyze 下拉視窗選擇
Display Filters 即呈現此視窗ndash 操作範例
bull 1於 Filter窗格中選擇 IP Address 10112
bull 2於 Properties窗格中即顯示該選項的設定值如圖所示值為host 10112
bull 3 即可設定軟體僅針對 10112的封包作顯示動作 延伸操作思考1 可否進行進一步自訂設定值
2-82
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 若電腦 IP為 10112 欲篩選出 IP 來源為上述 IP 且協定為 TCP 80port 的所有封包ndash 操作步驟
bull 點選 Expression鈕即出現此視窗ndash 1於 Field name框選擇
IP項目中的 ipsrc - Source
ndash 2於 Relation框選擇 ==ndash 3於 Value [IPV4
address]填 入 10112ndash 4 點選 OK鈕 進階思考方式須考慮到例如是來源資訊是目標資訊是什麼協定等更細部所要之條件
2-83
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 再進行第二篩選條件ndash TCP 80 port
bull 操作步驟ndash 1先於 Filter string 輸入文字框「 ipsrc==
10112」後再加上一個空格及「 and 」再進行一次 Expression條件選擇
2-84
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
ndash 2於 Field name框選擇「 tcpdstport」ndash 3於 Relation框選擇「 ==」ndash 4於 Value框填入「 80」ndash 5 選擇「 OK」鈕
2-85
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 注意 Propeties框內的Filter string欄位值已改變為「 ipsrc == 10112 and tcpdstport == 80」
bull 確認條件正確後點選「 OK 」鈕即可發現已擷取封包清單窗格的項目均為所設定過濾條件過濾過結果2-86
網路安全
bull 可單選單一封包進行更進階查詢封包內容bull 操作方式為
ndash 點選其中一項封包項目點選滑鼠右鍵選擇Follow TCP Stream
Wireshark操作手法 - 檢視中過濾 (續 )
2-87
網路安全
ndash 此畫面即可看出該項 TCP 封包溝通內容Wireshark操作手法 - 檢視中過濾 (續 )
2-88
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 此功能將所擷取的封包清單使用多種方式呈現封包統計資料便於使用者查詢擷取時間內何種封包數量多寡及圖型顯示bull 操作步驟點選 Statistics 下拉視窗即呈現此視窗 顯示有關擷取清單的摘要以階梯式通訊協定列表顯示所擷取的所有封包
在特定 IP間顯示通訊流量顯示單一 IP 來往封包的流量
以時間軸顯示視覺化封包流量圖2-89
網路安全
bull 可查看到一時段內其封包總數與平均每秒傳遞接收封包數等相關資訊讓使用者了解平均一時段內網路流量狀況藉以初步獲得資訊
Wireshark操作手法 - 檢視中過濾 (續 )
2-90
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 讓使用者可透過階梯式封包分類表來查看哪一類封包佔為居多可進一步推測是否該類型封包影響到整體網路或是否有異常或不常見封包類型在網路中傳遞
2-91
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 將該擷取時段內封包清單檔以兩個特定 IP 之間對傳封包為區隔顯示出哪兩個特定 IP間傳遞封包數多寡bull 可讓使用者更進一步研判兩個特定 IP所屬設備傳遞狀況是否異常
2-92
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 將該擷取時段內封包清單檔以特定IP 傳遞封包數為區隔顯示出哪特定IP 傳遞封包數多寡
bull 可讓使用者更進一步研判該特定所屬設備傳遞封包數是否異常作為管制緊急管制或禁止通訊之證明2-93
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 以時間軸顯示視覺化封包流量圖bull 讓使用者可觀察所管理設備資訊流通量以了解設備是否能負荷或作相關調整等處置
2-94
網路安全
FTP 擷取密碼案例bull 於Wireshark軟體選擇 Capture 下拉選單功能項點選 Interfaces 選項
2-95
網路安全
FTP 擷取密碼案例 (續 )
bull 確認欲擷取封包之網卡名稱如紅色底線所示確認後點選 Start鈕
2-96
網路安全
FTP 擷取密碼案例 (續 )
bull 切換至 FTP Client 電腦開啟 FileZilla 程式後連線到 FTP Server 於 Host 填入10123 Username填入 tester Password填入testpw 後點選 Quickconnect鈕
2-97
網路安全
FTP 擷取密碼案例 (續 )
bull 擷取到的封包資訊會顯示於已擷取封包清單窗格內
2-98
網路安全
FTP 擷取密碼案例 (續 )
bull 使用 FTP軟體登入 ftp站後 Wireshark 將擷取到的使用者名稱與密碼如紅框所示
2-99
網路安全
FTP 擷取密碼案例 (續 )
bull 點選已擷取封包清單窗格的密碼資訊列如標示1 的紅框所示即可在封包內容窗格看到該密碼的位元碼如標示 2 的紅框所示
1
2
2-100
網路安全
架設實作 (三 )
Outlook Express 擷取密碼案例
2-101
網路安全
實驗環境介紹bull 以 Testbed建立一實驗相關拓樸及設定如下圖
OEClientOSWindows XP SP3IP 10112執行 Outlook Express
MailServerOSWindows XP SP3IP 10122安裝軟體 ArGoSoft Mail Server
2-102
WiresharkOSWindows XP SP3IP1 10113 IP2 10123安裝軟體 Wireshark
IP1IP2
網路安全
實驗拓樸 on TestbedTWISC- 建立完成的實驗拓樸
2-103
網路安全
郵件伺服器工具 - ArGoSoft Mail Server
bull 版本ndash 1892 Freeware
bull 支援作業平台ndash Windows
bull 下載位址ndash httpwwwsoftkingcomtwsoftdownloadaspfid3=7367
2-104
網路安全
郵件客戶端工具 - Outlook Express
bull 版本ndash 60
bull 支援作業平台ndash Windows
bull 下載位址ndash Windows 內建
2-105
網路安全
bull 安裝及設定郵件伺服器ndash 1下載並執行 ArGoSoft Mail Server軟體點選
Setup鈕
Outlook Express 擷取密碼案例
2-106
網路安全
ndash 1 點選 Next鈕ndash 2 點選 Start Installation鈕
Outlook Express 擷取密碼案例 (續 )
2-107
網路安全
ndash 3 點選 OK鈕ndash 4 點選 Finish鈕完成軟體安裝
Outlook Express 擷取密碼案例 (續 )
2-108
網路安全
ndash 5 點選使用者設定鈕如紅圈所示ndash 6 點選新增鈕如紅框所示
Outlook Express 擷取密碼案例 (續 )
2-109
網路安全
ndash 7填入使用者名稱 (tester) 及密碼 (testpw) 如紅圈所示填寫完成後點選 OK鈕ndash 8 點選 Close鈕關閉使用者設定視窗
Outlook Express 擷取密碼案例 (續 )
2-110
網路安全
ndash 9 點選選項鈕如左側圖中紅色圈所示ndash 10 點選紅色打勾鈕如右側圖中紅色圈所示
2-111
Outlook Express 擷取密碼案例 (續 )
網路安全
ndash 11該軟體會自動選取 DNS Server 待選取後點選 Yes鈕ndash 12 勾選 Allow Relay 選項如紅框所示
2-112
Outlook Express 擷取密碼案例 (續 )
網路安全
Outlook Express 擷取密碼案例 (續 )
bull 設定收信帳號ndash 1 點選 Tools功能選單選擇 Accounts 選項
2-113
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 2 點選 Add鈕選擇 Mail 選項
2-114
網路安全
ndash 3填入 tester 點選 Next鈕ndash 4填入 testertestcom 點選 Next鈕
Outlook Express 擷取密碼案例 (續 )
2-115
網路安全
ndash 5填入 10123 如紅框所示點選 Next鈕ndash 6填入帳號為 tester 及密碼為 testpw 點選 Next鈕
Outlook Express 擷取密碼案例 (續 )
2-116
網路安全
ndash 7 點選 Finish鈕ndash 8 點選 Close鈕
Outlook Express 擷取密碼案例 (續 )
2-117
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 模擬條件準備好後首先準備Wireshark 擷取動作開啟Wireshark
2-118
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 於Wireshark軟體選擇 Capture 下拉選單功能項點選 Interfaces 選項
2-119
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 確認欲擷取封包之網卡名稱如紅色底線所示確認後點選 Start鈕
2-120
網路安全
ndash 當使用者收發 email 時即被 Wireshark攔截封包ndash 有發現到該 Outlook Express帳號密碼是如此清晰可見的嗎
Outlook Express 擷取密碼案例 (續 )
2-121
網路安全
結論bull 學習了 Wireshark及WinDump 兩套網路封包擷取軟體基本概念如同電話側錄概念相同從中複製一連串資訊來分析與了解網路的流量及內容為何bull 當你發現網路速度緩慢等狀況你是否會反應到所學的基本概念來找尋問題所在bull 防範概念由此課程的實例可以了解網路內容如被有心人士擷取所造成的損失相當可觀故你是否有對策有哪些方式你可以應用來防範bull 正確的思考善用對的工具將對解決問題事半功倍
2-122
網路安全 2-123
Module 2-5 封包擷取與分析的專案實作()
網路安全
專案目的bull 建立遠端管理傳遞指令資訊環境bull 利用實際攔截封包操作的方式讓同學了解封包擷取運作與網路資訊流通的顧慮等相關議題
2-124
網路安全
專案描述bull 近年來遠端管理伺服器及網路服務普及光是密碼保護就足夠了嗎是否重點網段須全程加密還是作網段隔離經由此專案實作即可了解不僅部分加密仍有其風險所在網路架構如何規劃將是非常重要的課題bull 參考環境配置圖完成下列要求①環境裡的攔截封包主機是 Windows XP SP3 作業系統而該主機安裝Wireshark軟體②另兩台主機的作業系統亦是 Windows XP SP3 並裝上
MySQL軟體 MySQL帳號為 root 密碼為您的學號 (如 Q3896105)
③在MySQLClient 電腦使用 MySQL Commandline 指令連線至MySQLServer 擷取資料庫資訊
④我們針對這兩台主機傳訊的封包擷取由整個實做中思考如何防範資訊外洩與了解傳訊封包如何流動及運作2-125
網路安全
環境配置圖bull 以 Testbed建立一實驗相關拓樸及設定如下圖
MySQLServerOSWINXP-SP3-CH-pc3000 IP 10123安裝軟體 MySQL
MySQLClientOSWINXP-SP3-CH-pc3000 IP 10112安裝軟體 MySQL
2-126
WireSharkOSWINXP-SP3-CH-pc3000 IP1 10113IP2 10122安裝軟體 Wireshark
IP1IP2
網路安全
作業繳交bull 請參考情境測試發送數個 SQL 指令並將過程與擷取到的封包資訊之截圖列於報告中所有圖表皆需要輔以文字說明bull Deadline 2012312 下午 500 以前bull 作業範圍 Module 2-5 (page 2-128)bull 方式 (參考課程網址 )
ndash 帳號密碼小寫的 (ns100ns100)ndash IP 140116164167
2-127
網路安全
有問題嗎
bull 關於 TestBed 使用上的問題請直接 Email至 twisc-testbed-usergooglegroupscom 將有專人為您服務bull 課程網址
httpitlabeenckuedutwcoursesNS_100indexhtml
2-128
bull 助教資訊 (參考課程網址 )
網路安全
參考資料bull Dienet httplinuxdienetman1wiresharkbull Orebaugh Angela Ramirez Gilbert Burke Josh Pesce Larry Wright
Joshua(2007) Wireshark and Ethereal network protocol analyzer toolkitbull Tony Fortunato(2007) Wireshark Training Retrieved July 22 2009 from
the World Wide Web httpwwwthetechfirmcometherealwiresharkpdfbull WinDump httpwwwwinpcaporgWinDumpbull Wireshark httpwwwwiresharkorgbull Wireshark University httpwwwwiresharktrainingcombull 楊中皇 (民 97年 ) 網路安全理論與實務 (2版 ) 台北市學貫bull 蘇淑茵教授 Wireshark 民國 98年 6月 28日取自 httpmywebnckuedutw~sisou
2-129
網路安全
架設實作 (二 )
FTP 擷取密碼案例
2-49
網路安全
FTPClientOSWINXP-SP3-pc3000IP 10112安裝軟體 FileZilla
FTPServerOSWINXP-SP3-pc3000IP 10123安裝軟體 RaidenFTPD
實驗環境介紹bull 以 Testbed建立一實驗相關拓樸及設定如下圖
2-50
IP1IP2
WireSharkOSWINXP-SP3-pc3000IP1 10113IP2 10122安裝軟體 Wireshark
網路安全
實驗拓樸 on TestbedTWISC- 建立完成的實驗拓樸
2-51
網路安全
FTP伺服器工具 - RaidenFTPD
bull 版本ndash 24 build 3720
bull 支援作業平台ndash Windows
bull 下載位址ndash httpwwwraidenmaildcomdownloadraidenftpd2exe
2-52
網路安全
RaidenFTPD 安裝步驟bull 下載Windows平台最新版本檔案下載完成後執行該安裝程式
2-53
網路安全
RaidenFTPD 安裝步驟 (續 )
bull 此步驟使用預設路徑即可按下 Install 進行安裝
2-54
網路安全
RaidenFTPD設定步驟bull 程式開啟畫面如下選擇 Click here to start a new
server 進行 FTP伺服器設定
2-55
網路安全
RaidenFTPD設定步驟 (續 )
bull 此處可設定 Server name與 Server IP 將 Auto IP 取消勾選並將 Server IP設為 10123
2-56
網路安全
RaidenFTPD設定步驟 (續 )
bull 接下來的步驟依照預設值即可
2-57
網路安全
RaidenFTPD設定步驟 (續 )
bull 設定人員帳號與群組按下 Add鈕輸入帳號密碼群組名稱可略過完成後按下 Next 進行下一步驟
2-58
網路安全
RaidenFTPD設定步驟 (續 )
bull 此步驟設定該帳號登入 FTP 時的權限選擇NORMAL 按下 Next 進行下一步驟
2-59
網路安全
RaidenFTPD設定步驟 (續 )
bull 接下來的步驟皆以預設值即可完成設定之後會出現對話視窗顯示您所設定的資訊
2-60
網路安全
FTP 用戶端工具 - Filezilla
bull 版本ndash 328
bull 支援作業平台ndash Windows Linux及Mac
bull 下載位址ndash httpsourceforgenetprojectsfilezillafiles
FileZilla_Client328FileZilla_328_win32zipdownload
2-61
網路安全
Filezilla 安裝步驟bull 執行 Filezilla 安裝程式點選 I agree 鈕
2-62
網路安全
Filezilla 安裝步驟 (續 )
bull 以預設值安裝點選兩次 Next 鈕
2-63
網路安全
Filezilla 安裝步驟 (續 )
bull 以預設值安裝點選 Next 鈕後再點選 Install 鈕
2-64
網路安全
Filezilla 安裝步驟 (續 )
bull 以預設值安裝點選 Next 鈕後再點選 Finish 鈕
2-65
網路安全
封包擷取工具 - Wireshark
bull 版本ndash 165
bull 支援作業平台ndash Windows Linux及 FreeBSD
bull 其他需求ndash 安裝WinPcap 31 以上版本
bull 下載位址ndash httpwiresharkdownloadsriverbedcomwireshark
win32wireshark-win32-165exe
2-66
網路安全
Wireshark 安裝步驟bull 至官方網站下載Windows平台最新版本檔案下載完成後執行該安裝程式
2-67
網路安全
Wireshark 安裝步驟 (續 )
bull 於下一步出現的版權宣告點選 I Agree鈕後繼續下一步驟
2-68
網路安全
Wireshark 安裝步驟 (續 )
bull 此步驟選擇欲安裝的元件以軟體預設勾選之項目安裝
2-69
網路安全
Wireshark 安裝步驟 (續 )
bull 此步驟使用預設路徑即可
2-70
網路安全
Wireshark 安裝步驟 (續 )
bull 此步驟將安裝Windows平台須加裝之套件 -WinPcap 若原系統未安裝過 WinPcap套件請以軟體預設項目安裝之
2-71
網路安全
Wireshark 安裝步驟 (續 )
bull 此步驟代表 Wireshark軟體已安裝完成可點選Finish 鈕或勾選 Run Wireshark 165 隨即使用該套軟體
2-72
網路安全
一般工具列Wireshark軟體介面介紹
2-73
篩選工具列封包清單窗格
封包內容窗格封包位元組窗格
網路安全
Wireshark 使用思考方向bull 遇到網路問題是否觀察網路通道中有異常動作或狀況
ndash 思考方向ndash 反應到擷取數據方法那麼以 Wireshark 擷取使用者需要擷取哪些數據這些數據由使用者電腦哪個裝置來擷取
bull Wireshark操作流程
bull 接下來我們進行軟體操作介紹
解決問題 擷取數據要先做什麼
擷取數據 擷取哪些數據( 過濾條件 )數據哪裡來( 網路介面卡 )
2-74
網路安全
數據哪裡來 - Capture功能bull 一開啟方式
ndash 1 點選快速鈕如紅色圈所示ndash 2 點選 Capture功能表 下拉選單後點選 Optionsndash 3鍵盤快速鍵 Ctrl + K
2-75
網路安全
數據哪裡來 - Capture功能 (續 )
bull 二開啟後顯示 Capture Options 的視窗畫面即可看到所提供的擷取功能選項
2-76
網路安全
數據哪裡來 - Capture功能 (續 )
bull Capture Options 常用的欄位設定ndash Caputure 框
bull 1Interface 會顯示出在系統上所有網路卡但只能選取一個介面作為封包擷取bull 2Capture packets in promiscuous mode 選取此選項就是經過所選取的網路卡的所有封包都會被擷取下來bull 3Capture Filter 指定擷取過濾器運算式擷取想要的特定封包即為擷取中過濾之功能
2-77
網路安全
數據哪裡來 - Capture功能 (續 )
bull Capture Options 常用的欄位設定ndash Display Options 框
bull Update list of packets in real time 指定在擷取封包過程中能夠即時更新已擷取封包清單窗格視窗中的封包資訊若取消則軟體主視窗更新畫面是沒有動作的
2-78
網路安全
bull Capture Options 常用的欄位設定ndash Name Resolution框
bull 1 Enable MAC name resolution 指定是否將網路卡MAC address 的前三個位元組轉換成製造商名稱
bull 2 Enable network name resolution 指定是否將 IP address轉換成 DNS 網域名稱
bull 3 Enable transport name resolution 指定是否將通信埠號碼 (port numbers)轉成協定名稱 (protocols)bull 各位了解數據從哪裡擷取的概念與操作之後即可以進一步加上附帶條件 (篩選條件 ) 等相關操作方式
數據哪裡來 - Capture功能 (續 )
2-79
網路安全
Wireshark操作手法bull 延續遇到問題的思考方向及軟體操作手法我們可以將操作流程分為兩種
ndash 擷取中過濾 (Filter while capturing)bull 優點僅擷取已知範圍資訊網路流量少bull 缺點需先了解問題類型避免可能有遺漏真正欲擷取資訊之狀況
ndash 檢視中過濾 (Filter packets while viewing)bull 優點不用先預設條件擷取所有封包資訊bull 缺點影響網路流量
先預設欲擷取條件 擷取數據
擷取數據 再篩選欲查詢數據2-80
網路安全
Wireshark操作手法 - 擷取中過濾bull 操作步驟
ndash 點選 Capture 下拉視窗選擇 Capture Filters 即呈現此視窗
bull 操作範例ndash 1於 Filter窗格中選擇 IP
Address 10112ndash 2於 Properties窗格中即顯示該選項的設定值如圖所示為 host 10112ndash 3 即可設定軟體僅針對
10112 的封包作擷取動作 延伸操作思考1 改變 Filter string 值得到什麼結果2 點選 Edit 窗格中的 New 鈕 新增自訂條件 2-81
網路安全
Wireshark操作手法 - 檢視中過濾bull 此步驟即以已擷取封包清單窗格為基礎以過濾條件過濾該清單bull 可直接選擇軟體預設項目如以下操作
ndash 操作步驟bull 點選 Analyze 下拉視窗選擇
Display Filters 即呈現此視窗ndash 操作範例
bull 1於 Filter窗格中選擇 IP Address 10112
bull 2於 Properties窗格中即顯示該選項的設定值如圖所示值為host 10112
bull 3 即可設定軟體僅針對 10112的封包作顯示動作 延伸操作思考1 可否進行進一步自訂設定值
2-82
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 若電腦 IP為 10112 欲篩選出 IP 來源為上述 IP 且協定為 TCP 80port 的所有封包ndash 操作步驟
bull 點選 Expression鈕即出現此視窗ndash 1於 Field name框選擇
IP項目中的 ipsrc - Source
ndash 2於 Relation框選擇 ==ndash 3於 Value [IPV4
address]填 入 10112ndash 4 點選 OK鈕 進階思考方式須考慮到例如是來源資訊是目標資訊是什麼協定等更細部所要之條件
2-83
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 再進行第二篩選條件ndash TCP 80 port
bull 操作步驟ndash 1先於 Filter string 輸入文字框「 ipsrc==
10112」後再加上一個空格及「 and 」再進行一次 Expression條件選擇
2-84
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
ndash 2於 Field name框選擇「 tcpdstport」ndash 3於 Relation框選擇「 ==」ndash 4於 Value框填入「 80」ndash 5 選擇「 OK」鈕
2-85
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 注意 Propeties框內的Filter string欄位值已改變為「 ipsrc == 10112 and tcpdstport == 80」
bull 確認條件正確後點選「 OK 」鈕即可發現已擷取封包清單窗格的項目均為所設定過濾條件過濾過結果2-86
網路安全
bull 可單選單一封包進行更進階查詢封包內容bull 操作方式為
ndash 點選其中一項封包項目點選滑鼠右鍵選擇Follow TCP Stream
Wireshark操作手法 - 檢視中過濾 (續 )
2-87
網路安全
ndash 此畫面即可看出該項 TCP 封包溝通內容Wireshark操作手法 - 檢視中過濾 (續 )
2-88
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 此功能將所擷取的封包清單使用多種方式呈現封包統計資料便於使用者查詢擷取時間內何種封包數量多寡及圖型顯示bull 操作步驟點選 Statistics 下拉視窗即呈現此視窗 顯示有關擷取清單的摘要以階梯式通訊協定列表顯示所擷取的所有封包
在特定 IP間顯示通訊流量顯示單一 IP 來往封包的流量
以時間軸顯示視覺化封包流量圖2-89
網路安全
bull 可查看到一時段內其封包總數與平均每秒傳遞接收封包數等相關資訊讓使用者了解平均一時段內網路流量狀況藉以初步獲得資訊
Wireshark操作手法 - 檢視中過濾 (續 )
2-90
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 讓使用者可透過階梯式封包分類表來查看哪一類封包佔為居多可進一步推測是否該類型封包影響到整體網路或是否有異常或不常見封包類型在網路中傳遞
2-91
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 將該擷取時段內封包清單檔以兩個特定 IP 之間對傳封包為區隔顯示出哪兩個特定 IP間傳遞封包數多寡bull 可讓使用者更進一步研判兩個特定 IP所屬設備傳遞狀況是否異常
2-92
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 將該擷取時段內封包清單檔以特定IP 傳遞封包數為區隔顯示出哪特定IP 傳遞封包數多寡
bull 可讓使用者更進一步研判該特定所屬設備傳遞封包數是否異常作為管制緊急管制或禁止通訊之證明2-93
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 以時間軸顯示視覺化封包流量圖bull 讓使用者可觀察所管理設備資訊流通量以了解設備是否能負荷或作相關調整等處置
2-94
網路安全
FTP 擷取密碼案例bull 於Wireshark軟體選擇 Capture 下拉選單功能項點選 Interfaces 選項
2-95
網路安全
FTP 擷取密碼案例 (續 )
bull 確認欲擷取封包之網卡名稱如紅色底線所示確認後點選 Start鈕
2-96
網路安全
FTP 擷取密碼案例 (續 )
bull 切換至 FTP Client 電腦開啟 FileZilla 程式後連線到 FTP Server 於 Host 填入10123 Username填入 tester Password填入testpw 後點選 Quickconnect鈕
2-97
網路安全
FTP 擷取密碼案例 (續 )
bull 擷取到的封包資訊會顯示於已擷取封包清單窗格內
2-98
網路安全
FTP 擷取密碼案例 (續 )
bull 使用 FTP軟體登入 ftp站後 Wireshark 將擷取到的使用者名稱與密碼如紅框所示
2-99
網路安全
FTP 擷取密碼案例 (續 )
bull 點選已擷取封包清單窗格的密碼資訊列如標示1 的紅框所示即可在封包內容窗格看到該密碼的位元碼如標示 2 的紅框所示
1
2
2-100
網路安全
架設實作 (三 )
Outlook Express 擷取密碼案例
2-101
網路安全
實驗環境介紹bull 以 Testbed建立一實驗相關拓樸及設定如下圖
OEClientOSWindows XP SP3IP 10112執行 Outlook Express
MailServerOSWindows XP SP3IP 10122安裝軟體 ArGoSoft Mail Server
2-102
WiresharkOSWindows XP SP3IP1 10113 IP2 10123安裝軟體 Wireshark
IP1IP2
網路安全
實驗拓樸 on TestbedTWISC- 建立完成的實驗拓樸
2-103
網路安全
郵件伺服器工具 - ArGoSoft Mail Server
bull 版本ndash 1892 Freeware
bull 支援作業平台ndash Windows
bull 下載位址ndash httpwwwsoftkingcomtwsoftdownloadaspfid3=7367
2-104
網路安全
郵件客戶端工具 - Outlook Express
bull 版本ndash 60
bull 支援作業平台ndash Windows
bull 下載位址ndash Windows 內建
2-105
網路安全
bull 安裝及設定郵件伺服器ndash 1下載並執行 ArGoSoft Mail Server軟體點選
Setup鈕
Outlook Express 擷取密碼案例
2-106
網路安全
ndash 1 點選 Next鈕ndash 2 點選 Start Installation鈕
Outlook Express 擷取密碼案例 (續 )
2-107
網路安全
ndash 3 點選 OK鈕ndash 4 點選 Finish鈕完成軟體安裝
Outlook Express 擷取密碼案例 (續 )
2-108
網路安全
ndash 5 點選使用者設定鈕如紅圈所示ndash 6 點選新增鈕如紅框所示
Outlook Express 擷取密碼案例 (續 )
2-109
網路安全
ndash 7填入使用者名稱 (tester) 及密碼 (testpw) 如紅圈所示填寫完成後點選 OK鈕ndash 8 點選 Close鈕關閉使用者設定視窗
Outlook Express 擷取密碼案例 (續 )
2-110
網路安全
ndash 9 點選選項鈕如左側圖中紅色圈所示ndash 10 點選紅色打勾鈕如右側圖中紅色圈所示
2-111
Outlook Express 擷取密碼案例 (續 )
網路安全
ndash 11該軟體會自動選取 DNS Server 待選取後點選 Yes鈕ndash 12 勾選 Allow Relay 選項如紅框所示
2-112
Outlook Express 擷取密碼案例 (續 )
網路安全
Outlook Express 擷取密碼案例 (續 )
bull 設定收信帳號ndash 1 點選 Tools功能選單選擇 Accounts 選項
2-113
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 2 點選 Add鈕選擇 Mail 選項
2-114
網路安全
ndash 3填入 tester 點選 Next鈕ndash 4填入 testertestcom 點選 Next鈕
Outlook Express 擷取密碼案例 (續 )
2-115
網路安全
ndash 5填入 10123 如紅框所示點選 Next鈕ndash 6填入帳號為 tester 及密碼為 testpw 點選 Next鈕
Outlook Express 擷取密碼案例 (續 )
2-116
網路安全
ndash 7 點選 Finish鈕ndash 8 點選 Close鈕
Outlook Express 擷取密碼案例 (續 )
2-117
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 模擬條件準備好後首先準備Wireshark 擷取動作開啟Wireshark
2-118
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 於Wireshark軟體選擇 Capture 下拉選單功能項點選 Interfaces 選項
2-119
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 確認欲擷取封包之網卡名稱如紅色底線所示確認後點選 Start鈕
2-120
網路安全
ndash 當使用者收發 email 時即被 Wireshark攔截封包ndash 有發現到該 Outlook Express帳號密碼是如此清晰可見的嗎
Outlook Express 擷取密碼案例 (續 )
2-121
網路安全
結論bull 學習了 Wireshark及WinDump 兩套網路封包擷取軟體基本概念如同電話側錄概念相同從中複製一連串資訊來分析與了解網路的流量及內容為何bull 當你發現網路速度緩慢等狀況你是否會反應到所學的基本概念來找尋問題所在bull 防範概念由此課程的實例可以了解網路內容如被有心人士擷取所造成的損失相當可觀故你是否有對策有哪些方式你可以應用來防範bull 正確的思考善用對的工具將對解決問題事半功倍
2-122
網路安全 2-123
Module 2-5 封包擷取與分析的專案實作()
網路安全
專案目的bull 建立遠端管理傳遞指令資訊環境bull 利用實際攔截封包操作的方式讓同學了解封包擷取運作與網路資訊流通的顧慮等相關議題
2-124
網路安全
專案描述bull 近年來遠端管理伺服器及網路服務普及光是密碼保護就足夠了嗎是否重點網段須全程加密還是作網段隔離經由此專案實作即可了解不僅部分加密仍有其風險所在網路架構如何規劃將是非常重要的課題bull 參考環境配置圖完成下列要求①環境裡的攔截封包主機是 Windows XP SP3 作業系統而該主機安裝Wireshark軟體②另兩台主機的作業系統亦是 Windows XP SP3 並裝上
MySQL軟體 MySQL帳號為 root 密碼為您的學號 (如 Q3896105)
③在MySQLClient 電腦使用 MySQL Commandline 指令連線至MySQLServer 擷取資料庫資訊
④我們針對這兩台主機傳訊的封包擷取由整個實做中思考如何防範資訊外洩與了解傳訊封包如何流動及運作2-125
網路安全
環境配置圖bull 以 Testbed建立一實驗相關拓樸及設定如下圖
MySQLServerOSWINXP-SP3-CH-pc3000 IP 10123安裝軟體 MySQL
MySQLClientOSWINXP-SP3-CH-pc3000 IP 10112安裝軟體 MySQL
2-126
WireSharkOSWINXP-SP3-CH-pc3000 IP1 10113IP2 10122安裝軟體 Wireshark
IP1IP2
網路安全
作業繳交bull 請參考情境測試發送數個 SQL 指令並將過程與擷取到的封包資訊之截圖列於報告中所有圖表皆需要輔以文字說明bull Deadline 2012312 下午 500 以前bull 作業範圍 Module 2-5 (page 2-128)bull 方式 (參考課程網址 )
ndash 帳號密碼小寫的 (ns100ns100)ndash IP 140116164167
2-127
網路安全
有問題嗎
bull 關於 TestBed 使用上的問題請直接 Email至 twisc-testbed-usergooglegroupscom 將有專人為您服務bull 課程網址
httpitlabeenckuedutwcoursesNS_100indexhtml
2-128
bull 助教資訊 (參考課程網址 )
網路安全
參考資料bull Dienet httplinuxdienetman1wiresharkbull Orebaugh Angela Ramirez Gilbert Burke Josh Pesce Larry Wright
Joshua(2007) Wireshark and Ethereal network protocol analyzer toolkitbull Tony Fortunato(2007) Wireshark Training Retrieved July 22 2009 from
the World Wide Web httpwwwthetechfirmcometherealwiresharkpdfbull WinDump httpwwwwinpcaporgWinDumpbull Wireshark httpwwwwiresharkorgbull Wireshark University httpwwwwiresharktrainingcombull 楊中皇 (民 97年 ) 網路安全理論與實務 (2版 ) 台北市學貫bull 蘇淑茵教授 Wireshark 民國 98年 6月 28日取自 httpmywebnckuedutw~sisou
2-129
網路安全
FTPClientOSWINXP-SP3-pc3000IP 10112安裝軟體 FileZilla
FTPServerOSWINXP-SP3-pc3000IP 10123安裝軟體 RaidenFTPD
實驗環境介紹bull 以 Testbed建立一實驗相關拓樸及設定如下圖
2-50
IP1IP2
WireSharkOSWINXP-SP3-pc3000IP1 10113IP2 10122安裝軟體 Wireshark
網路安全
實驗拓樸 on TestbedTWISC- 建立完成的實驗拓樸
2-51
網路安全
FTP伺服器工具 - RaidenFTPD
bull 版本ndash 24 build 3720
bull 支援作業平台ndash Windows
bull 下載位址ndash httpwwwraidenmaildcomdownloadraidenftpd2exe
2-52
網路安全
RaidenFTPD 安裝步驟bull 下載Windows平台最新版本檔案下載完成後執行該安裝程式
2-53
網路安全
RaidenFTPD 安裝步驟 (續 )
bull 此步驟使用預設路徑即可按下 Install 進行安裝
2-54
網路安全
RaidenFTPD設定步驟bull 程式開啟畫面如下選擇 Click here to start a new
server 進行 FTP伺服器設定
2-55
網路安全
RaidenFTPD設定步驟 (續 )
bull 此處可設定 Server name與 Server IP 將 Auto IP 取消勾選並將 Server IP設為 10123
2-56
網路安全
RaidenFTPD設定步驟 (續 )
bull 接下來的步驟依照預設值即可
2-57
網路安全
RaidenFTPD設定步驟 (續 )
bull 設定人員帳號與群組按下 Add鈕輸入帳號密碼群組名稱可略過完成後按下 Next 進行下一步驟
2-58
網路安全
RaidenFTPD設定步驟 (續 )
bull 此步驟設定該帳號登入 FTP 時的權限選擇NORMAL 按下 Next 進行下一步驟
2-59
網路安全
RaidenFTPD設定步驟 (續 )
bull 接下來的步驟皆以預設值即可完成設定之後會出現對話視窗顯示您所設定的資訊
2-60
網路安全
FTP 用戶端工具 - Filezilla
bull 版本ndash 328
bull 支援作業平台ndash Windows Linux及Mac
bull 下載位址ndash httpsourceforgenetprojectsfilezillafiles
FileZilla_Client328FileZilla_328_win32zipdownload
2-61
網路安全
Filezilla 安裝步驟bull 執行 Filezilla 安裝程式點選 I agree 鈕
2-62
網路安全
Filezilla 安裝步驟 (續 )
bull 以預設值安裝點選兩次 Next 鈕
2-63
網路安全
Filezilla 安裝步驟 (續 )
bull 以預設值安裝點選 Next 鈕後再點選 Install 鈕
2-64
網路安全
Filezilla 安裝步驟 (續 )
bull 以預設值安裝點選 Next 鈕後再點選 Finish 鈕
2-65
網路安全
封包擷取工具 - Wireshark
bull 版本ndash 165
bull 支援作業平台ndash Windows Linux及 FreeBSD
bull 其他需求ndash 安裝WinPcap 31 以上版本
bull 下載位址ndash httpwiresharkdownloadsriverbedcomwireshark
win32wireshark-win32-165exe
2-66
網路安全
Wireshark 安裝步驟bull 至官方網站下載Windows平台最新版本檔案下載完成後執行該安裝程式
2-67
網路安全
Wireshark 安裝步驟 (續 )
bull 於下一步出現的版權宣告點選 I Agree鈕後繼續下一步驟
2-68
網路安全
Wireshark 安裝步驟 (續 )
bull 此步驟選擇欲安裝的元件以軟體預設勾選之項目安裝
2-69
網路安全
Wireshark 安裝步驟 (續 )
bull 此步驟使用預設路徑即可
2-70
網路安全
Wireshark 安裝步驟 (續 )
bull 此步驟將安裝Windows平台須加裝之套件 -WinPcap 若原系統未安裝過 WinPcap套件請以軟體預設項目安裝之
2-71
網路安全
Wireshark 安裝步驟 (續 )
bull 此步驟代表 Wireshark軟體已安裝完成可點選Finish 鈕或勾選 Run Wireshark 165 隨即使用該套軟體
2-72
網路安全
一般工具列Wireshark軟體介面介紹
2-73
篩選工具列封包清單窗格
封包內容窗格封包位元組窗格
網路安全
Wireshark 使用思考方向bull 遇到網路問題是否觀察網路通道中有異常動作或狀況
ndash 思考方向ndash 反應到擷取數據方法那麼以 Wireshark 擷取使用者需要擷取哪些數據這些數據由使用者電腦哪個裝置來擷取
bull Wireshark操作流程
bull 接下來我們進行軟體操作介紹
解決問題 擷取數據要先做什麼
擷取數據 擷取哪些數據( 過濾條件 )數據哪裡來( 網路介面卡 )
2-74
網路安全
數據哪裡來 - Capture功能bull 一開啟方式
ndash 1 點選快速鈕如紅色圈所示ndash 2 點選 Capture功能表 下拉選單後點選 Optionsndash 3鍵盤快速鍵 Ctrl + K
2-75
網路安全
數據哪裡來 - Capture功能 (續 )
bull 二開啟後顯示 Capture Options 的視窗畫面即可看到所提供的擷取功能選項
2-76
網路安全
數據哪裡來 - Capture功能 (續 )
bull Capture Options 常用的欄位設定ndash Caputure 框
bull 1Interface 會顯示出在系統上所有網路卡但只能選取一個介面作為封包擷取bull 2Capture packets in promiscuous mode 選取此選項就是經過所選取的網路卡的所有封包都會被擷取下來bull 3Capture Filter 指定擷取過濾器運算式擷取想要的特定封包即為擷取中過濾之功能
2-77
網路安全
數據哪裡來 - Capture功能 (續 )
bull Capture Options 常用的欄位設定ndash Display Options 框
bull Update list of packets in real time 指定在擷取封包過程中能夠即時更新已擷取封包清單窗格視窗中的封包資訊若取消則軟體主視窗更新畫面是沒有動作的
2-78
網路安全
bull Capture Options 常用的欄位設定ndash Name Resolution框
bull 1 Enable MAC name resolution 指定是否將網路卡MAC address 的前三個位元組轉換成製造商名稱
bull 2 Enable network name resolution 指定是否將 IP address轉換成 DNS 網域名稱
bull 3 Enable transport name resolution 指定是否將通信埠號碼 (port numbers)轉成協定名稱 (protocols)bull 各位了解數據從哪裡擷取的概念與操作之後即可以進一步加上附帶條件 (篩選條件 ) 等相關操作方式
數據哪裡來 - Capture功能 (續 )
2-79
網路安全
Wireshark操作手法bull 延續遇到問題的思考方向及軟體操作手法我們可以將操作流程分為兩種
ndash 擷取中過濾 (Filter while capturing)bull 優點僅擷取已知範圍資訊網路流量少bull 缺點需先了解問題類型避免可能有遺漏真正欲擷取資訊之狀況
ndash 檢視中過濾 (Filter packets while viewing)bull 優點不用先預設條件擷取所有封包資訊bull 缺點影響網路流量
先預設欲擷取條件 擷取數據
擷取數據 再篩選欲查詢數據2-80
網路安全
Wireshark操作手法 - 擷取中過濾bull 操作步驟
ndash 點選 Capture 下拉視窗選擇 Capture Filters 即呈現此視窗
bull 操作範例ndash 1於 Filter窗格中選擇 IP
Address 10112ndash 2於 Properties窗格中即顯示該選項的設定值如圖所示為 host 10112ndash 3 即可設定軟體僅針對
10112 的封包作擷取動作 延伸操作思考1 改變 Filter string 值得到什麼結果2 點選 Edit 窗格中的 New 鈕 新增自訂條件 2-81
網路安全
Wireshark操作手法 - 檢視中過濾bull 此步驟即以已擷取封包清單窗格為基礎以過濾條件過濾該清單bull 可直接選擇軟體預設項目如以下操作
ndash 操作步驟bull 點選 Analyze 下拉視窗選擇
Display Filters 即呈現此視窗ndash 操作範例
bull 1於 Filter窗格中選擇 IP Address 10112
bull 2於 Properties窗格中即顯示該選項的設定值如圖所示值為host 10112
bull 3 即可設定軟體僅針對 10112的封包作顯示動作 延伸操作思考1 可否進行進一步自訂設定值
2-82
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 若電腦 IP為 10112 欲篩選出 IP 來源為上述 IP 且協定為 TCP 80port 的所有封包ndash 操作步驟
bull 點選 Expression鈕即出現此視窗ndash 1於 Field name框選擇
IP項目中的 ipsrc - Source
ndash 2於 Relation框選擇 ==ndash 3於 Value [IPV4
address]填 入 10112ndash 4 點選 OK鈕 進階思考方式須考慮到例如是來源資訊是目標資訊是什麼協定等更細部所要之條件
2-83
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 再進行第二篩選條件ndash TCP 80 port
bull 操作步驟ndash 1先於 Filter string 輸入文字框「 ipsrc==
10112」後再加上一個空格及「 and 」再進行一次 Expression條件選擇
2-84
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
ndash 2於 Field name框選擇「 tcpdstport」ndash 3於 Relation框選擇「 ==」ndash 4於 Value框填入「 80」ndash 5 選擇「 OK」鈕
2-85
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 注意 Propeties框內的Filter string欄位值已改變為「 ipsrc == 10112 and tcpdstport == 80」
bull 確認條件正確後點選「 OK 」鈕即可發現已擷取封包清單窗格的項目均為所設定過濾條件過濾過結果2-86
網路安全
bull 可單選單一封包進行更進階查詢封包內容bull 操作方式為
ndash 點選其中一項封包項目點選滑鼠右鍵選擇Follow TCP Stream
Wireshark操作手法 - 檢視中過濾 (續 )
2-87
網路安全
ndash 此畫面即可看出該項 TCP 封包溝通內容Wireshark操作手法 - 檢視中過濾 (續 )
2-88
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 此功能將所擷取的封包清單使用多種方式呈現封包統計資料便於使用者查詢擷取時間內何種封包數量多寡及圖型顯示bull 操作步驟點選 Statistics 下拉視窗即呈現此視窗 顯示有關擷取清單的摘要以階梯式通訊協定列表顯示所擷取的所有封包
在特定 IP間顯示通訊流量顯示單一 IP 來往封包的流量
以時間軸顯示視覺化封包流量圖2-89
網路安全
bull 可查看到一時段內其封包總數與平均每秒傳遞接收封包數等相關資訊讓使用者了解平均一時段內網路流量狀況藉以初步獲得資訊
Wireshark操作手法 - 檢視中過濾 (續 )
2-90
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 讓使用者可透過階梯式封包分類表來查看哪一類封包佔為居多可進一步推測是否該類型封包影響到整體網路或是否有異常或不常見封包類型在網路中傳遞
2-91
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 將該擷取時段內封包清單檔以兩個特定 IP 之間對傳封包為區隔顯示出哪兩個特定 IP間傳遞封包數多寡bull 可讓使用者更進一步研判兩個特定 IP所屬設備傳遞狀況是否異常
2-92
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 將該擷取時段內封包清單檔以特定IP 傳遞封包數為區隔顯示出哪特定IP 傳遞封包數多寡
bull 可讓使用者更進一步研判該特定所屬設備傳遞封包數是否異常作為管制緊急管制或禁止通訊之證明2-93
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 以時間軸顯示視覺化封包流量圖bull 讓使用者可觀察所管理設備資訊流通量以了解設備是否能負荷或作相關調整等處置
2-94
網路安全
FTP 擷取密碼案例bull 於Wireshark軟體選擇 Capture 下拉選單功能項點選 Interfaces 選項
2-95
網路安全
FTP 擷取密碼案例 (續 )
bull 確認欲擷取封包之網卡名稱如紅色底線所示確認後點選 Start鈕
2-96
網路安全
FTP 擷取密碼案例 (續 )
bull 切換至 FTP Client 電腦開啟 FileZilla 程式後連線到 FTP Server 於 Host 填入10123 Username填入 tester Password填入testpw 後點選 Quickconnect鈕
2-97
網路安全
FTP 擷取密碼案例 (續 )
bull 擷取到的封包資訊會顯示於已擷取封包清單窗格內
2-98
網路安全
FTP 擷取密碼案例 (續 )
bull 使用 FTP軟體登入 ftp站後 Wireshark 將擷取到的使用者名稱與密碼如紅框所示
2-99
網路安全
FTP 擷取密碼案例 (續 )
bull 點選已擷取封包清單窗格的密碼資訊列如標示1 的紅框所示即可在封包內容窗格看到該密碼的位元碼如標示 2 的紅框所示
1
2
2-100
網路安全
架設實作 (三 )
Outlook Express 擷取密碼案例
2-101
網路安全
實驗環境介紹bull 以 Testbed建立一實驗相關拓樸及設定如下圖
OEClientOSWindows XP SP3IP 10112執行 Outlook Express
MailServerOSWindows XP SP3IP 10122安裝軟體 ArGoSoft Mail Server
2-102
WiresharkOSWindows XP SP3IP1 10113 IP2 10123安裝軟體 Wireshark
IP1IP2
網路安全
實驗拓樸 on TestbedTWISC- 建立完成的實驗拓樸
2-103
網路安全
郵件伺服器工具 - ArGoSoft Mail Server
bull 版本ndash 1892 Freeware
bull 支援作業平台ndash Windows
bull 下載位址ndash httpwwwsoftkingcomtwsoftdownloadaspfid3=7367
2-104
網路安全
郵件客戶端工具 - Outlook Express
bull 版本ndash 60
bull 支援作業平台ndash Windows
bull 下載位址ndash Windows 內建
2-105
網路安全
bull 安裝及設定郵件伺服器ndash 1下載並執行 ArGoSoft Mail Server軟體點選
Setup鈕
Outlook Express 擷取密碼案例
2-106
網路安全
ndash 1 點選 Next鈕ndash 2 點選 Start Installation鈕
Outlook Express 擷取密碼案例 (續 )
2-107
網路安全
ndash 3 點選 OK鈕ndash 4 點選 Finish鈕完成軟體安裝
Outlook Express 擷取密碼案例 (續 )
2-108
網路安全
ndash 5 點選使用者設定鈕如紅圈所示ndash 6 點選新增鈕如紅框所示
Outlook Express 擷取密碼案例 (續 )
2-109
網路安全
ndash 7填入使用者名稱 (tester) 及密碼 (testpw) 如紅圈所示填寫完成後點選 OK鈕ndash 8 點選 Close鈕關閉使用者設定視窗
Outlook Express 擷取密碼案例 (續 )
2-110
網路安全
ndash 9 點選選項鈕如左側圖中紅色圈所示ndash 10 點選紅色打勾鈕如右側圖中紅色圈所示
2-111
Outlook Express 擷取密碼案例 (續 )
網路安全
ndash 11該軟體會自動選取 DNS Server 待選取後點選 Yes鈕ndash 12 勾選 Allow Relay 選項如紅框所示
2-112
Outlook Express 擷取密碼案例 (續 )
網路安全
Outlook Express 擷取密碼案例 (續 )
bull 設定收信帳號ndash 1 點選 Tools功能選單選擇 Accounts 選項
2-113
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 2 點選 Add鈕選擇 Mail 選項
2-114
網路安全
ndash 3填入 tester 點選 Next鈕ndash 4填入 testertestcom 點選 Next鈕
Outlook Express 擷取密碼案例 (續 )
2-115
網路安全
ndash 5填入 10123 如紅框所示點選 Next鈕ndash 6填入帳號為 tester 及密碼為 testpw 點選 Next鈕
Outlook Express 擷取密碼案例 (續 )
2-116
網路安全
ndash 7 點選 Finish鈕ndash 8 點選 Close鈕
Outlook Express 擷取密碼案例 (續 )
2-117
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 模擬條件準備好後首先準備Wireshark 擷取動作開啟Wireshark
2-118
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 於Wireshark軟體選擇 Capture 下拉選單功能項點選 Interfaces 選項
2-119
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 確認欲擷取封包之網卡名稱如紅色底線所示確認後點選 Start鈕
2-120
網路安全
ndash 當使用者收發 email 時即被 Wireshark攔截封包ndash 有發現到該 Outlook Express帳號密碼是如此清晰可見的嗎
Outlook Express 擷取密碼案例 (續 )
2-121
網路安全
結論bull 學習了 Wireshark及WinDump 兩套網路封包擷取軟體基本概念如同電話側錄概念相同從中複製一連串資訊來分析與了解網路的流量及內容為何bull 當你發現網路速度緩慢等狀況你是否會反應到所學的基本概念來找尋問題所在bull 防範概念由此課程的實例可以了解網路內容如被有心人士擷取所造成的損失相當可觀故你是否有對策有哪些方式你可以應用來防範bull 正確的思考善用對的工具將對解決問題事半功倍
2-122
網路安全 2-123
Module 2-5 封包擷取與分析的專案實作()
網路安全
專案目的bull 建立遠端管理傳遞指令資訊環境bull 利用實際攔截封包操作的方式讓同學了解封包擷取運作與網路資訊流通的顧慮等相關議題
2-124
網路安全
專案描述bull 近年來遠端管理伺服器及網路服務普及光是密碼保護就足夠了嗎是否重點網段須全程加密還是作網段隔離經由此專案實作即可了解不僅部分加密仍有其風險所在網路架構如何規劃將是非常重要的課題bull 參考環境配置圖完成下列要求①環境裡的攔截封包主機是 Windows XP SP3 作業系統而該主機安裝Wireshark軟體②另兩台主機的作業系統亦是 Windows XP SP3 並裝上
MySQL軟體 MySQL帳號為 root 密碼為您的學號 (如 Q3896105)
③在MySQLClient 電腦使用 MySQL Commandline 指令連線至MySQLServer 擷取資料庫資訊
④我們針對這兩台主機傳訊的封包擷取由整個實做中思考如何防範資訊外洩與了解傳訊封包如何流動及運作2-125
網路安全
環境配置圖bull 以 Testbed建立一實驗相關拓樸及設定如下圖
MySQLServerOSWINXP-SP3-CH-pc3000 IP 10123安裝軟體 MySQL
MySQLClientOSWINXP-SP3-CH-pc3000 IP 10112安裝軟體 MySQL
2-126
WireSharkOSWINXP-SP3-CH-pc3000 IP1 10113IP2 10122安裝軟體 Wireshark
IP1IP2
網路安全
作業繳交bull 請參考情境測試發送數個 SQL 指令並將過程與擷取到的封包資訊之截圖列於報告中所有圖表皆需要輔以文字說明bull Deadline 2012312 下午 500 以前bull 作業範圍 Module 2-5 (page 2-128)bull 方式 (參考課程網址 )
ndash 帳號密碼小寫的 (ns100ns100)ndash IP 140116164167
2-127
網路安全
有問題嗎
bull 關於 TestBed 使用上的問題請直接 Email至 twisc-testbed-usergooglegroupscom 將有專人為您服務bull 課程網址
httpitlabeenckuedutwcoursesNS_100indexhtml
2-128
bull 助教資訊 (參考課程網址 )
網路安全
參考資料bull Dienet httplinuxdienetman1wiresharkbull Orebaugh Angela Ramirez Gilbert Burke Josh Pesce Larry Wright
Joshua(2007) Wireshark and Ethereal network protocol analyzer toolkitbull Tony Fortunato(2007) Wireshark Training Retrieved July 22 2009 from
the World Wide Web httpwwwthetechfirmcometherealwiresharkpdfbull WinDump httpwwwwinpcaporgWinDumpbull Wireshark httpwwwwiresharkorgbull Wireshark University httpwwwwiresharktrainingcombull 楊中皇 (民 97年 ) 網路安全理論與實務 (2版 ) 台北市學貫bull 蘇淑茵教授 Wireshark 民國 98年 6月 28日取自 httpmywebnckuedutw~sisou
2-129
網路安全
實驗拓樸 on TestbedTWISC- 建立完成的實驗拓樸
2-51
網路安全
FTP伺服器工具 - RaidenFTPD
bull 版本ndash 24 build 3720
bull 支援作業平台ndash Windows
bull 下載位址ndash httpwwwraidenmaildcomdownloadraidenftpd2exe
2-52
網路安全
RaidenFTPD 安裝步驟bull 下載Windows平台最新版本檔案下載完成後執行該安裝程式
2-53
網路安全
RaidenFTPD 安裝步驟 (續 )
bull 此步驟使用預設路徑即可按下 Install 進行安裝
2-54
網路安全
RaidenFTPD設定步驟bull 程式開啟畫面如下選擇 Click here to start a new
server 進行 FTP伺服器設定
2-55
網路安全
RaidenFTPD設定步驟 (續 )
bull 此處可設定 Server name與 Server IP 將 Auto IP 取消勾選並將 Server IP設為 10123
2-56
網路安全
RaidenFTPD設定步驟 (續 )
bull 接下來的步驟依照預設值即可
2-57
網路安全
RaidenFTPD設定步驟 (續 )
bull 設定人員帳號與群組按下 Add鈕輸入帳號密碼群組名稱可略過完成後按下 Next 進行下一步驟
2-58
網路安全
RaidenFTPD設定步驟 (續 )
bull 此步驟設定該帳號登入 FTP 時的權限選擇NORMAL 按下 Next 進行下一步驟
2-59
網路安全
RaidenFTPD設定步驟 (續 )
bull 接下來的步驟皆以預設值即可完成設定之後會出現對話視窗顯示您所設定的資訊
2-60
網路安全
FTP 用戶端工具 - Filezilla
bull 版本ndash 328
bull 支援作業平台ndash Windows Linux及Mac
bull 下載位址ndash httpsourceforgenetprojectsfilezillafiles
FileZilla_Client328FileZilla_328_win32zipdownload
2-61
網路安全
Filezilla 安裝步驟bull 執行 Filezilla 安裝程式點選 I agree 鈕
2-62
網路安全
Filezilla 安裝步驟 (續 )
bull 以預設值安裝點選兩次 Next 鈕
2-63
網路安全
Filezilla 安裝步驟 (續 )
bull 以預設值安裝點選 Next 鈕後再點選 Install 鈕
2-64
網路安全
Filezilla 安裝步驟 (續 )
bull 以預設值安裝點選 Next 鈕後再點選 Finish 鈕
2-65
網路安全
封包擷取工具 - Wireshark
bull 版本ndash 165
bull 支援作業平台ndash Windows Linux及 FreeBSD
bull 其他需求ndash 安裝WinPcap 31 以上版本
bull 下載位址ndash httpwiresharkdownloadsriverbedcomwireshark
win32wireshark-win32-165exe
2-66
網路安全
Wireshark 安裝步驟bull 至官方網站下載Windows平台最新版本檔案下載完成後執行該安裝程式
2-67
網路安全
Wireshark 安裝步驟 (續 )
bull 於下一步出現的版權宣告點選 I Agree鈕後繼續下一步驟
2-68
網路安全
Wireshark 安裝步驟 (續 )
bull 此步驟選擇欲安裝的元件以軟體預設勾選之項目安裝
2-69
網路安全
Wireshark 安裝步驟 (續 )
bull 此步驟使用預設路徑即可
2-70
網路安全
Wireshark 安裝步驟 (續 )
bull 此步驟將安裝Windows平台須加裝之套件 -WinPcap 若原系統未安裝過 WinPcap套件請以軟體預設項目安裝之
2-71
網路安全
Wireshark 安裝步驟 (續 )
bull 此步驟代表 Wireshark軟體已安裝完成可點選Finish 鈕或勾選 Run Wireshark 165 隨即使用該套軟體
2-72
網路安全
一般工具列Wireshark軟體介面介紹
2-73
篩選工具列封包清單窗格
封包內容窗格封包位元組窗格
網路安全
Wireshark 使用思考方向bull 遇到網路問題是否觀察網路通道中有異常動作或狀況
ndash 思考方向ndash 反應到擷取數據方法那麼以 Wireshark 擷取使用者需要擷取哪些數據這些數據由使用者電腦哪個裝置來擷取
bull Wireshark操作流程
bull 接下來我們進行軟體操作介紹
解決問題 擷取數據要先做什麼
擷取數據 擷取哪些數據( 過濾條件 )數據哪裡來( 網路介面卡 )
2-74
網路安全
數據哪裡來 - Capture功能bull 一開啟方式
ndash 1 點選快速鈕如紅色圈所示ndash 2 點選 Capture功能表 下拉選單後點選 Optionsndash 3鍵盤快速鍵 Ctrl + K
2-75
網路安全
數據哪裡來 - Capture功能 (續 )
bull 二開啟後顯示 Capture Options 的視窗畫面即可看到所提供的擷取功能選項
2-76
網路安全
數據哪裡來 - Capture功能 (續 )
bull Capture Options 常用的欄位設定ndash Caputure 框
bull 1Interface 會顯示出在系統上所有網路卡但只能選取一個介面作為封包擷取bull 2Capture packets in promiscuous mode 選取此選項就是經過所選取的網路卡的所有封包都會被擷取下來bull 3Capture Filter 指定擷取過濾器運算式擷取想要的特定封包即為擷取中過濾之功能
2-77
網路安全
數據哪裡來 - Capture功能 (續 )
bull Capture Options 常用的欄位設定ndash Display Options 框
bull Update list of packets in real time 指定在擷取封包過程中能夠即時更新已擷取封包清單窗格視窗中的封包資訊若取消則軟體主視窗更新畫面是沒有動作的
2-78
網路安全
bull Capture Options 常用的欄位設定ndash Name Resolution框
bull 1 Enable MAC name resolution 指定是否將網路卡MAC address 的前三個位元組轉換成製造商名稱
bull 2 Enable network name resolution 指定是否將 IP address轉換成 DNS 網域名稱
bull 3 Enable transport name resolution 指定是否將通信埠號碼 (port numbers)轉成協定名稱 (protocols)bull 各位了解數據從哪裡擷取的概念與操作之後即可以進一步加上附帶條件 (篩選條件 ) 等相關操作方式
數據哪裡來 - Capture功能 (續 )
2-79
網路安全
Wireshark操作手法bull 延續遇到問題的思考方向及軟體操作手法我們可以將操作流程分為兩種
ndash 擷取中過濾 (Filter while capturing)bull 優點僅擷取已知範圍資訊網路流量少bull 缺點需先了解問題類型避免可能有遺漏真正欲擷取資訊之狀況
ndash 檢視中過濾 (Filter packets while viewing)bull 優點不用先預設條件擷取所有封包資訊bull 缺點影響網路流量
先預設欲擷取條件 擷取數據
擷取數據 再篩選欲查詢數據2-80
網路安全
Wireshark操作手法 - 擷取中過濾bull 操作步驟
ndash 點選 Capture 下拉視窗選擇 Capture Filters 即呈現此視窗
bull 操作範例ndash 1於 Filter窗格中選擇 IP
Address 10112ndash 2於 Properties窗格中即顯示該選項的設定值如圖所示為 host 10112ndash 3 即可設定軟體僅針對
10112 的封包作擷取動作 延伸操作思考1 改變 Filter string 值得到什麼結果2 點選 Edit 窗格中的 New 鈕 新增自訂條件 2-81
網路安全
Wireshark操作手法 - 檢視中過濾bull 此步驟即以已擷取封包清單窗格為基礎以過濾條件過濾該清單bull 可直接選擇軟體預設項目如以下操作
ndash 操作步驟bull 點選 Analyze 下拉視窗選擇
Display Filters 即呈現此視窗ndash 操作範例
bull 1於 Filter窗格中選擇 IP Address 10112
bull 2於 Properties窗格中即顯示該選項的設定值如圖所示值為host 10112
bull 3 即可設定軟體僅針對 10112的封包作顯示動作 延伸操作思考1 可否進行進一步自訂設定值
2-82
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 若電腦 IP為 10112 欲篩選出 IP 來源為上述 IP 且協定為 TCP 80port 的所有封包ndash 操作步驟
bull 點選 Expression鈕即出現此視窗ndash 1於 Field name框選擇
IP項目中的 ipsrc - Source
ndash 2於 Relation框選擇 ==ndash 3於 Value [IPV4
address]填 入 10112ndash 4 點選 OK鈕 進階思考方式須考慮到例如是來源資訊是目標資訊是什麼協定等更細部所要之條件
2-83
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 再進行第二篩選條件ndash TCP 80 port
bull 操作步驟ndash 1先於 Filter string 輸入文字框「 ipsrc==
10112」後再加上一個空格及「 and 」再進行一次 Expression條件選擇
2-84
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
ndash 2於 Field name框選擇「 tcpdstport」ndash 3於 Relation框選擇「 ==」ndash 4於 Value框填入「 80」ndash 5 選擇「 OK」鈕
2-85
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 注意 Propeties框內的Filter string欄位值已改變為「 ipsrc == 10112 and tcpdstport == 80」
bull 確認條件正確後點選「 OK 」鈕即可發現已擷取封包清單窗格的項目均為所設定過濾條件過濾過結果2-86
網路安全
bull 可單選單一封包進行更進階查詢封包內容bull 操作方式為
ndash 點選其中一項封包項目點選滑鼠右鍵選擇Follow TCP Stream
Wireshark操作手法 - 檢視中過濾 (續 )
2-87
網路安全
ndash 此畫面即可看出該項 TCP 封包溝通內容Wireshark操作手法 - 檢視中過濾 (續 )
2-88
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 此功能將所擷取的封包清單使用多種方式呈現封包統計資料便於使用者查詢擷取時間內何種封包數量多寡及圖型顯示bull 操作步驟點選 Statistics 下拉視窗即呈現此視窗 顯示有關擷取清單的摘要以階梯式通訊協定列表顯示所擷取的所有封包
在特定 IP間顯示通訊流量顯示單一 IP 來往封包的流量
以時間軸顯示視覺化封包流量圖2-89
網路安全
bull 可查看到一時段內其封包總數與平均每秒傳遞接收封包數等相關資訊讓使用者了解平均一時段內網路流量狀況藉以初步獲得資訊
Wireshark操作手法 - 檢視中過濾 (續 )
2-90
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 讓使用者可透過階梯式封包分類表來查看哪一類封包佔為居多可進一步推測是否該類型封包影響到整體網路或是否有異常或不常見封包類型在網路中傳遞
2-91
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 將該擷取時段內封包清單檔以兩個特定 IP 之間對傳封包為區隔顯示出哪兩個特定 IP間傳遞封包數多寡bull 可讓使用者更進一步研判兩個特定 IP所屬設備傳遞狀況是否異常
2-92
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 將該擷取時段內封包清單檔以特定IP 傳遞封包數為區隔顯示出哪特定IP 傳遞封包數多寡
bull 可讓使用者更進一步研判該特定所屬設備傳遞封包數是否異常作為管制緊急管制或禁止通訊之證明2-93
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 以時間軸顯示視覺化封包流量圖bull 讓使用者可觀察所管理設備資訊流通量以了解設備是否能負荷或作相關調整等處置
2-94
網路安全
FTP 擷取密碼案例bull 於Wireshark軟體選擇 Capture 下拉選單功能項點選 Interfaces 選項
2-95
網路安全
FTP 擷取密碼案例 (續 )
bull 確認欲擷取封包之網卡名稱如紅色底線所示確認後點選 Start鈕
2-96
網路安全
FTP 擷取密碼案例 (續 )
bull 切換至 FTP Client 電腦開啟 FileZilla 程式後連線到 FTP Server 於 Host 填入10123 Username填入 tester Password填入testpw 後點選 Quickconnect鈕
2-97
網路安全
FTP 擷取密碼案例 (續 )
bull 擷取到的封包資訊會顯示於已擷取封包清單窗格內
2-98
網路安全
FTP 擷取密碼案例 (續 )
bull 使用 FTP軟體登入 ftp站後 Wireshark 將擷取到的使用者名稱與密碼如紅框所示
2-99
網路安全
FTP 擷取密碼案例 (續 )
bull 點選已擷取封包清單窗格的密碼資訊列如標示1 的紅框所示即可在封包內容窗格看到該密碼的位元碼如標示 2 的紅框所示
1
2
2-100
網路安全
架設實作 (三 )
Outlook Express 擷取密碼案例
2-101
網路安全
實驗環境介紹bull 以 Testbed建立一實驗相關拓樸及設定如下圖
OEClientOSWindows XP SP3IP 10112執行 Outlook Express
MailServerOSWindows XP SP3IP 10122安裝軟體 ArGoSoft Mail Server
2-102
WiresharkOSWindows XP SP3IP1 10113 IP2 10123安裝軟體 Wireshark
IP1IP2
網路安全
實驗拓樸 on TestbedTWISC- 建立完成的實驗拓樸
2-103
網路安全
郵件伺服器工具 - ArGoSoft Mail Server
bull 版本ndash 1892 Freeware
bull 支援作業平台ndash Windows
bull 下載位址ndash httpwwwsoftkingcomtwsoftdownloadaspfid3=7367
2-104
網路安全
郵件客戶端工具 - Outlook Express
bull 版本ndash 60
bull 支援作業平台ndash Windows
bull 下載位址ndash Windows 內建
2-105
網路安全
bull 安裝及設定郵件伺服器ndash 1下載並執行 ArGoSoft Mail Server軟體點選
Setup鈕
Outlook Express 擷取密碼案例
2-106
網路安全
ndash 1 點選 Next鈕ndash 2 點選 Start Installation鈕
Outlook Express 擷取密碼案例 (續 )
2-107
網路安全
ndash 3 點選 OK鈕ndash 4 點選 Finish鈕完成軟體安裝
Outlook Express 擷取密碼案例 (續 )
2-108
網路安全
ndash 5 點選使用者設定鈕如紅圈所示ndash 6 點選新增鈕如紅框所示
Outlook Express 擷取密碼案例 (續 )
2-109
網路安全
ndash 7填入使用者名稱 (tester) 及密碼 (testpw) 如紅圈所示填寫完成後點選 OK鈕ndash 8 點選 Close鈕關閉使用者設定視窗
Outlook Express 擷取密碼案例 (續 )
2-110
網路安全
ndash 9 點選選項鈕如左側圖中紅色圈所示ndash 10 點選紅色打勾鈕如右側圖中紅色圈所示
2-111
Outlook Express 擷取密碼案例 (續 )
網路安全
ndash 11該軟體會自動選取 DNS Server 待選取後點選 Yes鈕ndash 12 勾選 Allow Relay 選項如紅框所示
2-112
Outlook Express 擷取密碼案例 (續 )
網路安全
Outlook Express 擷取密碼案例 (續 )
bull 設定收信帳號ndash 1 點選 Tools功能選單選擇 Accounts 選項
2-113
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 2 點選 Add鈕選擇 Mail 選項
2-114
網路安全
ndash 3填入 tester 點選 Next鈕ndash 4填入 testertestcom 點選 Next鈕
Outlook Express 擷取密碼案例 (續 )
2-115
網路安全
ndash 5填入 10123 如紅框所示點選 Next鈕ndash 6填入帳號為 tester 及密碼為 testpw 點選 Next鈕
Outlook Express 擷取密碼案例 (續 )
2-116
網路安全
ndash 7 點選 Finish鈕ndash 8 點選 Close鈕
Outlook Express 擷取密碼案例 (續 )
2-117
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 模擬條件準備好後首先準備Wireshark 擷取動作開啟Wireshark
2-118
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 於Wireshark軟體選擇 Capture 下拉選單功能項點選 Interfaces 選項
2-119
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 確認欲擷取封包之網卡名稱如紅色底線所示確認後點選 Start鈕
2-120
網路安全
ndash 當使用者收發 email 時即被 Wireshark攔截封包ndash 有發現到該 Outlook Express帳號密碼是如此清晰可見的嗎
Outlook Express 擷取密碼案例 (續 )
2-121
網路安全
結論bull 學習了 Wireshark及WinDump 兩套網路封包擷取軟體基本概念如同電話側錄概念相同從中複製一連串資訊來分析與了解網路的流量及內容為何bull 當你發現網路速度緩慢等狀況你是否會反應到所學的基本概念來找尋問題所在bull 防範概念由此課程的實例可以了解網路內容如被有心人士擷取所造成的損失相當可觀故你是否有對策有哪些方式你可以應用來防範bull 正確的思考善用對的工具將對解決問題事半功倍
2-122
網路安全 2-123
Module 2-5 封包擷取與分析的專案實作()
網路安全
專案目的bull 建立遠端管理傳遞指令資訊環境bull 利用實際攔截封包操作的方式讓同學了解封包擷取運作與網路資訊流通的顧慮等相關議題
2-124
網路安全
專案描述bull 近年來遠端管理伺服器及網路服務普及光是密碼保護就足夠了嗎是否重點網段須全程加密還是作網段隔離經由此專案實作即可了解不僅部分加密仍有其風險所在網路架構如何規劃將是非常重要的課題bull 參考環境配置圖完成下列要求①環境裡的攔截封包主機是 Windows XP SP3 作業系統而該主機安裝Wireshark軟體②另兩台主機的作業系統亦是 Windows XP SP3 並裝上
MySQL軟體 MySQL帳號為 root 密碼為您的學號 (如 Q3896105)
③在MySQLClient 電腦使用 MySQL Commandline 指令連線至MySQLServer 擷取資料庫資訊
④我們針對這兩台主機傳訊的封包擷取由整個實做中思考如何防範資訊外洩與了解傳訊封包如何流動及運作2-125
網路安全
環境配置圖bull 以 Testbed建立一實驗相關拓樸及設定如下圖
MySQLServerOSWINXP-SP3-CH-pc3000 IP 10123安裝軟體 MySQL
MySQLClientOSWINXP-SP3-CH-pc3000 IP 10112安裝軟體 MySQL
2-126
WireSharkOSWINXP-SP3-CH-pc3000 IP1 10113IP2 10122安裝軟體 Wireshark
IP1IP2
網路安全
作業繳交bull 請參考情境測試發送數個 SQL 指令並將過程與擷取到的封包資訊之截圖列於報告中所有圖表皆需要輔以文字說明bull Deadline 2012312 下午 500 以前bull 作業範圍 Module 2-5 (page 2-128)bull 方式 (參考課程網址 )
ndash 帳號密碼小寫的 (ns100ns100)ndash IP 140116164167
2-127
網路安全
有問題嗎
bull 關於 TestBed 使用上的問題請直接 Email至 twisc-testbed-usergooglegroupscom 將有專人為您服務bull 課程網址
httpitlabeenckuedutwcoursesNS_100indexhtml
2-128
bull 助教資訊 (參考課程網址 )
網路安全
參考資料bull Dienet httplinuxdienetman1wiresharkbull Orebaugh Angela Ramirez Gilbert Burke Josh Pesce Larry Wright
Joshua(2007) Wireshark and Ethereal network protocol analyzer toolkitbull Tony Fortunato(2007) Wireshark Training Retrieved July 22 2009 from
the World Wide Web httpwwwthetechfirmcometherealwiresharkpdfbull WinDump httpwwwwinpcaporgWinDumpbull Wireshark httpwwwwiresharkorgbull Wireshark University httpwwwwiresharktrainingcombull 楊中皇 (民 97年 ) 網路安全理論與實務 (2版 ) 台北市學貫bull 蘇淑茵教授 Wireshark 民國 98年 6月 28日取自 httpmywebnckuedutw~sisou
2-129
網路安全
FTP伺服器工具 - RaidenFTPD
bull 版本ndash 24 build 3720
bull 支援作業平台ndash Windows
bull 下載位址ndash httpwwwraidenmaildcomdownloadraidenftpd2exe
2-52
網路安全
RaidenFTPD 安裝步驟bull 下載Windows平台最新版本檔案下載完成後執行該安裝程式
2-53
網路安全
RaidenFTPD 安裝步驟 (續 )
bull 此步驟使用預設路徑即可按下 Install 進行安裝
2-54
網路安全
RaidenFTPD設定步驟bull 程式開啟畫面如下選擇 Click here to start a new
server 進行 FTP伺服器設定
2-55
網路安全
RaidenFTPD設定步驟 (續 )
bull 此處可設定 Server name與 Server IP 將 Auto IP 取消勾選並將 Server IP設為 10123
2-56
網路安全
RaidenFTPD設定步驟 (續 )
bull 接下來的步驟依照預設值即可
2-57
網路安全
RaidenFTPD設定步驟 (續 )
bull 設定人員帳號與群組按下 Add鈕輸入帳號密碼群組名稱可略過完成後按下 Next 進行下一步驟
2-58
網路安全
RaidenFTPD設定步驟 (續 )
bull 此步驟設定該帳號登入 FTP 時的權限選擇NORMAL 按下 Next 進行下一步驟
2-59
網路安全
RaidenFTPD設定步驟 (續 )
bull 接下來的步驟皆以預設值即可完成設定之後會出現對話視窗顯示您所設定的資訊
2-60
網路安全
FTP 用戶端工具 - Filezilla
bull 版本ndash 328
bull 支援作業平台ndash Windows Linux及Mac
bull 下載位址ndash httpsourceforgenetprojectsfilezillafiles
FileZilla_Client328FileZilla_328_win32zipdownload
2-61
網路安全
Filezilla 安裝步驟bull 執行 Filezilla 安裝程式點選 I agree 鈕
2-62
網路安全
Filezilla 安裝步驟 (續 )
bull 以預設值安裝點選兩次 Next 鈕
2-63
網路安全
Filezilla 安裝步驟 (續 )
bull 以預設值安裝點選 Next 鈕後再點選 Install 鈕
2-64
網路安全
Filezilla 安裝步驟 (續 )
bull 以預設值安裝點選 Next 鈕後再點選 Finish 鈕
2-65
網路安全
封包擷取工具 - Wireshark
bull 版本ndash 165
bull 支援作業平台ndash Windows Linux及 FreeBSD
bull 其他需求ndash 安裝WinPcap 31 以上版本
bull 下載位址ndash httpwiresharkdownloadsriverbedcomwireshark
win32wireshark-win32-165exe
2-66
網路安全
Wireshark 安裝步驟bull 至官方網站下載Windows平台最新版本檔案下載完成後執行該安裝程式
2-67
網路安全
Wireshark 安裝步驟 (續 )
bull 於下一步出現的版權宣告點選 I Agree鈕後繼續下一步驟
2-68
網路安全
Wireshark 安裝步驟 (續 )
bull 此步驟選擇欲安裝的元件以軟體預設勾選之項目安裝
2-69
網路安全
Wireshark 安裝步驟 (續 )
bull 此步驟使用預設路徑即可
2-70
網路安全
Wireshark 安裝步驟 (續 )
bull 此步驟將安裝Windows平台須加裝之套件 -WinPcap 若原系統未安裝過 WinPcap套件請以軟體預設項目安裝之
2-71
網路安全
Wireshark 安裝步驟 (續 )
bull 此步驟代表 Wireshark軟體已安裝完成可點選Finish 鈕或勾選 Run Wireshark 165 隨即使用該套軟體
2-72
網路安全
一般工具列Wireshark軟體介面介紹
2-73
篩選工具列封包清單窗格
封包內容窗格封包位元組窗格
網路安全
Wireshark 使用思考方向bull 遇到網路問題是否觀察網路通道中有異常動作或狀況
ndash 思考方向ndash 反應到擷取數據方法那麼以 Wireshark 擷取使用者需要擷取哪些數據這些數據由使用者電腦哪個裝置來擷取
bull Wireshark操作流程
bull 接下來我們進行軟體操作介紹
解決問題 擷取數據要先做什麼
擷取數據 擷取哪些數據( 過濾條件 )數據哪裡來( 網路介面卡 )
2-74
網路安全
數據哪裡來 - Capture功能bull 一開啟方式
ndash 1 點選快速鈕如紅色圈所示ndash 2 點選 Capture功能表 下拉選單後點選 Optionsndash 3鍵盤快速鍵 Ctrl + K
2-75
網路安全
數據哪裡來 - Capture功能 (續 )
bull 二開啟後顯示 Capture Options 的視窗畫面即可看到所提供的擷取功能選項
2-76
網路安全
數據哪裡來 - Capture功能 (續 )
bull Capture Options 常用的欄位設定ndash Caputure 框
bull 1Interface 會顯示出在系統上所有網路卡但只能選取一個介面作為封包擷取bull 2Capture packets in promiscuous mode 選取此選項就是經過所選取的網路卡的所有封包都會被擷取下來bull 3Capture Filter 指定擷取過濾器運算式擷取想要的特定封包即為擷取中過濾之功能
2-77
網路安全
數據哪裡來 - Capture功能 (續 )
bull Capture Options 常用的欄位設定ndash Display Options 框
bull Update list of packets in real time 指定在擷取封包過程中能夠即時更新已擷取封包清單窗格視窗中的封包資訊若取消則軟體主視窗更新畫面是沒有動作的
2-78
網路安全
bull Capture Options 常用的欄位設定ndash Name Resolution框
bull 1 Enable MAC name resolution 指定是否將網路卡MAC address 的前三個位元組轉換成製造商名稱
bull 2 Enable network name resolution 指定是否將 IP address轉換成 DNS 網域名稱
bull 3 Enable transport name resolution 指定是否將通信埠號碼 (port numbers)轉成協定名稱 (protocols)bull 各位了解數據從哪裡擷取的概念與操作之後即可以進一步加上附帶條件 (篩選條件 ) 等相關操作方式
數據哪裡來 - Capture功能 (續 )
2-79
網路安全
Wireshark操作手法bull 延續遇到問題的思考方向及軟體操作手法我們可以將操作流程分為兩種
ndash 擷取中過濾 (Filter while capturing)bull 優點僅擷取已知範圍資訊網路流量少bull 缺點需先了解問題類型避免可能有遺漏真正欲擷取資訊之狀況
ndash 檢視中過濾 (Filter packets while viewing)bull 優點不用先預設條件擷取所有封包資訊bull 缺點影響網路流量
先預設欲擷取條件 擷取數據
擷取數據 再篩選欲查詢數據2-80
網路安全
Wireshark操作手法 - 擷取中過濾bull 操作步驟
ndash 點選 Capture 下拉視窗選擇 Capture Filters 即呈現此視窗
bull 操作範例ndash 1於 Filter窗格中選擇 IP
Address 10112ndash 2於 Properties窗格中即顯示該選項的設定值如圖所示為 host 10112ndash 3 即可設定軟體僅針對
10112 的封包作擷取動作 延伸操作思考1 改變 Filter string 值得到什麼結果2 點選 Edit 窗格中的 New 鈕 新增自訂條件 2-81
網路安全
Wireshark操作手法 - 檢視中過濾bull 此步驟即以已擷取封包清單窗格為基礎以過濾條件過濾該清單bull 可直接選擇軟體預設項目如以下操作
ndash 操作步驟bull 點選 Analyze 下拉視窗選擇
Display Filters 即呈現此視窗ndash 操作範例
bull 1於 Filter窗格中選擇 IP Address 10112
bull 2於 Properties窗格中即顯示該選項的設定值如圖所示值為host 10112
bull 3 即可設定軟體僅針對 10112的封包作顯示動作 延伸操作思考1 可否進行進一步自訂設定值
2-82
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 若電腦 IP為 10112 欲篩選出 IP 來源為上述 IP 且協定為 TCP 80port 的所有封包ndash 操作步驟
bull 點選 Expression鈕即出現此視窗ndash 1於 Field name框選擇
IP項目中的 ipsrc - Source
ndash 2於 Relation框選擇 ==ndash 3於 Value [IPV4
address]填 入 10112ndash 4 點選 OK鈕 進階思考方式須考慮到例如是來源資訊是目標資訊是什麼協定等更細部所要之條件
2-83
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 再進行第二篩選條件ndash TCP 80 port
bull 操作步驟ndash 1先於 Filter string 輸入文字框「 ipsrc==
10112」後再加上一個空格及「 and 」再進行一次 Expression條件選擇
2-84
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
ndash 2於 Field name框選擇「 tcpdstport」ndash 3於 Relation框選擇「 ==」ndash 4於 Value框填入「 80」ndash 5 選擇「 OK」鈕
2-85
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 注意 Propeties框內的Filter string欄位值已改變為「 ipsrc == 10112 and tcpdstport == 80」
bull 確認條件正確後點選「 OK 」鈕即可發現已擷取封包清單窗格的項目均為所設定過濾條件過濾過結果2-86
網路安全
bull 可單選單一封包進行更進階查詢封包內容bull 操作方式為
ndash 點選其中一項封包項目點選滑鼠右鍵選擇Follow TCP Stream
Wireshark操作手法 - 檢視中過濾 (續 )
2-87
網路安全
ndash 此畫面即可看出該項 TCP 封包溝通內容Wireshark操作手法 - 檢視中過濾 (續 )
2-88
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 此功能將所擷取的封包清單使用多種方式呈現封包統計資料便於使用者查詢擷取時間內何種封包數量多寡及圖型顯示bull 操作步驟點選 Statistics 下拉視窗即呈現此視窗 顯示有關擷取清單的摘要以階梯式通訊協定列表顯示所擷取的所有封包
在特定 IP間顯示通訊流量顯示單一 IP 來往封包的流量
以時間軸顯示視覺化封包流量圖2-89
網路安全
bull 可查看到一時段內其封包總數與平均每秒傳遞接收封包數等相關資訊讓使用者了解平均一時段內網路流量狀況藉以初步獲得資訊
Wireshark操作手法 - 檢視中過濾 (續 )
2-90
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 讓使用者可透過階梯式封包分類表來查看哪一類封包佔為居多可進一步推測是否該類型封包影響到整體網路或是否有異常或不常見封包類型在網路中傳遞
2-91
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 將該擷取時段內封包清單檔以兩個特定 IP 之間對傳封包為區隔顯示出哪兩個特定 IP間傳遞封包數多寡bull 可讓使用者更進一步研判兩個特定 IP所屬設備傳遞狀況是否異常
2-92
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 將該擷取時段內封包清單檔以特定IP 傳遞封包數為區隔顯示出哪特定IP 傳遞封包數多寡
bull 可讓使用者更進一步研判該特定所屬設備傳遞封包數是否異常作為管制緊急管制或禁止通訊之證明2-93
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 以時間軸顯示視覺化封包流量圖bull 讓使用者可觀察所管理設備資訊流通量以了解設備是否能負荷或作相關調整等處置
2-94
網路安全
FTP 擷取密碼案例bull 於Wireshark軟體選擇 Capture 下拉選單功能項點選 Interfaces 選項
2-95
網路安全
FTP 擷取密碼案例 (續 )
bull 確認欲擷取封包之網卡名稱如紅色底線所示確認後點選 Start鈕
2-96
網路安全
FTP 擷取密碼案例 (續 )
bull 切換至 FTP Client 電腦開啟 FileZilla 程式後連線到 FTP Server 於 Host 填入10123 Username填入 tester Password填入testpw 後點選 Quickconnect鈕
2-97
網路安全
FTP 擷取密碼案例 (續 )
bull 擷取到的封包資訊會顯示於已擷取封包清單窗格內
2-98
網路安全
FTP 擷取密碼案例 (續 )
bull 使用 FTP軟體登入 ftp站後 Wireshark 將擷取到的使用者名稱與密碼如紅框所示
2-99
網路安全
FTP 擷取密碼案例 (續 )
bull 點選已擷取封包清單窗格的密碼資訊列如標示1 的紅框所示即可在封包內容窗格看到該密碼的位元碼如標示 2 的紅框所示
1
2
2-100
網路安全
架設實作 (三 )
Outlook Express 擷取密碼案例
2-101
網路安全
實驗環境介紹bull 以 Testbed建立一實驗相關拓樸及設定如下圖
OEClientOSWindows XP SP3IP 10112執行 Outlook Express
MailServerOSWindows XP SP3IP 10122安裝軟體 ArGoSoft Mail Server
2-102
WiresharkOSWindows XP SP3IP1 10113 IP2 10123安裝軟體 Wireshark
IP1IP2
網路安全
實驗拓樸 on TestbedTWISC- 建立完成的實驗拓樸
2-103
網路安全
郵件伺服器工具 - ArGoSoft Mail Server
bull 版本ndash 1892 Freeware
bull 支援作業平台ndash Windows
bull 下載位址ndash httpwwwsoftkingcomtwsoftdownloadaspfid3=7367
2-104
網路安全
郵件客戶端工具 - Outlook Express
bull 版本ndash 60
bull 支援作業平台ndash Windows
bull 下載位址ndash Windows 內建
2-105
網路安全
bull 安裝及設定郵件伺服器ndash 1下載並執行 ArGoSoft Mail Server軟體點選
Setup鈕
Outlook Express 擷取密碼案例
2-106
網路安全
ndash 1 點選 Next鈕ndash 2 點選 Start Installation鈕
Outlook Express 擷取密碼案例 (續 )
2-107
網路安全
ndash 3 點選 OK鈕ndash 4 點選 Finish鈕完成軟體安裝
Outlook Express 擷取密碼案例 (續 )
2-108
網路安全
ndash 5 點選使用者設定鈕如紅圈所示ndash 6 點選新增鈕如紅框所示
Outlook Express 擷取密碼案例 (續 )
2-109
網路安全
ndash 7填入使用者名稱 (tester) 及密碼 (testpw) 如紅圈所示填寫完成後點選 OK鈕ndash 8 點選 Close鈕關閉使用者設定視窗
Outlook Express 擷取密碼案例 (續 )
2-110
網路安全
ndash 9 點選選項鈕如左側圖中紅色圈所示ndash 10 點選紅色打勾鈕如右側圖中紅色圈所示
2-111
Outlook Express 擷取密碼案例 (續 )
網路安全
ndash 11該軟體會自動選取 DNS Server 待選取後點選 Yes鈕ndash 12 勾選 Allow Relay 選項如紅框所示
2-112
Outlook Express 擷取密碼案例 (續 )
網路安全
Outlook Express 擷取密碼案例 (續 )
bull 設定收信帳號ndash 1 點選 Tools功能選單選擇 Accounts 選項
2-113
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 2 點選 Add鈕選擇 Mail 選項
2-114
網路安全
ndash 3填入 tester 點選 Next鈕ndash 4填入 testertestcom 點選 Next鈕
Outlook Express 擷取密碼案例 (續 )
2-115
網路安全
ndash 5填入 10123 如紅框所示點選 Next鈕ndash 6填入帳號為 tester 及密碼為 testpw 點選 Next鈕
Outlook Express 擷取密碼案例 (續 )
2-116
網路安全
ndash 7 點選 Finish鈕ndash 8 點選 Close鈕
Outlook Express 擷取密碼案例 (續 )
2-117
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 模擬條件準備好後首先準備Wireshark 擷取動作開啟Wireshark
2-118
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 於Wireshark軟體選擇 Capture 下拉選單功能項點選 Interfaces 選項
2-119
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 確認欲擷取封包之網卡名稱如紅色底線所示確認後點選 Start鈕
2-120
網路安全
ndash 當使用者收發 email 時即被 Wireshark攔截封包ndash 有發現到該 Outlook Express帳號密碼是如此清晰可見的嗎
Outlook Express 擷取密碼案例 (續 )
2-121
網路安全
結論bull 學習了 Wireshark及WinDump 兩套網路封包擷取軟體基本概念如同電話側錄概念相同從中複製一連串資訊來分析與了解網路的流量及內容為何bull 當你發現網路速度緩慢等狀況你是否會反應到所學的基本概念來找尋問題所在bull 防範概念由此課程的實例可以了解網路內容如被有心人士擷取所造成的損失相當可觀故你是否有對策有哪些方式你可以應用來防範bull 正確的思考善用對的工具將對解決問題事半功倍
2-122
網路安全 2-123
Module 2-5 封包擷取與分析的專案實作()
網路安全
專案目的bull 建立遠端管理傳遞指令資訊環境bull 利用實際攔截封包操作的方式讓同學了解封包擷取運作與網路資訊流通的顧慮等相關議題
2-124
網路安全
專案描述bull 近年來遠端管理伺服器及網路服務普及光是密碼保護就足夠了嗎是否重點網段須全程加密還是作網段隔離經由此專案實作即可了解不僅部分加密仍有其風險所在網路架構如何規劃將是非常重要的課題bull 參考環境配置圖完成下列要求①環境裡的攔截封包主機是 Windows XP SP3 作業系統而該主機安裝Wireshark軟體②另兩台主機的作業系統亦是 Windows XP SP3 並裝上
MySQL軟體 MySQL帳號為 root 密碼為您的學號 (如 Q3896105)
③在MySQLClient 電腦使用 MySQL Commandline 指令連線至MySQLServer 擷取資料庫資訊
④我們針對這兩台主機傳訊的封包擷取由整個實做中思考如何防範資訊外洩與了解傳訊封包如何流動及運作2-125
網路安全
環境配置圖bull 以 Testbed建立一實驗相關拓樸及設定如下圖
MySQLServerOSWINXP-SP3-CH-pc3000 IP 10123安裝軟體 MySQL
MySQLClientOSWINXP-SP3-CH-pc3000 IP 10112安裝軟體 MySQL
2-126
WireSharkOSWINXP-SP3-CH-pc3000 IP1 10113IP2 10122安裝軟體 Wireshark
IP1IP2
網路安全
作業繳交bull 請參考情境測試發送數個 SQL 指令並將過程與擷取到的封包資訊之截圖列於報告中所有圖表皆需要輔以文字說明bull Deadline 2012312 下午 500 以前bull 作業範圍 Module 2-5 (page 2-128)bull 方式 (參考課程網址 )
ndash 帳號密碼小寫的 (ns100ns100)ndash IP 140116164167
2-127
網路安全
有問題嗎
bull 關於 TestBed 使用上的問題請直接 Email至 twisc-testbed-usergooglegroupscom 將有專人為您服務bull 課程網址
httpitlabeenckuedutwcoursesNS_100indexhtml
2-128
bull 助教資訊 (參考課程網址 )
網路安全
參考資料bull Dienet httplinuxdienetman1wiresharkbull Orebaugh Angela Ramirez Gilbert Burke Josh Pesce Larry Wright
Joshua(2007) Wireshark and Ethereal network protocol analyzer toolkitbull Tony Fortunato(2007) Wireshark Training Retrieved July 22 2009 from
the World Wide Web httpwwwthetechfirmcometherealwiresharkpdfbull WinDump httpwwwwinpcaporgWinDumpbull Wireshark httpwwwwiresharkorgbull Wireshark University httpwwwwiresharktrainingcombull 楊中皇 (民 97年 ) 網路安全理論與實務 (2版 ) 台北市學貫bull 蘇淑茵教授 Wireshark 民國 98年 6月 28日取自 httpmywebnckuedutw~sisou
2-129
網路安全
RaidenFTPD 安裝步驟bull 下載Windows平台最新版本檔案下載完成後執行該安裝程式
2-53
網路安全
RaidenFTPD 安裝步驟 (續 )
bull 此步驟使用預設路徑即可按下 Install 進行安裝
2-54
網路安全
RaidenFTPD設定步驟bull 程式開啟畫面如下選擇 Click here to start a new
server 進行 FTP伺服器設定
2-55
網路安全
RaidenFTPD設定步驟 (續 )
bull 此處可設定 Server name與 Server IP 將 Auto IP 取消勾選並將 Server IP設為 10123
2-56
網路安全
RaidenFTPD設定步驟 (續 )
bull 接下來的步驟依照預設值即可
2-57
網路安全
RaidenFTPD設定步驟 (續 )
bull 設定人員帳號與群組按下 Add鈕輸入帳號密碼群組名稱可略過完成後按下 Next 進行下一步驟
2-58
網路安全
RaidenFTPD設定步驟 (續 )
bull 此步驟設定該帳號登入 FTP 時的權限選擇NORMAL 按下 Next 進行下一步驟
2-59
網路安全
RaidenFTPD設定步驟 (續 )
bull 接下來的步驟皆以預設值即可完成設定之後會出現對話視窗顯示您所設定的資訊
2-60
網路安全
FTP 用戶端工具 - Filezilla
bull 版本ndash 328
bull 支援作業平台ndash Windows Linux及Mac
bull 下載位址ndash httpsourceforgenetprojectsfilezillafiles
FileZilla_Client328FileZilla_328_win32zipdownload
2-61
網路安全
Filezilla 安裝步驟bull 執行 Filezilla 安裝程式點選 I agree 鈕
2-62
網路安全
Filezilla 安裝步驟 (續 )
bull 以預設值安裝點選兩次 Next 鈕
2-63
網路安全
Filezilla 安裝步驟 (續 )
bull 以預設值安裝點選 Next 鈕後再點選 Install 鈕
2-64
網路安全
Filezilla 安裝步驟 (續 )
bull 以預設值安裝點選 Next 鈕後再點選 Finish 鈕
2-65
網路安全
封包擷取工具 - Wireshark
bull 版本ndash 165
bull 支援作業平台ndash Windows Linux及 FreeBSD
bull 其他需求ndash 安裝WinPcap 31 以上版本
bull 下載位址ndash httpwiresharkdownloadsriverbedcomwireshark
win32wireshark-win32-165exe
2-66
網路安全
Wireshark 安裝步驟bull 至官方網站下載Windows平台最新版本檔案下載完成後執行該安裝程式
2-67
網路安全
Wireshark 安裝步驟 (續 )
bull 於下一步出現的版權宣告點選 I Agree鈕後繼續下一步驟
2-68
網路安全
Wireshark 安裝步驟 (續 )
bull 此步驟選擇欲安裝的元件以軟體預設勾選之項目安裝
2-69
網路安全
Wireshark 安裝步驟 (續 )
bull 此步驟使用預設路徑即可
2-70
網路安全
Wireshark 安裝步驟 (續 )
bull 此步驟將安裝Windows平台須加裝之套件 -WinPcap 若原系統未安裝過 WinPcap套件請以軟體預設項目安裝之
2-71
網路安全
Wireshark 安裝步驟 (續 )
bull 此步驟代表 Wireshark軟體已安裝完成可點選Finish 鈕或勾選 Run Wireshark 165 隨即使用該套軟體
2-72
網路安全
一般工具列Wireshark軟體介面介紹
2-73
篩選工具列封包清單窗格
封包內容窗格封包位元組窗格
網路安全
Wireshark 使用思考方向bull 遇到網路問題是否觀察網路通道中有異常動作或狀況
ndash 思考方向ndash 反應到擷取數據方法那麼以 Wireshark 擷取使用者需要擷取哪些數據這些數據由使用者電腦哪個裝置來擷取
bull Wireshark操作流程
bull 接下來我們進行軟體操作介紹
解決問題 擷取數據要先做什麼
擷取數據 擷取哪些數據( 過濾條件 )數據哪裡來( 網路介面卡 )
2-74
網路安全
數據哪裡來 - Capture功能bull 一開啟方式
ndash 1 點選快速鈕如紅色圈所示ndash 2 點選 Capture功能表 下拉選單後點選 Optionsndash 3鍵盤快速鍵 Ctrl + K
2-75
網路安全
數據哪裡來 - Capture功能 (續 )
bull 二開啟後顯示 Capture Options 的視窗畫面即可看到所提供的擷取功能選項
2-76
網路安全
數據哪裡來 - Capture功能 (續 )
bull Capture Options 常用的欄位設定ndash Caputure 框
bull 1Interface 會顯示出在系統上所有網路卡但只能選取一個介面作為封包擷取bull 2Capture packets in promiscuous mode 選取此選項就是經過所選取的網路卡的所有封包都會被擷取下來bull 3Capture Filter 指定擷取過濾器運算式擷取想要的特定封包即為擷取中過濾之功能
2-77
網路安全
數據哪裡來 - Capture功能 (續 )
bull Capture Options 常用的欄位設定ndash Display Options 框
bull Update list of packets in real time 指定在擷取封包過程中能夠即時更新已擷取封包清單窗格視窗中的封包資訊若取消則軟體主視窗更新畫面是沒有動作的
2-78
網路安全
bull Capture Options 常用的欄位設定ndash Name Resolution框
bull 1 Enable MAC name resolution 指定是否將網路卡MAC address 的前三個位元組轉換成製造商名稱
bull 2 Enable network name resolution 指定是否將 IP address轉換成 DNS 網域名稱
bull 3 Enable transport name resolution 指定是否將通信埠號碼 (port numbers)轉成協定名稱 (protocols)bull 各位了解數據從哪裡擷取的概念與操作之後即可以進一步加上附帶條件 (篩選條件 ) 等相關操作方式
數據哪裡來 - Capture功能 (續 )
2-79
網路安全
Wireshark操作手法bull 延續遇到問題的思考方向及軟體操作手法我們可以將操作流程分為兩種
ndash 擷取中過濾 (Filter while capturing)bull 優點僅擷取已知範圍資訊網路流量少bull 缺點需先了解問題類型避免可能有遺漏真正欲擷取資訊之狀況
ndash 檢視中過濾 (Filter packets while viewing)bull 優點不用先預設條件擷取所有封包資訊bull 缺點影響網路流量
先預設欲擷取條件 擷取數據
擷取數據 再篩選欲查詢數據2-80
網路安全
Wireshark操作手法 - 擷取中過濾bull 操作步驟
ndash 點選 Capture 下拉視窗選擇 Capture Filters 即呈現此視窗
bull 操作範例ndash 1於 Filter窗格中選擇 IP
Address 10112ndash 2於 Properties窗格中即顯示該選項的設定值如圖所示為 host 10112ndash 3 即可設定軟體僅針對
10112 的封包作擷取動作 延伸操作思考1 改變 Filter string 值得到什麼結果2 點選 Edit 窗格中的 New 鈕 新增自訂條件 2-81
網路安全
Wireshark操作手法 - 檢視中過濾bull 此步驟即以已擷取封包清單窗格為基礎以過濾條件過濾該清單bull 可直接選擇軟體預設項目如以下操作
ndash 操作步驟bull 點選 Analyze 下拉視窗選擇
Display Filters 即呈現此視窗ndash 操作範例
bull 1於 Filter窗格中選擇 IP Address 10112
bull 2於 Properties窗格中即顯示該選項的設定值如圖所示值為host 10112
bull 3 即可設定軟體僅針對 10112的封包作顯示動作 延伸操作思考1 可否進行進一步自訂設定值
2-82
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 若電腦 IP為 10112 欲篩選出 IP 來源為上述 IP 且協定為 TCP 80port 的所有封包ndash 操作步驟
bull 點選 Expression鈕即出現此視窗ndash 1於 Field name框選擇
IP項目中的 ipsrc - Source
ndash 2於 Relation框選擇 ==ndash 3於 Value [IPV4
address]填 入 10112ndash 4 點選 OK鈕 進階思考方式須考慮到例如是來源資訊是目標資訊是什麼協定等更細部所要之條件
2-83
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 再進行第二篩選條件ndash TCP 80 port
bull 操作步驟ndash 1先於 Filter string 輸入文字框「 ipsrc==
10112」後再加上一個空格及「 and 」再進行一次 Expression條件選擇
2-84
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
ndash 2於 Field name框選擇「 tcpdstport」ndash 3於 Relation框選擇「 ==」ndash 4於 Value框填入「 80」ndash 5 選擇「 OK」鈕
2-85
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 注意 Propeties框內的Filter string欄位值已改變為「 ipsrc == 10112 and tcpdstport == 80」
bull 確認條件正確後點選「 OK 」鈕即可發現已擷取封包清單窗格的項目均為所設定過濾條件過濾過結果2-86
網路安全
bull 可單選單一封包進行更進階查詢封包內容bull 操作方式為
ndash 點選其中一項封包項目點選滑鼠右鍵選擇Follow TCP Stream
Wireshark操作手法 - 檢視中過濾 (續 )
2-87
網路安全
ndash 此畫面即可看出該項 TCP 封包溝通內容Wireshark操作手法 - 檢視中過濾 (續 )
2-88
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 此功能將所擷取的封包清單使用多種方式呈現封包統計資料便於使用者查詢擷取時間內何種封包數量多寡及圖型顯示bull 操作步驟點選 Statistics 下拉視窗即呈現此視窗 顯示有關擷取清單的摘要以階梯式通訊協定列表顯示所擷取的所有封包
在特定 IP間顯示通訊流量顯示單一 IP 來往封包的流量
以時間軸顯示視覺化封包流量圖2-89
網路安全
bull 可查看到一時段內其封包總數與平均每秒傳遞接收封包數等相關資訊讓使用者了解平均一時段內網路流量狀況藉以初步獲得資訊
Wireshark操作手法 - 檢視中過濾 (續 )
2-90
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 讓使用者可透過階梯式封包分類表來查看哪一類封包佔為居多可進一步推測是否該類型封包影響到整體網路或是否有異常或不常見封包類型在網路中傳遞
2-91
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 將該擷取時段內封包清單檔以兩個特定 IP 之間對傳封包為區隔顯示出哪兩個特定 IP間傳遞封包數多寡bull 可讓使用者更進一步研判兩個特定 IP所屬設備傳遞狀況是否異常
2-92
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 將該擷取時段內封包清單檔以特定IP 傳遞封包數為區隔顯示出哪特定IP 傳遞封包數多寡
bull 可讓使用者更進一步研判該特定所屬設備傳遞封包數是否異常作為管制緊急管制或禁止通訊之證明2-93
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 以時間軸顯示視覺化封包流量圖bull 讓使用者可觀察所管理設備資訊流通量以了解設備是否能負荷或作相關調整等處置
2-94
網路安全
FTP 擷取密碼案例bull 於Wireshark軟體選擇 Capture 下拉選單功能項點選 Interfaces 選項
2-95
網路安全
FTP 擷取密碼案例 (續 )
bull 確認欲擷取封包之網卡名稱如紅色底線所示確認後點選 Start鈕
2-96
網路安全
FTP 擷取密碼案例 (續 )
bull 切換至 FTP Client 電腦開啟 FileZilla 程式後連線到 FTP Server 於 Host 填入10123 Username填入 tester Password填入testpw 後點選 Quickconnect鈕
2-97
網路安全
FTP 擷取密碼案例 (續 )
bull 擷取到的封包資訊會顯示於已擷取封包清單窗格內
2-98
網路安全
FTP 擷取密碼案例 (續 )
bull 使用 FTP軟體登入 ftp站後 Wireshark 將擷取到的使用者名稱與密碼如紅框所示
2-99
網路安全
FTP 擷取密碼案例 (續 )
bull 點選已擷取封包清單窗格的密碼資訊列如標示1 的紅框所示即可在封包內容窗格看到該密碼的位元碼如標示 2 的紅框所示
1
2
2-100
網路安全
架設實作 (三 )
Outlook Express 擷取密碼案例
2-101
網路安全
實驗環境介紹bull 以 Testbed建立一實驗相關拓樸及設定如下圖
OEClientOSWindows XP SP3IP 10112執行 Outlook Express
MailServerOSWindows XP SP3IP 10122安裝軟體 ArGoSoft Mail Server
2-102
WiresharkOSWindows XP SP3IP1 10113 IP2 10123安裝軟體 Wireshark
IP1IP2
網路安全
實驗拓樸 on TestbedTWISC- 建立完成的實驗拓樸
2-103
網路安全
郵件伺服器工具 - ArGoSoft Mail Server
bull 版本ndash 1892 Freeware
bull 支援作業平台ndash Windows
bull 下載位址ndash httpwwwsoftkingcomtwsoftdownloadaspfid3=7367
2-104
網路安全
郵件客戶端工具 - Outlook Express
bull 版本ndash 60
bull 支援作業平台ndash Windows
bull 下載位址ndash Windows 內建
2-105
網路安全
bull 安裝及設定郵件伺服器ndash 1下載並執行 ArGoSoft Mail Server軟體點選
Setup鈕
Outlook Express 擷取密碼案例
2-106
網路安全
ndash 1 點選 Next鈕ndash 2 點選 Start Installation鈕
Outlook Express 擷取密碼案例 (續 )
2-107
網路安全
ndash 3 點選 OK鈕ndash 4 點選 Finish鈕完成軟體安裝
Outlook Express 擷取密碼案例 (續 )
2-108
網路安全
ndash 5 點選使用者設定鈕如紅圈所示ndash 6 點選新增鈕如紅框所示
Outlook Express 擷取密碼案例 (續 )
2-109
網路安全
ndash 7填入使用者名稱 (tester) 及密碼 (testpw) 如紅圈所示填寫完成後點選 OK鈕ndash 8 點選 Close鈕關閉使用者設定視窗
Outlook Express 擷取密碼案例 (續 )
2-110
網路安全
ndash 9 點選選項鈕如左側圖中紅色圈所示ndash 10 點選紅色打勾鈕如右側圖中紅色圈所示
2-111
Outlook Express 擷取密碼案例 (續 )
網路安全
ndash 11該軟體會自動選取 DNS Server 待選取後點選 Yes鈕ndash 12 勾選 Allow Relay 選項如紅框所示
2-112
Outlook Express 擷取密碼案例 (續 )
網路安全
Outlook Express 擷取密碼案例 (續 )
bull 設定收信帳號ndash 1 點選 Tools功能選單選擇 Accounts 選項
2-113
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 2 點選 Add鈕選擇 Mail 選項
2-114
網路安全
ndash 3填入 tester 點選 Next鈕ndash 4填入 testertestcom 點選 Next鈕
Outlook Express 擷取密碼案例 (續 )
2-115
網路安全
ndash 5填入 10123 如紅框所示點選 Next鈕ndash 6填入帳號為 tester 及密碼為 testpw 點選 Next鈕
Outlook Express 擷取密碼案例 (續 )
2-116
網路安全
ndash 7 點選 Finish鈕ndash 8 點選 Close鈕
Outlook Express 擷取密碼案例 (續 )
2-117
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 模擬條件準備好後首先準備Wireshark 擷取動作開啟Wireshark
2-118
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 於Wireshark軟體選擇 Capture 下拉選單功能項點選 Interfaces 選項
2-119
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 確認欲擷取封包之網卡名稱如紅色底線所示確認後點選 Start鈕
2-120
網路安全
ndash 當使用者收發 email 時即被 Wireshark攔截封包ndash 有發現到該 Outlook Express帳號密碼是如此清晰可見的嗎
Outlook Express 擷取密碼案例 (續 )
2-121
網路安全
結論bull 學習了 Wireshark及WinDump 兩套網路封包擷取軟體基本概念如同電話側錄概念相同從中複製一連串資訊來分析與了解網路的流量及內容為何bull 當你發現網路速度緩慢等狀況你是否會反應到所學的基本概念來找尋問題所在bull 防範概念由此課程的實例可以了解網路內容如被有心人士擷取所造成的損失相當可觀故你是否有對策有哪些方式你可以應用來防範bull 正確的思考善用對的工具將對解決問題事半功倍
2-122
網路安全 2-123
Module 2-5 封包擷取與分析的專案實作()
網路安全
專案目的bull 建立遠端管理傳遞指令資訊環境bull 利用實際攔截封包操作的方式讓同學了解封包擷取運作與網路資訊流通的顧慮等相關議題
2-124
網路安全
專案描述bull 近年來遠端管理伺服器及網路服務普及光是密碼保護就足夠了嗎是否重點網段須全程加密還是作網段隔離經由此專案實作即可了解不僅部分加密仍有其風險所在網路架構如何規劃將是非常重要的課題bull 參考環境配置圖完成下列要求①環境裡的攔截封包主機是 Windows XP SP3 作業系統而該主機安裝Wireshark軟體②另兩台主機的作業系統亦是 Windows XP SP3 並裝上
MySQL軟體 MySQL帳號為 root 密碼為您的學號 (如 Q3896105)
③在MySQLClient 電腦使用 MySQL Commandline 指令連線至MySQLServer 擷取資料庫資訊
④我們針對這兩台主機傳訊的封包擷取由整個實做中思考如何防範資訊外洩與了解傳訊封包如何流動及運作2-125
網路安全
環境配置圖bull 以 Testbed建立一實驗相關拓樸及設定如下圖
MySQLServerOSWINXP-SP3-CH-pc3000 IP 10123安裝軟體 MySQL
MySQLClientOSWINXP-SP3-CH-pc3000 IP 10112安裝軟體 MySQL
2-126
WireSharkOSWINXP-SP3-CH-pc3000 IP1 10113IP2 10122安裝軟體 Wireshark
IP1IP2
網路安全
作業繳交bull 請參考情境測試發送數個 SQL 指令並將過程與擷取到的封包資訊之截圖列於報告中所有圖表皆需要輔以文字說明bull Deadline 2012312 下午 500 以前bull 作業範圍 Module 2-5 (page 2-128)bull 方式 (參考課程網址 )
ndash 帳號密碼小寫的 (ns100ns100)ndash IP 140116164167
2-127
網路安全
有問題嗎
bull 關於 TestBed 使用上的問題請直接 Email至 twisc-testbed-usergooglegroupscom 將有專人為您服務bull 課程網址
httpitlabeenckuedutwcoursesNS_100indexhtml
2-128
bull 助教資訊 (參考課程網址 )
網路安全
參考資料bull Dienet httplinuxdienetman1wiresharkbull Orebaugh Angela Ramirez Gilbert Burke Josh Pesce Larry Wright
Joshua(2007) Wireshark and Ethereal network protocol analyzer toolkitbull Tony Fortunato(2007) Wireshark Training Retrieved July 22 2009 from
the World Wide Web httpwwwthetechfirmcometherealwiresharkpdfbull WinDump httpwwwwinpcaporgWinDumpbull Wireshark httpwwwwiresharkorgbull Wireshark University httpwwwwiresharktrainingcombull 楊中皇 (民 97年 ) 網路安全理論與實務 (2版 ) 台北市學貫bull 蘇淑茵教授 Wireshark 民國 98年 6月 28日取自 httpmywebnckuedutw~sisou
2-129
網路安全
RaidenFTPD 安裝步驟 (續 )
bull 此步驟使用預設路徑即可按下 Install 進行安裝
2-54
網路安全
RaidenFTPD設定步驟bull 程式開啟畫面如下選擇 Click here to start a new
server 進行 FTP伺服器設定
2-55
網路安全
RaidenFTPD設定步驟 (續 )
bull 此處可設定 Server name與 Server IP 將 Auto IP 取消勾選並將 Server IP設為 10123
2-56
網路安全
RaidenFTPD設定步驟 (續 )
bull 接下來的步驟依照預設值即可
2-57
網路安全
RaidenFTPD設定步驟 (續 )
bull 設定人員帳號與群組按下 Add鈕輸入帳號密碼群組名稱可略過完成後按下 Next 進行下一步驟
2-58
網路安全
RaidenFTPD設定步驟 (續 )
bull 此步驟設定該帳號登入 FTP 時的權限選擇NORMAL 按下 Next 進行下一步驟
2-59
網路安全
RaidenFTPD設定步驟 (續 )
bull 接下來的步驟皆以預設值即可完成設定之後會出現對話視窗顯示您所設定的資訊
2-60
網路安全
FTP 用戶端工具 - Filezilla
bull 版本ndash 328
bull 支援作業平台ndash Windows Linux及Mac
bull 下載位址ndash httpsourceforgenetprojectsfilezillafiles
FileZilla_Client328FileZilla_328_win32zipdownload
2-61
網路安全
Filezilla 安裝步驟bull 執行 Filezilla 安裝程式點選 I agree 鈕
2-62
網路安全
Filezilla 安裝步驟 (續 )
bull 以預設值安裝點選兩次 Next 鈕
2-63
網路安全
Filezilla 安裝步驟 (續 )
bull 以預設值安裝點選 Next 鈕後再點選 Install 鈕
2-64
網路安全
Filezilla 安裝步驟 (續 )
bull 以預設值安裝點選 Next 鈕後再點選 Finish 鈕
2-65
網路安全
封包擷取工具 - Wireshark
bull 版本ndash 165
bull 支援作業平台ndash Windows Linux及 FreeBSD
bull 其他需求ndash 安裝WinPcap 31 以上版本
bull 下載位址ndash httpwiresharkdownloadsriverbedcomwireshark
win32wireshark-win32-165exe
2-66
網路安全
Wireshark 安裝步驟bull 至官方網站下載Windows平台最新版本檔案下載完成後執行該安裝程式
2-67
網路安全
Wireshark 安裝步驟 (續 )
bull 於下一步出現的版權宣告點選 I Agree鈕後繼續下一步驟
2-68
網路安全
Wireshark 安裝步驟 (續 )
bull 此步驟選擇欲安裝的元件以軟體預設勾選之項目安裝
2-69
網路安全
Wireshark 安裝步驟 (續 )
bull 此步驟使用預設路徑即可
2-70
網路安全
Wireshark 安裝步驟 (續 )
bull 此步驟將安裝Windows平台須加裝之套件 -WinPcap 若原系統未安裝過 WinPcap套件請以軟體預設項目安裝之
2-71
網路安全
Wireshark 安裝步驟 (續 )
bull 此步驟代表 Wireshark軟體已安裝完成可點選Finish 鈕或勾選 Run Wireshark 165 隨即使用該套軟體
2-72
網路安全
一般工具列Wireshark軟體介面介紹
2-73
篩選工具列封包清單窗格
封包內容窗格封包位元組窗格
網路安全
Wireshark 使用思考方向bull 遇到網路問題是否觀察網路通道中有異常動作或狀況
ndash 思考方向ndash 反應到擷取數據方法那麼以 Wireshark 擷取使用者需要擷取哪些數據這些數據由使用者電腦哪個裝置來擷取
bull Wireshark操作流程
bull 接下來我們進行軟體操作介紹
解決問題 擷取數據要先做什麼
擷取數據 擷取哪些數據( 過濾條件 )數據哪裡來( 網路介面卡 )
2-74
網路安全
數據哪裡來 - Capture功能bull 一開啟方式
ndash 1 點選快速鈕如紅色圈所示ndash 2 點選 Capture功能表 下拉選單後點選 Optionsndash 3鍵盤快速鍵 Ctrl + K
2-75
網路安全
數據哪裡來 - Capture功能 (續 )
bull 二開啟後顯示 Capture Options 的視窗畫面即可看到所提供的擷取功能選項
2-76
網路安全
數據哪裡來 - Capture功能 (續 )
bull Capture Options 常用的欄位設定ndash Caputure 框
bull 1Interface 會顯示出在系統上所有網路卡但只能選取一個介面作為封包擷取bull 2Capture packets in promiscuous mode 選取此選項就是經過所選取的網路卡的所有封包都會被擷取下來bull 3Capture Filter 指定擷取過濾器運算式擷取想要的特定封包即為擷取中過濾之功能
2-77
網路安全
數據哪裡來 - Capture功能 (續 )
bull Capture Options 常用的欄位設定ndash Display Options 框
bull Update list of packets in real time 指定在擷取封包過程中能夠即時更新已擷取封包清單窗格視窗中的封包資訊若取消則軟體主視窗更新畫面是沒有動作的
2-78
網路安全
bull Capture Options 常用的欄位設定ndash Name Resolution框
bull 1 Enable MAC name resolution 指定是否將網路卡MAC address 的前三個位元組轉換成製造商名稱
bull 2 Enable network name resolution 指定是否將 IP address轉換成 DNS 網域名稱
bull 3 Enable transport name resolution 指定是否將通信埠號碼 (port numbers)轉成協定名稱 (protocols)bull 各位了解數據從哪裡擷取的概念與操作之後即可以進一步加上附帶條件 (篩選條件 ) 等相關操作方式
數據哪裡來 - Capture功能 (續 )
2-79
網路安全
Wireshark操作手法bull 延續遇到問題的思考方向及軟體操作手法我們可以將操作流程分為兩種
ndash 擷取中過濾 (Filter while capturing)bull 優點僅擷取已知範圍資訊網路流量少bull 缺點需先了解問題類型避免可能有遺漏真正欲擷取資訊之狀況
ndash 檢視中過濾 (Filter packets while viewing)bull 優點不用先預設條件擷取所有封包資訊bull 缺點影響網路流量
先預設欲擷取條件 擷取數據
擷取數據 再篩選欲查詢數據2-80
網路安全
Wireshark操作手法 - 擷取中過濾bull 操作步驟
ndash 點選 Capture 下拉視窗選擇 Capture Filters 即呈現此視窗
bull 操作範例ndash 1於 Filter窗格中選擇 IP
Address 10112ndash 2於 Properties窗格中即顯示該選項的設定值如圖所示為 host 10112ndash 3 即可設定軟體僅針對
10112 的封包作擷取動作 延伸操作思考1 改變 Filter string 值得到什麼結果2 點選 Edit 窗格中的 New 鈕 新增自訂條件 2-81
網路安全
Wireshark操作手法 - 檢視中過濾bull 此步驟即以已擷取封包清單窗格為基礎以過濾條件過濾該清單bull 可直接選擇軟體預設項目如以下操作
ndash 操作步驟bull 點選 Analyze 下拉視窗選擇
Display Filters 即呈現此視窗ndash 操作範例
bull 1於 Filter窗格中選擇 IP Address 10112
bull 2於 Properties窗格中即顯示該選項的設定值如圖所示值為host 10112
bull 3 即可設定軟體僅針對 10112的封包作顯示動作 延伸操作思考1 可否進行進一步自訂設定值
2-82
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 若電腦 IP為 10112 欲篩選出 IP 來源為上述 IP 且協定為 TCP 80port 的所有封包ndash 操作步驟
bull 點選 Expression鈕即出現此視窗ndash 1於 Field name框選擇
IP項目中的 ipsrc - Source
ndash 2於 Relation框選擇 ==ndash 3於 Value [IPV4
address]填 入 10112ndash 4 點選 OK鈕 進階思考方式須考慮到例如是來源資訊是目標資訊是什麼協定等更細部所要之條件
2-83
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 再進行第二篩選條件ndash TCP 80 port
bull 操作步驟ndash 1先於 Filter string 輸入文字框「 ipsrc==
10112」後再加上一個空格及「 and 」再進行一次 Expression條件選擇
2-84
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
ndash 2於 Field name框選擇「 tcpdstport」ndash 3於 Relation框選擇「 ==」ndash 4於 Value框填入「 80」ndash 5 選擇「 OK」鈕
2-85
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 注意 Propeties框內的Filter string欄位值已改變為「 ipsrc == 10112 and tcpdstport == 80」
bull 確認條件正確後點選「 OK 」鈕即可發現已擷取封包清單窗格的項目均為所設定過濾條件過濾過結果2-86
網路安全
bull 可單選單一封包進行更進階查詢封包內容bull 操作方式為
ndash 點選其中一項封包項目點選滑鼠右鍵選擇Follow TCP Stream
Wireshark操作手法 - 檢視中過濾 (續 )
2-87
網路安全
ndash 此畫面即可看出該項 TCP 封包溝通內容Wireshark操作手法 - 檢視中過濾 (續 )
2-88
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 此功能將所擷取的封包清單使用多種方式呈現封包統計資料便於使用者查詢擷取時間內何種封包數量多寡及圖型顯示bull 操作步驟點選 Statistics 下拉視窗即呈現此視窗 顯示有關擷取清單的摘要以階梯式通訊協定列表顯示所擷取的所有封包
在特定 IP間顯示通訊流量顯示單一 IP 來往封包的流量
以時間軸顯示視覺化封包流量圖2-89
網路安全
bull 可查看到一時段內其封包總數與平均每秒傳遞接收封包數等相關資訊讓使用者了解平均一時段內網路流量狀況藉以初步獲得資訊
Wireshark操作手法 - 檢視中過濾 (續 )
2-90
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 讓使用者可透過階梯式封包分類表來查看哪一類封包佔為居多可進一步推測是否該類型封包影響到整體網路或是否有異常或不常見封包類型在網路中傳遞
2-91
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 將該擷取時段內封包清單檔以兩個特定 IP 之間對傳封包為區隔顯示出哪兩個特定 IP間傳遞封包數多寡bull 可讓使用者更進一步研判兩個特定 IP所屬設備傳遞狀況是否異常
2-92
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 將該擷取時段內封包清單檔以特定IP 傳遞封包數為區隔顯示出哪特定IP 傳遞封包數多寡
bull 可讓使用者更進一步研判該特定所屬設備傳遞封包數是否異常作為管制緊急管制或禁止通訊之證明2-93
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 以時間軸顯示視覺化封包流量圖bull 讓使用者可觀察所管理設備資訊流通量以了解設備是否能負荷或作相關調整等處置
2-94
網路安全
FTP 擷取密碼案例bull 於Wireshark軟體選擇 Capture 下拉選單功能項點選 Interfaces 選項
2-95
網路安全
FTP 擷取密碼案例 (續 )
bull 確認欲擷取封包之網卡名稱如紅色底線所示確認後點選 Start鈕
2-96
網路安全
FTP 擷取密碼案例 (續 )
bull 切換至 FTP Client 電腦開啟 FileZilla 程式後連線到 FTP Server 於 Host 填入10123 Username填入 tester Password填入testpw 後點選 Quickconnect鈕
2-97
網路安全
FTP 擷取密碼案例 (續 )
bull 擷取到的封包資訊會顯示於已擷取封包清單窗格內
2-98
網路安全
FTP 擷取密碼案例 (續 )
bull 使用 FTP軟體登入 ftp站後 Wireshark 將擷取到的使用者名稱與密碼如紅框所示
2-99
網路安全
FTP 擷取密碼案例 (續 )
bull 點選已擷取封包清單窗格的密碼資訊列如標示1 的紅框所示即可在封包內容窗格看到該密碼的位元碼如標示 2 的紅框所示
1
2
2-100
網路安全
架設實作 (三 )
Outlook Express 擷取密碼案例
2-101
網路安全
實驗環境介紹bull 以 Testbed建立一實驗相關拓樸及設定如下圖
OEClientOSWindows XP SP3IP 10112執行 Outlook Express
MailServerOSWindows XP SP3IP 10122安裝軟體 ArGoSoft Mail Server
2-102
WiresharkOSWindows XP SP3IP1 10113 IP2 10123安裝軟體 Wireshark
IP1IP2
網路安全
實驗拓樸 on TestbedTWISC- 建立完成的實驗拓樸
2-103
網路安全
郵件伺服器工具 - ArGoSoft Mail Server
bull 版本ndash 1892 Freeware
bull 支援作業平台ndash Windows
bull 下載位址ndash httpwwwsoftkingcomtwsoftdownloadaspfid3=7367
2-104
網路安全
郵件客戶端工具 - Outlook Express
bull 版本ndash 60
bull 支援作業平台ndash Windows
bull 下載位址ndash Windows 內建
2-105
網路安全
bull 安裝及設定郵件伺服器ndash 1下載並執行 ArGoSoft Mail Server軟體點選
Setup鈕
Outlook Express 擷取密碼案例
2-106
網路安全
ndash 1 點選 Next鈕ndash 2 點選 Start Installation鈕
Outlook Express 擷取密碼案例 (續 )
2-107
網路安全
ndash 3 點選 OK鈕ndash 4 點選 Finish鈕完成軟體安裝
Outlook Express 擷取密碼案例 (續 )
2-108
網路安全
ndash 5 點選使用者設定鈕如紅圈所示ndash 6 點選新增鈕如紅框所示
Outlook Express 擷取密碼案例 (續 )
2-109
網路安全
ndash 7填入使用者名稱 (tester) 及密碼 (testpw) 如紅圈所示填寫完成後點選 OK鈕ndash 8 點選 Close鈕關閉使用者設定視窗
Outlook Express 擷取密碼案例 (續 )
2-110
網路安全
ndash 9 點選選項鈕如左側圖中紅色圈所示ndash 10 點選紅色打勾鈕如右側圖中紅色圈所示
2-111
Outlook Express 擷取密碼案例 (續 )
網路安全
ndash 11該軟體會自動選取 DNS Server 待選取後點選 Yes鈕ndash 12 勾選 Allow Relay 選項如紅框所示
2-112
Outlook Express 擷取密碼案例 (續 )
網路安全
Outlook Express 擷取密碼案例 (續 )
bull 設定收信帳號ndash 1 點選 Tools功能選單選擇 Accounts 選項
2-113
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 2 點選 Add鈕選擇 Mail 選項
2-114
網路安全
ndash 3填入 tester 點選 Next鈕ndash 4填入 testertestcom 點選 Next鈕
Outlook Express 擷取密碼案例 (續 )
2-115
網路安全
ndash 5填入 10123 如紅框所示點選 Next鈕ndash 6填入帳號為 tester 及密碼為 testpw 點選 Next鈕
Outlook Express 擷取密碼案例 (續 )
2-116
網路安全
ndash 7 點選 Finish鈕ndash 8 點選 Close鈕
Outlook Express 擷取密碼案例 (續 )
2-117
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 模擬條件準備好後首先準備Wireshark 擷取動作開啟Wireshark
2-118
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 於Wireshark軟體選擇 Capture 下拉選單功能項點選 Interfaces 選項
2-119
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 確認欲擷取封包之網卡名稱如紅色底線所示確認後點選 Start鈕
2-120
網路安全
ndash 當使用者收發 email 時即被 Wireshark攔截封包ndash 有發現到該 Outlook Express帳號密碼是如此清晰可見的嗎
Outlook Express 擷取密碼案例 (續 )
2-121
網路安全
結論bull 學習了 Wireshark及WinDump 兩套網路封包擷取軟體基本概念如同電話側錄概念相同從中複製一連串資訊來分析與了解網路的流量及內容為何bull 當你發現網路速度緩慢等狀況你是否會反應到所學的基本概念來找尋問題所在bull 防範概念由此課程的實例可以了解網路內容如被有心人士擷取所造成的損失相當可觀故你是否有對策有哪些方式你可以應用來防範bull 正確的思考善用對的工具將對解決問題事半功倍
2-122
網路安全 2-123
Module 2-5 封包擷取與分析的專案實作()
網路安全
專案目的bull 建立遠端管理傳遞指令資訊環境bull 利用實際攔截封包操作的方式讓同學了解封包擷取運作與網路資訊流通的顧慮等相關議題
2-124
網路安全
專案描述bull 近年來遠端管理伺服器及網路服務普及光是密碼保護就足夠了嗎是否重點網段須全程加密還是作網段隔離經由此專案實作即可了解不僅部分加密仍有其風險所在網路架構如何規劃將是非常重要的課題bull 參考環境配置圖完成下列要求①環境裡的攔截封包主機是 Windows XP SP3 作業系統而該主機安裝Wireshark軟體②另兩台主機的作業系統亦是 Windows XP SP3 並裝上
MySQL軟體 MySQL帳號為 root 密碼為您的學號 (如 Q3896105)
③在MySQLClient 電腦使用 MySQL Commandline 指令連線至MySQLServer 擷取資料庫資訊
④我們針對這兩台主機傳訊的封包擷取由整個實做中思考如何防範資訊外洩與了解傳訊封包如何流動及運作2-125
網路安全
環境配置圖bull 以 Testbed建立一實驗相關拓樸及設定如下圖
MySQLServerOSWINXP-SP3-CH-pc3000 IP 10123安裝軟體 MySQL
MySQLClientOSWINXP-SP3-CH-pc3000 IP 10112安裝軟體 MySQL
2-126
WireSharkOSWINXP-SP3-CH-pc3000 IP1 10113IP2 10122安裝軟體 Wireshark
IP1IP2
網路安全
作業繳交bull 請參考情境測試發送數個 SQL 指令並將過程與擷取到的封包資訊之截圖列於報告中所有圖表皆需要輔以文字說明bull Deadline 2012312 下午 500 以前bull 作業範圍 Module 2-5 (page 2-128)bull 方式 (參考課程網址 )
ndash 帳號密碼小寫的 (ns100ns100)ndash IP 140116164167
2-127
網路安全
有問題嗎
bull 關於 TestBed 使用上的問題請直接 Email至 twisc-testbed-usergooglegroupscom 將有專人為您服務bull 課程網址
httpitlabeenckuedutwcoursesNS_100indexhtml
2-128
bull 助教資訊 (參考課程網址 )
網路安全
參考資料bull Dienet httplinuxdienetman1wiresharkbull Orebaugh Angela Ramirez Gilbert Burke Josh Pesce Larry Wright
Joshua(2007) Wireshark and Ethereal network protocol analyzer toolkitbull Tony Fortunato(2007) Wireshark Training Retrieved July 22 2009 from
the World Wide Web httpwwwthetechfirmcometherealwiresharkpdfbull WinDump httpwwwwinpcaporgWinDumpbull Wireshark httpwwwwiresharkorgbull Wireshark University httpwwwwiresharktrainingcombull 楊中皇 (民 97年 ) 網路安全理論與實務 (2版 ) 台北市學貫bull 蘇淑茵教授 Wireshark 民國 98年 6月 28日取自 httpmywebnckuedutw~sisou
2-129
網路安全
RaidenFTPD設定步驟bull 程式開啟畫面如下選擇 Click here to start a new
server 進行 FTP伺服器設定
2-55
網路安全
RaidenFTPD設定步驟 (續 )
bull 此處可設定 Server name與 Server IP 將 Auto IP 取消勾選並將 Server IP設為 10123
2-56
網路安全
RaidenFTPD設定步驟 (續 )
bull 接下來的步驟依照預設值即可
2-57
網路安全
RaidenFTPD設定步驟 (續 )
bull 設定人員帳號與群組按下 Add鈕輸入帳號密碼群組名稱可略過完成後按下 Next 進行下一步驟
2-58
網路安全
RaidenFTPD設定步驟 (續 )
bull 此步驟設定該帳號登入 FTP 時的權限選擇NORMAL 按下 Next 進行下一步驟
2-59
網路安全
RaidenFTPD設定步驟 (續 )
bull 接下來的步驟皆以預設值即可完成設定之後會出現對話視窗顯示您所設定的資訊
2-60
網路安全
FTP 用戶端工具 - Filezilla
bull 版本ndash 328
bull 支援作業平台ndash Windows Linux及Mac
bull 下載位址ndash httpsourceforgenetprojectsfilezillafiles
FileZilla_Client328FileZilla_328_win32zipdownload
2-61
網路安全
Filezilla 安裝步驟bull 執行 Filezilla 安裝程式點選 I agree 鈕
2-62
網路安全
Filezilla 安裝步驟 (續 )
bull 以預設值安裝點選兩次 Next 鈕
2-63
網路安全
Filezilla 安裝步驟 (續 )
bull 以預設值安裝點選 Next 鈕後再點選 Install 鈕
2-64
網路安全
Filezilla 安裝步驟 (續 )
bull 以預設值安裝點選 Next 鈕後再點選 Finish 鈕
2-65
網路安全
封包擷取工具 - Wireshark
bull 版本ndash 165
bull 支援作業平台ndash Windows Linux及 FreeBSD
bull 其他需求ndash 安裝WinPcap 31 以上版本
bull 下載位址ndash httpwiresharkdownloadsriverbedcomwireshark
win32wireshark-win32-165exe
2-66
網路安全
Wireshark 安裝步驟bull 至官方網站下載Windows平台最新版本檔案下載完成後執行該安裝程式
2-67
網路安全
Wireshark 安裝步驟 (續 )
bull 於下一步出現的版權宣告點選 I Agree鈕後繼續下一步驟
2-68
網路安全
Wireshark 安裝步驟 (續 )
bull 此步驟選擇欲安裝的元件以軟體預設勾選之項目安裝
2-69
網路安全
Wireshark 安裝步驟 (續 )
bull 此步驟使用預設路徑即可
2-70
網路安全
Wireshark 安裝步驟 (續 )
bull 此步驟將安裝Windows平台須加裝之套件 -WinPcap 若原系統未安裝過 WinPcap套件請以軟體預設項目安裝之
2-71
網路安全
Wireshark 安裝步驟 (續 )
bull 此步驟代表 Wireshark軟體已安裝完成可點選Finish 鈕或勾選 Run Wireshark 165 隨即使用該套軟體
2-72
網路安全
一般工具列Wireshark軟體介面介紹
2-73
篩選工具列封包清單窗格
封包內容窗格封包位元組窗格
網路安全
Wireshark 使用思考方向bull 遇到網路問題是否觀察網路通道中有異常動作或狀況
ndash 思考方向ndash 反應到擷取數據方法那麼以 Wireshark 擷取使用者需要擷取哪些數據這些數據由使用者電腦哪個裝置來擷取
bull Wireshark操作流程
bull 接下來我們進行軟體操作介紹
解決問題 擷取數據要先做什麼
擷取數據 擷取哪些數據( 過濾條件 )數據哪裡來( 網路介面卡 )
2-74
網路安全
數據哪裡來 - Capture功能bull 一開啟方式
ndash 1 點選快速鈕如紅色圈所示ndash 2 點選 Capture功能表 下拉選單後點選 Optionsndash 3鍵盤快速鍵 Ctrl + K
2-75
網路安全
數據哪裡來 - Capture功能 (續 )
bull 二開啟後顯示 Capture Options 的視窗畫面即可看到所提供的擷取功能選項
2-76
網路安全
數據哪裡來 - Capture功能 (續 )
bull Capture Options 常用的欄位設定ndash Caputure 框
bull 1Interface 會顯示出在系統上所有網路卡但只能選取一個介面作為封包擷取bull 2Capture packets in promiscuous mode 選取此選項就是經過所選取的網路卡的所有封包都會被擷取下來bull 3Capture Filter 指定擷取過濾器運算式擷取想要的特定封包即為擷取中過濾之功能
2-77
網路安全
數據哪裡來 - Capture功能 (續 )
bull Capture Options 常用的欄位設定ndash Display Options 框
bull Update list of packets in real time 指定在擷取封包過程中能夠即時更新已擷取封包清單窗格視窗中的封包資訊若取消則軟體主視窗更新畫面是沒有動作的
2-78
網路安全
bull Capture Options 常用的欄位設定ndash Name Resolution框
bull 1 Enable MAC name resolution 指定是否將網路卡MAC address 的前三個位元組轉換成製造商名稱
bull 2 Enable network name resolution 指定是否將 IP address轉換成 DNS 網域名稱
bull 3 Enable transport name resolution 指定是否將通信埠號碼 (port numbers)轉成協定名稱 (protocols)bull 各位了解數據從哪裡擷取的概念與操作之後即可以進一步加上附帶條件 (篩選條件 ) 等相關操作方式
數據哪裡來 - Capture功能 (續 )
2-79
網路安全
Wireshark操作手法bull 延續遇到問題的思考方向及軟體操作手法我們可以將操作流程分為兩種
ndash 擷取中過濾 (Filter while capturing)bull 優點僅擷取已知範圍資訊網路流量少bull 缺點需先了解問題類型避免可能有遺漏真正欲擷取資訊之狀況
ndash 檢視中過濾 (Filter packets while viewing)bull 優點不用先預設條件擷取所有封包資訊bull 缺點影響網路流量
先預設欲擷取條件 擷取數據
擷取數據 再篩選欲查詢數據2-80
網路安全
Wireshark操作手法 - 擷取中過濾bull 操作步驟
ndash 點選 Capture 下拉視窗選擇 Capture Filters 即呈現此視窗
bull 操作範例ndash 1於 Filter窗格中選擇 IP
Address 10112ndash 2於 Properties窗格中即顯示該選項的設定值如圖所示為 host 10112ndash 3 即可設定軟體僅針對
10112 的封包作擷取動作 延伸操作思考1 改變 Filter string 值得到什麼結果2 點選 Edit 窗格中的 New 鈕 新增自訂條件 2-81
網路安全
Wireshark操作手法 - 檢視中過濾bull 此步驟即以已擷取封包清單窗格為基礎以過濾條件過濾該清單bull 可直接選擇軟體預設項目如以下操作
ndash 操作步驟bull 點選 Analyze 下拉視窗選擇
Display Filters 即呈現此視窗ndash 操作範例
bull 1於 Filter窗格中選擇 IP Address 10112
bull 2於 Properties窗格中即顯示該選項的設定值如圖所示值為host 10112
bull 3 即可設定軟體僅針對 10112的封包作顯示動作 延伸操作思考1 可否進行進一步自訂設定值
2-82
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 若電腦 IP為 10112 欲篩選出 IP 來源為上述 IP 且協定為 TCP 80port 的所有封包ndash 操作步驟
bull 點選 Expression鈕即出現此視窗ndash 1於 Field name框選擇
IP項目中的 ipsrc - Source
ndash 2於 Relation框選擇 ==ndash 3於 Value [IPV4
address]填 入 10112ndash 4 點選 OK鈕 進階思考方式須考慮到例如是來源資訊是目標資訊是什麼協定等更細部所要之條件
2-83
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 再進行第二篩選條件ndash TCP 80 port
bull 操作步驟ndash 1先於 Filter string 輸入文字框「 ipsrc==
10112」後再加上一個空格及「 and 」再進行一次 Expression條件選擇
2-84
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
ndash 2於 Field name框選擇「 tcpdstport」ndash 3於 Relation框選擇「 ==」ndash 4於 Value框填入「 80」ndash 5 選擇「 OK」鈕
2-85
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 注意 Propeties框內的Filter string欄位值已改變為「 ipsrc == 10112 and tcpdstport == 80」
bull 確認條件正確後點選「 OK 」鈕即可發現已擷取封包清單窗格的項目均為所設定過濾條件過濾過結果2-86
網路安全
bull 可單選單一封包進行更進階查詢封包內容bull 操作方式為
ndash 點選其中一項封包項目點選滑鼠右鍵選擇Follow TCP Stream
Wireshark操作手法 - 檢視中過濾 (續 )
2-87
網路安全
ndash 此畫面即可看出該項 TCP 封包溝通內容Wireshark操作手法 - 檢視中過濾 (續 )
2-88
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 此功能將所擷取的封包清單使用多種方式呈現封包統計資料便於使用者查詢擷取時間內何種封包數量多寡及圖型顯示bull 操作步驟點選 Statistics 下拉視窗即呈現此視窗 顯示有關擷取清單的摘要以階梯式通訊協定列表顯示所擷取的所有封包
在特定 IP間顯示通訊流量顯示單一 IP 來往封包的流量
以時間軸顯示視覺化封包流量圖2-89
網路安全
bull 可查看到一時段內其封包總數與平均每秒傳遞接收封包數等相關資訊讓使用者了解平均一時段內網路流量狀況藉以初步獲得資訊
Wireshark操作手法 - 檢視中過濾 (續 )
2-90
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 讓使用者可透過階梯式封包分類表來查看哪一類封包佔為居多可進一步推測是否該類型封包影響到整體網路或是否有異常或不常見封包類型在網路中傳遞
2-91
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 將該擷取時段內封包清單檔以兩個特定 IP 之間對傳封包為區隔顯示出哪兩個特定 IP間傳遞封包數多寡bull 可讓使用者更進一步研判兩個特定 IP所屬設備傳遞狀況是否異常
2-92
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 將該擷取時段內封包清單檔以特定IP 傳遞封包數為區隔顯示出哪特定IP 傳遞封包數多寡
bull 可讓使用者更進一步研判該特定所屬設備傳遞封包數是否異常作為管制緊急管制或禁止通訊之證明2-93
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 以時間軸顯示視覺化封包流量圖bull 讓使用者可觀察所管理設備資訊流通量以了解設備是否能負荷或作相關調整等處置
2-94
網路安全
FTP 擷取密碼案例bull 於Wireshark軟體選擇 Capture 下拉選單功能項點選 Interfaces 選項
2-95
網路安全
FTP 擷取密碼案例 (續 )
bull 確認欲擷取封包之網卡名稱如紅色底線所示確認後點選 Start鈕
2-96
網路安全
FTP 擷取密碼案例 (續 )
bull 切換至 FTP Client 電腦開啟 FileZilla 程式後連線到 FTP Server 於 Host 填入10123 Username填入 tester Password填入testpw 後點選 Quickconnect鈕
2-97
網路安全
FTP 擷取密碼案例 (續 )
bull 擷取到的封包資訊會顯示於已擷取封包清單窗格內
2-98
網路安全
FTP 擷取密碼案例 (續 )
bull 使用 FTP軟體登入 ftp站後 Wireshark 將擷取到的使用者名稱與密碼如紅框所示
2-99
網路安全
FTP 擷取密碼案例 (續 )
bull 點選已擷取封包清單窗格的密碼資訊列如標示1 的紅框所示即可在封包內容窗格看到該密碼的位元碼如標示 2 的紅框所示
1
2
2-100
網路安全
架設實作 (三 )
Outlook Express 擷取密碼案例
2-101
網路安全
實驗環境介紹bull 以 Testbed建立一實驗相關拓樸及設定如下圖
OEClientOSWindows XP SP3IP 10112執行 Outlook Express
MailServerOSWindows XP SP3IP 10122安裝軟體 ArGoSoft Mail Server
2-102
WiresharkOSWindows XP SP3IP1 10113 IP2 10123安裝軟體 Wireshark
IP1IP2
網路安全
實驗拓樸 on TestbedTWISC- 建立完成的實驗拓樸
2-103
網路安全
郵件伺服器工具 - ArGoSoft Mail Server
bull 版本ndash 1892 Freeware
bull 支援作業平台ndash Windows
bull 下載位址ndash httpwwwsoftkingcomtwsoftdownloadaspfid3=7367
2-104
網路安全
郵件客戶端工具 - Outlook Express
bull 版本ndash 60
bull 支援作業平台ndash Windows
bull 下載位址ndash Windows 內建
2-105
網路安全
bull 安裝及設定郵件伺服器ndash 1下載並執行 ArGoSoft Mail Server軟體點選
Setup鈕
Outlook Express 擷取密碼案例
2-106
網路安全
ndash 1 點選 Next鈕ndash 2 點選 Start Installation鈕
Outlook Express 擷取密碼案例 (續 )
2-107
網路安全
ndash 3 點選 OK鈕ndash 4 點選 Finish鈕完成軟體安裝
Outlook Express 擷取密碼案例 (續 )
2-108
網路安全
ndash 5 點選使用者設定鈕如紅圈所示ndash 6 點選新增鈕如紅框所示
Outlook Express 擷取密碼案例 (續 )
2-109
網路安全
ndash 7填入使用者名稱 (tester) 及密碼 (testpw) 如紅圈所示填寫完成後點選 OK鈕ndash 8 點選 Close鈕關閉使用者設定視窗
Outlook Express 擷取密碼案例 (續 )
2-110
網路安全
ndash 9 點選選項鈕如左側圖中紅色圈所示ndash 10 點選紅色打勾鈕如右側圖中紅色圈所示
2-111
Outlook Express 擷取密碼案例 (續 )
網路安全
ndash 11該軟體會自動選取 DNS Server 待選取後點選 Yes鈕ndash 12 勾選 Allow Relay 選項如紅框所示
2-112
Outlook Express 擷取密碼案例 (續 )
網路安全
Outlook Express 擷取密碼案例 (續 )
bull 設定收信帳號ndash 1 點選 Tools功能選單選擇 Accounts 選項
2-113
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 2 點選 Add鈕選擇 Mail 選項
2-114
網路安全
ndash 3填入 tester 點選 Next鈕ndash 4填入 testertestcom 點選 Next鈕
Outlook Express 擷取密碼案例 (續 )
2-115
網路安全
ndash 5填入 10123 如紅框所示點選 Next鈕ndash 6填入帳號為 tester 及密碼為 testpw 點選 Next鈕
Outlook Express 擷取密碼案例 (續 )
2-116
網路安全
ndash 7 點選 Finish鈕ndash 8 點選 Close鈕
Outlook Express 擷取密碼案例 (續 )
2-117
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 模擬條件準備好後首先準備Wireshark 擷取動作開啟Wireshark
2-118
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 於Wireshark軟體選擇 Capture 下拉選單功能項點選 Interfaces 選項
2-119
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 確認欲擷取封包之網卡名稱如紅色底線所示確認後點選 Start鈕
2-120
網路安全
ndash 當使用者收發 email 時即被 Wireshark攔截封包ndash 有發現到該 Outlook Express帳號密碼是如此清晰可見的嗎
Outlook Express 擷取密碼案例 (續 )
2-121
網路安全
結論bull 學習了 Wireshark及WinDump 兩套網路封包擷取軟體基本概念如同電話側錄概念相同從中複製一連串資訊來分析與了解網路的流量及內容為何bull 當你發現網路速度緩慢等狀況你是否會反應到所學的基本概念來找尋問題所在bull 防範概念由此課程的實例可以了解網路內容如被有心人士擷取所造成的損失相當可觀故你是否有對策有哪些方式你可以應用來防範bull 正確的思考善用對的工具將對解決問題事半功倍
2-122
網路安全 2-123
Module 2-5 封包擷取與分析的專案實作()
網路安全
專案目的bull 建立遠端管理傳遞指令資訊環境bull 利用實際攔截封包操作的方式讓同學了解封包擷取運作與網路資訊流通的顧慮等相關議題
2-124
網路安全
專案描述bull 近年來遠端管理伺服器及網路服務普及光是密碼保護就足夠了嗎是否重點網段須全程加密還是作網段隔離經由此專案實作即可了解不僅部分加密仍有其風險所在網路架構如何規劃將是非常重要的課題bull 參考環境配置圖完成下列要求①環境裡的攔截封包主機是 Windows XP SP3 作業系統而該主機安裝Wireshark軟體②另兩台主機的作業系統亦是 Windows XP SP3 並裝上
MySQL軟體 MySQL帳號為 root 密碼為您的學號 (如 Q3896105)
③在MySQLClient 電腦使用 MySQL Commandline 指令連線至MySQLServer 擷取資料庫資訊
④我們針對這兩台主機傳訊的封包擷取由整個實做中思考如何防範資訊外洩與了解傳訊封包如何流動及運作2-125
網路安全
環境配置圖bull 以 Testbed建立一實驗相關拓樸及設定如下圖
MySQLServerOSWINXP-SP3-CH-pc3000 IP 10123安裝軟體 MySQL
MySQLClientOSWINXP-SP3-CH-pc3000 IP 10112安裝軟體 MySQL
2-126
WireSharkOSWINXP-SP3-CH-pc3000 IP1 10113IP2 10122安裝軟體 Wireshark
IP1IP2
網路安全
作業繳交bull 請參考情境測試發送數個 SQL 指令並將過程與擷取到的封包資訊之截圖列於報告中所有圖表皆需要輔以文字說明bull Deadline 2012312 下午 500 以前bull 作業範圍 Module 2-5 (page 2-128)bull 方式 (參考課程網址 )
ndash 帳號密碼小寫的 (ns100ns100)ndash IP 140116164167
2-127
網路安全
有問題嗎
bull 關於 TestBed 使用上的問題請直接 Email至 twisc-testbed-usergooglegroupscom 將有專人為您服務bull 課程網址
httpitlabeenckuedutwcoursesNS_100indexhtml
2-128
bull 助教資訊 (參考課程網址 )
網路安全
參考資料bull Dienet httplinuxdienetman1wiresharkbull Orebaugh Angela Ramirez Gilbert Burke Josh Pesce Larry Wright
Joshua(2007) Wireshark and Ethereal network protocol analyzer toolkitbull Tony Fortunato(2007) Wireshark Training Retrieved July 22 2009 from
the World Wide Web httpwwwthetechfirmcometherealwiresharkpdfbull WinDump httpwwwwinpcaporgWinDumpbull Wireshark httpwwwwiresharkorgbull Wireshark University httpwwwwiresharktrainingcombull 楊中皇 (民 97年 ) 網路安全理論與實務 (2版 ) 台北市學貫bull 蘇淑茵教授 Wireshark 民國 98年 6月 28日取自 httpmywebnckuedutw~sisou
2-129
網路安全
RaidenFTPD設定步驟 (續 )
bull 此處可設定 Server name與 Server IP 將 Auto IP 取消勾選並將 Server IP設為 10123
2-56
網路安全
RaidenFTPD設定步驟 (續 )
bull 接下來的步驟依照預設值即可
2-57
網路安全
RaidenFTPD設定步驟 (續 )
bull 設定人員帳號與群組按下 Add鈕輸入帳號密碼群組名稱可略過完成後按下 Next 進行下一步驟
2-58
網路安全
RaidenFTPD設定步驟 (續 )
bull 此步驟設定該帳號登入 FTP 時的權限選擇NORMAL 按下 Next 進行下一步驟
2-59
網路安全
RaidenFTPD設定步驟 (續 )
bull 接下來的步驟皆以預設值即可完成設定之後會出現對話視窗顯示您所設定的資訊
2-60
網路安全
FTP 用戶端工具 - Filezilla
bull 版本ndash 328
bull 支援作業平台ndash Windows Linux及Mac
bull 下載位址ndash httpsourceforgenetprojectsfilezillafiles
FileZilla_Client328FileZilla_328_win32zipdownload
2-61
網路安全
Filezilla 安裝步驟bull 執行 Filezilla 安裝程式點選 I agree 鈕
2-62
網路安全
Filezilla 安裝步驟 (續 )
bull 以預設值安裝點選兩次 Next 鈕
2-63
網路安全
Filezilla 安裝步驟 (續 )
bull 以預設值安裝點選 Next 鈕後再點選 Install 鈕
2-64
網路安全
Filezilla 安裝步驟 (續 )
bull 以預設值安裝點選 Next 鈕後再點選 Finish 鈕
2-65
網路安全
封包擷取工具 - Wireshark
bull 版本ndash 165
bull 支援作業平台ndash Windows Linux及 FreeBSD
bull 其他需求ndash 安裝WinPcap 31 以上版本
bull 下載位址ndash httpwiresharkdownloadsriverbedcomwireshark
win32wireshark-win32-165exe
2-66
網路安全
Wireshark 安裝步驟bull 至官方網站下載Windows平台最新版本檔案下載完成後執行該安裝程式
2-67
網路安全
Wireshark 安裝步驟 (續 )
bull 於下一步出現的版權宣告點選 I Agree鈕後繼續下一步驟
2-68
網路安全
Wireshark 安裝步驟 (續 )
bull 此步驟選擇欲安裝的元件以軟體預設勾選之項目安裝
2-69
網路安全
Wireshark 安裝步驟 (續 )
bull 此步驟使用預設路徑即可
2-70
網路安全
Wireshark 安裝步驟 (續 )
bull 此步驟將安裝Windows平台須加裝之套件 -WinPcap 若原系統未安裝過 WinPcap套件請以軟體預設項目安裝之
2-71
網路安全
Wireshark 安裝步驟 (續 )
bull 此步驟代表 Wireshark軟體已安裝完成可點選Finish 鈕或勾選 Run Wireshark 165 隨即使用該套軟體
2-72
網路安全
一般工具列Wireshark軟體介面介紹
2-73
篩選工具列封包清單窗格
封包內容窗格封包位元組窗格
網路安全
Wireshark 使用思考方向bull 遇到網路問題是否觀察網路通道中有異常動作或狀況
ndash 思考方向ndash 反應到擷取數據方法那麼以 Wireshark 擷取使用者需要擷取哪些數據這些數據由使用者電腦哪個裝置來擷取
bull Wireshark操作流程
bull 接下來我們進行軟體操作介紹
解決問題 擷取數據要先做什麼
擷取數據 擷取哪些數據( 過濾條件 )數據哪裡來( 網路介面卡 )
2-74
網路安全
數據哪裡來 - Capture功能bull 一開啟方式
ndash 1 點選快速鈕如紅色圈所示ndash 2 點選 Capture功能表 下拉選單後點選 Optionsndash 3鍵盤快速鍵 Ctrl + K
2-75
網路安全
數據哪裡來 - Capture功能 (續 )
bull 二開啟後顯示 Capture Options 的視窗畫面即可看到所提供的擷取功能選項
2-76
網路安全
數據哪裡來 - Capture功能 (續 )
bull Capture Options 常用的欄位設定ndash Caputure 框
bull 1Interface 會顯示出在系統上所有網路卡但只能選取一個介面作為封包擷取bull 2Capture packets in promiscuous mode 選取此選項就是經過所選取的網路卡的所有封包都會被擷取下來bull 3Capture Filter 指定擷取過濾器運算式擷取想要的特定封包即為擷取中過濾之功能
2-77
網路安全
數據哪裡來 - Capture功能 (續 )
bull Capture Options 常用的欄位設定ndash Display Options 框
bull Update list of packets in real time 指定在擷取封包過程中能夠即時更新已擷取封包清單窗格視窗中的封包資訊若取消則軟體主視窗更新畫面是沒有動作的
2-78
網路安全
bull Capture Options 常用的欄位設定ndash Name Resolution框
bull 1 Enable MAC name resolution 指定是否將網路卡MAC address 的前三個位元組轉換成製造商名稱
bull 2 Enable network name resolution 指定是否將 IP address轉換成 DNS 網域名稱
bull 3 Enable transport name resolution 指定是否將通信埠號碼 (port numbers)轉成協定名稱 (protocols)bull 各位了解數據從哪裡擷取的概念與操作之後即可以進一步加上附帶條件 (篩選條件 ) 等相關操作方式
數據哪裡來 - Capture功能 (續 )
2-79
網路安全
Wireshark操作手法bull 延續遇到問題的思考方向及軟體操作手法我們可以將操作流程分為兩種
ndash 擷取中過濾 (Filter while capturing)bull 優點僅擷取已知範圍資訊網路流量少bull 缺點需先了解問題類型避免可能有遺漏真正欲擷取資訊之狀況
ndash 檢視中過濾 (Filter packets while viewing)bull 優點不用先預設條件擷取所有封包資訊bull 缺點影響網路流量
先預設欲擷取條件 擷取數據
擷取數據 再篩選欲查詢數據2-80
網路安全
Wireshark操作手法 - 擷取中過濾bull 操作步驟
ndash 點選 Capture 下拉視窗選擇 Capture Filters 即呈現此視窗
bull 操作範例ndash 1於 Filter窗格中選擇 IP
Address 10112ndash 2於 Properties窗格中即顯示該選項的設定值如圖所示為 host 10112ndash 3 即可設定軟體僅針對
10112 的封包作擷取動作 延伸操作思考1 改變 Filter string 值得到什麼結果2 點選 Edit 窗格中的 New 鈕 新增自訂條件 2-81
網路安全
Wireshark操作手法 - 檢視中過濾bull 此步驟即以已擷取封包清單窗格為基礎以過濾條件過濾該清單bull 可直接選擇軟體預設項目如以下操作
ndash 操作步驟bull 點選 Analyze 下拉視窗選擇
Display Filters 即呈現此視窗ndash 操作範例
bull 1於 Filter窗格中選擇 IP Address 10112
bull 2於 Properties窗格中即顯示該選項的設定值如圖所示值為host 10112
bull 3 即可設定軟體僅針對 10112的封包作顯示動作 延伸操作思考1 可否進行進一步自訂設定值
2-82
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 若電腦 IP為 10112 欲篩選出 IP 來源為上述 IP 且協定為 TCP 80port 的所有封包ndash 操作步驟
bull 點選 Expression鈕即出現此視窗ndash 1於 Field name框選擇
IP項目中的 ipsrc - Source
ndash 2於 Relation框選擇 ==ndash 3於 Value [IPV4
address]填 入 10112ndash 4 點選 OK鈕 進階思考方式須考慮到例如是來源資訊是目標資訊是什麼協定等更細部所要之條件
2-83
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 再進行第二篩選條件ndash TCP 80 port
bull 操作步驟ndash 1先於 Filter string 輸入文字框「 ipsrc==
10112」後再加上一個空格及「 and 」再進行一次 Expression條件選擇
2-84
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
ndash 2於 Field name框選擇「 tcpdstport」ndash 3於 Relation框選擇「 ==」ndash 4於 Value框填入「 80」ndash 5 選擇「 OK」鈕
2-85
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 注意 Propeties框內的Filter string欄位值已改變為「 ipsrc == 10112 and tcpdstport == 80」
bull 確認條件正確後點選「 OK 」鈕即可發現已擷取封包清單窗格的項目均為所設定過濾條件過濾過結果2-86
網路安全
bull 可單選單一封包進行更進階查詢封包內容bull 操作方式為
ndash 點選其中一項封包項目點選滑鼠右鍵選擇Follow TCP Stream
Wireshark操作手法 - 檢視中過濾 (續 )
2-87
網路安全
ndash 此畫面即可看出該項 TCP 封包溝通內容Wireshark操作手法 - 檢視中過濾 (續 )
2-88
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 此功能將所擷取的封包清單使用多種方式呈現封包統計資料便於使用者查詢擷取時間內何種封包數量多寡及圖型顯示bull 操作步驟點選 Statistics 下拉視窗即呈現此視窗 顯示有關擷取清單的摘要以階梯式通訊協定列表顯示所擷取的所有封包
在特定 IP間顯示通訊流量顯示單一 IP 來往封包的流量
以時間軸顯示視覺化封包流量圖2-89
網路安全
bull 可查看到一時段內其封包總數與平均每秒傳遞接收封包數等相關資訊讓使用者了解平均一時段內網路流量狀況藉以初步獲得資訊
Wireshark操作手法 - 檢視中過濾 (續 )
2-90
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 讓使用者可透過階梯式封包分類表來查看哪一類封包佔為居多可進一步推測是否該類型封包影響到整體網路或是否有異常或不常見封包類型在網路中傳遞
2-91
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 將該擷取時段內封包清單檔以兩個特定 IP 之間對傳封包為區隔顯示出哪兩個特定 IP間傳遞封包數多寡bull 可讓使用者更進一步研判兩個特定 IP所屬設備傳遞狀況是否異常
2-92
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 將該擷取時段內封包清單檔以特定IP 傳遞封包數為區隔顯示出哪特定IP 傳遞封包數多寡
bull 可讓使用者更進一步研判該特定所屬設備傳遞封包數是否異常作為管制緊急管制或禁止通訊之證明2-93
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 以時間軸顯示視覺化封包流量圖bull 讓使用者可觀察所管理設備資訊流通量以了解設備是否能負荷或作相關調整等處置
2-94
網路安全
FTP 擷取密碼案例bull 於Wireshark軟體選擇 Capture 下拉選單功能項點選 Interfaces 選項
2-95
網路安全
FTP 擷取密碼案例 (續 )
bull 確認欲擷取封包之網卡名稱如紅色底線所示確認後點選 Start鈕
2-96
網路安全
FTP 擷取密碼案例 (續 )
bull 切換至 FTP Client 電腦開啟 FileZilla 程式後連線到 FTP Server 於 Host 填入10123 Username填入 tester Password填入testpw 後點選 Quickconnect鈕
2-97
網路安全
FTP 擷取密碼案例 (續 )
bull 擷取到的封包資訊會顯示於已擷取封包清單窗格內
2-98
網路安全
FTP 擷取密碼案例 (續 )
bull 使用 FTP軟體登入 ftp站後 Wireshark 將擷取到的使用者名稱與密碼如紅框所示
2-99
網路安全
FTP 擷取密碼案例 (續 )
bull 點選已擷取封包清單窗格的密碼資訊列如標示1 的紅框所示即可在封包內容窗格看到該密碼的位元碼如標示 2 的紅框所示
1
2
2-100
網路安全
架設實作 (三 )
Outlook Express 擷取密碼案例
2-101
網路安全
實驗環境介紹bull 以 Testbed建立一實驗相關拓樸及設定如下圖
OEClientOSWindows XP SP3IP 10112執行 Outlook Express
MailServerOSWindows XP SP3IP 10122安裝軟體 ArGoSoft Mail Server
2-102
WiresharkOSWindows XP SP3IP1 10113 IP2 10123安裝軟體 Wireshark
IP1IP2
網路安全
實驗拓樸 on TestbedTWISC- 建立完成的實驗拓樸
2-103
網路安全
郵件伺服器工具 - ArGoSoft Mail Server
bull 版本ndash 1892 Freeware
bull 支援作業平台ndash Windows
bull 下載位址ndash httpwwwsoftkingcomtwsoftdownloadaspfid3=7367
2-104
網路安全
郵件客戶端工具 - Outlook Express
bull 版本ndash 60
bull 支援作業平台ndash Windows
bull 下載位址ndash Windows 內建
2-105
網路安全
bull 安裝及設定郵件伺服器ndash 1下載並執行 ArGoSoft Mail Server軟體點選
Setup鈕
Outlook Express 擷取密碼案例
2-106
網路安全
ndash 1 點選 Next鈕ndash 2 點選 Start Installation鈕
Outlook Express 擷取密碼案例 (續 )
2-107
網路安全
ndash 3 點選 OK鈕ndash 4 點選 Finish鈕完成軟體安裝
Outlook Express 擷取密碼案例 (續 )
2-108
網路安全
ndash 5 點選使用者設定鈕如紅圈所示ndash 6 點選新增鈕如紅框所示
Outlook Express 擷取密碼案例 (續 )
2-109
網路安全
ndash 7填入使用者名稱 (tester) 及密碼 (testpw) 如紅圈所示填寫完成後點選 OK鈕ndash 8 點選 Close鈕關閉使用者設定視窗
Outlook Express 擷取密碼案例 (續 )
2-110
網路安全
ndash 9 點選選項鈕如左側圖中紅色圈所示ndash 10 點選紅色打勾鈕如右側圖中紅色圈所示
2-111
Outlook Express 擷取密碼案例 (續 )
網路安全
ndash 11該軟體會自動選取 DNS Server 待選取後點選 Yes鈕ndash 12 勾選 Allow Relay 選項如紅框所示
2-112
Outlook Express 擷取密碼案例 (續 )
網路安全
Outlook Express 擷取密碼案例 (續 )
bull 設定收信帳號ndash 1 點選 Tools功能選單選擇 Accounts 選項
2-113
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 2 點選 Add鈕選擇 Mail 選項
2-114
網路安全
ndash 3填入 tester 點選 Next鈕ndash 4填入 testertestcom 點選 Next鈕
Outlook Express 擷取密碼案例 (續 )
2-115
網路安全
ndash 5填入 10123 如紅框所示點選 Next鈕ndash 6填入帳號為 tester 及密碼為 testpw 點選 Next鈕
Outlook Express 擷取密碼案例 (續 )
2-116
網路安全
ndash 7 點選 Finish鈕ndash 8 點選 Close鈕
Outlook Express 擷取密碼案例 (續 )
2-117
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 模擬條件準備好後首先準備Wireshark 擷取動作開啟Wireshark
2-118
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 於Wireshark軟體選擇 Capture 下拉選單功能項點選 Interfaces 選項
2-119
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 確認欲擷取封包之網卡名稱如紅色底線所示確認後點選 Start鈕
2-120
網路安全
ndash 當使用者收發 email 時即被 Wireshark攔截封包ndash 有發現到該 Outlook Express帳號密碼是如此清晰可見的嗎
Outlook Express 擷取密碼案例 (續 )
2-121
網路安全
結論bull 學習了 Wireshark及WinDump 兩套網路封包擷取軟體基本概念如同電話側錄概念相同從中複製一連串資訊來分析與了解網路的流量及內容為何bull 當你發現網路速度緩慢等狀況你是否會反應到所學的基本概念來找尋問題所在bull 防範概念由此課程的實例可以了解網路內容如被有心人士擷取所造成的損失相當可觀故你是否有對策有哪些方式你可以應用來防範bull 正確的思考善用對的工具將對解決問題事半功倍
2-122
網路安全 2-123
Module 2-5 封包擷取與分析的專案實作()
網路安全
專案目的bull 建立遠端管理傳遞指令資訊環境bull 利用實際攔截封包操作的方式讓同學了解封包擷取運作與網路資訊流通的顧慮等相關議題
2-124
網路安全
專案描述bull 近年來遠端管理伺服器及網路服務普及光是密碼保護就足夠了嗎是否重點網段須全程加密還是作網段隔離經由此專案實作即可了解不僅部分加密仍有其風險所在網路架構如何規劃將是非常重要的課題bull 參考環境配置圖完成下列要求①環境裡的攔截封包主機是 Windows XP SP3 作業系統而該主機安裝Wireshark軟體②另兩台主機的作業系統亦是 Windows XP SP3 並裝上
MySQL軟體 MySQL帳號為 root 密碼為您的學號 (如 Q3896105)
③在MySQLClient 電腦使用 MySQL Commandline 指令連線至MySQLServer 擷取資料庫資訊
④我們針對這兩台主機傳訊的封包擷取由整個實做中思考如何防範資訊外洩與了解傳訊封包如何流動及運作2-125
網路安全
環境配置圖bull 以 Testbed建立一實驗相關拓樸及設定如下圖
MySQLServerOSWINXP-SP3-CH-pc3000 IP 10123安裝軟體 MySQL
MySQLClientOSWINXP-SP3-CH-pc3000 IP 10112安裝軟體 MySQL
2-126
WireSharkOSWINXP-SP3-CH-pc3000 IP1 10113IP2 10122安裝軟體 Wireshark
IP1IP2
網路安全
作業繳交bull 請參考情境測試發送數個 SQL 指令並將過程與擷取到的封包資訊之截圖列於報告中所有圖表皆需要輔以文字說明bull Deadline 2012312 下午 500 以前bull 作業範圍 Module 2-5 (page 2-128)bull 方式 (參考課程網址 )
ndash 帳號密碼小寫的 (ns100ns100)ndash IP 140116164167
2-127
網路安全
有問題嗎
bull 關於 TestBed 使用上的問題請直接 Email至 twisc-testbed-usergooglegroupscom 將有專人為您服務bull 課程網址
httpitlabeenckuedutwcoursesNS_100indexhtml
2-128
bull 助教資訊 (參考課程網址 )
網路安全
參考資料bull Dienet httplinuxdienetman1wiresharkbull Orebaugh Angela Ramirez Gilbert Burke Josh Pesce Larry Wright
Joshua(2007) Wireshark and Ethereal network protocol analyzer toolkitbull Tony Fortunato(2007) Wireshark Training Retrieved July 22 2009 from
the World Wide Web httpwwwthetechfirmcometherealwiresharkpdfbull WinDump httpwwwwinpcaporgWinDumpbull Wireshark httpwwwwiresharkorgbull Wireshark University httpwwwwiresharktrainingcombull 楊中皇 (民 97年 ) 網路安全理論與實務 (2版 ) 台北市學貫bull 蘇淑茵教授 Wireshark 民國 98年 6月 28日取自 httpmywebnckuedutw~sisou
2-129
網路安全
RaidenFTPD設定步驟 (續 )
bull 接下來的步驟依照預設值即可
2-57
網路安全
RaidenFTPD設定步驟 (續 )
bull 設定人員帳號與群組按下 Add鈕輸入帳號密碼群組名稱可略過完成後按下 Next 進行下一步驟
2-58
網路安全
RaidenFTPD設定步驟 (續 )
bull 此步驟設定該帳號登入 FTP 時的權限選擇NORMAL 按下 Next 進行下一步驟
2-59
網路安全
RaidenFTPD設定步驟 (續 )
bull 接下來的步驟皆以預設值即可完成設定之後會出現對話視窗顯示您所設定的資訊
2-60
網路安全
FTP 用戶端工具 - Filezilla
bull 版本ndash 328
bull 支援作業平台ndash Windows Linux及Mac
bull 下載位址ndash httpsourceforgenetprojectsfilezillafiles
FileZilla_Client328FileZilla_328_win32zipdownload
2-61
網路安全
Filezilla 安裝步驟bull 執行 Filezilla 安裝程式點選 I agree 鈕
2-62
網路安全
Filezilla 安裝步驟 (續 )
bull 以預設值安裝點選兩次 Next 鈕
2-63
網路安全
Filezilla 安裝步驟 (續 )
bull 以預設值安裝點選 Next 鈕後再點選 Install 鈕
2-64
網路安全
Filezilla 安裝步驟 (續 )
bull 以預設值安裝點選 Next 鈕後再點選 Finish 鈕
2-65
網路安全
封包擷取工具 - Wireshark
bull 版本ndash 165
bull 支援作業平台ndash Windows Linux及 FreeBSD
bull 其他需求ndash 安裝WinPcap 31 以上版本
bull 下載位址ndash httpwiresharkdownloadsriverbedcomwireshark
win32wireshark-win32-165exe
2-66
網路安全
Wireshark 安裝步驟bull 至官方網站下載Windows平台最新版本檔案下載完成後執行該安裝程式
2-67
網路安全
Wireshark 安裝步驟 (續 )
bull 於下一步出現的版權宣告點選 I Agree鈕後繼續下一步驟
2-68
網路安全
Wireshark 安裝步驟 (續 )
bull 此步驟選擇欲安裝的元件以軟體預設勾選之項目安裝
2-69
網路安全
Wireshark 安裝步驟 (續 )
bull 此步驟使用預設路徑即可
2-70
網路安全
Wireshark 安裝步驟 (續 )
bull 此步驟將安裝Windows平台須加裝之套件 -WinPcap 若原系統未安裝過 WinPcap套件請以軟體預設項目安裝之
2-71
網路安全
Wireshark 安裝步驟 (續 )
bull 此步驟代表 Wireshark軟體已安裝完成可點選Finish 鈕或勾選 Run Wireshark 165 隨即使用該套軟體
2-72
網路安全
一般工具列Wireshark軟體介面介紹
2-73
篩選工具列封包清單窗格
封包內容窗格封包位元組窗格
網路安全
Wireshark 使用思考方向bull 遇到網路問題是否觀察網路通道中有異常動作或狀況
ndash 思考方向ndash 反應到擷取數據方法那麼以 Wireshark 擷取使用者需要擷取哪些數據這些數據由使用者電腦哪個裝置來擷取
bull Wireshark操作流程
bull 接下來我們進行軟體操作介紹
解決問題 擷取數據要先做什麼
擷取數據 擷取哪些數據( 過濾條件 )數據哪裡來( 網路介面卡 )
2-74
網路安全
數據哪裡來 - Capture功能bull 一開啟方式
ndash 1 點選快速鈕如紅色圈所示ndash 2 點選 Capture功能表 下拉選單後點選 Optionsndash 3鍵盤快速鍵 Ctrl + K
2-75
網路安全
數據哪裡來 - Capture功能 (續 )
bull 二開啟後顯示 Capture Options 的視窗畫面即可看到所提供的擷取功能選項
2-76
網路安全
數據哪裡來 - Capture功能 (續 )
bull Capture Options 常用的欄位設定ndash Caputure 框
bull 1Interface 會顯示出在系統上所有網路卡但只能選取一個介面作為封包擷取bull 2Capture packets in promiscuous mode 選取此選項就是經過所選取的網路卡的所有封包都會被擷取下來bull 3Capture Filter 指定擷取過濾器運算式擷取想要的特定封包即為擷取中過濾之功能
2-77
網路安全
數據哪裡來 - Capture功能 (續 )
bull Capture Options 常用的欄位設定ndash Display Options 框
bull Update list of packets in real time 指定在擷取封包過程中能夠即時更新已擷取封包清單窗格視窗中的封包資訊若取消則軟體主視窗更新畫面是沒有動作的
2-78
網路安全
bull Capture Options 常用的欄位設定ndash Name Resolution框
bull 1 Enable MAC name resolution 指定是否將網路卡MAC address 的前三個位元組轉換成製造商名稱
bull 2 Enable network name resolution 指定是否將 IP address轉換成 DNS 網域名稱
bull 3 Enable transport name resolution 指定是否將通信埠號碼 (port numbers)轉成協定名稱 (protocols)bull 各位了解數據從哪裡擷取的概念與操作之後即可以進一步加上附帶條件 (篩選條件 ) 等相關操作方式
數據哪裡來 - Capture功能 (續 )
2-79
網路安全
Wireshark操作手法bull 延續遇到問題的思考方向及軟體操作手法我們可以將操作流程分為兩種
ndash 擷取中過濾 (Filter while capturing)bull 優點僅擷取已知範圍資訊網路流量少bull 缺點需先了解問題類型避免可能有遺漏真正欲擷取資訊之狀況
ndash 檢視中過濾 (Filter packets while viewing)bull 優點不用先預設條件擷取所有封包資訊bull 缺點影響網路流量
先預設欲擷取條件 擷取數據
擷取數據 再篩選欲查詢數據2-80
網路安全
Wireshark操作手法 - 擷取中過濾bull 操作步驟
ndash 點選 Capture 下拉視窗選擇 Capture Filters 即呈現此視窗
bull 操作範例ndash 1於 Filter窗格中選擇 IP
Address 10112ndash 2於 Properties窗格中即顯示該選項的設定值如圖所示為 host 10112ndash 3 即可設定軟體僅針對
10112 的封包作擷取動作 延伸操作思考1 改變 Filter string 值得到什麼結果2 點選 Edit 窗格中的 New 鈕 新增自訂條件 2-81
網路安全
Wireshark操作手法 - 檢視中過濾bull 此步驟即以已擷取封包清單窗格為基礎以過濾條件過濾該清單bull 可直接選擇軟體預設項目如以下操作
ndash 操作步驟bull 點選 Analyze 下拉視窗選擇
Display Filters 即呈現此視窗ndash 操作範例
bull 1於 Filter窗格中選擇 IP Address 10112
bull 2於 Properties窗格中即顯示該選項的設定值如圖所示值為host 10112
bull 3 即可設定軟體僅針對 10112的封包作顯示動作 延伸操作思考1 可否進行進一步自訂設定值
2-82
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 若電腦 IP為 10112 欲篩選出 IP 來源為上述 IP 且協定為 TCP 80port 的所有封包ndash 操作步驟
bull 點選 Expression鈕即出現此視窗ndash 1於 Field name框選擇
IP項目中的 ipsrc - Source
ndash 2於 Relation框選擇 ==ndash 3於 Value [IPV4
address]填 入 10112ndash 4 點選 OK鈕 進階思考方式須考慮到例如是來源資訊是目標資訊是什麼協定等更細部所要之條件
2-83
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 再進行第二篩選條件ndash TCP 80 port
bull 操作步驟ndash 1先於 Filter string 輸入文字框「 ipsrc==
10112」後再加上一個空格及「 and 」再進行一次 Expression條件選擇
2-84
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
ndash 2於 Field name框選擇「 tcpdstport」ndash 3於 Relation框選擇「 ==」ndash 4於 Value框填入「 80」ndash 5 選擇「 OK」鈕
2-85
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 注意 Propeties框內的Filter string欄位值已改變為「 ipsrc == 10112 and tcpdstport == 80」
bull 確認條件正確後點選「 OK 」鈕即可發現已擷取封包清單窗格的項目均為所設定過濾條件過濾過結果2-86
網路安全
bull 可單選單一封包進行更進階查詢封包內容bull 操作方式為
ndash 點選其中一項封包項目點選滑鼠右鍵選擇Follow TCP Stream
Wireshark操作手法 - 檢視中過濾 (續 )
2-87
網路安全
ndash 此畫面即可看出該項 TCP 封包溝通內容Wireshark操作手法 - 檢視中過濾 (續 )
2-88
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 此功能將所擷取的封包清單使用多種方式呈現封包統計資料便於使用者查詢擷取時間內何種封包數量多寡及圖型顯示bull 操作步驟點選 Statistics 下拉視窗即呈現此視窗 顯示有關擷取清單的摘要以階梯式通訊協定列表顯示所擷取的所有封包
在特定 IP間顯示通訊流量顯示單一 IP 來往封包的流量
以時間軸顯示視覺化封包流量圖2-89
網路安全
bull 可查看到一時段內其封包總數與平均每秒傳遞接收封包數等相關資訊讓使用者了解平均一時段內網路流量狀況藉以初步獲得資訊
Wireshark操作手法 - 檢視中過濾 (續 )
2-90
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 讓使用者可透過階梯式封包分類表來查看哪一類封包佔為居多可進一步推測是否該類型封包影響到整體網路或是否有異常或不常見封包類型在網路中傳遞
2-91
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 將該擷取時段內封包清單檔以兩個特定 IP 之間對傳封包為區隔顯示出哪兩個特定 IP間傳遞封包數多寡bull 可讓使用者更進一步研判兩個特定 IP所屬設備傳遞狀況是否異常
2-92
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 將該擷取時段內封包清單檔以特定IP 傳遞封包數為區隔顯示出哪特定IP 傳遞封包數多寡
bull 可讓使用者更進一步研判該特定所屬設備傳遞封包數是否異常作為管制緊急管制或禁止通訊之證明2-93
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 以時間軸顯示視覺化封包流量圖bull 讓使用者可觀察所管理設備資訊流通量以了解設備是否能負荷或作相關調整等處置
2-94
網路安全
FTP 擷取密碼案例bull 於Wireshark軟體選擇 Capture 下拉選單功能項點選 Interfaces 選項
2-95
網路安全
FTP 擷取密碼案例 (續 )
bull 確認欲擷取封包之網卡名稱如紅色底線所示確認後點選 Start鈕
2-96
網路安全
FTP 擷取密碼案例 (續 )
bull 切換至 FTP Client 電腦開啟 FileZilla 程式後連線到 FTP Server 於 Host 填入10123 Username填入 tester Password填入testpw 後點選 Quickconnect鈕
2-97
網路安全
FTP 擷取密碼案例 (續 )
bull 擷取到的封包資訊會顯示於已擷取封包清單窗格內
2-98
網路安全
FTP 擷取密碼案例 (續 )
bull 使用 FTP軟體登入 ftp站後 Wireshark 將擷取到的使用者名稱與密碼如紅框所示
2-99
網路安全
FTP 擷取密碼案例 (續 )
bull 點選已擷取封包清單窗格的密碼資訊列如標示1 的紅框所示即可在封包內容窗格看到該密碼的位元碼如標示 2 的紅框所示
1
2
2-100
網路安全
架設實作 (三 )
Outlook Express 擷取密碼案例
2-101
網路安全
實驗環境介紹bull 以 Testbed建立一實驗相關拓樸及設定如下圖
OEClientOSWindows XP SP3IP 10112執行 Outlook Express
MailServerOSWindows XP SP3IP 10122安裝軟體 ArGoSoft Mail Server
2-102
WiresharkOSWindows XP SP3IP1 10113 IP2 10123安裝軟體 Wireshark
IP1IP2
網路安全
實驗拓樸 on TestbedTWISC- 建立完成的實驗拓樸
2-103
網路安全
郵件伺服器工具 - ArGoSoft Mail Server
bull 版本ndash 1892 Freeware
bull 支援作業平台ndash Windows
bull 下載位址ndash httpwwwsoftkingcomtwsoftdownloadaspfid3=7367
2-104
網路安全
郵件客戶端工具 - Outlook Express
bull 版本ndash 60
bull 支援作業平台ndash Windows
bull 下載位址ndash Windows 內建
2-105
網路安全
bull 安裝及設定郵件伺服器ndash 1下載並執行 ArGoSoft Mail Server軟體點選
Setup鈕
Outlook Express 擷取密碼案例
2-106
網路安全
ndash 1 點選 Next鈕ndash 2 點選 Start Installation鈕
Outlook Express 擷取密碼案例 (續 )
2-107
網路安全
ndash 3 點選 OK鈕ndash 4 點選 Finish鈕完成軟體安裝
Outlook Express 擷取密碼案例 (續 )
2-108
網路安全
ndash 5 點選使用者設定鈕如紅圈所示ndash 6 點選新增鈕如紅框所示
Outlook Express 擷取密碼案例 (續 )
2-109
網路安全
ndash 7填入使用者名稱 (tester) 及密碼 (testpw) 如紅圈所示填寫完成後點選 OK鈕ndash 8 點選 Close鈕關閉使用者設定視窗
Outlook Express 擷取密碼案例 (續 )
2-110
網路安全
ndash 9 點選選項鈕如左側圖中紅色圈所示ndash 10 點選紅色打勾鈕如右側圖中紅色圈所示
2-111
Outlook Express 擷取密碼案例 (續 )
網路安全
ndash 11該軟體會自動選取 DNS Server 待選取後點選 Yes鈕ndash 12 勾選 Allow Relay 選項如紅框所示
2-112
Outlook Express 擷取密碼案例 (續 )
網路安全
Outlook Express 擷取密碼案例 (續 )
bull 設定收信帳號ndash 1 點選 Tools功能選單選擇 Accounts 選項
2-113
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 2 點選 Add鈕選擇 Mail 選項
2-114
網路安全
ndash 3填入 tester 點選 Next鈕ndash 4填入 testertestcom 點選 Next鈕
Outlook Express 擷取密碼案例 (續 )
2-115
網路安全
ndash 5填入 10123 如紅框所示點選 Next鈕ndash 6填入帳號為 tester 及密碼為 testpw 點選 Next鈕
Outlook Express 擷取密碼案例 (續 )
2-116
網路安全
ndash 7 點選 Finish鈕ndash 8 點選 Close鈕
Outlook Express 擷取密碼案例 (續 )
2-117
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 模擬條件準備好後首先準備Wireshark 擷取動作開啟Wireshark
2-118
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 於Wireshark軟體選擇 Capture 下拉選單功能項點選 Interfaces 選項
2-119
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 確認欲擷取封包之網卡名稱如紅色底線所示確認後點選 Start鈕
2-120
網路安全
ndash 當使用者收發 email 時即被 Wireshark攔截封包ndash 有發現到該 Outlook Express帳號密碼是如此清晰可見的嗎
Outlook Express 擷取密碼案例 (續 )
2-121
網路安全
結論bull 學習了 Wireshark及WinDump 兩套網路封包擷取軟體基本概念如同電話側錄概念相同從中複製一連串資訊來分析與了解網路的流量及內容為何bull 當你發現網路速度緩慢等狀況你是否會反應到所學的基本概念來找尋問題所在bull 防範概念由此課程的實例可以了解網路內容如被有心人士擷取所造成的損失相當可觀故你是否有對策有哪些方式你可以應用來防範bull 正確的思考善用對的工具將對解決問題事半功倍
2-122
網路安全 2-123
Module 2-5 封包擷取與分析的專案實作()
網路安全
專案目的bull 建立遠端管理傳遞指令資訊環境bull 利用實際攔截封包操作的方式讓同學了解封包擷取運作與網路資訊流通的顧慮等相關議題
2-124
網路安全
專案描述bull 近年來遠端管理伺服器及網路服務普及光是密碼保護就足夠了嗎是否重點網段須全程加密還是作網段隔離經由此專案實作即可了解不僅部分加密仍有其風險所在網路架構如何規劃將是非常重要的課題bull 參考環境配置圖完成下列要求①環境裡的攔截封包主機是 Windows XP SP3 作業系統而該主機安裝Wireshark軟體②另兩台主機的作業系統亦是 Windows XP SP3 並裝上
MySQL軟體 MySQL帳號為 root 密碼為您的學號 (如 Q3896105)
③在MySQLClient 電腦使用 MySQL Commandline 指令連線至MySQLServer 擷取資料庫資訊
④我們針對這兩台主機傳訊的封包擷取由整個實做中思考如何防範資訊外洩與了解傳訊封包如何流動及運作2-125
網路安全
環境配置圖bull 以 Testbed建立一實驗相關拓樸及設定如下圖
MySQLServerOSWINXP-SP3-CH-pc3000 IP 10123安裝軟體 MySQL
MySQLClientOSWINXP-SP3-CH-pc3000 IP 10112安裝軟體 MySQL
2-126
WireSharkOSWINXP-SP3-CH-pc3000 IP1 10113IP2 10122安裝軟體 Wireshark
IP1IP2
網路安全
作業繳交bull 請參考情境測試發送數個 SQL 指令並將過程與擷取到的封包資訊之截圖列於報告中所有圖表皆需要輔以文字說明bull Deadline 2012312 下午 500 以前bull 作業範圍 Module 2-5 (page 2-128)bull 方式 (參考課程網址 )
ndash 帳號密碼小寫的 (ns100ns100)ndash IP 140116164167
2-127
網路安全
有問題嗎
bull 關於 TestBed 使用上的問題請直接 Email至 twisc-testbed-usergooglegroupscom 將有專人為您服務bull 課程網址
httpitlabeenckuedutwcoursesNS_100indexhtml
2-128
bull 助教資訊 (參考課程網址 )
網路安全
參考資料bull Dienet httplinuxdienetman1wiresharkbull Orebaugh Angela Ramirez Gilbert Burke Josh Pesce Larry Wright
Joshua(2007) Wireshark and Ethereal network protocol analyzer toolkitbull Tony Fortunato(2007) Wireshark Training Retrieved July 22 2009 from
the World Wide Web httpwwwthetechfirmcometherealwiresharkpdfbull WinDump httpwwwwinpcaporgWinDumpbull Wireshark httpwwwwiresharkorgbull Wireshark University httpwwwwiresharktrainingcombull 楊中皇 (民 97年 ) 網路安全理論與實務 (2版 ) 台北市學貫bull 蘇淑茵教授 Wireshark 民國 98年 6月 28日取自 httpmywebnckuedutw~sisou
2-129
網路安全
RaidenFTPD設定步驟 (續 )
bull 設定人員帳號與群組按下 Add鈕輸入帳號密碼群組名稱可略過完成後按下 Next 進行下一步驟
2-58
網路安全
RaidenFTPD設定步驟 (續 )
bull 此步驟設定該帳號登入 FTP 時的權限選擇NORMAL 按下 Next 進行下一步驟
2-59
網路安全
RaidenFTPD設定步驟 (續 )
bull 接下來的步驟皆以預設值即可完成設定之後會出現對話視窗顯示您所設定的資訊
2-60
網路安全
FTP 用戶端工具 - Filezilla
bull 版本ndash 328
bull 支援作業平台ndash Windows Linux及Mac
bull 下載位址ndash httpsourceforgenetprojectsfilezillafiles
FileZilla_Client328FileZilla_328_win32zipdownload
2-61
網路安全
Filezilla 安裝步驟bull 執行 Filezilla 安裝程式點選 I agree 鈕
2-62
網路安全
Filezilla 安裝步驟 (續 )
bull 以預設值安裝點選兩次 Next 鈕
2-63
網路安全
Filezilla 安裝步驟 (續 )
bull 以預設值安裝點選 Next 鈕後再點選 Install 鈕
2-64
網路安全
Filezilla 安裝步驟 (續 )
bull 以預設值安裝點選 Next 鈕後再點選 Finish 鈕
2-65
網路安全
封包擷取工具 - Wireshark
bull 版本ndash 165
bull 支援作業平台ndash Windows Linux及 FreeBSD
bull 其他需求ndash 安裝WinPcap 31 以上版本
bull 下載位址ndash httpwiresharkdownloadsriverbedcomwireshark
win32wireshark-win32-165exe
2-66
網路安全
Wireshark 安裝步驟bull 至官方網站下載Windows平台最新版本檔案下載完成後執行該安裝程式
2-67
網路安全
Wireshark 安裝步驟 (續 )
bull 於下一步出現的版權宣告點選 I Agree鈕後繼續下一步驟
2-68
網路安全
Wireshark 安裝步驟 (續 )
bull 此步驟選擇欲安裝的元件以軟體預設勾選之項目安裝
2-69
網路安全
Wireshark 安裝步驟 (續 )
bull 此步驟使用預設路徑即可
2-70
網路安全
Wireshark 安裝步驟 (續 )
bull 此步驟將安裝Windows平台須加裝之套件 -WinPcap 若原系統未安裝過 WinPcap套件請以軟體預設項目安裝之
2-71
網路安全
Wireshark 安裝步驟 (續 )
bull 此步驟代表 Wireshark軟體已安裝完成可點選Finish 鈕或勾選 Run Wireshark 165 隨即使用該套軟體
2-72
網路安全
一般工具列Wireshark軟體介面介紹
2-73
篩選工具列封包清單窗格
封包內容窗格封包位元組窗格
網路安全
Wireshark 使用思考方向bull 遇到網路問題是否觀察網路通道中有異常動作或狀況
ndash 思考方向ndash 反應到擷取數據方法那麼以 Wireshark 擷取使用者需要擷取哪些數據這些數據由使用者電腦哪個裝置來擷取
bull Wireshark操作流程
bull 接下來我們進行軟體操作介紹
解決問題 擷取數據要先做什麼
擷取數據 擷取哪些數據( 過濾條件 )數據哪裡來( 網路介面卡 )
2-74
網路安全
數據哪裡來 - Capture功能bull 一開啟方式
ndash 1 點選快速鈕如紅色圈所示ndash 2 點選 Capture功能表 下拉選單後點選 Optionsndash 3鍵盤快速鍵 Ctrl + K
2-75
網路安全
數據哪裡來 - Capture功能 (續 )
bull 二開啟後顯示 Capture Options 的視窗畫面即可看到所提供的擷取功能選項
2-76
網路安全
數據哪裡來 - Capture功能 (續 )
bull Capture Options 常用的欄位設定ndash Caputure 框
bull 1Interface 會顯示出在系統上所有網路卡但只能選取一個介面作為封包擷取bull 2Capture packets in promiscuous mode 選取此選項就是經過所選取的網路卡的所有封包都會被擷取下來bull 3Capture Filter 指定擷取過濾器運算式擷取想要的特定封包即為擷取中過濾之功能
2-77
網路安全
數據哪裡來 - Capture功能 (續 )
bull Capture Options 常用的欄位設定ndash Display Options 框
bull Update list of packets in real time 指定在擷取封包過程中能夠即時更新已擷取封包清單窗格視窗中的封包資訊若取消則軟體主視窗更新畫面是沒有動作的
2-78
網路安全
bull Capture Options 常用的欄位設定ndash Name Resolution框
bull 1 Enable MAC name resolution 指定是否將網路卡MAC address 的前三個位元組轉換成製造商名稱
bull 2 Enable network name resolution 指定是否將 IP address轉換成 DNS 網域名稱
bull 3 Enable transport name resolution 指定是否將通信埠號碼 (port numbers)轉成協定名稱 (protocols)bull 各位了解數據從哪裡擷取的概念與操作之後即可以進一步加上附帶條件 (篩選條件 ) 等相關操作方式
數據哪裡來 - Capture功能 (續 )
2-79
網路安全
Wireshark操作手法bull 延續遇到問題的思考方向及軟體操作手法我們可以將操作流程分為兩種
ndash 擷取中過濾 (Filter while capturing)bull 優點僅擷取已知範圍資訊網路流量少bull 缺點需先了解問題類型避免可能有遺漏真正欲擷取資訊之狀況
ndash 檢視中過濾 (Filter packets while viewing)bull 優點不用先預設條件擷取所有封包資訊bull 缺點影響網路流量
先預設欲擷取條件 擷取數據
擷取數據 再篩選欲查詢數據2-80
網路安全
Wireshark操作手法 - 擷取中過濾bull 操作步驟
ndash 點選 Capture 下拉視窗選擇 Capture Filters 即呈現此視窗
bull 操作範例ndash 1於 Filter窗格中選擇 IP
Address 10112ndash 2於 Properties窗格中即顯示該選項的設定值如圖所示為 host 10112ndash 3 即可設定軟體僅針對
10112 的封包作擷取動作 延伸操作思考1 改變 Filter string 值得到什麼結果2 點選 Edit 窗格中的 New 鈕 新增自訂條件 2-81
網路安全
Wireshark操作手法 - 檢視中過濾bull 此步驟即以已擷取封包清單窗格為基礎以過濾條件過濾該清單bull 可直接選擇軟體預設項目如以下操作
ndash 操作步驟bull 點選 Analyze 下拉視窗選擇
Display Filters 即呈現此視窗ndash 操作範例
bull 1於 Filter窗格中選擇 IP Address 10112
bull 2於 Properties窗格中即顯示該選項的設定值如圖所示值為host 10112
bull 3 即可設定軟體僅針對 10112的封包作顯示動作 延伸操作思考1 可否進行進一步自訂設定值
2-82
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 若電腦 IP為 10112 欲篩選出 IP 來源為上述 IP 且協定為 TCP 80port 的所有封包ndash 操作步驟
bull 點選 Expression鈕即出現此視窗ndash 1於 Field name框選擇
IP項目中的 ipsrc - Source
ndash 2於 Relation框選擇 ==ndash 3於 Value [IPV4
address]填 入 10112ndash 4 點選 OK鈕 進階思考方式須考慮到例如是來源資訊是目標資訊是什麼協定等更細部所要之條件
2-83
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 再進行第二篩選條件ndash TCP 80 port
bull 操作步驟ndash 1先於 Filter string 輸入文字框「 ipsrc==
10112」後再加上一個空格及「 and 」再進行一次 Expression條件選擇
2-84
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
ndash 2於 Field name框選擇「 tcpdstport」ndash 3於 Relation框選擇「 ==」ndash 4於 Value框填入「 80」ndash 5 選擇「 OK」鈕
2-85
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 注意 Propeties框內的Filter string欄位值已改變為「 ipsrc == 10112 and tcpdstport == 80」
bull 確認條件正確後點選「 OK 」鈕即可發現已擷取封包清單窗格的項目均為所設定過濾條件過濾過結果2-86
網路安全
bull 可單選單一封包進行更進階查詢封包內容bull 操作方式為
ndash 點選其中一項封包項目點選滑鼠右鍵選擇Follow TCP Stream
Wireshark操作手法 - 檢視中過濾 (續 )
2-87
網路安全
ndash 此畫面即可看出該項 TCP 封包溝通內容Wireshark操作手法 - 檢視中過濾 (續 )
2-88
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 此功能將所擷取的封包清單使用多種方式呈現封包統計資料便於使用者查詢擷取時間內何種封包數量多寡及圖型顯示bull 操作步驟點選 Statistics 下拉視窗即呈現此視窗 顯示有關擷取清單的摘要以階梯式通訊協定列表顯示所擷取的所有封包
在特定 IP間顯示通訊流量顯示單一 IP 來往封包的流量
以時間軸顯示視覺化封包流量圖2-89
網路安全
bull 可查看到一時段內其封包總數與平均每秒傳遞接收封包數等相關資訊讓使用者了解平均一時段內網路流量狀況藉以初步獲得資訊
Wireshark操作手法 - 檢視中過濾 (續 )
2-90
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 讓使用者可透過階梯式封包分類表來查看哪一類封包佔為居多可進一步推測是否該類型封包影響到整體網路或是否有異常或不常見封包類型在網路中傳遞
2-91
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 將該擷取時段內封包清單檔以兩個特定 IP 之間對傳封包為區隔顯示出哪兩個特定 IP間傳遞封包數多寡bull 可讓使用者更進一步研判兩個特定 IP所屬設備傳遞狀況是否異常
2-92
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 將該擷取時段內封包清單檔以特定IP 傳遞封包數為區隔顯示出哪特定IP 傳遞封包數多寡
bull 可讓使用者更進一步研判該特定所屬設備傳遞封包數是否異常作為管制緊急管制或禁止通訊之證明2-93
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 以時間軸顯示視覺化封包流量圖bull 讓使用者可觀察所管理設備資訊流通量以了解設備是否能負荷或作相關調整等處置
2-94
網路安全
FTP 擷取密碼案例bull 於Wireshark軟體選擇 Capture 下拉選單功能項點選 Interfaces 選項
2-95
網路安全
FTP 擷取密碼案例 (續 )
bull 確認欲擷取封包之網卡名稱如紅色底線所示確認後點選 Start鈕
2-96
網路安全
FTP 擷取密碼案例 (續 )
bull 切換至 FTP Client 電腦開啟 FileZilla 程式後連線到 FTP Server 於 Host 填入10123 Username填入 tester Password填入testpw 後點選 Quickconnect鈕
2-97
網路安全
FTP 擷取密碼案例 (續 )
bull 擷取到的封包資訊會顯示於已擷取封包清單窗格內
2-98
網路安全
FTP 擷取密碼案例 (續 )
bull 使用 FTP軟體登入 ftp站後 Wireshark 將擷取到的使用者名稱與密碼如紅框所示
2-99
網路安全
FTP 擷取密碼案例 (續 )
bull 點選已擷取封包清單窗格的密碼資訊列如標示1 的紅框所示即可在封包內容窗格看到該密碼的位元碼如標示 2 的紅框所示
1
2
2-100
網路安全
架設實作 (三 )
Outlook Express 擷取密碼案例
2-101
網路安全
實驗環境介紹bull 以 Testbed建立一實驗相關拓樸及設定如下圖
OEClientOSWindows XP SP3IP 10112執行 Outlook Express
MailServerOSWindows XP SP3IP 10122安裝軟體 ArGoSoft Mail Server
2-102
WiresharkOSWindows XP SP3IP1 10113 IP2 10123安裝軟體 Wireshark
IP1IP2
網路安全
實驗拓樸 on TestbedTWISC- 建立完成的實驗拓樸
2-103
網路安全
郵件伺服器工具 - ArGoSoft Mail Server
bull 版本ndash 1892 Freeware
bull 支援作業平台ndash Windows
bull 下載位址ndash httpwwwsoftkingcomtwsoftdownloadaspfid3=7367
2-104
網路安全
郵件客戶端工具 - Outlook Express
bull 版本ndash 60
bull 支援作業平台ndash Windows
bull 下載位址ndash Windows 內建
2-105
網路安全
bull 安裝及設定郵件伺服器ndash 1下載並執行 ArGoSoft Mail Server軟體點選
Setup鈕
Outlook Express 擷取密碼案例
2-106
網路安全
ndash 1 點選 Next鈕ndash 2 點選 Start Installation鈕
Outlook Express 擷取密碼案例 (續 )
2-107
網路安全
ndash 3 點選 OK鈕ndash 4 點選 Finish鈕完成軟體安裝
Outlook Express 擷取密碼案例 (續 )
2-108
網路安全
ndash 5 點選使用者設定鈕如紅圈所示ndash 6 點選新增鈕如紅框所示
Outlook Express 擷取密碼案例 (續 )
2-109
網路安全
ndash 7填入使用者名稱 (tester) 及密碼 (testpw) 如紅圈所示填寫完成後點選 OK鈕ndash 8 點選 Close鈕關閉使用者設定視窗
Outlook Express 擷取密碼案例 (續 )
2-110
網路安全
ndash 9 點選選項鈕如左側圖中紅色圈所示ndash 10 點選紅色打勾鈕如右側圖中紅色圈所示
2-111
Outlook Express 擷取密碼案例 (續 )
網路安全
ndash 11該軟體會自動選取 DNS Server 待選取後點選 Yes鈕ndash 12 勾選 Allow Relay 選項如紅框所示
2-112
Outlook Express 擷取密碼案例 (續 )
網路安全
Outlook Express 擷取密碼案例 (續 )
bull 設定收信帳號ndash 1 點選 Tools功能選單選擇 Accounts 選項
2-113
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 2 點選 Add鈕選擇 Mail 選項
2-114
網路安全
ndash 3填入 tester 點選 Next鈕ndash 4填入 testertestcom 點選 Next鈕
Outlook Express 擷取密碼案例 (續 )
2-115
網路安全
ndash 5填入 10123 如紅框所示點選 Next鈕ndash 6填入帳號為 tester 及密碼為 testpw 點選 Next鈕
Outlook Express 擷取密碼案例 (續 )
2-116
網路安全
ndash 7 點選 Finish鈕ndash 8 點選 Close鈕
Outlook Express 擷取密碼案例 (續 )
2-117
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 模擬條件準備好後首先準備Wireshark 擷取動作開啟Wireshark
2-118
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 於Wireshark軟體選擇 Capture 下拉選單功能項點選 Interfaces 選項
2-119
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 確認欲擷取封包之網卡名稱如紅色底線所示確認後點選 Start鈕
2-120
網路安全
ndash 當使用者收發 email 時即被 Wireshark攔截封包ndash 有發現到該 Outlook Express帳號密碼是如此清晰可見的嗎
Outlook Express 擷取密碼案例 (續 )
2-121
網路安全
結論bull 學習了 Wireshark及WinDump 兩套網路封包擷取軟體基本概念如同電話側錄概念相同從中複製一連串資訊來分析與了解網路的流量及內容為何bull 當你發現網路速度緩慢等狀況你是否會反應到所學的基本概念來找尋問題所在bull 防範概念由此課程的實例可以了解網路內容如被有心人士擷取所造成的損失相當可觀故你是否有對策有哪些方式你可以應用來防範bull 正確的思考善用對的工具將對解決問題事半功倍
2-122
網路安全 2-123
Module 2-5 封包擷取與分析的專案實作()
網路安全
專案目的bull 建立遠端管理傳遞指令資訊環境bull 利用實際攔截封包操作的方式讓同學了解封包擷取運作與網路資訊流通的顧慮等相關議題
2-124
網路安全
專案描述bull 近年來遠端管理伺服器及網路服務普及光是密碼保護就足夠了嗎是否重點網段須全程加密還是作網段隔離經由此專案實作即可了解不僅部分加密仍有其風險所在網路架構如何規劃將是非常重要的課題bull 參考環境配置圖完成下列要求①環境裡的攔截封包主機是 Windows XP SP3 作業系統而該主機安裝Wireshark軟體②另兩台主機的作業系統亦是 Windows XP SP3 並裝上
MySQL軟體 MySQL帳號為 root 密碼為您的學號 (如 Q3896105)
③在MySQLClient 電腦使用 MySQL Commandline 指令連線至MySQLServer 擷取資料庫資訊
④我們針對這兩台主機傳訊的封包擷取由整個實做中思考如何防範資訊外洩與了解傳訊封包如何流動及運作2-125
網路安全
環境配置圖bull 以 Testbed建立一實驗相關拓樸及設定如下圖
MySQLServerOSWINXP-SP3-CH-pc3000 IP 10123安裝軟體 MySQL
MySQLClientOSWINXP-SP3-CH-pc3000 IP 10112安裝軟體 MySQL
2-126
WireSharkOSWINXP-SP3-CH-pc3000 IP1 10113IP2 10122安裝軟體 Wireshark
IP1IP2
網路安全
作業繳交bull 請參考情境測試發送數個 SQL 指令並將過程與擷取到的封包資訊之截圖列於報告中所有圖表皆需要輔以文字說明bull Deadline 2012312 下午 500 以前bull 作業範圍 Module 2-5 (page 2-128)bull 方式 (參考課程網址 )
ndash 帳號密碼小寫的 (ns100ns100)ndash IP 140116164167
2-127
網路安全
有問題嗎
bull 關於 TestBed 使用上的問題請直接 Email至 twisc-testbed-usergooglegroupscom 將有專人為您服務bull 課程網址
httpitlabeenckuedutwcoursesNS_100indexhtml
2-128
bull 助教資訊 (參考課程網址 )
網路安全
參考資料bull Dienet httplinuxdienetman1wiresharkbull Orebaugh Angela Ramirez Gilbert Burke Josh Pesce Larry Wright
Joshua(2007) Wireshark and Ethereal network protocol analyzer toolkitbull Tony Fortunato(2007) Wireshark Training Retrieved July 22 2009 from
the World Wide Web httpwwwthetechfirmcometherealwiresharkpdfbull WinDump httpwwwwinpcaporgWinDumpbull Wireshark httpwwwwiresharkorgbull Wireshark University httpwwwwiresharktrainingcombull 楊中皇 (民 97年 ) 網路安全理論與實務 (2版 ) 台北市學貫bull 蘇淑茵教授 Wireshark 民國 98年 6月 28日取自 httpmywebnckuedutw~sisou
2-129
網路安全
RaidenFTPD設定步驟 (續 )
bull 此步驟設定該帳號登入 FTP 時的權限選擇NORMAL 按下 Next 進行下一步驟
2-59
網路安全
RaidenFTPD設定步驟 (續 )
bull 接下來的步驟皆以預設值即可完成設定之後會出現對話視窗顯示您所設定的資訊
2-60
網路安全
FTP 用戶端工具 - Filezilla
bull 版本ndash 328
bull 支援作業平台ndash Windows Linux及Mac
bull 下載位址ndash httpsourceforgenetprojectsfilezillafiles
FileZilla_Client328FileZilla_328_win32zipdownload
2-61
網路安全
Filezilla 安裝步驟bull 執行 Filezilla 安裝程式點選 I agree 鈕
2-62
網路安全
Filezilla 安裝步驟 (續 )
bull 以預設值安裝點選兩次 Next 鈕
2-63
網路安全
Filezilla 安裝步驟 (續 )
bull 以預設值安裝點選 Next 鈕後再點選 Install 鈕
2-64
網路安全
Filezilla 安裝步驟 (續 )
bull 以預設值安裝點選 Next 鈕後再點選 Finish 鈕
2-65
網路安全
封包擷取工具 - Wireshark
bull 版本ndash 165
bull 支援作業平台ndash Windows Linux及 FreeBSD
bull 其他需求ndash 安裝WinPcap 31 以上版本
bull 下載位址ndash httpwiresharkdownloadsriverbedcomwireshark
win32wireshark-win32-165exe
2-66
網路安全
Wireshark 安裝步驟bull 至官方網站下載Windows平台最新版本檔案下載完成後執行該安裝程式
2-67
網路安全
Wireshark 安裝步驟 (續 )
bull 於下一步出現的版權宣告點選 I Agree鈕後繼續下一步驟
2-68
網路安全
Wireshark 安裝步驟 (續 )
bull 此步驟選擇欲安裝的元件以軟體預設勾選之項目安裝
2-69
網路安全
Wireshark 安裝步驟 (續 )
bull 此步驟使用預設路徑即可
2-70
網路安全
Wireshark 安裝步驟 (續 )
bull 此步驟將安裝Windows平台須加裝之套件 -WinPcap 若原系統未安裝過 WinPcap套件請以軟體預設項目安裝之
2-71
網路安全
Wireshark 安裝步驟 (續 )
bull 此步驟代表 Wireshark軟體已安裝完成可點選Finish 鈕或勾選 Run Wireshark 165 隨即使用該套軟體
2-72
網路安全
一般工具列Wireshark軟體介面介紹
2-73
篩選工具列封包清單窗格
封包內容窗格封包位元組窗格
網路安全
Wireshark 使用思考方向bull 遇到網路問題是否觀察網路通道中有異常動作或狀況
ndash 思考方向ndash 反應到擷取數據方法那麼以 Wireshark 擷取使用者需要擷取哪些數據這些數據由使用者電腦哪個裝置來擷取
bull Wireshark操作流程
bull 接下來我們進行軟體操作介紹
解決問題 擷取數據要先做什麼
擷取數據 擷取哪些數據( 過濾條件 )數據哪裡來( 網路介面卡 )
2-74
網路安全
數據哪裡來 - Capture功能bull 一開啟方式
ndash 1 點選快速鈕如紅色圈所示ndash 2 點選 Capture功能表 下拉選單後點選 Optionsndash 3鍵盤快速鍵 Ctrl + K
2-75
網路安全
數據哪裡來 - Capture功能 (續 )
bull 二開啟後顯示 Capture Options 的視窗畫面即可看到所提供的擷取功能選項
2-76
網路安全
數據哪裡來 - Capture功能 (續 )
bull Capture Options 常用的欄位設定ndash Caputure 框
bull 1Interface 會顯示出在系統上所有網路卡但只能選取一個介面作為封包擷取bull 2Capture packets in promiscuous mode 選取此選項就是經過所選取的網路卡的所有封包都會被擷取下來bull 3Capture Filter 指定擷取過濾器運算式擷取想要的特定封包即為擷取中過濾之功能
2-77
網路安全
數據哪裡來 - Capture功能 (續 )
bull Capture Options 常用的欄位設定ndash Display Options 框
bull Update list of packets in real time 指定在擷取封包過程中能夠即時更新已擷取封包清單窗格視窗中的封包資訊若取消則軟體主視窗更新畫面是沒有動作的
2-78
網路安全
bull Capture Options 常用的欄位設定ndash Name Resolution框
bull 1 Enable MAC name resolution 指定是否將網路卡MAC address 的前三個位元組轉換成製造商名稱
bull 2 Enable network name resolution 指定是否將 IP address轉換成 DNS 網域名稱
bull 3 Enable transport name resolution 指定是否將通信埠號碼 (port numbers)轉成協定名稱 (protocols)bull 各位了解數據從哪裡擷取的概念與操作之後即可以進一步加上附帶條件 (篩選條件 ) 等相關操作方式
數據哪裡來 - Capture功能 (續 )
2-79
網路安全
Wireshark操作手法bull 延續遇到問題的思考方向及軟體操作手法我們可以將操作流程分為兩種
ndash 擷取中過濾 (Filter while capturing)bull 優點僅擷取已知範圍資訊網路流量少bull 缺點需先了解問題類型避免可能有遺漏真正欲擷取資訊之狀況
ndash 檢視中過濾 (Filter packets while viewing)bull 優點不用先預設條件擷取所有封包資訊bull 缺點影響網路流量
先預設欲擷取條件 擷取數據
擷取數據 再篩選欲查詢數據2-80
網路安全
Wireshark操作手法 - 擷取中過濾bull 操作步驟
ndash 點選 Capture 下拉視窗選擇 Capture Filters 即呈現此視窗
bull 操作範例ndash 1於 Filter窗格中選擇 IP
Address 10112ndash 2於 Properties窗格中即顯示該選項的設定值如圖所示為 host 10112ndash 3 即可設定軟體僅針對
10112 的封包作擷取動作 延伸操作思考1 改變 Filter string 值得到什麼結果2 點選 Edit 窗格中的 New 鈕 新增自訂條件 2-81
網路安全
Wireshark操作手法 - 檢視中過濾bull 此步驟即以已擷取封包清單窗格為基礎以過濾條件過濾該清單bull 可直接選擇軟體預設項目如以下操作
ndash 操作步驟bull 點選 Analyze 下拉視窗選擇
Display Filters 即呈現此視窗ndash 操作範例
bull 1於 Filter窗格中選擇 IP Address 10112
bull 2於 Properties窗格中即顯示該選項的設定值如圖所示值為host 10112
bull 3 即可設定軟體僅針對 10112的封包作顯示動作 延伸操作思考1 可否進行進一步自訂設定值
2-82
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 若電腦 IP為 10112 欲篩選出 IP 來源為上述 IP 且協定為 TCP 80port 的所有封包ndash 操作步驟
bull 點選 Expression鈕即出現此視窗ndash 1於 Field name框選擇
IP項目中的 ipsrc - Source
ndash 2於 Relation框選擇 ==ndash 3於 Value [IPV4
address]填 入 10112ndash 4 點選 OK鈕 進階思考方式須考慮到例如是來源資訊是目標資訊是什麼協定等更細部所要之條件
2-83
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 再進行第二篩選條件ndash TCP 80 port
bull 操作步驟ndash 1先於 Filter string 輸入文字框「 ipsrc==
10112」後再加上一個空格及「 and 」再進行一次 Expression條件選擇
2-84
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
ndash 2於 Field name框選擇「 tcpdstport」ndash 3於 Relation框選擇「 ==」ndash 4於 Value框填入「 80」ndash 5 選擇「 OK」鈕
2-85
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 注意 Propeties框內的Filter string欄位值已改變為「 ipsrc == 10112 and tcpdstport == 80」
bull 確認條件正確後點選「 OK 」鈕即可發現已擷取封包清單窗格的項目均為所設定過濾條件過濾過結果2-86
網路安全
bull 可單選單一封包進行更進階查詢封包內容bull 操作方式為
ndash 點選其中一項封包項目點選滑鼠右鍵選擇Follow TCP Stream
Wireshark操作手法 - 檢視中過濾 (續 )
2-87
網路安全
ndash 此畫面即可看出該項 TCP 封包溝通內容Wireshark操作手法 - 檢視中過濾 (續 )
2-88
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 此功能將所擷取的封包清單使用多種方式呈現封包統計資料便於使用者查詢擷取時間內何種封包數量多寡及圖型顯示bull 操作步驟點選 Statistics 下拉視窗即呈現此視窗 顯示有關擷取清單的摘要以階梯式通訊協定列表顯示所擷取的所有封包
在特定 IP間顯示通訊流量顯示單一 IP 來往封包的流量
以時間軸顯示視覺化封包流量圖2-89
網路安全
bull 可查看到一時段內其封包總數與平均每秒傳遞接收封包數等相關資訊讓使用者了解平均一時段內網路流量狀況藉以初步獲得資訊
Wireshark操作手法 - 檢視中過濾 (續 )
2-90
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 讓使用者可透過階梯式封包分類表來查看哪一類封包佔為居多可進一步推測是否該類型封包影響到整體網路或是否有異常或不常見封包類型在網路中傳遞
2-91
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 將該擷取時段內封包清單檔以兩個特定 IP 之間對傳封包為區隔顯示出哪兩個特定 IP間傳遞封包數多寡bull 可讓使用者更進一步研判兩個特定 IP所屬設備傳遞狀況是否異常
2-92
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 將該擷取時段內封包清單檔以特定IP 傳遞封包數為區隔顯示出哪特定IP 傳遞封包數多寡
bull 可讓使用者更進一步研判該特定所屬設備傳遞封包數是否異常作為管制緊急管制或禁止通訊之證明2-93
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 以時間軸顯示視覺化封包流量圖bull 讓使用者可觀察所管理設備資訊流通量以了解設備是否能負荷或作相關調整等處置
2-94
網路安全
FTP 擷取密碼案例bull 於Wireshark軟體選擇 Capture 下拉選單功能項點選 Interfaces 選項
2-95
網路安全
FTP 擷取密碼案例 (續 )
bull 確認欲擷取封包之網卡名稱如紅色底線所示確認後點選 Start鈕
2-96
網路安全
FTP 擷取密碼案例 (續 )
bull 切換至 FTP Client 電腦開啟 FileZilla 程式後連線到 FTP Server 於 Host 填入10123 Username填入 tester Password填入testpw 後點選 Quickconnect鈕
2-97
網路安全
FTP 擷取密碼案例 (續 )
bull 擷取到的封包資訊會顯示於已擷取封包清單窗格內
2-98
網路安全
FTP 擷取密碼案例 (續 )
bull 使用 FTP軟體登入 ftp站後 Wireshark 將擷取到的使用者名稱與密碼如紅框所示
2-99
網路安全
FTP 擷取密碼案例 (續 )
bull 點選已擷取封包清單窗格的密碼資訊列如標示1 的紅框所示即可在封包內容窗格看到該密碼的位元碼如標示 2 的紅框所示
1
2
2-100
網路安全
架設實作 (三 )
Outlook Express 擷取密碼案例
2-101
網路安全
實驗環境介紹bull 以 Testbed建立一實驗相關拓樸及設定如下圖
OEClientOSWindows XP SP3IP 10112執行 Outlook Express
MailServerOSWindows XP SP3IP 10122安裝軟體 ArGoSoft Mail Server
2-102
WiresharkOSWindows XP SP3IP1 10113 IP2 10123安裝軟體 Wireshark
IP1IP2
網路安全
實驗拓樸 on TestbedTWISC- 建立完成的實驗拓樸
2-103
網路安全
郵件伺服器工具 - ArGoSoft Mail Server
bull 版本ndash 1892 Freeware
bull 支援作業平台ndash Windows
bull 下載位址ndash httpwwwsoftkingcomtwsoftdownloadaspfid3=7367
2-104
網路安全
郵件客戶端工具 - Outlook Express
bull 版本ndash 60
bull 支援作業平台ndash Windows
bull 下載位址ndash Windows 內建
2-105
網路安全
bull 安裝及設定郵件伺服器ndash 1下載並執行 ArGoSoft Mail Server軟體點選
Setup鈕
Outlook Express 擷取密碼案例
2-106
網路安全
ndash 1 點選 Next鈕ndash 2 點選 Start Installation鈕
Outlook Express 擷取密碼案例 (續 )
2-107
網路安全
ndash 3 點選 OK鈕ndash 4 點選 Finish鈕完成軟體安裝
Outlook Express 擷取密碼案例 (續 )
2-108
網路安全
ndash 5 點選使用者設定鈕如紅圈所示ndash 6 點選新增鈕如紅框所示
Outlook Express 擷取密碼案例 (續 )
2-109
網路安全
ndash 7填入使用者名稱 (tester) 及密碼 (testpw) 如紅圈所示填寫完成後點選 OK鈕ndash 8 點選 Close鈕關閉使用者設定視窗
Outlook Express 擷取密碼案例 (續 )
2-110
網路安全
ndash 9 點選選項鈕如左側圖中紅色圈所示ndash 10 點選紅色打勾鈕如右側圖中紅色圈所示
2-111
Outlook Express 擷取密碼案例 (續 )
網路安全
ndash 11該軟體會自動選取 DNS Server 待選取後點選 Yes鈕ndash 12 勾選 Allow Relay 選項如紅框所示
2-112
Outlook Express 擷取密碼案例 (續 )
網路安全
Outlook Express 擷取密碼案例 (續 )
bull 設定收信帳號ndash 1 點選 Tools功能選單選擇 Accounts 選項
2-113
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 2 點選 Add鈕選擇 Mail 選項
2-114
網路安全
ndash 3填入 tester 點選 Next鈕ndash 4填入 testertestcom 點選 Next鈕
Outlook Express 擷取密碼案例 (續 )
2-115
網路安全
ndash 5填入 10123 如紅框所示點選 Next鈕ndash 6填入帳號為 tester 及密碼為 testpw 點選 Next鈕
Outlook Express 擷取密碼案例 (續 )
2-116
網路安全
ndash 7 點選 Finish鈕ndash 8 點選 Close鈕
Outlook Express 擷取密碼案例 (續 )
2-117
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 模擬條件準備好後首先準備Wireshark 擷取動作開啟Wireshark
2-118
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 於Wireshark軟體選擇 Capture 下拉選單功能項點選 Interfaces 選項
2-119
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 確認欲擷取封包之網卡名稱如紅色底線所示確認後點選 Start鈕
2-120
網路安全
ndash 當使用者收發 email 時即被 Wireshark攔截封包ndash 有發現到該 Outlook Express帳號密碼是如此清晰可見的嗎
Outlook Express 擷取密碼案例 (續 )
2-121
網路安全
結論bull 學習了 Wireshark及WinDump 兩套網路封包擷取軟體基本概念如同電話側錄概念相同從中複製一連串資訊來分析與了解網路的流量及內容為何bull 當你發現網路速度緩慢等狀況你是否會反應到所學的基本概念來找尋問題所在bull 防範概念由此課程的實例可以了解網路內容如被有心人士擷取所造成的損失相當可觀故你是否有對策有哪些方式你可以應用來防範bull 正確的思考善用對的工具將對解決問題事半功倍
2-122
網路安全 2-123
Module 2-5 封包擷取與分析的專案實作()
網路安全
專案目的bull 建立遠端管理傳遞指令資訊環境bull 利用實際攔截封包操作的方式讓同學了解封包擷取運作與網路資訊流通的顧慮等相關議題
2-124
網路安全
專案描述bull 近年來遠端管理伺服器及網路服務普及光是密碼保護就足夠了嗎是否重點網段須全程加密還是作網段隔離經由此專案實作即可了解不僅部分加密仍有其風險所在網路架構如何規劃將是非常重要的課題bull 參考環境配置圖完成下列要求①環境裡的攔截封包主機是 Windows XP SP3 作業系統而該主機安裝Wireshark軟體②另兩台主機的作業系統亦是 Windows XP SP3 並裝上
MySQL軟體 MySQL帳號為 root 密碼為您的學號 (如 Q3896105)
③在MySQLClient 電腦使用 MySQL Commandline 指令連線至MySQLServer 擷取資料庫資訊
④我們針對這兩台主機傳訊的封包擷取由整個實做中思考如何防範資訊外洩與了解傳訊封包如何流動及運作2-125
網路安全
環境配置圖bull 以 Testbed建立一實驗相關拓樸及設定如下圖
MySQLServerOSWINXP-SP3-CH-pc3000 IP 10123安裝軟體 MySQL
MySQLClientOSWINXP-SP3-CH-pc3000 IP 10112安裝軟體 MySQL
2-126
WireSharkOSWINXP-SP3-CH-pc3000 IP1 10113IP2 10122安裝軟體 Wireshark
IP1IP2
網路安全
作業繳交bull 請參考情境測試發送數個 SQL 指令並將過程與擷取到的封包資訊之截圖列於報告中所有圖表皆需要輔以文字說明bull Deadline 2012312 下午 500 以前bull 作業範圍 Module 2-5 (page 2-128)bull 方式 (參考課程網址 )
ndash 帳號密碼小寫的 (ns100ns100)ndash IP 140116164167
2-127
網路安全
有問題嗎
bull 關於 TestBed 使用上的問題請直接 Email至 twisc-testbed-usergooglegroupscom 將有專人為您服務bull 課程網址
httpitlabeenckuedutwcoursesNS_100indexhtml
2-128
bull 助教資訊 (參考課程網址 )
網路安全
參考資料bull Dienet httplinuxdienetman1wiresharkbull Orebaugh Angela Ramirez Gilbert Burke Josh Pesce Larry Wright
Joshua(2007) Wireshark and Ethereal network protocol analyzer toolkitbull Tony Fortunato(2007) Wireshark Training Retrieved July 22 2009 from
the World Wide Web httpwwwthetechfirmcometherealwiresharkpdfbull WinDump httpwwwwinpcaporgWinDumpbull Wireshark httpwwwwiresharkorgbull Wireshark University httpwwwwiresharktrainingcombull 楊中皇 (民 97年 ) 網路安全理論與實務 (2版 ) 台北市學貫bull 蘇淑茵教授 Wireshark 民國 98年 6月 28日取自 httpmywebnckuedutw~sisou
2-129
網路安全
RaidenFTPD設定步驟 (續 )
bull 接下來的步驟皆以預設值即可完成設定之後會出現對話視窗顯示您所設定的資訊
2-60
網路安全
FTP 用戶端工具 - Filezilla
bull 版本ndash 328
bull 支援作業平台ndash Windows Linux及Mac
bull 下載位址ndash httpsourceforgenetprojectsfilezillafiles
FileZilla_Client328FileZilla_328_win32zipdownload
2-61
網路安全
Filezilla 安裝步驟bull 執行 Filezilla 安裝程式點選 I agree 鈕
2-62
網路安全
Filezilla 安裝步驟 (續 )
bull 以預設值安裝點選兩次 Next 鈕
2-63
網路安全
Filezilla 安裝步驟 (續 )
bull 以預設值安裝點選 Next 鈕後再點選 Install 鈕
2-64
網路安全
Filezilla 安裝步驟 (續 )
bull 以預設值安裝點選 Next 鈕後再點選 Finish 鈕
2-65
網路安全
封包擷取工具 - Wireshark
bull 版本ndash 165
bull 支援作業平台ndash Windows Linux及 FreeBSD
bull 其他需求ndash 安裝WinPcap 31 以上版本
bull 下載位址ndash httpwiresharkdownloadsriverbedcomwireshark
win32wireshark-win32-165exe
2-66
網路安全
Wireshark 安裝步驟bull 至官方網站下載Windows平台最新版本檔案下載完成後執行該安裝程式
2-67
網路安全
Wireshark 安裝步驟 (續 )
bull 於下一步出現的版權宣告點選 I Agree鈕後繼續下一步驟
2-68
網路安全
Wireshark 安裝步驟 (續 )
bull 此步驟選擇欲安裝的元件以軟體預設勾選之項目安裝
2-69
網路安全
Wireshark 安裝步驟 (續 )
bull 此步驟使用預設路徑即可
2-70
網路安全
Wireshark 安裝步驟 (續 )
bull 此步驟將安裝Windows平台須加裝之套件 -WinPcap 若原系統未安裝過 WinPcap套件請以軟體預設項目安裝之
2-71
網路安全
Wireshark 安裝步驟 (續 )
bull 此步驟代表 Wireshark軟體已安裝完成可點選Finish 鈕或勾選 Run Wireshark 165 隨即使用該套軟體
2-72
網路安全
一般工具列Wireshark軟體介面介紹
2-73
篩選工具列封包清單窗格
封包內容窗格封包位元組窗格
網路安全
Wireshark 使用思考方向bull 遇到網路問題是否觀察網路通道中有異常動作或狀況
ndash 思考方向ndash 反應到擷取數據方法那麼以 Wireshark 擷取使用者需要擷取哪些數據這些數據由使用者電腦哪個裝置來擷取
bull Wireshark操作流程
bull 接下來我們進行軟體操作介紹
解決問題 擷取數據要先做什麼
擷取數據 擷取哪些數據( 過濾條件 )數據哪裡來( 網路介面卡 )
2-74
網路安全
數據哪裡來 - Capture功能bull 一開啟方式
ndash 1 點選快速鈕如紅色圈所示ndash 2 點選 Capture功能表 下拉選單後點選 Optionsndash 3鍵盤快速鍵 Ctrl + K
2-75
網路安全
數據哪裡來 - Capture功能 (續 )
bull 二開啟後顯示 Capture Options 的視窗畫面即可看到所提供的擷取功能選項
2-76
網路安全
數據哪裡來 - Capture功能 (續 )
bull Capture Options 常用的欄位設定ndash Caputure 框
bull 1Interface 會顯示出在系統上所有網路卡但只能選取一個介面作為封包擷取bull 2Capture packets in promiscuous mode 選取此選項就是經過所選取的網路卡的所有封包都會被擷取下來bull 3Capture Filter 指定擷取過濾器運算式擷取想要的特定封包即為擷取中過濾之功能
2-77
網路安全
數據哪裡來 - Capture功能 (續 )
bull Capture Options 常用的欄位設定ndash Display Options 框
bull Update list of packets in real time 指定在擷取封包過程中能夠即時更新已擷取封包清單窗格視窗中的封包資訊若取消則軟體主視窗更新畫面是沒有動作的
2-78
網路安全
bull Capture Options 常用的欄位設定ndash Name Resolution框
bull 1 Enable MAC name resolution 指定是否將網路卡MAC address 的前三個位元組轉換成製造商名稱
bull 2 Enable network name resolution 指定是否將 IP address轉換成 DNS 網域名稱
bull 3 Enable transport name resolution 指定是否將通信埠號碼 (port numbers)轉成協定名稱 (protocols)bull 各位了解數據從哪裡擷取的概念與操作之後即可以進一步加上附帶條件 (篩選條件 ) 等相關操作方式
數據哪裡來 - Capture功能 (續 )
2-79
網路安全
Wireshark操作手法bull 延續遇到問題的思考方向及軟體操作手法我們可以將操作流程分為兩種
ndash 擷取中過濾 (Filter while capturing)bull 優點僅擷取已知範圍資訊網路流量少bull 缺點需先了解問題類型避免可能有遺漏真正欲擷取資訊之狀況
ndash 檢視中過濾 (Filter packets while viewing)bull 優點不用先預設條件擷取所有封包資訊bull 缺點影響網路流量
先預設欲擷取條件 擷取數據
擷取數據 再篩選欲查詢數據2-80
網路安全
Wireshark操作手法 - 擷取中過濾bull 操作步驟
ndash 點選 Capture 下拉視窗選擇 Capture Filters 即呈現此視窗
bull 操作範例ndash 1於 Filter窗格中選擇 IP
Address 10112ndash 2於 Properties窗格中即顯示該選項的設定值如圖所示為 host 10112ndash 3 即可設定軟體僅針對
10112 的封包作擷取動作 延伸操作思考1 改變 Filter string 值得到什麼結果2 點選 Edit 窗格中的 New 鈕 新增自訂條件 2-81
網路安全
Wireshark操作手法 - 檢視中過濾bull 此步驟即以已擷取封包清單窗格為基礎以過濾條件過濾該清單bull 可直接選擇軟體預設項目如以下操作
ndash 操作步驟bull 點選 Analyze 下拉視窗選擇
Display Filters 即呈現此視窗ndash 操作範例
bull 1於 Filter窗格中選擇 IP Address 10112
bull 2於 Properties窗格中即顯示該選項的設定值如圖所示值為host 10112
bull 3 即可設定軟體僅針對 10112的封包作顯示動作 延伸操作思考1 可否進行進一步自訂設定值
2-82
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 若電腦 IP為 10112 欲篩選出 IP 來源為上述 IP 且協定為 TCP 80port 的所有封包ndash 操作步驟
bull 點選 Expression鈕即出現此視窗ndash 1於 Field name框選擇
IP項目中的 ipsrc - Source
ndash 2於 Relation框選擇 ==ndash 3於 Value [IPV4
address]填 入 10112ndash 4 點選 OK鈕 進階思考方式須考慮到例如是來源資訊是目標資訊是什麼協定等更細部所要之條件
2-83
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 再進行第二篩選條件ndash TCP 80 port
bull 操作步驟ndash 1先於 Filter string 輸入文字框「 ipsrc==
10112」後再加上一個空格及「 and 」再進行一次 Expression條件選擇
2-84
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
ndash 2於 Field name框選擇「 tcpdstport」ndash 3於 Relation框選擇「 ==」ndash 4於 Value框填入「 80」ndash 5 選擇「 OK」鈕
2-85
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 注意 Propeties框內的Filter string欄位值已改變為「 ipsrc == 10112 and tcpdstport == 80」
bull 確認條件正確後點選「 OK 」鈕即可發現已擷取封包清單窗格的項目均為所設定過濾條件過濾過結果2-86
網路安全
bull 可單選單一封包進行更進階查詢封包內容bull 操作方式為
ndash 點選其中一項封包項目點選滑鼠右鍵選擇Follow TCP Stream
Wireshark操作手法 - 檢視中過濾 (續 )
2-87
網路安全
ndash 此畫面即可看出該項 TCP 封包溝通內容Wireshark操作手法 - 檢視中過濾 (續 )
2-88
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 此功能將所擷取的封包清單使用多種方式呈現封包統計資料便於使用者查詢擷取時間內何種封包數量多寡及圖型顯示bull 操作步驟點選 Statistics 下拉視窗即呈現此視窗 顯示有關擷取清單的摘要以階梯式通訊協定列表顯示所擷取的所有封包
在特定 IP間顯示通訊流量顯示單一 IP 來往封包的流量
以時間軸顯示視覺化封包流量圖2-89
網路安全
bull 可查看到一時段內其封包總數與平均每秒傳遞接收封包數等相關資訊讓使用者了解平均一時段內網路流量狀況藉以初步獲得資訊
Wireshark操作手法 - 檢視中過濾 (續 )
2-90
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 讓使用者可透過階梯式封包分類表來查看哪一類封包佔為居多可進一步推測是否該類型封包影響到整體網路或是否有異常或不常見封包類型在網路中傳遞
2-91
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 將該擷取時段內封包清單檔以兩個特定 IP 之間對傳封包為區隔顯示出哪兩個特定 IP間傳遞封包數多寡bull 可讓使用者更進一步研判兩個特定 IP所屬設備傳遞狀況是否異常
2-92
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 將該擷取時段內封包清單檔以特定IP 傳遞封包數為區隔顯示出哪特定IP 傳遞封包數多寡
bull 可讓使用者更進一步研判該特定所屬設備傳遞封包數是否異常作為管制緊急管制或禁止通訊之證明2-93
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 以時間軸顯示視覺化封包流量圖bull 讓使用者可觀察所管理設備資訊流通量以了解設備是否能負荷或作相關調整等處置
2-94
網路安全
FTP 擷取密碼案例bull 於Wireshark軟體選擇 Capture 下拉選單功能項點選 Interfaces 選項
2-95
網路安全
FTP 擷取密碼案例 (續 )
bull 確認欲擷取封包之網卡名稱如紅色底線所示確認後點選 Start鈕
2-96
網路安全
FTP 擷取密碼案例 (續 )
bull 切換至 FTP Client 電腦開啟 FileZilla 程式後連線到 FTP Server 於 Host 填入10123 Username填入 tester Password填入testpw 後點選 Quickconnect鈕
2-97
網路安全
FTP 擷取密碼案例 (續 )
bull 擷取到的封包資訊會顯示於已擷取封包清單窗格內
2-98
網路安全
FTP 擷取密碼案例 (續 )
bull 使用 FTP軟體登入 ftp站後 Wireshark 將擷取到的使用者名稱與密碼如紅框所示
2-99
網路安全
FTP 擷取密碼案例 (續 )
bull 點選已擷取封包清單窗格的密碼資訊列如標示1 的紅框所示即可在封包內容窗格看到該密碼的位元碼如標示 2 的紅框所示
1
2
2-100
網路安全
架設實作 (三 )
Outlook Express 擷取密碼案例
2-101
網路安全
實驗環境介紹bull 以 Testbed建立一實驗相關拓樸及設定如下圖
OEClientOSWindows XP SP3IP 10112執行 Outlook Express
MailServerOSWindows XP SP3IP 10122安裝軟體 ArGoSoft Mail Server
2-102
WiresharkOSWindows XP SP3IP1 10113 IP2 10123安裝軟體 Wireshark
IP1IP2
網路安全
實驗拓樸 on TestbedTWISC- 建立完成的實驗拓樸
2-103
網路安全
郵件伺服器工具 - ArGoSoft Mail Server
bull 版本ndash 1892 Freeware
bull 支援作業平台ndash Windows
bull 下載位址ndash httpwwwsoftkingcomtwsoftdownloadaspfid3=7367
2-104
網路安全
郵件客戶端工具 - Outlook Express
bull 版本ndash 60
bull 支援作業平台ndash Windows
bull 下載位址ndash Windows 內建
2-105
網路安全
bull 安裝及設定郵件伺服器ndash 1下載並執行 ArGoSoft Mail Server軟體點選
Setup鈕
Outlook Express 擷取密碼案例
2-106
網路安全
ndash 1 點選 Next鈕ndash 2 點選 Start Installation鈕
Outlook Express 擷取密碼案例 (續 )
2-107
網路安全
ndash 3 點選 OK鈕ndash 4 點選 Finish鈕完成軟體安裝
Outlook Express 擷取密碼案例 (續 )
2-108
網路安全
ndash 5 點選使用者設定鈕如紅圈所示ndash 6 點選新增鈕如紅框所示
Outlook Express 擷取密碼案例 (續 )
2-109
網路安全
ndash 7填入使用者名稱 (tester) 及密碼 (testpw) 如紅圈所示填寫完成後點選 OK鈕ndash 8 點選 Close鈕關閉使用者設定視窗
Outlook Express 擷取密碼案例 (續 )
2-110
網路安全
ndash 9 點選選項鈕如左側圖中紅色圈所示ndash 10 點選紅色打勾鈕如右側圖中紅色圈所示
2-111
Outlook Express 擷取密碼案例 (續 )
網路安全
ndash 11該軟體會自動選取 DNS Server 待選取後點選 Yes鈕ndash 12 勾選 Allow Relay 選項如紅框所示
2-112
Outlook Express 擷取密碼案例 (續 )
網路安全
Outlook Express 擷取密碼案例 (續 )
bull 設定收信帳號ndash 1 點選 Tools功能選單選擇 Accounts 選項
2-113
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 2 點選 Add鈕選擇 Mail 選項
2-114
網路安全
ndash 3填入 tester 點選 Next鈕ndash 4填入 testertestcom 點選 Next鈕
Outlook Express 擷取密碼案例 (續 )
2-115
網路安全
ndash 5填入 10123 如紅框所示點選 Next鈕ndash 6填入帳號為 tester 及密碼為 testpw 點選 Next鈕
Outlook Express 擷取密碼案例 (續 )
2-116
網路安全
ndash 7 點選 Finish鈕ndash 8 點選 Close鈕
Outlook Express 擷取密碼案例 (續 )
2-117
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 模擬條件準備好後首先準備Wireshark 擷取動作開啟Wireshark
2-118
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 於Wireshark軟體選擇 Capture 下拉選單功能項點選 Interfaces 選項
2-119
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 確認欲擷取封包之網卡名稱如紅色底線所示確認後點選 Start鈕
2-120
網路安全
ndash 當使用者收發 email 時即被 Wireshark攔截封包ndash 有發現到該 Outlook Express帳號密碼是如此清晰可見的嗎
Outlook Express 擷取密碼案例 (續 )
2-121
網路安全
結論bull 學習了 Wireshark及WinDump 兩套網路封包擷取軟體基本概念如同電話側錄概念相同從中複製一連串資訊來分析與了解網路的流量及內容為何bull 當你發現網路速度緩慢等狀況你是否會反應到所學的基本概念來找尋問題所在bull 防範概念由此課程的實例可以了解網路內容如被有心人士擷取所造成的損失相當可觀故你是否有對策有哪些方式你可以應用來防範bull 正確的思考善用對的工具將對解決問題事半功倍
2-122
網路安全 2-123
Module 2-5 封包擷取與分析的專案實作()
網路安全
專案目的bull 建立遠端管理傳遞指令資訊環境bull 利用實際攔截封包操作的方式讓同學了解封包擷取運作與網路資訊流通的顧慮等相關議題
2-124
網路安全
專案描述bull 近年來遠端管理伺服器及網路服務普及光是密碼保護就足夠了嗎是否重點網段須全程加密還是作網段隔離經由此專案實作即可了解不僅部分加密仍有其風險所在網路架構如何規劃將是非常重要的課題bull 參考環境配置圖完成下列要求①環境裡的攔截封包主機是 Windows XP SP3 作業系統而該主機安裝Wireshark軟體②另兩台主機的作業系統亦是 Windows XP SP3 並裝上
MySQL軟體 MySQL帳號為 root 密碼為您的學號 (如 Q3896105)
③在MySQLClient 電腦使用 MySQL Commandline 指令連線至MySQLServer 擷取資料庫資訊
④我們針對這兩台主機傳訊的封包擷取由整個實做中思考如何防範資訊外洩與了解傳訊封包如何流動及運作2-125
網路安全
環境配置圖bull 以 Testbed建立一實驗相關拓樸及設定如下圖
MySQLServerOSWINXP-SP3-CH-pc3000 IP 10123安裝軟體 MySQL
MySQLClientOSWINXP-SP3-CH-pc3000 IP 10112安裝軟體 MySQL
2-126
WireSharkOSWINXP-SP3-CH-pc3000 IP1 10113IP2 10122安裝軟體 Wireshark
IP1IP2
網路安全
作業繳交bull 請參考情境測試發送數個 SQL 指令並將過程與擷取到的封包資訊之截圖列於報告中所有圖表皆需要輔以文字說明bull Deadline 2012312 下午 500 以前bull 作業範圍 Module 2-5 (page 2-128)bull 方式 (參考課程網址 )
ndash 帳號密碼小寫的 (ns100ns100)ndash IP 140116164167
2-127
網路安全
有問題嗎
bull 關於 TestBed 使用上的問題請直接 Email至 twisc-testbed-usergooglegroupscom 將有專人為您服務bull 課程網址
httpitlabeenckuedutwcoursesNS_100indexhtml
2-128
bull 助教資訊 (參考課程網址 )
網路安全
參考資料bull Dienet httplinuxdienetman1wiresharkbull Orebaugh Angela Ramirez Gilbert Burke Josh Pesce Larry Wright
Joshua(2007) Wireshark and Ethereal network protocol analyzer toolkitbull Tony Fortunato(2007) Wireshark Training Retrieved July 22 2009 from
the World Wide Web httpwwwthetechfirmcometherealwiresharkpdfbull WinDump httpwwwwinpcaporgWinDumpbull Wireshark httpwwwwiresharkorgbull Wireshark University httpwwwwiresharktrainingcombull 楊中皇 (民 97年 ) 網路安全理論與實務 (2版 ) 台北市學貫bull 蘇淑茵教授 Wireshark 民國 98年 6月 28日取自 httpmywebnckuedutw~sisou
2-129
網路安全
FTP 用戶端工具 - Filezilla
bull 版本ndash 328
bull 支援作業平台ndash Windows Linux及Mac
bull 下載位址ndash httpsourceforgenetprojectsfilezillafiles
FileZilla_Client328FileZilla_328_win32zipdownload
2-61
網路安全
Filezilla 安裝步驟bull 執行 Filezilla 安裝程式點選 I agree 鈕
2-62
網路安全
Filezilla 安裝步驟 (續 )
bull 以預設值安裝點選兩次 Next 鈕
2-63
網路安全
Filezilla 安裝步驟 (續 )
bull 以預設值安裝點選 Next 鈕後再點選 Install 鈕
2-64
網路安全
Filezilla 安裝步驟 (續 )
bull 以預設值安裝點選 Next 鈕後再點選 Finish 鈕
2-65
網路安全
封包擷取工具 - Wireshark
bull 版本ndash 165
bull 支援作業平台ndash Windows Linux及 FreeBSD
bull 其他需求ndash 安裝WinPcap 31 以上版本
bull 下載位址ndash httpwiresharkdownloadsriverbedcomwireshark
win32wireshark-win32-165exe
2-66
網路安全
Wireshark 安裝步驟bull 至官方網站下載Windows平台最新版本檔案下載完成後執行該安裝程式
2-67
網路安全
Wireshark 安裝步驟 (續 )
bull 於下一步出現的版權宣告點選 I Agree鈕後繼續下一步驟
2-68
網路安全
Wireshark 安裝步驟 (續 )
bull 此步驟選擇欲安裝的元件以軟體預設勾選之項目安裝
2-69
網路安全
Wireshark 安裝步驟 (續 )
bull 此步驟使用預設路徑即可
2-70
網路安全
Wireshark 安裝步驟 (續 )
bull 此步驟將安裝Windows平台須加裝之套件 -WinPcap 若原系統未安裝過 WinPcap套件請以軟體預設項目安裝之
2-71
網路安全
Wireshark 安裝步驟 (續 )
bull 此步驟代表 Wireshark軟體已安裝完成可點選Finish 鈕或勾選 Run Wireshark 165 隨即使用該套軟體
2-72
網路安全
一般工具列Wireshark軟體介面介紹
2-73
篩選工具列封包清單窗格
封包內容窗格封包位元組窗格
網路安全
Wireshark 使用思考方向bull 遇到網路問題是否觀察網路通道中有異常動作或狀況
ndash 思考方向ndash 反應到擷取數據方法那麼以 Wireshark 擷取使用者需要擷取哪些數據這些數據由使用者電腦哪個裝置來擷取
bull Wireshark操作流程
bull 接下來我們進行軟體操作介紹
解決問題 擷取數據要先做什麼
擷取數據 擷取哪些數據( 過濾條件 )數據哪裡來( 網路介面卡 )
2-74
網路安全
數據哪裡來 - Capture功能bull 一開啟方式
ndash 1 點選快速鈕如紅色圈所示ndash 2 點選 Capture功能表 下拉選單後點選 Optionsndash 3鍵盤快速鍵 Ctrl + K
2-75
網路安全
數據哪裡來 - Capture功能 (續 )
bull 二開啟後顯示 Capture Options 的視窗畫面即可看到所提供的擷取功能選項
2-76
網路安全
數據哪裡來 - Capture功能 (續 )
bull Capture Options 常用的欄位設定ndash Caputure 框
bull 1Interface 會顯示出在系統上所有網路卡但只能選取一個介面作為封包擷取bull 2Capture packets in promiscuous mode 選取此選項就是經過所選取的網路卡的所有封包都會被擷取下來bull 3Capture Filter 指定擷取過濾器運算式擷取想要的特定封包即為擷取中過濾之功能
2-77
網路安全
數據哪裡來 - Capture功能 (續 )
bull Capture Options 常用的欄位設定ndash Display Options 框
bull Update list of packets in real time 指定在擷取封包過程中能夠即時更新已擷取封包清單窗格視窗中的封包資訊若取消則軟體主視窗更新畫面是沒有動作的
2-78
網路安全
bull Capture Options 常用的欄位設定ndash Name Resolution框
bull 1 Enable MAC name resolution 指定是否將網路卡MAC address 的前三個位元組轉換成製造商名稱
bull 2 Enable network name resolution 指定是否將 IP address轉換成 DNS 網域名稱
bull 3 Enable transport name resolution 指定是否將通信埠號碼 (port numbers)轉成協定名稱 (protocols)bull 各位了解數據從哪裡擷取的概念與操作之後即可以進一步加上附帶條件 (篩選條件 ) 等相關操作方式
數據哪裡來 - Capture功能 (續 )
2-79
網路安全
Wireshark操作手法bull 延續遇到問題的思考方向及軟體操作手法我們可以將操作流程分為兩種
ndash 擷取中過濾 (Filter while capturing)bull 優點僅擷取已知範圍資訊網路流量少bull 缺點需先了解問題類型避免可能有遺漏真正欲擷取資訊之狀況
ndash 檢視中過濾 (Filter packets while viewing)bull 優點不用先預設條件擷取所有封包資訊bull 缺點影響網路流量
先預設欲擷取條件 擷取數據
擷取數據 再篩選欲查詢數據2-80
網路安全
Wireshark操作手法 - 擷取中過濾bull 操作步驟
ndash 點選 Capture 下拉視窗選擇 Capture Filters 即呈現此視窗
bull 操作範例ndash 1於 Filter窗格中選擇 IP
Address 10112ndash 2於 Properties窗格中即顯示該選項的設定值如圖所示為 host 10112ndash 3 即可設定軟體僅針對
10112 的封包作擷取動作 延伸操作思考1 改變 Filter string 值得到什麼結果2 點選 Edit 窗格中的 New 鈕 新增自訂條件 2-81
網路安全
Wireshark操作手法 - 檢視中過濾bull 此步驟即以已擷取封包清單窗格為基礎以過濾條件過濾該清單bull 可直接選擇軟體預設項目如以下操作
ndash 操作步驟bull 點選 Analyze 下拉視窗選擇
Display Filters 即呈現此視窗ndash 操作範例
bull 1於 Filter窗格中選擇 IP Address 10112
bull 2於 Properties窗格中即顯示該選項的設定值如圖所示值為host 10112
bull 3 即可設定軟體僅針對 10112的封包作顯示動作 延伸操作思考1 可否進行進一步自訂設定值
2-82
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 若電腦 IP為 10112 欲篩選出 IP 來源為上述 IP 且協定為 TCP 80port 的所有封包ndash 操作步驟
bull 點選 Expression鈕即出現此視窗ndash 1於 Field name框選擇
IP項目中的 ipsrc - Source
ndash 2於 Relation框選擇 ==ndash 3於 Value [IPV4
address]填 入 10112ndash 4 點選 OK鈕 進階思考方式須考慮到例如是來源資訊是目標資訊是什麼協定等更細部所要之條件
2-83
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 再進行第二篩選條件ndash TCP 80 port
bull 操作步驟ndash 1先於 Filter string 輸入文字框「 ipsrc==
10112」後再加上一個空格及「 and 」再進行一次 Expression條件選擇
2-84
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
ndash 2於 Field name框選擇「 tcpdstport」ndash 3於 Relation框選擇「 ==」ndash 4於 Value框填入「 80」ndash 5 選擇「 OK」鈕
2-85
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 注意 Propeties框內的Filter string欄位值已改變為「 ipsrc == 10112 and tcpdstport == 80」
bull 確認條件正確後點選「 OK 」鈕即可發現已擷取封包清單窗格的項目均為所設定過濾條件過濾過結果2-86
網路安全
bull 可單選單一封包進行更進階查詢封包內容bull 操作方式為
ndash 點選其中一項封包項目點選滑鼠右鍵選擇Follow TCP Stream
Wireshark操作手法 - 檢視中過濾 (續 )
2-87
網路安全
ndash 此畫面即可看出該項 TCP 封包溝通內容Wireshark操作手法 - 檢視中過濾 (續 )
2-88
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 此功能將所擷取的封包清單使用多種方式呈現封包統計資料便於使用者查詢擷取時間內何種封包數量多寡及圖型顯示bull 操作步驟點選 Statistics 下拉視窗即呈現此視窗 顯示有關擷取清單的摘要以階梯式通訊協定列表顯示所擷取的所有封包
在特定 IP間顯示通訊流量顯示單一 IP 來往封包的流量
以時間軸顯示視覺化封包流量圖2-89
網路安全
bull 可查看到一時段內其封包總數與平均每秒傳遞接收封包數等相關資訊讓使用者了解平均一時段內網路流量狀況藉以初步獲得資訊
Wireshark操作手法 - 檢視中過濾 (續 )
2-90
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 讓使用者可透過階梯式封包分類表來查看哪一類封包佔為居多可進一步推測是否該類型封包影響到整體網路或是否有異常或不常見封包類型在網路中傳遞
2-91
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 將該擷取時段內封包清單檔以兩個特定 IP 之間對傳封包為區隔顯示出哪兩個特定 IP間傳遞封包數多寡bull 可讓使用者更進一步研判兩個特定 IP所屬設備傳遞狀況是否異常
2-92
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 將該擷取時段內封包清單檔以特定IP 傳遞封包數為區隔顯示出哪特定IP 傳遞封包數多寡
bull 可讓使用者更進一步研判該特定所屬設備傳遞封包數是否異常作為管制緊急管制或禁止通訊之證明2-93
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 以時間軸顯示視覺化封包流量圖bull 讓使用者可觀察所管理設備資訊流通量以了解設備是否能負荷或作相關調整等處置
2-94
網路安全
FTP 擷取密碼案例bull 於Wireshark軟體選擇 Capture 下拉選單功能項點選 Interfaces 選項
2-95
網路安全
FTP 擷取密碼案例 (續 )
bull 確認欲擷取封包之網卡名稱如紅色底線所示確認後點選 Start鈕
2-96
網路安全
FTP 擷取密碼案例 (續 )
bull 切換至 FTP Client 電腦開啟 FileZilla 程式後連線到 FTP Server 於 Host 填入10123 Username填入 tester Password填入testpw 後點選 Quickconnect鈕
2-97
網路安全
FTP 擷取密碼案例 (續 )
bull 擷取到的封包資訊會顯示於已擷取封包清單窗格內
2-98
網路安全
FTP 擷取密碼案例 (續 )
bull 使用 FTP軟體登入 ftp站後 Wireshark 將擷取到的使用者名稱與密碼如紅框所示
2-99
網路安全
FTP 擷取密碼案例 (續 )
bull 點選已擷取封包清單窗格的密碼資訊列如標示1 的紅框所示即可在封包內容窗格看到該密碼的位元碼如標示 2 的紅框所示
1
2
2-100
網路安全
架設實作 (三 )
Outlook Express 擷取密碼案例
2-101
網路安全
實驗環境介紹bull 以 Testbed建立一實驗相關拓樸及設定如下圖
OEClientOSWindows XP SP3IP 10112執行 Outlook Express
MailServerOSWindows XP SP3IP 10122安裝軟體 ArGoSoft Mail Server
2-102
WiresharkOSWindows XP SP3IP1 10113 IP2 10123安裝軟體 Wireshark
IP1IP2
網路安全
實驗拓樸 on TestbedTWISC- 建立完成的實驗拓樸
2-103
網路安全
郵件伺服器工具 - ArGoSoft Mail Server
bull 版本ndash 1892 Freeware
bull 支援作業平台ndash Windows
bull 下載位址ndash httpwwwsoftkingcomtwsoftdownloadaspfid3=7367
2-104
網路安全
郵件客戶端工具 - Outlook Express
bull 版本ndash 60
bull 支援作業平台ndash Windows
bull 下載位址ndash Windows 內建
2-105
網路安全
bull 安裝及設定郵件伺服器ndash 1下載並執行 ArGoSoft Mail Server軟體點選
Setup鈕
Outlook Express 擷取密碼案例
2-106
網路安全
ndash 1 點選 Next鈕ndash 2 點選 Start Installation鈕
Outlook Express 擷取密碼案例 (續 )
2-107
網路安全
ndash 3 點選 OK鈕ndash 4 點選 Finish鈕完成軟體安裝
Outlook Express 擷取密碼案例 (續 )
2-108
網路安全
ndash 5 點選使用者設定鈕如紅圈所示ndash 6 點選新增鈕如紅框所示
Outlook Express 擷取密碼案例 (續 )
2-109
網路安全
ndash 7填入使用者名稱 (tester) 及密碼 (testpw) 如紅圈所示填寫完成後點選 OK鈕ndash 8 點選 Close鈕關閉使用者設定視窗
Outlook Express 擷取密碼案例 (續 )
2-110
網路安全
ndash 9 點選選項鈕如左側圖中紅色圈所示ndash 10 點選紅色打勾鈕如右側圖中紅色圈所示
2-111
Outlook Express 擷取密碼案例 (續 )
網路安全
ndash 11該軟體會自動選取 DNS Server 待選取後點選 Yes鈕ndash 12 勾選 Allow Relay 選項如紅框所示
2-112
Outlook Express 擷取密碼案例 (續 )
網路安全
Outlook Express 擷取密碼案例 (續 )
bull 設定收信帳號ndash 1 點選 Tools功能選單選擇 Accounts 選項
2-113
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 2 點選 Add鈕選擇 Mail 選項
2-114
網路安全
ndash 3填入 tester 點選 Next鈕ndash 4填入 testertestcom 點選 Next鈕
Outlook Express 擷取密碼案例 (續 )
2-115
網路安全
ndash 5填入 10123 如紅框所示點選 Next鈕ndash 6填入帳號為 tester 及密碼為 testpw 點選 Next鈕
Outlook Express 擷取密碼案例 (續 )
2-116
網路安全
ndash 7 點選 Finish鈕ndash 8 點選 Close鈕
Outlook Express 擷取密碼案例 (續 )
2-117
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 模擬條件準備好後首先準備Wireshark 擷取動作開啟Wireshark
2-118
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 於Wireshark軟體選擇 Capture 下拉選單功能項點選 Interfaces 選項
2-119
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 確認欲擷取封包之網卡名稱如紅色底線所示確認後點選 Start鈕
2-120
網路安全
ndash 當使用者收發 email 時即被 Wireshark攔截封包ndash 有發現到該 Outlook Express帳號密碼是如此清晰可見的嗎
Outlook Express 擷取密碼案例 (續 )
2-121
網路安全
結論bull 學習了 Wireshark及WinDump 兩套網路封包擷取軟體基本概念如同電話側錄概念相同從中複製一連串資訊來分析與了解網路的流量及內容為何bull 當你發現網路速度緩慢等狀況你是否會反應到所學的基本概念來找尋問題所在bull 防範概念由此課程的實例可以了解網路內容如被有心人士擷取所造成的損失相當可觀故你是否有對策有哪些方式你可以應用來防範bull 正確的思考善用對的工具將對解決問題事半功倍
2-122
網路安全 2-123
Module 2-5 封包擷取與分析的專案實作()
網路安全
專案目的bull 建立遠端管理傳遞指令資訊環境bull 利用實際攔截封包操作的方式讓同學了解封包擷取運作與網路資訊流通的顧慮等相關議題
2-124
網路安全
專案描述bull 近年來遠端管理伺服器及網路服務普及光是密碼保護就足夠了嗎是否重點網段須全程加密還是作網段隔離經由此專案實作即可了解不僅部分加密仍有其風險所在網路架構如何規劃將是非常重要的課題bull 參考環境配置圖完成下列要求①環境裡的攔截封包主機是 Windows XP SP3 作業系統而該主機安裝Wireshark軟體②另兩台主機的作業系統亦是 Windows XP SP3 並裝上
MySQL軟體 MySQL帳號為 root 密碼為您的學號 (如 Q3896105)
③在MySQLClient 電腦使用 MySQL Commandline 指令連線至MySQLServer 擷取資料庫資訊
④我們針對這兩台主機傳訊的封包擷取由整個實做中思考如何防範資訊外洩與了解傳訊封包如何流動及運作2-125
網路安全
環境配置圖bull 以 Testbed建立一實驗相關拓樸及設定如下圖
MySQLServerOSWINXP-SP3-CH-pc3000 IP 10123安裝軟體 MySQL
MySQLClientOSWINXP-SP3-CH-pc3000 IP 10112安裝軟體 MySQL
2-126
WireSharkOSWINXP-SP3-CH-pc3000 IP1 10113IP2 10122安裝軟體 Wireshark
IP1IP2
網路安全
作業繳交bull 請參考情境測試發送數個 SQL 指令並將過程與擷取到的封包資訊之截圖列於報告中所有圖表皆需要輔以文字說明bull Deadline 2012312 下午 500 以前bull 作業範圍 Module 2-5 (page 2-128)bull 方式 (參考課程網址 )
ndash 帳號密碼小寫的 (ns100ns100)ndash IP 140116164167
2-127
網路安全
有問題嗎
bull 關於 TestBed 使用上的問題請直接 Email至 twisc-testbed-usergooglegroupscom 將有專人為您服務bull 課程網址
httpitlabeenckuedutwcoursesNS_100indexhtml
2-128
bull 助教資訊 (參考課程網址 )
網路安全
參考資料bull Dienet httplinuxdienetman1wiresharkbull Orebaugh Angela Ramirez Gilbert Burke Josh Pesce Larry Wright
Joshua(2007) Wireshark and Ethereal network protocol analyzer toolkitbull Tony Fortunato(2007) Wireshark Training Retrieved July 22 2009 from
the World Wide Web httpwwwthetechfirmcometherealwiresharkpdfbull WinDump httpwwwwinpcaporgWinDumpbull Wireshark httpwwwwiresharkorgbull Wireshark University httpwwwwiresharktrainingcombull 楊中皇 (民 97年 ) 網路安全理論與實務 (2版 ) 台北市學貫bull 蘇淑茵教授 Wireshark 民國 98年 6月 28日取自 httpmywebnckuedutw~sisou
2-129
網路安全
Filezilla 安裝步驟bull 執行 Filezilla 安裝程式點選 I agree 鈕
2-62
網路安全
Filezilla 安裝步驟 (續 )
bull 以預設值安裝點選兩次 Next 鈕
2-63
網路安全
Filezilla 安裝步驟 (續 )
bull 以預設值安裝點選 Next 鈕後再點選 Install 鈕
2-64
網路安全
Filezilla 安裝步驟 (續 )
bull 以預設值安裝點選 Next 鈕後再點選 Finish 鈕
2-65
網路安全
封包擷取工具 - Wireshark
bull 版本ndash 165
bull 支援作業平台ndash Windows Linux及 FreeBSD
bull 其他需求ndash 安裝WinPcap 31 以上版本
bull 下載位址ndash httpwiresharkdownloadsriverbedcomwireshark
win32wireshark-win32-165exe
2-66
網路安全
Wireshark 安裝步驟bull 至官方網站下載Windows平台最新版本檔案下載完成後執行該安裝程式
2-67
網路安全
Wireshark 安裝步驟 (續 )
bull 於下一步出現的版權宣告點選 I Agree鈕後繼續下一步驟
2-68
網路安全
Wireshark 安裝步驟 (續 )
bull 此步驟選擇欲安裝的元件以軟體預設勾選之項目安裝
2-69
網路安全
Wireshark 安裝步驟 (續 )
bull 此步驟使用預設路徑即可
2-70
網路安全
Wireshark 安裝步驟 (續 )
bull 此步驟將安裝Windows平台須加裝之套件 -WinPcap 若原系統未安裝過 WinPcap套件請以軟體預設項目安裝之
2-71
網路安全
Wireshark 安裝步驟 (續 )
bull 此步驟代表 Wireshark軟體已安裝完成可點選Finish 鈕或勾選 Run Wireshark 165 隨即使用該套軟體
2-72
網路安全
一般工具列Wireshark軟體介面介紹
2-73
篩選工具列封包清單窗格
封包內容窗格封包位元組窗格
網路安全
Wireshark 使用思考方向bull 遇到網路問題是否觀察網路通道中有異常動作或狀況
ndash 思考方向ndash 反應到擷取數據方法那麼以 Wireshark 擷取使用者需要擷取哪些數據這些數據由使用者電腦哪個裝置來擷取
bull Wireshark操作流程
bull 接下來我們進行軟體操作介紹
解決問題 擷取數據要先做什麼
擷取數據 擷取哪些數據( 過濾條件 )數據哪裡來( 網路介面卡 )
2-74
網路安全
數據哪裡來 - Capture功能bull 一開啟方式
ndash 1 點選快速鈕如紅色圈所示ndash 2 點選 Capture功能表 下拉選單後點選 Optionsndash 3鍵盤快速鍵 Ctrl + K
2-75
網路安全
數據哪裡來 - Capture功能 (續 )
bull 二開啟後顯示 Capture Options 的視窗畫面即可看到所提供的擷取功能選項
2-76
網路安全
數據哪裡來 - Capture功能 (續 )
bull Capture Options 常用的欄位設定ndash Caputure 框
bull 1Interface 會顯示出在系統上所有網路卡但只能選取一個介面作為封包擷取bull 2Capture packets in promiscuous mode 選取此選項就是經過所選取的網路卡的所有封包都會被擷取下來bull 3Capture Filter 指定擷取過濾器運算式擷取想要的特定封包即為擷取中過濾之功能
2-77
網路安全
數據哪裡來 - Capture功能 (續 )
bull Capture Options 常用的欄位設定ndash Display Options 框
bull Update list of packets in real time 指定在擷取封包過程中能夠即時更新已擷取封包清單窗格視窗中的封包資訊若取消則軟體主視窗更新畫面是沒有動作的
2-78
網路安全
bull Capture Options 常用的欄位設定ndash Name Resolution框
bull 1 Enable MAC name resolution 指定是否將網路卡MAC address 的前三個位元組轉換成製造商名稱
bull 2 Enable network name resolution 指定是否將 IP address轉換成 DNS 網域名稱
bull 3 Enable transport name resolution 指定是否將通信埠號碼 (port numbers)轉成協定名稱 (protocols)bull 各位了解數據從哪裡擷取的概念與操作之後即可以進一步加上附帶條件 (篩選條件 ) 等相關操作方式
數據哪裡來 - Capture功能 (續 )
2-79
網路安全
Wireshark操作手法bull 延續遇到問題的思考方向及軟體操作手法我們可以將操作流程分為兩種
ndash 擷取中過濾 (Filter while capturing)bull 優點僅擷取已知範圍資訊網路流量少bull 缺點需先了解問題類型避免可能有遺漏真正欲擷取資訊之狀況
ndash 檢視中過濾 (Filter packets while viewing)bull 優點不用先預設條件擷取所有封包資訊bull 缺點影響網路流量
先預設欲擷取條件 擷取數據
擷取數據 再篩選欲查詢數據2-80
網路安全
Wireshark操作手法 - 擷取中過濾bull 操作步驟
ndash 點選 Capture 下拉視窗選擇 Capture Filters 即呈現此視窗
bull 操作範例ndash 1於 Filter窗格中選擇 IP
Address 10112ndash 2於 Properties窗格中即顯示該選項的設定值如圖所示為 host 10112ndash 3 即可設定軟體僅針對
10112 的封包作擷取動作 延伸操作思考1 改變 Filter string 值得到什麼結果2 點選 Edit 窗格中的 New 鈕 新增自訂條件 2-81
網路安全
Wireshark操作手法 - 檢視中過濾bull 此步驟即以已擷取封包清單窗格為基礎以過濾條件過濾該清單bull 可直接選擇軟體預設項目如以下操作
ndash 操作步驟bull 點選 Analyze 下拉視窗選擇
Display Filters 即呈現此視窗ndash 操作範例
bull 1於 Filter窗格中選擇 IP Address 10112
bull 2於 Properties窗格中即顯示該選項的設定值如圖所示值為host 10112
bull 3 即可設定軟體僅針對 10112的封包作顯示動作 延伸操作思考1 可否進行進一步自訂設定值
2-82
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 若電腦 IP為 10112 欲篩選出 IP 來源為上述 IP 且協定為 TCP 80port 的所有封包ndash 操作步驟
bull 點選 Expression鈕即出現此視窗ndash 1於 Field name框選擇
IP項目中的 ipsrc - Source
ndash 2於 Relation框選擇 ==ndash 3於 Value [IPV4
address]填 入 10112ndash 4 點選 OK鈕 進階思考方式須考慮到例如是來源資訊是目標資訊是什麼協定等更細部所要之條件
2-83
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 再進行第二篩選條件ndash TCP 80 port
bull 操作步驟ndash 1先於 Filter string 輸入文字框「 ipsrc==
10112」後再加上一個空格及「 and 」再進行一次 Expression條件選擇
2-84
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
ndash 2於 Field name框選擇「 tcpdstport」ndash 3於 Relation框選擇「 ==」ndash 4於 Value框填入「 80」ndash 5 選擇「 OK」鈕
2-85
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 注意 Propeties框內的Filter string欄位值已改變為「 ipsrc == 10112 and tcpdstport == 80」
bull 確認條件正確後點選「 OK 」鈕即可發現已擷取封包清單窗格的項目均為所設定過濾條件過濾過結果2-86
網路安全
bull 可單選單一封包進行更進階查詢封包內容bull 操作方式為
ndash 點選其中一項封包項目點選滑鼠右鍵選擇Follow TCP Stream
Wireshark操作手法 - 檢視中過濾 (續 )
2-87
網路安全
ndash 此畫面即可看出該項 TCP 封包溝通內容Wireshark操作手法 - 檢視中過濾 (續 )
2-88
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 此功能將所擷取的封包清單使用多種方式呈現封包統計資料便於使用者查詢擷取時間內何種封包數量多寡及圖型顯示bull 操作步驟點選 Statistics 下拉視窗即呈現此視窗 顯示有關擷取清單的摘要以階梯式通訊協定列表顯示所擷取的所有封包
在特定 IP間顯示通訊流量顯示單一 IP 來往封包的流量
以時間軸顯示視覺化封包流量圖2-89
網路安全
bull 可查看到一時段內其封包總數與平均每秒傳遞接收封包數等相關資訊讓使用者了解平均一時段內網路流量狀況藉以初步獲得資訊
Wireshark操作手法 - 檢視中過濾 (續 )
2-90
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 讓使用者可透過階梯式封包分類表來查看哪一類封包佔為居多可進一步推測是否該類型封包影響到整體網路或是否有異常或不常見封包類型在網路中傳遞
2-91
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 將該擷取時段內封包清單檔以兩個特定 IP 之間對傳封包為區隔顯示出哪兩個特定 IP間傳遞封包數多寡bull 可讓使用者更進一步研判兩個特定 IP所屬設備傳遞狀況是否異常
2-92
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 將該擷取時段內封包清單檔以特定IP 傳遞封包數為區隔顯示出哪特定IP 傳遞封包數多寡
bull 可讓使用者更進一步研判該特定所屬設備傳遞封包數是否異常作為管制緊急管制或禁止通訊之證明2-93
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 以時間軸顯示視覺化封包流量圖bull 讓使用者可觀察所管理設備資訊流通量以了解設備是否能負荷或作相關調整等處置
2-94
網路安全
FTP 擷取密碼案例bull 於Wireshark軟體選擇 Capture 下拉選單功能項點選 Interfaces 選項
2-95
網路安全
FTP 擷取密碼案例 (續 )
bull 確認欲擷取封包之網卡名稱如紅色底線所示確認後點選 Start鈕
2-96
網路安全
FTP 擷取密碼案例 (續 )
bull 切換至 FTP Client 電腦開啟 FileZilla 程式後連線到 FTP Server 於 Host 填入10123 Username填入 tester Password填入testpw 後點選 Quickconnect鈕
2-97
網路安全
FTP 擷取密碼案例 (續 )
bull 擷取到的封包資訊會顯示於已擷取封包清單窗格內
2-98
網路安全
FTP 擷取密碼案例 (續 )
bull 使用 FTP軟體登入 ftp站後 Wireshark 將擷取到的使用者名稱與密碼如紅框所示
2-99
網路安全
FTP 擷取密碼案例 (續 )
bull 點選已擷取封包清單窗格的密碼資訊列如標示1 的紅框所示即可在封包內容窗格看到該密碼的位元碼如標示 2 的紅框所示
1
2
2-100
網路安全
架設實作 (三 )
Outlook Express 擷取密碼案例
2-101
網路安全
實驗環境介紹bull 以 Testbed建立一實驗相關拓樸及設定如下圖
OEClientOSWindows XP SP3IP 10112執行 Outlook Express
MailServerOSWindows XP SP3IP 10122安裝軟體 ArGoSoft Mail Server
2-102
WiresharkOSWindows XP SP3IP1 10113 IP2 10123安裝軟體 Wireshark
IP1IP2
網路安全
實驗拓樸 on TestbedTWISC- 建立完成的實驗拓樸
2-103
網路安全
郵件伺服器工具 - ArGoSoft Mail Server
bull 版本ndash 1892 Freeware
bull 支援作業平台ndash Windows
bull 下載位址ndash httpwwwsoftkingcomtwsoftdownloadaspfid3=7367
2-104
網路安全
郵件客戶端工具 - Outlook Express
bull 版本ndash 60
bull 支援作業平台ndash Windows
bull 下載位址ndash Windows 內建
2-105
網路安全
bull 安裝及設定郵件伺服器ndash 1下載並執行 ArGoSoft Mail Server軟體點選
Setup鈕
Outlook Express 擷取密碼案例
2-106
網路安全
ndash 1 點選 Next鈕ndash 2 點選 Start Installation鈕
Outlook Express 擷取密碼案例 (續 )
2-107
網路安全
ndash 3 點選 OK鈕ndash 4 點選 Finish鈕完成軟體安裝
Outlook Express 擷取密碼案例 (續 )
2-108
網路安全
ndash 5 點選使用者設定鈕如紅圈所示ndash 6 點選新增鈕如紅框所示
Outlook Express 擷取密碼案例 (續 )
2-109
網路安全
ndash 7填入使用者名稱 (tester) 及密碼 (testpw) 如紅圈所示填寫完成後點選 OK鈕ndash 8 點選 Close鈕關閉使用者設定視窗
Outlook Express 擷取密碼案例 (續 )
2-110
網路安全
ndash 9 點選選項鈕如左側圖中紅色圈所示ndash 10 點選紅色打勾鈕如右側圖中紅色圈所示
2-111
Outlook Express 擷取密碼案例 (續 )
網路安全
ndash 11該軟體會自動選取 DNS Server 待選取後點選 Yes鈕ndash 12 勾選 Allow Relay 選項如紅框所示
2-112
Outlook Express 擷取密碼案例 (續 )
網路安全
Outlook Express 擷取密碼案例 (續 )
bull 設定收信帳號ndash 1 點選 Tools功能選單選擇 Accounts 選項
2-113
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 2 點選 Add鈕選擇 Mail 選項
2-114
網路安全
ndash 3填入 tester 點選 Next鈕ndash 4填入 testertestcom 點選 Next鈕
Outlook Express 擷取密碼案例 (續 )
2-115
網路安全
ndash 5填入 10123 如紅框所示點選 Next鈕ndash 6填入帳號為 tester 及密碼為 testpw 點選 Next鈕
Outlook Express 擷取密碼案例 (續 )
2-116
網路安全
ndash 7 點選 Finish鈕ndash 8 點選 Close鈕
Outlook Express 擷取密碼案例 (續 )
2-117
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 模擬條件準備好後首先準備Wireshark 擷取動作開啟Wireshark
2-118
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 於Wireshark軟體選擇 Capture 下拉選單功能項點選 Interfaces 選項
2-119
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 確認欲擷取封包之網卡名稱如紅色底線所示確認後點選 Start鈕
2-120
網路安全
ndash 當使用者收發 email 時即被 Wireshark攔截封包ndash 有發現到該 Outlook Express帳號密碼是如此清晰可見的嗎
Outlook Express 擷取密碼案例 (續 )
2-121
網路安全
結論bull 學習了 Wireshark及WinDump 兩套網路封包擷取軟體基本概念如同電話側錄概念相同從中複製一連串資訊來分析與了解網路的流量及內容為何bull 當你發現網路速度緩慢等狀況你是否會反應到所學的基本概念來找尋問題所在bull 防範概念由此課程的實例可以了解網路內容如被有心人士擷取所造成的損失相當可觀故你是否有對策有哪些方式你可以應用來防範bull 正確的思考善用對的工具將對解決問題事半功倍
2-122
網路安全 2-123
Module 2-5 封包擷取與分析的專案實作()
網路安全
專案目的bull 建立遠端管理傳遞指令資訊環境bull 利用實際攔截封包操作的方式讓同學了解封包擷取運作與網路資訊流通的顧慮等相關議題
2-124
網路安全
專案描述bull 近年來遠端管理伺服器及網路服務普及光是密碼保護就足夠了嗎是否重點網段須全程加密還是作網段隔離經由此專案實作即可了解不僅部分加密仍有其風險所在網路架構如何規劃將是非常重要的課題bull 參考環境配置圖完成下列要求①環境裡的攔截封包主機是 Windows XP SP3 作業系統而該主機安裝Wireshark軟體②另兩台主機的作業系統亦是 Windows XP SP3 並裝上
MySQL軟體 MySQL帳號為 root 密碼為您的學號 (如 Q3896105)
③在MySQLClient 電腦使用 MySQL Commandline 指令連線至MySQLServer 擷取資料庫資訊
④我們針對這兩台主機傳訊的封包擷取由整個實做中思考如何防範資訊外洩與了解傳訊封包如何流動及運作2-125
網路安全
環境配置圖bull 以 Testbed建立一實驗相關拓樸及設定如下圖
MySQLServerOSWINXP-SP3-CH-pc3000 IP 10123安裝軟體 MySQL
MySQLClientOSWINXP-SP3-CH-pc3000 IP 10112安裝軟體 MySQL
2-126
WireSharkOSWINXP-SP3-CH-pc3000 IP1 10113IP2 10122安裝軟體 Wireshark
IP1IP2
網路安全
作業繳交bull 請參考情境測試發送數個 SQL 指令並將過程與擷取到的封包資訊之截圖列於報告中所有圖表皆需要輔以文字說明bull Deadline 2012312 下午 500 以前bull 作業範圍 Module 2-5 (page 2-128)bull 方式 (參考課程網址 )
ndash 帳號密碼小寫的 (ns100ns100)ndash IP 140116164167
2-127
網路安全
有問題嗎
bull 關於 TestBed 使用上的問題請直接 Email至 twisc-testbed-usergooglegroupscom 將有專人為您服務bull 課程網址
httpitlabeenckuedutwcoursesNS_100indexhtml
2-128
bull 助教資訊 (參考課程網址 )
網路安全
參考資料bull Dienet httplinuxdienetman1wiresharkbull Orebaugh Angela Ramirez Gilbert Burke Josh Pesce Larry Wright
Joshua(2007) Wireshark and Ethereal network protocol analyzer toolkitbull Tony Fortunato(2007) Wireshark Training Retrieved July 22 2009 from
the World Wide Web httpwwwthetechfirmcometherealwiresharkpdfbull WinDump httpwwwwinpcaporgWinDumpbull Wireshark httpwwwwiresharkorgbull Wireshark University httpwwwwiresharktrainingcombull 楊中皇 (民 97年 ) 網路安全理論與實務 (2版 ) 台北市學貫bull 蘇淑茵教授 Wireshark 民國 98年 6月 28日取自 httpmywebnckuedutw~sisou
2-129
網路安全
Filezilla 安裝步驟 (續 )
bull 以預設值安裝點選兩次 Next 鈕
2-63
網路安全
Filezilla 安裝步驟 (續 )
bull 以預設值安裝點選 Next 鈕後再點選 Install 鈕
2-64
網路安全
Filezilla 安裝步驟 (續 )
bull 以預設值安裝點選 Next 鈕後再點選 Finish 鈕
2-65
網路安全
封包擷取工具 - Wireshark
bull 版本ndash 165
bull 支援作業平台ndash Windows Linux及 FreeBSD
bull 其他需求ndash 安裝WinPcap 31 以上版本
bull 下載位址ndash httpwiresharkdownloadsriverbedcomwireshark
win32wireshark-win32-165exe
2-66
網路安全
Wireshark 安裝步驟bull 至官方網站下載Windows平台最新版本檔案下載完成後執行該安裝程式
2-67
網路安全
Wireshark 安裝步驟 (續 )
bull 於下一步出現的版權宣告點選 I Agree鈕後繼續下一步驟
2-68
網路安全
Wireshark 安裝步驟 (續 )
bull 此步驟選擇欲安裝的元件以軟體預設勾選之項目安裝
2-69
網路安全
Wireshark 安裝步驟 (續 )
bull 此步驟使用預設路徑即可
2-70
網路安全
Wireshark 安裝步驟 (續 )
bull 此步驟將安裝Windows平台須加裝之套件 -WinPcap 若原系統未安裝過 WinPcap套件請以軟體預設項目安裝之
2-71
網路安全
Wireshark 安裝步驟 (續 )
bull 此步驟代表 Wireshark軟體已安裝完成可點選Finish 鈕或勾選 Run Wireshark 165 隨即使用該套軟體
2-72
網路安全
一般工具列Wireshark軟體介面介紹
2-73
篩選工具列封包清單窗格
封包內容窗格封包位元組窗格
網路安全
Wireshark 使用思考方向bull 遇到網路問題是否觀察網路通道中有異常動作或狀況
ndash 思考方向ndash 反應到擷取數據方法那麼以 Wireshark 擷取使用者需要擷取哪些數據這些數據由使用者電腦哪個裝置來擷取
bull Wireshark操作流程
bull 接下來我們進行軟體操作介紹
解決問題 擷取數據要先做什麼
擷取數據 擷取哪些數據( 過濾條件 )數據哪裡來( 網路介面卡 )
2-74
網路安全
數據哪裡來 - Capture功能bull 一開啟方式
ndash 1 點選快速鈕如紅色圈所示ndash 2 點選 Capture功能表 下拉選單後點選 Optionsndash 3鍵盤快速鍵 Ctrl + K
2-75
網路安全
數據哪裡來 - Capture功能 (續 )
bull 二開啟後顯示 Capture Options 的視窗畫面即可看到所提供的擷取功能選項
2-76
網路安全
數據哪裡來 - Capture功能 (續 )
bull Capture Options 常用的欄位設定ndash Caputure 框
bull 1Interface 會顯示出在系統上所有網路卡但只能選取一個介面作為封包擷取bull 2Capture packets in promiscuous mode 選取此選項就是經過所選取的網路卡的所有封包都會被擷取下來bull 3Capture Filter 指定擷取過濾器運算式擷取想要的特定封包即為擷取中過濾之功能
2-77
網路安全
數據哪裡來 - Capture功能 (續 )
bull Capture Options 常用的欄位設定ndash Display Options 框
bull Update list of packets in real time 指定在擷取封包過程中能夠即時更新已擷取封包清單窗格視窗中的封包資訊若取消則軟體主視窗更新畫面是沒有動作的
2-78
網路安全
bull Capture Options 常用的欄位設定ndash Name Resolution框
bull 1 Enable MAC name resolution 指定是否將網路卡MAC address 的前三個位元組轉換成製造商名稱
bull 2 Enable network name resolution 指定是否將 IP address轉換成 DNS 網域名稱
bull 3 Enable transport name resolution 指定是否將通信埠號碼 (port numbers)轉成協定名稱 (protocols)bull 各位了解數據從哪裡擷取的概念與操作之後即可以進一步加上附帶條件 (篩選條件 ) 等相關操作方式
數據哪裡來 - Capture功能 (續 )
2-79
網路安全
Wireshark操作手法bull 延續遇到問題的思考方向及軟體操作手法我們可以將操作流程分為兩種
ndash 擷取中過濾 (Filter while capturing)bull 優點僅擷取已知範圍資訊網路流量少bull 缺點需先了解問題類型避免可能有遺漏真正欲擷取資訊之狀況
ndash 檢視中過濾 (Filter packets while viewing)bull 優點不用先預設條件擷取所有封包資訊bull 缺點影響網路流量
先預設欲擷取條件 擷取數據
擷取數據 再篩選欲查詢數據2-80
網路安全
Wireshark操作手法 - 擷取中過濾bull 操作步驟
ndash 點選 Capture 下拉視窗選擇 Capture Filters 即呈現此視窗
bull 操作範例ndash 1於 Filter窗格中選擇 IP
Address 10112ndash 2於 Properties窗格中即顯示該選項的設定值如圖所示為 host 10112ndash 3 即可設定軟體僅針對
10112 的封包作擷取動作 延伸操作思考1 改變 Filter string 值得到什麼結果2 點選 Edit 窗格中的 New 鈕 新增自訂條件 2-81
網路安全
Wireshark操作手法 - 檢視中過濾bull 此步驟即以已擷取封包清單窗格為基礎以過濾條件過濾該清單bull 可直接選擇軟體預設項目如以下操作
ndash 操作步驟bull 點選 Analyze 下拉視窗選擇
Display Filters 即呈現此視窗ndash 操作範例
bull 1於 Filter窗格中選擇 IP Address 10112
bull 2於 Properties窗格中即顯示該選項的設定值如圖所示值為host 10112
bull 3 即可設定軟體僅針對 10112的封包作顯示動作 延伸操作思考1 可否進行進一步自訂設定值
2-82
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 若電腦 IP為 10112 欲篩選出 IP 來源為上述 IP 且協定為 TCP 80port 的所有封包ndash 操作步驟
bull 點選 Expression鈕即出現此視窗ndash 1於 Field name框選擇
IP項目中的 ipsrc - Source
ndash 2於 Relation框選擇 ==ndash 3於 Value [IPV4
address]填 入 10112ndash 4 點選 OK鈕 進階思考方式須考慮到例如是來源資訊是目標資訊是什麼協定等更細部所要之條件
2-83
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 再進行第二篩選條件ndash TCP 80 port
bull 操作步驟ndash 1先於 Filter string 輸入文字框「 ipsrc==
10112」後再加上一個空格及「 and 」再進行一次 Expression條件選擇
2-84
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
ndash 2於 Field name框選擇「 tcpdstport」ndash 3於 Relation框選擇「 ==」ndash 4於 Value框填入「 80」ndash 5 選擇「 OK」鈕
2-85
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 注意 Propeties框內的Filter string欄位值已改變為「 ipsrc == 10112 and tcpdstport == 80」
bull 確認條件正確後點選「 OK 」鈕即可發現已擷取封包清單窗格的項目均為所設定過濾條件過濾過結果2-86
網路安全
bull 可單選單一封包進行更進階查詢封包內容bull 操作方式為
ndash 點選其中一項封包項目點選滑鼠右鍵選擇Follow TCP Stream
Wireshark操作手法 - 檢視中過濾 (續 )
2-87
網路安全
ndash 此畫面即可看出該項 TCP 封包溝通內容Wireshark操作手法 - 檢視中過濾 (續 )
2-88
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 此功能將所擷取的封包清單使用多種方式呈現封包統計資料便於使用者查詢擷取時間內何種封包數量多寡及圖型顯示bull 操作步驟點選 Statistics 下拉視窗即呈現此視窗 顯示有關擷取清單的摘要以階梯式通訊協定列表顯示所擷取的所有封包
在特定 IP間顯示通訊流量顯示單一 IP 來往封包的流量
以時間軸顯示視覺化封包流量圖2-89
網路安全
bull 可查看到一時段內其封包總數與平均每秒傳遞接收封包數等相關資訊讓使用者了解平均一時段內網路流量狀況藉以初步獲得資訊
Wireshark操作手法 - 檢視中過濾 (續 )
2-90
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 讓使用者可透過階梯式封包分類表來查看哪一類封包佔為居多可進一步推測是否該類型封包影響到整體網路或是否有異常或不常見封包類型在網路中傳遞
2-91
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 將該擷取時段內封包清單檔以兩個特定 IP 之間對傳封包為區隔顯示出哪兩個特定 IP間傳遞封包數多寡bull 可讓使用者更進一步研判兩個特定 IP所屬設備傳遞狀況是否異常
2-92
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 將該擷取時段內封包清單檔以特定IP 傳遞封包數為區隔顯示出哪特定IP 傳遞封包數多寡
bull 可讓使用者更進一步研判該特定所屬設備傳遞封包數是否異常作為管制緊急管制或禁止通訊之證明2-93
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 以時間軸顯示視覺化封包流量圖bull 讓使用者可觀察所管理設備資訊流通量以了解設備是否能負荷或作相關調整等處置
2-94
網路安全
FTP 擷取密碼案例bull 於Wireshark軟體選擇 Capture 下拉選單功能項點選 Interfaces 選項
2-95
網路安全
FTP 擷取密碼案例 (續 )
bull 確認欲擷取封包之網卡名稱如紅色底線所示確認後點選 Start鈕
2-96
網路安全
FTP 擷取密碼案例 (續 )
bull 切換至 FTP Client 電腦開啟 FileZilla 程式後連線到 FTP Server 於 Host 填入10123 Username填入 tester Password填入testpw 後點選 Quickconnect鈕
2-97
網路安全
FTP 擷取密碼案例 (續 )
bull 擷取到的封包資訊會顯示於已擷取封包清單窗格內
2-98
網路安全
FTP 擷取密碼案例 (續 )
bull 使用 FTP軟體登入 ftp站後 Wireshark 將擷取到的使用者名稱與密碼如紅框所示
2-99
網路安全
FTP 擷取密碼案例 (續 )
bull 點選已擷取封包清單窗格的密碼資訊列如標示1 的紅框所示即可在封包內容窗格看到該密碼的位元碼如標示 2 的紅框所示
1
2
2-100
網路安全
架設實作 (三 )
Outlook Express 擷取密碼案例
2-101
網路安全
實驗環境介紹bull 以 Testbed建立一實驗相關拓樸及設定如下圖
OEClientOSWindows XP SP3IP 10112執行 Outlook Express
MailServerOSWindows XP SP3IP 10122安裝軟體 ArGoSoft Mail Server
2-102
WiresharkOSWindows XP SP3IP1 10113 IP2 10123安裝軟體 Wireshark
IP1IP2
網路安全
實驗拓樸 on TestbedTWISC- 建立完成的實驗拓樸
2-103
網路安全
郵件伺服器工具 - ArGoSoft Mail Server
bull 版本ndash 1892 Freeware
bull 支援作業平台ndash Windows
bull 下載位址ndash httpwwwsoftkingcomtwsoftdownloadaspfid3=7367
2-104
網路安全
郵件客戶端工具 - Outlook Express
bull 版本ndash 60
bull 支援作業平台ndash Windows
bull 下載位址ndash Windows 內建
2-105
網路安全
bull 安裝及設定郵件伺服器ndash 1下載並執行 ArGoSoft Mail Server軟體點選
Setup鈕
Outlook Express 擷取密碼案例
2-106
網路安全
ndash 1 點選 Next鈕ndash 2 點選 Start Installation鈕
Outlook Express 擷取密碼案例 (續 )
2-107
網路安全
ndash 3 點選 OK鈕ndash 4 點選 Finish鈕完成軟體安裝
Outlook Express 擷取密碼案例 (續 )
2-108
網路安全
ndash 5 點選使用者設定鈕如紅圈所示ndash 6 點選新增鈕如紅框所示
Outlook Express 擷取密碼案例 (續 )
2-109
網路安全
ndash 7填入使用者名稱 (tester) 及密碼 (testpw) 如紅圈所示填寫完成後點選 OK鈕ndash 8 點選 Close鈕關閉使用者設定視窗
Outlook Express 擷取密碼案例 (續 )
2-110
網路安全
ndash 9 點選選項鈕如左側圖中紅色圈所示ndash 10 點選紅色打勾鈕如右側圖中紅色圈所示
2-111
Outlook Express 擷取密碼案例 (續 )
網路安全
ndash 11該軟體會自動選取 DNS Server 待選取後點選 Yes鈕ndash 12 勾選 Allow Relay 選項如紅框所示
2-112
Outlook Express 擷取密碼案例 (續 )
網路安全
Outlook Express 擷取密碼案例 (續 )
bull 設定收信帳號ndash 1 點選 Tools功能選單選擇 Accounts 選項
2-113
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 2 點選 Add鈕選擇 Mail 選項
2-114
網路安全
ndash 3填入 tester 點選 Next鈕ndash 4填入 testertestcom 點選 Next鈕
Outlook Express 擷取密碼案例 (續 )
2-115
網路安全
ndash 5填入 10123 如紅框所示點選 Next鈕ndash 6填入帳號為 tester 及密碼為 testpw 點選 Next鈕
Outlook Express 擷取密碼案例 (續 )
2-116
網路安全
ndash 7 點選 Finish鈕ndash 8 點選 Close鈕
Outlook Express 擷取密碼案例 (續 )
2-117
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 模擬條件準備好後首先準備Wireshark 擷取動作開啟Wireshark
2-118
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 於Wireshark軟體選擇 Capture 下拉選單功能項點選 Interfaces 選項
2-119
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 確認欲擷取封包之網卡名稱如紅色底線所示確認後點選 Start鈕
2-120
網路安全
ndash 當使用者收發 email 時即被 Wireshark攔截封包ndash 有發現到該 Outlook Express帳號密碼是如此清晰可見的嗎
Outlook Express 擷取密碼案例 (續 )
2-121
網路安全
結論bull 學習了 Wireshark及WinDump 兩套網路封包擷取軟體基本概念如同電話側錄概念相同從中複製一連串資訊來分析與了解網路的流量及內容為何bull 當你發現網路速度緩慢等狀況你是否會反應到所學的基本概念來找尋問題所在bull 防範概念由此課程的實例可以了解網路內容如被有心人士擷取所造成的損失相當可觀故你是否有對策有哪些方式你可以應用來防範bull 正確的思考善用對的工具將對解決問題事半功倍
2-122
網路安全 2-123
Module 2-5 封包擷取與分析的專案實作()
網路安全
專案目的bull 建立遠端管理傳遞指令資訊環境bull 利用實際攔截封包操作的方式讓同學了解封包擷取運作與網路資訊流通的顧慮等相關議題
2-124
網路安全
專案描述bull 近年來遠端管理伺服器及網路服務普及光是密碼保護就足夠了嗎是否重點網段須全程加密還是作網段隔離經由此專案實作即可了解不僅部分加密仍有其風險所在網路架構如何規劃將是非常重要的課題bull 參考環境配置圖完成下列要求①環境裡的攔截封包主機是 Windows XP SP3 作業系統而該主機安裝Wireshark軟體②另兩台主機的作業系統亦是 Windows XP SP3 並裝上
MySQL軟體 MySQL帳號為 root 密碼為您的學號 (如 Q3896105)
③在MySQLClient 電腦使用 MySQL Commandline 指令連線至MySQLServer 擷取資料庫資訊
④我們針對這兩台主機傳訊的封包擷取由整個實做中思考如何防範資訊外洩與了解傳訊封包如何流動及運作2-125
網路安全
環境配置圖bull 以 Testbed建立一實驗相關拓樸及設定如下圖
MySQLServerOSWINXP-SP3-CH-pc3000 IP 10123安裝軟體 MySQL
MySQLClientOSWINXP-SP3-CH-pc3000 IP 10112安裝軟體 MySQL
2-126
WireSharkOSWINXP-SP3-CH-pc3000 IP1 10113IP2 10122安裝軟體 Wireshark
IP1IP2
網路安全
作業繳交bull 請參考情境測試發送數個 SQL 指令並將過程與擷取到的封包資訊之截圖列於報告中所有圖表皆需要輔以文字說明bull Deadline 2012312 下午 500 以前bull 作業範圍 Module 2-5 (page 2-128)bull 方式 (參考課程網址 )
ndash 帳號密碼小寫的 (ns100ns100)ndash IP 140116164167
2-127
網路安全
有問題嗎
bull 關於 TestBed 使用上的問題請直接 Email至 twisc-testbed-usergooglegroupscom 將有專人為您服務bull 課程網址
httpitlabeenckuedutwcoursesNS_100indexhtml
2-128
bull 助教資訊 (參考課程網址 )
網路安全
參考資料bull Dienet httplinuxdienetman1wiresharkbull Orebaugh Angela Ramirez Gilbert Burke Josh Pesce Larry Wright
Joshua(2007) Wireshark and Ethereal network protocol analyzer toolkitbull Tony Fortunato(2007) Wireshark Training Retrieved July 22 2009 from
the World Wide Web httpwwwthetechfirmcometherealwiresharkpdfbull WinDump httpwwwwinpcaporgWinDumpbull Wireshark httpwwwwiresharkorgbull Wireshark University httpwwwwiresharktrainingcombull 楊中皇 (民 97年 ) 網路安全理論與實務 (2版 ) 台北市學貫bull 蘇淑茵教授 Wireshark 民國 98年 6月 28日取自 httpmywebnckuedutw~sisou
2-129
網路安全
Filezilla 安裝步驟 (續 )
bull 以預設值安裝點選 Next 鈕後再點選 Install 鈕
2-64
網路安全
Filezilla 安裝步驟 (續 )
bull 以預設值安裝點選 Next 鈕後再點選 Finish 鈕
2-65
網路安全
封包擷取工具 - Wireshark
bull 版本ndash 165
bull 支援作業平台ndash Windows Linux及 FreeBSD
bull 其他需求ndash 安裝WinPcap 31 以上版本
bull 下載位址ndash httpwiresharkdownloadsriverbedcomwireshark
win32wireshark-win32-165exe
2-66
網路安全
Wireshark 安裝步驟bull 至官方網站下載Windows平台最新版本檔案下載完成後執行該安裝程式
2-67
網路安全
Wireshark 安裝步驟 (續 )
bull 於下一步出現的版權宣告點選 I Agree鈕後繼續下一步驟
2-68
網路安全
Wireshark 安裝步驟 (續 )
bull 此步驟選擇欲安裝的元件以軟體預設勾選之項目安裝
2-69
網路安全
Wireshark 安裝步驟 (續 )
bull 此步驟使用預設路徑即可
2-70
網路安全
Wireshark 安裝步驟 (續 )
bull 此步驟將安裝Windows平台須加裝之套件 -WinPcap 若原系統未安裝過 WinPcap套件請以軟體預設項目安裝之
2-71
網路安全
Wireshark 安裝步驟 (續 )
bull 此步驟代表 Wireshark軟體已安裝完成可點選Finish 鈕或勾選 Run Wireshark 165 隨即使用該套軟體
2-72
網路安全
一般工具列Wireshark軟體介面介紹
2-73
篩選工具列封包清單窗格
封包內容窗格封包位元組窗格
網路安全
Wireshark 使用思考方向bull 遇到網路問題是否觀察網路通道中有異常動作或狀況
ndash 思考方向ndash 反應到擷取數據方法那麼以 Wireshark 擷取使用者需要擷取哪些數據這些數據由使用者電腦哪個裝置來擷取
bull Wireshark操作流程
bull 接下來我們進行軟體操作介紹
解決問題 擷取數據要先做什麼
擷取數據 擷取哪些數據( 過濾條件 )數據哪裡來( 網路介面卡 )
2-74
網路安全
數據哪裡來 - Capture功能bull 一開啟方式
ndash 1 點選快速鈕如紅色圈所示ndash 2 點選 Capture功能表 下拉選單後點選 Optionsndash 3鍵盤快速鍵 Ctrl + K
2-75
網路安全
數據哪裡來 - Capture功能 (續 )
bull 二開啟後顯示 Capture Options 的視窗畫面即可看到所提供的擷取功能選項
2-76
網路安全
數據哪裡來 - Capture功能 (續 )
bull Capture Options 常用的欄位設定ndash Caputure 框
bull 1Interface 會顯示出在系統上所有網路卡但只能選取一個介面作為封包擷取bull 2Capture packets in promiscuous mode 選取此選項就是經過所選取的網路卡的所有封包都會被擷取下來bull 3Capture Filter 指定擷取過濾器運算式擷取想要的特定封包即為擷取中過濾之功能
2-77
網路安全
數據哪裡來 - Capture功能 (續 )
bull Capture Options 常用的欄位設定ndash Display Options 框
bull Update list of packets in real time 指定在擷取封包過程中能夠即時更新已擷取封包清單窗格視窗中的封包資訊若取消則軟體主視窗更新畫面是沒有動作的
2-78
網路安全
bull Capture Options 常用的欄位設定ndash Name Resolution框
bull 1 Enable MAC name resolution 指定是否將網路卡MAC address 的前三個位元組轉換成製造商名稱
bull 2 Enable network name resolution 指定是否將 IP address轉換成 DNS 網域名稱
bull 3 Enable transport name resolution 指定是否將通信埠號碼 (port numbers)轉成協定名稱 (protocols)bull 各位了解數據從哪裡擷取的概念與操作之後即可以進一步加上附帶條件 (篩選條件 ) 等相關操作方式
數據哪裡來 - Capture功能 (續 )
2-79
網路安全
Wireshark操作手法bull 延續遇到問題的思考方向及軟體操作手法我們可以將操作流程分為兩種
ndash 擷取中過濾 (Filter while capturing)bull 優點僅擷取已知範圍資訊網路流量少bull 缺點需先了解問題類型避免可能有遺漏真正欲擷取資訊之狀況
ndash 檢視中過濾 (Filter packets while viewing)bull 優點不用先預設條件擷取所有封包資訊bull 缺點影響網路流量
先預設欲擷取條件 擷取數據
擷取數據 再篩選欲查詢數據2-80
網路安全
Wireshark操作手法 - 擷取中過濾bull 操作步驟
ndash 點選 Capture 下拉視窗選擇 Capture Filters 即呈現此視窗
bull 操作範例ndash 1於 Filter窗格中選擇 IP
Address 10112ndash 2於 Properties窗格中即顯示該選項的設定值如圖所示為 host 10112ndash 3 即可設定軟體僅針對
10112 的封包作擷取動作 延伸操作思考1 改變 Filter string 值得到什麼結果2 點選 Edit 窗格中的 New 鈕 新增自訂條件 2-81
網路安全
Wireshark操作手法 - 檢視中過濾bull 此步驟即以已擷取封包清單窗格為基礎以過濾條件過濾該清單bull 可直接選擇軟體預設項目如以下操作
ndash 操作步驟bull 點選 Analyze 下拉視窗選擇
Display Filters 即呈現此視窗ndash 操作範例
bull 1於 Filter窗格中選擇 IP Address 10112
bull 2於 Properties窗格中即顯示該選項的設定值如圖所示值為host 10112
bull 3 即可設定軟體僅針對 10112的封包作顯示動作 延伸操作思考1 可否進行進一步自訂設定值
2-82
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 若電腦 IP為 10112 欲篩選出 IP 來源為上述 IP 且協定為 TCP 80port 的所有封包ndash 操作步驟
bull 點選 Expression鈕即出現此視窗ndash 1於 Field name框選擇
IP項目中的 ipsrc - Source
ndash 2於 Relation框選擇 ==ndash 3於 Value [IPV4
address]填 入 10112ndash 4 點選 OK鈕 進階思考方式須考慮到例如是來源資訊是目標資訊是什麼協定等更細部所要之條件
2-83
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 再進行第二篩選條件ndash TCP 80 port
bull 操作步驟ndash 1先於 Filter string 輸入文字框「 ipsrc==
10112」後再加上一個空格及「 and 」再進行一次 Expression條件選擇
2-84
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
ndash 2於 Field name框選擇「 tcpdstport」ndash 3於 Relation框選擇「 ==」ndash 4於 Value框填入「 80」ndash 5 選擇「 OK」鈕
2-85
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 注意 Propeties框內的Filter string欄位值已改變為「 ipsrc == 10112 and tcpdstport == 80」
bull 確認條件正確後點選「 OK 」鈕即可發現已擷取封包清單窗格的項目均為所設定過濾條件過濾過結果2-86
網路安全
bull 可單選單一封包進行更進階查詢封包內容bull 操作方式為
ndash 點選其中一項封包項目點選滑鼠右鍵選擇Follow TCP Stream
Wireshark操作手法 - 檢視中過濾 (續 )
2-87
網路安全
ndash 此畫面即可看出該項 TCP 封包溝通內容Wireshark操作手法 - 檢視中過濾 (續 )
2-88
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 此功能將所擷取的封包清單使用多種方式呈現封包統計資料便於使用者查詢擷取時間內何種封包數量多寡及圖型顯示bull 操作步驟點選 Statistics 下拉視窗即呈現此視窗 顯示有關擷取清單的摘要以階梯式通訊協定列表顯示所擷取的所有封包
在特定 IP間顯示通訊流量顯示單一 IP 來往封包的流量
以時間軸顯示視覺化封包流量圖2-89
網路安全
bull 可查看到一時段內其封包總數與平均每秒傳遞接收封包數等相關資訊讓使用者了解平均一時段內網路流量狀況藉以初步獲得資訊
Wireshark操作手法 - 檢視中過濾 (續 )
2-90
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 讓使用者可透過階梯式封包分類表來查看哪一類封包佔為居多可進一步推測是否該類型封包影響到整體網路或是否有異常或不常見封包類型在網路中傳遞
2-91
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 將該擷取時段內封包清單檔以兩個特定 IP 之間對傳封包為區隔顯示出哪兩個特定 IP間傳遞封包數多寡bull 可讓使用者更進一步研判兩個特定 IP所屬設備傳遞狀況是否異常
2-92
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 將該擷取時段內封包清單檔以特定IP 傳遞封包數為區隔顯示出哪特定IP 傳遞封包數多寡
bull 可讓使用者更進一步研判該特定所屬設備傳遞封包數是否異常作為管制緊急管制或禁止通訊之證明2-93
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 以時間軸顯示視覺化封包流量圖bull 讓使用者可觀察所管理設備資訊流通量以了解設備是否能負荷或作相關調整等處置
2-94
網路安全
FTP 擷取密碼案例bull 於Wireshark軟體選擇 Capture 下拉選單功能項點選 Interfaces 選項
2-95
網路安全
FTP 擷取密碼案例 (續 )
bull 確認欲擷取封包之網卡名稱如紅色底線所示確認後點選 Start鈕
2-96
網路安全
FTP 擷取密碼案例 (續 )
bull 切換至 FTP Client 電腦開啟 FileZilla 程式後連線到 FTP Server 於 Host 填入10123 Username填入 tester Password填入testpw 後點選 Quickconnect鈕
2-97
網路安全
FTP 擷取密碼案例 (續 )
bull 擷取到的封包資訊會顯示於已擷取封包清單窗格內
2-98
網路安全
FTP 擷取密碼案例 (續 )
bull 使用 FTP軟體登入 ftp站後 Wireshark 將擷取到的使用者名稱與密碼如紅框所示
2-99
網路安全
FTP 擷取密碼案例 (續 )
bull 點選已擷取封包清單窗格的密碼資訊列如標示1 的紅框所示即可在封包內容窗格看到該密碼的位元碼如標示 2 的紅框所示
1
2
2-100
網路安全
架設實作 (三 )
Outlook Express 擷取密碼案例
2-101
網路安全
實驗環境介紹bull 以 Testbed建立一實驗相關拓樸及設定如下圖
OEClientOSWindows XP SP3IP 10112執行 Outlook Express
MailServerOSWindows XP SP3IP 10122安裝軟體 ArGoSoft Mail Server
2-102
WiresharkOSWindows XP SP3IP1 10113 IP2 10123安裝軟體 Wireshark
IP1IP2
網路安全
實驗拓樸 on TestbedTWISC- 建立完成的實驗拓樸
2-103
網路安全
郵件伺服器工具 - ArGoSoft Mail Server
bull 版本ndash 1892 Freeware
bull 支援作業平台ndash Windows
bull 下載位址ndash httpwwwsoftkingcomtwsoftdownloadaspfid3=7367
2-104
網路安全
郵件客戶端工具 - Outlook Express
bull 版本ndash 60
bull 支援作業平台ndash Windows
bull 下載位址ndash Windows 內建
2-105
網路安全
bull 安裝及設定郵件伺服器ndash 1下載並執行 ArGoSoft Mail Server軟體點選
Setup鈕
Outlook Express 擷取密碼案例
2-106
網路安全
ndash 1 點選 Next鈕ndash 2 點選 Start Installation鈕
Outlook Express 擷取密碼案例 (續 )
2-107
網路安全
ndash 3 點選 OK鈕ndash 4 點選 Finish鈕完成軟體安裝
Outlook Express 擷取密碼案例 (續 )
2-108
網路安全
ndash 5 點選使用者設定鈕如紅圈所示ndash 6 點選新增鈕如紅框所示
Outlook Express 擷取密碼案例 (續 )
2-109
網路安全
ndash 7填入使用者名稱 (tester) 及密碼 (testpw) 如紅圈所示填寫完成後點選 OK鈕ndash 8 點選 Close鈕關閉使用者設定視窗
Outlook Express 擷取密碼案例 (續 )
2-110
網路安全
ndash 9 點選選項鈕如左側圖中紅色圈所示ndash 10 點選紅色打勾鈕如右側圖中紅色圈所示
2-111
Outlook Express 擷取密碼案例 (續 )
網路安全
ndash 11該軟體會自動選取 DNS Server 待選取後點選 Yes鈕ndash 12 勾選 Allow Relay 選項如紅框所示
2-112
Outlook Express 擷取密碼案例 (續 )
網路安全
Outlook Express 擷取密碼案例 (續 )
bull 設定收信帳號ndash 1 點選 Tools功能選單選擇 Accounts 選項
2-113
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 2 點選 Add鈕選擇 Mail 選項
2-114
網路安全
ndash 3填入 tester 點選 Next鈕ndash 4填入 testertestcom 點選 Next鈕
Outlook Express 擷取密碼案例 (續 )
2-115
網路安全
ndash 5填入 10123 如紅框所示點選 Next鈕ndash 6填入帳號為 tester 及密碼為 testpw 點選 Next鈕
Outlook Express 擷取密碼案例 (續 )
2-116
網路安全
ndash 7 點選 Finish鈕ndash 8 點選 Close鈕
Outlook Express 擷取密碼案例 (續 )
2-117
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 模擬條件準備好後首先準備Wireshark 擷取動作開啟Wireshark
2-118
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 於Wireshark軟體選擇 Capture 下拉選單功能項點選 Interfaces 選項
2-119
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 確認欲擷取封包之網卡名稱如紅色底線所示確認後點選 Start鈕
2-120
網路安全
ndash 當使用者收發 email 時即被 Wireshark攔截封包ndash 有發現到該 Outlook Express帳號密碼是如此清晰可見的嗎
Outlook Express 擷取密碼案例 (續 )
2-121
網路安全
結論bull 學習了 Wireshark及WinDump 兩套網路封包擷取軟體基本概念如同電話側錄概念相同從中複製一連串資訊來分析與了解網路的流量及內容為何bull 當你發現網路速度緩慢等狀況你是否會反應到所學的基本概念來找尋問題所在bull 防範概念由此課程的實例可以了解網路內容如被有心人士擷取所造成的損失相當可觀故你是否有對策有哪些方式你可以應用來防範bull 正確的思考善用對的工具將對解決問題事半功倍
2-122
網路安全 2-123
Module 2-5 封包擷取與分析的專案實作()
網路安全
專案目的bull 建立遠端管理傳遞指令資訊環境bull 利用實際攔截封包操作的方式讓同學了解封包擷取運作與網路資訊流通的顧慮等相關議題
2-124
網路安全
專案描述bull 近年來遠端管理伺服器及網路服務普及光是密碼保護就足夠了嗎是否重點網段須全程加密還是作網段隔離經由此專案實作即可了解不僅部分加密仍有其風險所在網路架構如何規劃將是非常重要的課題bull 參考環境配置圖完成下列要求①環境裡的攔截封包主機是 Windows XP SP3 作業系統而該主機安裝Wireshark軟體②另兩台主機的作業系統亦是 Windows XP SP3 並裝上
MySQL軟體 MySQL帳號為 root 密碼為您的學號 (如 Q3896105)
③在MySQLClient 電腦使用 MySQL Commandline 指令連線至MySQLServer 擷取資料庫資訊
④我們針對這兩台主機傳訊的封包擷取由整個實做中思考如何防範資訊外洩與了解傳訊封包如何流動及運作2-125
網路安全
環境配置圖bull 以 Testbed建立一實驗相關拓樸及設定如下圖
MySQLServerOSWINXP-SP3-CH-pc3000 IP 10123安裝軟體 MySQL
MySQLClientOSWINXP-SP3-CH-pc3000 IP 10112安裝軟體 MySQL
2-126
WireSharkOSWINXP-SP3-CH-pc3000 IP1 10113IP2 10122安裝軟體 Wireshark
IP1IP2
網路安全
作業繳交bull 請參考情境測試發送數個 SQL 指令並將過程與擷取到的封包資訊之截圖列於報告中所有圖表皆需要輔以文字說明bull Deadline 2012312 下午 500 以前bull 作業範圍 Module 2-5 (page 2-128)bull 方式 (參考課程網址 )
ndash 帳號密碼小寫的 (ns100ns100)ndash IP 140116164167
2-127
網路安全
有問題嗎
bull 關於 TestBed 使用上的問題請直接 Email至 twisc-testbed-usergooglegroupscom 將有專人為您服務bull 課程網址
httpitlabeenckuedutwcoursesNS_100indexhtml
2-128
bull 助教資訊 (參考課程網址 )
網路安全
參考資料bull Dienet httplinuxdienetman1wiresharkbull Orebaugh Angela Ramirez Gilbert Burke Josh Pesce Larry Wright
Joshua(2007) Wireshark and Ethereal network protocol analyzer toolkitbull Tony Fortunato(2007) Wireshark Training Retrieved July 22 2009 from
the World Wide Web httpwwwthetechfirmcometherealwiresharkpdfbull WinDump httpwwwwinpcaporgWinDumpbull Wireshark httpwwwwiresharkorgbull Wireshark University httpwwwwiresharktrainingcombull 楊中皇 (民 97年 ) 網路安全理論與實務 (2版 ) 台北市學貫bull 蘇淑茵教授 Wireshark 民國 98年 6月 28日取自 httpmywebnckuedutw~sisou
2-129
網路安全
Filezilla 安裝步驟 (續 )
bull 以預設值安裝點選 Next 鈕後再點選 Finish 鈕
2-65
網路安全
封包擷取工具 - Wireshark
bull 版本ndash 165
bull 支援作業平台ndash Windows Linux及 FreeBSD
bull 其他需求ndash 安裝WinPcap 31 以上版本
bull 下載位址ndash httpwiresharkdownloadsriverbedcomwireshark
win32wireshark-win32-165exe
2-66
網路安全
Wireshark 安裝步驟bull 至官方網站下載Windows平台最新版本檔案下載完成後執行該安裝程式
2-67
網路安全
Wireshark 安裝步驟 (續 )
bull 於下一步出現的版權宣告點選 I Agree鈕後繼續下一步驟
2-68
網路安全
Wireshark 安裝步驟 (續 )
bull 此步驟選擇欲安裝的元件以軟體預設勾選之項目安裝
2-69
網路安全
Wireshark 安裝步驟 (續 )
bull 此步驟使用預設路徑即可
2-70
網路安全
Wireshark 安裝步驟 (續 )
bull 此步驟將安裝Windows平台須加裝之套件 -WinPcap 若原系統未安裝過 WinPcap套件請以軟體預設項目安裝之
2-71
網路安全
Wireshark 安裝步驟 (續 )
bull 此步驟代表 Wireshark軟體已安裝完成可點選Finish 鈕或勾選 Run Wireshark 165 隨即使用該套軟體
2-72
網路安全
一般工具列Wireshark軟體介面介紹
2-73
篩選工具列封包清單窗格
封包內容窗格封包位元組窗格
網路安全
Wireshark 使用思考方向bull 遇到網路問題是否觀察網路通道中有異常動作或狀況
ndash 思考方向ndash 反應到擷取數據方法那麼以 Wireshark 擷取使用者需要擷取哪些數據這些數據由使用者電腦哪個裝置來擷取
bull Wireshark操作流程
bull 接下來我們進行軟體操作介紹
解決問題 擷取數據要先做什麼
擷取數據 擷取哪些數據( 過濾條件 )數據哪裡來( 網路介面卡 )
2-74
網路安全
數據哪裡來 - Capture功能bull 一開啟方式
ndash 1 點選快速鈕如紅色圈所示ndash 2 點選 Capture功能表 下拉選單後點選 Optionsndash 3鍵盤快速鍵 Ctrl + K
2-75
網路安全
數據哪裡來 - Capture功能 (續 )
bull 二開啟後顯示 Capture Options 的視窗畫面即可看到所提供的擷取功能選項
2-76
網路安全
數據哪裡來 - Capture功能 (續 )
bull Capture Options 常用的欄位設定ndash Caputure 框
bull 1Interface 會顯示出在系統上所有網路卡但只能選取一個介面作為封包擷取bull 2Capture packets in promiscuous mode 選取此選項就是經過所選取的網路卡的所有封包都會被擷取下來bull 3Capture Filter 指定擷取過濾器運算式擷取想要的特定封包即為擷取中過濾之功能
2-77
網路安全
數據哪裡來 - Capture功能 (續 )
bull Capture Options 常用的欄位設定ndash Display Options 框
bull Update list of packets in real time 指定在擷取封包過程中能夠即時更新已擷取封包清單窗格視窗中的封包資訊若取消則軟體主視窗更新畫面是沒有動作的
2-78
網路安全
bull Capture Options 常用的欄位設定ndash Name Resolution框
bull 1 Enable MAC name resolution 指定是否將網路卡MAC address 的前三個位元組轉換成製造商名稱
bull 2 Enable network name resolution 指定是否將 IP address轉換成 DNS 網域名稱
bull 3 Enable transport name resolution 指定是否將通信埠號碼 (port numbers)轉成協定名稱 (protocols)bull 各位了解數據從哪裡擷取的概念與操作之後即可以進一步加上附帶條件 (篩選條件 ) 等相關操作方式
數據哪裡來 - Capture功能 (續 )
2-79
網路安全
Wireshark操作手法bull 延續遇到問題的思考方向及軟體操作手法我們可以將操作流程分為兩種
ndash 擷取中過濾 (Filter while capturing)bull 優點僅擷取已知範圍資訊網路流量少bull 缺點需先了解問題類型避免可能有遺漏真正欲擷取資訊之狀況
ndash 檢視中過濾 (Filter packets while viewing)bull 優點不用先預設條件擷取所有封包資訊bull 缺點影響網路流量
先預設欲擷取條件 擷取數據
擷取數據 再篩選欲查詢數據2-80
網路安全
Wireshark操作手法 - 擷取中過濾bull 操作步驟
ndash 點選 Capture 下拉視窗選擇 Capture Filters 即呈現此視窗
bull 操作範例ndash 1於 Filter窗格中選擇 IP
Address 10112ndash 2於 Properties窗格中即顯示該選項的設定值如圖所示為 host 10112ndash 3 即可設定軟體僅針對
10112 的封包作擷取動作 延伸操作思考1 改變 Filter string 值得到什麼結果2 點選 Edit 窗格中的 New 鈕 新增自訂條件 2-81
網路安全
Wireshark操作手法 - 檢視中過濾bull 此步驟即以已擷取封包清單窗格為基礎以過濾條件過濾該清單bull 可直接選擇軟體預設項目如以下操作
ndash 操作步驟bull 點選 Analyze 下拉視窗選擇
Display Filters 即呈現此視窗ndash 操作範例
bull 1於 Filter窗格中選擇 IP Address 10112
bull 2於 Properties窗格中即顯示該選項的設定值如圖所示值為host 10112
bull 3 即可設定軟體僅針對 10112的封包作顯示動作 延伸操作思考1 可否進行進一步自訂設定值
2-82
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 若電腦 IP為 10112 欲篩選出 IP 來源為上述 IP 且協定為 TCP 80port 的所有封包ndash 操作步驟
bull 點選 Expression鈕即出現此視窗ndash 1於 Field name框選擇
IP項目中的 ipsrc - Source
ndash 2於 Relation框選擇 ==ndash 3於 Value [IPV4
address]填 入 10112ndash 4 點選 OK鈕 進階思考方式須考慮到例如是來源資訊是目標資訊是什麼協定等更細部所要之條件
2-83
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 再進行第二篩選條件ndash TCP 80 port
bull 操作步驟ndash 1先於 Filter string 輸入文字框「 ipsrc==
10112」後再加上一個空格及「 and 」再進行一次 Expression條件選擇
2-84
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
ndash 2於 Field name框選擇「 tcpdstport」ndash 3於 Relation框選擇「 ==」ndash 4於 Value框填入「 80」ndash 5 選擇「 OK」鈕
2-85
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 注意 Propeties框內的Filter string欄位值已改變為「 ipsrc == 10112 and tcpdstport == 80」
bull 確認條件正確後點選「 OK 」鈕即可發現已擷取封包清單窗格的項目均為所設定過濾條件過濾過結果2-86
網路安全
bull 可單選單一封包進行更進階查詢封包內容bull 操作方式為
ndash 點選其中一項封包項目點選滑鼠右鍵選擇Follow TCP Stream
Wireshark操作手法 - 檢視中過濾 (續 )
2-87
網路安全
ndash 此畫面即可看出該項 TCP 封包溝通內容Wireshark操作手法 - 檢視中過濾 (續 )
2-88
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 此功能將所擷取的封包清單使用多種方式呈現封包統計資料便於使用者查詢擷取時間內何種封包數量多寡及圖型顯示bull 操作步驟點選 Statistics 下拉視窗即呈現此視窗 顯示有關擷取清單的摘要以階梯式通訊協定列表顯示所擷取的所有封包
在特定 IP間顯示通訊流量顯示單一 IP 來往封包的流量
以時間軸顯示視覺化封包流量圖2-89
網路安全
bull 可查看到一時段內其封包總數與平均每秒傳遞接收封包數等相關資訊讓使用者了解平均一時段內網路流量狀況藉以初步獲得資訊
Wireshark操作手法 - 檢視中過濾 (續 )
2-90
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 讓使用者可透過階梯式封包分類表來查看哪一類封包佔為居多可進一步推測是否該類型封包影響到整體網路或是否有異常或不常見封包類型在網路中傳遞
2-91
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 將該擷取時段內封包清單檔以兩個特定 IP 之間對傳封包為區隔顯示出哪兩個特定 IP間傳遞封包數多寡bull 可讓使用者更進一步研判兩個特定 IP所屬設備傳遞狀況是否異常
2-92
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 將該擷取時段內封包清單檔以特定IP 傳遞封包數為區隔顯示出哪特定IP 傳遞封包數多寡
bull 可讓使用者更進一步研判該特定所屬設備傳遞封包數是否異常作為管制緊急管制或禁止通訊之證明2-93
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 以時間軸顯示視覺化封包流量圖bull 讓使用者可觀察所管理設備資訊流通量以了解設備是否能負荷或作相關調整等處置
2-94
網路安全
FTP 擷取密碼案例bull 於Wireshark軟體選擇 Capture 下拉選單功能項點選 Interfaces 選項
2-95
網路安全
FTP 擷取密碼案例 (續 )
bull 確認欲擷取封包之網卡名稱如紅色底線所示確認後點選 Start鈕
2-96
網路安全
FTP 擷取密碼案例 (續 )
bull 切換至 FTP Client 電腦開啟 FileZilla 程式後連線到 FTP Server 於 Host 填入10123 Username填入 tester Password填入testpw 後點選 Quickconnect鈕
2-97
網路安全
FTP 擷取密碼案例 (續 )
bull 擷取到的封包資訊會顯示於已擷取封包清單窗格內
2-98
網路安全
FTP 擷取密碼案例 (續 )
bull 使用 FTP軟體登入 ftp站後 Wireshark 將擷取到的使用者名稱與密碼如紅框所示
2-99
網路安全
FTP 擷取密碼案例 (續 )
bull 點選已擷取封包清單窗格的密碼資訊列如標示1 的紅框所示即可在封包內容窗格看到該密碼的位元碼如標示 2 的紅框所示
1
2
2-100
網路安全
架設實作 (三 )
Outlook Express 擷取密碼案例
2-101
網路安全
實驗環境介紹bull 以 Testbed建立一實驗相關拓樸及設定如下圖
OEClientOSWindows XP SP3IP 10112執行 Outlook Express
MailServerOSWindows XP SP3IP 10122安裝軟體 ArGoSoft Mail Server
2-102
WiresharkOSWindows XP SP3IP1 10113 IP2 10123安裝軟體 Wireshark
IP1IP2
網路安全
實驗拓樸 on TestbedTWISC- 建立完成的實驗拓樸
2-103
網路安全
郵件伺服器工具 - ArGoSoft Mail Server
bull 版本ndash 1892 Freeware
bull 支援作業平台ndash Windows
bull 下載位址ndash httpwwwsoftkingcomtwsoftdownloadaspfid3=7367
2-104
網路安全
郵件客戶端工具 - Outlook Express
bull 版本ndash 60
bull 支援作業平台ndash Windows
bull 下載位址ndash Windows 內建
2-105
網路安全
bull 安裝及設定郵件伺服器ndash 1下載並執行 ArGoSoft Mail Server軟體點選
Setup鈕
Outlook Express 擷取密碼案例
2-106
網路安全
ndash 1 點選 Next鈕ndash 2 點選 Start Installation鈕
Outlook Express 擷取密碼案例 (續 )
2-107
網路安全
ndash 3 點選 OK鈕ndash 4 點選 Finish鈕完成軟體安裝
Outlook Express 擷取密碼案例 (續 )
2-108
網路安全
ndash 5 點選使用者設定鈕如紅圈所示ndash 6 點選新增鈕如紅框所示
Outlook Express 擷取密碼案例 (續 )
2-109
網路安全
ndash 7填入使用者名稱 (tester) 及密碼 (testpw) 如紅圈所示填寫完成後點選 OK鈕ndash 8 點選 Close鈕關閉使用者設定視窗
Outlook Express 擷取密碼案例 (續 )
2-110
網路安全
ndash 9 點選選項鈕如左側圖中紅色圈所示ndash 10 點選紅色打勾鈕如右側圖中紅色圈所示
2-111
Outlook Express 擷取密碼案例 (續 )
網路安全
ndash 11該軟體會自動選取 DNS Server 待選取後點選 Yes鈕ndash 12 勾選 Allow Relay 選項如紅框所示
2-112
Outlook Express 擷取密碼案例 (續 )
網路安全
Outlook Express 擷取密碼案例 (續 )
bull 設定收信帳號ndash 1 點選 Tools功能選單選擇 Accounts 選項
2-113
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 2 點選 Add鈕選擇 Mail 選項
2-114
網路安全
ndash 3填入 tester 點選 Next鈕ndash 4填入 testertestcom 點選 Next鈕
Outlook Express 擷取密碼案例 (續 )
2-115
網路安全
ndash 5填入 10123 如紅框所示點選 Next鈕ndash 6填入帳號為 tester 及密碼為 testpw 點選 Next鈕
Outlook Express 擷取密碼案例 (續 )
2-116
網路安全
ndash 7 點選 Finish鈕ndash 8 點選 Close鈕
Outlook Express 擷取密碼案例 (續 )
2-117
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 模擬條件準備好後首先準備Wireshark 擷取動作開啟Wireshark
2-118
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 於Wireshark軟體選擇 Capture 下拉選單功能項點選 Interfaces 選項
2-119
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 確認欲擷取封包之網卡名稱如紅色底線所示確認後點選 Start鈕
2-120
網路安全
ndash 當使用者收發 email 時即被 Wireshark攔截封包ndash 有發現到該 Outlook Express帳號密碼是如此清晰可見的嗎
Outlook Express 擷取密碼案例 (續 )
2-121
網路安全
結論bull 學習了 Wireshark及WinDump 兩套網路封包擷取軟體基本概念如同電話側錄概念相同從中複製一連串資訊來分析與了解網路的流量及內容為何bull 當你發現網路速度緩慢等狀況你是否會反應到所學的基本概念來找尋問題所在bull 防範概念由此課程的實例可以了解網路內容如被有心人士擷取所造成的損失相當可觀故你是否有對策有哪些方式你可以應用來防範bull 正確的思考善用對的工具將對解決問題事半功倍
2-122
網路安全 2-123
Module 2-5 封包擷取與分析的專案實作()
網路安全
專案目的bull 建立遠端管理傳遞指令資訊環境bull 利用實際攔截封包操作的方式讓同學了解封包擷取運作與網路資訊流通的顧慮等相關議題
2-124
網路安全
專案描述bull 近年來遠端管理伺服器及網路服務普及光是密碼保護就足夠了嗎是否重點網段須全程加密還是作網段隔離經由此專案實作即可了解不僅部分加密仍有其風險所在網路架構如何規劃將是非常重要的課題bull 參考環境配置圖完成下列要求①環境裡的攔截封包主機是 Windows XP SP3 作業系統而該主機安裝Wireshark軟體②另兩台主機的作業系統亦是 Windows XP SP3 並裝上
MySQL軟體 MySQL帳號為 root 密碼為您的學號 (如 Q3896105)
③在MySQLClient 電腦使用 MySQL Commandline 指令連線至MySQLServer 擷取資料庫資訊
④我們針對這兩台主機傳訊的封包擷取由整個實做中思考如何防範資訊外洩與了解傳訊封包如何流動及運作2-125
網路安全
環境配置圖bull 以 Testbed建立一實驗相關拓樸及設定如下圖
MySQLServerOSWINXP-SP3-CH-pc3000 IP 10123安裝軟體 MySQL
MySQLClientOSWINXP-SP3-CH-pc3000 IP 10112安裝軟體 MySQL
2-126
WireSharkOSWINXP-SP3-CH-pc3000 IP1 10113IP2 10122安裝軟體 Wireshark
IP1IP2
網路安全
作業繳交bull 請參考情境測試發送數個 SQL 指令並將過程與擷取到的封包資訊之截圖列於報告中所有圖表皆需要輔以文字說明bull Deadline 2012312 下午 500 以前bull 作業範圍 Module 2-5 (page 2-128)bull 方式 (參考課程網址 )
ndash 帳號密碼小寫的 (ns100ns100)ndash IP 140116164167
2-127
網路安全
有問題嗎
bull 關於 TestBed 使用上的問題請直接 Email至 twisc-testbed-usergooglegroupscom 將有專人為您服務bull 課程網址
httpitlabeenckuedutwcoursesNS_100indexhtml
2-128
bull 助教資訊 (參考課程網址 )
網路安全
參考資料bull Dienet httplinuxdienetman1wiresharkbull Orebaugh Angela Ramirez Gilbert Burke Josh Pesce Larry Wright
Joshua(2007) Wireshark and Ethereal network protocol analyzer toolkitbull Tony Fortunato(2007) Wireshark Training Retrieved July 22 2009 from
the World Wide Web httpwwwthetechfirmcometherealwiresharkpdfbull WinDump httpwwwwinpcaporgWinDumpbull Wireshark httpwwwwiresharkorgbull Wireshark University httpwwwwiresharktrainingcombull 楊中皇 (民 97年 ) 網路安全理論與實務 (2版 ) 台北市學貫bull 蘇淑茵教授 Wireshark 民國 98年 6月 28日取自 httpmywebnckuedutw~sisou
2-129
網路安全
封包擷取工具 - Wireshark
bull 版本ndash 165
bull 支援作業平台ndash Windows Linux及 FreeBSD
bull 其他需求ndash 安裝WinPcap 31 以上版本
bull 下載位址ndash httpwiresharkdownloadsriverbedcomwireshark
win32wireshark-win32-165exe
2-66
網路安全
Wireshark 安裝步驟bull 至官方網站下載Windows平台最新版本檔案下載完成後執行該安裝程式
2-67
網路安全
Wireshark 安裝步驟 (續 )
bull 於下一步出現的版權宣告點選 I Agree鈕後繼續下一步驟
2-68
網路安全
Wireshark 安裝步驟 (續 )
bull 此步驟選擇欲安裝的元件以軟體預設勾選之項目安裝
2-69
網路安全
Wireshark 安裝步驟 (續 )
bull 此步驟使用預設路徑即可
2-70
網路安全
Wireshark 安裝步驟 (續 )
bull 此步驟將安裝Windows平台須加裝之套件 -WinPcap 若原系統未安裝過 WinPcap套件請以軟體預設項目安裝之
2-71
網路安全
Wireshark 安裝步驟 (續 )
bull 此步驟代表 Wireshark軟體已安裝完成可點選Finish 鈕或勾選 Run Wireshark 165 隨即使用該套軟體
2-72
網路安全
一般工具列Wireshark軟體介面介紹
2-73
篩選工具列封包清單窗格
封包內容窗格封包位元組窗格
網路安全
Wireshark 使用思考方向bull 遇到網路問題是否觀察網路通道中有異常動作或狀況
ndash 思考方向ndash 反應到擷取數據方法那麼以 Wireshark 擷取使用者需要擷取哪些數據這些數據由使用者電腦哪個裝置來擷取
bull Wireshark操作流程
bull 接下來我們進行軟體操作介紹
解決問題 擷取數據要先做什麼
擷取數據 擷取哪些數據( 過濾條件 )數據哪裡來( 網路介面卡 )
2-74
網路安全
數據哪裡來 - Capture功能bull 一開啟方式
ndash 1 點選快速鈕如紅色圈所示ndash 2 點選 Capture功能表 下拉選單後點選 Optionsndash 3鍵盤快速鍵 Ctrl + K
2-75
網路安全
數據哪裡來 - Capture功能 (續 )
bull 二開啟後顯示 Capture Options 的視窗畫面即可看到所提供的擷取功能選項
2-76
網路安全
數據哪裡來 - Capture功能 (續 )
bull Capture Options 常用的欄位設定ndash Caputure 框
bull 1Interface 會顯示出在系統上所有網路卡但只能選取一個介面作為封包擷取bull 2Capture packets in promiscuous mode 選取此選項就是經過所選取的網路卡的所有封包都會被擷取下來bull 3Capture Filter 指定擷取過濾器運算式擷取想要的特定封包即為擷取中過濾之功能
2-77
網路安全
數據哪裡來 - Capture功能 (續 )
bull Capture Options 常用的欄位設定ndash Display Options 框
bull Update list of packets in real time 指定在擷取封包過程中能夠即時更新已擷取封包清單窗格視窗中的封包資訊若取消則軟體主視窗更新畫面是沒有動作的
2-78
網路安全
bull Capture Options 常用的欄位設定ndash Name Resolution框
bull 1 Enable MAC name resolution 指定是否將網路卡MAC address 的前三個位元組轉換成製造商名稱
bull 2 Enable network name resolution 指定是否將 IP address轉換成 DNS 網域名稱
bull 3 Enable transport name resolution 指定是否將通信埠號碼 (port numbers)轉成協定名稱 (protocols)bull 各位了解數據從哪裡擷取的概念與操作之後即可以進一步加上附帶條件 (篩選條件 ) 等相關操作方式
數據哪裡來 - Capture功能 (續 )
2-79
網路安全
Wireshark操作手法bull 延續遇到問題的思考方向及軟體操作手法我們可以將操作流程分為兩種
ndash 擷取中過濾 (Filter while capturing)bull 優點僅擷取已知範圍資訊網路流量少bull 缺點需先了解問題類型避免可能有遺漏真正欲擷取資訊之狀況
ndash 檢視中過濾 (Filter packets while viewing)bull 優點不用先預設條件擷取所有封包資訊bull 缺點影響網路流量
先預設欲擷取條件 擷取數據
擷取數據 再篩選欲查詢數據2-80
網路安全
Wireshark操作手法 - 擷取中過濾bull 操作步驟
ndash 點選 Capture 下拉視窗選擇 Capture Filters 即呈現此視窗
bull 操作範例ndash 1於 Filter窗格中選擇 IP
Address 10112ndash 2於 Properties窗格中即顯示該選項的設定值如圖所示為 host 10112ndash 3 即可設定軟體僅針對
10112 的封包作擷取動作 延伸操作思考1 改變 Filter string 值得到什麼結果2 點選 Edit 窗格中的 New 鈕 新增自訂條件 2-81
網路安全
Wireshark操作手法 - 檢視中過濾bull 此步驟即以已擷取封包清單窗格為基礎以過濾條件過濾該清單bull 可直接選擇軟體預設項目如以下操作
ndash 操作步驟bull 點選 Analyze 下拉視窗選擇
Display Filters 即呈現此視窗ndash 操作範例
bull 1於 Filter窗格中選擇 IP Address 10112
bull 2於 Properties窗格中即顯示該選項的設定值如圖所示值為host 10112
bull 3 即可設定軟體僅針對 10112的封包作顯示動作 延伸操作思考1 可否進行進一步自訂設定值
2-82
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 若電腦 IP為 10112 欲篩選出 IP 來源為上述 IP 且協定為 TCP 80port 的所有封包ndash 操作步驟
bull 點選 Expression鈕即出現此視窗ndash 1於 Field name框選擇
IP項目中的 ipsrc - Source
ndash 2於 Relation框選擇 ==ndash 3於 Value [IPV4
address]填 入 10112ndash 4 點選 OK鈕 進階思考方式須考慮到例如是來源資訊是目標資訊是什麼協定等更細部所要之條件
2-83
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 再進行第二篩選條件ndash TCP 80 port
bull 操作步驟ndash 1先於 Filter string 輸入文字框「 ipsrc==
10112」後再加上一個空格及「 and 」再進行一次 Expression條件選擇
2-84
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
ndash 2於 Field name框選擇「 tcpdstport」ndash 3於 Relation框選擇「 ==」ndash 4於 Value框填入「 80」ndash 5 選擇「 OK」鈕
2-85
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 注意 Propeties框內的Filter string欄位值已改變為「 ipsrc == 10112 and tcpdstport == 80」
bull 確認條件正確後點選「 OK 」鈕即可發現已擷取封包清單窗格的項目均為所設定過濾條件過濾過結果2-86
網路安全
bull 可單選單一封包進行更進階查詢封包內容bull 操作方式為
ndash 點選其中一項封包項目點選滑鼠右鍵選擇Follow TCP Stream
Wireshark操作手法 - 檢視中過濾 (續 )
2-87
網路安全
ndash 此畫面即可看出該項 TCP 封包溝通內容Wireshark操作手法 - 檢視中過濾 (續 )
2-88
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 此功能將所擷取的封包清單使用多種方式呈現封包統計資料便於使用者查詢擷取時間內何種封包數量多寡及圖型顯示bull 操作步驟點選 Statistics 下拉視窗即呈現此視窗 顯示有關擷取清單的摘要以階梯式通訊協定列表顯示所擷取的所有封包
在特定 IP間顯示通訊流量顯示單一 IP 來往封包的流量
以時間軸顯示視覺化封包流量圖2-89
網路安全
bull 可查看到一時段內其封包總數與平均每秒傳遞接收封包數等相關資訊讓使用者了解平均一時段內網路流量狀況藉以初步獲得資訊
Wireshark操作手法 - 檢視中過濾 (續 )
2-90
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 讓使用者可透過階梯式封包分類表來查看哪一類封包佔為居多可進一步推測是否該類型封包影響到整體網路或是否有異常或不常見封包類型在網路中傳遞
2-91
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 將該擷取時段內封包清單檔以兩個特定 IP 之間對傳封包為區隔顯示出哪兩個特定 IP間傳遞封包數多寡bull 可讓使用者更進一步研判兩個特定 IP所屬設備傳遞狀況是否異常
2-92
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 將該擷取時段內封包清單檔以特定IP 傳遞封包數為區隔顯示出哪特定IP 傳遞封包數多寡
bull 可讓使用者更進一步研判該特定所屬設備傳遞封包數是否異常作為管制緊急管制或禁止通訊之證明2-93
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 以時間軸顯示視覺化封包流量圖bull 讓使用者可觀察所管理設備資訊流通量以了解設備是否能負荷或作相關調整等處置
2-94
網路安全
FTP 擷取密碼案例bull 於Wireshark軟體選擇 Capture 下拉選單功能項點選 Interfaces 選項
2-95
網路安全
FTP 擷取密碼案例 (續 )
bull 確認欲擷取封包之網卡名稱如紅色底線所示確認後點選 Start鈕
2-96
網路安全
FTP 擷取密碼案例 (續 )
bull 切換至 FTP Client 電腦開啟 FileZilla 程式後連線到 FTP Server 於 Host 填入10123 Username填入 tester Password填入testpw 後點選 Quickconnect鈕
2-97
網路安全
FTP 擷取密碼案例 (續 )
bull 擷取到的封包資訊會顯示於已擷取封包清單窗格內
2-98
網路安全
FTP 擷取密碼案例 (續 )
bull 使用 FTP軟體登入 ftp站後 Wireshark 將擷取到的使用者名稱與密碼如紅框所示
2-99
網路安全
FTP 擷取密碼案例 (續 )
bull 點選已擷取封包清單窗格的密碼資訊列如標示1 的紅框所示即可在封包內容窗格看到該密碼的位元碼如標示 2 的紅框所示
1
2
2-100
網路安全
架設實作 (三 )
Outlook Express 擷取密碼案例
2-101
網路安全
實驗環境介紹bull 以 Testbed建立一實驗相關拓樸及設定如下圖
OEClientOSWindows XP SP3IP 10112執行 Outlook Express
MailServerOSWindows XP SP3IP 10122安裝軟體 ArGoSoft Mail Server
2-102
WiresharkOSWindows XP SP3IP1 10113 IP2 10123安裝軟體 Wireshark
IP1IP2
網路安全
實驗拓樸 on TestbedTWISC- 建立完成的實驗拓樸
2-103
網路安全
郵件伺服器工具 - ArGoSoft Mail Server
bull 版本ndash 1892 Freeware
bull 支援作業平台ndash Windows
bull 下載位址ndash httpwwwsoftkingcomtwsoftdownloadaspfid3=7367
2-104
網路安全
郵件客戶端工具 - Outlook Express
bull 版本ndash 60
bull 支援作業平台ndash Windows
bull 下載位址ndash Windows 內建
2-105
網路安全
bull 安裝及設定郵件伺服器ndash 1下載並執行 ArGoSoft Mail Server軟體點選
Setup鈕
Outlook Express 擷取密碼案例
2-106
網路安全
ndash 1 點選 Next鈕ndash 2 點選 Start Installation鈕
Outlook Express 擷取密碼案例 (續 )
2-107
網路安全
ndash 3 點選 OK鈕ndash 4 點選 Finish鈕完成軟體安裝
Outlook Express 擷取密碼案例 (續 )
2-108
網路安全
ndash 5 點選使用者設定鈕如紅圈所示ndash 6 點選新增鈕如紅框所示
Outlook Express 擷取密碼案例 (續 )
2-109
網路安全
ndash 7填入使用者名稱 (tester) 及密碼 (testpw) 如紅圈所示填寫完成後點選 OK鈕ndash 8 點選 Close鈕關閉使用者設定視窗
Outlook Express 擷取密碼案例 (續 )
2-110
網路安全
ndash 9 點選選項鈕如左側圖中紅色圈所示ndash 10 點選紅色打勾鈕如右側圖中紅色圈所示
2-111
Outlook Express 擷取密碼案例 (續 )
網路安全
ndash 11該軟體會自動選取 DNS Server 待選取後點選 Yes鈕ndash 12 勾選 Allow Relay 選項如紅框所示
2-112
Outlook Express 擷取密碼案例 (續 )
網路安全
Outlook Express 擷取密碼案例 (續 )
bull 設定收信帳號ndash 1 點選 Tools功能選單選擇 Accounts 選項
2-113
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 2 點選 Add鈕選擇 Mail 選項
2-114
網路安全
ndash 3填入 tester 點選 Next鈕ndash 4填入 testertestcom 點選 Next鈕
Outlook Express 擷取密碼案例 (續 )
2-115
網路安全
ndash 5填入 10123 如紅框所示點選 Next鈕ndash 6填入帳號為 tester 及密碼為 testpw 點選 Next鈕
Outlook Express 擷取密碼案例 (續 )
2-116
網路安全
ndash 7 點選 Finish鈕ndash 8 點選 Close鈕
Outlook Express 擷取密碼案例 (續 )
2-117
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 模擬條件準備好後首先準備Wireshark 擷取動作開啟Wireshark
2-118
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 於Wireshark軟體選擇 Capture 下拉選單功能項點選 Interfaces 選項
2-119
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 確認欲擷取封包之網卡名稱如紅色底線所示確認後點選 Start鈕
2-120
網路安全
ndash 當使用者收發 email 時即被 Wireshark攔截封包ndash 有發現到該 Outlook Express帳號密碼是如此清晰可見的嗎
Outlook Express 擷取密碼案例 (續 )
2-121
網路安全
結論bull 學習了 Wireshark及WinDump 兩套網路封包擷取軟體基本概念如同電話側錄概念相同從中複製一連串資訊來分析與了解網路的流量及內容為何bull 當你發現網路速度緩慢等狀況你是否會反應到所學的基本概念來找尋問題所在bull 防範概念由此課程的實例可以了解網路內容如被有心人士擷取所造成的損失相當可觀故你是否有對策有哪些方式你可以應用來防範bull 正確的思考善用對的工具將對解決問題事半功倍
2-122
網路安全 2-123
Module 2-5 封包擷取與分析的專案實作()
網路安全
專案目的bull 建立遠端管理傳遞指令資訊環境bull 利用實際攔截封包操作的方式讓同學了解封包擷取運作與網路資訊流通的顧慮等相關議題
2-124
網路安全
專案描述bull 近年來遠端管理伺服器及網路服務普及光是密碼保護就足夠了嗎是否重點網段須全程加密還是作網段隔離經由此專案實作即可了解不僅部分加密仍有其風險所在網路架構如何規劃將是非常重要的課題bull 參考環境配置圖完成下列要求①環境裡的攔截封包主機是 Windows XP SP3 作業系統而該主機安裝Wireshark軟體②另兩台主機的作業系統亦是 Windows XP SP3 並裝上
MySQL軟體 MySQL帳號為 root 密碼為您的學號 (如 Q3896105)
③在MySQLClient 電腦使用 MySQL Commandline 指令連線至MySQLServer 擷取資料庫資訊
④我們針對這兩台主機傳訊的封包擷取由整個實做中思考如何防範資訊外洩與了解傳訊封包如何流動及運作2-125
網路安全
環境配置圖bull 以 Testbed建立一實驗相關拓樸及設定如下圖
MySQLServerOSWINXP-SP3-CH-pc3000 IP 10123安裝軟體 MySQL
MySQLClientOSWINXP-SP3-CH-pc3000 IP 10112安裝軟體 MySQL
2-126
WireSharkOSWINXP-SP3-CH-pc3000 IP1 10113IP2 10122安裝軟體 Wireshark
IP1IP2
網路安全
作業繳交bull 請參考情境測試發送數個 SQL 指令並將過程與擷取到的封包資訊之截圖列於報告中所有圖表皆需要輔以文字說明bull Deadline 2012312 下午 500 以前bull 作業範圍 Module 2-5 (page 2-128)bull 方式 (參考課程網址 )
ndash 帳號密碼小寫的 (ns100ns100)ndash IP 140116164167
2-127
網路安全
有問題嗎
bull 關於 TestBed 使用上的問題請直接 Email至 twisc-testbed-usergooglegroupscom 將有專人為您服務bull 課程網址
httpitlabeenckuedutwcoursesNS_100indexhtml
2-128
bull 助教資訊 (參考課程網址 )
網路安全
參考資料bull Dienet httplinuxdienetman1wiresharkbull Orebaugh Angela Ramirez Gilbert Burke Josh Pesce Larry Wright
Joshua(2007) Wireshark and Ethereal network protocol analyzer toolkitbull Tony Fortunato(2007) Wireshark Training Retrieved July 22 2009 from
the World Wide Web httpwwwthetechfirmcometherealwiresharkpdfbull WinDump httpwwwwinpcaporgWinDumpbull Wireshark httpwwwwiresharkorgbull Wireshark University httpwwwwiresharktrainingcombull 楊中皇 (民 97年 ) 網路安全理論與實務 (2版 ) 台北市學貫bull 蘇淑茵教授 Wireshark 民國 98年 6月 28日取自 httpmywebnckuedutw~sisou
2-129
網路安全
Wireshark 安裝步驟bull 至官方網站下載Windows平台最新版本檔案下載完成後執行該安裝程式
2-67
網路安全
Wireshark 安裝步驟 (續 )
bull 於下一步出現的版權宣告點選 I Agree鈕後繼續下一步驟
2-68
網路安全
Wireshark 安裝步驟 (續 )
bull 此步驟選擇欲安裝的元件以軟體預設勾選之項目安裝
2-69
網路安全
Wireshark 安裝步驟 (續 )
bull 此步驟使用預設路徑即可
2-70
網路安全
Wireshark 安裝步驟 (續 )
bull 此步驟將安裝Windows平台須加裝之套件 -WinPcap 若原系統未安裝過 WinPcap套件請以軟體預設項目安裝之
2-71
網路安全
Wireshark 安裝步驟 (續 )
bull 此步驟代表 Wireshark軟體已安裝完成可點選Finish 鈕或勾選 Run Wireshark 165 隨即使用該套軟體
2-72
網路安全
一般工具列Wireshark軟體介面介紹
2-73
篩選工具列封包清單窗格
封包內容窗格封包位元組窗格
網路安全
Wireshark 使用思考方向bull 遇到網路問題是否觀察網路通道中有異常動作或狀況
ndash 思考方向ndash 反應到擷取數據方法那麼以 Wireshark 擷取使用者需要擷取哪些數據這些數據由使用者電腦哪個裝置來擷取
bull Wireshark操作流程
bull 接下來我們進行軟體操作介紹
解決問題 擷取數據要先做什麼
擷取數據 擷取哪些數據( 過濾條件 )數據哪裡來( 網路介面卡 )
2-74
網路安全
數據哪裡來 - Capture功能bull 一開啟方式
ndash 1 點選快速鈕如紅色圈所示ndash 2 點選 Capture功能表 下拉選單後點選 Optionsndash 3鍵盤快速鍵 Ctrl + K
2-75
網路安全
數據哪裡來 - Capture功能 (續 )
bull 二開啟後顯示 Capture Options 的視窗畫面即可看到所提供的擷取功能選項
2-76
網路安全
數據哪裡來 - Capture功能 (續 )
bull Capture Options 常用的欄位設定ndash Caputure 框
bull 1Interface 會顯示出在系統上所有網路卡但只能選取一個介面作為封包擷取bull 2Capture packets in promiscuous mode 選取此選項就是經過所選取的網路卡的所有封包都會被擷取下來bull 3Capture Filter 指定擷取過濾器運算式擷取想要的特定封包即為擷取中過濾之功能
2-77
網路安全
數據哪裡來 - Capture功能 (續 )
bull Capture Options 常用的欄位設定ndash Display Options 框
bull Update list of packets in real time 指定在擷取封包過程中能夠即時更新已擷取封包清單窗格視窗中的封包資訊若取消則軟體主視窗更新畫面是沒有動作的
2-78
網路安全
bull Capture Options 常用的欄位設定ndash Name Resolution框
bull 1 Enable MAC name resolution 指定是否將網路卡MAC address 的前三個位元組轉換成製造商名稱
bull 2 Enable network name resolution 指定是否將 IP address轉換成 DNS 網域名稱
bull 3 Enable transport name resolution 指定是否將通信埠號碼 (port numbers)轉成協定名稱 (protocols)bull 各位了解數據從哪裡擷取的概念與操作之後即可以進一步加上附帶條件 (篩選條件 ) 等相關操作方式
數據哪裡來 - Capture功能 (續 )
2-79
網路安全
Wireshark操作手法bull 延續遇到問題的思考方向及軟體操作手法我們可以將操作流程分為兩種
ndash 擷取中過濾 (Filter while capturing)bull 優點僅擷取已知範圍資訊網路流量少bull 缺點需先了解問題類型避免可能有遺漏真正欲擷取資訊之狀況
ndash 檢視中過濾 (Filter packets while viewing)bull 優點不用先預設條件擷取所有封包資訊bull 缺點影響網路流量
先預設欲擷取條件 擷取數據
擷取數據 再篩選欲查詢數據2-80
網路安全
Wireshark操作手法 - 擷取中過濾bull 操作步驟
ndash 點選 Capture 下拉視窗選擇 Capture Filters 即呈現此視窗
bull 操作範例ndash 1於 Filter窗格中選擇 IP
Address 10112ndash 2於 Properties窗格中即顯示該選項的設定值如圖所示為 host 10112ndash 3 即可設定軟體僅針對
10112 的封包作擷取動作 延伸操作思考1 改變 Filter string 值得到什麼結果2 點選 Edit 窗格中的 New 鈕 新增自訂條件 2-81
網路安全
Wireshark操作手法 - 檢視中過濾bull 此步驟即以已擷取封包清單窗格為基礎以過濾條件過濾該清單bull 可直接選擇軟體預設項目如以下操作
ndash 操作步驟bull 點選 Analyze 下拉視窗選擇
Display Filters 即呈現此視窗ndash 操作範例
bull 1於 Filter窗格中選擇 IP Address 10112
bull 2於 Properties窗格中即顯示該選項的設定值如圖所示值為host 10112
bull 3 即可設定軟體僅針對 10112的封包作顯示動作 延伸操作思考1 可否進行進一步自訂設定值
2-82
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 若電腦 IP為 10112 欲篩選出 IP 來源為上述 IP 且協定為 TCP 80port 的所有封包ndash 操作步驟
bull 點選 Expression鈕即出現此視窗ndash 1於 Field name框選擇
IP項目中的 ipsrc - Source
ndash 2於 Relation框選擇 ==ndash 3於 Value [IPV4
address]填 入 10112ndash 4 點選 OK鈕 進階思考方式須考慮到例如是來源資訊是目標資訊是什麼協定等更細部所要之條件
2-83
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 再進行第二篩選條件ndash TCP 80 port
bull 操作步驟ndash 1先於 Filter string 輸入文字框「 ipsrc==
10112」後再加上一個空格及「 and 」再進行一次 Expression條件選擇
2-84
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
ndash 2於 Field name框選擇「 tcpdstport」ndash 3於 Relation框選擇「 ==」ndash 4於 Value框填入「 80」ndash 5 選擇「 OK」鈕
2-85
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 注意 Propeties框內的Filter string欄位值已改變為「 ipsrc == 10112 and tcpdstport == 80」
bull 確認條件正確後點選「 OK 」鈕即可發現已擷取封包清單窗格的項目均為所設定過濾條件過濾過結果2-86
網路安全
bull 可單選單一封包進行更進階查詢封包內容bull 操作方式為
ndash 點選其中一項封包項目點選滑鼠右鍵選擇Follow TCP Stream
Wireshark操作手法 - 檢視中過濾 (續 )
2-87
網路安全
ndash 此畫面即可看出該項 TCP 封包溝通內容Wireshark操作手法 - 檢視中過濾 (續 )
2-88
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 此功能將所擷取的封包清單使用多種方式呈現封包統計資料便於使用者查詢擷取時間內何種封包數量多寡及圖型顯示bull 操作步驟點選 Statistics 下拉視窗即呈現此視窗 顯示有關擷取清單的摘要以階梯式通訊協定列表顯示所擷取的所有封包
在特定 IP間顯示通訊流量顯示單一 IP 來往封包的流量
以時間軸顯示視覺化封包流量圖2-89
網路安全
bull 可查看到一時段內其封包總數與平均每秒傳遞接收封包數等相關資訊讓使用者了解平均一時段內網路流量狀況藉以初步獲得資訊
Wireshark操作手法 - 檢視中過濾 (續 )
2-90
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 讓使用者可透過階梯式封包分類表來查看哪一類封包佔為居多可進一步推測是否該類型封包影響到整體網路或是否有異常或不常見封包類型在網路中傳遞
2-91
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 將該擷取時段內封包清單檔以兩個特定 IP 之間對傳封包為區隔顯示出哪兩個特定 IP間傳遞封包數多寡bull 可讓使用者更進一步研判兩個特定 IP所屬設備傳遞狀況是否異常
2-92
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 將該擷取時段內封包清單檔以特定IP 傳遞封包數為區隔顯示出哪特定IP 傳遞封包數多寡
bull 可讓使用者更進一步研判該特定所屬設備傳遞封包數是否異常作為管制緊急管制或禁止通訊之證明2-93
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 以時間軸顯示視覺化封包流量圖bull 讓使用者可觀察所管理設備資訊流通量以了解設備是否能負荷或作相關調整等處置
2-94
網路安全
FTP 擷取密碼案例bull 於Wireshark軟體選擇 Capture 下拉選單功能項點選 Interfaces 選項
2-95
網路安全
FTP 擷取密碼案例 (續 )
bull 確認欲擷取封包之網卡名稱如紅色底線所示確認後點選 Start鈕
2-96
網路安全
FTP 擷取密碼案例 (續 )
bull 切換至 FTP Client 電腦開啟 FileZilla 程式後連線到 FTP Server 於 Host 填入10123 Username填入 tester Password填入testpw 後點選 Quickconnect鈕
2-97
網路安全
FTP 擷取密碼案例 (續 )
bull 擷取到的封包資訊會顯示於已擷取封包清單窗格內
2-98
網路安全
FTP 擷取密碼案例 (續 )
bull 使用 FTP軟體登入 ftp站後 Wireshark 將擷取到的使用者名稱與密碼如紅框所示
2-99
網路安全
FTP 擷取密碼案例 (續 )
bull 點選已擷取封包清單窗格的密碼資訊列如標示1 的紅框所示即可在封包內容窗格看到該密碼的位元碼如標示 2 的紅框所示
1
2
2-100
網路安全
架設實作 (三 )
Outlook Express 擷取密碼案例
2-101
網路安全
實驗環境介紹bull 以 Testbed建立一實驗相關拓樸及設定如下圖
OEClientOSWindows XP SP3IP 10112執行 Outlook Express
MailServerOSWindows XP SP3IP 10122安裝軟體 ArGoSoft Mail Server
2-102
WiresharkOSWindows XP SP3IP1 10113 IP2 10123安裝軟體 Wireshark
IP1IP2
網路安全
實驗拓樸 on TestbedTWISC- 建立完成的實驗拓樸
2-103
網路安全
郵件伺服器工具 - ArGoSoft Mail Server
bull 版本ndash 1892 Freeware
bull 支援作業平台ndash Windows
bull 下載位址ndash httpwwwsoftkingcomtwsoftdownloadaspfid3=7367
2-104
網路安全
郵件客戶端工具 - Outlook Express
bull 版本ndash 60
bull 支援作業平台ndash Windows
bull 下載位址ndash Windows 內建
2-105
網路安全
bull 安裝及設定郵件伺服器ndash 1下載並執行 ArGoSoft Mail Server軟體點選
Setup鈕
Outlook Express 擷取密碼案例
2-106
網路安全
ndash 1 點選 Next鈕ndash 2 點選 Start Installation鈕
Outlook Express 擷取密碼案例 (續 )
2-107
網路安全
ndash 3 點選 OK鈕ndash 4 點選 Finish鈕完成軟體安裝
Outlook Express 擷取密碼案例 (續 )
2-108
網路安全
ndash 5 點選使用者設定鈕如紅圈所示ndash 6 點選新增鈕如紅框所示
Outlook Express 擷取密碼案例 (續 )
2-109
網路安全
ndash 7填入使用者名稱 (tester) 及密碼 (testpw) 如紅圈所示填寫完成後點選 OK鈕ndash 8 點選 Close鈕關閉使用者設定視窗
Outlook Express 擷取密碼案例 (續 )
2-110
網路安全
ndash 9 點選選項鈕如左側圖中紅色圈所示ndash 10 點選紅色打勾鈕如右側圖中紅色圈所示
2-111
Outlook Express 擷取密碼案例 (續 )
網路安全
ndash 11該軟體會自動選取 DNS Server 待選取後點選 Yes鈕ndash 12 勾選 Allow Relay 選項如紅框所示
2-112
Outlook Express 擷取密碼案例 (續 )
網路安全
Outlook Express 擷取密碼案例 (續 )
bull 設定收信帳號ndash 1 點選 Tools功能選單選擇 Accounts 選項
2-113
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 2 點選 Add鈕選擇 Mail 選項
2-114
網路安全
ndash 3填入 tester 點選 Next鈕ndash 4填入 testertestcom 點選 Next鈕
Outlook Express 擷取密碼案例 (續 )
2-115
網路安全
ndash 5填入 10123 如紅框所示點選 Next鈕ndash 6填入帳號為 tester 及密碼為 testpw 點選 Next鈕
Outlook Express 擷取密碼案例 (續 )
2-116
網路安全
ndash 7 點選 Finish鈕ndash 8 點選 Close鈕
Outlook Express 擷取密碼案例 (續 )
2-117
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 模擬條件準備好後首先準備Wireshark 擷取動作開啟Wireshark
2-118
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 於Wireshark軟體選擇 Capture 下拉選單功能項點選 Interfaces 選項
2-119
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 確認欲擷取封包之網卡名稱如紅色底線所示確認後點選 Start鈕
2-120
網路安全
ndash 當使用者收發 email 時即被 Wireshark攔截封包ndash 有發現到該 Outlook Express帳號密碼是如此清晰可見的嗎
Outlook Express 擷取密碼案例 (續 )
2-121
網路安全
結論bull 學習了 Wireshark及WinDump 兩套網路封包擷取軟體基本概念如同電話側錄概念相同從中複製一連串資訊來分析與了解網路的流量及內容為何bull 當你發現網路速度緩慢等狀況你是否會反應到所學的基本概念來找尋問題所在bull 防範概念由此課程的實例可以了解網路內容如被有心人士擷取所造成的損失相當可觀故你是否有對策有哪些方式你可以應用來防範bull 正確的思考善用對的工具將對解決問題事半功倍
2-122
網路安全 2-123
Module 2-5 封包擷取與分析的專案實作()
網路安全
專案目的bull 建立遠端管理傳遞指令資訊環境bull 利用實際攔截封包操作的方式讓同學了解封包擷取運作與網路資訊流通的顧慮等相關議題
2-124
網路安全
專案描述bull 近年來遠端管理伺服器及網路服務普及光是密碼保護就足夠了嗎是否重點網段須全程加密還是作網段隔離經由此專案實作即可了解不僅部分加密仍有其風險所在網路架構如何規劃將是非常重要的課題bull 參考環境配置圖完成下列要求①環境裡的攔截封包主機是 Windows XP SP3 作業系統而該主機安裝Wireshark軟體②另兩台主機的作業系統亦是 Windows XP SP3 並裝上
MySQL軟體 MySQL帳號為 root 密碼為您的學號 (如 Q3896105)
③在MySQLClient 電腦使用 MySQL Commandline 指令連線至MySQLServer 擷取資料庫資訊
④我們針對這兩台主機傳訊的封包擷取由整個實做中思考如何防範資訊外洩與了解傳訊封包如何流動及運作2-125
網路安全
環境配置圖bull 以 Testbed建立一實驗相關拓樸及設定如下圖
MySQLServerOSWINXP-SP3-CH-pc3000 IP 10123安裝軟體 MySQL
MySQLClientOSWINXP-SP3-CH-pc3000 IP 10112安裝軟體 MySQL
2-126
WireSharkOSWINXP-SP3-CH-pc3000 IP1 10113IP2 10122安裝軟體 Wireshark
IP1IP2
網路安全
作業繳交bull 請參考情境測試發送數個 SQL 指令並將過程與擷取到的封包資訊之截圖列於報告中所有圖表皆需要輔以文字說明bull Deadline 2012312 下午 500 以前bull 作業範圍 Module 2-5 (page 2-128)bull 方式 (參考課程網址 )
ndash 帳號密碼小寫的 (ns100ns100)ndash IP 140116164167
2-127
網路安全
有問題嗎
bull 關於 TestBed 使用上的問題請直接 Email至 twisc-testbed-usergooglegroupscom 將有專人為您服務bull 課程網址
httpitlabeenckuedutwcoursesNS_100indexhtml
2-128
bull 助教資訊 (參考課程網址 )
網路安全
參考資料bull Dienet httplinuxdienetman1wiresharkbull Orebaugh Angela Ramirez Gilbert Burke Josh Pesce Larry Wright
Joshua(2007) Wireshark and Ethereal network protocol analyzer toolkitbull Tony Fortunato(2007) Wireshark Training Retrieved July 22 2009 from
the World Wide Web httpwwwthetechfirmcometherealwiresharkpdfbull WinDump httpwwwwinpcaporgWinDumpbull Wireshark httpwwwwiresharkorgbull Wireshark University httpwwwwiresharktrainingcombull 楊中皇 (民 97年 ) 網路安全理論與實務 (2版 ) 台北市學貫bull 蘇淑茵教授 Wireshark 民國 98年 6月 28日取自 httpmywebnckuedutw~sisou
2-129
網路安全
Wireshark 安裝步驟 (續 )
bull 於下一步出現的版權宣告點選 I Agree鈕後繼續下一步驟
2-68
網路安全
Wireshark 安裝步驟 (續 )
bull 此步驟選擇欲安裝的元件以軟體預設勾選之項目安裝
2-69
網路安全
Wireshark 安裝步驟 (續 )
bull 此步驟使用預設路徑即可
2-70
網路安全
Wireshark 安裝步驟 (續 )
bull 此步驟將安裝Windows平台須加裝之套件 -WinPcap 若原系統未安裝過 WinPcap套件請以軟體預設項目安裝之
2-71
網路安全
Wireshark 安裝步驟 (續 )
bull 此步驟代表 Wireshark軟體已安裝完成可點選Finish 鈕或勾選 Run Wireshark 165 隨即使用該套軟體
2-72
網路安全
一般工具列Wireshark軟體介面介紹
2-73
篩選工具列封包清單窗格
封包內容窗格封包位元組窗格
網路安全
Wireshark 使用思考方向bull 遇到網路問題是否觀察網路通道中有異常動作或狀況
ndash 思考方向ndash 反應到擷取數據方法那麼以 Wireshark 擷取使用者需要擷取哪些數據這些數據由使用者電腦哪個裝置來擷取
bull Wireshark操作流程
bull 接下來我們進行軟體操作介紹
解決問題 擷取數據要先做什麼
擷取數據 擷取哪些數據( 過濾條件 )數據哪裡來( 網路介面卡 )
2-74
網路安全
數據哪裡來 - Capture功能bull 一開啟方式
ndash 1 點選快速鈕如紅色圈所示ndash 2 點選 Capture功能表 下拉選單後點選 Optionsndash 3鍵盤快速鍵 Ctrl + K
2-75
網路安全
數據哪裡來 - Capture功能 (續 )
bull 二開啟後顯示 Capture Options 的視窗畫面即可看到所提供的擷取功能選項
2-76
網路安全
數據哪裡來 - Capture功能 (續 )
bull Capture Options 常用的欄位設定ndash Caputure 框
bull 1Interface 會顯示出在系統上所有網路卡但只能選取一個介面作為封包擷取bull 2Capture packets in promiscuous mode 選取此選項就是經過所選取的網路卡的所有封包都會被擷取下來bull 3Capture Filter 指定擷取過濾器運算式擷取想要的特定封包即為擷取中過濾之功能
2-77
網路安全
數據哪裡來 - Capture功能 (續 )
bull Capture Options 常用的欄位設定ndash Display Options 框
bull Update list of packets in real time 指定在擷取封包過程中能夠即時更新已擷取封包清單窗格視窗中的封包資訊若取消則軟體主視窗更新畫面是沒有動作的
2-78
網路安全
bull Capture Options 常用的欄位設定ndash Name Resolution框
bull 1 Enable MAC name resolution 指定是否將網路卡MAC address 的前三個位元組轉換成製造商名稱
bull 2 Enable network name resolution 指定是否將 IP address轉換成 DNS 網域名稱
bull 3 Enable transport name resolution 指定是否將通信埠號碼 (port numbers)轉成協定名稱 (protocols)bull 各位了解數據從哪裡擷取的概念與操作之後即可以進一步加上附帶條件 (篩選條件 ) 等相關操作方式
數據哪裡來 - Capture功能 (續 )
2-79
網路安全
Wireshark操作手法bull 延續遇到問題的思考方向及軟體操作手法我們可以將操作流程分為兩種
ndash 擷取中過濾 (Filter while capturing)bull 優點僅擷取已知範圍資訊網路流量少bull 缺點需先了解問題類型避免可能有遺漏真正欲擷取資訊之狀況
ndash 檢視中過濾 (Filter packets while viewing)bull 優點不用先預設條件擷取所有封包資訊bull 缺點影響網路流量
先預設欲擷取條件 擷取數據
擷取數據 再篩選欲查詢數據2-80
網路安全
Wireshark操作手法 - 擷取中過濾bull 操作步驟
ndash 點選 Capture 下拉視窗選擇 Capture Filters 即呈現此視窗
bull 操作範例ndash 1於 Filter窗格中選擇 IP
Address 10112ndash 2於 Properties窗格中即顯示該選項的設定值如圖所示為 host 10112ndash 3 即可設定軟體僅針對
10112 的封包作擷取動作 延伸操作思考1 改變 Filter string 值得到什麼結果2 點選 Edit 窗格中的 New 鈕 新增自訂條件 2-81
網路安全
Wireshark操作手法 - 檢視中過濾bull 此步驟即以已擷取封包清單窗格為基礎以過濾條件過濾該清單bull 可直接選擇軟體預設項目如以下操作
ndash 操作步驟bull 點選 Analyze 下拉視窗選擇
Display Filters 即呈現此視窗ndash 操作範例
bull 1於 Filter窗格中選擇 IP Address 10112
bull 2於 Properties窗格中即顯示該選項的設定值如圖所示值為host 10112
bull 3 即可設定軟體僅針對 10112的封包作顯示動作 延伸操作思考1 可否進行進一步自訂設定值
2-82
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 若電腦 IP為 10112 欲篩選出 IP 來源為上述 IP 且協定為 TCP 80port 的所有封包ndash 操作步驟
bull 點選 Expression鈕即出現此視窗ndash 1於 Field name框選擇
IP項目中的 ipsrc - Source
ndash 2於 Relation框選擇 ==ndash 3於 Value [IPV4
address]填 入 10112ndash 4 點選 OK鈕 進階思考方式須考慮到例如是來源資訊是目標資訊是什麼協定等更細部所要之條件
2-83
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 再進行第二篩選條件ndash TCP 80 port
bull 操作步驟ndash 1先於 Filter string 輸入文字框「 ipsrc==
10112」後再加上一個空格及「 and 」再進行一次 Expression條件選擇
2-84
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
ndash 2於 Field name框選擇「 tcpdstport」ndash 3於 Relation框選擇「 ==」ndash 4於 Value框填入「 80」ndash 5 選擇「 OK」鈕
2-85
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 注意 Propeties框內的Filter string欄位值已改變為「 ipsrc == 10112 and tcpdstport == 80」
bull 確認條件正確後點選「 OK 」鈕即可發現已擷取封包清單窗格的項目均為所設定過濾條件過濾過結果2-86
網路安全
bull 可單選單一封包進行更進階查詢封包內容bull 操作方式為
ndash 點選其中一項封包項目點選滑鼠右鍵選擇Follow TCP Stream
Wireshark操作手法 - 檢視中過濾 (續 )
2-87
網路安全
ndash 此畫面即可看出該項 TCP 封包溝通內容Wireshark操作手法 - 檢視中過濾 (續 )
2-88
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 此功能將所擷取的封包清單使用多種方式呈現封包統計資料便於使用者查詢擷取時間內何種封包數量多寡及圖型顯示bull 操作步驟點選 Statistics 下拉視窗即呈現此視窗 顯示有關擷取清單的摘要以階梯式通訊協定列表顯示所擷取的所有封包
在特定 IP間顯示通訊流量顯示單一 IP 來往封包的流量
以時間軸顯示視覺化封包流量圖2-89
網路安全
bull 可查看到一時段內其封包總數與平均每秒傳遞接收封包數等相關資訊讓使用者了解平均一時段內網路流量狀況藉以初步獲得資訊
Wireshark操作手法 - 檢視中過濾 (續 )
2-90
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 讓使用者可透過階梯式封包分類表來查看哪一類封包佔為居多可進一步推測是否該類型封包影響到整體網路或是否有異常或不常見封包類型在網路中傳遞
2-91
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 將該擷取時段內封包清單檔以兩個特定 IP 之間對傳封包為區隔顯示出哪兩個特定 IP間傳遞封包數多寡bull 可讓使用者更進一步研判兩個特定 IP所屬設備傳遞狀況是否異常
2-92
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 將該擷取時段內封包清單檔以特定IP 傳遞封包數為區隔顯示出哪特定IP 傳遞封包數多寡
bull 可讓使用者更進一步研判該特定所屬設備傳遞封包數是否異常作為管制緊急管制或禁止通訊之證明2-93
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 以時間軸顯示視覺化封包流量圖bull 讓使用者可觀察所管理設備資訊流通量以了解設備是否能負荷或作相關調整等處置
2-94
網路安全
FTP 擷取密碼案例bull 於Wireshark軟體選擇 Capture 下拉選單功能項點選 Interfaces 選項
2-95
網路安全
FTP 擷取密碼案例 (續 )
bull 確認欲擷取封包之網卡名稱如紅色底線所示確認後點選 Start鈕
2-96
網路安全
FTP 擷取密碼案例 (續 )
bull 切換至 FTP Client 電腦開啟 FileZilla 程式後連線到 FTP Server 於 Host 填入10123 Username填入 tester Password填入testpw 後點選 Quickconnect鈕
2-97
網路安全
FTP 擷取密碼案例 (續 )
bull 擷取到的封包資訊會顯示於已擷取封包清單窗格內
2-98
網路安全
FTP 擷取密碼案例 (續 )
bull 使用 FTP軟體登入 ftp站後 Wireshark 將擷取到的使用者名稱與密碼如紅框所示
2-99
網路安全
FTP 擷取密碼案例 (續 )
bull 點選已擷取封包清單窗格的密碼資訊列如標示1 的紅框所示即可在封包內容窗格看到該密碼的位元碼如標示 2 的紅框所示
1
2
2-100
網路安全
架設實作 (三 )
Outlook Express 擷取密碼案例
2-101
網路安全
實驗環境介紹bull 以 Testbed建立一實驗相關拓樸及設定如下圖
OEClientOSWindows XP SP3IP 10112執行 Outlook Express
MailServerOSWindows XP SP3IP 10122安裝軟體 ArGoSoft Mail Server
2-102
WiresharkOSWindows XP SP3IP1 10113 IP2 10123安裝軟體 Wireshark
IP1IP2
網路安全
實驗拓樸 on TestbedTWISC- 建立完成的實驗拓樸
2-103
網路安全
郵件伺服器工具 - ArGoSoft Mail Server
bull 版本ndash 1892 Freeware
bull 支援作業平台ndash Windows
bull 下載位址ndash httpwwwsoftkingcomtwsoftdownloadaspfid3=7367
2-104
網路安全
郵件客戶端工具 - Outlook Express
bull 版本ndash 60
bull 支援作業平台ndash Windows
bull 下載位址ndash Windows 內建
2-105
網路安全
bull 安裝及設定郵件伺服器ndash 1下載並執行 ArGoSoft Mail Server軟體點選
Setup鈕
Outlook Express 擷取密碼案例
2-106
網路安全
ndash 1 點選 Next鈕ndash 2 點選 Start Installation鈕
Outlook Express 擷取密碼案例 (續 )
2-107
網路安全
ndash 3 點選 OK鈕ndash 4 點選 Finish鈕完成軟體安裝
Outlook Express 擷取密碼案例 (續 )
2-108
網路安全
ndash 5 點選使用者設定鈕如紅圈所示ndash 6 點選新增鈕如紅框所示
Outlook Express 擷取密碼案例 (續 )
2-109
網路安全
ndash 7填入使用者名稱 (tester) 及密碼 (testpw) 如紅圈所示填寫完成後點選 OK鈕ndash 8 點選 Close鈕關閉使用者設定視窗
Outlook Express 擷取密碼案例 (續 )
2-110
網路安全
ndash 9 點選選項鈕如左側圖中紅色圈所示ndash 10 點選紅色打勾鈕如右側圖中紅色圈所示
2-111
Outlook Express 擷取密碼案例 (續 )
網路安全
ndash 11該軟體會自動選取 DNS Server 待選取後點選 Yes鈕ndash 12 勾選 Allow Relay 選項如紅框所示
2-112
Outlook Express 擷取密碼案例 (續 )
網路安全
Outlook Express 擷取密碼案例 (續 )
bull 設定收信帳號ndash 1 點選 Tools功能選單選擇 Accounts 選項
2-113
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 2 點選 Add鈕選擇 Mail 選項
2-114
網路安全
ndash 3填入 tester 點選 Next鈕ndash 4填入 testertestcom 點選 Next鈕
Outlook Express 擷取密碼案例 (續 )
2-115
網路安全
ndash 5填入 10123 如紅框所示點選 Next鈕ndash 6填入帳號為 tester 及密碼為 testpw 點選 Next鈕
Outlook Express 擷取密碼案例 (續 )
2-116
網路安全
ndash 7 點選 Finish鈕ndash 8 點選 Close鈕
Outlook Express 擷取密碼案例 (續 )
2-117
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 模擬條件準備好後首先準備Wireshark 擷取動作開啟Wireshark
2-118
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 於Wireshark軟體選擇 Capture 下拉選單功能項點選 Interfaces 選項
2-119
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 確認欲擷取封包之網卡名稱如紅色底線所示確認後點選 Start鈕
2-120
網路安全
ndash 當使用者收發 email 時即被 Wireshark攔截封包ndash 有發現到該 Outlook Express帳號密碼是如此清晰可見的嗎
Outlook Express 擷取密碼案例 (續 )
2-121
網路安全
結論bull 學習了 Wireshark及WinDump 兩套網路封包擷取軟體基本概念如同電話側錄概念相同從中複製一連串資訊來分析與了解網路的流量及內容為何bull 當你發現網路速度緩慢等狀況你是否會反應到所學的基本概念來找尋問題所在bull 防範概念由此課程的實例可以了解網路內容如被有心人士擷取所造成的損失相當可觀故你是否有對策有哪些方式你可以應用來防範bull 正確的思考善用對的工具將對解決問題事半功倍
2-122
網路安全 2-123
Module 2-5 封包擷取與分析的專案實作()
網路安全
專案目的bull 建立遠端管理傳遞指令資訊環境bull 利用實際攔截封包操作的方式讓同學了解封包擷取運作與網路資訊流通的顧慮等相關議題
2-124
網路安全
專案描述bull 近年來遠端管理伺服器及網路服務普及光是密碼保護就足夠了嗎是否重點網段須全程加密還是作網段隔離經由此專案實作即可了解不僅部分加密仍有其風險所在網路架構如何規劃將是非常重要的課題bull 參考環境配置圖完成下列要求①環境裡的攔截封包主機是 Windows XP SP3 作業系統而該主機安裝Wireshark軟體②另兩台主機的作業系統亦是 Windows XP SP3 並裝上
MySQL軟體 MySQL帳號為 root 密碼為您的學號 (如 Q3896105)
③在MySQLClient 電腦使用 MySQL Commandline 指令連線至MySQLServer 擷取資料庫資訊
④我們針對這兩台主機傳訊的封包擷取由整個實做中思考如何防範資訊外洩與了解傳訊封包如何流動及運作2-125
網路安全
環境配置圖bull 以 Testbed建立一實驗相關拓樸及設定如下圖
MySQLServerOSWINXP-SP3-CH-pc3000 IP 10123安裝軟體 MySQL
MySQLClientOSWINXP-SP3-CH-pc3000 IP 10112安裝軟體 MySQL
2-126
WireSharkOSWINXP-SP3-CH-pc3000 IP1 10113IP2 10122安裝軟體 Wireshark
IP1IP2
網路安全
作業繳交bull 請參考情境測試發送數個 SQL 指令並將過程與擷取到的封包資訊之截圖列於報告中所有圖表皆需要輔以文字說明bull Deadline 2012312 下午 500 以前bull 作業範圍 Module 2-5 (page 2-128)bull 方式 (參考課程網址 )
ndash 帳號密碼小寫的 (ns100ns100)ndash IP 140116164167
2-127
網路安全
有問題嗎
bull 關於 TestBed 使用上的問題請直接 Email至 twisc-testbed-usergooglegroupscom 將有專人為您服務bull 課程網址
httpitlabeenckuedutwcoursesNS_100indexhtml
2-128
bull 助教資訊 (參考課程網址 )
網路安全
參考資料bull Dienet httplinuxdienetman1wiresharkbull Orebaugh Angela Ramirez Gilbert Burke Josh Pesce Larry Wright
Joshua(2007) Wireshark and Ethereal network protocol analyzer toolkitbull Tony Fortunato(2007) Wireshark Training Retrieved July 22 2009 from
the World Wide Web httpwwwthetechfirmcometherealwiresharkpdfbull WinDump httpwwwwinpcaporgWinDumpbull Wireshark httpwwwwiresharkorgbull Wireshark University httpwwwwiresharktrainingcombull 楊中皇 (民 97年 ) 網路安全理論與實務 (2版 ) 台北市學貫bull 蘇淑茵教授 Wireshark 民國 98年 6月 28日取自 httpmywebnckuedutw~sisou
2-129
網路安全
Wireshark 安裝步驟 (續 )
bull 此步驟選擇欲安裝的元件以軟體預設勾選之項目安裝
2-69
網路安全
Wireshark 安裝步驟 (續 )
bull 此步驟使用預設路徑即可
2-70
網路安全
Wireshark 安裝步驟 (續 )
bull 此步驟將安裝Windows平台須加裝之套件 -WinPcap 若原系統未安裝過 WinPcap套件請以軟體預設項目安裝之
2-71
網路安全
Wireshark 安裝步驟 (續 )
bull 此步驟代表 Wireshark軟體已安裝完成可點選Finish 鈕或勾選 Run Wireshark 165 隨即使用該套軟體
2-72
網路安全
一般工具列Wireshark軟體介面介紹
2-73
篩選工具列封包清單窗格
封包內容窗格封包位元組窗格
網路安全
Wireshark 使用思考方向bull 遇到網路問題是否觀察網路通道中有異常動作或狀況
ndash 思考方向ndash 反應到擷取數據方法那麼以 Wireshark 擷取使用者需要擷取哪些數據這些數據由使用者電腦哪個裝置來擷取
bull Wireshark操作流程
bull 接下來我們進行軟體操作介紹
解決問題 擷取數據要先做什麼
擷取數據 擷取哪些數據( 過濾條件 )數據哪裡來( 網路介面卡 )
2-74
網路安全
數據哪裡來 - Capture功能bull 一開啟方式
ndash 1 點選快速鈕如紅色圈所示ndash 2 點選 Capture功能表 下拉選單後點選 Optionsndash 3鍵盤快速鍵 Ctrl + K
2-75
網路安全
數據哪裡來 - Capture功能 (續 )
bull 二開啟後顯示 Capture Options 的視窗畫面即可看到所提供的擷取功能選項
2-76
網路安全
數據哪裡來 - Capture功能 (續 )
bull Capture Options 常用的欄位設定ndash Caputure 框
bull 1Interface 會顯示出在系統上所有網路卡但只能選取一個介面作為封包擷取bull 2Capture packets in promiscuous mode 選取此選項就是經過所選取的網路卡的所有封包都會被擷取下來bull 3Capture Filter 指定擷取過濾器運算式擷取想要的特定封包即為擷取中過濾之功能
2-77
網路安全
數據哪裡來 - Capture功能 (續 )
bull Capture Options 常用的欄位設定ndash Display Options 框
bull Update list of packets in real time 指定在擷取封包過程中能夠即時更新已擷取封包清單窗格視窗中的封包資訊若取消則軟體主視窗更新畫面是沒有動作的
2-78
網路安全
bull Capture Options 常用的欄位設定ndash Name Resolution框
bull 1 Enable MAC name resolution 指定是否將網路卡MAC address 的前三個位元組轉換成製造商名稱
bull 2 Enable network name resolution 指定是否將 IP address轉換成 DNS 網域名稱
bull 3 Enable transport name resolution 指定是否將通信埠號碼 (port numbers)轉成協定名稱 (protocols)bull 各位了解數據從哪裡擷取的概念與操作之後即可以進一步加上附帶條件 (篩選條件 ) 等相關操作方式
數據哪裡來 - Capture功能 (續 )
2-79
網路安全
Wireshark操作手法bull 延續遇到問題的思考方向及軟體操作手法我們可以將操作流程分為兩種
ndash 擷取中過濾 (Filter while capturing)bull 優點僅擷取已知範圍資訊網路流量少bull 缺點需先了解問題類型避免可能有遺漏真正欲擷取資訊之狀況
ndash 檢視中過濾 (Filter packets while viewing)bull 優點不用先預設條件擷取所有封包資訊bull 缺點影響網路流量
先預設欲擷取條件 擷取數據
擷取數據 再篩選欲查詢數據2-80
網路安全
Wireshark操作手法 - 擷取中過濾bull 操作步驟
ndash 點選 Capture 下拉視窗選擇 Capture Filters 即呈現此視窗
bull 操作範例ndash 1於 Filter窗格中選擇 IP
Address 10112ndash 2於 Properties窗格中即顯示該選項的設定值如圖所示為 host 10112ndash 3 即可設定軟體僅針對
10112 的封包作擷取動作 延伸操作思考1 改變 Filter string 值得到什麼結果2 點選 Edit 窗格中的 New 鈕 新增自訂條件 2-81
網路安全
Wireshark操作手法 - 檢視中過濾bull 此步驟即以已擷取封包清單窗格為基礎以過濾條件過濾該清單bull 可直接選擇軟體預設項目如以下操作
ndash 操作步驟bull 點選 Analyze 下拉視窗選擇
Display Filters 即呈現此視窗ndash 操作範例
bull 1於 Filter窗格中選擇 IP Address 10112
bull 2於 Properties窗格中即顯示該選項的設定值如圖所示值為host 10112
bull 3 即可設定軟體僅針對 10112的封包作顯示動作 延伸操作思考1 可否進行進一步自訂設定值
2-82
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 若電腦 IP為 10112 欲篩選出 IP 來源為上述 IP 且協定為 TCP 80port 的所有封包ndash 操作步驟
bull 點選 Expression鈕即出現此視窗ndash 1於 Field name框選擇
IP項目中的 ipsrc - Source
ndash 2於 Relation框選擇 ==ndash 3於 Value [IPV4
address]填 入 10112ndash 4 點選 OK鈕 進階思考方式須考慮到例如是來源資訊是目標資訊是什麼協定等更細部所要之條件
2-83
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 再進行第二篩選條件ndash TCP 80 port
bull 操作步驟ndash 1先於 Filter string 輸入文字框「 ipsrc==
10112」後再加上一個空格及「 and 」再進行一次 Expression條件選擇
2-84
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
ndash 2於 Field name框選擇「 tcpdstport」ndash 3於 Relation框選擇「 ==」ndash 4於 Value框填入「 80」ndash 5 選擇「 OK」鈕
2-85
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 注意 Propeties框內的Filter string欄位值已改變為「 ipsrc == 10112 and tcpdstport == 80」
bull 確認條件正確後點選「 OK 」鈕即可發現已擷取封包清單窗格的項目均為所設定過濾條件過濾過結果2-86
網路安全
bull 可單選單一封包進行更進階查詢封包內容bull 操作方式為
ndash 點選其中一項封包項目點選滑鼠右鍵選擇Follow TCP Stream
Wireshark操作手法 - 檢視中過濾 (續 )
2-87
網路安全
ndash 此畫面即可看出該項 TCP 封包溝通內容Wireshark操作手法 - 檢視中過濾 (續 )
2-88
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 此功能將所擷取的封包清單使用多種方式呈現封包統計資料便於使用者查詢擷取時間內何種封包數量多寡及圖型顯示bull 操作步驟點選 Statistics 下拉視窗即呈現此視窗 顯示有關擷取清單的摘要以階梯式通訊協定列表顯示所擷取的所有封包
在特定 IP間顯示通訊流量顯示單一 IP 來往封包的流量
以時間軸顯示視覺化封包流量圖2-89
網路安全
bull 可查看到一時段內其封包總數與平均每秒傳遞接收封包數等相關資訊讓使用者了解平均一時段內網路流量狀況藉以初步獲得資訊
Wireshark操作手法 - 檢視中過濾 (續 )
2-90
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 讓使用者可透過階梯式封包分類表來查看哪一類封包佔為居多可進一步推測是否該類型封包影響到整體網路或是否有異常或不常見封包類型在網路中傳遞
2-91
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 將該擷取時段內封包清單檔以兩個特定 IP 之間對傳封包為區隔顯示出哪兩個特定 IP間傳遞封包數多寡bull 可讓使用者更進一步研判兩個特定 IP所屬設備傳遞狀況是否異常
2-92
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 將該擷取時段內封包清單檔以特定IP 傳遞封包數為區隔顯示出哪特定IP 傳遞封包數多寡
bull 可讓使用者更進一步研判該特定所屬設備傳遞封包數是否異常作為管制緊急管制或禁止通訊之證明2-93
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 以時間軸顯示視覺化封包流量圖bull 讓使用者可觀察所管理設備資訊流通量以了解設備是否能負荷或作相關調整等處置
2-94
網路安全
FTP 擷取密碼案例bull 於Wireshark軟體選擇 Capture 下拉選單功能項點選 Interfaces 選項
2-95
網路安全
FTP 擷取密碼案例 (續 )
bull 確認欲擷取封包之網卡名稱如紅色底線所示確認後點選 Start鈕
2-96
網路安全
FTP 擷取密碼案例 (續 )
bull 切換至 FTP Client 電腦開啟 FileZilla 程式後連線到 FTP Server 於 Host 填入10123 Username填入 tester Password填入testpw 後點選 Quickconnect鈕
2-97
網路安全
FTP 擷取密碼案例 (續 )
bull 擷取到的封包資訊會顯示於已擷取封包清單窗格內
2-98
網路安全
FTP 擷取密碼案例 (續 )
bull 使用 FTP軟體登入 ftp站後 Wireshark 將擷取到的使用者名稱與密碼如紅框所示
2-99
網路安全
FTP 擷取密碼案例 (續 )
bull 點選已擷取封包清單窗格的密碼資訊列如標示1 的紅框所示即可在封包內容窗格看到該密碼的位元碼如標示 2 的紅框所示
1
2
2-100
網路安全
架設實作 (三 )
Outlook Express 擷取密碼案例
2-101
網路安全
實驗環境介紹bull 以 Testbed建立一實驗相關拓樸及設定如下圖
OEClientOSWindows XP SP3IP 10112執行 Outlook Express
MailServerOSWindows XP SP3IP 10122安裝軟體 ArGoSoft Mail Server
2-102
WiresharkOSWindows XP SP3IP1 10113 IP2 10123安裝軟體 Wireshark
IP1IP2
網路安全
實驗拓樸 on TestbedTWISC- 建立完成的實驗拓樸
2-103
網路安全
郵件伺服器工具 - ArGoSoft Mail Server
bull 版本ndash 1892 Freeware
bull 支援作業平台ndash Windows
bull 下載位址ndash httpwwwsoftkingcomtwsoftdownloadaspfid3=7367
2-104
網路安全
郵件客戶端工具 - Outlook Express
bull 版本ndash 60
bull 支援作業平台ndash Windows
bull 下載位址ndash Windows 內建
2-105
網路安全
bull 安裝及設定郵件伺服器ndash 1下載並執行 ArGoSoft Mail Server軟體點選
Setup鈕
Outlook Express 擷取密碼案例
2-106
網路安全
ndash 1 點選 Next鈕ndash 2 點選 Start Installation鈕
Outlook Express 擷取密碼案例 (續 )
2-107
網路安全
ndash 3 點選 OK鈕ndash 4 點選 Finish鈕完成軟體安裝
Outlook Express 擷取密碼案例 (續 )
2-108
網路安全
ndash 5 點選使用者設定鈕如紅圈所示ndash 6 點選新增鈕如紅框所示
Outlook Express 擷取密碼案例 (續 )
2-109
網路安全
ndash 7填入使用者名稱 (tester) 及密碼 (testpw) 如紅圈所示填寫完成後點選 OK鈕ndash 8 點選 Close鈕關閉使用者設定視窗
Outlook Express 擷取密碼案例 (續 )
2-110
網路安全
ndash 9 點選選項鈕如左側圖中紅色圈所示ndash 10 點選紅色打勾鈕如右側圖中紅色圈所示
2-111
Outlook Express 擷取密碼案例 (續 )
網路安全
ndash 11該軟體會自動選取 DNS Server 待選取後點選 Yes鈕ndash 12 勾選 Allow Relay 選項如紅框所示
2-112
Outlook Express 擷取密碼案例 (續 )
網路安全
Outlook Express 擷取密碼案例 (續 )
bull 設定收信帳號ndash 1 點選 Tools功能選單選擇 Accounts 選項
2-113
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 2 點選 Add鈕選擇 Mail 選項
2-114
網路安全
ndash 3填入 tester 點選 Next鈕ndash 4填入 testertestcom 點選 Next鈕
Outlook Express 擷取密碼案例 (續 )
2-115
網路安全
ndash 5填入 10123 如紅框所示點選 Next鈕ndash 6填入帳號為 tester 及密碼為 testpw 點選 Next鈕
Outlook Express 擷取密碼案例 (續 )
2-116
網路安全
ndash 7 點選 Finish鈕ndash 8 點選 Close鈕
Outlook Express 擷取密碼案例 (續 )
2-117
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 模擬條件準備好後首先準備Wireshark 擷取動作開啟Wireshark
2-118
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 於Wireshark軟體選擇 Capture 下拉選單功能項點選 Interfaces 選項
2-119
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 確認欲擷取封包之網卡名稱如紅色底線所示確認後點選 Start鈕
2-120
網路安全
ndash 當使用者收發 email 時即被 Wireshark攔截封包ndash 有發現到該 Outlook Express帳號密碼是如此清晰可見的嗎
Outlook Express 擷取密碼案例 (續 )
2-121
網路安全
結論bull 學習了 Wireshark及WinDump 兩套網路封包擷取軟體基本概念如同電話側錄概念相同從中複製一連串資訊來分析與了解網路的流量及內容為何bull 當你發現網路速度緩慢等狀況你是否會反應到所學的基本概念來找尋問題所在bull 防範概念由此課程的實例可以了解網路內容如被有心人士擷取所造成的損失相當可觀故你是否有對策有哪些方式你可以應用來防範bull 正確的思考善用對的工具將對解決問題事半功倍
2-122
網路安全 2-123
Module 2-5 封包擷取與分析的專案實作()
網路安全
專案目的bull 建立遠端管理傳遞指令資訊環境bull 利用實際攔截封包操作的方式讓同學了解封包擷取運作與網路資訊流通的顧慮等相關議題
2-124
網路安全
專案描述bull 近年來遠端管理伺服器及網路服務普及光是密碼保護就足夠了嗎是否重點網段須全程加密還是作網段隔離經由此專案實作即可了解不僅部分加密仍有其風險所在網路架構如何規劃將是非常重要的課題bull 參考環境配置圖完成下列要求①環境裡的攔截封包主機是 Windows XP SP3 作業系統而該主機安裝Wireshark軟體②另兩台主機的作業系統亦是 Windows XP SP3 並裝上
MySQL軟體 MySQL帳號為 root 密碼為您的學號 (如 Q3896105)
③在MySQLClient 電腦使用 MySQL Commandline 指令連線至MySQLServer 擷取資料庫資訊
④我們針對這兩台主機傳訊的封包擷取由整個實做中思考如何防範資訊外洩與了解傳訊封包如何流動及運作2-125
網路安全
環境配置圖bull 以 Testbed建立一實驗相關拓樸及設定如下圖
MySQLServerOSWINXP-SP3-CH-pc3000 IP 10123安裝軟體 MySQL
MySQLClientOSWINXP-SP3-CH-pc3000 IP 10112安裝軟體 MySQL
2-126
WireSharkOSWINXP-SP3-CH-pc3000 IP1 10113IP2 10122安裝軟體 Wireshark
IP1IP2
網路安全
作業繳交bull 請參考情境測試發送數個 SQL 指令並將過程與擷取到的封包資訊之截圖列於報告中所有圖表皆需要輔以文字說明bull Deadline 2012312 下午 500 以前bull 作業範圍 Module 2-5 (page 2-128)bull 方式 (參考課程網址 )
ndash 帳號密碼小寫的 (ns100ns100)ndash IP 140116164167
2-127
網路安全
有問題嗎
bull 關於 TestBed 使用上的問題請直接 Email至 twisc-testbed-usergooglegroupscom 將有專人為您服務bull 課程網址
httpitlabeenckuedutwcoursesNS_100indexhtml
2-128
bull 助教資訊 (參考課程網址 )
網路安全
參考資料bull Dienet httplinuxdienetman1wiresharkbull Orebaugh Angela Ramirez Gilbert Burke Josh Pesce Larry Wright
Joshua(2007) Wireshark and Ethereal network protocol analyzer toolkitbull Tony Fortunato(2007) Wireshark Training Retrieved July 22 2009 from
the World Wide Web httpwwwthetechfirmcometherealwiresharkpdfbull WinDump httpwwwwinpcaporgWinDumpbull Wireshark httpwwwwiresharkorgbull Wireshark University httpwwwwiresharktrainingcombull 楊中皇 (民 97年 ) 網路安全理論與實務 (2版 ) 台北市學貫bull 蘇淑茵教授 Wireshark 民國 98年 6月 28日取自 httpmywebnckuedutw~sisou
2-129
網路安全
Wireshark 安裝步驟 (續 )
bull 此步驟使用預設路徑即可
2-70
網路安全
Wireshark 安裝步驟 (續 )
bull 此步驟將安裝Windows平台須加裝之套件 -WinPcap 若原系統未安裝過 WinPcap套件請以軟體預設項目安裝之
2-71
網路安全
Wireshark 安裝步驟 (續 )
bull 此步驟代表 Wireshark軟體已安裝完成可點選Finish 鈕或勾選 Run Wireshark 165 隨即使用該套軟體
2-72
網路安全
一般工具列Wireshark軟體介面介紹
2-73
篩選工具列封包清單窗格
封包內容窗格封包位元組窗格
網路安全
Wireshark 使用思考方向bull 遇到網路問題是否觀察網路通道中有異常動作或狀況
ndash 思考方向ndash 反應到擷取數據方法那麼以 Wireshark 擷取使用者需要擷取哪些數據這些數據由使用者電腦哪個裝置來擷取
bull Wireshark操作流程
bull 接下來我們進行軟體操作介紹
解決問題 擷取數據要先做什麼
擷取數據 擷取哪些數據( 過濾條件 )數據哪裡來( 網路介面卡 )
2-74
網路安全
數據哪裡來 - Capture功能bull 一開啟方式
ndash 1 點選快速鈕如紅色圈所示ndash 2 點選 Capture功能表 下拉選單後點選 Optionsndash 3鍵盤快速鍵 Ctrl + K
2-75
網路安全
數據哪裡來 - Capture功能 (續 )
bull 二開啟後顯示 Capture Options 的視窗畫面即可看到所提供的擷取功能選項
2-76
網路安全
數據哪裡來 - Capture功能 (續 )
bull Capture Options 常用的欄位設定ndash Caputure 框
bull 1Interface 會顯示出在系統上所有網路卡但只能選取一個介面作為封包擷取bull 2Capture packets in promiscuous mode 選取此選項就是經過所選取的網路卡的所有封包都會被擷取下來bull 3Capture Filter 指定擷取過濾器運算式擷取想要的特定封包即為擷取中過濾之功能
2-77
網路安全
數據哪裡來 - Capture功能 (續 )
bull Capture Options 常用的欄位設定ndash Display Options 框
bull Update list of packets in real time 指定在擷取封包過程中能夠即時更新已擷取封包清單窗格視窗中的封包資訊若取消則軟體主視窗更新畫面是沒有動作的
2-78
網路安全
bull Capture Options 常用的欄位設定ndash Name Resolution框
bull 1 Enable MAC name resolution 指定是否將網路卡MAC address 的前三個位元組轉換成製造商名稱
bull 2 Enable network name resolution 指定是否將 IP address轉換成 DNS 網域名稱
bull 3 Enable transport name resolution 指定是否將通信埠號碼 (port numbers)轉成協定名稱 (protocols)bull 各位了解數據從哪裡擷取的概念與操作之後即可以進一步加上附帶條件 (篩選條件 ) 等相關操作方式
數據哪裡來 - Capture功能 (續 )
2-79
網路安全
Wireshark操作手法bull 延續遇到問題的思考方向及軟體操作手法我們可以將操作流程分為兩種
ndash 擷取中過濾 (Filter while capturing)bull 優點僅擷取已知範圍資訊網路流量少bull 缺點需先了解問題類型避免可能有遺漏真正欲擷取資訊之狀況
ndash 檢視中過濾 (Filter packets while viewing)bull 優點不用先預設條件擷取所有封包資訊bull 缺點影響網路流量
先預設欲擷取條件 擷取數據
擷取數據 再篩選欲查詢數據2-80
網路安全
Wireshark操作手法 - 擷取中過濾bull 操作步驟
ndash 點選 Capture 下拉視窗選擇 Capture Filters 即呈現此視窗
bull 操作範例ndash 1於 Filter窗格中選擇 IP
Address 10112ndash 2於 Properties窗格中即顯示該選項的設定值如圖所示為 host 10112ndash 3 即可設定軟體僅針對
10112 的封包作擷取動作 延伸操作思考1 改變 Filter string 值得到什麼結果2 點選 Edit 窗格中的 New 鈕 新增自訂條件 2-81
網路安全
Wireshark操作手法 - 檢視中過濾bull 此步驟即以已擷取封包清單窗格為基礎以過濾條件過濾該清單bull 可直接選擇軟體預設項目如以下操作
ndash 操作步驟bull 點選 Analyze 下拉視窗選擇
Display Filters 即呈現此視窗ndash 操作範例
bull 1於 Filter窗格中選擇 IP Address 10112
bull 2於 Properties窗格中即顯示該選項的設定值如圖所示值為host 10112
bull 3 即可設定軟體僅針對 10112的封包作顯示動作 延伸操作思考1 可否進行進一步自訂設定值
2-82
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 若電腦 IP為 10112 欲篩選出 IP 來源為上述 IP 且協定為 TCP 80port 的所有封包ndash 操作步驟
bull 點選 Expression鈕即出現此視窗ndash 1於 Field name框選擇
IP項目中的 ipsrc - Source
ndash 2於 Relation框選擇 ==ndash 3於 Value [IPV4
address]填 入 10112ndash 4 點選 OK鈕 進階思考方式須考慮到例如是來源資訊是目標資訊是什麼協定等更細部所要之條件
2-83
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 再進行第二篩選條件ndash TCP 80 port
bull 操作步驟ndash 1先於 Filter string 輸入文字框「 ipsrc==
10112」後再加上一個空格及「 and 」再進行一次 Expression條件選擇
2-84
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
ndash 2於 Field name框選擇「 tcpdstport」ndash 3於 Relation框選擇「 ==」ndash 4於 Value框填入「 80」ndash 5 選擇「 OK」鈕
2-85
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 注意 Propeties框內的Filter string欄位值已改變為「 ipsrc == 10112 and tcpdstport == 80」
bull 確認條件正確後點選「 OK 」鈕即可發現已擷取封包清單窗格的項目均為所設定過濾條件過濾過結果2-86
網路安全
bull 可單選單一封包進行更進階查詢封包內容bull 操作方式為
ndash 點選其中一項封包項目點選滑鼠右鍵選擇Follow TCP Stream
Wireshark操作手法 - 檢視中過濾 (續 )
2-87
網路安全
ndash 此畫面即可看出該項 TCP 封包溝通內容Wireshark操作手法 - 檢視中過濾 (續 )
2-88
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 此功能將所擷取的封包清單使用多種方式呈現封包統計資料便於使用者查詢擷取時間內何種封包數量多寡及圖型顯示bull 操作步驟點選 Statistics 下拉視窗即呈現此視窗 顯示有關擷取清單的摘要以階梯式通訊協定列表顯示所擷取的所有封包
在特定 IP間顯示通訊流量顯示單一 IP 來往封包的流量
以時間軸顯示視覺化封包流量圖2-89
網路安全
bull 可查看到一時段內其封包總數與平均每秒傳遞接收封包數等相關資訊讓使用者了解平均一時段內網路流量狀況藉以初步獲得資訊
Wireshark操作手法 - 檢視中過濾 (續 )
2-90
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 讓使用者可透過階梯式封包分類表來查看哪一類封包佔為居多可進一步推測是否該類型封包影響到整體網路或是否有異常或不常見封包類型在網路中傳遞
2-91
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 將該擷取時段內封包清單檔以兩個特定 IP 之間對傳封包為區隔顯示出哪兩個特定 IP間傳遞封包數多寡bull 可讓使用者更進一步研判兩個特定 IP所屬設備傳遞狀況是否異常
2-92
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 將該擷取時段內封包清單檔以特定IP 傳遞封包數為區隔顯示出哪特定IP 傳遞封包數多寡
bull 可讓使用者更進一步研判該特定所屬設備傳遞封包數是否異常作為管制緊急管制或禁止通訊之證明2-93
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 以時間軸顯示視覺化封包流量圖bull 讓使用者可觀察所管理設備資訊流通量以了解設備是否能負荷或作相關調整等處置
2-94
網路安全
FTP 擷取密碼案例bull 於Wireshark軟體選擇 Capture 下拉選單功能項點選 Interfaces 選項
2-95
網路安全
FTP 擷取密碼案例 (續 )
bull 確認欲擷取封包之網卡名稱如紅色底線所示確認後點選 Start鈕
2-96
網路安全
FTP 擷取密碼案例 (續 )
bull 切換至 FTP Client 電腦開啟 FileZilla 程式後連線到 FTP Server 於 Host 填入10123 Username填入 tester Password填入testpw 後點選 Quickconnect鈕
2-97
網路安全
FTP 擷取密碼案例 (續 )
bull 擷取到的封包資訊會顯示於已擷取封包清單窗格內
2-98
網路安全
FTP 擷取密碼案例 (續 )
bull 使用 FTP軟體登入 ftp站後 Wireshark 將擷取到的使用者名稱與密碼如紅框所示
2-99
網路安全
FTP 擷取密碼案例 (續 )
bull 點選已擷取封包清單窗格的密碼資訊列如標示1 的紅框所示即可在封包內容窗格看到該密碼的位元碼如標示 2 的紅框所示
1
2
2-100
網路安全
架設實作 (三 )
Outlook Express 擷取密碼案例
2-101
網路安全
實驗環境介紹bull 以 Testbed建立一實驗相關拓樸及設定如下圖
OEClientOSWindows XP SP3IP 10112執行 Outlook Express
MailServerOSWindows XP SP3IP 10122安裝軟體 ArGoSoft Mail Server
2-102
WiresharkOSWindows XP SP3IP1 10113 IP2 10123安裝軟體 Wireshark
IP1IP2
網路安全
實驗拓樸 on TestbedTWISC- 建立完成的實驗拓樸
2-103
網路安全
郵件伺服器工具 - ArGoSoft Mail Server
bull 版本ndash 1892 Freeware
bull 支援作業平台ndash Windows
bull 下載位址ndash httpwwwsoftkingcomtwsoftdownloadaspfid3=7367
2-104
網路安全
郵件客戶端工具 - Outlook Express
bull 版本ndash 60
bull 支援作業平台ndash Windows
bull 下載位址ndash Windows 內建
2-105
網路安全
bull 安裝及設定郵件伺服器ndash 1下載並執行 ArGoSoft Mail Server軟體點選
Setup鈕
Outlook Express 擷取密碼案例
2-106
網路安全
ndash 1 點選 Next鈕ndash 2 點選 Start Installation鈕
Outlook Express 擷取密碼案例 (續 )
2-107
網路安全
ndash 3 點選 OK鈕ndash 4 點選 Finish鈕完成軟體安裝
Outlook Express 擷取密碼案例 (續 )
2-108
網路安全
ndash 5 點選使用者設定鈕如紅圈所示ndash 6 點選新增鈕如紅框所示
Outlook Express 擷取密碼案例 (續 )
2-109
網路安全
ndash 7填入使用者名稱 (tester) 及密碼 (testpw) 如紅圈所示填寫完成後點選 OK鈕ndash 8 點選 Close鈕關閉使用者設定視窗
Outlook Express 擷取密碼案例 (續 )
2-110
網路安全
ndash 9 點選選項鈕如左側圖中紅色圈所示ndash 10 點選紅色打勾鈕如右側圖中紅色圈所示
2-111
Outlook Express 擷取密碼案例 (續 )
網路安全
ndash 11該軟體會自動選取 DNS Server 待選取後點選 Yes鈕ndash 12 勾選 Allow Relay 選項如紅框所示
2-112
Outlook Express 擷取密碼案例 (續 )
網路安全
Outlook Express 擷取密碼案例 (續 )
bull 設定收信帳號ndash 1 點選 Tools功能選單選擇 Accounts 選項
2-113
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 2 點選 Add鈕選擇 Mail 選項
2-114
網路安全
ndash 3填入 tester 點選 Next鈕ndash 4填入 testertestcom 點選 Next鈕
Outlook Express 擷取密碼案例 (續 )
2-115
網路安全
ndash 5填入 10123 如紅框所示點選 Next鈕ndash 6填入帳號為 tester 及密碼為 testpw 點選 Next鈕
Outlook Express 擷取密碼案例 (續 )
2-116
網路安全
ndash 7 點選 Finish鈕ndash 8 點選 Close鈕
Outlook Express 擷取密碼案例 (續 )
2-117
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 模擬條件準備好後首先準備Wireshark 擷取動作開啟Wireshark
2-118
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 於Wireshark軟體選擇 Capture 下拉選單功能項點選 Interfaces 選項
2-119
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 確認欲擷取封包之網卡名稱如紅色底線所示確認後點選 Start鈕
2-120
網路安全
ndash 當使用者收發 email 時即被 Wireshark攔截封包ndash 有發現到該 Outlook Express帳號密碼是如此清晰可見的嗎
Outlook Express 擷取密碼案例 (續 )
2-121
網路安全
結論bull 學習了 Wireshark及WinDump 兩套網路封包擷取軟體基本概念如同電話側錄概念相同從中複製一連串資訊來分析與了解網路的流量及內容為何bull 當你發現網路速度緩慢等狀況你是否會反應到所學的基本概念來找尋問題所在bull 防範概念由此課程的實例可以了解網路內容如被有心人士擷取所造成的損失相當可觀故你是否有對策有哪些方式你可以應用來防範bull 正確的思考善用對的工具將對解決問題事半功倍
2-122
網路安全 2-123
Module 2-5 封包擷取與分析的專案實作()
網路安全
專案目的bull 建立遠端管理傳遞指令資訊環境bull 利用實際攔截封包操作的方式讓同學了解封包擷取運作與網路資訊流通的顧慮等相關議題
2-124
網路安全
專案描述bull 近年來遠端管理伺服器及網路服務普及光是密碼保護就足夠了嗎是否重點網段須全程加密還是作網段隔離經由此專案實作即可了解不僅部分加密仍有其風險所在網路架構如何規劃將是非常重要的課題bull 參考環境配置圖完成下列要求①環境裡的攔截封包主機是 Windows XP SP3 作業系統而該主機安裝Wireshark軟體②另兩台主機的作業系統亦是 Windows XP SP3 並裝上
MySQL軟體 MySQL帳號為 root 密碼為您的學號 (如 Q3896105)
③在MySQLClient 電腦使用 MySQL Commandline 指令連線至MySQLServer 擷取資料庫資訊
④我們針對這兩台主機傳訊的封包擷取由整個實做中思考如何防範資訊外洩與了解傳訊封包如何流動及運作2-125
網路安全
環境配置圖bull 以 Testbed建立一實驗相關拓樸及設定如下圖
MySQLServerOSWINXP-SP3-CH-pc3000 IP 10123安裝軟體 MySQL
MySQLClientOSWINXP-SP3-CH-pc3000 IP 10112安裝軟體 MySQL
2-126
WireSharkOSWINXP-SP3-CH-pc3000 IP1 10113IP2 10122安裝軟體 Wireshark
IP1IP2
網路安全
作業繳交bull 請參考情境測試發送數個 SQL 指令並將過程與擷取到的封包資訊之截圖列於報告中所有圖表皆需要輔以文字說明bull Deadline 2012312 下午 500 以前bull 作業範圍 Module 2-5 (page 2-128)bull 方式 (參考課程網址 )
ndash 帳號密碼小寫的 (ns100ns100)ndash IP 140116164167
2-127
網路安全
有問題嗎
bull 關於 TestBed 使用上的問題請直接 Email至 twisc-testbed-usergooglegroupscom 將有專人為您服務bull 課程網址
httpitlabeenckuedutwcoursesNS_100indexhtml
2-128
bull 助教資訊 (參考課程網址 )
網路安全
參考資料bull Dienet httplinuxdienetman1wiresharkbull Orebaugh Angela Ramirez Gilbert Burke Josh Pesce Larry Wright
Joshua(2007) Wireshark and Ethereal network protocol analyzer toolkitbull Tony Fortunato(2007) Wireshark Training Retrieved July 22 2009 from
the World Wide Web httpwwwthetechfirmcometherealwiresharkpdfbull WinDump httpwwwwinpcaporgWinDumpbull Wireshark httpwwwwiresharkorgbull Wireshark University httpwwwwiresharktrainingcombull 楊中皇 (民 97年 ) 網路安全理論與實務 (2版 ) 台北市學貫bull 蘇淑茵教授 Wireshark 民國 98年 6月 28日取自 httpmywebnckuedutw~sisou
2-129
網路安全
Wireshark 安裝步驟 (續 )
bull 此步驟將安裝Windows平台須加裝之套件 -WinPcap 若原系統未安裝過 WinPcap套件請以軟體預設項目安裝之
2-71
網路安全
Wireshark 安裝步驟 (續 )
bull 此步驟代表 Wireshark軟體已安裝完成可點選Finish 鈕或勾選 Run Wireshark 165 隨即使用該套軟體
2-72
網路安全
一般工具列Wireshark軟體介面介紹
2-73
篩選工具列封包清單窗格
封包內容窗格封包位元組窗格
網路安全
Wireshark 使用思考方向bull 遇到網路問題是否觀察網路通道中有異常動作或狀況
ndash 思考方向ndash 反應到擷取數據方法那麼以 Wireshark 擷取使用者需要擷取哪些數據這些數據由使用者電腦哪個裝置來擷取
bull Wireshark操作流程
bull 接下來我們進行軟體操作介紹
解決問題 擷取數據要先做什麼
擷取數據 擷取哪些數據( 過濾條件 )數據哪裡來( 網路介面卡 )
2-74
網路安全
數據哪裡來 - Capture功能bull 一開啟方式
ndash 1 點選快速鈕如紅色圈所示ndash 2 點選 Capture功能表 下拉選單後點選 Optionsndash 3鍵盤快速鍵 Ctrl + K
2-75
網路安全
數據哪裡來 - Capture功能 (續 )
bull 二開啟後顯示 Capture Options 的視窗畫面即可看到所提供的擷取功能選項
2-76
網路安全
數據哪裡來 - Capture功能 (續 )
bull Capture Options 常用的欄位設定ndash Caputure 框
bull 1Interface 會顯示出在系統上所有網路卡但只能選取一個介面作為封包擷取bull 2Capture packets in promiscuous mode 選取此選項就是經過所選取的網路卡的所有封包都會被擷取下來bull 3Capture Filter 指定擷取過濾器運算式擷取想要的特定封包即為擷取中過濾之功能
2-77
網路安全
數據哪裡來 - Capture功能 (續 )
bull Capture Options 常用的欄位設定ndash Display Options 框
bull Update list of packets in real time 指定在擷取封包過程中能夠即時更新已擷取封包清單窗格視窗中的封包資訊若取消則軟體主視窗更新畫面是沒有動作的
2-78
網路安全
bull Capture Options 常用的欄位設定ndash Name Resolution框
bull 1 Enable MAC name resolution 指定是否將網路卡MAC address 的前三個位元組轉換成製造商名稱
bull 2 Enable network name resolution 指定是否將 IP address轉換成 DNS 網域名稱
bull 3 Enable transport name resolution 指定是否將通信埠號碼 (port numbers)轉成協定名稱 (protocols)bull 各位了解數據從哪裡擷取的概念與操作之後即可以進一步加上附帶條件 (篩選條件 ) 等相關操作方式
數據哪裡來 - Capture功能 (續 )
2-79
網路安全
Wireshark操作手法bull 延續遇到問題的思考方向及軟體操作手法我們可以將操作流程分為兩種
ndash 擷取中過濾 (Filter while capturing)bull 優點僅擷取已知範圍資訊網路流量少bull 缺點需先了解問題類型避免可能有遺漏真正欲擷取資訊之狀況
ndash 檢視中過濾 (Filter packets while viewing)bull 優點不用先預設條件擷取所有封包資訊bull 缺點影響網路流量
先預設欲擷取條件 擷取數據
擷取數據 再篩選欲查詢數據2-80
網路安全
Wireshark操作手法 - 擷取中過濾bull 操作步驟
ndash 點選 Capture 下拉視窗選擇 Capture Filters 即呈現此視窗
bull 操作範例ndash 1於 Filter窗格中選擇 IP
Address 10112ndash 2於 Properties窗格中即顯示該選項的設定值如圖所示為 host 10112ndash 3 即可設定軟體僅針對
10112 的封包作擷取動作 延伸操作思考1 改變 Filter string 值得到什麼結果2 點選 Edit 窗格中的 New 鈕 新增自訂條件 2-81
網路安全
Wireshark操作手法 - 檢視中過濾bull 此步驟即以已擷取封包清單窗格為基礎以過濾條件過濾該清單bull 可直接選擇軟體預設項目如以下操作
ndash 操作步驟bull 點選 Analyze 下拉視窗選擇
Display Filters 即呈現此視窗ndash 操作範例
bull 1於 Filter窗格中選擇 IP Address 10112
bull 2於 Properties窗格中即顯示該選項的設定值如圖所示值為host 10112
bull 3 即可設定軟體僅針對 10112的封包作顯示動作 延伸操作思考1 可否進行進一步自訂設定值
2-82
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 若電腦 IP為 10112 欲篩選出 IP 來源為上述 IP 且協定為 TCP 80port 的所有封包ndash 操作步驟
bull 點選 Expression鈕即出現此視窗ndash 1於 Field name框選擇
IP項目中的 ipsrc - Source
ndash 2於 Relation框選擇 ==ndash 3於 Value [IPV4
address]填 入 10112ndash 4 點選 OK鈕 進階思考方式須考慮到例如是來源資訊是目標資訊是什麼協定等更細部所要之條件
2-83
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 再進行第二篩選條件ndash TCP 80 port
bull 操作步驟ndash 1先於 Filter string 輸入文字框「 ipsrc==
10112」後再加上一個空格及「 and 」再進行一次 Expression條件選擇
2-84
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
ndash 2於 Field name框選擇「 tcpdstport」ndash 3於 Relation框選擇「 ==」ndash 4於 Value框填入「 80」ndash 5 選擇「 OK」鈕
2-85
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 注意 Propeties框內的Filter string欄位值已改變為「 ipsrc == 10112 and tcpdstport == 80」
bull 確認條件正確後點選「 OK 」鈕即可發現已擷取封包清單窗格的項目均為所設定過濾條件過濾過結果2-86
網路安全
bull 可單選單一封包進行更進階查詢封包內容bull 操作方式為
ndash 點選其中一項封包項目點選滑鼠右鍵選擇Follow TCP Stream
Wireshark操作手法 - 檢視中過濾 (續 )
2-87
網路安全
ndash 此畫面即可看出該項 TCP 封包溝通內容Wireshark操作手法 - 檢視中過濾 (續 )
2-88
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 此功能將所擷取的封包清單使用多種方式呈現封包統計資料便於使用者查詢擷取時間內何種封包數量多寡及圖型顯示bull 操作步驟點選 Statistics 下拉視窗即呈現此視窗 顯示有關擷取清單的摘要以階梯式通訊協定列表顯示所擷取的所有封包
在特定 IP間顯示通訊流量顯示單一 IP 來往封包的流量
以時間軸顯示視覺化封包流量圖2-89
網路安全
bull 可查看到一時段內其封包總數與平均每秒傳遞接收封包數等相關資訊讓使用者了解平均一時段內網路流量狀況藉以初步獲得資訊
Wireshark操作手法 - 檢視中過濾 (續 )
2-90
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 讓使用者可透過階梯式封包分類表來查看哪一類封包佔為居多可進一步推測是否該類型封包影響到整體網路或是否有異常或不常見封包類型在網路中傳遞
2-91
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 將該擷取時段內封包清單檔以兩個特定 IP 之間對傳封包為區隔顯示出哪兩個特定 IP間傳遞封包數多寡bull 可讓使用者更進一步研判兩個特定 IP所屬設備傳遞狀況是否異常
2-92
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 將該擷取時段內封包清單檔以特定IP 傳遞封包數為區隔顯示出哪特定IP 傳遞封包數多寡
bull 可讓使用者更進一步研判該特定所屬設備傳遞封包數是否異常作為管制緊急管制或禁止通訊之證明2-93
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 以時間軸顯示視覺化封包流量圖bull 讓使用者可觀察所管理設備資訊流通量以了解設備是否能負荷或作相關調整等處置
2-94
網路安全
FTP 擷取密碼案例bull 於Wireshark軟體選擇 Capture 下拉選單功能項點選 Interfaces 選項
2-95
網路安全
FTP 擷取密碼案例 (續 )
bull 確認欲擷取封包之網卡名稱如紅色底線所示確認後點選 Start鈕
2-96
網路安全
FTP 擷取密碼案例 (續 )
bull 切換至 FTP Client 電腦開啟 FileZilla 程式後連線到 FTP Server 於 Host 填入10123 Username填入 tester Password填入testpw 後點選 Quickconnect鈕
2-97
網路安全
FTP 擷取密碼案例 (續 )
bull 擷取到的封包資訊會顯示於已擷取封包清單窗格內
2-98
網路安全
FTP 擷取密碼案例 (續 )
bull 使用 FTP軟體登入 ftp站後 Wireshark 將擷取到的使用者名稱與密碼如紅框所示
2-99
網路安全
FTP 擷取密碼案例 (續 )
bull 點選已擷取封包清單窗格的密碼資訊列如標示1 的紅框所示即可在封包內容窗格看到該密碼的位元碼如標示 2 的紅框所示
1
2
2-100
網路安全
架設實作 (三 )
Outlook Express 擷取密碼案例
2-101
網路安全
實驗環境介紹bull 以 Testbed建立一實驗相關拓樸及設定如下圖
OEClientOSWindows XP SP3IP 10112執行 Outlook Express
MailServerOSWindows XP SP3IP 10122安裝軟體 ArGoSoft Mail Server
2-102
WiresharkOSWindows XP SP3IP1 10113 IP2 10123安裝軟體 Wireshark
IP1IP2
網路安全
實驗拓樸 on TestbedTWISC- 建立完成的實驗拓樸
2-103
網路安全
郵件伺服器工具 - ArGoSoft Mail Server
bull 版本ndash 1892 Freeware
bull 支援作業平台ndash Windows
bull 下載位址ndash httpwwwsoftkingcomtwsoftdownloadaspfid3=7367
2-104
網路安全
郵件客戶端工具 - Outlook Express
bull 版本ndash 60
bull 支援作業平台ndash Windows
bull 下載位址ndash Windows 內建
2-105
網路安全
bull 安裝及設定郵件伺服器ndash 1下載並執行 ArGoSoft Mail Server軟體點選
Setup鈕
Outlook Express 擷取密碼案例
2-106
網路安全
ndash 1 點選 Next鈕ndash 2 點選 Start Installation鈕
Outlook Express 擷取密碼案例 (續 )
2-107
網路安全
ndash 3 點選 OK鈕ndash 4 點選 Finish鈕完成軟體安裝
Outlook Express 擷取密碼案例 (續 )
2-108
網路安全
ndash 5 點選使用者設定鈕如紅圈所示ndash 6 點選新增鈕如紅框所示
Outlook Express 擷取密碼案例 (續 )
2-109
網路安全
ndash 7填入使用者名稱 (tester) 及密碼 (testpw) 如紅圈所示填寫完成後點選 OK鈕ndash 8 點選 Close鈕關閉使用者設定視窗
Outlook Express 擷取密碼案例 (續 )
2-110
網路安全
ndash 9 點選選項鈕如左側圖中紅色圈所示ndash 10 點選紅色打勾鈕如右側圖中紅色圈所示
2-111
Outlook Express 擷取密碼案例 (續 )
網路安全
ndash 11該軟體會自動選取 DNS Server 待選取後點選 Yes鈕ndash 12 勾選 Allow Relay 選項如紅框所示
2-112
Outlook Express 擷取密碼案例 (續 )
網路安全
Outlook Express 擷取密碼案例 (續 )
bull 設定收信帳號ndash 1 點選 Tools功能選單選擇 Accounts 選項
2-113
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 2 點選 Add鈕選擇 Mail 選項
2-114
網路安全
ndash 3填入 tester 點選 Next鈕ndash 4填入 testertestcom 點選 Next鈕
Outlook Express 擷取密碼案例 (續 )
2-115
網路安全
ndash 5填入 10123 如紅框所示點選 Next鈕ndash 6填入帳號為 tester 及密碼為 testpw 點選 Next鈕
Outlook Express 擷取密碼案例 (續 )
2-116
網路安全
ndash 7 點選 Finish鈕ndash 8 點選 Close鈕
Outlook Express 擷取密碼案例 (續 )
2-117
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 模擬條件準備好後首先準備Wireshark 擷取動作開啟Wireshark
2-118
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 於Wireshark軟體選擇 Capture 下拉選單功能項點選 Interfaces 選項
2-119
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 確認欲擷取封包之網卡名稱如紅色底線所示確認後點選 Start鈕
2-120
網路安全
ndash 當使用者收發 email 時即被 Wireshark攔截封包ndash 有發現到該 Outlook Express帳號密碼是如此清晰可見的嗎
Outlook Express 擷取密碼案例 (續 )
2-121
網路安全
結論bull 學習了 Wireshark及WinDump 兩套網路封包擷取軟體基本概念如同電話側錄概念相同從中複製一連串資訊來分析與了解網路的流量及內容為何bull 當你發現網路速度緩慢等狀況你是否會反應到所學的基本概念來找尋問題所在bull 防範概念由此課程的實例可以了解網路內容如被有心人士擷取所造成的損失相當可觀故你是否有對策有哪些方式你可以應用來防範bull 正確的思考善用對的工具將對解決問題事半功倍
2-122
網路安全 2-123
Module 2-5 封包擷取與分析的專案實作()
網路安全
專案目的bull 建立遠端管理傳遞指令資訊環境bull 利用實際攔截封包操作的方式讓同學了解封包擷取運作與網路資訊流通的顧慮等相關議題
2-124
網路安全
專案描述bull 近年來遠端管理伺服器及網路服務普及光是密碼保護就足夠了嗎是否重點網段須全程加密還是作網段隔離經由此專案實作即可了解不僅部分加密仍有其風險所在網路架構如何規劃將是非常重要的課題bull 參考環境配置圖完成下列要求①環境裡的攔截封包主機是 Windows XP SP3 作業系統而該主機安裝Wireshark軟體②另兩台主機的作業系統亦是 Windows XP SP3 並裝上
MySQL軟體 MySQL帳號為 root 密碼為您的學號 (如 Q3896105)
③在MySQLClient 電腦使用 MySQL Commandline 指令連線至MySQLServer 擷取資料庫資訊
④我們針對這兩台主機傳訊的封包擷取由整個實做中思考如何防範資訊外洩與了解傳訊封包如何流動及運作2-125
網路安全
環境配置圖bull 以 Testbed建立一實驗相關拓樸及設定如下圖
MySQLServerOSWINXP-SP3-CH-pc3000 IP 10123安裝軟體 MySQL
MySQLClientOSWINXP-SP3-CH-pc3000 IP 10112安裝軟體 MySQL
2-126
WireSharkOSWINXP-SP3-CH-pc3000 IP1 10113IP2 10122安裝軟體 Wireshark
IP1IP2
網路安全
作業繳交bull 請參考情境測試發送數個 SQL 指令並將過程與擷取到的封包資訊之截圖列於報告中所有圖表皆需要輔以文字說明bull Deadline 2012312 下午 500 以前bull 作業範圍 Module 2-5 (page 2-128)bull 方式 (參考課程網址 )
ndash 帳號密碼小寫的 (ns100ns100)ndash IP 140116164167
2-127
網路安全
有問題嗎
bull 關於 TestBed 使用上的問題請直接 Email至 twisc-testbed-usergooglegroupscom 將有專人為您服務bull 課程網址
httpitlabeenckuedutwcoursesNS_100indexhtml
2-128
bull 助教資訊 (參考課程網址 )
網路安全
參考資料bull Dienet httplinuxdienetman1wiresharkbull Orebaugh Angela Ramirez Gilbert Burke Josh Pesce Larry Wright
Joshua(2007) Wireshark and Ethereal network protocol analyzer toolkitbull Tony Fortunato(2007) Wireshark Training Retrieved July 22 2009 from
the World Wide Web httpwwwthetechfirmcometherealwiresharkpdfbull WinDump httpwwwwinpcaporgWinDumpbull Wireshark httpwwwwiresharkorgbull Wireshark University httpwwwwiresharktrainingcombull 楊中皇 (民 97年 ) 網路安全理論與實務 (2版 ) 台北市學貫bull 蘇淑茵教授 Wireshark 民國 98年 6月 28日取自 httpmywebnckuedutw~sisou
2-129
網路安全
Wireshark 安裝步驟 (續 )
bull 此步驟代表 Wireshark軟體已安裝完成可點選Finish 鈕或勾選 Run Wireshark 165 隨即使用該套軟體
2-72
網路安全
一般工具列Wireshark軟體介面介紹
2-73
篩選工具列封包清單窗格
封包內容窗格封包位元組窗格
網路安全
Wireshark 使用思考方向bull 遇到網路問題是否觀察網路通道中有異常動作或狀況
ndash 思考方向ndash 反應到擷取數據方法那麼以 Wireshark 擷取使用者需要擷取哪些數據這些數據由使用者電腦哪個裝置來擷取
bull Wireshark操作流程
bull 接下來我們進行軟體操作介紹
解決問題 擷取數據要先做什麼
擷取數據 擷取哪些數據( 過濾條件 )數據哪裡來( 網路介面卡 )
2-74
網路安全
數據哪裡來 - Capture功能bull 一開啟方式
ndash 1 點選快速鈕如紅色圈所示ndash 2 點選 Capture功能表 下拉選單後點選 Optionsndash 3鍵盤快速鍵 Ctrl + K
2-75
網路安全
數據哪裡來 - Capture功能 (續 )
bull 二開啟後顯示 Capture Options 的視窗畫面即可看到所提供的擷取功能選項
2-76
網路安全
數據哪裡來 - Capture功能 (續 )
bull Capture Options 常用的欄位設定ndash Caputure 框
bull 1Interface 會顯示出在系統上所有網路卡但只能選取一個介面作為封包擷取bull 2Capture packets in promiscuous mode 選取此選項就是經過所選取的網路卡的所有封包都會被擷取下來bull 3Capture Filter 指定擷取過濾器運算式擷取想要的特定封包即為擷取中過濾之功能
2-77
網路安全
數據哪裡來 - Capture功能 (續 )
bull Capture Options 常用的欄位設定ndash Display Options 框
bull Update list of packets in real time 指定在擷取封包過程中能夠即時更新已擷取封包清單窗格視窗中的封包資訊若取消則軟體主視窗更新畫面是沒有動作的
2-78
網路安全
bull Capture Options 常用的欄位設定ndash Name Resolution框
bull 1 Enable MAC name resolution 指定是否將網路卡MAC address 的前三個位元組轉換成製造商名稱
bull 2 Enable network name resolution 指定是否將 IP address轉換成 DNS 網域名稱
bull 3 Enable transport name resolution 指定是否將通信埠號碼 (port numbers)轉成協定名稱 (protocols)bull 各位了解數據從哪裡擷取的概念與操作之後即可以進一步加上附帶條件 (篩選條件 ) 等相關操作方式
數據哪裡來 - Capture功能 (續 )
2-79
網路安全
Wireshark操作手法bull 延續遇到問題的思考方向及軟體操作手法我們可以將操作流程分為兩種
ndash 擷取中過濾 (Filter while capturing)bull 優點僅擷取已知範圍資訊網路流量少bull 缺點需先了解問題類型避免可能有遺漏真正欲擷取資訊之狀況
ndash 檢視中過濾 (Filter packets while viewing)bull 優點不用先預設條件擷取所有封包資訊bull 缺點影響網路流量
先預設欲擷取條件 擷取數據
擷取數據 再篩選欲查詢數據2-80
網路安全
Wireshark操作手法 - 擷取中過濾bull 操作步驟
ndash 點選 Capture 下拉視窗選擇 Capture Filters 即呈現此視窗
bull 操作範例ndash 1於 Filter窗格中選擇 IP
Address 10112ndash 2於 Properties窗格中即顯示該選項的設定值如圖所示為 host 10112ndash 3 即可設定軟體僅針對
10112 的封包作擷取動作 延伸操作思考1 改變 Filter string 值得到什麼結果2 點選 Edit 窗格中的 New 鈕 新增自訂條件 2-81
網路安全
Wireshark操作手法 - 檢視中過濾bull 此步驟即以已擷取封包清單窗格為基礎以過濾條件過濾該清單bull 可直接選擇軟體預設項目如以下操作
ndash 操作步驟bull 點選 Analyze 下拉視窗選擇
Display Filters 即呈現此視窗ndash 操作範例
bull 1於 Filter窗格中選擇 IP Address 10112
bull 2於 Properties窗格中即顯示該選項的設定值如圖所示值為host 10112
bull 3 即可設定軟體僅針對 10112的封包作顯示動作 延伸操作思考1 可否進行進一步自訂設定值
2-82
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 若電腦 IP為 10112 欲篩選出 IP 來源為上述 IP 且協定為 TCP 80port 的所有封包ndash 操作步驟
bull 點選 Expression鈕即出現此視窗ndash 1於 Field name框選擇
IP項目中的 ipsrc - Source
ndash 2於 Relation框選擇 ==ndash 3於 Value [IPV4
address]填 入 10112ndash 4 點選 OK鈕 進階思考方式須考慮到例如是來源資訊是目標資訊是什麼協定等更細部所要之條件
2-83
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 再進行第二篩選條件ndash TCP 80 port
bull 操作步驟ndash 1先於 Filter string 輸入文字框「 ipsrc==
10112」後再加上一個空格及「 and 」再進行一次 Expression條件選擇
2-84
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
ndash 2於 Field name框選擇「 tcpdstport」ndash 3於 Relation框選擇「 ==」ndash 4於 Value框填入「 80」ndash 5 選擇「 OK」鈕
2-85
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 注意 Propeties框內的Filter string欄位值已改變為「 ipsrc == 10112 and tcpdstport == 80」
bull 確認條件正確後點選「 OK 」鈕即可發現已擷取封包清單窗格的項目均為所設定過濾條件過濾過結果2-86
網路安全
bull 可單選單一封包進行更進階查詢封包內容bull 操作方式為
ndash 點選其中一項封包項目點選滑鼠右鍵選擇Follow TCP Stream
Wireshark操作手法 - 檢視中過濾 (續 )
2-87
網路安全
ndash 此畫面即可看出該項 TCP 封包溝通內容Wireshark操作手法 - 檢視中過濾 (續 )
2-88
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 此功能將所擷取的封包清單使用多種方式呈現封包統計資料便於使用者查詢擷取時間內何種封包數量多寡及圖型顯示bull 操作步驟點選 Statistics 下拉視窗即呈現此視窗 顯示有關擷取清單的摘要以階梯式通訊協定列表顯示所擷取的所有封包
在特定 IP間顯示通訊流量顯示單一 IP 來往封包的流量
以時間軸顯示視覺化封包流量圖2-89
網路安全
bull 可查看到一時段內其封包總數與平均每秒傳遞接收封包數等相關資訊讓使用者了解平均一時段內網路流量狀況藉以初步獲得資訊
Wireshark操作手法 - 檢視中過濾 (續 )
2-90
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 讓使用者可透過階梯式封包分類表來查看哪一類封包佔為居多可進一步推測是否該類型封包影響到整體網路或是否有異常或不常見封包類型在網路中傳遞
2-91
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 將該擷取時段內封包清單檔以兩個特定 IP 之間對傳封包為區隔顯示出哪兩個特定 IP間傳遞封包數多寡bull 可讓使用者更進一步研判兩個特定 IP所屬設備傳遞狀況是否異常
2-92
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 將該擷取時段內封包清單檔以特定IP 傳遞封包數為區隔顯示出哪特定IP 傳遞封包數多寡
bull 可讓使用者更進一步研判該特定所屬設備傳遞封包數是否異常作為管制緊急管制或禁止通訊之證明2-93
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 以時間軸顯示視覺化封包流量圖bull 讓使用者可觀察所管理設備資訊流通量以了解設備是否能負荷或作相關調整等處置
2-94
網路安全
FTP 擷取密碼案例bull 於Wireshark軟體選擇 Capture 下拉選單功能項點選 Interfaces 選項
2-95
網路安全
FTP 擷取密碼案例 (續 )
bull 確認欲擷取封包之網卡名稱如紅色底線所示確認後點選 Start鈕
2-96
網路安全
FTP 擷取密碼案例 (續 )
bull 切換至 FTP Client 電腦開啟 FileZilla 程式後連線到 FTP Server 於 Host 填入10123 Username填入 tester Password填入testpw 後點選 Quickconnect鈕
2-97
網路安全
FTP 擷取密碼案例 (續 )
bull 擷取到的封包資訊會顯示於已擷取封包清單窗格內
2-98
網路安全
FTP 擷取密碼案例 (續 )
bull 使用 FTP軟體登入 ftp站後 Wireshark 將擷取到的使用者名稱與密碼如紅框所示
2-99
網路安全
FTP 擷取密碼案例 (續 )
bull 點選已擷取封包清單窗格的密碼資訊列如標示1 的紅框所示即可在封包內容窗格看到該密碼的位元碼如標示 2 的紅框所示
1
2
2-100
網路安全
架設實作 (三 )
Outlook Express 擷取密碼案例
2-101
網路安全
實驗環境介紹bull 以 Testbed建立一實驗相關拓樸及設定如下圖
OEClientOSWindows XP SP3IP 10112執行 Outlook Express
MailServerOSWindows XP SP3IP 10122安裝軟體 ArGoSoft Mail Server
2-102
WiresharkOSWindows XP SP3IP1 10113 IP2 10123安裝軟體 Wireshark
IP1IP2
網路安全
實驗拓樸 on TestbedTWISC- 建立完成的實驗拓樸
2-103
網路安全
郵件伺服器工具 - ArGoSoft Mail Server
bull 版本ndash 1892 Freeware
bull 支援作業平台ndash Windows
bull 下載位址ndash httpwwwsoftkingcomtwsoftdownloadaspfid3=7367
2-104
網路安全
郵件客戶端工具 - Outlook Express
bull 版本ndash 60
bull 支援作業平台ndash Windows
bull 下載位址ndash Windows 內建
2-105
網路安全
bull 安裝及設定郵件伺服器ndash 1下載並執行 ArGoSoft Mail Server軟體點選
Setup鈕
Outlook Express 擷取密碼案例
2-106
網路安全
ndash 1 點選 Next鈕ndash 2 點選 Start Installation鈕
Outlook Express 擷取密碼案例 (續 )
2-107
網路安全
ndash 3 點選 OK鈕ndash 4 點選 Finish鈕完成軟體安裝
Outlook Express 擷取密碼案例 (續 )
2-108
網路安全
ndash 5 點選使用者設定鈕如紅圈所示ndash 6 點選新增鈕如紅框所示
Outlook Express 擷取密碼案例 (續 )
2-109
網路安全
ndash 7填入使用者名稱 (tester) 及密碼 (testpw) 如紅圈所示填寫完成後點選 OK鈕ndash 8 點選 Close鈕關閉使用者設定視窗
Outlook Express 擷取密碼案例 (續 )
2-110
網路安全
ndash 9 點選選項鈕如左側圖中紅色圈所示ndash 10 點選紅色打勾鈕如右側圖中紅色圈所示
2-111
Outlook Express 擷取密碼案例 (續 )
網路安全
ndash 11該軟體會自動選取 DNS Server 待選取後點選 Yes鈕ndash 12 勾選 Allow Relay 選項如紅框所示
2-112
Outlook Express 擷取密碼案例 (續 )
網路安全
Outlook Express 擷取密碼案例 (續 )
bull 設定收信帳號ndash 1 點選 Tools功能選單選擇 Accounts 選項
2-113
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 2 點選 Add鈕選擇 Mail 選項
2-114
網路安全
ndash 3填入 tester 點選 Next鈕ndash 4填入 testertestcom 點選 Next鈕
Outlook Express 擷取密碼案例 (續 )
2-115
網路安全
ndash 5填入 10123 如紅框所示點選 Next鈕ndash 6填入帳號為 tester 及密碼為 testpw 點選 Next鈕
Outlook Express 擷取密碼案例 (續 )
2-116
網路安全
ndash 7 點選 Finish鈕ndash 8 點選 Close鈕
Outlook Express 擷取密碼案例 (續 )
2-117
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 模擬條件準備好後首先準備Wireshark 擷取動作開啟Wireshark
2-118
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 於Wireshark軟體選擇 Capture 下拉選單功能項點選 Interfaces 選項
2-119
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 確認欲擷取封包之網卡名稱如紅色底線所示確認後點選 Start鈕
2-120
網路安全
ndash 當使用者收發 email 時即被 Wireshark攔截封包ndash 有發現到該 Outlook Express帳號密碼是如此清晰可見的嗎
Outlook Express 擷取密碼案例 (續 )
2-121
網路安全
結論bull 學習了 Wireshark及WinDump 兩套網路封包擷取軟體基本概念如同電話側錄概念相同從中複製一連串資訊來分析與了解網路的流量及內容為何bull 當你發現網路速度緩慢等狀況你是否會反應到所學的基本概念來找尋問題所在bull 防範概念由此課程的實例可以了解網路內容如被有心人士擷取所造成的損失相當可觀故你是否有對策有哪些方式你可以應用來防範bull 正確的思考善用對的工具將對解決問題事半功倍
2-122
網路安全 2-123
Module 2-5 封包擷取與分析的專案實作()
網路安全
專案目的bull 建立遠端管理傳遞指令資訊環境bull 利用實際攔截封包操作的方式讓同學了解封包擷取運作與網路資訊流通的顧慮等相關議題
2-124
網路安全
專案描述bull 近年來遠端管理伺服器及網路服務普及光是密碼保護就足夠了嗎是否重點網段須全程加密還是作網段隔離經由此專案實作即可了解不僅部分加密仍有其風險所在網路架構如何規劃將是非常重要的課題bull 參考環境配置圖完成下列要求①環境裡的攔截封包主機是 Windows XP SP3 作業系統而該主機安裝Wireshark軟體②另兩台主機的作業系統亦是 Windows XP SP3 並裝上
MySQL軟體 MySQL帳號為 root 密碼為您的學號 (如 Q3896105)
③在MySQLClient 電腦使用 MySQL Commandline 指令連線至MySQLServer 擷取資料庫資訊
④我們針對這兩台主機傳訊的封包擷取由整個實做中思考如何防範資訊外洩與了解傳訊封包如何流動及運作2-125
網路安全
環境配置圖bull 以 Testbed建立一實驗相關拓樸及設定如下圖
MySQLServerOSWINXP-SP3-CH-pc3000 IP 10123安裝軟體 MySQL
MySQLClientOSWINXP-SP3-CH-pc3000 IP 10112安裝軟體 MySQL
2-126
WireSharkOSWINXP-SP3-CH-pc3000 IP1 10113IP2 10122安裝軟體 Wireshark
IP1IP2
網路安全
作業繳交bull 請參考情境測試發送數個 SQL 指令並將過程與擷取到的封包資訊之截圖列於報告中所有圖表皆需要輔以文字說明bull Deadline 2012312 下午 500 以前bull 作業範圍 Module 2-5 (page 2-128)bull 方式 (參考課程網址 )
ndash 帳號密碼小寫的 (ns100ns100)ndash IP 140116164167
2-127
網路安全
有問題嗎
bull 關於 TestBed 使用上的問題請直接 Email至 twisc-testbed-usergooglegroupscom 將有專人為您服務bull 課程網址
httpitlabeenckuedutwcoursesNS_100indexhtml
2-128
bull 助教資訊 (參考課程網址 )
網路安全
參考資料bull Dienet httplinuxdienetman1wiresharkbull Orebaugh Angela Ramirez Gilbert Burke Josh Pesce Larry Wright
Joshua(2007) Wireshark and Ethereal network protocol analyzer toolkitbull Tony Fortunato(2007) Wireshark Training Retrieved July 22 2009 from
the World Wide Web httpwwwthetechfirmcometherealwiresharkpdfbull WinDump httpwwwwinpcaporgWinDumpbull Wireshark httpwwwwiresharkorgbull Wireshark University httpwwwwiresharktrainingcombull 楊中皇 (民 97年 ) 網路安全理論與實務 (2版 ) 台北市學貫bull 蘇淑茵教授 Wireshark 民國 98年 6月 28日取自 httpmywebnckuedutw~sisou
2-129
網路安全
一般工具列Wireshark軟體介面介紹
2-73
篩選工具列封包清單窗格
封包內容窗格封包位元組窗格
網路安全
Wireshark 使用思考方向bull 遇到網路問題是否觀察網路通道中有異常動作或狀況
ndash 思考方向ndash 反應到擷取數據方法那麼以 Wireshark 擷取使用者需要擷取哪些數據這些數據由使用者電腦哪個裝置來擷取
bull Wireshark操作流程
bull 接下來我們進行軟體操作介紹
解決問題 擷取數據要先做什麼
擷取數據 擷取哪些數據( 過濾條件 )數據哪裡來( 網路介面卡 )
2-74
網路安全
數據哪裡來 - Capture功能bull 一開啟方式
ndash 1 點選快速鈕如紅色圈所示ndash 2 點選 Capture功能表 下拉選單後點選 Optionsndash 3鍵盤快速鍵 Ctrl + K
2-75
網路安全
數據哪裡來 - Capture功能 (續 )
bull 二開啟後顯示 Capture Options 的視窗畫面即可看到所提供的擷取功能選項
2-76
網路安全
數據哪裡來 - Capture功能 (續 )
bull Capture Options 常用的欄位設定ndash Caputure 框
bull 1Interface 會顯示出在系統上所有網路卡但只能選取一個介面作為封包擷取bull 2Capture packets in promiscuous mode 選取此選項就是經過所選取的網路卡的所有封包都會被擷取下來bull 3Capture Filter 指定擷取過濾器運算式擷取想要的特定封包即為擷取中過濾之功能
2-77
網路安全
數據哪裡來 - Capture功能 (續 )
bull Capture Options 常用的欄位設定ndash Display Options 框
bull Update list of packets in real time 指定在擷取封包過程中能夠即時更新已擷取封包清單窗格視窗中的封包資訊若取消則軟體主視窗更新畫面是沒有動作的
2-78
網路安全
bull Capture Options 常用的欄位設定ndash Name Resolution框
bull 1 Enable MAC name resolution 指定是否將網路卡MAC address 的前三個位元組轉換成製造商名稱
bull 2 Enable network name resolution 指定是否將 IP address轉換成 DNS 網域名稱
bull 3 Enable transport name resolution 指定是否將通信埠號碼 (port numbers)轉成協定名稱 (protocols)bull 各位了解數據從哪裡擷取的概念與操作之後即可以進一步加上附帶條件 (篩選條件 ) 等相關操作方式
數據哪裡來 - Capture功能 (續 )
2-79
網路安全
Wireshark操作手法bull 延續遇到問題的思考方向及軟體操作手法我們可以將操作流程分為兩種
ndash 擷取中過濾 (Filter while capturing)bull 優點僅擷取已知範圍資訊網路流量少bull 缺點需先了解問題類型避免可能有遺漏真正欲擷取資訊之狀況
ndash 檢視中過濾 (Filter packets while viewing)bull 優點不用先預設條件擷取所有封包資訊bull 缺點影響網路流量
先預設欲擷取條件 擷取數據
擷取數據 再篩選欲查詢數據2-80
網路安全
Wireshark操作手法 - 擷取中過濾bull 操作步驟
ndash 點選 Capture 下拉視窗選擇 Capture Filters 即呈現此視窗
bull 操作範例ndash 1於 Filter窗格中選擇 IP
Address 10112ndash 2於 Properties窗格中即顯示該選項的設定值如圖所示為 host 10112ndash 3 即可設定軟體僅針對
10112 的封包作擷取動作 延伸操作思考1 改變 Filter string 值得到什麼結果2 點選 Edit 窗格中的 New 鈕 新增自訂條件 2-81
網路安全
Wireshark操作手法 - 檢視中過濾bull 此步驟即以已擷取封包清單窗格為基礎以過濾條件過濾該清單bull 可直接選擇軟體預設項目如以下操作
ndash 操作步驟bull 點選 Analyze 下拉視窗選擇
Display Filters 即呈現此視窗ndash 操作範例
bull 1於 Filter窗格中選擇 IP Address 10112
bull 2於 Properties窗格中即顯示該選項的設定值如圖所示值為host 10112
bull 3 即可設定軟體僅針對 10112的封包作顯示動作 延伸操作思考1 可否進行進一步自訂設定值
2-82
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 若電腦 IP為 10112 欲篩選出 IP 來源為上述 IP 且協定為 TCP 80port 的所有封包ndash 操作步驟
bull 點選 Expression鈕即出現此視窗ndash 1於 Field name框選擇
IP項目中的 ipsrc - Source
ndash 2於 Relation框選擇 ==ndash 3於 Value [IPV4
address]填 入 10112ndash 4 點選 OK鈕 進階思考方式須考慮到例如是來源資訊是目標資訊是什麼協定等更細部所要之條件
2-83
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 再進行第二篩選條件ndash TCP 80 port
bull 操作步驟ndash 1先於 Filter string 輸入文字框「 ipsrc==
10112」後再加上一個空格及「 and 」再進行一次 Expression條件選擇
2-84
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
ndash 2於 Field name框選擇「 tcpdstport」ndash 3於 Relation框選擇「 ==」ndash 4於 Value框填入「 80」ndash 5 選擇「 OK」鈕
2-85
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 注意 Propeties框內的Filter string欄位值已改變為「 ipsrc == 10112 and tcpdstport == 80」
bull 確認條件正確後點選「 OK 」鈕即可發現已擷取封包清單窗格的項目均為所設定過濾條件過濾過結果2-86
網路安全
bull 可單選單一封包進行更進階查詢封包內容bull 操作方式為
ndash 點選其中一項封包項目點選滑鼠右鍵選擇Follow TCP Stream
Wireshark操作手法 - 檢視中過濾 (續 )
2-87
網路安全
ndash 此畫面即可看出該項 TCP 封包溝通內容Wireshark操作手法 - 檢視中過濾 (續 )
2-88
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 此功能將所擷取的封包清單使用多種方式呈現封包統計資料便於使用者查詢擷取時間內何種封包數量多寡及圖型顯示bull 操作步驟點選 Statistics 下拉視窗即呈現此視窗 顯示有關擷取清單的摘要以階梯式通訊協定列表顯示所擷取的所有封包
在特定 IP間顯示通訊流量顯示單一 IP 來往封包的流量
以時間軸顯示視覺化封包流量圖2-89
網路安全
bull 可查看到一時段內其封包總數與平均每秒傳遞接收封包數等相關資訊讓使用者了解平均一時段內網路流量狀況藉以初步獲得資訊
Wireshark操作手法 - 檢視中過濾 (續 )
2-90
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 讓使用者可透過階梯式封包分類表來查看哪一類封包佔為居多可進一步推測是否該類型封包影響到整體網路或是否有異常或不常見封包類型在網路中傳遞
2-91
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 將該擷取時段內封包清單檔以兩個特定 IP 之間對傳封包為區隔顯示出哪兩個特定 IP間傳遞封包數多寡bull 可讓使用者更進一步研判兩個特定 IP所屬設備傳遞狀況是否異常
2-92
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 將該擷取時段內封包清單檔以特定IP 傳遞封包數為區隔顯示出哪特定IP 傳遞封包數多寡
bull 可讓使用者更進一步研判該特定所屬設備傳遞封包數是否異常作為管制緊急管制或禁止通訊之證明2-93
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 以時間軸顯示視覺化封包流量圖bull 讓使用者可觀察所管理設備資訊流通量以了解設備是否能負荷或作相關調整等處置
2-94
網路安全
FTP 擷取密碼案例bull 於Wireshark軟體選擇 Capture 下拉選單功能項點選 Interfaces 選項
2-95
網路安全
FTP 擷取密碼案例 (續 )
bull 確認欲擷取封包之網卡名稱如紅色底線所示確認後點選 Start鈕
2-96
網路安全
FTP 擷取密碼案例 (續 )
bull 切換至 FTP Client 電腦開啟 FileZilla 程式後連線到 FTP Server 於 Host 填入10123 Username填入 tester Password填入testpw 後點選 Quickconnect鈕
2-97
網路安全
FTP 擷取密碼案例 (續 )
bull 擷取到的封包資訊會顯示於已擷取封包清單窗格內
2-98
網路安全
FTP 擷取密碼案例 (續 )
bull 使用 FTP軟體登入 ftp站後 Wireshark 將擷取到的使用者名稱與密碼如紅框所示
2-99
網路安全
FTP 擷取密碼案例 (續 )
bull 點選已擷取封包清單窗格的密碼資訊列如標示1 的紅框所示即可在封包內容窗格看到該密碼的位元碼如標示 2 的紅框所示
1
2
2-100
網路安全
架設實作 (三 )
Outlook Express 擷取密碼案例
2-101
網路安全
實驗環境介紹bull 以 Testbed建立一實驗相關拓樸及設定如下圖
OEClientOSWindows XP SP3IP 10112執行 Outlook Express
MailServerOSWindows XP SP3IP 10122安裝軟體 ArGoSoft Mail Server
2-102
WiresharkOSWindows XP SP3IP1 10113 IP2 10123安裝軟體 Wireshark
IP1IP2
網路安全
實驗拓樸 on TestbedTWISC- 建立完成的實驗拓樸
2-103
網路安全
郵件伺服器工具 - ArGoSoft Mail Server
bull 版本ndash 1892 Freeware
bull 支援作業平台ndash Windows
bull 下載位址ndash httpwwwsoftkingcomtwsoftdownloadaspfid3=7367
2-104
網路安全
郵件客戶端工具 - Outlook Express
bull 版本ndash 60
bull 支援作業平台ndash Windows
bull 下載位址ndash Windows 內建
2-105
網路安全
bull 安裝及設定郵件伺服器ndash 1下載並執行 ArGoSoft Mail Server軟體點選
Setup鈕
Outlook Express 擷取密碼案例
2-106
網路安全
ndash 1 點選 Next鈕ndash 2 點選 Start Installation鈕
Outlook Express 擷取密碼案例 (續 )
2-107
網路安全
ndash 3 點選 OK鈕ndash 4 點選 Finish鈕完成軟體安裝
Outlook Express 擷取密碼案例 (續 )
2-108
網路安全
ndash 5 點選使用者設定鈕如紅圈所示ndash 6 點選新增鈕如紅框所示
Outlook Express 擷取密碼案例 (續 )
2-109
網路安全
ndash 7填入使用者名稱 (tester) 及密碼 (testpw) 如紅圈所示填寫完成後點選 OK鈕ndash 8 點選 Close鈕關閉使用者設定視窗
Outlook Express 擷取密碼案例 (續 )
2-110
網路安全
ndash 9 點選選項鈕如左側圖中紅色圈所示ndash 10 點選紅色打勾鈕如右側圖中紅色圈所示
2-111
Outlook Express 擷取密碼案例 (續 )
網路安全
ndash 11該軟體會自動選取 DNS Server 待選取後點選 Yes鈕ndash 12 勾選 Allow Relay 選項如紅框所示
2-112
Outlook Express 擷取密碼案例 (續 )
網路安全
Outlook Express 擷取密碼案例 (續 )
bull 設定收信帳號ndash 1 點選 Tools功能選單選擇 Accounts 選項
2-113
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 2 點選 Add鈕選擇 Mail 選項
2-114
網路安全
ndash 3填入 tester 點選 Next鈕ndash 4填入 testertestcom 點選 Next鈕
Outlook Express 擷取密碼案例 (續 )
2-115
網路安全
ndash 5填入 10123 如紅框所示點選 Next鈕ndash 6填入帳號為 tester 及密碼為 testpw 點選 Next鈕
Outlook Express 擷取密碼案例 (續 )
2-116
網路安全
ndash 7 點選 Finish鈕ndash 8 點選 Close鈕
Outlook Express 擷取密碼案例 (續 )
2-117
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 模擬條件準備好後首先準備Wireshark 擷取動作開啟Wireshark
2-118
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 於Wireshark軟體選擇 Capture 下拉選單功能項點選 Interfaces 選項
2-119
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 確認欲擷取封包之網卡名稱如紅色底線所示確認後點選 Start鈕
2-120
網路安全
ndash 當使用者收發 email 時即被 Wireshark攔截封包ndash 有發現到該 Outlook Express帳號密碼是如此清晰可見的嗎
Outlook Express 擷取密碼案例 (續 )
2-121
網路安全
結論bull 學習了 Wireshark及WinDump 兩套網路封包擷取軟體基本概念如同電話側錄概念相同從中複製一連串資訊來分析與了解網路的流量及內容為何bull 當你發現網路速度緩慢等狀況你是否會反應到所學的基本概念來找尋問題所在bull 防範概念由此課程的實例可以了解網路內容如被有心人士擷取所造成的損失相當可觀故你是否有對策有哪些方式你可以應用來防範bull 正確的思考善用對的工具將對解決問題事半功倍
2-122
網路安全 2-123
Module 2-5 封包擷取與分析的專案實作()
網路安全
專案目的bull 建立遠端管理傳遞指令資訊環境bull 利用實際攔截封包操作的方式讓同學了解封包擷取運作與網路資訊流通的顧慮等相關議題
2-124
網路安全
專案描述bull 近年來遠端管理伺服器及網路服務普及光是密碼保護就足夠了嗎是否重點網段須全程加密還是作網段隔離經由此專案實作即可了解不僅部分加密仍有其風險所在網路架構如何規劃將是非常重要的課題bull 參考環境配置圖完成下列要求①環境裡的攔截封包主機是 Windows XP SP3 作業系統而該主機安裝Wireshark軟體②另兩台主機的作業系統亦是 Windows XP SP3 並裝上
MySQL軟體 MySQL帳號為 root 密碼為您的學號 (如 Q3896105)
③在MySQLClient 電腦使用 MySQL Commandline 指令連線至MySQLServer 擷取資料庫資訊
④我們針對這兩台主機傳訊的封包擷取由整個實做中思考如何防範資訊外洩與了解傳訊封包如何流動及運作2-125
網路安全
環境配置圖bull 以 Testbed建立一實驗相關拓樸及設定如下圖
MySQLServerOSWINXP-SP3-CH-pc3000 IP 10123安裝軟體 MySQL
MySQLClientOSWINXP-SP3-CH-pc3000 IP 10112安裝軟體 MySQL
2-126
WireSharkOSWINXP-SP3-CH-pc3000 IP1 10113IP2 10122安裝軟體 Wireshark
IP1IP2
網路安全
作業繳交bull 請參考情境測試發送數個 SQL 指令並將過程與擷取到的封包資訊之截圖列於報告中所有圖表皆需要輔以文字說明bull Deadline 2012312 下午 500 以前bull 作業範圍 Module 2-5 (page 2-128)bull 方式 (參考課程網址 )
ndash 帳號密碼小寫的 (ns100ns100)ndash IP 140116164167
2-127
網路安全
有問題嗎
bull 關於 TestBed 使用上的問題請直接 Email至 twisc-testbed-usergooglegroupscom 將有專人為您服務bull 課程網址
httpitlabeenckuedutwcoursesNS_100indexhtml
2-128
bull 助教資訊 (參考課程網址 )
網路安全
參考資料bull Dienet httplinuxdienetman1wiresharkbull Orebaugh Angela Ramirez Gilbert Burke Josh Pesce Larry Wright
Joshua(2007) Wireshark and Ethereal network protocol analyzer toolkitbull Tony Fortunato(2007) Wireshark Training Retrieved July 22 2009 from
the World Wide Web httpwwwthetechfirmcometherealwiresharkpdfbull WinDump httpwwwwinpcaporgWinDumpbull Wireshark httpwwwwiresharkorgbull Wireshark University httpwwwwiresharktrainingcombull 楊中皇 (民 97年 ) 網路安全理論與實務 (2版 ) 台北市學貫bull 蘇淑茵教授 Wireshark 民國 98年 6月 28日取自 httpmywebnckuedutw~sisou
2-129
網路安全
Wireshark 使用思考方向bull 遇到網路問題是否觀察網路通道中有異常動作或狀況
ndash 思考方向ndash 反應到擷取數據方法那麼以 Wireshark 擷取使用者需要擷取哪些數據這些數據由使用者電腦哪個裝置來擷取
bull Wireshark操作流程
bull 接下來我們進行軟體操作介紹
解決問題 擷取數據要先做什麼
擷取數據 擷取哪些數據( 過濾條件 )數據哪裡來( 網路介面卡 )
2-74
網路安全
數據哪裡來 - Capture功能bull 一開啟方式
ndash 1 點選快速鈕如紅色圈所示ndash 2 點選 Capture功能表 下拉選單後點選 Optionsndash 3鍵盤快速鍵 Ctrl + K
2-75
網路安全
數據哪裡來 - Capture功能 (續 )
bull 二開啟後顯示 Capture Options 的視窗畫面即可看到所提供的擷取功能選項
2-76
網路安全
數據哪裡來 - Capture功能 (續 )
bull Capture Options 常用的欄位設定ndash Caputure 框
bull 1Interface 會顯示出在系統上所有網路卡但只能選取一個介面作為封包擷取bull 2Capture packets in promiscuous mode 選取此選項就是經過所選取的網路卡的所有封包都會被擷取下來bull 3Capture Filter 指定擷取過濾器運算式擷取想要的特定封包即為擷取中過濾之功能
2-77
網路安全
數據哪裡來 - Capture功能 (續 )
bull Capture Options 常用的欄位設定ndash Display Options 框
bull Update list of packets in real time 指定在擷取封包過程中能夠即時更新已擷取封包清單窗格視窗中的封包資訊若取消則軟體主視窗更新畫面是沒有動作的
2-78
網路安全
bull Capture Options 常用的欄位設定ndash Name Resolution框
bull 1 Enable MAC name resolution 指定是否將網路卡MAC address 的前三個位元組轉換成製造商名稱
bull 2 Enable network name resolution 指定是否將 IP address轉換成 DNS 網域名稱
bull 3 Enable transport name resolution 指定是否將通信埠號碼 (port numbers)轉成協定名稱 (protocols)bull 各位了解數據從哪裡擷取的概念與操作之後即可以進一步加上附帶條件 (篩選條件 ) 等相關操作方式
數據哪裡來 - Capture功能 (續 )
2-79
網路安全
Wireshark操作手法bull 延續遇到問題的思考方向及軟體操作手法我們可以將操作流程分為兩種
ndash 擷取中過濾 (Filter while capturing)bull 優點僅擷取已知範圍資訊網路流量少bull 缺點需先了解問題類型避免可能有遺漏真正欲擷取資訊之狀況
ndash 檢視中過濾 (Filter packets while viewing)bull 優點不用先預設條件擷取所有封包資訊bull 缺點影響網路流量
先預設欲擷取條件 擷取數據
擷取數據 再篩選欲查詢數據2-80
網路安全
Wireshark操作手法 - 擷取中過濾bull 操作步驟
ndash 點選 Capture 下拉視窗選擇 Capture Filters 即呈現此視窗
bull 操作範例ndash 1於 Filter窗格中選擇 IP
Address 10112ndash 2於 Properties窗格中即顯示該選項的設定值如圖所示為 host 10112ndash 3 即可設定軟體僅針對
10112 的封包作擷取動作 延伸操作思考1 改變 Filter string 值得到什麼結果2 點選 Edit 窗格中的 New 鈕 新增自訂條件 2-81
網路安全
Wireshark操作手法 - 檢視中過濾bull 此步驟即以已擷取封包清單窗格為基礎以過濾條件過濾該清單bull 可直接選擇軟體預設項目如以下操作
ndash 操作步驟bull 點選 Analyze 下拉視窗選擇
Display Filters 即呈現此視窗ndash 操作範例
bull 1於 Filter窗格中選擇 IP Address 10112
bull 2於 Properties窗格中即顯示該選項的設定值如圖所示值為host 10112
bull 3 即可設定軟體僅針對 10112的封包作顯示動作 延伸操作思考1 可否進行進一步自訂設定值
2-82
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 若電腦 IP為 10112 欲篩選出 IP 來源為上述 IP 且協定為 TCP 80port 的所有封包ndash 操作步驟
bull 點選 Expression鈕即出現此視窗ndash 1於 Field name框選擇
IP項目中的 ipsrc - Source
ndash 2於 Relation框選擇 ==ndash 3於 Value [IPV4
address]填 入 10112ndash 4 點選 OK鈕 進階思考方式須考慮到例如是來源資訊是目標資訊是什麼協定等更細部所要之條件
2-83
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 再進行第二篩選條件ndash TCP 80 port
bull 操作步驟ndash 1先於 Filter string 輸入文字框「 ipsrc==
10112」後再加上一個空格及「 and 」再進行一次 Expression條件選擇
2-84
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
ndash 2於 Field name框選擇「 tcpdstport」ndash 3於 Relation框選擇「 ==」ndash 4於 Value框填入「 80」ndash 5 選擇「 OK」鈕
2-85
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 注意 Propeties框內的Filter string欄位值已改變為「 ipsrc == 10112 and tcpdstport == 80」
bull 確認條件正確後點選「 OK 」鈕即可發現已擷取封包清單窗格的項目均為所設定過濾條件過濾過結果2-86
網路安全
bull 可單選單一封包進行更進階查詢封包內容bull 操作方式為
ndash 點選其中一項封包項目點選滑鼠右鍵選擇Follow TCP Stream
Wireshark操作手法 - 檢視中過濾 (續 )
2-87
網路安全
ndash 此畫面即可看出該項 TCP 封包溝通內容Wireshark操作手法 - 檢視中過濾 (續 )
2-88
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 此功能將所擷取的封包清單使用多種方式呈現封包統計資料便於使用者查詢擷取時間內何種封包數量多寡及圖型顯示bull 操作步驟點選 Statistics 下拉視窗即呈現此視窗 顯示有關擷取清單的摘要以階梯式通訊協定列表顯示所擷取的所有封包
在特定 IP間顯示通訊流量顯示單一 IP 來往封包的流量
以時間軸顯示視覺化封包流量圖2-89
網路安全
bull 可查看到一時段內其封包總數與平均每秒傳遞接收封包數等相關資訊讓使用者了解平均一時段內網路流量狀況藉以初步獲得資訊
Wireshark操作手法 - 檢視中過濾 (續 )
2-90
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 讓使用者可透過階梯式封包分類表來查看哪一類封包佔為居多可進一步推測是否該類型封包影響到整體網路或是否有異常或不常見封包類型在網路中傳遞
2-91
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 將該擷取時段內封包清單檔以兩個特定 IP 之間對傳封包為區隔顯示出哪兩個特定 IP間傳遞封包數多寡bull 可讓使用者更進一步研判兩個特定 IP所屬設備傳遞狀況是否異常
2-92
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 將該擷取時段內封包清單檔以特定IP 傳遞封包數為區隔顯示出哪特定IP 傳遞封包數多寡
bull 可讓使用者更進一步研判該特定所屬設備傳遞封包數是否異常作為管制緊急管制或禁止通訊之證明2-93
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 以時間軸顯示視覺化封包流量圖bull 讓使用者可觀察所管理設備資訊流通量以了解設備是否能負荷或作相關調整等處置
2-94
網路安全
FTP 擷取密碼案例bull 於Wireshark軟體選擇 Capture 下拉選單功能項點選 Interfaces 選項
2-95
網路安全
FTP 擷取密碼案例 (續 )
bull 確認欲擷取封包之網卡名稱如紅色底線所示確認後點選 Start鈕
2-96
網路安全
FTP 擷取密碼案例 (續 )
bull 切換至 FTP Client 電腦開啟 FileZilla 程式後連線到 FTP Server 於 Host 填入10123 Username填入 tester Password填入testpw 後點選 Quickconnect鈕
2-97
網路安全
FTP 擷取密碼案例 (續 )
bull 擷取到的封包資訊會顯示於已擷取封包清單窗格內
2-98
網路安全
FTP 擷取密碼案例 (續 )
bull 使用 FTP軟體登入 ftp站後 Wireshark 將擷取到的使用者名稱與密碼如紅框所示
2-99
網路安全
FTP 擷取密碼案例 (續 )
bull 點選已擷取封包清單窗格的密碼資訊列如標示1 的紅框所示即可在封包內容窗格看到該密碼的位元碼如標示 2 的紅框所示
1
2
2-100
網路安全
架設實作 (三 )
Outlook Express 擷取密碼案例
2-101
網路安全
實驗環境介紹bull 以 Testbed建立一實驗相關拓樸及設定如下圖
OEClientOSWindows XP SP3IP 10112執行 Outlook Express
MailServerOSWindows XP SP3IP 10122安裝軟體 ArGoSoft Mail Server
2-102
WiresharkOSWindows XP SP3IP1 10113 IP2 10123安裝軟體 Wireshark
IP1IP2
網路安全
實驗拓樸 on TestbedTWISC- 建立完成的實驗拓樸
2-103
網路安全
郵件伺服器工具 - ArGoSoft Mail Server
bull 版本ndash 1892 Freeware
bull 支援作業平台ndash Windows
bull 下載位址ndash httpwwwsoftkingcomtwsoftdownloadaspfid3=7367
2-104
網路安全
郵件客戶端工具 - Outlook Express
bull 版本ndash 60
bull 支援作業平台ndash Windows
bull 下載位址ndash Windows 內建
2-105
網路安全
bull 安裝及設定郵件伺服器ndash 1下載並執行 ArGoSoft Mail Server軟體點選
Setup鈕
Outlook Express 擷取密碼案例
2-106
網路安全
ndash 1 點選 Next鈕ndash 2 點選 Start Installation鈕
Outlook Express 擷取密碼案例 (續 )
2-107
網路安全
ndash 3 點選 OK鈕ndash 4 點選 Finish鈕完成軟體安裝
Outlook Express 擷取密碼案例 (續 )
2-108
網路安全
ndash 5 點選使用者設定鈕如紅圈所示ndash 6 點選新增鈕如紅框所示
Outlook Express 擷取密碼案例 (續 )
2-109
網路安全
ndash 7填入使用者名稱 (tester) 及密碼 (testpw) 如紅圈所示填寫完成後點選 OK鈕ndash 8 點選 Close鈕關閉使用者設定視窗
Outlook Express 擷取密碼案例 (續 )
2-110
網路安全
ndash 9 點選選項鈕如左側圖中紅色圈所示ndash 10 點選紅色打勾鈕如右側圖中紅色圈所示
2-111
Outlook Express 擷取密碼案例 (續 )
網路安全
ndash 11該軟體會自動選取 DNS Server 待選取後點選 Yes鈕ndash 12 勾選 Allow Relay 選項如紅框所示
2-112
Outlook Express 擷取密碼案例 (續 )
網路安全
Outlook Express 擷取密碼案例 (續 )
bull 設定收信帳號ndash 1 點選 Tools功能選單選擇 Accounts 選項
2-113
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 2 點選 Add鈕選擇 Mail 選項
2-114
網路安全
ndash 3填入 tester 點選 Next鈕ndash 4填入 testertestcom 點選 Next鈕
Outlook Express 擷取密碼案例 (續 )
2-115
網路安全
ndash 5填入 10123 如紅框所示點選 Next鈕ndash 6填入帳號為 tester 及密碼為 testpw 點選 Next鈕
Outlook Express 擷取密碼案例 (續 )
2-116
網路安全
ndash 7 點選 Finish鈕ndash 8 點選 Close鈕
Outlook Express 擷取密碼案例 (續 )
2-117
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 模擬條件準備好後首先準備Wireshark 擷取動作開啟Wireshark
2-118
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 於Wireshark軟體選擇 Capture 下拉選單功能項點選 Interfaces 選項
2-119
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 確認欲擷取封包之網卡名稱如紅色底線所示確認後點選 Start鈕
2-120
網路安全
ndash 當使用者收發 email 時即被 Wireshark攔截封包ndash 有發現到該 Outlook Express帳號密碼是如此清晰可見的嗎
Outlook Express 擷取密碼案例 (續 )
2-121
網路安全
結論bull 學習了 Wireshark及WinDump 兩套網路封包擷取軟體基本概念如同電話側錄概念相同從中複製一連串資訊來分析與了解網路的流量及內容為何bull 當你發現網路速度緩慢等狀況你是否會反應到所學的基本概念來找尋問題所在bull 防範概念由此課程的實例可以了解網路內容如被有心人士擷取所造成的損失相當可觀故你是否有對策有哪些方式你可以應用來防範bull 正確的思考善用對的工具將對解決問題事半功倍
2-122
網路安全 2-123
Module 2-5 封包擷取與分析的專案實作()
網路安全
專案目的bull 建立遠端管理傳遞指令資訊環境bull 利用實際攔截封包操作的方式讓同學了解封包擷取運作與網路資訊流通的顧慮等相關議題
2-124
網路安全
專案描述bull 近年來遠端管理伺服器及網路服務普及光是密碼保護就足夠了嗎是否重點網段須全程加密還是作網段隔離經由此專案實作即可了解不僅部分加密仍有其風險所在網路架構如何規劃將是非常重要的課題bull 參考環境配置圖完成下列要求①環境裡的攔截封包主機是 Windows XP SP3 作業系統而該主機安裝Wireshark軟體②另兩台主機的作業系統亦是 Windows XP SP3 並裝上
MySQL軟體 MySQL帳號為 root 密碼為您的學號 (如 Q3896105)
③在MySQLClient 電腦使用 MySQL Commandline 指令連線至MySQLServer 擷取資料庫資訊
④我們針對這兩台主機傳訊的封包擷取由整個實做中思考如何防範資訊外洩與了解傳訊封包如何流動及運作2-125
網路安全
環境配置圖bull 以 Testbed建立一實驗相關拓樸及設定如下圖
MySQLServerOSWINXP-SP3-CH-pc3000 IP 10123安裝軟體 MySQL
MySQLClientOSWINXP-SP3-CH-pc3000 IP 10112安裝軟體 MySQL
2-126
WireSharkOSWINXP-SP3-CH-pc3000 IP1 10113IP2 10122安裝軟體 Wireshark
IP1IP2
網路安全
作業繳交bull 請參考情境測試發送數個 SQL 指令並將過程與擷取到的封包資訊之截圖列於報告中所有圖表皆需要輔以文字說明bull Deadline 2012312 下午 500 以前bull 作業範圍 Module 2-5 (page 2-128)bull 方式 (參考課程網址 )
ndash 帳號密碼小寫的 (ns100ns100)ndash IP 140116164167
2-127
網路安全
有問題嗎
bull 關於 TestBed 使用上的問題請直接 Email至 twisc-testbed-usergooglegroupscom 將有專人為您服務bull 課程網址
httpitlabeenckuedutwcoursesNS_100indexhtml
2-128
bull 助教資訊 (參考課程網址 )
網路安全
參考資料bull Dienet httplinuxdienetman1wiresharkbull Orebaugh Angela Ramirez Gilbert Burke Josh Pesce Larry Wright
Joshua(2007) Wireshark and Ethereal network protocol analyzer toolkitbull Tony Fortunato(2007) Wireshark Training Retrieved July 22 2009 from
the World Wide Web httpwwwthetechfirmcometherealwiresharkpdfbull WinDump httpwwwwinpcaporgWinDumpbull Wireshark httpwwwwiresharkorgbull Wireshark University httpwwwwiresharktrainingcombull 楊中皇 (民 97年 ) 網路安全理論與實務 (2版 ) 台北市學貫bull 蘇淑茵教授 Wireshark 民國 98年 6月 28日取自 httpmywebnckuedutw~sisou
2-129
網路安全
數據哪裡來 - Capture功能bull 一開啟方式
ndash 1 點選快速鈕如紅色圈所示ndash 2 點選 Capture功能表 下拉選單後點選 Optionsndash 3鍵盤快速鍵 Ctrl + K
2-75
網路安全
數據哪裡來 - Capture功能 (續 )
bull 二開啟後顯示 Capture Options 的視窗畫面即可看到所提供的擷取功能選項
2-76
網路安全
數據哪裡來 - Capture功能 (續 )
bull Capture Options 常用的欄位設定ndash Caputure 框
bull 1Interface 會顯示出在系統上所有網路卡但只能選取一個介面作為封包擷取bull 2Capture packets in promiscuous mode 選取此選項就是經過所選取的網路卡的所有封包都會被擷取下來bull 3Capture Filter 指定擷取過濾器運算式擷取想要的特定封包即為擷取中過濾之功能
2-77
網路安全
數據哪裡來 - Capture功能 (續 )
bull Capture Options 常用的欄位設定ndash Display Options 框
bull Update list of packets in real time 指定在擷取封包過程中能夠即時更新已擷取封包清單窗格視窗中的封包資訊若取消則軟體主視窗更新畫面是沒有動作的
2-78
網路安全
bull Capture Options 常用的欄位設定ndash Name Resolution框
bull 1 Enable MAC name resolution 指定是否將網路卡MAC address 的前三個位元組轉換成製造商名稱
bull 2 Enable network name resolution 指定是否將 IP address轉換成 DNS 網域名稱
bull 3 Enable transport name resolution 指定是否將通信埠號碼 (port numbers)轉成協定名稱 (protocols)bull 各位了解數據從哪裡擷取的概念與操作之後即可以進一步加上附帶條件 (篩選條件 ) 等相關操作方式
數據哪裡來 - Capture功能 (續 )
2-79
網路安全
Wireshark操作手法bull 延續遇到問題的思考方向及軟體操作手法我們可以將操作流程分為兩種
ndash 擷取中過濾 (Filter while capturing)bull 優點僅擷取已知範圍資訊網路流量少bull 缺點需先了解問題類型避免可能有遺漏真正欲擷取資訊之狀況
ndash 檢視中過濾 (Filter packets while viewing)bull 優點不用先預設條件擷取所有封包資訊bull 缺點影響網路流量
先預設欲擷取條件 擷取數據
擷取數據 再篩選欲查詢數據2-80
網路安全
Wireshark操作手法 - 擷取中過濾bull 操作步驟
ndash 點選 Capture 下拉視窗選擇 Capture Filters 即呈現此視窗
bull 操作範例ndash 1於 Filter窗格中選擇 IP
Address 10112ndash 2於 Properties窗格中即顯示該選項的設定值如圖所示為 host 10112ndash 3 即可設定軟體僅針對
10112 的封包作擷取動作 延伸操作思考1 改變 Filter string 值得到什麼結果2 點選 Edit 窗格中的 New 鈕 新增自訂條件 2-81
網路安全
Wireshark操作手法 - 檢視中過濾bull 此步驟即以已擷取封包清單窗格為基礎以過濾條件過濾該清單bull 可直接選擇軟體預設項目如以下操作
ndash 操作步驟bull 點選 Analyze 下拉視窗選擇
Display Filters 即呈現此視窗ndash 操作範例
bull 1於 Filter窗格中選擇 IP Address 10112
bull 2於 Properties窗格中即顯示該選項的設定值如圖所示值為host 10112
bull 3 即可設定軟體僅針對 10112的封包作顯示動作 延伸操作思考1 可否進行進一步自訂設定值
2-82
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 若電腦 IP為 10112 欲篩選出 IP 來源為上述 IP 且協定為 TCP 80port 的所有封包ndash 操作步驟
bull 點選 Expression鈕即出現此視窗ndash 1於 Field name框選擇
IP項目中的 ipsrc - Source
ndash 2於 Relation框選擇 ==ndash 3於 Value [IPV4
address]填 入 10112ndash 4 點選 OK鈕 進階思考方式須考慮到例如是來源資訊是目標資訊是什麼協定等更細部所要之條件
2-83
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 再進行第二篩選條件ndash TCP 80 port
bull 操作步驟ndash 1先於 Filter string 輸入文字框「 ipsrc==
10112」後再加上一個空格及「 and 」再進行一次 Expression條件選擇
2-84
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
ndash 2於 Field name框選擇「 tcpdstport」ndash 3於 Relation框選擇「 ==」ndash 4於 Value框填入「 80」ndash 5 選擇「 OK」鈕
2-85
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 注意 Propeties框內的Filter string欄位值已改變為「 ipsrc == 10112 and tcpdstport == 80」
bull 確認條件正確後點選「 OK 」鈕即可發現已擷取封包清單窗格的項目均為所設定過濾條件過濾過結果2-86
網路安全
bull 可單選單一封包進行更進階查詢封包內容bull 操作方式為
ndash 點選其中一項封包項目點選滑鼠右鍵選擇Follow TCP Stream
Wireshark操作手法 - 檢視中過濾 (續 )
2-87
網路安全
ndash 此畫面即可看出該項 TCP 封包溝通內容Wireshark操作手法 - 檢視中過濾 (續 )
2-88
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 此功能將所擷取的封包清單使用多種方式呈現封包統計資料便於使用者查詢擷取時間內何種封包數量多寡及圖型顯示bull 操作步驟點選 Statistics 下拉視窗即呈現此視窗 顯示有關擷取清單的摘要以階梯式通訊協定列表顯示所擷取的所有封包
在特定 IP間顯示通訊流量顯示單一 IP 來往封包的流量
以時間軸顯示視覺化封包流量圖2-89
網路安全
bull 可查看到一時段內其封包總數與平均每秒傳遞接收封包數等相關資訊讓使用者了解平均一時段內網路流量狀況藉以初步獲得資訊
Wireshark操作手法 - 檢視中過濾 (續 )
2-90
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 讓使用者可透過階梯式封包分類表來查看哪一類封包佔為居多可進一步推測是否該類型封包影響到整體網路或是否有異常或不常見封包類型在網路中傳遞
2-91
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 將該擷取時段內封包清單檔以兩個特定 IP 之間對傳封包為區隔顯示出哪兩個特定 IP間傳遞封包數多寡bull 可讓使用者更進一步研判兩個特定 IP所屬設備傳遞狀況是否異常
2-92
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 將該擷取時段內封包清單檔以特定IP 傳遞封包數為區隔顯示出哪特定IP 傳遞封包數多寡
bull 可讓使用者更進一步研判該特定所屬設備傳遞封包數是否異常作為管制緊急管制或禁止通訊之證明2-93
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 以時間軸顯示視覺化封包流量圖bull 讓使用者可觀察所管理設備資訊流通量以了解設備是否能負荷或作相關調整等處置
2-94
網路安全
FTP 擷取密碼案例bull 於Wireshark軟體選擇 Capture 下拉選單功能項點選 Interfaces 選項
2-95
網路安全
FTP 擷取密碼案例 (續 )
bull 確認欲擷取封包之網卡名稱如紅色底線所示確認後點選 Start鈕
2-96
網路安全
FTP 擷取密碼案例 (續 )
bull 切換至 FTP Client 電腦開啟 FileZilla 程式後連線到 FTP Server 於 Host 填入10123 Username填入 tester Password填入testpw 後點選 Quickconnect鈕
2-97
網路安全
FTP 擷取密碼案例 (續 )
bull 擷取到的封包資訊會顯示於已擷取封包清單窗格內
2-98
網路安全
FTP 擷取密碼案例 (續 )
bull 使用 FTP軟體登入 ftp站後 Wireshark 將擷取到的使用者名稱與密碼如紅框所示
2-99
網路安全
FTP 擷取密碼案例 (續 )
bull 點選已擷取封包清單窗格的密碼資訊列如標示1 的紅框所示即可在封包內容窗格看到該密碼的位元碼如標示 2 的紅框所示
1
2
2-100
網路安全
架設實作 (三 )
Outlook Express 擷取密碼案例
2-101
網路安全
實驗環境介紹bull 以 Testbed建立一實驗相關拓樸及設定如下圖
OEClientOSWindows XP SP3IP 10112執行 Outlook Express
MailServerOSWindows XP SP3IP 10122安裝軟體 ArGoSoft Mail Server
2-102
WiresharkOSWindows XP SP3IP1 10113 IP2 10123安裝軟體 Wireshark
IP1IP2
網路安全
實驗拓樸 on TestbedTWISC- 建立完成的實驗拓樸
2-103
網路安全
郵件伺服器工具 - ArGoSoft Mail Server
bull 版本ndash 1892 Freeware
bull 支援作業平台ndash Windows
bull 下載位址ndash httpwwwsoftkingcomtwsoftdownloadaspfid3=7367
2-104
網路安全
郵件客戶端工具 - Outlook Express
bull 版本ndash 60
bull 支援作業平台ndash Windows
bull 下載位址ndash Windows 內建
2-105
網路安全
bull 安裝及設定郵件伺服器ndash 1下載並執行 ArGoSoft Mail Server軟體點選
Setup鈕
Outlook Express 擷取密碼案例
2-106
網路安全
ndash 1 點選 Next鈕ndash 2 點選 Start Installation鈕
Outlook Express 擷取密碼案例 (續 )
2-107
網路安全
ndash 3 點選 OK鈕ndash 4 點選 Finish鈕完成軟體安裝
Outlook Express 擷取密碼案例 (續 )
2-108
網路安全
ndash 5 點選使用者設定鈕如紅圈所示ndash 6 點選新增鈕如紅框所示
Outlook Express 擷取密碼案例 (續 )
2-109
網路安全
ndash 7填入使用者名稱 (tester) 及密碼 (testpw) 如紅圈所示填寫完成後點選 OK鈕ndash 8 點選 Close鈕關閉使用者設定視窗
Outlook Express 擷取密碼案例 (續 )
2-110
網路安全
ndash 9 點選選項鈕如左側圖中紅色圈所示ndash 10 點選紅色打勾鈕如右側圖中紅色圈所示
2-111
Outlook Express 擷取密碼案例 (續 )
網路安全
ndash 11該軟體會自動選取 DNS Server 待選取後點選 Yes鈕ndash 12 勾選 Allow Relay 選項如紅框所示
2-112
Outlook Express 擷取密碼案例 (續 )
網路安全
Outlook Express 擷取密碼案例 (續 )
bull 設定收信帳號ndash 1 點選 Tools功能選單選擇 Accounts 選項
2-113
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 2 點選 Add鈕選擇 Mail 選項
2-114
網路安全
ndash 3填入 tester 點選 Next鈕ndash 4填入 testertestcom 點選 Next鈕
Outlook Express 擷取密碼案例 (續 )
2-115
網路安全
ndash 5填入 10123 如紅框所示點選 Next鈕ndash 6填入帳號為 tester 及密碼為 testpw 點選 Next鈕
Outlook Express 擷取密碼案例 (續 )
2-116
網路安全
ndash 7 點選 Finish鈕ndash 8 點選 Close鈕
Outlook Express 擷取密碼案例 (續 )
2-117
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 模擬條件準備好後首先準備Wireshark 擷取動作開啟Wireshark
2-118
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 於Wireshark軟體選擇 Capture 下拉選單功能項點選 Interfaces 選項
2-119
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 確認欲擷取封包之網卡名稱如紅色底線所示確認後點選 Start鈕
2-120
網路安全
ndash 當使用者收發 email 時即被 Wireshark攔截封包ndash 有發現到該 Outlook Express帳號密碼是如此清晰可見的嗎
Outlook Express 擷取密碼案例 (續 )
2-121
網路安全
結論bull 學習了 Wireshark及WinDump 兩套網路封包擷取軟體基本概念如同電話側錄概念相同從中複製一連串資訊來分析與了解網路的流量及內容為何bull 當你發現網路速度緩慢等狀況你是否會反應到所學的基本概念來找尋問題所在bull 防範概念由此課程的實例可以了解網路內容如被有心人士擷取所造成的損失相當可觀故你是否有對策有哪些方式你可以應用來防範bull 正確的思考善用對的工具將對解決問題事半功倍
2-122
網路安全 2-123
Module 2-5 封包擷取與分析的專案實作()
網路安全
專案目的bull 建立遠端管理傳遞指令資訊環境bull 利用實際攔截封包操作的方式讓同學了解封包擷取運作與網路資訊流通的顧慮等相關議題
2-124
網路安全
專案描述bull 近年來遠端管理伺服器及網路服務普及光是密碼保護就足夠了嗎是否重點網段須全程加密還是作網段隔離經由此專案實作即可了解不僅部分加密仍有其風險所在網路架構如何規劃將是非常重要的課題bull 參考環境配置圖完成下列要求①環境裡的攔截封包主機是 Windows XP SP3 作業系統而該主機安裝Wireshark軟體②另兩台主機的作業系統亦是 Windows XP SP3 並裝上
MySQL軟體 MySQL帳號為 root 密碼為您的學號 (如 Q3896105)
③在MySQLClient 電腦使用 MySQL Commandline 指令連線至MySQLServer 擷取資料庫資訊
④我們針對這兩台主機傳訊的封包擷取由整個實做中思考如何防範資訊外洩與了解傳訊封包如何流動及運作2-125
網路安全
環境配置圖bull 以 Testbed建立一實驗相關拓樸及設定如下圖
MySQLServerOSWINXP-SP3-CH-pc3000 IP 10123安裝軟體 MySQL
MySQLClientOSWINXP-SP3-CH-pc3000 IP 10112安裝軟體 MySQL
2-126
WireSharkOSWINXP-SP3-CH-pc3000 IP1 10113IP2 10122安裝軟體 Wireshark
IP1IP2
網路安全
作業繳交bull 請參考情境測試發送數個 SQL 指令並將過程與擷取到的封包資訊之截圖列於報告中所有圖表皆需要輔以文字說明bull Deadline 2012312 下午 500 以前bull 作業範圍 Module 2-5 (page 2-128)bull 方式 (參考課程網址 )
ndash 帳號密碼小寫的 (ns100ns100)ndash IP 140116164167
2-127
網路安全
有問題嗎
bull 關於 TestBed 使用上的問題請直接 Email至 twisc-testbed-usergooglegroupscom 將有專人為您服務bull 課程網址
httpitlabeenckuedutwcoursesNS_100indexhtml
2-128
bull 助教資訊 (參考課程網址 )
網路安全
參考資料bull Dienet httplinuxdienetman1wiresharkbull Orebaugh Angela Ramirez Gilbert Burke Josh Pesce Larry Wright
Joshua(2007) Wireshark and Ethereal network protocol analyzer toolkitbull Tony Fortunato(2007) Wireshark Training Retrieved July 22 2009 from
the World Wide Web httpwwwthetechfirmcometherealwiresharkpdfbull WinDump httpwwwwinpcaporgWinDumpbull Wireshark httpwwwwiresharkorgbull Wireshark University httpwwwwiresharktrainingcombull 楊中皇 (民 97年 ) 網路安全理論與實務 (2版 ) 台北市學貫bull 蘇淑茵教授 Wireshark 民國 98年 6月 28日取自 httpmywebnckuedutw~sisou
2-129
網路安全
數據哪裡來 - Capture功能 (續 )
bull 二開啟後顯示 Capture Options 的視窗畫面即可看到所提供的擷取功能選項
2-76
網路安全
數據哪裡來 - Capture功能 (續 )
bull Capture Options 常用的欄位設定ndash Caputure 框
bull 1Interface 會顯示出在系統上所有網路卡但只能選取一個介面作為封包擷取bull 2Capture packets in promiscuous mode 選取此選項就是經過所選取的網路卡的所有封包都會被擷取下來bull 3Capture Filter 指定擷取過濾器運算式擷取想要的特定封包即為擷取中過濾之功能
2-77
網路安全
數據哪裡來 - Capture功能 (續 )
bull Capture Options 常用的欄位設定ndash Display Options 框
bull Update list of packets in real time 指定在擷取封包過程中能夠即時更新已擷取封包清單窗格視窗中的封包資訊若取消則軟體主視窗更新畫面是沒有動作的
2-78
網路安全
bull Capture Options 常用的欄位設定ndash Name Resolution框
bull 1 Enable MAC name resolution 指定是否將網路卡MAC address 的前三個位元組轉換成製造商名稱
bull 2 Enable network name resolution 指定是否將 IP address轉換成 DNS 網域名稱
bull 3 Enable transport name resolution 指定是否將通信埠號碼 (port numbers)轉成協定名稱 (protocols)bull 各位了解數據從哪裡擷取的概念與操作之後即可以進一步加上附帶條件 (篩選條件 ) 等相關操作方式
數據哪裡來 - Capture功能 (續 )
2-79
網路安全
Wireshark操作手法bull 延續遇到問題的思考方向及軟體操作手法我們可以將操作流程分為兩種
ndash 擷取中過濾 (Filter while capturing)bull 優點僅擷取已知範圍資訊網路流量少bull 缺點需先了解問題類型避免可能有遺漏真正欲擷取資訊之狀況
ndash 檢視中過濾 (Filter packets while viewing)bull 優點不用先預設條件擷取所有封包資訊bull 缺點影響網路流量
先預設欲擷取條件 擷取數據
擷取數據 再篩選欲查詢數據2-80
網路安全
Wireshark操作手法 - 擷取中過濾bull 操作步驟
ndash 點選 Capture 下拉視窗選擇 Capture Filters 即呈現此視窗
bull 操作範例ndash 1於 Filter窗格中選擇 IP
Address 10112ndash 2於 Properties窗格中即顯示該選項的設定值如圖所示為 host 10112ndash 3 即可設定軟體僅針對
10112 的封包作擷取動作 延伸操作思考1 改變 Filter string 值得到什麼結果2 點選 Edit 窗格中的 New 鈕 新增自訂條件 2-81
網路安全
Wireshark操作手法 - 檢視中過濾bull 此步驟即以已擷取封包清單窗格為基礎以過濾條件過濾該清單bull 可直接選擇軟體預設項目如以下操作
ndash 操作步驟bull 點選 Analyze 下拉視窗選擇
Display Filters 即呈現此視窗ndash 操作範例
bull 1於 Filter窗格中選擇 IP Address 10112
bull 2於 Properties窗格中即顯示該選項的設定值如圖所示值為host 10112
bull 3 即可設定軟體僅針對 10112的封包作顯示動作 延伸操作思考1 可否進行進一步自訂設定值
2-82
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 若電腦 IP為 10112 欲篩選出 IP 來源為上述 IP 且協定為 TCP 80port 的所有封包ndash 操作步驟
bull 點選 Expression鈕即出現此視窗ndash 1於 Field name框選擇
IP項目中的 ipsrc - Source
ndash 2於 Relation框選擇 ==ndash 3於 Value [IPV4
address]填 入 10112ndash 4 點選 OK鈕 進階思考方式須考慮到例如是來源資訊是目標資訊是什麼協定等更細部所要之條件
2-83
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 再進行第二篩選條件ndash TCP 80 port
bull 操作步驟ndash 1先於 Filter string 輸入文字框「 ipsrc==
10112」後再加上一個空格及「 and 」再進行一次 Expression條件選擇
2-84
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
ndash 2於 Field name框選擇「 tcpdstport」ndash 3於 Relation框選擇「 ==」ndash 4於 Value框填入「 80」ndash 5 選擇「 OK」鈕
2-85
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 注意 Propeties框內的Filter string欄位值已改變為「 ipsrc == 10112 and tcpdstport == 80」
bull 確認條件正確後點選「 OK 」鈕即可發現已擷取封包清單窗格的項目均為所設定過濾條件過濾過結果2-86
網路安全
bull 可單選單一封包進行更進階查詢封包內容bull 操作方式為
ndash 點選其中一項封包項目點選滑鼠右鍵選擇Follow TCP Stream
Wireshark操作手法 - 檢視中過濾 (續 )
2-87
網路安全
ndash 此畫面即可看出該項 TCP 封包溝通內容Wireshark操作手法 - 檢視中過濾 (續 )
2-88
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 此功能將所擷取的封包清單使用多種方式呈現封包統計資料便於使用者查詢擷取時間內何種封包數量多寡及圖型顯示bull 操作步驟點選 Statistics 下拉視窗即呈現此視窗 顯示有關擷取清單的摘要以階梯式通訊協定列表顯示所擷取的所有封包
在特定 IP間顯示通訊流量顯示單一 IP 來往封包的流量
以時間軸顯示視覺化封包流量圖2-89
網路安全
bull 可查看到一時段內其封包總數與平均每秒傳遞接收封包數等相關資訊讓使用者了解平均一時段內網路流量狀況藉以初步獲得資訊
Wireshark操作手法 - 檢視中過濾 (續 )
2-90
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 讓使用者可透過階梯式封包分類表來查看哪一類封包佔為居多可進一步推測是否該類型封包影響到整體網路或是否有異常或不常見封包類型在網路中傳遞
2-91
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 將該擷取時段內封包清單檔以兩個特定 IP 之間對傳封包為區隔顯示出哪兩個特定 IP間傳遞封包數多寡bull 可讓使用者更進一步研判兩個特定 IP所屬設備傳遞狀況是否異常
2-92
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 將該擷取時段內封包清單檔以特定IP 傳遞封包數為區隔顯示出哪特定IP 傳遞封包數多寡
bull 可讓使用者更進一步研判該特定所屬設備傳遞封包數是否異常作為管制緊急管制或禁止通訊之證明2-93
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 以時間軸顯示視覺化封包流量圖bull 讓使用者可觀察所管理設備資訊流通量以了解設備是否能負荷或作相關調整等處置
2-94
網路安全
FTP 擷取密碼案例bull 於Wireshark軟體選擇 Capture 下拉選單功能項點選 Interfaces 選項
2-95
網路安全
FTP 擷取密碼案例 (續 )
bull 確認欲擷取封包之網卡名稱如紅色底線所示確認後點選 Start鈕
2-96
網路安全
FTP 擷取密碼案例 (續 )
bull 切換至 FTP Client 電腦開啟 FileZilla 程式後連線到 FTP Server 於 Host 填入10123 Username填入 tester Password填入testpw 後點選 Quickconnect鈕
2-97
網路安全
FTP 擷取密碼案例 (續 )
bull 擷取到的封包資訊會顯示於已擷取封包清單窗格內
2-98
網路安全
FTP 擷取密碼案例 (續 )
bull 使用 FTP軟體登入 ftp站後 Wireshark 將擷取到的使用者名稱與密碼如紅框所示
2-99
網路安全
FTP 擷取密碼案例 (續 )
bull 點選已擷取封包清單窗格的密碼資訊列如標示1 的紅框所示即可在封包內容窗格看到該密碼的位元碼如標示 2 的紅框所示
1
2
2-100
網路安全
架設實作 (三 )
Outlook Express 擷取密碼案例
2-101
網路安全
實驗環境介紹bull 以 Testbed建立一實驗相關拓樸及設定如下圖
OEClientOSWindows XP SP3IP 10112執行 Outlook Express
MailServerOSWindows XP SP3IP 10122安裝軟體 ArGoSoft Mail Server
2-102
WiresharkOSWindows XP SP3IP1 10113 IP2 10123安裝軟體 Wireshark
IP1IP2
網路安全
實驗拓樸 on TestbedTWISC- 建立完成的實驗拓樸
2-103
網路安全
郵件伺服器工具 - ArGoSoft Mail Server
bull 版本ndash 1892 Freeware
bull 支援作業平台ndash Windows
bull 下載位址ndash httpwwwsoftkingcomtwsoftdownloadaspfid3=7367
2-104
網路安全
郵件客戶端工具 - Outlook Express
bull 版本ndash 60
bull 支援作業平台ndash Windows
bull 下載位址ndash Windows 內建
2-105
網路安全
bull 安裝及設定郵件伺服器ndash 1下載並執行 ArGoSoft Mail Server軟體點選
Setup鈕
Outlook Express 擷取密碼案例
2-106
網路安全
ndash 1 點選 Next鈕ndash 2 點選 Start Installation鈕
Outlook Express 擷取密碼案例 (續 )
2-107
網路安全
ndash 3 點選 OK鈕ndash 4 點選 Finish鈕完成軟體安裝
Outlook Express 擷取密碼案例 (續 )
2-108
網路安全
ndash 5 點選使用者設定鈕如紅圈所示ndash 6 點選新增鈕如紅框所示
Outlook Express 擷取密碼案例 (續 )
2-109
網路安全
ndash 7填入使用者名稱 (tester) 及密碼 (testpw) 如紅圈所示填寫完成後點選 OK鈕ndash 8 點選 Close鈕關閉使用者設定視窗
Outlook Express 擷取密碼案例 (續 )
2-110
網路安全
ndash 9 點選選項鈕如左側圖中紅色圈所示ndash 10 點選紅色打勾鈕如右側圖中紅色圈所示
2-111
Outlook Express 擷取密碼案例 (續 )
網路安全
ndash 11該軟體會自動選取 DNS Server 待選取後點選 Yes鈕ndash 12 勾選 Allow Relay 選項如紅框所示
2-112
Outlook Express 擷取密碼案例 (續 )
網路安全
Outlook Express 擷取密碼案例 (續 )
bull 設定收信帳號ndash 1 點選 Tools功能選單選擇 Accounts 選項
2-113
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 2 點選 Add鈕選擇 Mail 選項
2-114
網路安全
ndash 3填入 tester 點選 Next鈕ndash 4填入 testertestcom 點選 Next鈕
Outlook Express 擷取密碼案例 (續 )
2-115
網路安全
ndash 5填入 10123 如紅框所示點選 Next鈕ndash 6填入帳號為 tester 及密碼為 testpw 點選 Next鈕
Outlook Express 擷取密碼案例 (續 )
2-116
網路安全
ndash 7 點選 Finish鈕ndash 8 點選 Close鈕
Outlook Express 擷取密碼案例 (續 )
2-117
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 模擬條件準備好後首先準備Wireshark 擷取動作開啟Wireshark
2-118
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 於Wireshark軟體選擇 Capture 下拉選單功能項點選 Interfaces 選項
2-119
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 確認欲擷取封包之網卡名稱如紅色底線所示確認後點選 Start鈕
2-120
網路安全
ndash 當使用者收發 email 時即被 Wireshark攔截封包ndash 有發現到該 Outlook Express帳號密碼是如此清晰可見的嗎
Outlook Express 擷取密碼案例 (續 )
2-121
網路安全
結論bull 學習了 Wireshark及WinDump 兩套網路封包擷取軟體基本概念如同電話側錄概念相同從中複製一連串資訊來分析與了解網路的流量及內容為何bull 當你發現網路速度緩慢等狀況你是否會反應到所學的基本概念來找尋問題所在bull 防範概念由此課程的實例可以了解網路內容如被有心人士擷取所造成的損失相當可觀故你是否有對策有哪些方式你可以應用來防範bull 正確的思考善用對的工具將對解決問題事半功倍
2-122
網路安全 2-123
Module 2-5 封包擷取與分析的專案實作()
網路安全
專案目的bull 建立遠端管理傳遞指令資訊環境bull 利用實際攔截封包操作的方式讓同學了解封包擷取運作與網路資訊流通的顧慮等相關議題
2-124
網路安全
專案描述bull 近年來遠端管理伺服器及網路服務普及光是密碼保護就足夠了嗎是否重點網段須全程加密還是作網段隔離經由此專案實作即可了解不僅部分加密仍有其風險所在網路架構如何規劃將是非常重要的課題bull 參考環境配置圖完成下列要求①環境裡的攔截封包主機是 Windows XP SP3 作業系統而該主機安裝Wireshark軟體②另兩台主機的作業系統亦是 Windows XP SP3 並裝上
MySQL軟體 MySQL帳號為 root 密碼為您的學號 (如 Q3896105)
③在MySQLClient 電腦使用 MySQL Commandline 指令連線至MySQLServer 擷取資料庫資訊
④我們針對這兩台主機傳訊的封包擷取由整個實做中思考如何防範資訊外洩與了解傳訊封包如何流動及運作2-125
網路安全
環境配置圖bull 以 Testbed建立一實驗相關拓樸及設定如下圖
MySQLServerOSWINXP-SP3-CH-pc3000 IP 10123安裝軟體 MySQL
MySQLClientOSWINXP-SP3-CH-pc3000 IP 10112安裝軟體 MySQL
2-126
WireSharkOSWINXP-SP3-CH-pc3000 IP1 10113IP2 10122安裝軟體 Wireshark
IP1IP2
網路安全
作業繳交bull 請參考情境測試發送數個 SQL 指令並將過程與擷取到的封包資訊之截圖列於報告中所有圖表皆需要輔以文字說明bull Deadline 2012312 下午 500 以前bull 作業範圍 Module 2-5 (page 2-128)bull 方式 (參考課程網址 )
ndash 帳號密碼小寫的 (ns100ns100)ndash IP 140116164167
2-127
網路安全
有問題嗎
bull 關於 TestBed 使用上的問題請直接 Email至 twisc-testbed-usergooglegroupscom 將有專人為您服務bull 課程網址
httpitlabeenckuedutwcoursesNS_100indexhtml
2-128
bull 助教資訊 (參考課程網址 )
網路安全
參考資料bull Dienet httplinuxdienetman1wiresharkbull Orebaugh Angela Ramirez Gilbert Burke Josh Pesce Larry Wright
Joshua(2007) Wireshark and Ethereal network protocol analyzer toolkitbull Tony Fortunato(2007) Wireshark Training Retrieved July 22 2009 from
the World Wide Web httpwwwthetechfirmcometherealwiresharkpdfbull WinDump httpwwwwinpcaporgWinDumpbull Wireshark httpwwwwiresharkorgbull Wireshark University httpwwwwiresharktrainingcombull 楊中皇 (民 97年 ) 網路安全理論與實務 (2版 ) 台北市學貫bull 蘇淑茵教授 Wireshark 民國 98年 6月 28日取自 httpmywebnckuedutw~sisou
2-129
網路安全
數據哪裡來 - Capture功能 (續 )
bull Capture Options 常用的欄位設定ndash Caputure 框
bull 1Interface 會顯示出在系統上所有網路卡但只能選取一個介面作為封包擷取bull 2Capture packets in promiscuous mode 選取此選項就是經過所選取的網路卡的所有封包都會被擷取下來bull 3Capture Filter 指定擷取過濾器運算式擷取想要的特定封包即為擷取中過濾之功能
2-77
網路安全
數據哪裡來 - Capture功能 (續 )
bull Capture Options 常用的欄位設定ndash Display Options 框
bull Update list of packets in real time 指定在擷取封包過程中能夠即時更新已擷取封包清單窗格視窗中的封包資訊若取消則軟體主視窗更新畫面是沒有動作的
2-78
網路安全
bull Capture Options 常用的欄位設定ndash Name Resolution框
bull 1 Enable MAC name resolution 指定是否將網路卡MAC address 的前三個位元組轉換成製造商名稱
bull 2 Enable network name resolution 指定是否將 IP address轉換成 DNS 網域名稱
bull 3 Enable transport name resolution 指定是否將通信埠號碼 (port numbers)轉成協定名稱 (protocols)bull 各位了解數據從哪裡擷取的概念與操作之後即可以進一步加上附帶條件 (篩選條件 ) 等相關操作方式
數據哪裡來 - Capture功能 (續 )
2-79
網路安全
Wireshark操作手法bull 延續遇到問題的思考方向及軟體操作手法我們可以將操作流程分為兩種
ndash 擷取中過濾 (Filter while capturing)bull 優點僅擷取已知範圍資訊網路流量少bull 缺點需先了解問題類型避免可能有遺漏真正欲擷取資訊之狀況
ndash 檢視中過濾 (Filter packets while viewing)bull 優點不用先預設條件擷取所有封包資訊bull 缺點影響網路流量
先預設欲擷取條件 擷取數據
擷取數據 再篩選欲查詢數據2-80
網路安全
Wireshark操作手法 - 擷取中過濾bull 操作步驟
ndash 點選 Capture 下拉視窗選擇 Capture Filters 即呈現此視窗
bull 操作範例ndash 1於 Filter窗格中選擇 IP
Address 10112ndash 2於 Properties窗格中即顯示該選項的設定值如圖所示為 host 10112ndash 3 即可設定軟體僅針對
10112 的封包作擷取動作 延伸操作思考1 改變 Filter string 值得到什麼結果2 點選 Edit 窗格中的 New 鈕 新增自訂條件 2-81
網路安全
Wireshark操作手法 - 檢視中過濾bull 此步驟即以已擷取封包清單窗格為基礎以過濾條件過濾該清單bull 可直接選擇軟體預設項目如以下操作
ndash 操作步驟bull 點選 Analyze 下拉視窗選擇
Display Filters 即呈現此視窗ndash 操作範例
bull 1於 Filter窗格中選擇 IP Address 10112
bull 2於 Properties窗格中即顯示該選項的設定值如圖所示值為host 10112
bull 3 即可設定軟體僅針對 10112的封包作顯示動作 延伸操作思考1 可否進行進一步自訂設定值
2-82
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 若電腦 IP為 10112 欲篩選出 IP 來源為上述 IP 且協定為 TCP 80port 的所有封包ndash 操作步驟
bull 點選 Expression鈕即出現此視窗ndash 1於 Field name框選擇
IP項目中的 ipsrc - Source
ndash 2於 Relation框選擇 ==ndash 3於 Value [IPV4
address]填 入 10112ndash 4 點選 OK鈕 進階思考方式須考慮到例如是來源資訊是目標資訊是什麼協定等更細部所要之條件
2-83
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 再進行第二篩選條件ndash TCP 80 port
bull 操作步驟ndash 1先於 Filter string 輸入文字框「 ipsrc==
10112」後再加上一個空格及「 and 」再進行一次 Expression條件選擇
2-84
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
ndash 2於 Field name框選擇「 tcpdstport」ndash 3於 Relation框選擇「 ==」ndash 4於 Value框填入「 80」ndash 5 選擇「 OK」鈕
2-85
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 注意 Propeties框內的Filter string欄位值已改變為「 ipsrc == 10112 and tcpdstport == 80」
bull 確認條件正確後點選「 OK 」鈕即可發現已擷取封包清單窗格的項目均為所設定過濾條件過濾過結果2-86
網路安全
bull 可單選單一封包進行更進階查詢封包內容bull 操作方式為
ndash 點選其中一項封包項目點選滑鼠右鍵選擇Follow TCP Stream
Wireshark操作手法 - 檢視中過濾 (續 )
2-87
網路安全
ndash 此畫面即可看出該項 TCP 封包溝通內容Wireshark操作手法 - 檢視中過濾 (續 )
2-88
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 此功能將所擷取的封包清單使用多種方式呈現封包統計資料便於使用者查詢擷取時間內何種封包數量多寡及圖型顯示bull 操作步驟點選 Statistics 下拉視窗即呈現此視窗 顯示有關擷取清單的摘要以階梯式通訊協定列表顯示所擷取的所有封包
在特定 IP間顯示通訊流量顯示單一 IP 來往封包的流量
以時間軸顯示視覺化封包流量圖2-89
網路安全
bull 可查看到一時段內其封包總數與平均每秒傳遞接收封包數等相關資訊讓使用者了解平均一時段內網路流量狀況藉以初步獲得資訊
Wireshark操作手法 - 檢視中過濾 (續 )
2-90
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 讓使用者可透過階梯式封包分類表來查看哪一類封包佔為居多可進一步推測是否該類型封包影響到整體網路或是否有異常或不常見封包類型在網路中傳遞
2-91
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 將該擷取時段內封包清單檔以兩個特定 IP 之間對傳封包為區隔顯示出哪兩個特定 IP間傳遞封包數多寡bull 可讓使用者更進一步研判兩個特定 IP所屬設備傳遞狀況是否異常
2-92
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 將該擷取時段內封包清單檔以特定IP 傳遞封包數為區隔顯示出哪特定IP 傳遞封包數多寡
bull 可讓使用者更進一步研判該特定所屬設備傳遞封包數是否異常作為管制緊急管制或禁止通訊之證明2-93
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 以時間軸顯示視覺化封包流量圖bull 讓使用者可觀察所管理設備資訊流通量以了解設備是否能負荷或作相關調整等處置
2-94
網路安全
FTP 擷取密碼案例bull 於Wireshark軟體選擇 Capture 下拉選單功能項點選 Interfaces 選項
2-95
網路安全
FTP 擷取密碼案例 (續 )
bull 確認欲擷取封包之網卡名稱如紅色底線所示確認後點選 Start鈕
2-96
網路安全
FTP 擷取密碼案例 (續 )
bull 切換至 FTP Client 電腦開啟 FileZilla 程式後連線到 FTP Server 於 Host 填入10123 Username填入 tester Password填入testpw 後點選 Quickconnect鈕
2-97
網路安全
FTP 擷取密碼案例 (續 )
bull 擷取到的封包資訊會顯示於已擷取封包清單窗格內
2-98
網路安全
FTP 擷取密碼案例 (續 )
bull 使用 FTP軟體登入 ftp站後 Wireshark 將擷取到的使用者名稱與密碼如紅框所示
2-99
網路安全
FTP 擷取密碼案例 (續 )
bull 點選已擷取封包清單窗格的密碼資訊列如標示1 的紅框所示即可在封包內容窗格看到該密碼的位元碼如標示 2 的紅框所示
1
2
2-100
網路安全
架設實作 (三 )
Outlook Express 擷取密碼案例
2-101
網路安全
實驗環境介紹bull 以 Testbed建立一實驗相關拓樸及設定如下圖
OEClientOSWindows XP SP3IP 10112執行 Outlook Express
MailServerOSWindows XP SP3IP 10122安裝軟體 ArGoSoft Mail Server
2-102
WiresharkOSWindows XP SP3IP1 10113 IP2 10123安裝軟體 Wireshark
IP1IP2
網路安全
實驗拓樸 on TestbedTWISC- 建立完成的實驗拓樸
2-103
網路安全
郵件伺服器工具 - ArGoSoft Mail Server
bull 版本ndash 1892 Freeware
bull 支援作業平台ndash Windows
bull 下載位址ndash httpwwwsoftkingcomtwsoftdownloadaspfid3=7367
2-104
網路安全
郵件客戶端工具 - Outlook Express
bull 版本ndash 60
bull 支援作業平台ndash Windows
bull 下載位址ndash Windows 內建
2-105
網路安全
bull 安裝及設定郵件伺服器ndash 1下載並執行 ArGoSoft Mail Server軟體點選
Setup鈕
Outlook Express 擷取密碼案例
2-106
網路安全
ndash 1 點選 Next鈕ndash 2 點選 Start Installation鈕
Outlook Express 擷取密碼案例 (續 )
2-107
網路安全
ndash 3 點選 OK鈕ndash 4 點選 Finish鈕完成軟體安裝
Outlook Express 擷取密碼案例 (續 )
2-108
網路安全
ndash 5 點選使用者設定鈕如紅圈所示ndash 6 點選新增鈕如紅框所示
Outlook Express 擷取密碼案例 (續 )
2-109
網路安全
ndash 7填入使用者名稱 (tester) 及密碼 (testpw) 如紅圈所示填寫完成後點選 OK鈕ndash 8 點選 Close鈕關閉使用者設定視窗
Outlook Express 擷取密碼案例 (續 )
2-110
網路安全
ndash 9 點選選項鈕如左側圖中紅色圈所示ndash 10 點選紅色打勾鈕如右側圖中紅色圈所示
2-111
Outlook Express 擷取密碼案例 (續 )
網路安全
ndash 11該軟體會自動選取 DNS Server 待選取後點選 Yes鈕ndash 12 勾選 Allow Relay 選項如紅框所示
2-112
Outlook Express 擷取密碼案例 (續 )
網路安全
Outlook Express 擷取密碼案例 (續 )
bull 設定收信帳號ndash 1 點選 Tools功能選單選擇 Accounts 選項
2-113
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 2 點選 Add鈕選擇 Mail 選項
2-114
網路安全
ndash 3填入 tester 點選 Next鈕ndash 4填入 testertestcom 點選 Next鈕
Outlook Express 擷取密碼案例 (續 )
2-115
網路安全
ndash 5填入 10123 如紅框所示點選 Next鈕ndash 6填入帳號為 tester 及密碼為 testpw 點選 Next鈕
Outlook Express 擷取密碼案例 (續 )
2-116
網路安全
ndash 7 點選 Finish鈕ndash 8 點選 Close鈕
Outlook Express 擷取密碼案例 (續 )
2-117
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 模擬條件準備好後首先準備Wireshark 擷取動作開啟Wireshark
2-118
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 於Wireshark軟體選擇 Capture 下拉選單功能項點選 Interfaces 選項
2-119
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 確認欲擷取封包之網卡名稱如紅色底線所示確認後點選 Start鈕
2-120
網路安全
ndash 當使用者收發 email 時即被 Wireshark攔截封包ndash 有發現到該 Outlook Express帳號密碼是如此清晰可見的嗎
Outlook Express 擷取密碼案例 (續 )
2-121
網路安全
結論bull 學習了 Wireshark及WinDump 兩套網路封包擷取軟體基本概念如同電話側錄概念相同從中複製一連串資訊來分析與了解網路的流量及內容為何bull 當你發現網路速度緩慢等狀況你是否會反應到所學的基本概念來找尋問題所在bull 防範概念由此課程的實例可以了解網路內容如被有心人士擷取所造成的損失相當可觀故你是否有對策有哪些方式你可以應用來防範bull 正確的思考善用對的工具將對解決問題事半功倍
2-122
網路安全 2-123
Module 2-5 封包擷取與分析的專案實作()
網路安全
專案目的bull 建立遠端管理傳遞指令資訊環境bull 利用實際攔截封包操作的方式讓同學了解封包擷取運作與網路資訊流通的顧慮等相關議題
2-124
網路安全
專案描述bull 近年來遠端管理伺服器及網路服務普及光是密碼保護就足夠了嗎是否重點網段須全程加密還是作網段隔離經由此專案實作即可了解不僅部分加密仍有其風險所在網路架構如何規劃將是非常重要的課題bull 參考環境配置圖完成下列要求①環境裡的攔截封包主機是 Windows XP SP3 作業系統而該主機安裝Wireshark軟體②另兩台主機的作業系統亦是 Windows XP SP3 並裝上
MySQL軟體 MySQL帳號為 root 密碼為您的學號 (如 Q3896105)
③在MySQLClient 電腦使用 MySQL Commandline 指令連線至MySQLServer 擷取資料庫資訊
④我們針對這兩台主機傳訊的封包擷取由整個實做中思考如何防範資訊外洩與了解傳訊封包如何流動及運作2-125
網路安全
環境配置圖bull 以 Testbed建立一實驗相關拓樸及設定如下圖
MySQLServerOSWINXP-SP3-CH-pc3000 IP 10123安裝軟體 MySQL
MySQLClientOSWINXP-SP3-CH-pc3000 IP 10112安裝軟體 MySQL
2-126
WireSharkOSWINXP-SP3-CH-pc3000 IP1 10113IP2 10122安裝軟體 Wireshark
IP1IP2
網路安全
作業繳交bull 請參考情境測試發送數個 SQL 指令並將過程與擷取到的封包資訊之截圖列於報告中所有圖表皆需要輔以文字說明bull Deadline 2012312 下午 500 以前bull 作業範圍 Module 2-5 (page 2-128)bull 方式 (參考課程網址 )
ndash 帳號密碼小寫的 (ns100ns100)ndash IP 140116164167
2-127
網路安全
有問題嗎
bull 關於 TestBed 使用上的問題請直接 Email至 twisc-testbed-usergooglegroupscom 將有專人為您服務bull 課程網址
httpitlabeenckuedutwcoursesNS_100indexhtml
2-128
bull 助教資訊 (參考課程網址 )
網路安全
參考資料bull Dienet httplinuxdienetman1wiresharkbull Orebaugh Angela Ramirez Gilbert Burke Josh Pesce Larry Wright
Joshua(2007) Wireshark and Ethereal network protocol analyzer toolkitbull Tony Fortunato(2007) Wireshark Training Retrieved July 22 2009 from
the World Wide Web httpwwwthetechfirmcometherealwiresharkpdfbull WinDump httpwwwwinpcaporgWinDumpbull Wireshark httpwwwwiresharkorgbull Wireshark University httpwwwwiresharktrainingcombull 楊中皇 (民 97年 ) 網路安全理論與實務 (2版 ) 台北市學貫bull 蘇淑茵教授 Wireshark 民國 98年 6月 28日取自 httpmywebnckuedutw~sisou
2-129
網路安全
數據哪裡來 - Capture功能 (續 )
bull Capture Options 常用的欄位設定ndash Display Options 框
bull Update list of packets in real time 指定在擷取封包過程中能夠即時更新已擷取封包清單窗格視窗中的封包資訊若取消則軟體主視窗更新畫面是沒有動作的
2-78
網路安全
bull Capture Options 常用的欄位設定ndash Name Resolution框
bull 1 Enable MAC name resolution 指定是否將網路卡MAC address 的前三個位元組轉換成製造商名稱
bull 2 Enable network name resolution 指定是否將 IP address轉換成 DNS 網域名稱
bull 3 Enable transport name resolution 指定是否將通信埠號碼 (port numbers)轉成協定名稱 (protocols)bull 各位了解數據從哪裡擷取的概念與操作之後即可以進一步加上附帶條件 (篩選條件 ) 等相關操作方式
數據哪裡來 - Capture功能 (續 )
2-79
網路安全
Wireshark操作手法bull 延續遇到問題的思考方向及軟體操作手法我們可以將操作流程分為兩種
ndash 擷取中過濾 (Filter while capturing)bull 優點僅擷取已知範圍資訊網路流量少bull 缺點需先了解問題類型避免可能有遺漏真正欲擷取資訊之狀況
ndash 檢視中過濾 (Filter packets while viewing)bull 優點不用先預設條件擷取所有封包資訊bull 缺點影響網路流量
先預設欲擷取條件 擷取數據
擷取數據 再篩選欲查詢數據2-80
網路安全
Wireshark操作手法 - 擷取中過濾bull 操作步驟
ndash 點選 Capture 下拉視窗選擇 Capture Filters 即呈現此視窗
bull 操作範例ndash 1於 Filter窗格中選擇 IP
Address 10112ndash 2於 Properties窗格中即顯示該選項的設定值如圖所示為 host 10112ndash 3 即可設定軟體僅針對
10112 的封包作擷取動作 延伸操作思考1 改變 Filter string 值得到什麼結果2 點選 Edit 窗格中的 New 鈕 新增自訂條件 2-81
網路安全
Wireshark操作手法 - 檢視中過濾bull 此步驟即以已擷取封包清單窗格為基礎以過濾條件過濾該清單bull 可直接選擇軟體預設項目如以下操作
ndash 操作步驟bull 點選 Analyze 下拉視窗選擇
Display Filters 即呈現此視窗ndash 操作範例
bull 1於 Filter窗格中選擇 IP Address 10112
bull 2於 Properties窗格中即顯示該選項的設定值如圖所示值為host 10112
bull 3 即可設定軟體僅針對 10112的封包作顯示動作 延伸操作思考1 可否進行進一步自訂設定值
2-82
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 若電腦 IP為 10112 欲篩選出 IP 來源為上述 IP 且協定為 TCP 80port 的所有封包ndash 操作步驟
bull 點選 Expression鈕即出現此視窗ndash 1於 Field name框選擇
IP項目中的 ipsrc - Source
ndash 2於 Relation框選擇 ==ndash 3於 Value [IPV4
address]填 入 10112ndash 4 點選 OK鈕 進階思考方式須考慮到例如是來源資訊是目標資訊是什麼協定等更細部所要之條件
2-83
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 再進行第二篩選條件ndash TCP 80 port
bull 操作步驟ndash 1先於 Filter string 輸入文字框「 ipsrc==
10112」後再加上一個空格及「 and 」再進行一次 Expression條件選擇
2-84
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
ndash 2於 Field name框選擇「 tcpdstport」ndash 3於 Relation框選擇「 ==」ndash 4於 Value框填入「 80」ndash 5 選擇「 OK」鈕
2-85
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 注意 Propeties框內的Filter string欄位值已改變為「 ipsrc == 10112 and tcpdstport == 80」
bull 確認條件正確後點選「 OK 」鈕即可發現已擷取封包清單窗格的項目均為所設定過濾條件過濾過結果2-86
網路安全
bull 可單選單一封包進行更進階查詢封包內容bull 操作方式為
ndash 點選其中一項封包項目點選滑鼠右鍵選擇Follow TCP Stream
Wireshark操作手法 - 檢視中過濾 (續 )
2-87
網路安全
ndash 此畫面即可看出該項 TCP 封包溝通內容Wireshark操作手法 - 檢視中過濾 (續 )
2-88
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 此功能將所擷取的封包清單使用多種方式呈現封包統計資料便於使用者查詢擷取時間內何種封包數量多寡及圖型顯示bull 操作步驟點選 Statistics 下拉視窗即呈現此視窗 顯示有關擷取清單的摘要以階梯式通訊協定列表顯示所擷取的所有封包
在特定 IP間顯示通訊流量顯示單一 IP 來往封包的流量
以時間軸顯示視覺化封包流量圖2-89
網路安全
bull 可查看到一時段內其封包總數與平均每秒傳遞接收封包數等相關資訊讓使用者了解平均一時段內網路流量狀況藉以初步獲得資訊
Wireshark操作手法 - 檢視中過濾 (續 )
2-90
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 讓使用者可透過階梯式封包分類表來查看哪一類封包佔為居多可進一步推測是否該類型封包影響到整體網路或是否有異常或不常見封包類型在網路中傳遞
2-91
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 將該擷取時段內封包清單檔以兩個特定 IP 之間對傳封包為區隔顯示出哪兩個特定 IP間傳遞封包數多寡bull 可讓使用者更進一步研判兩個特定 IP所屬設備傳遞狀況是否異常
2-92
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 將該擷取時段內封包清單檔以特定IP 傳遞封包數為區隔顯示出哪特定IP 傳遞封包數多寡
bull 可讓使用者更進一步研判該特定所屬設備傳遞封包數是否異常作為管制緊急管制或禁止通訊之證明2-93
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 以時間軸顯示視覺化封包流量圖bull 讓使用者可觀察所管理設備資訊流通量以了解設備是否能負荷或作相關調整等處置
2-94
網路安全
FTP 擷取密碼案例bull 於Wireshark軟體選擇 Capture 下拉選單功能項點選 Interfaces 選項
2-95
網路安全
FTP 擷取密碼案例 (續 )
bull 確認欲擷取封包之網卡名稱如紅色底線所示確認後點選 Start鈕
2-96
網路安全
FTP 擷取密碼案例 (續 )
bull 切換至 FTP Client 電腦開啟 FileZilla 程式後連線到 FTP Server 於 Host 填入10123 Username填入 tester Password填入testpw 後點選 Quickconnect鈕
2-97
網路安全
FTP 擷取密碼案例 (續 )
bull 擷取到的封包資訊會顯示於已擷取封包清單窗格內
2-98
網路安全
FTP 擷取密碼案例 (續 )
bull 使用 FTP軟體登入 ftp站後 Wireshark 將擷取到的使用者名稱與密碼如紅框所示
2-99
網路安全
FTP 擷取密碼案例 (續 )
bull 點選已擷取封包清單窗格的密碼資訊列如標示1 的紅框所示即可在封包內容窗格看到該密碼的位元碼如標示 2 的紅框所示
1
2
2-100
網路安全
架設實作 (三 )
Outlook Express 擷取密碼案例
2-101
網路安全
實驗環境介紹bull 以 Testbed建立一實驗相關拓樸及設定如下圖
OEClientOSWindows XP SP3IP 10112執行 Outlook Express
MailServerOSWindows XP SP3IP 10122安裝軟體 ArGoSoft Mail Server
2-102
WiresharkOSWindows XP SP3IP1 10113 IP2 10123安裝軟體 Wireshark
IP1IP2
網路安全
實驗拓樸 on TestbedTWISC- 建立完成的實驗拓樸
2-103
網路安全
郵件伺服器工具 - ArGoSoft Mail Server
bull 版本ndash 1892 Freeware
bull 支援作業平台ndash Windows
bull 下載位址ndash httpwwwsoftkingcomtwsoftdownloadaspfid3=7367
2-104
網路安全
郵件客戶端工具 - Outlook Express
bull 版本ndash 60
bull 支援作業平台ndash Windows
bull 下載位址ndash Windows 內建
2-105
網路安全
bull 安裝及設定郵件伺服器ndash 1下載並執行 ArGoSoft Mail Server軟體點選
Setup鈕
Outlook Express 擷取密碼案例
2-106
網路安全
ndash 1 點選 Next鈕ndash 2 點選 Start Installation鈕
Outlook Express 擷取密碼案例 (續 )
2-107
網路安全
ndash 3 點選 OK鈕ndash 4 點選 Finish鈕完成軟體安裝
Outlook Express 擷取密碼案例 (續 )
2-108
網路安全
ndash 5 點選使用者設定鈕如紅圈所示ndash 6 點選新增鈕如紅框所示
Outlook Express 擷取密碼案例 (續 )
2-109
網路安全
ndash 7填入使用者名稱 (tester) 及密碼 (testpw) 如紅圈所示填寫完成後點選 OK鈕ndash 8 點選 Close鈕關閉使用者設定視窗
Outlook Express 擷取密碼案例 (續 )
2-110
網路安全
ndash 9 點選選項鈕如左側圖中紅色圈所示ndash 10 點選紅色打勾鈕如右側圖中紅色圈所示
2-111
Outlook Express 擷取密碼案例 (續 )
網路安全
ndash 11該軟體會自動選取 DNS Server 待選取後點選 Yes鈕ndash 12 勾選 Allow Relay 選項如紅框所示
2-112
Outlook Express 擷取密碼案例 (續 )
網路安全
Outlook Express 擷取密碼案例 (續 )
bull 設定收信帳號ndash 1 點選 Tools功能選單選擇 Accounts 選項
2-113
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 2 點選 Add鈕選擇 Mail 選項
2-114
網路安全
ndash 3填入 tester 點選 Next鈕ndash 4填入 testertestcom 點選 Next鈕
Outlook Express 擷取密碼案例 (續 )
2-115
網路安全
ndash 5填入 10123 如紅框所示點選 Next鈕ndash 6填入帳號為 tester 及密碼為 testpw 點選 Next鈕
Outlook Express 擷取密碼案例 (續 )
2-116
網路安全
ndash 7 點選 Finish鈕ndash 8 點選 Close鈕
Outlook Express 擷取密碼案例 (續 )
2-117
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 模擬條件準備好後首先準備Wireshark 擷取動作開啟Wireshark
2-118
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 於Wireshark軟體選擇 Capture 下拉選單功能項點選 Interfaces 選項
2-119
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 確認欲擷取封包之網卡名稱如紅色底線所示確認後點選 Start鈕
2-120
網路安全
ndash 當使用者收發 email 時即被 Wireshark攔截封包ndash 有發現到該 Outlook Express帳號密碼是如此清晰可見的嗎
Outlook Express 擷取密碼案例 (續 )
2-121
網路安全
結論bull 學習了 Wireshark及WinDump 兩套網路封包擷取軟體基本概念如同電話側錄概念相同從中複製一連串資訊來分析與了解網路的流量及內容為何bull 當你發現網路速度緩慢等狀況你是否會反應到所學的基本概念來找尋問題所在bull 防範概念由此課程的實例可以了解網路內容如被有心人士擷取所造成的損失相當可觀故你是否有對策有哪些方式你可以應用來防範bull 正確的思考善用對的工具將對解決問題事半功倍
2-122
網路安全 2-123
Module 2-5 封包擷取與分析的專案實作()
網路安全
專案目的bull 建立遠端管理傳遞指令資訊環境bull 利用實際攔截封包操作的方式讓同學了解封包擷取運作與網路資訊流通的顧慮等相關議題
2-124
網路安全
專案描述bull 近年來遠端管理伺服器及網路服務普及光是密碼保護就足夠了嗎是否重點網段須全程加密還是作網段隔離經由此專案實作即可了解不僅部分加密仍有其風險所在網路架構如何規劃將是非常重要的課題bull 參考環境配置圖完成下列要求①環境裡的攔截封包主機是 Windows XP SP3 作業系統而該主機安裝Wireshark軟體②另兩台主機的作業系統亦是 Windows XP SP3 並裝上
MySQL軟體 MySQL帳號為 root 密碼為您的學號 (如 Q3896105)
③在MySQLClient 電腦使用 MySQL Commandline 指令連線至MySQLServer 擷取資料庫資訊
④我們針對這兩台主機傳訊的封包擷取由整個實做中思考如何防範資訊外洩與了解傳訊封包如何流動及運作2-125
網路安全
環境配置圖bull 以 Testbed建立一實驗相關拓樸及設定如下圖
MySQLServerOSWINXP-SP3-CH-pc3000 IP 10123安裝軟體 MySQL
MySQLClientOSWINXP-SP3-CH-pc3000 IP 10112安裝軟體 MySQL
2-126
WireSharkOSWINXP-SP3-CH-pc3000 IP1 10113IP2 10122安裝軟體 Wireshark
IP1IP2
網路安全
作業繳交bull 請參考情境測試發送數個 SQL 指令並將過程與擷取到的封包資訊之截圖列於報告中所有圖表皆需要輔以文字說明bull Deadline 2012312 下午 500 以前bull 作業範圍 Module 2-5 (page 2-128)bull 方式 (參考課程網址 )
ndash 帳號密碼小寫的 (ns100ns100)ndash IP 140116164167
2-127
網路安全
有問題嗎
bull 關於 TestBed 使用上的問題請直接 Email至 twisc-testbed-usergooglegroupscom 將有專人為您服務bull 課程網址
httpitlabeenckuedutwcoursesNS_100indexhtml
2-128
bull 助教資訊 (參考課程網址 )
網路安全
參考資料bull Dienet httplinuxdienetman1wiresharkbull Orebaugh Angela Ramirez Gilbert Burke Josh Pesce Larry Wright
Joshua(2007) Wireshark and Ethereal network protocol analyzer toolkitbull Tony Fortunato(2007) Wireshark Training Retrieved July 22 2009 from
the World Wide Web httpwwwthetechfirmcometherealwiresharkpdfbull WinDump httpwwwwinpcaporgWinDumpbull Wireshark httpwwwwiresharkorgbull Wireshark University httpwwwwiresharktrainingcombull 楊中皇 (民 97年 ) 網路安全理論與實務 (2版 ) 台北市學貫bull 蘇淑茵教授 Wireshark 民國 98年 6月 28日取自 httpmywebnckuedutw~sisou
2-129
網路安全
bull Capture Options 常用的欄位設定ndash Name Resolution框
bull 1 Enable MAC name resolution 指定是否將網路卡MAC address 的前三個位元組轉換成製造商名稱
bull 2 Enable network name resolution 指定是否將 IP address轉換成 DNS 網域名稱
bull 3 Enable transport name resolution 指定是否將通信埠號碼 (port numbers)轉成協定名稱 (protocols)bull 各位了解數據從哪裡擷取的概念與操作之後即可以進一步加上附帶條件 (篩選條件 ) 等相關操作方式
數據哪裡來 - Capture功能 (續 )
2-79
網路安全
Wireshark操作手法bull 延續遇到問題的思考方向及軟體操作手法我們可以將操作流程分為兩種
ndash 擷取中過濾 (Filter while capturing)bull 優點僅擷取已知範圍資訊網路流量少bull 缺點需先了解問題類型避免可能有遺漏真正欲擷取資訊之狀況
ndash 檢視中過濾 (Filter packets while viewing)bull 優點不用先預設條件擷取所有封包資訊bull 缺點影響網路流量
先預設欲擷取條件 擷取數據
擷取數據 再篩選欲查詢數據2-80
網路安全
Wireshark操作手法 - 擷取中過濾bull 操作步驟
ndash 點選 Capture 下拉視窗選擇 Capture Filters 即呈現此視窗
bull 操作範例ndash 1於 Filter窗格中選擇 IP
Address 10112ndash 2於 Properties窗格中即顯示該選項的設定值如圖所示為 host 10112ndash 3 即可設定軟體僅針對
10112 的封包作擷取動作 延伸操作思考1 改變 Filter string 值得到什麼結果2 點選 Edit 窗格中的 New 鈕 新增自訂條件 2-81
網路安全
Wireshark操作手法 - 檢視中過濾bull 此步驟即以已擷取封包清單窗格為基礎以過濾條件過濾該清單bull 可直接選擇軟體預設項目如以下操作
ndash 操作步驟bull 點選 Analyze 下拉視窗選擇
Display Filters 即呈現此視窗ndash 操作範例
bull 1於 Filter窗格中選擇 IP Address 10112
bull 2於 Properties窗格中即顯示該選項的設定值如圖所示值為host 10112
bull 3 即可設定軟體僅針對 10112的封包作顯示動作 延伸操作思考1 可否進行進一步自訂設定值
2-82
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 若電腦 IP為 10112 欲篩選出 IP 來源為上述 IP 且協定為 TCP 80port 的所有封包ndash 操作步驟
bull 點選 Expression鈕即出現此視窗ndash 1於 Field name框選擇
IP項目中的 ipsrc - Source
ndash 2於 Relation框選擇 ==ndash 3於 Value [IPV4
address]填 入 10112ndash 4 點選 OK鈕 進階思考方式須考慮到例如是來源資訊是目標資訊是什麼協定等更細部所要之條件
2-83
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 再進行第二篩選條件ndash TCP 80 port
bull 操作步驟ndash 1先於 Filter string 輸入文字框「 ipsrc==
10112」後再加上一個空格及「 and 」再進行一次 Expression條件選擇
2-84
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
ndash 2於 Field name框選擇「 tcpdstport」ndash 3於 Relation框選擇「 ==」ndash 4於 Value框填入「 80」ndash 5 選擇「 OK」鈕
2-85
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 注意 Propeties框內的Filter string欄位值已改變為「 ipsrc == 10112 and tcpdstport == 80」
bull 確認條件正確後點選「 OK 」鈕即可發現已擷取封包清單窗格的項目均為所設定過濾條件過濾過結果2-86
網路安全
bull 可單選單一封包進行更進階查詢封包內容bull 操作方式為
ndash 點選其中一項封包項目點選滑鼠右鍵選擇Follow TCP Stream
Wireshark操作手法 - 檢視中過濾 (續 )
2-87
網路安全
ndash 此畫面即可看出該項 TCP 封包溝通內容Wireshark操作手法 - 檢視中過濾 (續 )
2-88
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 此功能將所擷取的封包清單使用多種方式呈現封包統計資料便於使用者查詢擷取時間內何種封包數量多寡及圖型顯示bull 操作步驟點選 Statistics 下拉視窗即呈現此視窗 顯示有關擷取清單的摘要以階梯式通訊協定列表顯示所擷取的所有封包
在特定 IP間顯示通訊流量顯示單一 IP 來往封包的流量
以時間軸顯示視覺化封包流量圖2-89
網路安全
bull 可查看到一時段內其封包總數與平均每秒傳遞接收封包數等相關資訊讓使用者了解平均一時段內網路流量狀況藉以初步獲得資訊
Wireshark操作手法 - 檢視中過濾 (續 )
2-90
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 讓使用者可透過階梯式封包分類表來查看哪一類封包佔為居多可進一步推測是否該類型封包影響到整體網路或是否有異常或不常見封包類型在網路中傳遞
2-91
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 將該擷取時段內封包清單檔以兩個特定 IP 之間對傳封包為區隔顯示出哪兩個特定 IP間傳遞封包數多寡bull 可讓使用者更進一步研判兩個特定 IP所屬設備傳遞狀況是否異常
2-92
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 將該擷取時段內封包清單檔以特定IP 傳遞封包數為區隔顯示出哪特定IP 傳遞封包數多寡
bull 可讓使用者更進一步研判該特定所屬設備傳遞封包數是否異常作為管制緊急管制或禁止通訊之證明2-93
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 以時間軸顯示視覺化封包流量圖bull 讓使用者可觀察所管理設備資訊流通量以了解設備是否能負荷或作相關調整等處置
2-94
網路安全
FTP 擷取密碼案例bull 於Wireshark軟體選擇 Capture 下拉選單功能項點選 Interfaces 選項
2-95
網路安全
FTP 擷取密碼案例 (續 )
bull 確認欲擷取封包之網卡名稱如紅色底線所示確認後點選 Start鈕
2-96
網路安全
FTP 擷取密碼案例 (續 )
bull 切換至 FTP Client 電腦開啟 FileZilla 程式後連線到 FTP Server 於 Host 填入10123 Username填入 tester Password填入testpw 後點選 Quickconnect鈕
2-97
網路安全
FTP 擷取密碼案例 (續 )
bull 擷取到的封包資訊會顯示於已擷取封包清單窗格內
2-98
網路安全
FTP 擷取密碼案例 (續 )
bull 使用 FTP軟體登入 ftp站後 Wireshark 將擷取到的使用者名稱與密碼如紅框所示
2-99
網路安全
FTP 擷取密碼案例 (續 )
bull 點選已擷取封包清單窗格的密碼資訊列如標示1 的紅框所示即可在封包內容窗格看到該密碼的位元碼如標示 2 的紅框所示
1
2
2-100
網路安全
架設實作 (三 )
Outlook Express 擷取密碼案例
2-101
網路安全
實驗環境介紹bull 以 Testbed建立一實驗相關拓樸及設定如下圖
OEClientOSWindows XP SP3IP 10112執行 Outlook Express
MailServerOSWindows XP SP3IP 10122安裝軟體 ArGoSoft Mail Server
2-102
WiresharkOSWindows XP SP3IP1 10113 IP2 10123安裝軟體 Wireshark
IP1IP2
網路安全
實驗拓樸 on TestbedTWISC- 建立完成的實驗拓樸
2-103
網路安全
郵件伺服器工具 - ArGoSoft Mail Server
bull 版本ndash 1892 Freeware
bull 支援作業平台ndash Windows
bull 下載位址ndash httpwwwsoftkingcomtwsoftdownloadaspfid3=7367
2-104
網路安全
郵件客戶端工具 - Outlook Express
bull 版本ndash 60
bull 支援作業平台ndash Windows
bull 下載位址ndash Windows 內建
2-105
網路安全
bull 安裝及設定郵件伺服器ndash 1下載並執行 ArGoSoft Mail Server軟體點選
Setup鈕
Outlook Express 擷取密碼案例
2-106
網路安全
ndash 1 點選 Next鈕ndash 2 點選 Start Installation鈕
Outlook Express 擷取密碼案例 (續 )
2-107
網路安全
ndash 3 點選 OK鈕ndash 4 點選 Finish鈕完成軟體安裝
Outlook Express 擷取密碼案例 (續 )
2-108
網路安全
ndash 5 點選使用者設定鈕如紅圈所示ndash 6 點選新增鈕如紅框所示
Outlook Express 擷取密碼案例 (續 )
2-109
網路安全
ndash 7填入使用者名稱 (tester) 及密碼 (testpw) 如紅圈所示填寫完成後點選 OK鈕ndash 8 點選 Close鈕關閉使用者設定視窗
Outlook Express 擷取密碼案例 (續 )
2-110
網路安全
ndash 9 點選選項鈕如左側圖中紅色圈所示ndash 10 點選紅色打勾鈕如右側圖中紅色圈所示
2-111
Outlook Express 擷取密碼案例 (續 )
網路安全
ndash 11該軟體會自動選取 DNS Server 待選取後點選 Yes鈕ndash 12 勾選 Allow Relay 選項如紅框所示
2-112
Outlook Express 擷取密碼案例 (續 )
網路安全
Outlook Express 擷取密碼案例 (續 )
bull 設定收信帳號ndash 1 點選 Tools功能選單選擇 Accounts 選項
2-113
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 2 點選 Add鈕選擇 Mail 選項
2-114
網路安全
ndash 3填入 tester 點選 Next鈕ndash 4填入 testertestcom 點選 Next鈕
Outlook Express 擷取密碼案例 (續 )
2-115
網路安全
ndash 5填入 10123 如紅框所示點選 Next鈕ndash 6填入帳號為 tester 及密碼為 testpw 點選 Next鈕
Outlook Express 擷取密碼案例 (續 )
2-116
網路安全
ndash 7 點選 Finish鈕ndash 8 點選 Close鈕
Outlook Express 擷取密碼案例 (續 )
2-117
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 模擬條件準備好後首先準備Wireshark 擷取動作開啟Wireshark
2-118
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 於Wireshark軟體選擇 Capture 下拉選單功能項點選 Interfaces 選項
2-119
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 確認欲擷取封包之網卡名稱如紅色底線所示確認後點選 Start鈕
2-120
網路安全
ndash 當使用者收發 email 時即被 Wireshark攔截封包ndash 有發現到該 Outlook Express帳號密碼是如此清晰可見的嗎
Outlook Express 擷取密碼案例 (續 )
2-121
網路安全
結論bull 學習了 Wireshark及WinDump 兩套網路封包擷取軟體基本概念如同電話側錄概念相同從中複製一連串資訊來分析與了解網路的流量及內容為何bull 當你發現網路速度緩慢等狀況你是否會反應到所學的基本概念來找尋問題所在bull 防範概念由此課程的實例可以了解網路內容如被有心人士擷取所造成的損失相當可觀故你是否有對策有哪些方式你可以應用來防範bull 正確的思考善用對的工具將對解決問題事半功倍
2-122
網路安全 2-123
Module 2-5 封包擷取與分析的專案實作()
網路安全
專案目的bull 建立遠端管理傳遞指令資訊環境bull 利用實際攔截封包操作的方式讓同學了解封包擷取運作與網路資訊流通的顧慮等相關議題
2-124
網路安全
專案描述bull 近年來遠端管理伺服器及網路服務普及光是密碼保護就足夠了嗎是否重點網段須全程加密還是作網段隔離經由此專案實作即可了解不僅部分加密仍有其風險所在網路架構如何規劃將是非常重要的課題bull 參考環境配置圖完成下列要求①環境裡的攔截封包主機是 Windows XP SP3 作業系統而該主機安裝Wireshark軟體②另兩台主機的作業系統亦是 Windows XP SP3 並裝上
MySQL軟體 MySQL帳號為 root 密碼為您的學號 (如 Q3896105)
③在MySQLClient 電腦使用 MySQL Commandline 指令連線至MySQLServer 擷取資料庫資訊
④我們針對這兩台主機傳訊的封包擷取由整個實做中思考如何防範資訊外洩與了解傳訊封包如何流動及運作2-125
網路安全
環境配置圖bull 以 Testbed建立一實驗相關拓樸及設定如下圖
MySQLServerOSWINXP-SP3-CH-pc3000 IP 10123安裝軟體 MySQL
MySQLClientOSWINXP-SP3-CH-pc3000 IP 10112安裝軟體 MySQL
2-126
WireSharkOSWINXP-SP3-CH-pc3000 IP1 10113IP2 10122安裝軟體 Wireshark
IP1IP2
網路安全
作業繳交bull 請參考情境測試發送數個 SQL 指令並將過程與擷取到的封包資訊之截圖列於報告中所有圖表皆需要輔以文字說明bull Deadline 2012312 下午 500 以前bull 作業範圍 Module 2-5 (page 2-128)bull 方式 (參考課程網址 )
ndash 帳號密碼小寫的 (ns100ns100)ndash IP 140116164167
2-127
網路安全
有問題嗎
bull 關於 TestBed 使用上的問題請直接 Email至 twisc-testbed-usergooglegroupscom 將有專人為您服務bull 課程網址
httpitlabeenckuedutwcoursesNS_100indexhtml
2-128
bull 助教資訊 (參考課程網址 )
網路安全
參考資料bull Dienet httplinuxdienetman1wiresharkbull Orebaugh Angela Ramirez Gilbert Burke Josh Pesce Larry Wright
Joshua(2007) Wireshark and Ethereal network protocol analyzer toolkitbull Tony Fortunato(2007) Wireshark Training Retrieved July 22 2009 from
the World Wide Web httpwwwthetechfirmcometherealwiresharkpdfbull WinDump httpwwwwinpcaporgWinDumpbull Wireshark httpwwwwiresharkorgbull Wireshark University httpwwwwiresharktrainingcombull 楊中皇 (民 97年 ) 網路安全理論與實務 (2版 ) 台北市學貫bull 蘇淑茵教授 Wireshark 民國 98年 6月 28日取自 httpmywebnckuedutw~sisou
2-129
網路安全
Wireshark操作手法bull 延續遇到問題的思考方向及軟體操作手法我們可以將操作流程分為兩種
ndash 擷取中過濾 (Filter while capturing)bull 優點僅擷取已知範圍資訊網路流量少bull 缺點需先了解問題類型避免可能有遺漏真正欲擷取資訊之狀況
ndash 檢視中過濾 (Filter packets while viewing)bull 優點不用先預設條件擷取所有封包資訊bull 缺點影響網路流量
先預設欲擷取條件 擷取數據
擷取數據 再篩選欲查詢數據2-80
網路安全
Wireshark操作手法 - 擷取中過濾bull 操作步驟
ndash 點選 Capture 下拉視窗選擇 Capture Filters 即呈現此視窗
bull 操作範例ndash 1於 Filter窗格中選擇 IP
Address 10112ndash 2於 Properties窗格中即顯示該選項的設定值如圖所示為 host 10112ndash 3 即可設定軟體僅針對
10112 的封包作擷取動作 延伸操作思考1 改變 Filter string 值得到什麼結果2 點選 Edit 窗格中的 New 鈕 新增自訂條件 2-81
網路安全
Wireshark操作手法 - 檢視中過濾bull 此步驟即以已擷取封包清單窗格為基礎以過濾條件過濾該清單bull 可直接選擇軟體預設項目如以下操作
ndash 操作步驟bull 點選 Analyze 下拉視窗選擇
Display Filters 即呈現此視窗ndash 操作範例
bull 1於 Filter窗格中選擇 IP Address 10112
bull 2於 Properties窗格中即顯示該選項的設定值如圖所示值為host 10112
bull 3 即可設定軟體僅針對 10112的封包作顯示動作 延伸操作思考1 可否進行進一步自訂設定值
2-82
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 若電腦 IP為 10112 欲篩選出 IP 來源為上述 IP 且協定為 TCP 80port 的所有封包ndash 操作步驟
bull 點選 Expression鈕即出現此視窗ndash 1於 Field name框選擇
IP項目中的 ipsrc - Source
ndash 2於 Relation框選擇 ==ndash 3於 Value [IPV4
address]填 入 10112ndash 4 點選 OK鈕 進階思考方式須考慮到例如是來源資訊是目標資訊是什麼協定等更細部所要之條件
2-83
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 再進行第二篩選條件ndash TCP 80 port
bull 操作步驟ndash 1先於 Filter string 輸入文字框「 ipsrc==
10112」後再加上一個空格及「 and 」再進行一次 Expression條件選擇
2-84
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
ndash 2於 Field name框選擇「 tcpdstport」ndash 3於 Relation框選擇「 ==」ndash 4於 Value框填入「 80」ndash 5 選擇「 OK」鈕
2-85
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 注意 Propeties框內的Filter string欄位值已改變為「 ipsrc == 10112 and tcpdstport == 80」
bull 確認條件正確後點選「 OK 」鈕即可發現已擷取封包清單窗格的項目均為所設定過濾條件過濾過結果2-86
網路安全
bull 可單選單一封包進行更進階查詢封包內容bull 操作方式為
ndash 點選其中一項封包項目點選滑鼠右鍵選擇Follow TCP Stream
Wireshark操作手法 - 檢視中過濾 (續 )
2-87
網路安全
ndash 此畫面即可看出該項 TCP 封包溝通內容Wireshark操作手法 - 檢視中過濾 (續 )
2-88
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 此功能將所擷取的封包清單使用多種方式呈現封包統計資料便於使用者查詢擷取時間內何種封包數量多寡及圖型顯示bull 操作步驟點選 Statistics 下拉視窗即呈現此視窗 顯示有關擷取清單的摘要以階梯式通訊協定列表顯示所擷取的所有封包
在特定 IP間顯示通訊流量顯示單一 IP 來往封包的流量
以時間軸顯示視覺化封包流量圖2-89
網路安全
bull 可查看到一時段內其封包總數與平均每秒傳遞接收封包數等相關資訊讓使用者了解平均一時段內網路流量狀況藉以初步獲得資訊
Wireshark操作手法 - 檢視中過濾 (續 )
2-90
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 讓使用者可透過階梯式封包分類表來查看哪一類封包佔為居多可進一步推測是否該類型封包影響到整體網路或是否有異常或不常見封包類型在網路中傳遞
2-91
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 將該擷取時段內封包清單檔以兩個特定 IP 之間對傳封包為區隔顯示出哪兩個特定 IP間傳遞封包數多寡bull 可讓使用者更進一步研判兩個特定 IP所屬設備傳遞狀況是否異常
2-92
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 將該擷取時段內封包清單檔以特定IP 傳遞封包數為區隔顯示出哪特定IP 傳遞封包數多寡
bull 可讓使用者更進一步研判該特定所屬設備傳遞封包數是否異常作為管制緊急管制或禁止通訊之證明2-93
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 以時間軸顯示視覺化封包流量圖bull 讓使用者可觀察所管理設備資訊流通量以了解設備是否能負荷或作相關調整等處置
2-94
網路安全
FTP 擷取密碼案例bull 於Wireshark軟體選擇 Capture 下拉選單功能項點選 Interfaces 選項
2-95
網路安全
FTP 擷取密碼案例 (續 )
bull 確認欲擷取封包之網卡名稱如紅色底線所示確認後點選 Start鈕
2-96
網路安全
FTP 擷取密碼案例 (續 )
bull 切換至 FTP Client 電腦開啟 FileZilla 程式後連線到 FTP Server 於 Host 填入10123 Username填入 tester Password填入testpw 後點選 Quickconnect鈕
2-97
網路安全
FTP 擷取密碼案例 (續 )
bull 擷取到的封包資訊會顯示於已擷取封包清單窗格內
2-98
網路安全
FTP 擷取密碼案例 (續 )
bull 使用 FTP軟體登入 ftp站後 Wireshark 將擷取到的使用者名稱與密碼如紅框所示
2-99
網路安全
FTP 擷取密碼案例 (續 )
bull 點選已擷取封包清單窗格的密碼資訊列如標示1 的紅框所示即可在封包內容窗格看到該密碼的位元碼如標示 2 的紅框所示
1
2
2-100
網路安全
架設實作 (三 )
Outlook Express 擷取密碼案例
2-101
網路安全
實驗環境介紹bull 以 Testbed建立一實驗相關拓樸及設定如下圖
OEClientOSWindows XP SP3IP 10112執行 Outlook Express
MailServerOSWindows XP SP3IP 10122安裝軟體 ArGoSoft Mail Server
2-102
WiresharkOSWindows XP SP3IP1 10113 IP2 10123安裝軟體 Wireshark
IP1IP2
網路安全
實驗拓樸 on TestbedTWISC- 建立完成的實驗拓樸
2-103
網路安全
郵件伺服器工具 - ArGoSoft Mail Server
bull 版本ndash 1892 Freeware
bull 支援作業平台ndash Windows
bull 下載位址ndash httpwwwsoftkingcomtwsoftdownloadaspfid3=7367
2-104
網路安全
郵件客戶端工具 - Outlook Express
bull 版本ndash 60
bull 支援作業平台ndash Windows
bull 下載位址ndash Windows 內建
2-105
網路安全
bull 安裝及設定郵件伺服器ndash 1下載並執行 ArGoSoft Mail Server軟體點選
Setup鈕
Outlook Express 擷取密碼案例
2-106
網路安全
ndash 1 點選 Next鈕ndash 2 點選 Start Installation鈕
Outlook Express 擷取密碼案例 (續 )
2-107
網路安全
ndash 3 點選 OK鈕ndash 4 點選 Finish鈕完成軟體安裝
Outlook Express 擷取密碼案例 (續 )
2-108
網路安全
ndash 5 點選使用者設定鈕如紅圈所示ndash 6 點選新增鈕如紅框所示
Outlook Express 擷取密碼案例 (續 )
2-109
網路安全
ndash 7填入使用者名稱 (tester) 及密碼 (testpw) 如紅圈所示填寫完成後點選 OK鈕ndash 8 點選 Close鈕關閉使用者設定視窗
Outlook Express 擷取密碼案例 (續 )
2-110
網路安全
ndash 9 點選選項鈕如左側圖中紅色圈所示ndash 10 點選紅色打勾鈕如右側圖中紅色圈所示
2-111
Outlook Express 擷取密碼案例 (續 )
網路安全
ndash 11該軟體會自動選取 DNS Server 待選取後點選 Yes鈕ndash 12 勾選 Allow Relay 選項如紅框所示
2-112
Outlook Express 擷取密碼案例 (續 )
網路安全
Outlook Express 擷取密碼案例 (續 )
bull 設定收信帳號ndash 1 點選 Tools功能選單選擇 Accounts 選項
2-113
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 2 點選 Add鈕選擇 Mail 選項
2-114
網路安全
ndash 3填入 tester 點選 Next鈕ndash 4填入 testertestcom 點選 Next鈕
Outlook Express 擷取密碼案例 (續 )
2-115
網路安全
ndash 5填入 10123 如紅框所示點選 Next鈕ndash 6填入帳號為 tester 及密碼為 testpw 點選 Next鈕
Outlook Express 擷取密碼案例 (續 )
2-116
網路安全
ndash 7 點選 Finish鈕ndash 8 點選 Close鈕
Outlook Express 擷取密碼案例 (續 )
2-117
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 模擬條件準備好後首先準備Wireshark 擷取動作開啟Wireshark
2-118
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 於Wireshark軟體選擇 Capture 下拉選單功能項點選 Interfaces 選項
2-119
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 確認欲擷取封包之網卡名稱如紅色底線所示確認後點選 Start鈕
2-120
網路安全
ndash 當使用者收發 email 時即被 Wireshark攔截封包ndash 有發現到該 Outlook Express帳號密碼是如此清晰可見的嗎
Outlook Express 擷取密碼案例 (續 )
2-121
網路安全
結論bull 學習了 Wireshark及WinDump 兩套網路封包擷取軟體基本概念如同電話側錄概念相同從中複製一連串資訊來分析與了解網路的流量及內容為何bull 當你發現網路速度緩慢等狀況你是否會反應到所學的基本概念來找尋問題所在bull 防範概念由此課程的實例可以了解網路內容如被有心人士擷取所造成的損失相當可觀故你是否有對策有哪些方式你可以應用來防範bull 正確的思考善用對的工具將對解決問題事半功倍
2-122
網路安全 2-123
Module 2-5 封包擷取與分析的專案實作()
網路安全
專案目的bull 建立遠端管理傳遞指令資訊環境bull 利用實際攔截封包操作的方式讓同學了解封包擷取運作與網路資訊流通的顧慮等相關議題
2-124
網路安全
專案描述bull 近年來遠端管理伺服器及網路服務普及光是密碼保護就足夠了嗎是否重點網段須全程加密還是作網段隔離經由此專案實作即可了解不僅部分加密仍有其風險所在網路架構如何規劃將是非常重要的課題bull 參考環境配置圖完成下列要求①環境裡的攔截封包主機是 Windows XP SP3 作業系統而該主機安裝Wireshark軟體②另兩台主機的作業系統亦是 Windows XP SP3 並裝上
MySQL軟體 MySQL帳號為 root 密碼為您的學號 (如 Q3896105)
③在MySQLClient 電腦使用 MySQL Commandline 指令連線至MySQLServer 擷取資料庫資訊
④我們針對這兩台主機傳訊的封包擷取由整個實做中思考如何防範資訊外洩與了解傳訊封包如何流動及運作2-125
網路安全
環境配置圖bull 以 Testbed建立一實驗相關拓樸及設定如下圖
MySQLServerOSWINXP-SP3-CH-pc3000 IP 10123安裝軟體 MySQL
MySQLClientOSWINXP-SP3-CH-pc3000 IP 10112安裝軟體 MySQL
2-126
WireSharkOSWINXP-SP3-CH-pc3000 IP1 10113IP2 10122安裝軟體 Wireshark
IP1IP2
網路安全
作業繳交bull 請參考情境測試發送數個 SQL 指令並將過程與擷取到的封包資訊之截圖列於報告中所有圖表皆需要輔以文字說明bull Deadline 2012312 下午 500 以前bull 作業範圍 Module 2-5 (page 2-128)bull 方式 (參考課程網址 )
ndash 帳號密碼小寫的 (ns100ns100)ndash IP 140116164167
2-127
網路安全
有問題嗎
bull 關於 TestBed 使用上的問題請直接 Email至 twisc-testbed-usergooglegroupscom 將有專人為您服務bull 課程網址
httpitlabeenckuedutwcoursesNS_100indexhtml
2-128
bull 助教資訊 (參考課程網址 )
網路安全
參考資料bull Dienet httplinuxdienetman1wiresharkbull Orebaugh Angela Ramirez Gilbert Burke Josh Pesce Larry Wright
Joshua(2007) Wireshark and Ethereal network protocol analyzer toolkitbull Tony Fortunato(2007) Wireshark Training Retrieved July 22 2009 from
the World Wide Web httpwwwthetechfirmcometherealwiresharkpdfbull WinDump httpwwwwinpcaporgWinDumpbull Wireshark httpwwwwiresharkorgbull Wireshark University httpwwwwiresharktrainingcombull 楊中皇 (民 97年 ) 網路安全理論與實務 (2版 ) 台北市學貫bull 蘇淑茵教授 Wireshark 民國 98年 6月 28日取自 httpmywebnckuedutw~sisou
2-129
網路安全
Wireshark操作手法 - 擷取中過濾bull 操作步驟
ndash 點選 Capture 下拉視窗選擇 Capture Filters 即呈現此視窗
bull 操作範例ndash 1於 Filter窗格中選擇 IP
Address 10112ndash 2於 Properties窗格中即顯示該選項的設定值如圖所示為 host 10112ndash 3 即可設定軟體僅針對
10112 的封包作擷取動作 延伸操作思考1 改變 Filter string 值得到什麼結果2 點選 Edit 窗格中的 New 鈕 新增自訂條件 2-81
網路安全
Wireshark操作手法 - 檢視中過濾bull 此步驟即以已擷取封包清單窗格為基礎以過濾條件過濾該清單bull 可直接選擇軟體預設項目如以下操作
ndash 操作步驟bull 點選 Analyze 下拉視窗選擇
Display Filters 即呈現此視窗ndash 操作範例
bull 1於 Filter窗格中選擇 IP Address 10112
bull 2於 Properties窗格中即顯示該選項的設定值如圖所示值為host 10112
bull 3 即可設定軟體僅針對 10112的封包作顯示動作 延伸操作思考1 可否進行進一步自訂設定值
2-82
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 若電腦 IP為 10112 欲篩選出 IP 來源為上述 IP 且協定為 TCP 80port 的所有封包ndash 操作步驟
bull 點選 Expression鈕即出現此視窗ndash 1於 Field name框選擇
IP項目中的 ipsrc - Source
ndash 2於 Relation框選擇 ==ndash 3於 Value [IPV4
address]填 入 10112ndash 4 點選 OK鈕 進階思考方式須考慮到例如是來源資訊是目標資訊是什麼協定等更細部所要之條件
2-83
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 再進行第二篩選條件ndash TCP 80 port
bull 操作步驟ndash 1先於 Filter string 輸入文字框「 ipsrc==
10112」後再加上一個空格及「 and 」再進行一次 Expression條件選擇
2-84
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
ndash 2於 Field name框選擇「 tcpdstport」ndash 3於 Relation框選擇「 ==」ndash 4於 Value框填入「 80」ndash 5 選擇「 OK」鈕
2-85
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 注意 Propeties框內的Filter string欄位值已改變為「 ipsrc == 10112 and tcpdstport == 80」
bull 確認條件正確後點選「 OK 」鈕即可發現已擷取封包清單窗格的項目均為所設定過濾條件過濾過結果2-86
網路安全
bull 可單選單一封包進行更進階查詢封包內容bull 操作方式為
ndash 點選其中一項封包項目點選滑鼠右鍵選擇Follow TCP Stream
Wireshark操作手法 - 檢視中過濾 (續 )
2-87
網路安全
ndash 此畫面即可看出該項 TCP 封包溝通內容Wireshark操作手法 - 檢視中過濾 (續 )
2-88
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 此功能將所擷取的封包清單使用多種方式呈現封包統計資料便於使用者查詢擷取時間內何種封包數量多寡及圖型顯示bull 操作步驟點選 Statistics 下拉視窗即呈現此視窗 顯示有關擷取清單的摘要以階梯式通訊協定列表顯示所擷取的所有封包
在特定 IP間顯示通訊流量顯示單一 IP 來往封包的流量
以時間軸顯示視覺化封包流量圖2-89
網路安全
bull 可查看到一時段內其封包總數與平均每秒傳遞接收封包數等相關資訊讓使用者了解平均一時段內網路流量狀況藉以初步獲得資訊
Wireshark操作手法 - 檢視中過濾 (續 )
2-90
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 讓使用者可透過階梯式封包分類表來查看哪一類封包佔為居多可進一步推測是否該類型封包影響到整體網路或是否有異常或不常見封包類型在網路中傳遞
2-91
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 將該擷取時段內封包清單檔以兩個特定 IP 之間對傳封包為區隔顯示出哪兩個特定 IP間傳遞封包數多寡bull 可讓使用者更進一步研判兩個特定 IP所屬設備傳遞狀況是否異常
2-92
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 將該擷取時段內封包清單檔以特定IP 傳遞封包數為區隔顯示出哪特定IP 傳遞封包數多寡
bull 可讓使用者更進一步研判該特定所屬設備傳遞封包數是否異常作為管制緊急管制或禁止通訊之證明2-93
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 以時間軸顯示視覺化封包流量圖bull 讓使用者可觀察所管理設備資訊流通量以了解設備是否能負荷或作相關調整等處置
2-94
網路安全
FTP 擷取密碼案例bull 於Wireshark軟體選擇 Capture 下拉選單功能項點選 Interfaces 選項
2-95
網路安全
FTP 擷取密碼案例 (續 )
bull 確認欲擷取封包之網卡名稱如紅色底線所示確認後點選 Start鈕
2-96
網路安全
FTP 擷取密碼案例 (續 )
bull 切換至 FTP Client 電腦開啟 FileZilla 程式後連線到 FTP Server 於 Host 填入10123 Username填入 tester Password填入testpw 後點選 Quickconnect鈕
2-97
網路安全
FTP 擷取密碼案例 (續 )
bull 擷取到的封包資訊會顯示於已擷取封包清單窗格內
2-98
網路安全
FTP 擷取密碼案例 (續 )
bull 使用 FTP軟體登入 ftp站後 Wireshark 將擷取到的使用者名稱與密碼如紅框所示
2-99
網路安全
FTP 擷取密碼案例 (續 )
bull 點選已擷取封包清單窗格的密碼資訊列如標示1 的紅框所示即可在封包內容窗格看到該密碼的位元碼如標示 2 的紅框所示
1
2
2-100
網路安全
架設實作 (三 )
Outlook Express 擷取密碼案例
2-101
網路安全
實驗環境介紹bull 以 Testbed建立一實驗相關拓樸及設定如下圖
OEClientOSWindows XP SP3IP 10112執行 Outlook Express
MailServerOSWindows XP SP3IP 10122安裝軟體 ArGoSoft Mail Server
2-102
WiresharkOSWindows XP SP3IP1 10113 IP2 10123安裝軟體 Wireshark
IP1IP2
網路安全
實驗拓樸 on TestbedTWISC- 建立完成的實驗拓樸
2-103
網路安全
郵件伺服器工具 - ArGoSoft Mail Server
bull 版本ndash 1892 Freeware
bull 支援作業平台ndash Windows
bull 下載位址ndash httpwwwsoftkingcomtwsoftdownloadaspfid3=7367
2-104
網路安全
郵件客戶端工具 - Outlook Express
bull 版本ndash 60
bull 支援作業平台ndash Windows
bull 下載位址ndash Windows 內建
2-105
網路安全
bull 安裝及設定郵件伺服器ndash 1下載並執行 ArGoSoft Mail Server軟體點選
Setup鈕
Outlook Express 擷取密碼案例
2-106
網路安全
ndash 1 點選 Next鈕ndash 2 點選 Start Installation鈕
Outlook Express 擷取密碼案例 (續 )
2-107
網路安全
ndash 3 點選 OK鈕ndash 4 點選 Finish鈕完成軟體安裝
Outlook Express 擷取密碼案例 (續 )
2-108
網路安全
ndash 5 點選使用者設定鈕如紅圈所示ndash 6 點選新增鈕如紅框所示
Outlook Express 擷取密碼案例 (續 )
2-109
網路安全
ndash 7填入使用者名稱 (tester) 及密碼 (testpw) 如紅圈所示填寫完成後點選 OK鈕ndash 8 點選 Close鈕關閉使用者設定視窗
Outlook Express 擷取密碼案例 (續 )
2-110
網路安全
ndash 9 點選選項鈕如左側圖中紅色圈所示ndash 10 點選紅色打勾鈕如右側圖中紅色圈所示
2-111
Outlook Express 擷取密碼案例 (續 )
網路安全
ndash 11該軟體會自動選取 DNS Server 待選取後點選 Yes鈕ndash 12 勾選 Allow Relay 選項如紅框所示
2-112
Outlook Express 擷取密碼案例 (續 )
網路安全
Outlook Express 擷取密碼案例 (續 )
bull 設定收信帳號ndash 1 點選 Tools功能選單選擇 Accounts 選項
2-113
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 2 點選 Add鈕選擇 Mail 選項
2-114
網路安全
ndash 3填入 tester 點選 Next鈕ndash 4填入 testertestcom 點選 Next鈕
Outlook Express 擷取密碼案例 (續 )
2-115
網路安全
ndash 5填入 10123 如紅框所示點選 Next鈕ndash 6填入帳號為 tester 及密碼為 testpw 點選 Next鈕
Outlook Express 擷取密碼案例 (續 )
2-116
網路安全
ndash 7 點選 Finish鈕ndash 8 點選 Close鈕
Outlook Express 擷取密碼案例 (續 )
2-117
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 模擬條件準備好後首先準備Wireshark 擷取動作開啟Wireshark
2-118
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 於Wireshark軟體選擇 Capture 下拉選單功能項點選 Interfaces 選項
2-119
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 確認欲擷取封包之網卡名稱如紅色底線所示確認後點選 Start鈕
2-120
網路安全
ndash 當使用者收發 email 時即被 Wireshark攔截封包ndash 有發現到該 Outlook Express帳號密碼是如此清晰可見的嗎
Outlook Express 擷取密碼案例 (續 )
2-121
網路安全
結論bull 學習了 Wireshark及WinDump 兩套網路封包擷取軟體基本概念如同電話側錄概念相同從中複製一連串資訊來分析與了解網路的流量及內容為何bull 當你發現網路速度緩慢等狀況你是否會反應到所學的基本概念來找尋問題所在bull 防範概念由此課程的實例可以了解網路內容如被有心人士擷取所造成的損失相當可觀故你是否有對策有哪些方式你可以應用來防範bull 正確的思考善用對的工具將對解決問題事半功倍
2-122
網路安全 2-123
Module 2-5 封包擷取與分析的專案實作()
網路安全
專案目的bull 建立遠端管理傳遞指令資訊環境bull 利用實際攔截封包操作的方式讓同學了解封包擷取運作與網路資訊流通的顧慮等相關議題
2-124
網路安全
專案描述bull 近年來遠端管理伺服器及網路服務普及光是密碼保護就足夠了嗎是否重點網段須全程加密還是作網段隔離經由此專案實作即可了解不僅部分加密仍有其風險所在網路架構如何規劃將是非常重要的課題bull 參考環境配置圖完成下列要求①環境裡的攔截封包主機是 Windows XP SP3 作業系統而該主機安裝Wireshark軟體②另兩台主機的作業系統亦是 Windows XP SP3 並裝上
MySQL軟體 MySQL帳號為 root 密碼為您的學號 (如 Q3896105)
③在MySQLClient 電腦使用 MySQL Commandline 指令連線至MySQLServer 擷取資料庫資訊
④我們針對這兩台主機傳訊的封包擷取由整個實做中思考如何防範資訊外洩與了解傳訊封包如何流動及運作2-125
網路安全
環境配置圖bull 以 Testbed建立一實驗相關拓樸及設定如下圖
MySQLServerOSWINXP-SP3-CH-pc3000 IP 10123安裝軟體 MySQL
MySQLClientOSWINXP-SP3-CH-pc3000 IP 10112安裝軟體 MySQL
2-126
WireSharkOSWINXP-SP3-CH-pc3000 IP1 10113IP2 10122安裝軟體 Wireshark
IP1IP2
網路安全
作業繳交bull 請參考情境測試發送數個 SQL 指令並將過程與擷取到的封包資訊之截圖列於報告中所有圖表皆需要輔以文字說明bull Deadline 2012312 下午 500 以前bull 作業範圍 Module 2-5 (page 2-128)bull 方式 (參考課程網址 )
ndash 帳號密碼小寫的 (ns100ns100)ndash IP 140116164167
2-127
網路安全
有問題嗎
bull 關於 TestBed 使用上的問題請直接 Email至 twisc-testbed-usergooglegroupscom 將有專人為您服務bull 課程網址
httpitlabeenckuedutwcoursesNS_100indexhtml
2-128
bull 助教資訊 (參考課程網址 )
網路安全
參考資料bull Dienet httplinuxdienetman1wiresharkbull Orebaugh Angela Ramirez Gilbert Burke Josh Pesce Larry Wright
Joshua(2007) Wireshark and Ethereal network protocol analyzer toolkitbull Tony Fortunato(2007) Wireshark Training Retrieved July 22 2009 from
the World Wide Web httpwwwthetechfirmcometherealwiresharkpdfbull WinDump httpwwwwinpcaporgWinDumpbull Wireshark httpwwwwiresharkorgbull Wireshark University httpwwwwiresharktrainingcombull 楊中皇 (民 97年 ) 網路安全理論與實務 (2版 ) 台北市學貫bull 蘇淑茵教授 Wireshark 民國 98年 6月 28日取自 httpmywebnckuedutw~sisou
2-129
網路安全
Wireshark操作手法 - 檢視中過濾bull 此步驟即以已擷取封包清單窗格為基礎以過濾條件過濾該清單bull 可直接選擇軟體預設項目如以下操作
ndash 操作步驟bull 點選 Analyze 下拉視窗選擇
Display Filters 即呈現此視窗ndash 操作範例
bull 1於 Filter窗格中選擇 IP Address 10112
bull 2於 Properties窗格中即顯示該選項的設定值如圖所示值為host 10112
bull 3 即可設定軟體僅針對 10112的封包作顯示動作 延伸操作思考1 可否進行進一步自訂設定值
2-82
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 若電腦 IP為 10112 欲篩選出 IP 來源為上述 IP 且協定為 TCP 80port 的所有封包ndash 操作步驟
bull 點選 Expression鈕即出現此視窗ndash 1於 Field name框選擇
IP項目中的 ipsrc - Source
ndash 2於 Relation框選擇 ==ndash 3於 Value [IPV4
address]填 入 10112ndash 4 點選 OK鈕 進階思考方式須考慮到例如是來源資訊是目標資訊是什麼協定等更細部所要之條件
2-83
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 再進行第二篩選條件ndash TCP 80 port
bull 操作步驟ndash 1先於 Filter string 輸入文字框「 ipsrc==
10112」後再加上一個空格及「 and 」再進行一次 Expression條件選擇
2-84
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
ndash 2於 Field name框選擇「 tcpdstport」ndash 3於 Relation框選擇「 ==」ndash 4於 Value框填入「 80」ndash 5 選擇「 OK」鈕
2-85
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 注意 Propeties框內的Filter string欄位值已改變為「 ipsrc == 10112 and tcpdstport == 80」
bull 確認條件正確後點選「 OK 」鈕即可發現已擷取封包清單窗格的項目均為所設定過濾條件過濾過結果2-86
網路安全
bull 可單選單一封包進行更進階查詢封包內容bull 操作方式為
ndash 點選其中一項封包項目點選滑鼠右鍵選擇Follow TCP Stream
Wireshark操作手法 - 檢視中過濾 (續 )
2-87
網路安全
ndash 此畫面即可看出該項 TCP 封包溝通內容Wireshark操作手法 - 檢視中過濾 (續 )
2-88
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 此功能將所擷取的封包清單使用多種方式呈現封包統計資料便於使用者查詢擷取時間內何種封包數量多寡及圖型顯示bull 操作步驟點選 Statistics 下拉視窗即呈現此視窗 顯示有關擷取清單的摘要以階梯式通訊協定列表顯示所擷取的所有封包
在特定 IP間顯示通訊流量顯示單一 IP 來往封包的流量
以時間軸顯示視覺化封包流量圖2-89
網路安全
bull 可查看到一時段內其封包總數與平均每秒傳遞接收封包數等相關資訊讓使用者了解平均一時段內網路流量狀況藉以初步獲得資訊
Wireshark操作手法 - 檢視中過濾 (續 )
2-90
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 讓使用者可透過階梯式封包分類表來查看哪一類封包佔為居多可進一步推測是否該類型封包影響到整體網路或是否有異常或不常見封包類型在網路中傳遞
2-91
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 將該擷取時段內封包清單檔以兩個特定 IP 之間對傳封包為區隔顯示出哪兩個特定 IP間傳遞封包數多寡bull 可讓使用者更進一步研判兩個特定 IP所屬設備傳遞狀況是否異常
2-92
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 將該擷取時段內封包清單檔以特定IP 傳遞封包數為區隔顯示出哪特定IP 傳遞封包數多寡
bull 可讓使用者更進一步研判該特定所屬設備傳遞封包數是否異常作為管制緊急管制或禁止通訊之證明2-93
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 以時間軸顯示視覺化封包流量圖bull 讓使用者可觀察所管理設備資訊流通量以了解設備是否能負荷或作相關調整等處置
2-94
網路安全
FTP 擷取密碼案例bull 於Wireshark軟體選擇 Capture 下拉選單功能項點選 Interfaces 選項
2-95
網路安全
FTP 擷取密碼案例 (續 )
bull 確認欲擷取封包之網卡名稱如紅色底線所示確認後點選 Start鈕
2-96
網路安全
FTP 擷取密碼案例 (續 )
bull 切換至 FTP Client 電腦開啟 FileZilla 程式後連線到 FTP Server 於 Host 填入10123 Username填入 tester Password填入testpw 後點選 Quickconnect鈕
2-97
網路安全
FTP 擷取密碼案例 (續 )
bull 擷取到的封包資訊會顯示於已擷取封包清單窗格內
2-98
網路安全
FTP 擷取密碼案例 (續 )
bull 使用 FTP軟體登入 ftp站後 Wireshark 將擷取到的使用者名稱與密碼如紅框所示
2-99
網路安全
FTP 擷取密碼案例 (續 )
bull 點選已擷取封包清單窗格的密碼資訊列如標示1 的紅框所示即可在封包內容窗格看到該密碼的位元碼如標示 2 的紅框所示
1
2
2-100
網路安全
架設實作 (三 )
Outlook Express 擷取密碼案例
2-101
網路安全
實驗環境介紹bull 以 Testbed建立一實驗相關拓樸及設定如下圖
OEClientOSWindows XP SP3IP 10112執行 Outlook Express
MailServerOSWindows XP SP3IP 10122安裝軟體 ArGoSoft Mail Server
2-102
WiresharkOSWindows XP SP3IP1 10113 IP2 10123安裝軟體 Wireshark
IP1IP2
網路安全
實驗拓樸 on TestbedTWISC- 建立完成的實驗拓樸
2-103
網路安全
郵件伺服器工具 - ArGoSoft Mail Server
bull 版本ndash 1892 Freeware
bull 支援作業平台ndash Windows
bull 下載位址ndash httpwwwsoftkingcomtwsoftdownloadaspfid3=7367
2-104
網路安全
郵件客戶端工具 - Outlook Express
bull 版本ndash 60
bull 支援作業平台ndash Windows
bull 下載位址ndash Windows 內建
2-105
網路安全
bull 安裝及設定郵件伺服器ndash 1下載並執行 ArGoSoft Mail Server軟體點選
Setup鈕
Outlook Express 擷取密碼案例
2-106
網路安全
ndash 1 點選 Next鈕ndash 2 點選 Start Installation鈕
Outlook Express 擷取密碼案例 (續 )
2-107
網路安全
ndash 3 點選 OK鈕ndash 4 點選 Finish鈕完成軟體安裝
Outlook Express 擷取密碼案例 (續 )
2-108
網路安全
ndash 5 點選使用者設定鈕如紅圈所示ndash 6 點選新增鈕如紅框所示
Outlook Express 擷取密碼案例 (續 )
2-109
網路安全
ndash 7填入使用者名稱 (tester) 及密碼 (testpw) 如紅圈所示填寫完成後點選 OK鈕ndash 8 點選 Close鈕關閉使用者設定視窗
Outlook Express 擷取密碼案例 (續 )
2-110
網路安全
ndash 9 點選選項鈕如左側圖中紅色圈所示ndash 10 點選紅色打勾鈕如右側圖中紅色圈所示
2-111
Outlook Express 擷取密碼案例 (續 )
網路安全
ndash 11該軟體會自動選取 DNS Server 待選取後點選 Yes鈕ndash 12 勾選 Allow Relay 選項如紅框所示
2-112
Outlook Express 擷取密碼案例 (續 )
網路安全
Outlook Express 擷取密碼案例 (續 )
bull 設定收信帳號ndash 1 點選 Tools功能選單選擇 Accounts 選項
2-113
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 2 點選 Add鈕選擇 Mail 選項
2-114
網路安全
ndash 3填入 tester 點選 Next鈕ndash 4填入 testertestcom 點選 Next鈕
Outlook Express 擷取密碼案例 (續 )
2-115
網路安全
ndash 5填入 10123 如紅框所示點選 Next鈕ndash 6填入帳號為 tester 及密碼為 testpw 點選 Next鈕
Outlook Express 擷取密碼案例 (續 )
2-116
網路安全
ndash 7 點選 Finish鈕ndash 8 點選 Close鈕
Outlook Express 擷取密碼案例 (續 )
2-117
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 模擬條件準備好後首先準備Wireshark 擷取動作開啟Wireshark
2-118
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 於Wireshark軟體選擇 Capture 下拉選單功能項點選 Interfaces 選項
2-119
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 確認欲擷取封包之網卡名稱如紅色底線所示確認後點選 Start鈕
2-120
網路安全
ndash 當使用者收發 email 時即被 Wireshark攔截封包ndash 有發現到該 Outlook Express帳號密碼是如此清晰可見的嗎
Outlook Express 擷取密碼案例 (續 )
2-121
網路安全
結論bull 學習了 Wireshark及WinDump 兩套網路封包擷取軟體基本概念如同電話側錄概念相同從中複製一連串資訊來分析與了解網路的流量及內容為何bull 當你發現網路速度緩慢等狀況你是否會反應到所學的基本概念來找尋問題所在bull 防範概念由此課程的實例可以了解網路內容如被有心人士擷取所造成的損失相當可觀故你是否有對策有哪些方式你可以應用來防範bull 正確的思考善用對的工具將對解決問題事半功倍
2-122
網路安全 2-123
Module 2-5 封包擷取與分析的專案實作()
網路安全
專案目的bull 建立遠端管理傳遞指令資訊環境bull 利用實際攔截封包操作的方式讓同學了解封包擷取運作與網路資訊流通的顧慮等相關議題
2-124
網路安全
專案描述bull 近年來遠端管理伺服器及網路服務普及光是密碼保護就足夠了嗎是否重點網段須全程加密還是作網段隔離經由此專案實作即可了解不僅部分加密仍有其風險所在網路架構如何規劃將是非常重要的課題bull 參考環境配置圖完成下列要求①環境裡的攔截封包主機是 Windows XP SP3 作業系統而該主機安裝Wireshark軟體②另兩台主機的作業系統亦是 Windows XP SP3 並裝上
MySQL軟體 MySQL帳號為 root 密碼為您的學號 (如 Q3896105)
③在MySQLClient 電腦使用 MySQL Commandline 指令連線至MySQLServer 擷取資料庫資訊
④我們針對這兩台主機傳訊的封包擷取由整個實做中思考如何防範資訊外洩與了解傳訊封包如何流動及運作2-125
網路安全
環境配置圖bull 以 Testbed建立一實驗相關拓樸及設定如下圖
MySQLServerOSWINXP-SP3-CH-pc3000 IP 10123安裝軟體 MySQL
MySQLClientOSWINXP-SP3-CH-pc3000 IP 10112安裝軟體 MySQL
2-126
WireSharkOSWINXP-SP3-CH-pc3000 IP1 10113IP2 10122安裝軟體 Wireshark
IP1IP2
網路安全
作業繳交bull 請參考情境測試發送數個 SQL 指令並將過程與擷取到的封包資訊之截圖列於報告中所有圖表皆需要輔以文字說明bull Deadline 2012312 下午 500 以前bull 作業範圍 Module 2-5 (page 2-128)bull 方式 (參考課程網址 )
ndash 帳號密碼小寫的 (ns100ns100)ndash IP 140116164167
2-127
網路安全
有問題嗎
bull 關於 TestBed 使用上的問題請直接 Email至 twisc-testbed-usergooglegroupscom 將有專人為您服務bull 課程網址
httpitlabeenckuedutwcoursesNS_100indexhtml
2-128
bull 助教資訊 (參考課程網址 )
網路安全
參考資料bull Dienet httplinuxdienetman1wiresharkbull Orebaugh Angela Ramirez Gilbert Burke Josh Pesce Larry Wright
Joshua(2007) Wireshark and Ethereal network protocol analyzer toolkitbull Tony Fortunato(2007) Wireshark Training Retrieved July 22 2009 from
the World Wide Web httpwwwthetechfirmcometherealwiresharkpdfbull WinDump httpwwwwinpcaporgWinDumpbull Wireshark httpwwwwiresharkorgbull Wireshark University httpwwwwiresharktrainingcombull 楊中皇 (民 97年 ) 網路安全理論與實務 (2版 ) 台北市學貫bull 蘇淑茵教授 Wireshark 民國 98年 6月 28日取自 httpmywebnckuedutw~sisou
2-129
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 若電腦 IP為 10112 欲篩選出 IP 來源為上述 IP 且協定為 TCP 80port 的所有封包ndash 操作步驟
bull 點選 Expression鈕即出現此視窗ndash 1於 Field name框選擇
IP項目中的 ipsrc - Source
ndash 2於 Relation框選擇 ==ndash 3於 Value [IPV4
address]填 入 10112ndash 4 點選 OK鈕 進階思考方式須考慮到例如是來源資訊是目標資訊是什麼協定等更細部所要之條件
2-83
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 再進行第二篩選條件ndash TCP 80 port
bull 操作步驟ndash 1先於 Filter string 輸入文字框「 ipsrc==
10112」後再加上一個空格及「 and 」再進行一次 Expression條件選擇
2-84
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
ndash 2於 Field name框選擇「 tcpdstport」ndash 3於 Relation框選擇「 ==」ndash 4於 Value框填入「 80」ndash 5 選擇「 OK」鈕
2-85
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 注意 Propeties框內的Filter string欄位值已改變為「 ipsrc == 10112 and tcpdstport == 80」
bull 確認條件正確後點選「 OK 」鈕即可發現已擷取封包清單窗格的項目均為所設定過濾條件過濾過結果2-86
網路安全
bull 可單選單一封包進行更進階查詢封包內容bull 操作方式為
ndash 點選其中一項封包項目點選滑鼠右鍵選擇Follow TCP Stream
Wireshark操作手法 - 檢視中過濾 (續 )
2-87
網路安全
ndash 此畫面即可看出該項 TCP 封包溝通內容Wireshark操作手法 - 檢視中過濾 (續 )
2-88
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 此功能將所擷取的封包清單使用多種方式呈現封包統計資料便於使用者查詢擷取時間內何種封包數量多寡及圖型顯示bull 操作步驟點選 Statistics 下拉視窗即呈現此視窗 顯示有關擷取清單的摘要以階梯式通訊協定列表顯示所擷取的所有封包
在特定 IP間顯示通訊流量顯示單一 IP 來往封包的流量
以時間軸顯示視覺化封包流量圖2-89
網路安全
bull 可查看到一時段內其封包總數與平均每秒傳遞接收封包數等相關資訊讓使用者了解平均一時段內網路流量狀況藉以初步獲得資訊
Wireshark操作手法 - 檢視中過濾 (續 )
2-90
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 讓使用者可透過階梯式封包分類表來查看哪一類封包佔為居多可進一步推測是否該類型封包影響到整體網路或是否有異常或不常見封包類型在網路中傳遞
2-91
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 將該擷取時段內封包清單檔以兩個特定 IP 之間對傳封包為區隔顯示出哪兩個特定 IP間傳遞封包數多寡bull 可讓使用者更進一步研判兩個特定 IP所屬設備傳遞狀況是否異常
2-92
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 將該擷取時段內封包清單檔以特定IP 傳遞封包數為區隔顯示出哪特定IP 傳遞封包數多寡
bull 可讓使用者更進一步研判該特定所屬設備傳遞封包數是否異常作為管制緊急管制或禁止通訊之證明2-93
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 以時間軸顯示視覺化封包流量圖bull 讓使用者可觀察所管理設備資訊流通量以了解設備是否能負荷或作相關調整等處置
2-94
網路安全
FTP 擷取密碼案例bull 於Wireshark軟體選擇 Capture 下拉選單功能項點選 Interfaces 選項
2-95
網路安全
FTP 擷取密碼案例 (續 )
bull 確認欲擷取封包之網卡名稱如紅色底線所示確認後點選 Start鈕
2-96
網路安全
FTP 擷取密碼案例 (續 )
bull 切換至 FTP Client 電腦開啟 FileZilla 程式後連線到 FTP Server 於 Host 填入10123 Username填入 tester Password填入testpw 後點選 Quickconnect鈕
2-97
網路安全
FTP 擷取密碼案例 (續 )
bull 擷取到的封包資訊會顯示於已擷取封包清單窗格內
2-98
網路安全
FTP 擷取密碼案例 (續 )
bull 使用 FTP軟體登入 ftp站後 Wireshark 將擷取到的使用者名稱與密碼如紅框所示
2-99
網路安全
FTP 擷取密碼案例 (續 )
bull 點選已擷取封包清單窗格的密碼資訊列如標示1 的紅框所示即可在封包內容窗格看到該密碼的位元碼如標示 2 的紅框所示
1
2
2-100
網路安全
架設實作 (三 )
Outlook Express 擷取密碼案例
2-101
網路安全
實驗環境介紹bull 以 Testbed建立一實驗相關拓樸及設定如下圖
OEClientOSWindows XP SP3IP 10112執行 Outlook Express
MailServerOSWindows XP SP3IP 10122安裝軟體 ArGoSoft Mail Server
2-102
WiresharkOSWindows XP SP3IP1 10113 IP2 10123安裝軟體 Wireshark
IP1IP2
網路安全
實驗拓樸 on TestbedTWISC- 建立完成的實驗拓樸
2-103
網路安全
郵件伺服器工具 - ArGoSoft Mail Server
bull 版本ndash 1892 Freeware
bull 支援作業平台ndash Windows
bull 下載位址ndash httpwwwsoftkingcomtwsoftdownloadaspfid3=7367
2-104
網路安全
郵件客戶端工具 - Outlook Express
bull 版本ndash 60
bull 支援作業平台ndash Windows
bull 下載位址ndash Windows 內建
2-105
網路安全
bull 安裝及設定郵件伺服器ndash 1下載並執行 ArGoSoft Mail Server軟體點選
Setup鈕
Outlook Express 擷取密碼案例
2-106
網路安全
ndash 1 點選 Next鈕ndash 2 點選 Start Installation鈕
Outlook Express 擷取密碼案例 (續 )
2-107
網路安全
ndash 3 點選 OK鈕ndash 4 點選 Finish鈕完成軟體安裝
Outlook Express 擷取密碼案例 (續 )
2-108
網路安全
ndash 5 點選使用者設定鈕如紅圈所示ndash 6 點選新增鈕如紅框所示
Outlook Express 擷取密碼案例 (續 )
2-109
網路安全
ndash 7填入使用者名稱 (tester) 及密碼 (testpw) 如紅圈所示填寫完成後點選 OK鈕ndash 8 點選 Close鈕關閉使用者設定視窗
Outlook Express 擷取密碼案例 (續 )
2-110
網路安全
ndash 9 點選選項鈕如左側圖中紅色圈所示ndash 10 點選紅色打勾鈕如右側圖中紅色圈所示
2-111
Outlook Express 擷取密碼案例 (續 )
網路安全
ndash 11該軟體會自動選取 DNS Server 待選取後點選 Yes鈕ndash 12 勾選 Allow Relay 選項如紅框所示
2-112
Outlook Express 擷取密碼案例 (續 )
網路安全
Outlook Express 擷取密碼案例 (續 )
bull 設定收信帳號ndash 1 點選 Tools功能選單選擇 Accounts 選項
2-113
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 2 點選 Add鈕選擇 Mail 選項
2-114
網路安全
ndash 3填入 tester 點選 Next鈕ndash 4填入 testertestcom 點選 Next鈕
Outlook Express 擷取密碼案例 (續 )
2-115
網路安全
ndash 5填入 10123 如紅框所示點選 Next鈕ndash 6填入帳號為 tester 及密碼為 testpw 點選 Next鈕
Outlook Express 擷取密碼案例 (續 )
2-116
網路安全
ndash 7 點選 Finish鈕ndash 8 點選 Close鈕
Outlook Express 擷取密碼案例 (續 )
2-117
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 模擬條件準備好後首先準備Wireshark 擷取動作開啟Wireshark
2-118
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 於Wireshark軟體選擇 Capture 下拉選單功能項點選 Interfaces 選項
2-119
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 確認欲擷取封包之網卡名稱如紅色底線所示確認後點選 Start鈕
2-120
網路安全
ndash 當使用者收發 email 時即被 Wireshark攔截封包ndash 有發現到該 Outlook Express帳號密碼是如此清晰可見的嗎
Outlook Express 擷取密碼案例 (續 )
2-121
網路安全
結論bull 學習了 Wireshark及WinDump 兩套網路封包擷取軟體基本概念如同電話側錄概念相同從中複製一連串資訊來分析與了解網路的流量及內容為何bull 當你發現網路速度緩慢等狀況你是否會反應到所學的基本概念來找尋問題所在bull 防範概念由此課程的實例可以了解網路內容如被有心人士擷取所造成的損失相當可觀故你是否有對策有哪些方式你可以應用來防範bull 正確的思考善用對的工具將對解決問題事半功倍
2-122
網路安全 2-123
Module 2-5 封包擷取與分析的專案實作()
網路安全
專案目的bull 建立遠端管理傳遞指令資訊環境bull 利用實際攔截封包操作的方式讓同學了解封包擷取運作與網路資訊流通的顧慮等相關議題
2-124
網路安全
專案描述bull 近年來遠端管理伺服器及網路服務普及光是密碼保護就足夠了嗎是否重點網段須全程加密還是作網段隔離經由此專案實作即可了解不僅部分加密仍有其風險所在網路架構如何規劃將是非常重要的課題bull 參考環境配置圖完成下列要求①環境裡的攔截封包主機是 Windows XP SP3 作業系統而該主機安裝Wireshark軟體②另兩台主機的作業系統亦是 Windows XP SP3 並裝上
MySQL軟體 MySQL帳號為 root 密碼為您的學號 (如 Q3896105)
③在MySQLClient 電腦使用 MySQL Commandline 指令連線至MySQLServer 擷取資料庫資訊
④我們針對這兩台主機傳訊的封包擷取由整個實做中思考如何防範資訊外洩與了解傳訊封包如何流動及運作2-125
網路安全
環境配置圖bull 以 Testbed建立一實驗相關拓樸及設定如下圖
MySQLServerOSWINXP-SP3-CH-pc3000 IP 10123安裝軟體 MySQL
MySQLClientOSWINXP-SP3-CH-pc3000 IP 10112安裝軟體 MySQL
2-126
WireSharkOSWINXP-SP3-CH-pc3000 IP1 10113IP2 10122安裝軟體 Wireshark
IP1IP2
網路安全
作業繳交bull 請參考情境測試發送數個 SQL 指令並將過程與擷取到的封包資訊之截圖列於報告中所有圖表皆需要輔以文字說明bull Deadline 2012312 下午 500 以前bull 作業範圍 Module 2-5 (page 2-128)bull 方式 (參考課程網址 )
ndash 帳號密碼小寫的 (ns100ns100)ndash IP 140116164167
2-127
網路安全
有問題嗎
bull 關於 TestBed 使用上的問題請直接 Email至 twisc-testbed-usergooglegroupscom 將有專人為您服務bull 課程網址
httpitlabeenckuedutwcoursesNS_100indexhtml
2-128
bull 助教資訊 (參考課程網址 )
網路安全
參考資料bull Dienet httplinuxdienetman1wiresharkbull Orebaugh Angela Ramirez Gilbert Burke Josh Pesce Larry Wright
Joshua(2007) Wireshark and Ethereal network protocol analyzer toolkitbull Tony Fortunato(2007) Wireshark Training Retrieved July 22 2009 from
the World Wide Web httpwwwthetechfirmcometherealwiresharkpdfbull WinDump httpwwwwinpcaporgWinDumpbull Wireshark httpwwwwiresharkorgbull Wireshark University httpwwwwiresharktrainingcombull 楊中皇 (民 97年 ) 網路安全理論與實務 (2版 ) 台北市學貫bull 蘇淑茵教授 Wireshark 民國 98年 6月 28日取自 httpmywebnckuedutw~sisou
2-129
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 再進行第二篩選條件ndash TCP 80 port
bull 操作步驟ndash 1先於 Filter string 輸入文字框「 ipsrc==
10112」後再加上一個空格及「 and 」再進行一次 Expression條件選擇
2-84
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
ndash 2於 Field name框選擇「 tcpdstport」ndash 3於 Relation框選擇「 ==」ndash 4於 Value框填入「 80」ndash 5 選擇「 OK」鈕
2-85
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 注意 Propeties框內的Filter string欄位值已改變為「 ipsrc == 10112 and tcpdstport == 80」
bull 確認條件正確後點選「 OK 」鈕即可發現已擷取封包清單窗格的項目均為所設定過濾條件過濾過結果2-86
網路安全
bull 可單選單一封包進行更進階查詢封包內容bull 操作方式為
ndash 點選其中一項封包項目點選滑鼠右鍵選擇Follow TCP Stream
Wireshark操作手法 - 檢視中過濾 (續 )
2-87
網路安全
ndash 此畫面即可看出該項 TCP 封包溝通內容Wireshark操作手法 - 檢視中過濾 (續 )
2-88
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 此功能將所擷取的封包清單使用多種方式呈現封包統計資料便於使用者查詢擷取時間內何種封包數量多寡及圖型顯示bull 操作步驟點選 Statistics 下拉視窗即呈現此視窗 顯示有關擷取清單的摘要以階梯式通訊協定列表顯示所擷取的所有封包
在特定 IP間顯示通訊流量顯示單一 IP 來往封包的流量
以時間軸顯示視覺化封包流量圖2-89
網路安全
bull 可查看到一時段內其封包總數與平均每秒傳遞接收封包數等相關資訊讓使用者了解平均一時段內網路流量狀況藉以初步獲得資訊
Wireshark操作手法 - 檢視中過濾 (續 )
2-90
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 讓使用者可透過階梯式封包分類表來查看哪一類封包佔為居多可進一步推測是否該類型封包影響到整體網路或是否有異常或不常見封包類型在網路中傳遞
2-91
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 將該擷取時段內封包清單檔以兩個特定 IP 之間對傳封包為區隔顯示出哪兩個特定 IP間傳遞封包數多寡bull 可讓使用者更進一步研判兩個特定 IP所屬設備傳遞狀況是否異常
2-92
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 將該擷取時段內封包清單檔以特定IP 傳遞封包數為區隔顯示出哪特定IP 傳遞封包數多寡
bull 可讓使用者更進一步研判該特定所屬設備傳遞封包數是否異常作為管制緊急管制或禁止通訊之證明2-93
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 以時間軸顯示視覺化封包流量圖bull 讓使用者可觀察所管理設備資訊流通量以了解設備是否能負荷或作相關調整等處置
2-94
網路安全
FTP 擷取密碼案例bull 於Wireshark軟體選擇 Capture 下拉選單功能項點選 Interfaces 選項
2-95
網路安全
FTP 擷取密碼案例 (續 )
bull 確認欲擷取封包之網卡名稱如紅色底線所示確認後點選 Start鈕
2-96
網路安全
FTP 擷取密碼案例 (續 )
bull 切換至 FTP Client 電腦開啟 FileZilla 程式後連線到 FTP Server 於 Host 填入10123 Username填入 tester Password填入testpw 後點選 Quickconnect鈕
2-97
網路安全
FTP 擷取密碼案例 (續 )
bull 擷取到的封包資訊會顯示於已擷取封包清單窗格內
2-98
網路安全
FTP 擷取密碼案例 (續 )
bull 使用 FTP軟體登入 ftp站後 Wireshark 將擷取到的使用者名稱與密碼如紅框所示
2-99
網路安全
FTP 擷取密碼案例 (續 )
bull 點選已擷取封包清單窗格的密碼資訊列如標示1 的紅框所示即可在封包內容窗格看到該密碼的位元碼如標示 2 的紅框所示
1
2
2-100
網路安全
架設實作 (三 )
Outlook Express 擷取密碼案例
2-101
網路安全
實驗環境介紹bull 以 Testbed建立一實驗相關拓樸及設定如下圖
OEClientOSWindows XP SP3IP 10112執行 Outlook Express
MailServerOSWindows XP SP3IP 10122安裝軟體 ArGoSoft Mail Server
2-102
WiresharkOSWindows XP SP3IP1 10113 IP2 10123安裝軟體 Wireshark
IP1IP2
網路安全
實驗拓樸 on TestbedTWISC- 建立完成的實驗拓樸
2-103
網路安全
郵件伺服器工具 - ArGoSoft Mail Server
bull 版本ndash 1892 Freeware
bull 支援作業平台ndash Windows
bull 下載位址ndash httpwwwsoftkingcomtwsoftdownloadaspfid3=7367
2-104
網路安全
郵件客戶端工具 - Outlook Express
bull 版本ndash 60
bull 支援作業平台ndash Windows
bull 下載位址ndash Windows 內建
2-105
網路安全
bull 安裝及設定郵件伺服器ndash 1下載並執行 ArGoSoft Mail Server軟體點選
Setup鈕
Outlook Express 擷取密碼案例
2-106
網路安全
ndash 1 點選 Next鈕ndash 2 點選 Start Installation鈕
Outlook Express 擷取密碼案例 (續 )
2-107
網路安全
ndash 3 點選 OK鈕ndash 4 點選 Finish鈕完成軟體安裝
Outlook Express 擷取密碼案例 (續 )
2-108
網路安全
ndash 5 點選使用者設定鈕如紅圈所示ndash 6 點選新增鈕如紅框所示
Outlook Express 擷取密碼案例 (續 )
2-109
網路安全
ndash 7填入使用者名稱 (tester) 及密碼 (testpw) 如紅圈所示填寫完成後點選 OK鈕ndash 8 點選 Close鈕關閉使用者設定視窗
Outlook Express 擷取密碼案例 (續 )
2-110
網路安全
ndash 9 點選選項鈕如左側圖中紅色圈所示ndash 10 點選紅色打勾鈕如右側圖中紅色圈所示
2-111
Outlook Express 擷取密碼案例 (續 )
網路安全
ndash 11該軟體會自動選取 DNS Server 待選取後點選 Yes鈕ndash 12 勾選 Allow Relay 選項如紅框所示
2-112
Outlook Express 擷取密碼案例 (續 )
網路安全
Outlook Express 擷取密碼案例 (續 )
bull 設定收信帳號ndash 1 點選 Tools功能選單選擇 Accounts 選項
2-113
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 2 點選 Add鈕選擇 Mail 選項
2-114
網路安全
ndash 3填入 tester 點選 Next鈕ndash 4填入 testertestcom 點選 Next鈕
Outlook Express 擷取密碼案例 (續 )
2-115
網路安全
ndash 5填入 10123 如紅框所示點選 Next鈕ndash 6填入帳號為 tester 及密碼為 testpw 點選 Next鈕
Outlook Express 擷取密碼案例 (續 )
2-116
網路安全
ndash 7 點選 Finish鈕ndash 8 點選 Close鈕
Outlook Express 擷取密碼案例 (續 )
2-117
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 模擬條件準備好後首先準備Wireshark 擷取動作開啟Wireshark
2-118
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 於Wireshark軟體選擇 Capture 下拉選單功能項點選 Interfaces 選項
2-119
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 確認欲擷取封包之網卡名稱如紅色底線所示確認後點選 Start鈕
2-120
網路安全
ndash 當使用者收發 email 時即被 Wireshark攔截封包ndash 有發現到該 Outlook Express帳號密碼是如此清晰可見的嗎
Outlook Express 擷取密碼案例 (續 )
2-121
網路安全
結論bull 學習了 Wireshark及WinDump 兩套網路封包擷取軟體基本概念如同電話側錄概念相同從中複製一連串資訊來分析與了解網路的流量及內容為何bull 當你發現網路速度緩慢等狀況你是否會反應到所學的基本概念來找尋問題所在bull 防範概念由此課程的實例可以了解網路內容如被有心人士擷取所造成的損失相當可觀故你是否有對策有哪些方式你可以應用來防範bull 正確的思考善用對的工具將對解決問題事半功倍
2-122
網路安全 2-123
Module 2-5 封包擷取與分析的專案實作()
網路安全
專案目的bull 建立遠端管理傳遞指令資訊環境bull 利用實際攔截封包操作的方式讓同學了解封包擷取運作與網路資訊流通的顧慮等相關議題
2-124
網路安全
專案描述bull 近年來遠端管理伺服器及網路服務普及光是密碼保護就足夠了嗎是否重點網段須全程加密還是作網段隔離經由此專案實作即可了解不僅部分加密仍有其風險所在網路架構如何規劃將是非常重要的課題bull 參考環境配置圖完成下列要求①環境裡的攔截封包主機是 Windows XP SP3 作業系統而該主機安裝Wireshark軟體②另兩台主機的作業系統亦是 Windows XP SP3 並裝上
MySQL軟體 MySQL帳號為 root 密碼為您的學號 (如 Q3896105)
③在MySQLClient 電腦使用 MySQL Commandline 指令連線至MySQLServer 擷取資料庫資訊
④我們針對這兩台主機傳訊的封包擷取由整個實做中思考如何防範資訊外洩與了解傳訊封包如何流動及運作2-125
網路安全
環境配置圖bull 以 Testbed建立一實驗相關拓樸及設定如下圖
MySQLServerOSWINXP-SP3-CH-pc3000 IP 10123安裝軟體 MySQL
MySQLClientOSWINXP-SP3-CH-pc3000 IP 10112安裝軟體 MySQL
2-126
WireSharkOSWINXP-SP3-CH-pc3000 IP1 10113IP2 10122安裝軟體 Wireshark
IP1IP2
網路安全
作業繳交bull 請參考情境測試發送數個 SQL 指令並將過程與擷取到的封包資訊之截圖列於報告中所有圖表皆需要輔以文字說明bull Deadline 2012312 下午 500 以前bull 作業範圍 Module 2-5 (page 2-128)bull 方式 (參考課程網址 )
ndash 帳號密碼小寫的 (ns100ns100)ndash IP 140116164167
2-127
網路安全
有問題嗎
bull 關於 TestBed 使用上的問題請直接 Email至 twisc-testbed-usergooglegroupscom 將有專人為您服務bull 課程網址
httpitlabeenckuedutwcoursesNS_100indexhtml
2-128
bull 助教資訊 (參考課程網址 )
網路安全
參考資料bull Dienet httplinuxdienetman1wiresharkbull Orebaugh Angela Ramirez Gilbert Burke Josh Pesce Larry Wright
Joshua(2007) Wireshark and Ethereal network protocol analyzer toolkitbull Tony Fortunato(2007) Wireshark Training Retrieved July 22 2009 from
the World Wide Web httpwwwthetechfirmcometherealwiresharkpdfbull WinDump httpwwwwinpcaporgWinDumpbull Wireshark httpwwwwiresharkorgbull Wireshark University httpwwwwiresharktrainingcombull 楊中皇 (民 97年 ) 網路安全理論與實務 (2版 ) 台北市學貫bull 蘇淑茵教授 Wireshark 民國 98年 6月 28日取自 httpmywebnckuedutw~sisou
2-129
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
ndash 2於 Field name框選擇「 tcpdstport」ndash 3於 Relation框選擇「 ==」ndash 4於 Value框填入「 80」ndash 5 選擇「 OK」鈕
2-85
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 注意 Propeties框內的Filter string欄位值已改變為「 ipsrc == 10112 and tcpdstport == 80」
bull 確認條件正確後點選「 OK 」鈕即可發現已擷取封包清單窗格的項目均為所設定過濾條件過濾過結果2-86
網路安全
bull 可單選單一封包進行更進階查詢封包內容bull 操作方式為
ndash 點選其中一項封包項目點選滑鼠右鍵選擇Follow TCP Stream
Wireshark操作手法 - 檢視中過濾 (續 )
2-87
網路安全
ndash 此畫面即可看出該項 TCP 封包溝通內容Wireshark操作手法 - 檢視中過濾 (續 )
2-88
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 此功能將所擷取的封包清單使用多種方式呈現封包統計資料便於使用者查詢擷取時間內何種封包數量多寡及圖型顯示bull 操作步驟點選 Statistics 下拉視窗即呈現此視窗 顯示有關擷取清單的摘要以階梯式通訊協定列表顯示所擷取的所有封包
在特定 IP間顯示通訊流量顯示單一 IP 來往封包的流量
以時間軸顯示視覺化封包流量圖2-89
網路安全
bull 可查看到一時段內其封包總數與平均每秒傳遞接收封包數等相關資訊讓使用者了解平均一時段內網路流量狀況藉以初步獲得資訊
Wireshark操作手法 - 檢視中過濾 (續 )
2-90
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 讓使用者可透過階梯式封包分類表來查看哪一類封包佔為居多可進一步推測是否該類型封包影響到整體網路或是否有異常或不常見封包類型在網路中傳遞
2-91
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 將該擷取時段內封包清單檔以兩個特定 IP 之間對傳封包為區隔顯示出哪兩個特定 IP間傳遞封包數多寡bull 可讓使用者更進一步研判兩個特定 IP所屬設備傳遞狀況是否異常
2-92
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 將該擷取時段內封包清單檔以特定IP 傳遞封包數為區隔顯示出哪特定IP 傳遞封包數多寡
bull 可讓使用者更進一步研判該特定所屬設備傳遞封包數是否異常作為管制緊急管制或禁止通訊之證明2-93
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 以時間軸顯示視覺化封包流量圖bull 讓使用者可觀察所管理設備資訊流通量以了解設備是否能負荷或作相關調整等處置
2-94
網路安全
FTP 擷取密碼案例bull 於Wireshark軟體選擇 Capture 下拉選單功能項點選 Interfaces 選項
2-95
網路安全
FTP 擷取密碼案例 (續 )
bull 確認欲擷取封包之網卡名稱如紅色底線所示確認後點選 Start鈕
2-96
網路安全
FTP 擷取密碼案例 (續 )
bull 切換至 FTP Client 電腦開啟 FileZilla 程式後連線到 FTP Server 於 Host 填入10123 Username填入 tester Password填入testpw 後點選 Quickconnect鈕
2-97
網路安全
FTP 擷取密碼案例 (續 )
bull 擷取到的封包資訊會顯示於已擷取封包清單窗格內
2-98
網路安全
FTP 擷取密碼案例 (續 )
bull 使用 FTP軟體登入 ftp站後 Wireshark 將擷取到的使用者名稱與密碼如紅框所示
2-99
網路安全
FTP 擷取密碼案例 (續 )
bull 點選已擷取封包清單窗格的密碼資訊列如標示1 的紅框所示即可在封包內容窗格看到該密碼的位元碼如標示 2 的紅框所示
1
2
2-100
網路安全
架設實作 (三 )
Outlook Express 擷取密碼案例
2-101
網路安全
實驗環境介紹bull 以 Testbed建立一實驗相關拓樸及設定如下圖
OEClientOSWindows XP SP3IP 10112執行 Outlook Express
MailServerOSWindows XP SP3IP 10122安裝軟體 ArGoSoft Mail Server
2-102
WiresharkOSWindows XP SP3IP1 10113 IP2 10123安裝軟體 Wireshark
IP1IP2
網路安全
實驗拓樸 on TestbedTWISC- 建立完成的實驗拓樸
2-103
網路安全
郵件伺服器工具 - ArGoSoft Mail Server
bull 版本ndash 1892 Freeware
bull 支援作業平台ndash Windows
bull 下載位址ndash httpwwwsoftkingcomtwsoftdownloadaspfid3=7367
2-104
網路安全
郵件客戶端工具 - Outlook Express
bull 版本ndash 60
bull 支援作業平台ndash Windows
bull 下載位址ndash Windows 內建
2-105
網路安全
bull 安裝及設定郵件伺服器ndash 1下載並執行 ArGoSoft Mail Server軟體點選
Setup鈕
Outlook Express 擷取密碼案例
2-106
網路安全
ndash 1 點選 Next鈕ndash 2 點選 Start Installation鈕
Outlook Express 擷取密碼案例 (續 )
2-107
網路安全
ndash 3 點選 OK鈕ndash 4 點選 Finish鈕完成軟體安裝
Outlook Express 擷取密碼案例 (續 )
2-108
網路安全
ndash 5 點選使用者設定鈕如紅圈所示ndash 6 點選新增鈕如紅框所示
Outlook Express 擷取密碼案例 (續 )
2-109
網路安全
ndash 7填入使用者名稱 (tester) 及密碼 (testpw) 如紅圈所示填寫完成後點選 OK鈕ndash 8 點選 Close鈕關閉使用者設定視窗
Outlook Express 擷取密碼案例 (續 )
2-110
網路安全
ndash 9 點選選項鈕如左側圖中紅色圈所示ndash 10 點選紅色打勾鈕如右側圖中紅色圈所示
2-111
Outlook Express 擷取密碼案例 (續 )
網路安全
ndash 11該軟體會自動選取 DNS Server 待選取後點選 Yes鈕ndash 12 勾選 Allow Relay 選項如紅框所示
2-112
Outlook Express 擷取密碼案例 (續 )
網路安全
Outlook Express 擷取密碼案例 (續 )
bull 設定收信帳號ndash 1 點選 Tools功能選單選擇 Accounts 選項
2-113
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 2 點選 Add鈕選擇 Mail 選項
2-114
網路安全
ndash 3填入 tester 點選 Next鈕ndash 4填入 testertestcom 點選 Next鈕
Outlook Express 擷取密碼案例 (續 )
2-115
網路安全
ndash 5填入 10123 如紅框所示點選 Next鈕ndash 6填入帳號為 tester 及密碼為 testpw 點選 Next鈕
Outlook Express 擷取密碼案例 (續 )
2-116
網路安全
ndash 7 點選 Finish鈕ndash 8 點選 Close鈕
Outlook Express 擷取密碼案例 (續 )
2-117
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 模擬條件準備好後首先準備Wireshark 擷取動作開啟Wireshark
2-118
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 於Wireshark軟體選擇 Capture 下拉選單功能項點選 Interfaces 選項
2-119
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 確認欲擷取封包之網卡名稱如紅色底線所示確認後點選 Start鈕
2-120
網路安全
ndash 當使用者收發 email 時即被 Wireshark攔截封包ndash 有發現到該 Outlook Express帳號密碼是如此清晰可見的嗎
Outlook Express 擷取密碼案例 (續 )
2-121
網路安全
結論bull 學習了 Wireshark及WinDump 兩套網路封包擷取軟體基本概念如同電話側錄概念相同從中複製一連串資訊來分析與了解網路的流量及內容為何bull 當你發現網路速度緩慢等狀況你是否會反應到所學的基本概念來找尋問題所在bull 防範概念由此課程的實例可以了解網路內容如被有心人士擷取所造成的損失相當可觀故你是否有對策有哪些方式你可以應用來防範bull 正確的思考善用對的工具將對解決問題事半功倍
2-122
網路安全 2-123
Module 2-5 封包擷取與分析的專案實作()
網路安全
專案目的bull 建立遠端管理傳遞指令資訊環境bull 利用實際攔截封包操作的方式讓同學了解封包擷取運作與網路資訊流通的顧慮等相關議題
2-124
網路安全
專案描述bull 近年來遠端管理伺服器及網路服務普及光是密碼保護就足夠了嗎是否重點網段須全程加密還是作網段隔離經由此專案實作即可了解不僅部分加密仍有其風險所在網路架構如何規劃將是非常重要的課題bull 參考環境配置圖完成下列要求①環境裡的攔截封包主機是 Windows XP SP3 作業系統而該主機安裝Wireshark軟體②另兩台主機的作業系統亦是 Windows XP SP3 並裝上
MySQL軟體 MySQL帳號為 root 密碼為您的學號 (如 Q3896105)
③在MySQLClient 電腦使用 MySQL Commandline 指令連線至MySQLServer 擷取資料庫資訊
④我們針對這兩台主機傳訊的封包擷取由整個實做中思考如何防範資訊外洩與了解傳訊封包如何流動及運作2-125
網路安全
環境配置圖bull 以 Testbed建立一實驗相關拓樸及設定如下圖
MySQLServerOSWINXP-SP3-CH-pc3000 IP 10123安裝軟體 MySQL
MySQLClientOSWINXP-SP3-CH-pc3000 IP 10112安裝軟體 MySQL
2-126
WireSharkOSWINXP-SP3-CH-pc3000 IP1 10113IP2 10122安裝軟體 Wireshark
IP1IP2
網路安全
作業繳交bull 請參考情境測試發送數個 SQL 指令並將過程與擷取到的封包資訊之截圖列於報告中所有圖表皆需要輔以文字說明bull Deadline 2012312 下午 500 以前bull 作業範圍 Module 2-5 (page 2-128)bull 方式 (參考課程網址 )
ndash 帳號密碼小寫的 (ns100ns100)ndash IP 140116164167
2-127
網路安全
有問題嗎
bull 關於 TestBed 使用上的問題請直接 Email至 twisc-testbed-usergooglegroupscom 將有專人為您服務bull 課程網址
httpitlabeenckuedutwcoursesNS_100indexhtml
2-128
bull 助教資訊 (參考課程網址 )
網路安全
參考資料bull Dienet httplinuxdienetman1wiresharkbull Orebaugh Angela Ramirez Gilbert Burke Josh Pesce Larry Wright
Joshua(2007) Wireshark and Ethereal network protocol analyzer toolkitbull Tony Fortunato(2007) Wireshark Training Retrieved July 22 2009 from
the World Wide Web httpwwwthetechfirmcometherealwiresharkpdfbull WinDump httpwwwwinpcaporgWinDumpbull Wireshark httpwwwwiresharkorgbull Wireshark University httpwwwwiresharktrainingcombull 楊中皇 (民 97年 ) 網路安全理論與實務 (2版 ) 台北市學貫bull 蘇淑茵教授 Wireshark 民國 98年 6月 28日取自 httpmywebnckuedutw~sisou
2-129
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 注意 Propeties框內的Filter string欄位值已改變為「 ipsrc == 10112 and tcpdstport == 80」
bull 確認條件正確後點選「 OK 」鈕即可發現已擷取封包清單窗格的項目均為所設定過濾條件過濾過結果2-86
網路安全
bull 可單選單一封包進行更進階查詢封包內容bull 操作方式為
ndash 點選其中一項封包項目點選滑鼠右鍵選擇Follow TCP Stream
Wireshark操作手法 - 檢視中過濾 (續 )
2-87
網路安全
ndash 此畫面即可看出該項 TCP 封包溝通內容Wireshark操作手法 - 檢視中過濾 (續 )
2-88
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 此功能將所擷取的封包清單使用多種方式呈現封包統計資料便於使用者查詢擷取時間內何種封包數量多寡及圖型顯示bull 操作步驟點選 Statistics 下拉視窗即呈現此視窗 顯示有關擷取清單的摘要以階梯式通訊協定列表顯示所擷取的所有封包
在特定 IP間顯示通訊流量顯示單一 IP 來往封包的流量
以時間軸顯示視覺化封包流量圖2-89
網路安全
bull 可查看到一時段內其封包總數與平均每秒傳遞接收封包數等相關資訊讓使用者了解平均一時段內網路流量狀況藉以初步獲得資訊
Wireshark操作手法 - 檢視中過濾 (續 )
2-90
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 讓使用者可透過階梯式封包分類表來查看哪一類封包佔為居多可進一步推測是否該類型封包影響到整體網路或是否有異常或不常見封包類型在網路中傳遞
2-91
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 將該擷取時段內封包清單檔以兩個特定 IP 之間對傳封包為區隔顯示出哪兩個特定 IP間傳遞封包數多寡bull 可讓使用者更進一步研判兩個特定 IP所屬設備傳遞狀況是否異常
2-92
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 將該擷取時段內封包清單檔以特定IP 傳遞封包數為區隔顯示出哪特定IP 傳遞封包數多寡
bull 可讓使用者更進一步研判該特定所屬設備傳遞封包數是否異常作為管制緊急管制或禁止通訊之證明2-93
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 以時間軸顯示視覺化封包流量圖bull 讓使用者可觀察所管理設備資訊流通量以了解設備是否能負荷或作相關調整等處置
2-94
網路安全
FTP 擷取密碼案例bull 於Wireshark軟體選擇 Capture 下拉選單功能項點選 Interfaces 選項
2-95
網路安全
FTP 擷取密碼案例 (續 )
bull 確認欲擷取封包之網卡名稱如紅色底線所示確認後點選 Start鈕
2-96
網路安全
FTP 擷取密碼案例 (續 )
bull 切換至 FTP Client 電腦開啟 FileZilla 程式後連線到 FTP Server 於 Host 填入10123 Username填入 tester Password填入testpw 後點選 Quickconnect鈕
2-97
網路安全
FTP 擷取密碼案例 (續 )
bull 擷取到的封包資訊會顯示於已擷取封包清單窗格內
2-98
網路安全
FTP 擷取密碼案例 (續 )
bull 使用 FTP軟體登入 ftp站後 Wireshark 將擷取到的使用者名稱與密碼如紅框所示
2-99
網路安全
FTP 擷取密碼案例 (續 )
bull 點選已擷取封包清單窗格的密碼資訊列如標示1 的紅框所示即可在封包內容窗格看到該密碼的位元碼如標示 2 的紅框所示
1
2
2-100
網路安全
架設實作 (三 )
Outlook Express 擷取密碼案例
2-101
網路安全
實驗環境介紹bull 以 Testbed建立一實驗相關拓樸及設定如下圖
OEClientOSWindows XP SP3IP 10112執行 Outlook Express
MailServerOSWindows XP SP3IP 10122安裝軟體 ArGoSoft Mail Server
2-102
WiresharkOSWindows XP SP3IP1 10113 IP2 10123安裝軟體 Wireshark
IP1IP2
網路安全
實驗拓樸 on TestbedTWISC- 建立完成的實驗拓樸
2-103
網路安全
郵件伺服器工具 - ArGoSoft Mail Server
bull 版本ndash 1892 Freeware
bull 支援作業平台ndash Windows
bull 下載位址ndash httpwwwsoftkingcomtwsoftdownloadaspfid3=7367
2-104
網路安全
郵件客戶端工具 - Outlook Express
bull 版本ndash 60
bull 支援作業平台ndash Windows
bull 下載位址ndash Windows 內建
2-105
網路安全
bull 安裝及設定郵件伺服器ndash 1下載並執行 ArGoSoft Mail Server軟體點選
Setup鈕
Outlook Express 擷取密碼案例
2-106
網路安全
ndash 1 點選 Next鈕ndash 2 點選 Start Installation鈕
Outlook Express 擷取密碼案例 (續 )
2-107
網路安全
ndash 3 點選 OK鈕ndash 4 點選 Finish鈕完成軟體安裝
Outlook Express 擷取密碼案例 (續 )
2-108
網路安全
ndash 5 點選使用者設定鈕如紅圈所示ndash 6 點選新增鈕如紅框所示
Outlook Express 擷取密碼案例 (續 )
2-109
網路安全
ndash 7填入使用者名稱 (tester) 及密碼 (testpw) 如紅圈所示填寫完成後點選 OK鈕ndash 8 點選 Close鈕關閉使用者設定視窗
Outlook Express 擷取密碼案例 (續 )
2-110
網路安全
ndash 9 點選選項鈕如左側圖中紅色圈所示ndash 10 點選紅色打勾鈕如右側圖中紅色圈所示
2-111
Outlook Express 擷取密碼案例 (續 )
網路安全
ndash 11該軟體會自動選取 DNS Server 待選取後點選 Yes鈕ndash 12 勾選 Allow Relay 選項如紅框所示
2-112
Outlook Express 擷取密碼案例 (續 )
網路安全
Outlook Express 擷取密碼案例 (續 )
bull 設定收信帳號ndash 1 點選 Tools功能選單選擇 Accounts 選項
2-113
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 2 點選 Add鈕選擇 Mail 選項
2-114
網路安全
ndash 3填入 tester 點選 Next鈕ndash 4填入 testertestcom 點選 Next鈕
Outlook Express 擷取密碼案例 (續 )
2-115
網路安全
ndash 5填入 10123 如紅框所示點選 Next鈕ndash 6填入帳號為 tester 及密碼為 testpw 點選 Next鈕
Outlook Express 擷取密碼案例 (續 )
2-116
網路安全
ndash 7 點選 Finish鈕ndash 8 點選 Close鈕
Outlook Express 擷取密碼案例 (續 )
2-117
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 模擬條件準備好後首先準備Wireshark 擷取動作開啟Wireshark
2-118
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 於Wireshark軟體選擇 Capture 下拉選單功能項點選 Interfaces 選項
2-119
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 確認欲擷取封包之網卡名稱如紅色底線所示確認後點選 Start鈕
2-120
網路安全
ndash 當使用者收發 email 時即被 Wireshark攔截封包ndash 有發現到該 Outlook Express帳號密碼是如此清晰可見的嗎
Outlook Express 擷取密碼案例 (續 )
2-121
網路安全
結論bull 學習了 Wireshark及WinDump 兩套網路封包擷取軟體基本概念如同電話側錄概念相同從中複製一連串資訊來分析與了解網路的流量及內容為何bull 當你發現網路速度緩慢等狀況你是否會反應到所學的基本概念來找尋問題所在bull 防範概念由此課程的實例可以了解網路內容如被有心人士擷取所造成的損失相當可觀故你是否有對策有哪些方式你可以應用來防範bull 正確的思考善用對的工具將對解決問題事半功倍
2-122
網路安全 2-123
Module 2-5 封包擷取與分析的專案實作()
網路安全
專案目的bull 建立遠端管理傳遞指令資訊環境bull 利用實際攔截封包操作的方式讓同學了解封包擷取運作與網路資訊流通的顧慮等相關議題
2-124
網路安全
專案描述bull 近年來遠端管理伺服器及網路服務普及光是密碼保護就足夠了嗎是否重點網段須全程加密還是作網段隔離經由此專案實作即可了解不僅部分加密仍有其風險所在網路架構如何規劃將是非常重要的課題bull 參考環境配置圖完成下列要求①環境裡的攔截封包主機是 Windows XP SP3 作業系統而該主機安裝Wireshark軟體②另兩台主機的作業系統亦是 Windows XP SP3 並裝上
MySQL軟體 MySQL帳號為 root 密碼為您的學號 (如 Q3896105)
③在MySQLClient 電腦使用 MySQL Commandline 指令連線至MySQLServer 擷取資料庫資訊
④我們針對這兩台主機傳訊的封包擷取由整個實做中思考如何防範資訊外洩與了解傳訊封包如何流動及運作2-125
網路安全
環境配置圖bull 以 Testbed建立一實驗相關拓樸及設定如下圖
MySQLServerOSWINXP-SP3-CH-pc3000 IP 10123安裝軟體 MySQL
MySQLClientOSWINXP-SP3-CH-pc3000 IP 10112安裝軟體 MySQL
2-126
WireSharkOSWINXP-SP3-CH-pc3000 IP1 10113IP2 10122安裝軟體 Wireshark
IP1IP2
網路安全
作業繳交bull 請參考情境測試發送數個 SQL 指令並將過程與擷取到的封包資訊之截圖列於報告中所有圖表皆需要輔以文字說明bull Deadline 2012312 下午 500 以前bull 作業範圍 Module 2-5 (page 2-128)bull 方式 (參考課程網址 )
ndash 帳號密碼小寫的 (ns100ns100)ndash IP 140116164167
2-127
網路安全
有問題嗎
bull 關於 TestBed 使用上的問題請直接 Email至 twisc-testbed-usergooglegroupscom 將有專人為您服務bull 課程網址
httpitlabeenckuedutwcoursesNS_100indexhtml
2-128
bull 助教資訊 (參考課程網址 )
網路安全
參考資料bull Dienet httplinuxdienetman1wiresharkbull Orebaugh Angela Ramirez Gilbert Burke Josh Pesce Larry Wright
Joshua(2007) Wireshark and Ethereal network protocol analyzer toolkitbull Tony Fortunato(2007) Wireshark Training Retrieved July 22 2009 from
the World Wide Web httpwwwthetechfirmcometherealwiresharkpdfbull WinDump httpwwwwinpcaporgWinDumpbull Wireshark httpwwwwiresharkorgbull Wireshark University httpwwwwiresharktrainingcombull 楊中皇 (民 97年 ) 網路安全理論與實務 (2版 ) 台北市學貫bull 蘇淑茵教授 Wireshark 民國 98年 6月 28日取自 httpmywebnckuedutw~sisou
2-129
網路安全
bull 可單選單一封包進行更進階查詢封包內容bull 操作方式為
ndash 點選其中一項封包項目點選滑鼠右鍵選擇Follow TCP Stream
Wireshark操作手法 - 檢視中過濾 (續 )
2-87
網路安全
ndash 此畫面即可看出該項 TCP 封包溝通內容Wireshark操作手法 - 檢視中過濾 (續 )
2-88
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 此功能將所擷取的封包清單使用多種方式呈現封包統計資料便於使用者查詢擷取時間內何種封包數量多寡及圖型顯示bull 操作步驟點選 Statistics 下拉視窗即呈現此視窗 顯示有關擷取清單的摘要以階梯式通訊協定列表顯示所擷取的所有封包
在特定 IP間顯示通訊流量顯示單一 IP 來往封包的流量
以時間軸顯示視覺化封包流量圖2-89
網路安全
bull 可查看到一時段內其封包總數與平均每秒傳遞接收封包數等相關資訊讓使用者了解平均一時段內網路流量狀況藉以初步獲得資訊
Wireshark操作手法 - 檢視中過濾 (續 )
2-90
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 讓使用者可透過階梯式封包分類表來查看哪一類封包佔為居多可進一步推測是否該類型封包影響到整體網路或是否有異常或不常見封包類型在網路中傳遞
2-91
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 將該擷取時段內封包清單檔以兩個特定 IP 之間對傳封包為區隔顯示出哪兩個特定 IP間傳遞封包數多寡bull 可讓使用者更進一步研判兩個特定 IP所屬設備傳遞狀況是否異常
2-92
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 將該擷取時段內封包清單檔以特定IP 傳遞封包數為區隔顯示出哪特定IP 傳遞封包數多寡
bull 可讓使用者更進一步研判該特定所屬設備傳遞封包數是否異常作為管制緊急管制或禁止通訊之證明2-93
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 以時間軸顯示視覺化封包流量圖bull 讓使用者可觀察所管理設備資訊流通量以了解設備是否能負荷或作相關調整等處置
2-94
網路安全
FTP 擷取密碼案例bull 於Wireshark軟體選擇 Capture 下拉選單功能項點選 Interfaces 選項
2-95
網路安全
FTP 擷取密碼案例 (續 )
bull 確認欲擷取封包之網卡名稱如紅色底線所示確認後點選 Start鈕
2-96
網路安全
FTP 擷取密碼案例 (續 )
bull 切換至 FTP Client 電腦開啟 FileZilla 程式後連線到 FTP Server 於 Host 填入10123 Username填入 tester Password填入testpw 後點選 Quickconnect鈕
2-97
網路安全
FTP 擷取密碼案例 (續 )
bull 擷取到的封包資訊會顯示於已擷取封包清單窗格內
2-98
網路安全
FTP 擷取密碼案例 (續 )
bull 使用 FTP軟體登入 ftp站後 Wireshark 將擷取到的使用者名稱與密碼如紅框所示
2-99
網路安全
FTP 擷取密碼案例 (續 )
bull 點選已擷取封包清單窗格的密碼資訊列如標示1 的紅框所示即可在封包內容窗格看到該密碼的位元碼如標示 2 的紅框所示
1
2
2-100
網路安全
架設實作 (三 )
Outlook Express 擷取密碼案例
2-101
網路安全
實驗環境介紹bull 以 Testbed建立一實驗相關拓樸及設定如下圖
OEClientOSWindows XP SP3IP 10112執行 Outlook Express
MailServerOSWindows XP SP3IP 10122安裝軟體 ArGoSoft Mail Server
2-102
WiresharkOSWindows XP SP3IP1 10113 IP2 10123安裝軟體 Wireshark
IP1IP2
網路安全
實驗拓樸 on TestbedTWISC- 建立完成的實驗拓樸
2-103
網路安全
郵件伺服器工具 - ArGoSoft Mail Server
bull 版本ndash 1892 Freeware
bull 支援作業平台ndash Windows
bull 下載位址ndash httpwwwsoftkingcomtwsoftdownloadaspfid3=7367
2-104
網路安全
郵件客戶端工具 - Outlook Express
bull 版本ndash 60
bull 支援作業平台ndash Windows
bull 下載位址ndash Windows 內建
2-105
網路安全
bull 安裝及設定郵件伺服器ndash 1下載並執行 ArGoSoft Mail Server軟體點選
Setup鈕
Outlook Express 擷取密碼案例
2-106
網路安全
ndash 1 點選 Next鈕ndash 2 點選 Start Installation鈕
Outlook Express 擷取密碼案例 (續 )
2-107
網路安全
ndash 3 點選 OK鈕ndash 4 點選 Finish鈕完成軟體安裝
Outlook Express 擷取密碼案例 (續 )
2-108
網路安全
ndash 5 點選使用者設定鈕如紅圈所示ndash 6 點選新增鈕如紅框所示
Outlook Express 擷取密碼案例 (續 )
2-109
網路安全
ndash 7填入使用者名稱 (tester) 及密碼 (testpw) 如紅圈所示填寫完成後點選 OK鈕ndash 8 點選 Close鈕關閉使用者設定視窗
Outlook Express 擷取密碼案例 (續 )
2-110
網路安全
ndash 9 點選選項鈕如左側圖中紅色圈所示ndash 10 點選紅色打勾鈕如右側圖中紅色圈所示
2-111
Outlook Express 擷取密碼案例 (續 )
網路安全
ndash 11該軟體會自動選取 DNS Server 待選取後點選 Yes鈕ndash 12 勾選 Allow Relay 選項如紅框所示
2-112
Outlook Express 擷取密碼案例 (續 )
網路安全
Outlook Express 擷取密碼案例 (續 )
bull 設定收信帳號ndash 1 點選 Tools功能選單選擇 Accounts 選項
2-113
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 2 點選 Add鈕選擇 Mail 選項
2-114
網路安全
ndash 3填入 tester 點選 Next鈕ndash 4填入 testertestcom 點選 Next鈕
Outlook Express 擷取密碼案例 (續 )
2-115
網路安全
ndash 5填入 10123 如紅框所示點選 Next鈕ndash 6填入帳號為 tester 及密碼為 testpw 點選 Next鈕
Outlook Express 擷取密碼案例 (續 )
2-116
網路安全
ndash 7 點選 Finish鈕ndash 8 點選 Close鈕
Outlook Express 擷取密碼案例 (續 )
2-117
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 模擬條件準備好後首先準備Wireshark 擷取動作開啟Wireshark
2-118
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 於Wireshark軟體選擇 Capture 下拉選單功能項點選 Interfaces 選項
2-119
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 確認欲擷取封包之網卡名稱如紅色底線所示確認後點選 Start鈕
2-120
網路安全
ndash 當使用者收發 email 時即被 Wireshark攔截封包ndash 有發現到該 Outlook Express帳號密碼是如此清晰可見的嗎
Outlook Express 擷取密碼案例 (續 )
2-121
網路安全
結論bull 學習了 Wireshark及WinDump 兩套網路封包擷取軟體基本概念如同電話側錄概念相同從中複製一連串資訊來分析與了解網路的流量及內容為何bull 當你發現網路速度緩慢等狀況你是否會反應到所學的基本概念來找尋問題所在bull 防範概念由此課程的實例可以了解網路內容如被有心人士擷取所造成的損失相當可觀故你是否有對策有哪些方式你可以應用來防範bull 正確的思考善用對的工具將對解決問題事半功倍
2-122
網路安全 2-123
Module 2-5 封包擷取與分析的專案實作()
網路安全
專案目的bull 建立遠端管理傳遞指令資訊環境bull 利用實際攔截封包操作的方式讓同學了解封包擷取運作與網路資訊流通的顧慮等相關議題
2-124
網路安全
專案描述bull 近年來遠端管理伺服器及網路服務普及光是密碼保護就足夠了嗎是否重點網段須全程加密還是作網段隔離經由此專案實作即可了解不僅部分加密仍有其風險所在網路架構如何規劃將是非常重要的課題bull 參考環境配置圖完成下列要求①環境裡的攔截封包主機是 Windows XP SP3 作業系統而該主機安裝Wireshark軟體②另兩台主機的作業系統亦是 Windows XP SP3 並裝上
MySQL軟體 MySQL帳號為 root 密碼為您的學號 (如 Q3896105)
③在MySQLClient 電腦使用 MySQL Commandline 指令連線至MySQLServer 擷取資料庫資訊
④我們針對這兩台主機傳訊的封包擷取由整個實做中思考如何防範資訊外洩與了解傳訊封包如何流動及運作2-125
網路安全
環境配置圖bull 以 Testbed建立一實驗相關拓樸及設定如下圖
MySQLServerOSWINXP-SP3-CH-pc3000 IP 10123安裝軟體 MySQL
MySQLClientOSWINXP-SP3-CH-pc3000 IP 10112安裝軟體 MySQL
2-126
WireSharkOSWINXP-SP3-CH-pc3000 IP1 10113IP2 10122安裝軟體 Wireshark
IP1IP2
網路安全
作業繳交bull 請參考情境測試發送數個 SQL 指令並將過程與擷取到的封包資訊之截圖列於報告中所有圖表皆需要輔以文字說明bull Deadline 2012312 下午 500 以前bull 作業範圍 Module 2-5 (page 2-128)bull 方式 (參考課程網址 )
ndash 帳號密碼小寫的 (ns100ns100)ndash IP 140116164167
2-127
網路安全
有問題嗎
bull 關於 TestBed 使用上的問題請直接 Email至 twisc-testbed-usergooglegroupscom 將有專人為您服務bull 課程網址
httpitlabeenckuedutwcoursesNS_100indexhtml
2-128
bull 助教資訊 (參考課程網址 )
網路安全
參考資料bull Dienet httplinuxdienetman1wiresharkbull Orebaugh Angela Ramirez Gilbert Burke Josh Pesce Larry Wright
Joshua(2007) Wireshark and Ethereal network protocol analyzer toolkitbull Tony Fortunato(2007) Wireshark Training Retrieved July 22 2009 from
the World Wide Web httpwwwthetechfirmcometherealwiresharkpdfbull WinDump httpwwwwinpcaporgWinDumpbull Wireshark httpwwwwiresharkorgbull Wireshark University httpwwwwiresharktrainingcombull 楊中皇 (民 97年 ) 網路安全理論與實務 (2版 ) 台北市學貫bull 蘇淑茵教授 Wireshark 民國 98年 6月 28日取自 httpmywebnckuedutw~sisou
2-129
網路安全
ndash 此畫面即可看出該項 TCP 封包溝通內容Wireshark操作手法 - 檢視中過濾 (續 )
2-88
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 此功能將所擷取的封包清單使用多種方式呈現封包統計資料便於使用者查詢擷取時間內何種封包數量多寡及圖型顯示bull 操作步驟點選 Statistics 下拉視窗即呈現此視窗 顯示有關擷取清單的摘要以階梯式通訊協定列表顯示所擷取的所有封包
在特定 IP間顯示通訊流量顯示單一 IP 來往封包的流量
以時間軸顯示視覺化封包流量圖2-89
網路安全
bull 可查看到一時段內其封包總數與平均每秒傳遞接收封包數等相關資訊讓使用者了解平均一時段內網路流量狀況藉以初步獲得資訊
Wireshark操作手法 - 檢視中過濾 (續 )
2-90
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 讓使用者可透過階梯式封包分類表來查看哪一類封包佔為居多可進一步推測是否該類型封包影響到整體網路或是否有異常或不常見封包類型在網路中傳遞
2-91
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 將該擷取時段內封包清單檔以兩個特定 IP 之間對傳封包為區隔顯示出哪兩個特定 IP間傳遞封包數多寡bull 可讓使用者更進一步研判兩個特定 IP所屬設備傳遞狀況是否異常
2-92
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 將該擷取時段內封包清單檔以特定IP 傳遞封包數為區隔顯示出哪特定IP 傳遞封包數多寡
bull 可讓使用者更進一步研判該特定所屬設備傳遞封包數是否異常作為管制緊急管制或禁止通訊之證明2-93
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 以時間軸顯示視覺化封包流量圖bull 讓使用者可觀察所管理設備資訊流通量以了解設備是否能負荷或作相關調整等處置
2-94
網路安全
FTP 擷取密碼案例bull 於Wireshark軟體選擇 Capture 下拉選單功能項點選 Interfaces 選項
2-95
網路安全
FTP 擷取密碼案例 (續 )
bull 確認欲擷取封包之網卡名稱如紅色底線所示確認後點選 Start鈕
2-96
網路安全
FTP 擷取密碼案例 (續 )
bull 切換至 FTP Client 電腦開啟 FileZilla 程式後連線到 FTP Server 於 Host 填入10123 Username填入 tester Password填入testpw 後點選 Quickconnect鈕
2-97
網路安全
FTP 擷取密碼案例 (續 )
bull 擷取到的封包資訊會顯示於已擷取封包清單窗格內
2-98
網路安全
FTP 擷取密碼案例 (續 )
bull 使用 FTP軟體登入 ftp站後 Wireshark 將擷取到的使用者名稱與密碼如紅框所示
2-99
網路安全
FTP 擷取密碼案例 (續 )
bull 點選已擷取封包清單窗格的密碼資訊列如標示1 的紅框所示即可在封包內容窗格看到該密碼的位元碼如標示 2 的紅框所示
1
2
2-100
網路安全
架設實作 (三 )
Outlook Express 擷取密碼案例
2-101
網路安全
實驗環境介紹bull 以 Testbed建立一實驗相關拓樸及設定如下圖
OEClientOSWindows XP SP3IP 10112執行 Outlook Express
MailServerOSWindows XP SP3IP 10122安裝軟體 ArGoSoft Mail Server
2-102
WiresharkOSWindows XP SP3IP1 10113 IP2 10123安裝軟體 Wireshark
IP1IP2
網路安全
實驗拓樸 on TestbedTWISC- 建立完成的實驗拓樸
2-103
網路安全
郵件伺服器工具 - ArGoSoft Mail Server
bull 版本ndash 1892 Freeware
bull 支援作業平台ndash Windows
bull 下載位址ndash httpwwwsoftkingcomtwsoftdownloadaspfid3=7367
2-104
網路安全
郵件客戶端工具 - Outlook Express
bull 版本ndash 60
bull 支援作業平台ndash Windows
bull 下載位址ndash Windows 內建
2-105
網路安全
bull 安裝及設定郵件伺服器ndash 1下載並執行 ArGoSoft Mail Server軟體點選
Setup鈕
Outlook Express 擷取密碼案例
2-106
網路安全
ndash 1 點選 Next鈕ndash 2 點選 Start Installation鈕
Outlook Express 擷取密碼案例 (續 )
2-107
網路安全
ndash 3 點選 OK鈕ndash 4 點選 Finish鈕完成軟體安裝
Outlook Express 擷取密碼案例 (續 )
2-108
網路安全
ndash 5 點選使用者設定鈕如紅圈所示ndash 6 點選新增鈕如紅框所示
Outlook Express 擷取密碼案例 (續 )
2-109
網路安全
ndash 7填入使用者名稱 (tester) 及密碼 (testpw) 如紅圈所示填寫完成後點選 OK鈕ndash 8 點選 Close鈕關閉使用者設定視窗
Outlook Express 擷取密碼案例 (續 )
2-110
網路安全
ndash 9 點選選項鈕如左側圖中紅色圈所示ndash 10 點選紅色打勾鈕如右側圖中紅色圈所示
2-111
Outlook Express 擷取密碼案例 (續 )
網路安全
ndash 11該軟體會自動選取 DNS Server 待選取後點選 Yes鈕ndash 12 勾選 Allow Relay 選項如紅框所示
2-112
Outlook Express 擷取密碼案例 (續 )
網路安全
Outlook Express 擷取密碼案例 (續 )
bull 設定收信帳號ndash 1 點選 Tools功能選單選擇 Accounts 選項
2-113
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 2 點選 Add鈕選擇 Mail 選項
2-114
網路安全
ndash 3填入 tester 點選 Next鈕ndash 4填入 testertestcom 點選 Next鈕
Outlook Express 擷取密碼案例 (續 )
2-115
網路安全
ndash 5填入 10123 如紅框所示點選 Next鈕ndash 6填入帳號為 tester 及密碼為 testpw 點選 Next鈕
Outlook Express 擷取密碼案例 (續 )
2-116
網路安全
ndash 7 點選 Finish鈕ndash 8 點選 Close鈕
Outlook Express 擷取密碼案例 (續 )
2-117
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 模擬條件準備好後首先準備Wireshark 擷取動作開啟Wireshark
2-118
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 於Wireshark軟體選擇 Capture 下拉選單功能項點選 Interfaces 選項
2-119
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 確認欲擷取封包之網卡名稱如紅色底線所示確認後點選 Start鈕
2-120
網路安全
ndash 當使用者收發 email 時即被 Wireshark攔截封包ndash 有發現到該 Outlook Express帳號密碼是如此清晰可見的嗎
Outlook Express 擷取密碼案例 (續 )
2-121
網路安全
結論bull 學習了 Wireshark及WinDump 兩套網路封包擷取軟體基本概念如同電話側錄概念相同從中複製一連串資訊來分析與了解網路的流量及內容為何bull 當你發現網路速度緩慢等狀況你是否會反應到所學的基本概念來找尋問題所在bull 防範概念由此課程的實例可以了解網路內容如被有心人士擷取所造成的損失相當可觀故你是否有對策有哪些方式你可以應用來防範bull 正確的思考善用對的工具將對解決問題事半功倍
2-122
網路安全 2-123
Module 2-5 封包擷取與分析的專案實作()
網路安全
專案目的bull 建立遠端管理傳遞指令資訊環境bull 利用實際攔截封包操作的方式讓同學了解封包擷取運作與網路資訊流通的顧慮等相關議題
2-124
網路安全
專案描述bull 近年來遠端管理伺服器及網路服務普及光是密碼保護就足夠了嗎是否重點網段須全程加密還是作網段隔離經由此專案實作即可了解不僅部分加密仍有其風險所在網路架構如何規劃將是非常重要的課題bull 參考環境配置圖完成下列要求①環境裡的攔截封包主機是 Windows XP SP3 作業系統而該主機安裝Wireshark軟體②另兩台主機的作業系統亦是 Windows XP SP3 並裝上
MySQL軟體 MySQL帳號為 root 密碼為您的學號 (如 Q3896105)
③在MySQLClient 電腦使用 MySQL Commandline 指令連線至MySQLServer 擷取資料庫資訊
④我們針對這兩台主機傳訊的封包擷取由整個實做中思考如何防範資訊外洩與了解傳訊封包如何流動及運作2-125
網路安全
環境配置圖bull 以 Testbed建立一實驗相關拓樸及設定如下圖
MySQLServerOSWINXP-SP3-CH-pc3000 IP 10123安裝軟體 MySQL
MySQLClientOSWINXP-SP3-CH-pc3000 IP 10112安裝軟體 MySQL
2-126
WireSharkOSWINXP-SP3-CH-pc3000 IP1 10113IP2 10122安裝軟體 Wireshark
IP1IP2
網路安全
作業繳交bull 請參考情境測試發送數個 SQL 指令並將過程與擷取到的封包資訊之截圖列於報告中所有圖表皆需要輔以文字說明bull Deadline 2012312 下午 500 以前bull 作業範圍 Module 2-5 (page 2-128)bull 方式 (參考課程網址 )
ndash 帳號密碼小寫的 (ns100ns100)ndash IP 140116164167
2-127
網路安全
有問題嗎
bull 關於 TestBed 使用上的問題請直接 Email至 twisc-testbed-usergooglegroupscom 將有專人為您服務bull 課程網址
httpitlabeenckuedutwcoursesNS_100indexhtml
2-128
bull 助教資訊 (參考課程網址 )
網路安全
參考資料bull Dienet httplinuxdienetman1wiresharkbull Orebaugh Angela Ramirez Gilbert Burke Josh Pesce Larry Wright
Joshua(2007) Wireshark and Ethereal network protocol analyzer toolkitbull Tony Fortunato(2007) Wireshark Training Retrieved July 22 2009 from
the World Wide Web httpwwwthetechfirmcometherealwiresharkpdfbull WinDump httpwwwwinpcaporgWinDumpbull Wireshark httpwwwwiresharkorgbull Wireshark University httpwwwwiresharktrainingcombull 楊中皇 (民 97年 ) 網路安全理論與實務 (2版 ) 台北市學貫bull 蘇淑茵教授 Wireshark 民國 98年 6月 28日取自 httpmywebnckuedutw~sisou
2-129
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 此功能將所擷取的封包清單使用多種方式呈現封包統計資料便於使用者查詢擷取時間內何種封包數量多寡及圖型顯示bull 操作步驟點選 Statistics 下拉視窗即呈現此視窗 顯示有關擷取清單的摘要以階梯式通訊協定列表顯示所擷取的所有封包
在特定 IP間顯示通訊流量顯示單一 IP 來往封包的流量
以時間軸顯示視覺化封包流量圖2-89
網路安全
bull 可查看到一時段內其封包總數與平均每秒傳遞接收封包數等相關資訊讓使用者了解平均一時段內網路流量狀況藉以初步獲得資訊
Wireshark操作手法 - 檢視中過濾 (續 )
2-90
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 讓使用者可透過階梯式封包分類表來查看哪一類封包佔為居多可進一步推測是否該類型封包影響到整體網路或是否有異常或不常見封包類型在網路中傳遞
2-91
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 將該擷取時段內封包清單檔以兩個特定 IP 之間對傳封包為區隔顯示出哪兩個特定 IP間傳遞封包數多寡bull 可讓使用者更進一步研判兩個特定 IP所屬設備傳遞狀況是否異常
2-92
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 將該擷取時段內封包清單檔以特定IP 傳遞封包數為區隔顯示出哪特定IP 傳遞封包數多寡
bull 可讓使用者更進一步研判該特定所屬設備傳遞封包數是否異常作為管制緊急管制或禁止通訊之證明2-93
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 以時間軸顯示視覺化封包流量圖bull 讓使用者可觀察所管理設備資訊流通量以了解設備是否能負荷或作相關調整等處置
2-94
網路安全
FTP 擷取密碼案例bull 於Wireshark軟體選擇 Capture 下拉選單功能項點選 Interfaces 選項
2-95
網路安全
FTP 擷取密碼案例 (續 )
bull 確認欲擷取封包之網卡名稱如紅色底線所示確認後點選 Start鈕
2-96
網路安全
FTP 擷取密碼案例 (續 )
bull 切換至 FTP Client 電腦開啟 FileZilla 程式後連線到 FTP Server 於 Host 填入10123 Username填入 tester Password填入testpw 後點選 Quickconnect鈕
2-97
網路安全
FTP 擷取密碼案例 (續 )
bull 擷取到的封包資訊會顯示於已擷取封包清單窗格內
2-98
網路安全
FTP 擷取密碼案例 (續 )
bull 使用 FTP軟體登入 ftp站後 Wireshark 將擷取到的使用者名稱與密碼如紅框所示
2-99
網路安全
FTP 擷取密碼案例 (續 )
bull 點選已擷取封包清單窗格的密碼資訊列如標示1 的紅框所示即可在封包內容窗格看到該密碼的位元碼如標示 2 的紅框所示
1
2
2-100
網路安全
架設實作 (三 )
Outlook Express 擷取密碼案例
2-101
網路安全
實驗環境介紹bull 以 Testbed建立一實驗相關拓樸及設定如下圖
OEClientOSWindows XP SP3IP 10112執行 Outlook Express
MailServerOSWindows XP SP3IP 10122安裝軟體 ArGoSoft Mail Server
2-102
WiresharkOSWindows XP SP3IP1 10113 IP2 10123安裝軟體 Wireshark
IP1IP2
網路安全
實驗拓樸 on TestbedTWISC- 建立完成的實驗拓樸
2-103
網路安全
郵件伺服器工具 - ArGoSoft Mail Server
bull 版本ndash 1892 Freeware
bull 支援作業平台ndash Windows
bull 下載位址ndash httpwwwsoftkingcomtwsoftdownloadaspfid3=7367
2-104
網路安全
郵件客戶端工具 - Outlook Express
bull 版本ndash 60
bull 支援作業平台ndash Windows
bull 下載位址ndash Windows 內建
2-105
網路安全
bull 安裝及設定郵件伺服器ndash 1下載並執行 ArGoSoft Mail Server軟體點選
Setup鈕
Outlook Express 擷取密碼案例
2-106
網路安全
ndash 1 點選 Next鈕ndash 2 點選 Start Installation鈕
Outlook Express 擷取密碼案例 (續 )
2-107
網路安全
ndash 3 點選 OK鈕ndash 4 點選 Finish鈕完成軟體安裝
Outlook Express 擷取密碼案例 (續 )
2-108
網路安全
ndash 5 點選使用者設定鈕如紅圈所示ndash 6 點選新增鈕如紅框所示
Outlook Express 擷取密碼案例 (續 )
2-109
網路安全
ndash 7填入使用者名稱 (tester) 及密碼 (testpw) 如紅圈所示填寫完成後點選 OK鈕ndash 8 點選 Close鈕關閉使用者設定視窗
Outlook Express 擷取密碼案例 (續 )
2-110
網路安全
ndash 9 點選選項鈕如左側圖中紅色圈所示ndash 10 點選紅色打勾鈕如右側圖中紅色圈所示
2-111
Outlook Express 擷取密碼案例 (續 )
網路安全
ndash 11該軟體會自動選取 DNS Server 待選取後點選 Yes鈕ndash 12 勾選 Allow Relay 選項如紅框所示
2-112
Outlook Express 擷取密碼案例 (續 )
網路安全
Outlook Express 擷取密碼案例 (續 )
bull 設定收信帳號ndash 1 點選 Tools功能選單選擇 Accounts 選項
2-113
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 2 點選 Add鈕選擇 Mail 選項
2-114
網路安全
ndash 3填入 tester 點選 Next鈕ndash 4填入 testertestcom 點選 Next鈕
Outlook Express 擷取密碼案例 (續 )
2-115
網路安全
ndash 5填入 10123 如紅框所示點選 Next鈕ndash 6填入帳號為 tester 及密碼為 testpw 點選 Next鈕
Outlook Express 擷取密碼案例 (續 )
2-116
網路安全
ndash 7 點選 Finish鈕ndash 8 點選 Close鈕
Outlook Express 擷取密碼案例 (續 )
2-117
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 模擬條件準備好後首先準備Wireshark 擷取動作開啟Wireshark
2-118
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 於Wireshark軟體選擇 Capture 下拉選單功能項點選 Interfaces 選項
2-119
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 確認欲擷取封包之網卡名稱如紅色底線所示確認後點選 Start鈕
2-120
網路安全
ndash 當使用者收發 email 時即被 Wireshark攔截封包ndash 有發現到該 Outlook Express帳號密碼是如此清晰可見的嗎
Outlook Express 擷取密碼案例 (續 )
2-121
網路安全
結論bull 學習了 Wireshark及WinDump 兩套網路封包擷取軟體基本概念如同電話側錄概念相同從中複製一連串資訊來分析與了解網路的流量及內容為何bull 當你發現網路速度緩慢等狀況你是否會反應到所學的基本概念來找尋問題所在bull 防範概念由此課程的實例可以了解網路內容如被有心人士擷取所造成的損失相當可觀故你是否有對策有哪些方式你可以應用來防範bull 正確的思考善用對的工具將對解決問題事半功倍
2-122
網路安全 2-123
Module 2-5 封包擷取與分析的專案實作()
網路安全
專案目的bull 建立遠端管理傳遞指令資訊環境bull 利用實際攔截封包操作的方式讓同學了解封包擷取運作與網路資訊流通的顧慮等相關議題
2-124
網路安全
專案描述bull 近年來遠端管理伺服器及網路服務普及光是密碼保護就足夠了嗎是否重點網段須全程加密還是作網段隔離經由此專案實作即可了解不僅部分加密仍有其風險所在網路架構如何規劃將是非常重要的課題bull 參考環境配置圖完成下列要求①環境裡的攔截封包主機是 Windows XP SP3 作業系統而該主機安裝Wireshark軟體②另兩台主機的作業系統亦是 Windows XP SP3 並裝上
MySQL軟體 MySQL帳號為 root 密碼為您的學號 (如 Q3896105)
③在MySQLClient 電腦使用 MySQL Commandline 指令連線至MySQLServer 擷取資料庫資訊
④我們針對這兩台主機傳訊的封包擷取由整個實做中思考如何防範資訊外洩與了解傳訊封包如何流動及運作2-125
網路安全
環境配置圖bull 以 Testbed建立一實驗相關拓樸及設定如下圖
MySQLServerOSWINXP-SP3-CH-pc3000 IP 10123安裝軟體 MySQL
MySQLClientOSWINXP-SP3-CH-pc3000 IP 10112安裝軟體 MySQL
2-126
WireSharkOSWINXP-SP3-CH-pc3000 IP1 10113IP2 10122安裝軟體 Wireshark
IP1IP2
網路安全
作業繳交bull 請參考情境測試發送數個 SQL 指令並將過程與擷取到的封包資訊之截圖列於報告中所有圖表皆需要輔以文字說明bull Deadline 2012312 下午 500 以前bull 作業範圍 Module 2-5 (page 2-128)bull 方式 (參考課程網址 )
ndash 帳號密碼小寫的 (ns100ns100)ndash IP 140116164167
2-127
網路安全
有問題嗎
bull 關於 TestBed 使用上的問題請直接 Email至 twisc-testbed-usergooglegroupscom 將有專人為您服務bull 課程網址
httpitlabeenckuedutwcoursesNS_100indexhtml
2-128
bull 助教資訊 (參考課程網址 )
網路安全
參考資料bull Dienet httplinuxdienetman1wiresharkbull Orebaugh Angela Ramirez Gilbert Burke Josh Pesce Larry Wright
Joshua(2007) Wireshark and Ethereal network protocol analyzer toolkitbull Tony Fortunato(2007) Wireshark Training Retrieved July 22 2009 from
the World Wide Web httpwwwthetechfirmcometherealwiresharkpdfbull WinDump httpwwwwinpcaporgWinDumpbull Wireshark httpwwwwiresharkorgbull Wireshark University httpwwwwiresharktrainingcombull 楊中皇 (民 97年 ) 網路安全理論與實務 (2版 ) 台北市學貫bull 蘇淑茵教授 Wireshark 民國 98年 6月 28日取自 httpmywebnckuedutw~sisou
2-129
網路安全
bull 可查看到一時段內其封包總數與平均每秒傳遞接收封包數等相關資訊讓使用者了解平均一時段內網路流量狀況藉以初步獲得資訊
Wireshark操作手法 - 檢視中過濾 (續 )
2-90
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 讓使用者可透過階梯式封包分類表來查看哪一類封包佔為居多可進一步推測是否該類型封包影響到整體網路或是否有異常或不常見封包類型在網路中傳遞
2-91
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 將該擷取時段內封包清單檔以兩個特定 IP 之間對傳封包為區隔顯示出哪兩個特定 IP間傳遞封包數多寡bull 可讓使用者更進一步研判兩個特定 IP所屬設備傳遞狀況是否異常
2-92
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 將該擷取時段內封包清單檔以特定IP 傳遞封包數為區隔顯示出哪特定IP 傳遞封包數多寡
bull 可讓使用者更進一步研判該特定所屬設備傳遞封包數是否異常作為管制緊急管制或禁止通訊之證明2-93
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 以時間軸顯示視覺化封包流量圖bull 讓使用者可觀察所管理設備資訊流通量以了解設備是否能負荷或作相關調整等處置
2-94
網路安全
FTP 擷取密碼案例bull 於Wireshark軟體選擇 Capture 下拉選單功能項點選 Interfaces 選項
2-95
網路安全
FTP 擷取密碼案例 (續 )
bull 確認欲擷取封包之網卡名稱如紅色底線所示確認後點選 Start鈕
2-96
網路安全
FTP 擷取密碼案例 (續 )
bull 切換至 FTP Client 電腦開啟 FileZilla 程式後連線到 FTP Server 於 Host 填入10123 Username填入 tester Password填入testpw 後點選 Quickconnect鈕
2-97
網路安全
FTP 擷取密碼案例 (續 )
bull 擷取到的封包資訊會顯示於已擷取封包清單窗格內
2-98
網路安全
FTP 擷取密碼案例 (續 )
bull 使用 FTP軟體登入 ftp站後 Wireshark 將擷取到的使用者名稱與密碼如紅框所示
2-99
網路安全
FTP 擷取密碼案例 (續 )
bull 點選已擷取封包清單窗格的密碼資訊列如標示1 的紅框所示即可在封包內容窗格看到該密碼的位元碼如標示 2 的紅框所示
1
2
2-100
網路安全
架設實作 (三 )
Outlook Express 擷取密碼案例
2-101
網路安全
實驗環境介紹bull 以 Testbed建立一實驗相關拓樸及設定如下圖
OEClientOSWindows XP SP3IP 10112執行 Outlook Express
MailServerOSWindows XP SP3IP 10122安裝軟體 ArGoSoft Mail Server
2-102
WiresharkOSWindows XP SP3IP1 10113 IP2 10123安裝軟體 Wireshark
IP1IP2
網路安全
實驗拓樸 on TestbedTWISC- 建立完成的實驗拓樸
2-103
網路安全
郵件伺服器工具 - ArGoSoft Mail Server
bull 版本ndash 1892 Freeware
bull 支援作業平台ndash Windows
bull 下載位址ndash httpwwwsoftkingcomtwsoftdownloadaspfid3=7367
2-104
網路安全
郵件客戶端工具 - Outlook Express
bull 版本ndash 60
bull 支援作業平台ndash Windows
bull 下載位址ndash Windows 內建
2-105
網路安全
bull 安裝及設定郵件伺服器ndash 1下載並執行 ArGoSoft Mail Server軟體點選
Setup鈕
Outlook Express 擷取密碼案例
2-106
網路安全
ndash 1 點選 Next鈕ndash 2 點選 Start Installation鈕
Outlook Express 擷取密碼案例 (續 )
2-107
網路安全
ndash 3 點選 OK鈕ndash 4 點選 Finish鈕完成軟體安裝
Outlook Express 擷取密碼案例 (續 )
2-108
網路安全
ndash 5 點選使用者設定鈕如紅圈所示ndash 6 點選新增鈕如紅框所示
Outlook Express 擷取密碼案例 (續 )
2-109
網路安全
ndash 7填入使用者名稱 (tester) 及密碼 (testpw) 如紅圈所示填寫完成後點選 OK鈕ndash 8 點選 Close鈕關閉使用者設定視窗
Outlook Express 擷取密碼案例 (續 )
2-110
網路安全
ndash 9 點選選項鈕如左側圖中紅色圈所示ndash 10 點選紅色打勾鈕如右側圖中紅色圈所示
2-111
Outlook Express 擷取密碼案例 (續 )
網路安全
ndash 11該軟體會自動選取 DNS Server 待選取後點選 Yes鈕ndash 12 勾選 Allow Relay 選項如紅框所示
2-112
Outlook Express 擷取密碼案例 (續 )
網路安全
Outlook Express 擷取密碼案例 (續 )
bull 設定收信帳號ndash 1 點選 Tools功能選單選擇 Accounts 選項
2-113
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 2 點選 Add鈕選擇 Mail 選項
2-114
網路安全
ndash 3填入 tester 點選 Next鈕ndash 4填入 testertestcom 點選 Next鈕
Outlook Express 擷取密碼案例 (續 )
2-115
網路安全
ndash 5填入 10123 如紅框所示點選 Next鈕ndash 6填入帳號為 tester 及密碼為 testpw 點選 Next鈕
Outlook Express 擷取密碼案例 (續 )
2-116
網路安全
ndash 7 點選 Finish鈕ndash 8 點選 Close鈕
Outlook Express 擷取密碼案例 (續 )
2-117
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 模擬條件準備好後首先準備Wireshark 擷取動作開啟Wireshark
2-118
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 於Wireshark軟體選擇 Capture 下拉選單功能項點選 Interfaces 選項
2-119
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 確認欲擷取封包之網卡名稱如紅色底線所示確認後點選 Start鈕
2-120
網路安全
ndash 當使用者收發 email 時即被 Wireshark攔截封包ndash 有發現到該 Outlook Express帳號密碼是如此清晰可見的嗎
Outlook Express 擷取密碼案例 (續 )
2-121
網路安全
結論bull 學習了 Wireshark及WinDump 兩套網路封包擷取軟體基本概念如同電話側錄概念相同從中複製一連串資訊來分析與了解網路的流量及內容為何bull 當你發現網路速度緩慢等狀況你是否會反應到所學的基本概念來找尋問題所在bull 防範概念由此課程的實例可以了解網路內容如被有心人士擷取所造成的損失相當可觀故你是否有對策有哪些方式你可以應用來防範bull 正確的思考善用對的工具將對解決問題事半功倍
2-122
網路安全 2-123
Module 2-5 封包擷取與分析的專案實作()
網路安全
專案目的bull 建立遠端管理傳遞指令資訊環境bull 利用實際攔截封包操作的方式讓同學了解封包擷取運作與網路資訊流通的顧慮等相關議題
2-124
網路安全
專案描述bull 近年來遠端管理伺服器及網路服務普及光是密碼保護就足夠了嗎是否重點網段須全程加密還是作網段隔離經由此專案實作即可了解不僅部分加密仍有其風險所在網路架構如何規劃將是非常重要的課題bull 參考環境配置圖完成下列要求①環境裡的攔截封包主機是 Windows XP SP3 作業系統而該主機安裝Wireshark軟體②另兩台主機的作業系統亦是 Windows XP SP3 並裝上
MySQL軟體 MySQL帳號為 root 密碼為您的學號 (如 Q3896105)
③在MySQLClient 電腦使用 MySQL Commandline 指令連線至MySQLServer 擷取資料庫資訊
④我們針對這兩台主機傳訊的封包擷取由整個實做中思考如何防範資訊外洩與了解傳訊封包如何流動及運作2-125
網路安全
環境配置圖bull 以 Testbed建立一實驗相關拓樸及設定如下圖
MySQLServerOSWINXP-SP3-CH-pc3000 IP 10123安裝軟體 MySQL
MySQLClientOSWINXP-SP3-CH-pc3000 IP 10112安裝軟體 MySQL
2-126
WireSharkOSWINXP-SP3-CH-pc3000 IP1 10113IP2 10122安裝軟體 Wireshark
IP1IP2
網路安全
作業繳交bull 請參考情境測試發送數個 SQL 指令並將過程與擷取到的封包資訊之截圖列於報告中所有圖表皆需要輔以文字說明bull Deadline 2012312 下午 500 以前bull 作業範圍 Module 2-5 (page 2-128)bull 方式 (參考課程網址 )
ndash 帳號密碼小寫的 (ns100ns100)ndash IP 140116164167
2-127
網路安全
有問題嗎
bull 關於 TestBed 使用上的問題請直接 Email至 twisc-testbed-usergooglegroupscom 將有專人為您服務bull 課程網址
httpitlabeenckuedutwcoursesNS_100indexhtml
2-128
bull 助教資訊 (參考課程網址 )
網路安全
參考資料bull Dienet httplinuxdienetman1wiresharkbull Orebaugh Angela Ramirez Gilbert Burke Josh Pesce Larry Wright
Joshua(2007) Wireshark and Ethereal network protocol analyzer toolkitbull Tony Fortunato(2007) Wireshark Training Retrieved July 22 2009 from
the World Wide Web httpwwwthetechfirmcometherealwiresharkpdfbull WinDump httpwwwwinpcaporgWinDumpbull Wireshark httpwwwwiresharkorgbull Wireshark University httpwwwwiresharktrainingcombull 楊中皇 (民 97年 ) 網路安全理論與實務 (2版 ) 台北市學貫bull 蘇淑茵教授 Wireshark 民國 98年 6月 28日取自 httpmywebnckuedutw~sisou
2-129
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 讓使用者可透過階梯式封包分類表來查看哪一類封包佔為居多可進一步推測是否該類型封包影響到整體網路或是否有異常或不常見封包類型在網路中傳遞
2-91
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 將該擷取時段內封包清單檔以兩個特定 IP 之間對傳封包為區隔顯示出哪兩個特定 IP間傳遞封包數多寡bull 可讓使用者更進一步研判兩個特定 IP所屬設備傳遞狀況是否異常
2-92
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 將該擷取時段內封包清單檔以特定IP 傳遞封包數為區隔顯示出哪特定IP 傳遞封包數多寡
bull 可讓使用者更進一步研判該特定所屬設備傳遞封包數是否異常作為管制緊急管制或禁止通訊之證明2-93
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 以時間軸顯示視覺化封包流量圖bull 讓使用者可觀察所管理設備資訊流通量以了解設備是否能負荷或作相關調整等處置
2-94
網路安全
FTP 擷取密碼案例bull 於Wireshark軟體選擇 Capture 下拉選單功能項點選 Interfaces 選項
2-95
網路安全
FTP 擷取密碼案例 (續 )
bull 確認欲擷取封包之網卡名稱如紅色底線所示確認後點選 Start鈕
2-96
網路安全
FTP 擷取密碼案例 (續 )
bull 切換至 FTP Client 電腦開啟 FileZilla 程式後連線到 FTP Server 於 Host 填入10123 Username填入 tester Password填入testpw 後點選 Quickconnect鈕
2-97
網路安全
FTP 擷取密碼案例 (續 )
bull 擷取到的封包資訊會顯示於已擷取封包清單窗格內
2-98
網路安全
FTP 擷取密碼案例 (續 )
bull 使用 FTP軟體登入 ftp站後 Wireshark 將擷取到的使用者名稱與密碼如紅框所示
2-99
網路安全
FTP 擷取密碼案例 (續 )
bull 點選已擷取封包清單窗格的密碼資訊列如標示1 的紅框所示即可在封包內容窗格看到該密碼的位元碼如標示 2 的紅框所示
1
2
2-100
網路安全
架設實作 (三 )
Outlook Express 擷取密碼案例
2-101
網路安全
實驗環境介紹bull 以 Testbed建立一實驗相關拓樸及設定如下圖
OEClientOSWindows XP SP3IP 10112執行 Outlook Express
MailServerOSWindows XP SP3IP 10122安裝軟體 ArGoSoft Mail Server
2-102
WiresharkOSWindows XP SP3IP1 10113 IP2 10123安裝軟體 Wireshark
IP1IP2
網路安全
實驗拓樸 on TestbedTWISC- 建立完成的實驗拓樸
2-103
網路安全
郵件伺服器工具 - ArGoSoft Mail Server
bull 版本ndash 1892 Freeware
bull 支援作業平台ndash Windows
bull 下載位址ndash httpwwwsoftkingcomtwsoftdownloadaspfid3=7367
2-104
網路安全
郵件客戶端工具 - Outlook Express
bull 版本ndash 60
bull 支援作業平台ndash Windows
bull 下載位址ndash Windows 內建
2-105
網路安全
bull 安裝及設定郵件伺服器ndash 1下載並執行 ArGoSoft Mail Server軟體點選
Setup鈕
Outlook Express 擷取密碼案例
2-106
網路安全
ndash 1 點選 Next鈕ndash 2 點選 Start Installation鈕
Outlook Express 擷取密碼案例 (續 )
2-107
網路安全
ndash 3 點選 OK鈕ndash 4 點選 Finish鈕完成軟體安裝
Outlook Express 擷取密碼案例 (續 )
2-108
網路安全
ndash 5 點選使用者設定鈕如紅圈所示ndash 6 點選新增鈕如紅框所示
Outlook Express 擷取密碼案例 (續 )
2-109
網路安全
ndash 7填入使用者名稱 (tester) 及密碼 (testpw) 如紅圈所示填寫完成後點選 OK鈕ndash 8 點選 Close鈕關閉使用者設定視窗
Outlook Express 擷取密碼案例 (續 )
2-110
網路安全
ndash 9 點選選項鈕如左側圖中紅色圈所示ndash 10 點選紅色打勾鈕如右側圖中紅色圈所示
2-111
Outlook Express 擷取密碼案例 (續 )
網路安全
ndash 11該軟體會自動選取 DNS Server 待選取後點選 Yes鈕ndash 12 勾選 Allow Relay 選項如紅框所示
2-112
Outlook Express 擷取密碼案例 (續 )
網路安全
Outlook Express 擷取密碼案例 (續 )
bull 設定收信帳號ndash 1 點選 Tools功能選單選擇 Accounts 選項
2-113
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 2 點選 Add鈕選擇 Mail 選項
2-114
網路安全
ndash 3填入 tester 點選 Next鈕ndash 4填入 testertestcom 點選 Next鈕
Outlook Express 擷取密碼案例 (續 )
2-115
網路安全
ndash 5填入 10123 如紅框所示點選 Next鈕ndash 6填入帳號為 tester 及密碼為 testpw 點選 Next鈕
Outlook Express 擷取密碼案例 (續 )
2-116
網路安全
ndash 7 點選 Finish鈕ndash 8 點選 Close鈕
Outlook Express 擷取密碼案例 (續 )
2-117
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 模擬條件準備好後首先準備Wireshark 擷取動作開啟Wireshark
2-118
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 於Wireshark軟體選擇 Capture 下拉選單功能項點選 Interfaces 選項
2-119
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 確認欲擷取封包之網卡名稱如紅色底線所示確認後點選 Start鈕
2-120
網路安全
ndash 當使用者收發 email 時即被 Wireshark攔截封包ndash 有發現到該 Outlook Express帳號密碼是如此清晰可見的嗎
Outlook Express 擷取密碼案例 (續 )
2-121
網路安全
結論bull 學習了 Wireshark及WinDump 兩套網路封包擷取軟體基本概念如同電話側錄概念相同從中複製一連串資訊來分析與了解網路的流量及內容為何bull 當你發現網路速度緩慢等狀況你是否會反應到所學的基本概念來找尋問題所在bull 防範概念由此課程的實例可以了解網路內容如被有心人士擷取所造成的損失相當可觀故你是否有對策有哪些方式你可以應用來防範bull 正確的思考善用對的工具將對解決問題事半功倍
2-122
網路安全 2-123
Module 2-5 封包擷取與分析的專案實作()
網路安全
專案目的bull 建立遠端管理傳遞指令資訊環境bull 利用實際攔截封包操作的方式讓同學了解封包擷取運作與網路資訊流通的顧慮等相關議題
2-124
網路安全
專案描述bull 近年來遠端管理伺服器及網路服務普及光是密碼保護就足夠了嗎是否重點網段須全程加密還是作網段隔離經由此專案實作即可了解不僅部分加密仍有其風險所在網路架構如何規劃將是非常重要的課題bull 參考環境配置圖完成下列要求①環境裡的攔截封包主機是 Windows XP SP3 作業系統而該主機安裝Wireshark軟體②另兩台主機的作業系統亦是 Windows XP SP3 並裝上
MySQL軟體 MySQL帳號為 root 密碼為您的學號 (如 Q3896105)
③在MySQLClient 電腦使用 MySQL Commandline 指令連線至MySQLServer 擷取資料庫資訊
④我們針對這兩台主機傳訊的封包擷取由整個實做中思考如何防範資訊外洩與了解傳訊封包如何流動及運作2-125
網路安全
環境配置圖bull 以 Testbed建立一實驗相關拓樸及設定如下圖
MySQLServerOSWINXP-SP3-CH-pc3000 IP 10123安裝軟體 MySQL
MySQLClientOSWINXP-SP3-CH-pc3000 IP 10112安裝軟體 MySQL
2-126
WireSharkOSWINXP-SP3-CH-pc3000 IP1 10113IP2 10122安裝軟體 Wireshark
IP1IP2
網路安全
作業繳交bull 請參考情境測試發送數個 SQL 指令並將過程與擷取到的封包資訊之截圖列於報告中所有圖表皆需要輔以文字說明bull Deadline 2012312 下午 500 以前bull 作業範圍 Module 2-5 (page 2-128)bull 方式 (參考課程網址 )
ndash 帳號密碼小寫的 (ns100ns100)ndash IP 140116164167
2-127
網路安全
有問題嗎
bull 關於 TestBed 使用上的問題請直接 Email至 twisc-testbed-usergooglegroupscom 將有專人為您服務bull 課程網址
httpitlabeenckuedutwcoursesNS_100indexhtml
2-128
bull 助教資訊 (參考課程網址 )
網路安全
參考資料bull Dienet httplinuxdienetman1wiresharkbull Orebaugh Angela Ramirez Gilbert Burke Josh Pesce Larry Wright
Joshua(2007) Wireshark and Ethereal network protocol analyzer toolkitbull Tony Fortunato(2007) Wireshark Training Retrieved July 22 2009 from
the World Wide Web httpwwwthetechfirmcometherealwiresharkpdfbull WinDump httpwwwwinpcaporgWinDumpbull Wireshark httpwwwwiresharkorgbull Wireshark University httpwwwwiresharktrainingcombull 楊中皇 (民 97年 ) 網路安全理論與實務 (2版 ) 台北市學貫bull 蘇淑茵教授 Wireshark 民國 98年 6月 28日取自 httpmywebnckuedutw~sisou
2-129
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 將該擷取時段內封包清單檔以兩個特定 IP 之間對傳封包為區隔顯示出哪兩個特定 IP間傳遞封包數多寡bull 可讓使用者更進一步研判兩個特定 IP所屬設備傳遞狀況是否異常
2-92
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 將該擷取時段內封包清單檔以特定IP 傳遞封包數為區隔顯示出哪特定IP 傳遞封包數多寡
bull 可讓使用者更進一步研判該特定所屬設備傳遞封包數是否異常作為管制緊急管制或禁止通訊之證明2-93
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 以時間軸顯示視覺化封包流量圖bull 讓使用者可觀察所管理設備資訊流通量以了解設備是否能負荷或作相關調整等處置
2-94
網路安全
FTP 擷取密碼案例bull 於Wireshark軟體選擇 Capture 下拉選單功能項點選 Interfaces 選項
2-95
網路安全
FTP 擷取密碼案例 (續 )
bull 確認欲擷取封包之網卡名稱如紅色底線所示確認後點選 Start鈕
2-96
網路安全
FTP 擷取密碼案例 (續 )
bull 切換至 FTP Client 電腦開啟 FileZilla 程式後連線到 FTP Server 於 Host 填入10123 Username填入 tester Password填入testpw 後點選 Quickconnect鈕
2-97
網路安全
FTP 擷取密碼案例 (續 )
bull 擷取到的封包資訊會顯示於已擷取封包清單窗格內
2-98
網路安全
FTP 擷取密碼案例 (續 )
bull 使用 FTP軟體登入 ftp站後 Wireshark 將擷取到的使用者名稱與密碼如紅框所示
2-99
網路安全
FTP 擷取密碼案例 (續 )
bull 點選已擷取封包清單窗格的密碼資訊列如標示1 的紅框所示即可在封包內容窗格看到該密碼的位元碼如標示 2 的紅框所示
1
2
2-100
網路安全
架設實作 (三 )
Outlook Express 擷取密碼案例
2-101
網路安全
實驗環境介紹bull 以 Testbed建立一實驗相關拓樸及設定如下圖
OEClientOSWindows XP SP3IP 10112執行 Outlook Express
MailServerOSWindows XP SP3IP 10122安裝軟體 ArGoSoft Mail Server
2-102
WiresharkOSWindows XP SP3IP1 10113 IP2 10123安裝軟體 Wireshark
IP1IP2
網路安全
實驗拓樸 on TestbedTWISC- 建立完成的實驗拓樸
2-103
網路安全
郵件伺服器工具 - ArGoSoft Mail Server
bull 版本ndash 1892 Freeware
bull 支援作業平台ndash Windows
bull 下載位址ndash httpwwwsoftkingcomtwsoftdownloadaspfid3=7367
2-104
網路安全
郵件客戶端工具 - Outlook Express
bull 版本ndash 60
bull 支援作業平台ndash Windows
bull 下載位址ndash Windows 內建
2-105
網路安全
bull 安裝及設定郵件伺服器ndash 1下載並執行 ArGoSoft Mail Server軟體點選
Setup鈕
Outlook Express 擷取密碼案例
2-106
網路安全
ndash 1 點選 Next鈕ndash 2 點選 Start Installation鈕
Outlook Express 擷取密碼案例 (續 )
2-107
網路安全
ndash 3 點選 OK鈕ndash 4 點選 Finish鈕完成軟體安裝
Outlook Express 擷取密碼案例 (續 )
2-108
網路安全
ndash 5 點選使用者設定鈕如紅圈所示ndash 6 點選新增鈕如紅框所示
Outlook Express 擷取密碼案例 (續 )
2-109
網路安全
ndash 7填入使用者名稱 (tester) 及密碼 (testpw) 如紅圈所示填寫完成後點選 OK鈕ndash 8 點選 Close鈕關閉使用者設定視窗
Outlook Express 擷取密碼案例 (續 )
2-110
網路安全
ndash 9 點選選項鈕如左側圖中紅色圈所示ndash 10 點選紅色打勾鈕如右側圖中紅色圈所示
2-111
Outlook Express 擷取密碼案例 (續 )
網路安全
ndash 11該軟體會自動選取 DNS Server 待選取後點選 Yes鈕ndash 12 勾選 Allow Relay 選項如紅框所示
2-112
Outlook Express 擷取密碼案例 (續 )
網路安全
Outlook Express 擷取密碼案例 (續 )
bull 設定收信帳號ndash 1 點選 Tools功能選單選擇 Accounts 選項
2-113
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 2 點選 Add鈕選擇 Mail 選項
2-114
網路安全
ndash 3填入 tester 點選 Next鈕ndash 4填入 testertestcom 點選 Next鈕
Outlook Express 擷取密碼案例 (續 )
2-115
網路安全
ndash 5填入 10123 如紅框所示點選 Next鈕ndash 6填入帳號為 tester 及密碼為 testpw 點選 Next鈕
Outlook Express 擷取密碼案例 (續 )
2-116
網路安全
ndash 7 點選 Finish鈕ndash 8 點選 Close鈕
Outlook Express 擷取密碼案例 (續 )
2-117
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 模擬條件準備好後首先準備Wireshark 擷取動作開啟Wireshark
2-118
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 於Wireshark軟體選擇 Capture 下拉選單功能項點選 Interfaces 選項
2-119
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 確認欲擷取封包之網卡名稱如紅色底線所示確認後點選 Start鈕
2-120
網路安全
ndash 當使用者收發 email 時即被 Wireshark攔截封包ndash 有發現到該 Outlook Express帳號密碼是如此清晰可見的嗎
Outlook Express 擷取密碼案例 (續 )
2-121
網路安全
結論bull 學習了 Wireshark及WinDump 兩套網路封包擷取軟體基本概念如同電話側錄概念相同從中複製一連串資訊來分析與了解網路的流量及內容為何bull 當你發現網路速度緩慢等狀況你是否會反應到所學的基本概念來找尋問題所在bull 防範概念由此課程的實例可以了解網路內容如被有心人士擷取所造成的損失相當可觀故你是否有對策有哪些方式你可以應用來防範bull 正確的思考善用對的工具將對解決問題事半功倍
2-122
網路安全 2-123
Module 2-5 封包擷取與分析的專案實作()
網路安全
專案目的bull 建立遠端管理傳遞指令資訊環境bull 利用實際攔截封包操作的方式讓同學了解封包擷取運作與網路資訊流通的顧慮等相關議題
2-124
網路安全
專案描述bull 近年來遠端管理伺服器及網路服務普及光是密碼保護就足夠了嗎是否重點網段須全程加密還是作網段隔離經由此專案實作即可了解不僅部分加密仍有其風險所在網路架構如何規劃將是非常重要的課題bull 參考環境配置圖完成下列要求①環境裡的攔截封包主機是 Windows XP SP3 作業系統而該主機安裝Wireshark軟體②另兩台主機的作業系統亦是 Windows XP SP3 並裝上
MySQL軟體 MySQL帳號為 root 密碼為您的學號 (如 Q3896105)
③在MySQLClient 電腦使用 MySQL Commandline 指令連線至MySQLServer 擷取資料庫資訊
④我們針對這兩台主機傳訊的封包擷取由整個實做中思考如何防範資訊外洩與了解傳訊封包如何流動及運作2-125
網路安全
環境配置圖bull 以 Testbed建立一實驗相關拓樸及設定如下圖
MySQLServerOSWINXP-SP3-CH-pc3000 IP 10123安裝軟體 MySQL
MySQLClientOSWINXP-SP3-CH-pc3000 IP 10112安裝軟體 MySQL
2-126
WireSharkOSWINXP-SP3-CH-pc3000 IP1 10113IP2 10122安裝軟體 Wireshark
IP1IP2
網路安全
作業繳交bull 請參考情境測試發送數個 SQL 指令並將過程與擷取到的封包資訊之截圖列於報告中所有圖表皆需要輔以文字說明bull Deadline 2012312 下午 500 以前bull 作業範圍 Module 2-5 (page 2-128)bull 方式 (參考課程網址 )
ndash 帳號密碼小寫的 (ns100ns100)ndash IP 140116164167
2-127
網路安全
有問題嗎
bull 關於 TestBed 使用上的問題請直接 Email至 twisc-testbed-usergooglegroupscom 將有專人為您服務bull 課程網址
httpitlabeenckuedutwcoursesNS_100indexhtml
2-128
bull 助教資訊 (參考課程網址 )
網路安全
參考資料bull Dienet httplinuxdienetman1wiresharkbull Orebaugh Angela Ramirez Gilbert Burke Josh Pesce Larry Wright
Joshua(2007) Wireshark and Ethereal network protocol analyzer toolkitbull Tony Fortunato(2007) Wireshark Training Retrieved July 22 2009 from
the World Wide Web httpwwwthetechfirmcometherealwiresharkpdfbull WinDump httpwwwwinpcaporgWinDumpbull Wireshark httpwwwwiresharkorgbull Wireshark University httpwwwwiresharktrainingcombull 楊中皇 (民 97年 ) 網路安全理論與實務 (2版 ) 台北市學貫bull 蘇淑茵教授 Wireshark 民國 98年 6月 28日取自 httpmywebnckuedutw~sisou
2-129
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 將該擷取時段內封包清單檔以特定IP 傳遞封包數為區隔顯示出哪特定IP 傳遞封包數多寡
bull 可讓使用者更進一步研判該特定所屬設備傳遞封包數是否異常作為管制緊急管制或禁止通訊之證明2-93
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 以時間軸顯示視覺化封包流量圖bull 讓使用者可觀察所管理設備資訊流通量以了解設備是否能負荷或作相關調整等處置
2-94
網路安全
FTP 擷取密碼案例bull 於Wireshark軟體選擇 Capture 下拉選單功能項點選 Interfaces 選項
2-95
網路安全
FTP 擷取密碼案例 (續 )
bull 確認欲擷取封包之網卡名稱如紅色底線所示確認後點選 Start鈕
2-96
網路安全
FTP 擷取密碼案例 (續 )
bull 切換至 FTP Client 電腦開啟 FileZilla 程式後連線到 FTP Server 於 Host 填入10123 Username填入 tester Password填入testpw 後點選 Quickconnect鈕
2-97
網路安全
FTP 擷取密碼案例 (續 )
bull 擷取到的封包資訊會顯示於已擷取封包清單窗格內
2-98
網路安全
FTP 擷取密碼案例 (續 )
bull 使用 FTP軟體登入 ftp站後 Wireshark 將擷取到的使用者名稱與密碼如紅框所示
2-99
網路安全
FTP 擷取密碼案例 (續 )
bull 點選已擷取封包清單窗格的密碼資訊列如標示1 的紅框所示即可在封包內容窗格看到該密碼的位元碼如標示 2 的紅框所示
1
2
2-100
網路安全
架設實作 (三 )
Outlook Express 擷取密碼案例
2-101
網路安全
實驗環境介紹bull 以 Testbed建立一實驗相關拓樸及設定如下圖
OEClientOSWindows XP SP3IP 10112執行 Outlook Express
MailServerOSWindows XP SP3IP 10122安裝軟體 ArGoSoft Mail Server
2-102
WiresharkOSWindows XP SP3IP1 10113 IP2 10123安裝軟體 Wireshark
IP1IP2
網路安全
實驗拓樸 on TestbedTWISC- 建立完成的實驗拓樸
2-103
網路安全
郵件伺服器工具 - ArGoSoft Mail Server
bull 版本ndash 1892 Freeware
bull 支援作業平台ndash Windows
bull 下載位址ndash httpwwwsoftkingcomtwsoftdownloadaspfid3=7367
2-104
網路安全
郵件客戶端工具 - Outlook Express
bull 版本ndash 60
bull 支援作業平台ndash Windows
bull 下載位址ndash Windows 內建
2-105
網路安全
bull 安裝及設定郵件伺服器ndash 1下載並執行 ArGoSoft Mail Server軟體點選
Setup鈕
Outlook Express 擷取密碼案例
2-106
網路安全
ndash 1 點選 Next鈕ndash 2 點選 Start Installation鈕
Outlook Express 擷取密碼案例 (續 )
2-107
網路安全
ndash 3 點選 OK鈕ndash 4 點選 Finish鈕完成軟體安裝
Outlook Express 擷取密碼案例 (續 )
2-108
網路安全
ndash 5 點選使用者設定鈕如紅圈所示ndash 6 點選新增鈕如紅框所示
Outlook Express 擷取密碼案例 (續 )
2-109
網路安全
ndash 7填入使用者名稱 (tester) 及密碼 (testpw) 如紅圈所示填寫完成後點選 OK鈕ndash 8 點選 Close鈕關閉使用者設定視窗
Outlook Express 擷取密碼案例 (續 )
2-110
網路安全
ndash 9 點選選項鈕如左側圖中紅色圈所示ndash 10 點選紅色打勾鈕如右側圖中紅色圈所示
2-111
Outlook Express 擷取密碼案例 (續 )
網路安全
ndash 11該軟體會自動選取 DNS Server 待選取後點選 Yes鈕ndash 12 勾選 Allow Relay 選項如紅框所示
2-112
Outlook Express 擷取密碼案例 (續 )
網路安全
Outlook Express 擷取密碼案例 (續 )
bull 設定收信帳號ndash 1 點選 Tools功能選單選擇 Accounts 選項
2-113
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 2 點選 Add鈕選擇 Mail 選項
2-114
網路安全
ndash 3填入 tester 點選 Next鈕ndash 4填入 testertestcom 點選 Next鈕
Outlook Express 擷取密碼案例 (續 )
2-115
網路安全
ndash 5填入 10123 如紅框所示點選 Next鈕ndash 6填入帳號為 tester 及密碼為 testpw 點選 Next鈕
Outlook Express 擷取密碼案例 (續 )
2-116
網路安全
ndash 7 點選 Finish鈕ndash 8 點選 Close鈕
Outlook Express 擷取密碼案例 (續 )
2-117
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 模擬條件準備好後首先準備Wireshark 擷取動作開啟Wireshark
2-118
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 於Wireshark軟體選擇 Capture 下拉選單功能項點選 Interfaces 選項
2-119
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 確認欲擷取封包之網卡名稱如紅色底線所示確認後點選 Start鈕
2-120
網路安全
ndash 當使用者收發 email 時即被 Wireshark攔截封包ndash 有發現到該 Outlook Express帳號密碼是如此清晰可見的嗎
Outlook Express 擷取密碼案例 (續 )
2-121
網路安全
結論bull 學習了 Wireshark及WinDump 兩套網路封包擷取軟體基本概念如同電話側錄概念相同從中複製一連串資訊來分析與了解網路的流量及內容為何bull 當你發現網路速度緩慢等狀況你是否會反應到所學的基本概念來找尋問題所在bull 防範概念由此課程的實例可以了解網路內容如被有心人士擷取所造成的損失相當可觀故你是否有對策有哪些方式你可以應用來防範bull 正確的思考善用對的工具將對解決問題事半功倍
2-122
網路安全 2-123
Module 2-5 封包擷取與分析的專案實作()
網路安全
專案目的bull 建立遠端管理傳遞指令資訊環境bull 利用實際攔截封包操作的方式讓同學了解封包擷取運作與網路資訊流通的顧慮等相關議題
2-124
網路安全
專案描述bull 近年來遠端管理伺服器及網路服務普及光是密碼保護就足夠了嗎是否重點網段須全程加密還是作網段隔離經由此專案實作即可了解不僅部分加密仍有其風險所在網路架構如何規劃將是非常重要的課題bull 參考環境配置圖完成下列要求①環境裡的攔截封包主機是 Windows XP SP3 作業系統而該主機安裝Wireshark軟體②另兩台主機的作業系統亦是 Windows XP SP3 並裝上
MySQL軟體 MySQL帳號為 root 密碼為您的學號 (如 Q3896105)
③在MySQLClient 電腦使用 MySQL Commandline 指令連線至MySQLServer 擷取資料庫資訊
④我們針對這兩台主機傳訊的封包擷取由整個實做中思考如何防範資訊外洩與了解傳訊封包如何流動及運作2-125
網路安全
環境配置圖bull 以 Testbed建立一實驗相關拓樸及設定如下圖
MySQLServerOSWINXP-SP3-CH-pc3000 IP 10123安裝軟體 MySQL
MySQLClientOSWINXP-SP3-CH-pc3000 IP 10112安裝軟體 MySQL
2-126
WireSharkOSWINXP-SP3-CH-pc3000 IP1 10113IP2 10122安裝軟體 Wireshark
IP1IP2
網路安全
作業繳交bull 請參考情境測試發送數個 SQL 指令並將過程與擷取到的封包資訊之截圖列於報告中所有圖表皆需要輔以文字說明bull Deadline 2012312 下午 500 以前bull 作業範圍 Module 2-5 (page 2-128)bull 方式 (參考課程網址 )
ndash 帳號密碼小寫的 (ns100ns100)ndash IP 140116164167
2-127
網路安全
有問題嗎
bull 關於 TestBed 使用上的問題請直接 Email至 twisc-testbed-usergooglegroupscom 將有專人為您服務bull 課程網址
httpitlabeenckuedutwcoursesNS_100indexhtml
2-128
bull 助教資訊 (參考課程網址 )
網路安全
參考資料bull Dienet httplinuxdienetman1wiresharkbull Orebaugh Angela Ramirez Gilbert Burke Josh Pesce Larry Wright
Joshua(2007) Wireshark and Ethereal network protocol analyzer toolkitbull Tony Fortunato(2007) Wireshark Training Retrieved July 22 2009 from
the World Wide Web httpwwwthetechfirmcometherealwiresharkpdfbull WinDump httpwwwwinpcaporgWinDumpbull Wireshark httpwwwwiresharkorgbull Wireshark University httpwwwwiresharktrainingcombull 楊中皇 (民 97年 ) 網路安全理論與實務 (2版 ) 台北市學貫bull 蘇淑茵教授 Wireshark 民國 98年 6月 28日取自 httpmywebnckuedutw~sisou
2-129
網路安全
Wireshark操作手法 - 檢視中過濾 (續 )
bull 以時間軸顯示視覺化封包流量圖bull 讓使用者可觀察所管理設備資訊流通量以了解設備是否能負荷或作相關調整等處置
2-94
網路安全
FTP 擷取密碼案例bull 於Wireshark軟體選擇 Capture 下拉選單功能項點選 Interfaces 選項
2-95
網路安全
FTP 擷取密碼案例 (續 )
bull 確認欲擷取封包之網卡名稱如紅色底線所示確認後點選 Start鈕
2-96
網路安全
FTP 擷取密碼案例 (續 )
bull 切換至 FTP Client 電腦開啟 FileZilla 程式後連線到 FTP Server 於 Host 填入10123 Username填入 tester Password填入testpw 後點選 Quickconnect鈕
2-97
網路安全
FTP 擷取密碼案例 (續 )
bull 擷取到的封包資訊會顯示於已擷取封包清單窗格內
2-98
網路安全
FTP 擷取密碼案例 (續 )
bull 使用 FTP軟體登入 ftp站後 Wireshark 將擷取到的使用者名稱與密碼如紅框所示
2-99
網路安全
FTP 擷取密碼案例 (續 )
bull 點選已擷取封包清單窗格的密碼資訊列如標示1 的紅框所示即可在封包內容窗格看到該密碼的位元碼如標示 2 的紅框所示
1
2
2-100
網路安全
架設實作 (三 )
Outlook Express 擷取密碼案例
2-101
網路安全
實驗環境介紹bull 以 Testbed建立一實驗相關拓樸及設定如下圖
OEClientOSWindows XP SP3IP 10112執行 Outlook Express
MailServerOSWindows XP SP3IP 10122安裝軟體 ArGoSoft Mail Server
2-102
WiresharkOSWindows XP SP3IP1 10113 IP2 10123安裝軟體 Wireshark
IP1IP2
網路安全
實驗拓樸 on TestbedTWISC- 建立完成的實驗拓樸
2-103
網路安全
郵件伺服器工具 - ArGoSoft Mail Server
bull 版本ndash 1892 Freeware
bull 支援作業平台ndash Windows
bull 下載位址ndash httpwwwsoftkingcomtwsoftdownloadaspfid3=7367
2-104
網路安全
郵件客戶端工具 - Outlook Express
bull 版本ndash 60
bull 支援作業平台ndash Windows
bull 下載位址ndash Windows 內建
2-105
網路安全
bull 安裝及設定郵件伺服器ndash 1下載並執行 ArGoSoft Mail Server軟體點選
Setup鈕
Outlook Express 擷取密碼案例
2-106
網路安全
ndash 1 點選 Next鈕ndash 2 點選 Start Installation鈕
Outlook Express 擷取密碼案例 (續 )
2-107
網路安全
ndash 3 點選 OK鈕ndash 4 點選 Finish鈕完成軟體安裝
Outlook Express 擷取密碼案例 (續 )
2-108
網路安全
ndash 5 點選使用者設定鈕如紅圈所示ndash 6 點選新增鈕如紅框所示
Outlook Express 擷取密碼案例 (續 )
2-109
網路安全
ndash 7填入使用者名稱 (tester) 及密碼 (testpw) 如紅圈所示填寫完成後點選 OK鈕ndash 8 點選 Close鈕關閉使用者設定視窗
Outlook Express 擷取密碼案例 (續 )
2-110
網路安全
ndash 9 點選選項鈕如左側圖中紅色圈所示ndash 10 點選紅色打勾鈕如右側圖中紅色圈所示
2-111
Outlook Express 擷取密碼案例 (續 )
網路安全
ndash 11該軟體會自動選取 DNS Server 待選取後點選 Yes鈕ndash 12 勾選 Allow Relay 選項如紅框所示
2-112
Outlook Express 擷取密碼案例 (續 )
網路安全
Outlook Express 擷取密碼案例 (續 )
bull 設定收信帳號ndash 1 點選 Tools功能選單選擇 Accounts 選項
2-113
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 2 點選 Add鈕選擇 Mail 選項
2-114
網路安全
ndash 3填入 tester 點選 Next鈕ndash 4填入 testertestcom 點選 Next鈕
Outlook Express 擷取密碼案例 (續 )
2-115
網路安全
ndash 5填入 10123 如紅框所示點選 Next鈕ndash 6填入帳號為 tester 及密碼為 testpw 點選 Next鈕
Outlook Express 擷取密碼案例 (續 )
2-116
網路安全
ndash 7 點選 Finish鈕ndash 8 點選 Close鈕
Outlook Express 擷取密碼案例 (續 )
2-117
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 模擬條件準備好後首先準備Wireshark 擷取動作開啟Wireshark
2-118
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 於Wireshark軟體選擇 Capture 下拉選單功能項點選 Interfaces 選項
2-119
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 確認欲擷取封包之網卡名稱如紅色底線所示確認後點選 Start鈕
2-120
網路安全
ndash 當使用者收發 email 時即被 Wireshark攔截封包ndash 有發現到該 Outlook Express帳號密碼是如此清晰可見的嗎
Outlook Express 擷取密碼案例 (續 )
2-121
網路安全
結論bull 學習了 Wireshark及WinDump 兩套網路封包擷取軟體基本概念如同電話側錄概念相同從中複製一連串資訊來分析與了解網路的流量及內容為何bull 當你發現網路速度緩慢等狀況你是否會反應到所學的基本概念來找尋問題所在bull 防範概念由此課程的實例可以了解網路內容如被有心人士擷取所造成的損失相當可觀故你是否有對策有哪些方式你可以應用來防範bull 正確的思考善用對的工具將對解決問題事半功倍
2-122
網路安全 2-123
Module 2-5 封包擷取與分析的專案實作()
網路安全
專案目的bull 建立遠端管理傳遞指令資訊環境bull 利用實際攔截封包操作的方式讓同學了解封包擷取運作與網路資訊流通的顧慮等相關議題
2-124
網路安全
專案描述bull 近年來遠端管理伺服器及網路服務普及光是密碼保護就足夠了嗎是否重點網段須全程加密還是作網段隔離經由此專案實作即可了解不僅部分加密仍有其風險所在網路架構如何規劃將是非常重要的課題bull 參考環境配置圖完成下列要求①環境裡的攔截封包主機是 Windows XP SP3 作業系統而該主機安裝Wireshark軟體②另兩台主機的作業系統亦是 Windows XP SP3 並裝上
MySQL軟體 MySQL帳號為 root 密碼為您的學號 (如 Q3896105)
③在MySQLClient 電腦使用 MySQL Commandline 指令連線至MySQLServer 擷取資料庫資訊
④我們針對這兩台主機傳訊的封包擷取由整個實做中思考如何防範資訊外洩與了解傳訊封包如何流動及運作2-125
網路安全
環境配置圖bull 以 Testbed建立一實驗相關拓樸及設定如下圖
MySQLServerOSWINXP-SP3-CH-pc3000 IP 10123安裝軟體 MySQL
MySQLClientOSWINXP-SP3-CH-pc3000 IP 10112安裝軟體 MySQL
2-126
WireSharkOSWINXP-SP3-CH-pc3000 IP1 10113IP2 10122安裝軟體 Wireshark
IP1IP2
網路安全
作業繳交bull 請參考情境測試發送數個 SQL 指令並將過程與擷取到的封包資訊之截圖列於報告中所有圖表皆需要輔以文字說明bull Deadline 2012312 下午 500 以前bull 作業範圍 Module 2-5 (page 2-128)bull 方式 (參考課程網址 )
ndash 帳號密碼小寫的 (ns100ns100)ndash IP 140116164167
2-127
網路安全
有問題嗎
bull 關於 TestBed 使用上的問題請直接 Email至 twisc-testbed-usergooglegroupscom 將有專人為您服務bull 課程網址
httpitlabeenckuedutwcoursesNS_100indexhtml
2-128
bull 助教資訊 (參考課程網址 )
網路安全
參考資料bull Dienet httplinuxdienetman1wiresharkbull Orebaugh Angela Ramirez Gilbert Burke Josh Pesce Larry Wright
Joshua(2007) Wireshark and Ethereal network protocol analyzer toolkitbull Tony Fortunato(2007) Wireshark Training Retrieved July 22 2009 from
the World Wide Web httpwwwthetechfirmcometherealwiresharkpdfbull WinDump httpwwwwinpcaporgWinDumpbull Wireshark httpwwwwiresharkorgbull Wireshark University httpwwwwiresharktrainingcombull 楊中皇 (民 97年 ) 網路安全理論與實務 (2版 ) 台北市學貫bull 蘇淑茵教授 Wireshark 民國 98年 6月 28日取自 httpmywebnckuedutw~sisou
2-129
網路安全
FTP 擷取密碼案例bull 於Wireshark軟體選擇 Capture 下拉選單功能項點選 Interfaces 選項
2-95
網路安全
FTP 擷取密碼案例 (續 )
bull 確認欲擷取封包之網卡名稱如紅色底線所示確認後點選 Start鈕
2-96
網路安全
FTP 擷取密碼案例 (續 )
bull 切換至 FTP Client 電腦開啟 FileZilla 程式後連線到 FTP Server 於 Host 填入10123 Username填入 tester Password填入testpw 後點選 Quickconnect鈕
2-97
網路安全
FTP 擷取密碼案例 (續 )
bull 擷取到的封包資訊會顯示於已擷取封包清單窗格內
2-98
網路安全
FTP 擷取密碼案例 (續 )
bull 使用 FTP軟體登入 ftp站後 Wireshark 將擷取到的使用者名稱與密碼如紅框所示
2-99
網路安全
FTP 擷取密碼案例 (續 )
bull 點選已擷取封包清單窗格的密碼資訊列如標示1 的紅框所示即可在封包內容窗格看到該密碼的位元碼如標示 2 的紅框所示
1
2
2-100
網路安全
架設實作 (三 )
Outlook Express 擷取密碼案例
2-101
網路安全
實驗環境介紹bull 以 Testbed建立一實驗相關拓樸及設定如下圖
OEClientOSWindows XP SP3IP 10112執行 Outlook Express
MailServerOSWindows XP SP3IP 10122安裝軟體 ArGoSoft Mail Server
2-102
WiresharkOSWindows XP SP3IP1 10113 IP2 10123安裝軟體 Wireshark
IP1IP2
網路安全
實驗拓樸 on TestbedTWISC- 建立完成的實驗拓樸
2-103
網路安全
郵件伺服器工具 - ArGoSoft Mail Server
bull 版本ndash 1892 Freeware
bull 支援作業平台ndash Windows
bull 下載位址ndash httpwwwsoftkingcomtwsoftdownloadaspfid3=7367
2-104
網路安全
郵件客戶端工具 - Outlook Express
bull 版本ndash 60
bull 支援作業平台ndash Windows
bull 下載位址ndash Windows 內建
2-105
網路安全
bull 安裝及設定郵件伺服器ndash 1下載並執行 ArGoSoft Mail Server軟體點選
Setup鈕
Outlook Express 擷取密碼案例
2-106
網路安全
ndash 1 點選 Next鈕ndash 2 點選 Start Installation鈕
Outlook Express 擷取密碼案例 (續 )
2-107
網路安全
ndash 3 點選 OK鈕ndash 4 點選 Finish鈕完成軟體安裝
Outlook Express 擷取密碼案例 (續 )
2-108
網路安全
ndash 5 點選使用者設定鈕如紅圈所示ndash 6 點選新增鈕如紅框所示
Outlook Express 擷取密碼案例 (續 )
2-109
網路安全
ndash 7填入使用者名稱 (tester) 及密碼 (testpw) 如紅圈所示填寫完成後點選 OK鈕ndash 8 點選 Close鈕關閉使用者設定視窗
Outlook Express 擷取密碼案例 (續 )
2-110
網路安全
ndash 9 點選選項鈕如左側圖中紅色圈所示ndash 10 點選紅色打勾鈕如右側圖中紅色圈所示
2-111
Outlook Express 擷取密碼案例 (續 )
網路安全
ndash 11該軟體會自動選取 DNS Server 待選取後點選 Yes鈕ndash 12 勾選 Allow Relay 選項如紅框所示
2-112
Outlook Express 擷取密碼案例 (續 )
網路安全
Outlook Express 擷取密碼案例 (續 )
bull 設定收信帳號ndash 1 點選 Tools功能選單選擇 Accounts 選項
2-113
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 2 點選 Add鈕選擇 Mail 選項
2-114
網路安全
ndash 3填入 tester 點選 Next鈕ndash 4填入 testertestcom 點選 Next鈕
Outlook Express 擷取密碼案例 (續 )
2-115
網路安全
ndash 5填入 10123 如紅框所示點選 Next鈕ndash 6填入帳號為 tester 及密碼為 testpw 點選 Next鈕
Outlook Express 擷取密碼案例 (續 )
2-116
網路安全
ndash 7 點選 Finish鈕ndash 8 點選 Close鈕
Outlook Express 擷取密碼案例 (續 )
2-117
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 模擬條件準備好後首先準備Wireshark 擷取動作開啟Wireshark
2-118
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 於Wireshark軟體選擇 Capture 下拉選單功能項點選 Interfaces 選項
2-119
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 確認欲擷取封包之網卡名稱如紅色底線所示確認後點選 Start鈕
2-120
網路安全
ndash 當使用者收發 email 時即被 Wireshark攔截封包ndash 有發現到該 Outlook Express帳號密碼是如此清晰可見的嗎
Outlook Express 擷取密碼案例 (續 )
2-121
網路安全
結論bull 學習了 Wireshark及WinDump 兩套網路封包擷取軟體基本概念如同電話側錄概念相同從中複製一連串資訊來分析與了解網路的流量及內容為何bull 當你發現網路速度緩慢等狀況你是否會反應到所學的基本概念來找尋問題所在bull 防範概念由此課程的實例可以了解網路內容如被有心人士擷取所造成的損失相當可觀故你是否有對策有哪些方式你可以應用來防範bull 正確的思考善用對的工具將對解決問題事半功倍
2-122
網路安全 2-123
Module 2-5 封包擷取與分析的專案實作()
網路安全
專案目的bull 建立遠端管理傳遞指令資訊環境bull 利用實際攔截封包操作的方式讓同學了解封包擷取運作與網路資訊流通的顧慮等相關議題
2-124
網路安全
專案描述bull 近年來遠端管理伺服器及網路服務普及光是密碼保護就足夠了嗎是否重點網段須全程加密還是作網段隔離經由此專案實作即可了解不僅部分加密仍有其風險所在網路架構如何規劃將是非常重要的課題bull 參考環境配置圖完成下列要求①環境裡的攔截封包主機是 Windows XP SP3 作業系統而該主機安裝Wireshark軟體②另兩台主機的作業系統亦是 Windows XP SP3 並裝上
MySQL軟體 MySQL帳號為 root 密碼為您的學號 (如 Q3896105)
③在MySQLClient 電腦使用 MySQL Commandline 指令連線至MySQLServer 擷取資料庫資訊
④我們針對這兩台主機傳訊的封包擷取由整個實做中思考如何防範資訊外洩與了解傳訊封包如何流動及運作2-125
網路安全
環境配置圖bull 以 Testbed建立一實驗相關拓樸及設定如下圖
MySQLServerOSWINXP-SP3-CH-pc3000 IP 10123安裝軟體 MySQL
MySQLClientOSWINXP-SP3-CH-pc3000 IP 10112安裝軟體 MySQL
2-126
WireSharkOSWINXP-SP3-CH-pc3000 IP1 10113IP2 10122安裝軟體 Wireshark
IP1IP2
網路安全
作業繳交bull 請參考情境測試發送數個 SQL 指令並將過程與擷取到的封包資訊之截圖列於報告中所有圖表皆需要輔以文字說明bull Deadline 2012312 下午 500 以前bull 作業範圍 Module 2-5 (page 2-128)bull 方式 (參考課程網址 )
ndash 帳號密碼小寫的 (ns100ns100)ndash IP 140116164167
2-127
網路安全
有問題嗎
bull 關於 TestBed 使用上的問題請直接 Email至 twisc-testbed-usergooglegroupscom 將有專人為您服務bull 課程網址
httpitlabeenckuedutwcoursesNS_100indexhtml
2-128
bull 助教資訊 (參考課程網址 )
網路安全
參考資料bull Dienet httplinuxdienetman1wiresharkbull Orebaugh Angela Ramirez Gilbert Burke Josh Pesce Larry Wright
Joshua(2007) Wireshark and Ethereal network protocol analyzer toolkitbull Tony Fortunato(2007) Wireshark Training Retrieved July 22 2009 from
the World Wide Web httpwwwthetechfirmcometherealwiresharkpdfbull WinDump httpwwwwinpcaporgWinDumpbull Wireshark httpwwwwiresharkorgbull Wireshark University httpwwwwiresharktrainingcombull 楊中皇 (民 97年 ) 網路安全理論與實務 (2版 ) 台北市學貫bull 蘇淑茵教授 Wireshark 民國 98年 6月 28日取自 httpmywebnckuedutw~sisou
2-129
網路安全
FTP 擷取密碼案例 (續 )
bull 確認欲擷取封包之網卡名稱如紅色底線所示確認後點選 Start鈕
2-96
網路安全
FTP 擷取密碼案例 (續 )
bull 切換至 FTP Client 電腦開啟 FileZilla 程式後連線到 FTP Server 於 Host 填入10123 Username填入 tester Password填入testpw 後點選 Quickconnect鈕
2-97
網路安全
FTP 擷取密碼案例 (續 )
bull 擷取到的封包資訊會顯示於已擷取封包清單窗格內
2-98
網路安全
FTP 擷取密碼案例 (續 )
bull 使用 FTP軟體登入 ftp站後 Wireshark 將擷取到的使用者名稱與密碼如紅框所示
2-99
網路安全
FTP 擷取密碼案例 (續 )
bull 點選已擷取封包清單窗格的密碼資訊列如標示1 的紅框所示即可在封包內容窗格看到該密碼的位元碼如標示 2 的紅框所示
1
2
2-100
網路安全
架設實作 (三 )
Outlook Express 擷取密碼案例
2-101
網路安全
實驗環境介紹bull 以 Testbed建立一實驗相關拓樸及設定如下圖
OEClientOSWindows XP SP3IP 10112執行 Outlook Express
MailServerOSWindows XP SP3IP 10122安裝軟體 ArGoSoft Mail Server
2-102
WiresharkOSWindows XP SP3IP1 10113 IP2 10123安裝軟體 Wireshark
IP1IP2
網路安全
實驗拓樸 on TestbedTWISC- 建立完成的實驗拓樸
2-103
網路安全
郵件伺服器工具 - ArGoSoft Mail Server
bull 版本ndash 1892 Freeware
bull 支援作業平台ndash Windows
bull 下載位址ndash httpwwwsoftkingcomtwsoftdownloadaspfid3=7367
2-104
網路安全
郵件客戶端工具 - Outlook Express
bull 版本ndash 60
bull 支援作業平台ndash Windows
bull 下載位址ndash Windows 內建
2-105
網路安全
bull 安裝及設定郵件伺服器ndash 1下載並執行 ArGoSoft Mail Server軟體點選
Setup鈕
Outlook Express 擷取密碼案例
2-106
網路安全
ndash 1 點選 Next鈕ndash 2 點選 Start Installation鈕
Outlook Express 擷取密碼案例 (續 )
2-107
網路安全
ndash 3 點選 OK鈕ndash 4 點選 Finish鈕完成軟體安裝
Outlook Express 擷取密碼案例 (續 )
2-108
網路安全
ndash 5 點選使用者設定鈕如紅圈所示ndash 6 點選新增鈕如紅框所示
Outlook Express 擷取密碼案例 (續 )
2-109
網路安全
ndash 7填入使用者名稱 (tester) 及密碼 (testpw) 如紅圈所示填寫完成後點選 OK鈕ndash 8 點選 Close鈕關閉使用者設定視窗
Outlook Express 擷取密碼案例 (續 )
2-110
網路安全
ndash 9 點選選項鈕如左側圖中紅色圈所示ndash 10 點選紅色打勾鈕如右側圖中紅色圈所示
2-111
Outlook Express 擷取密碼案例 (續 )
網路安全
ndash 11該軟體會自動選取 DNS Server 待選取後點選 Yes鈕ndash 12 勾選 Allow Relay 選項如紅框所示
2-112
Outlook Express 擷取密碼案例 (續 )
網路安全
Outlook Express 擷取密碼案例 (續 )
bull 設定收信帳號ndash 1 點選 Tools功能選單選擇 Accounts 選項
2-113
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 2 點選 Add鈕選擇 Mail 選項
2-114
網路安全
ndash 3填入 tester 點選 Next鈕ndash 4填入 testertestcom 點選 Next鈕
Outlook Express 擷取密碼案例 (續 )
2-115
網路安全
ndash 5填入 10123 如紅框所示點選 Next鈕ndash 6填入帳號為 tester 及密碼為 testpw 點選 Next鈕
Outlook Express 擷取密碼案例 (續 )
2-116
網路安全
ndash 7 點選 Finish鈕ndash 8 點選 Close鈕
Outlook Express 擷取密碼案例 (續 )
2-117
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 模擬條件準備好後首先準備Wireshark 擷取動作開啟Wireshark
2-118
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 於Wireshark軟體選擇 Capture 下拉選單功能項點選 Interfaces 選項
2-119
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 確認欲擷取封包之網卡名稱如紅色底線所示確認後點選 Start鈕
2-120
網路安全
ndash 當使用者收發 email 時即被 Wireshark攔截封包ndash 有發現到該 Outlook Express帳號密碼是如此清晰可見的嗎
Outlook Express 擷取密碼案例 (續 )
2-121
網路安全
結論bull 學習了 Wireshark及WinDump 兩套網路封包擷取軟體基本概念如同電話側錄概念相同從中複製一連串資訊來分析與了解網路的流量及內容為何bull 當你發現網路速度緩慢等狀況你是否會反應到所學的基本概念來找尋問題所在bull 防範概念由此課程的實例可以了解網路內容如被有心人士擷取所造成的損失相當可觀故你是否有對策有哪些方式你可以應用來防範bull 正確的思考善用對的工具將對解決問題事半功倍
2-122
網路安全 2-123
Module 2-5 封包擷取與分析的專案實作()
網路安全
專案目的bull 建立遠端管理傳遞指令資訊環境bull 利用實際攔截封包操作的方式讓同學了解封包擷取運作與網路資訊流通的顧慮等相關議題
2-124
網路安全
專案描述bull 近年來遠端管理伺服器及網路服務普及光是密碼保護就足夠了嗎是否重點網段須全程加密還是作網段隔離經由此專案實作即可了解不僅部分加密仍有其風險所在網路架構如何規劃將是非常重要的課題bull 參考環境配置圖完成下列要求①環境裡的攔截封包主機是 Windows XP SP3 作業系統而該主機安裝Wireshark軟體②另兩台主機的作業系統亦是 Windows XP SP3 並裝上
MySQL軟體 MySQL帳號為 root 密碼為您的學號 (如 Q3896105)
③在MySQLClient 電腦使用 MySQL Commandline 指令連線至MySQLServer 擷取資料庫資訊
④我們針對這兩台主機傳訊的封包擷取由整個實做中思考如何防範資訊外洩與了解傳訊封包如何流動及運作2-125
網路安全
環境配置圖bull 以 Testbed建立一實驗相關拓樸及設定如下圖
MySQLServerOSWINXP-SP3-CH-pc3000 IP 10123安裝軟體 MySQL
MySQLClientOSWINXP-SP3-CH-pc3000 IP 10112安裝軟體 MySQL
2-126
WireSharkOSWINXP-SP3-CH-pc3000 IP1 10113IP2 10122安裝軟體 Wireshark
IP1IP2
網路安全
作業繳交bull 請參考情境測試發送數個 SQL 指令並將過程與擷取到的封包資訊之截圖列於報告中所有圖表皆需要輔以文字說明bull Deadline 2012312 下午 500 以前bull 作業範圍 Module 2-5 (page 2-128)bull 方式 (參考課程網址 )
ndash 帳號密碼小寫的 (ns100ns100)ndash IP 140116164167
2-127
網路安全
有問題嗎
bull 關於 TestBed 使用上的問題請直接 Email至 twisc-testbed-usergooglegroupscom 將有專人為您服務bull 課程網址
httpitlabeenckuedutwcoursesNS_100indexhtml
2-128
bull 助教資訊 (參考課程網址 )
網路安全
參考資料bull Dienet httplinuxdienetman1wiresharkbull Orebaugh Angela Ramirez Gilbert Burke Josh Pesce Larry Wright
Joshua(2007) Wireshark and Ethereal network protocol analyzer toolkitbull Tony Fortunato(2007) Wireshark Training Retrieved July 22 2009 from
the World Wide Web httpwwwthetechfirmcometherealwiresharkpdfbull WinDump httpwwwwinpcaporgWinDumpbull Wireshark httpwwwwiresharkorgbull Wireshark University httpwwwwiresharktrainingcombull 楊中皇 (民 97年 ) 網路安全理論與實務 (2版 ) 台北市學貫bull 蘇淑茵教授 Wireshark 民國 98年 6月 28日取自 httpmywebnckuedutw~sisou
2-129
網路安全
FTP 擷取密碼案例 (續 )
bull 切換至 FTP Client 電腦開啟 FileZilla 程式後連線到 FTP Server 於 Host 填入10123 Username填入 tester Password填入testpw 後點選 Quickconnect鈕
2-97
網路安全
FTP 擷取密碼案例 (續 )
bull 擷取到的封包資訊會顯示於已擷取封包清單窗格內
2-98
網路安全
FTP 擷取密碼案例 (續 )
bull 使用 FTP軟體登入 ftp站後 Wireshark 將擷取到的使用者名稱與密碼如紅框所示
2-99
網路安全
FTP 擷取密碼案例 (續 )
bull 點選已擷取封包清單窗格的密碼資訊列如標示1 的紅框所示即可在封包內容窗格看到該密碼的位元碼如標示 2 的紅框所示
1
2
2-100
網路安全
架設實作 (三 )
Outlook Express 擷取密碼案例
2-101
網路安全
實驗環境介紹bull 以 Testbed建立一實驗相關拓樸及設定如下圖
OEClientOSWindows XP SP3IP 10112執行 Outlook Express
MailServerOSWindows XP SP3IP 10122安裝軟體 ArGoSoft Mail Server
2-102
WiresharkOSWindows XP SP3IP1 10113 IP2 10123安裝軟體 Wireshark
IP1IP2
網路安全
實驗拓樸 on TestbedTWISC- 建立完成的實驗拓樸
2-103
網路安全
郵件伺服器工具 - ArGoSoft Mail Server
bull 版本ndash 1892 Freeware
bull 支援作業平台ndash Windows
bull 下載位址ndash httpwwwsoftkingcomtwsoftdownloadaspfid3=7367
2-104
網路安全
郵件客戶端工具 - Outlook Express
bull 版本ndash 60
bull 支援作業平台ndash Windows
bull 下載位址ndash Windows 內建
2-105
網路安全
bull 安裝及設定郵件伺服器ndash 1下載並執行 ArGoSoft Mail Server軟體點選
Setup鈕
Outlook Express 擷取密碼案例
2-106
網路安全
ndash 1 點選 Next鈕ndash 2 點選 Start Installation鈕
Outlook Express 擷取密碼案例 (續 )
2-107
網路安全
ndash 3 點選 OK鈕ndash 4 點選 Finish鈕完成軟體安裝
Outlook Express 擷取密碼案例 (續 )
2-108
網路安全
ndash 5 點選使用者設定鈕如紅圈所示ndash 6 點選新增鈕如紅框所示
Outlook Express 擷取密碼案例 (續 )
2-109
網路安全
ndash 7填入使用者名稱 (tester) 及密碼 (testpw) 如紅圈所示填寫完成後點選 OK鈕ndash 8 點選 Close鈕關閉使用者設定視窗
Outlook Express 擷取密碼案例 (續 )
2-110
網路安全
ndash 9 點選選項鈕如左側圖中紅色圈所示ndash 10 點選紅色打勾鈕如右側圖中紅色圈所示
2-111
Outlook Express 擷取密碼案例 (續 )
網路安全
ndash 11該軟體會自動選取 DNS Server 待選取後點選 Yes鈕ndash 12 勾選 Allow Relay 選項如紅框所示
2-112
Outlook Express 擷取密碼案例 (續 )
網路安全
Outlook Express 擷取密碼案例 (續 )
bull 設定收信帳號ndash 1 點選 Tools功能選單選擇 Accounts 選項
2-113
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 2 點選 Add鈕選擇 Mail 選項
2-114
網路安全
ndash 3填入 tester 點選 Next鈕ndash 4填入 testertestcom 點選 Next鈕
Outlook Express 擷取密碼案例 (續 )
2-115
網路安全
ndash 5填入 10123 如紅框所示點選 Next鈕ndash 6填入帳號為 tester 及密碼為 testpw 點選 Next鈕
Outlook Express 擷取密碼案例 (續 )
2-116
網路安全
ndash 7 點選 Finish鈕ndash 8 點選 Close鈕
Outlook Express 擷取密碼案例 (續 )
2-117
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 模擬條件準備好後首先準備Wireshark 擷取動作開啟Wireshark
2-118
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 於Wireshark軟體選擇 Capture 下拉選單功能項點選 Interfaces 選項
2-119
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 確認欲擷取封包之網卡名稱如紅色底線所示確認後點選 Start鈕
2-120
網路安全
ndash 當使用者收發 email 時即被 Wireshark攔截封包ndash 有發現到該 Outlook Express帳號密碼是如此清晰可見的嗎
Outlook Express 擷取密碼案例 (續 )
2-121
網路安全
結論bull 學習了 Wireshark及WinDump 兩套網路封包擷取軟體基本概念如同電話側錄概念相同從中複製一連串資訊來分析與了解網路的流量及內容為何bull 當你發現網路速度緩慢等狀況你是否會反應到所學的基本概念來找尋問題所在bull 防範概念由此課程的實例可以了解網路內容如被有心人士擷取所造成的損失相當可觀故你是否有對策有哪些方式你可以應用來防範bull 正確的思考善用對的工具將對解決問題事半功倍
2-122
網路安全 2-123
Module 2-5 封包擷取與分析的專案實作()
網路安全
專案目的bull 建立遠端管理傳遞指令資訊環境bull 利用實際攔截封包操作的方式讓同學了解封包擷取運作與網路資訊流通的顧慮等相關議題
2-124
網路安全
專案描述bull 近年來遠端管理伺服器及網路服務普及光是密碼保護就足夠了嗎是否重點網段須全程加密還是作網段隔離經由此專案實作即可了解不僅部分加密仍有其風險所在網路架構如何規劃將是非常重要的課題bull 參考環境配置圖完成下列要求①環境裡的攔截封包主機是 Windows XP SP3 作業系統而該主機安裝Wireshark軟體②另兩台主機的作業系統亦是 Windows XP SP3 並裝上
MySQL軟體 MySQL帳號為 root 密碼為您的學號 (如 Q3896105)
③在MySQLClient 電腦使用 MySQL Commandline 指令連線至MySQLServer 擷取資料庫資訊
④我們針對這兩台主機傳訊的封包擷取由整個實做中思考如何防範資訊外洩與了解傳訊封包如何流動及運作2-125
網路安全
環境配置圖bull 以 Testbed建立一實驗相關拓樸及設定如下圖
MySQLServerOSWINXP-SP3-CH-pc3000 IP 10123安裝軟體 MySQL
MySQLClientOSWINXP-SP3-CH-pc3000 IP 10112安裝軟體 MySQL
2-126
WireSharkOSWINXP-SP3-CH-pc3000 IP1 10113IP2 10122安裝軟體 Wireshark
IP1IP2
網路安全
作業繳交bull 請參考情境測試發送數個 SQL 指令並將過程與擷取到的封包資訊之截圖列於報告中所有圖表皆需要輔以文字說明bull Deadline 2012312 下午 500 以前bull 作業範圍 Module 2-5 (page 2-128)bull 方式 (參考課程網址 )
ndash 帳號密碼小寫的 (ns100ns100)ndash IP 140116164167
2-127
網路安全
有問題嗎
bull 關於 TestBed 使用上的問題請直接 Email至 twisc-testbed-usergooglegroupscom 將有專人為您服務bull 課程網址
httpitlabeenckuedutwcoursesNS_100indexhtml
2-128
bull 助教資訊 (參考課程網址 )
網路安全
參考資料bull Dienet httplinuxdienetman1wiresharkbull Orebaugh Angela Ramirez Gilbert Burke Josh Pesce Larry Wright
Joshua(2007) Wireshark and Ethereal network protocol analyzer toolkitbull Tony Fortunato(2007) Wireshark Training Retrieved July 22 2009 from
the World Wide Web httpwwwthetechfirmcometherealwiresharkpdfbull WinDump httpwwwwinpcaporgWinDumpbull Wireshark httpwwwwiresharkorgbull Wireshark University httpwwwwiresharktrainingcombull 楊中皇 (民 97年 ) 網路安全理論與實務 (2版 ) 台北市學貫bull 蘇淑茵教授 Wireshark 民國 98年 6月 28日取自 httpmywebnckuedutw~sisou
2-129
網路安全
FTP 擷取密碼案例 (續 )
bull 擷取到的封包資訊會顯示於已擷取封包清單窗格內
2-98
網路安全
FTP 擷取密碼案例 (續 )
bull 使用 FTP軟體登入 ftp站後 Wireshark 將擷取到的使用者名稱與密碼如紅框所示
2-99
網路安全
FTP 擷取密碼案例 (續 )
bull 點選已擷取封包清單窗格的密碼資訊列如標示1 的紅框所示即可在封包內容窗格看到該密碼的位元碼如標示 2 的紅框所示
1
2
2-100
網路安全
架設實作 (三 )
Outlook Express 擷取密碼案例
2-101
網路安全
實驗環境介紹bull 以 Testbed建立一實驗相關拓樸及設定如下圖
OEClientOSWindows XP SP3IP 10112執行 Outlook Express
MailServerOSWindows XP SP3IP 10122安裝軟體 ArGoSoft Mail Server
2-102
WiresharkOSWindows XP SP3IP1 10113 IP2 10123安裝軟體 Wireshark
IP1IP2
網路安全
實驗拓樸 on TestbedTWISC- 建立完成的實驗拓樸
2-103
網路安全
郵件伺服器工具 - ArGoSoft Mail Server
bull 版本ndash 1892 Freeware
bull 支援作業平台ndash Windows
bull 下載位址ndash httpwwwsoftkingcomtwsoftdownloadaspfid3=7367
2-104
網路安全
郵件客戶端工具 - Outlook Express
bull 版本ndash 60
bull 支援作業平台ndash Windows
bull 下載位址ndash Windows 內建
2-105
網路安全
bull 安裝及設定郵件伺服器ndash 1下載並執行 ArGoSoft Mail Server軟體點選
Setup鈕
Outlook Express 擷取密碼案例
2-106
網路安全
ndash 1 點選 Next鈕ndash 2 點選 Start Installation鈕
Outlook Express 擷取密碼案例 (續 )
2-107
網路安全
ndash 3 點選 OK鈕ndash 4 點選 Finish鈕完成軟體安裝
Outlook Express 擷取密碼案例 (續 )
2-108
網路安全
ndash 5 點選使用者設定鈕如紅圈所示ndash 6 點選新增鈕如紅框所示
Outlook Express 擷取密碼案例 (續 )
2-109
網路安全
ndash 7填入使用者名稱 (tester) 及密碼 (testpw) 如紅圈所示填寫完成後點選 OK鈕ndash 8 點選 Close鈕關閉使用者設定視窗
Outlook Express 擷取密碼案例 (續 )
2-110
網路安全
ndash 9 點選選項鈕如左側圖中紅色圈所示ndash 10 點選紅色打勾鈕如右側圖中紅色圈所示
2-111
Outlook Express 擷取密碼案例 (續 )
網路安全
ndash 11該軟體會自動選取 DNS Server 待選取後點選 Yes鈕ndash 12 勾選 Allow Relay 選項如紅框所示
2-112
Outlook Express 擷取密碼案例 (續 )
網路安全
Outlook Express 擷取密碼案例 (續 )
bull 設定收信帳號ndash 1 點選 Tools功能選單選擇 Accounts 選項
2-113
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 2 點選 Add鈕選擇 Mail 選項
2-114
網路安全
ndash 3填入 tester 點選 Next鈕ndash 4填入 testertestcom 點選 Next鈕
Outlook Express 擷取密碼案例 (續 )
2-115
網路安全
ndash 5填入 10123 如紅框所示點選 Next鈕ndash 6填入帳號為 tester 及密碼為 testpw 點選 Next鈕
Outlook Express 擷取密碼案例 (續 )
2-116
網路安全
ndash 7 點選 Finish鈕ndash 8 點選 Close鈕
Outlook Express 擷取密碼案例 (續 )
2-117
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 模擬條件準備好後首先準備Wireshark 擷取動作開啟Wireshark
2-118
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 於Wireshark軟體選擇 Capture 下拉選單功能項點選 Interfaces 選項
2-119
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 確認欲擷取封包之網卡名稱如紅色底線所示確認後點選 Start鈕
2-120
網路安全
ndash 當使用者收發 email 時即被 Wireshark攔截封包ndash 有發現到該 Outlook Express帳號密碼是如此清晰可見的嗎
Outlook Express 擷取密碼案例 (續 )
2-121
網路安全
結論bull 學習了 Wireshark及WinDump 兩套網路封包擷取軟體基本概念如同電話側錄概念相同從中複製一連串資訊來分析與了解網路的流量及內容為何bull 當你發現網路速度緩慢等狀況你是否會反應到所學的基本概念來找尋問題所在bull 防範概念由此課程的實例可以了解網路內容如被有心人士擷取所造成的損失相當可觀故你是否有對策有哪些方式你可以應用來防範bull 正確的思考善用對的工具將對解決問題事半功倍
2-122
網路安全 2-123
Module 2-5 封包擷取與分析的專案實作()
網路安全
專案目的bull 建立遠端管理傳遞指令資訊環境bull 利用實際攔截封包操作的方式讓同學了解封包擷取運作與網路資訊流通的顧慮等相關議題
2-124
網路安全
專案描述bull 近年來遠端管理伺服器及網路服務普及光是密碼保護就足夠了嗎是否重點網段須全程加密還是作網段隔離經由此專案實作即可了解不僅部分加密仍有其風險所在網路架構如何規劃將是非常重要的課題bull 參考環境配置圖完成下列要求①環境裡的攔截封包主機是 Windows XP SP3 作業系統而該主機安裝Wireshark軟體②另兩台主機的作業系統亦是 Windows XP SP3 並裝上
MySQL軟體 MySQL帳號為 root 密碼為您的學號 (如 Q3896105)
③在MySQLClient 電腦使用 MySQL Commandline 指令連線至MySQLServer 擷取資料庫資訊
④我們針對這兩台主機傳訊的封包擷取由整個實做中思考如何防範資訊外洩與了解傳訊封包如何流動及運作2-125
網路安全
環境配置圖bull 以 Testbed建立一實驗相關拓樸及設定如下圖
MySQLServerOSWINXP-SP3-CH-pc3000 IP 10123安裝軟體 MySQL
MySQLClientOSWINXP-SP3-CH-pc3000 IP 10112安裝軟體 MySQL
2-126
WireSharkOSWINXP-SP3-CH-pc3000 IP1 10113IP2 10122安裝軟體 Wireshark
IP1IP2
網路安全
作業繳交bull 請參考情境測試發送數個 SQL 指令並將過程與擷取到的封包資訊之截圖列於報告中所有圖表皆需要輔以文字說明bull Deadline 2012312 下午 500 以前bull 作業範圍 Module 2-5 (page 2-128)bull 方式 (參考課程網址 )
ndash 帳號密碼小寫的 (ns100ns100)ndash IP 140116164167
2-127
網路安全
有問題嗎
bull 關於 TestBed 使用上的問題請直接 Email至 twisc-testbed-usergooglegroupscom 將有專人為您服務bull 課程網址
httpitlabeenckuedutwcoursesNS_100indexhtml
2-128
bull 助教資訊 (參考課程網址 )
網路安全
參考資料bull Dienet httplinuxdienetman1wiresharkbull Orebaugh Angela Ramirez Gilbert Burke Josh Pesce Larry Wright
Joshua(2007) Wireshark and Ethereal network protocol analyzer toolkitbull Tony Fortunato(2007) Wireshark Training Retrieved July 22 2009 from
the World Wide Web httpwwwthetechfirmcometherealwiresharkpdfbull WinDump httpwwwwinpcaporgWinDumpbull Wireshark httpwwwwiresharkorgbull Wireshark University httpwwwwiresharktrainingcombull 楊中皇 (民 97年 ) 網路安全理論與實務 (2版 ) 台北市學貫bull 蘇淑茵教授 Wireshark 民國 98年 6月 28日取自 httpmywebnckuedutw~sisou
2-129
網路安全
FTP 擷取密碼案例 (續 )
bull 使用 FTP軟體登入 ftp站後 Wireshark 將擷取到的使用者名稱與密碼如紅框所示
2-99
網路安全
FTP 擷取密碼案例 (續 )
bull 點選已擷取封包清單窗格的密碼資訊列如標示1 的紅框所示即可在封包內容窗格看到該密碼的位元碼如標示 2 的紅框所示
1
2
2-100
網路安全
架設實作 (三 )
Outlook Express 擷取密碼案例
2-101
網路安全
實驗環境介紹bull 以 Testbed建立一實驗相關拓樸及設定如下圖
OEClientOSWindows XP SP3IP 10112執行 Outlook Express
MailServerOSWindows XP SP3IP 10122安裝軟體 ArGoSoft Mail Server
2-102
WiresharkOSWindows XP SP3IP1 10113 IP2 10123安裝軟體 Wireshark
IP1IP2
網路安全
實驗拓樸 on TestbedTWISC- 建立完成的實驗拓樸
2-103
網路安全
郵件伺服器工具 - ArGoSoft Mail Server
bull 版本ndash 1892 Freeware
bull 支援作業平台ndash Windows
bull 下載位址ndash httpwwwsoftkingcomtwsoftdownloadaspfid3=7367
2-104
網路安全
郵件客戶端工具 - Outlook Express
bull 版本ndash 60
bull 支援作業平台ndash Windows
bull 下載位址ndash Windows 內建
2-105
網路安全
bull 安裝及設定郵件伺服器ndash 1下載並執行 ArGoSoft Mail Server軟體點選
Setup鈕
Outlook Express 擷取密碼案例
2-106
網路安全
ndash 1 點選 Next鈕ndash 2 點選 Start Installation鈕
Outlook Express 擷取密碼案例 (續 )
2-107
網路安全
ndash 3 點選 OK鈕ndash 4 點選 Finish鈕完成軟體安裝
Outlook Express 擷取密碼案例 (續 )
2-108
網路安全
ndash 5 點選使用者設定鈕如紅圈所示ndash 6 點選新增鈕如紅框所示
Outlook Express 擷取密碼案例 (續 )
2-109
網路安全
ndash 7填入使用者名稱 (tester) 及密碼 (testpw) 如紅圈所示填寫完成後點選 OK鈕ndash 8 點選 Close鈕關閉使用者設定視窗
Outlook Express 擷取密碼案例 (續 )
2-110
網路安全
ndash 9 點選選項鈕如左側圖中紅色圈所示ndash 10 點選紅色打勾鈕如右側圖中紅色圈所示
2-111
Outlook Express 擷取密碼案例 (續 )
網路安全
ndash 11該軟體會自動選取 DNS Server 待選取後點選 Yes鈕ndash 12 勾選 Allow Relay 選項如紅框所示
2-112
Outlook Express 擷取密碼案例 (續 )
網路安全
Outlook Express 擷取密碼案例 (續 )
bull 設定收信帳號ndash 1 點選 Tools功能選單選擇 Accounts 選項
2-113
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 2 點選 Add鈕選擇 Mail 選項
2-114
網路安全
ndash 3填入 tester 點選 Next鈕ndash 4填入 testertestcom 點選 Next鈕
Outlook Express 擷取密碼案例 (續 )
2-115
網路安全
ndash 5填入 10123 如紅框所示點選 Next鈕ndash 6填入帳號為 tester 及密碼為 testpw 點選 Next鈕
Outlook Express 擷取密碼案例 (續 )
2-116
網路安全
ndash 7 點選 Finish鈕ndash 8 點選 Close鈕
Outlook Express 擷取密碼案例 (續 )
2-117
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 模擬條件準備好後首先準備Wireshark 擷取動作開啟Wireshark
2-118
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 於Wireshark軟體選擇 Capture 下拉選單功能項點選 Interfaces 選項
2-119
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 確認欲擷取封包之網卡名稱如紅色底線所示確認後點選 Start鈕
2-120
網路安全
ndash 當使用者收發 email 時即被 Wireshark攔截封包ndash 有發現到該 Outlook Express帳號密碼是如此清晰可見的嗎
Outlook Express 擷取密碼案例 (續 )
2-121
網路安全
結論bull 學習了 Wireshark及WinDump 兩套網路封包擷取軟體基本概念如同電話側錄概念相同從中複製一連串資訊來分析與了解網路的流量及內容為何bull 當你發現網路速度緩慢等狀況你是否會反應到所學的基本概念來找尋問題所在bull 防範概念由此課程的實例可以了解網路內容如被有心人士擷取所造成的損失相當可觀故你是否有對策有哪些方式你可以應用來防範bull 正確的思考善用對的工具將對解決問題事半功倍
2-122
網路安全 2-123
Module 2-5 封包擷取與分析的專案實作()
網路安全
專案目的bull 建立遠端管理傳遞指令資訊環境bull 利用實際攔截封包操作的方式讓同學了解封包擷取運作與網路資訊流通的顧慮等相關議題
2-124
網路安全
專案描述bull 近年來遠端管理伺服器及網路服務普及光是密碼保護就足夠了嗎是否重點網段須全程加密還是作網段隔離經由此專案實作即可了解不僅部分加密仍有其風險所在網路架構如何規劃將是非常重要的課題bull 參考環境配置圖完成下列要求①環境裡的攔截封包主機是 Windows XP SP3 作業系統而該主機安裝Wireshark軟體②另兩台主機的作業系統亦是 Windows XP SP3 並裝上
MySQL軟體 MySQL帳號為 root 密碼為您的學號 (如 Q3896105)
③在MySQLClient 電腦使用 MySQL Commandline 指令連線至MySQLServer 擷取資料庫資訊
④我們針對這兩台主機傳訊的封包擷取由整個實做中思考如何防範資訊外洩與了解傳訊封包如何流動及運作2-125
網路安全
環境配置圖bull 以 Testbed建立一實驗相關拓樸及設定如下圖
MySQLServerOSWINXP-SP3-CH-pc3000 IP 10123安裝軟體 MySQL
MySQLClientOSWINXP-SP3-CH-pc3000 IP 10112安裝軟體 MySQL
2-126
WireSharkOSWINXP-SP3-CH-pc3000 IP1 10113IP2 10122安裝軟體 Wireshark
IP1IP2
網路安全
作業繳交bull 請參考情境測試發送數個 SQL 指令並將過程與擷取到的封包資訊之截圖列於報告中所有圖表皆需要輔以文字說明bull Deadline 2012312 下午 500 以前bull 作業範圍 Module 2-5 (page 2-128)bull 方式 (參考課程網址 )
ndash 帳號密碼小寫的 (ns100ns100)ndash IP 140116164167
2-127
網路安全
有問題嗎
bull 關於 TestBed 使用上的問題請直接 Email至 twisc-testbed-usergooglegroupscom 將有專人為您服務bull 課程網址
httpitlabeenckuedutwcoursesNS_100indexhtml
2-128
bull 助教資訊 (參考課程網址 )
網路安全
參考資料bull Dienet httplinuxdienetman1wiresharkbull Orebaugh Angela Ramirez Gilbert Burke Josh Pesce Larry Wright
Joshua(2007) Wireshark and Ethereal network protocol analyzer toolkitbull Tony Fortunato(2007) Wireshark Training Retrieved July 22 2009 from
the World Wide Web httpwwwthetechfirmcometherealwiresharkpdfbull WinDump httpwwwwinpcaporgWinDumpbull Wireshark httpwwwwiresharkorgbull Wireshark University httpwwwwiresharktrainingcombull 楊中皇 (民 97年 ) 網路安全理論與實務 (2版 ) 台北市學貫bull 蘇淑茵教授 Wireshark 民國 98年 6月 28日取自 httpmywebnckuedutw~sisou
2-129
網路安全
FTP 擷取密碼案例 (續 )
bull 點選已擷取封包清單窗格的密碼資訊列如標示1 的紅框所示即可在封包內容窗格看到該密碼的位元碼如標示 2 的紅框所示
1
2
2-100
網路安全
架設實作 (三 )
Outlook Express 擷取密碼案例
2-101
網路安全
實驗環境介紹bull 以 Testbed建立一實驗相關拓樸及設定如下圖
OEClientOSWindows XP SP3IP 10112執行 Outlook Express
MailServerOSWindows XP SP3IP 10122安裝軟體 ArGoSoft Mail Server
2-102
WiresharkOSWindows XP SP3IP1 10113 IP2 10123安裝軟體 Wireshark
IP1IP2
網路安全
實驗拓樸 on TestbedTWISC- 建立完成的實驗拓樸
2-103
網路安全
郵件伺服器工具 - ArGoSoft Mail Server
bull 版本ndash 1892 Freeware
bull 支援作業平台ndash Windows
bull 下載位址ndash httpwwwsoftkingcomtwsoftdownloadaspfid3=7367
2-104
網路安全
郵件客戶端工具 - Outlook Express
bull 版本ndash 60
bull 支援作業平台ndash Windows
bull 下載位址ndash Windows 內建
2-105
網路安全
bull 安裝及設定郵件伺服器ndash 1下載並執行 ArGoSoft Mail Server軟體點選
Setup鈕
Outlook Express 擷取密碼案例
2-106
網路安全
ndash 1 點選 Next鈕ndash 2 點選 Start Installation鈕
Outlook Express 擷取密碼案例 (續 )
2-107
網路安全
ndash 3 點選 OK鈕ndash 4 點選 Finish鈕完成軟體安裝
Outlook Express 擷取密碼案例 (續 )
2-108
網路安全
ndash 5 點選使用者設定鈕如紅圈所示ndash 6 點選新增鈕如紅框所示
Outlook Express 擷取密碼案例 (續 )
2-109
網路安全
ndash 7填入使用者名稱 (tester) 及密碼 (testpw) 如紅圈所示填寫完成後點選 OK鈕ndash 8 點選 Close鈕關閉使用者設定視窗
Outlook Express 擷取密碼案例 (續 )
2-110
網路安全
ndash 9 點選選項鈕如左側圖中紅色圈所示ndash 10 點選紅色打勾鈕如右側圖中紅色圈所示
2-111
Outlook Express 擷取密碼案例 (續 )
網路安全
ndash 11該軟體會自動選取 DNS Server 待選取後點選 Yes鈕ndash 12 勾選 Allow Relay 選項如紅框所示
2-112
Outlook Express 擷取密碼案例 (續 )
網路安全
Outlook Express 擷取密碼案例 (續 )
bull 設定收信帳號ndash 1 點選 Tools功能選單選擇 Accounts 選項
2-113
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 2 點選 Add鈕選擇 Mail 選項
2-114
網路安全
ndash 3填入 tester 點選 Next鈕ndash 4填入 testertestcom 點選 Next鈕
Outlook Express 擷取密碼案例 (續 )
2-115
網路安全
ndash 5填入 10123 如紅框所示點選 Next鈕ndash 6填入帳號為 tester 及密碼為 testpw 點選 Next鈕
Outlook Express 擷取密碼案例 (續 )
2-116
網路安全
ndash 7 點選 Finish鈕ndash 8 點選 Close鈕
Outlook Express 擷取密碼案例 (續 )
2-117
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 模擬條件準備好後首先準備Wireshark 擷取動作開啟Wireshark
2-118
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 於Wireshark軟體選擇 Capture 下拉選單功能項點選 Interfaces 選項
2-119
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 確認欲擷取封包之網卡名稱如紅色底線所示確認後點選 Start鈕
2-120
網路安全
ndash 當使用者收發 email 時即被 Wireshark攔截封包ndash 有發現到該 Outlook Express帳號密碼是如此清晰可見的嗎
Outlook Express 擷取密碼案例 (續 )
2-121
網路安全
結論bull 學習了 Wireshark及WinDump 兩套網路封包擷取軟體基本概念如同電話側錄概念相同從中複製一連串資訊來分析與了解網路的流量及內容為何bull 當你發現網路速度緩慢等狀況你是否會反應到所學的基本概念來找尋問題所在bull 防範概念由此課程的實例可以了解網路內容如被有心人士擷取所造成的損失相當可觀故你是否有對策有哪些方式你可以應用來防範bull 正確的思考善用對的工具將對解決問題事半功倍
2-122
網路安全 2-123
Module 2-5 封包擷取與分析的專案實作()
網路安全
專案目的bull 建立遠端管理傳遞指令資訊環境bull 利用實際攔截封包操作的方式讓同學了解封包擷取運作與網路資訊流通的顧慮等相關議題
2-124
網路安全
專案描述bull 近年來遠端管理伺服器及網路服務普及光是密碼保護就足夠了嗎是否重點網段須全程加密還是作網段隔離經由此專案實作即可了解不僅部分加密仍有其風險所在網路架構如何規劃將是非常重要的課題bull 參考環境配置圖完成下列要求①環境裡的攔截封包主機是 Windows XP SP3 作業系統而該主機安裝Wireshark軟體②另兩台主機的作業系統亦是 Windows XP SP3 並裝上
MySQL軟體 MySQL帳號為 root 密碼為您的學號 (如 Q3896105)
③在MySQLClient 電腦使用 MySQL Commandline 指令連線至MySQLServer 擷取資料庫資訊
④我們針對這兩台主機傳訊的封包擷取由整個實做中思考如何防範資訊外洩與了解傳訊封包如何流動及運作2-125
網路安全
環境配置圖bull 以 Testbed建立一實驗相關拓樸及設定如下圖
MySQLServerOSWINXP-SP3-CH-pc3000 IP 10123安裝軟體 MySQL
MySQLClientOSWINXP-SP3-CH-pc3000 IP 10112安裝軟體 MySQL
2-126
WireSharkOSWINXP-SP3-CH-pc3000 IP1 10113IP2 10122安裝軟體 Wireshark
IP1IP2
網路安全
作業繳交bull 請參考情境測試發送數個 SQL 指令並將過程與擷取到的封包資訊之截圖列於報告中所有圖表皆需要輔以文字說明bull Deadline 2012312 下午 500 以前bull 作業範圍 Module 2-5 (page 2-128)bull 方式 (參考課程網址 )
ndash 帳號密碼小寫的 (ns100ns100)ndash IP 140116164167
2-127
網路安全
有問題嗎
bull 關於 TestBed 使用上的問題請直接 Email至 twisc-testbed-usergooglegroupscom 將有專人為您服務bull 課程網址
httpitlabeenckuedutwcoursesNS_100indexhtml
2-128
bull 助教資訊 (參考課程網址 )
網路安全
參考資料bull Dienet httplinuxdienetman1wiresharkbull Orebaugh Angela Ramirez Gilbert Burke Josh Pesce Larry Wright
Joshua(2007) Wireshark and Ethereal network protocol analyzer toolkitbull Tony Fortunato(2007) Wireshark Training Retrieved July 22 2009 from
the World Wide Web httpwwwthetechfirmcometherealwiresharkpdfbull WinDump httpwwwwinpcaporgWinDumpbull Wireshark httpwwwwiresharkorgbull Wireshark University httpwwwwiresharktrainingcombull 楊中皇 (民 97年 ) 網路安全理論與實務 (2版 ) 台北市學貫bull 蘇淑茵教授 Wireshark 民國 98年 6月 28日取自 httpmywebnckuedutw~sisou
2-129
網路安全
架設實作 (三 )
Outlook Express 擷取密碼案例
2-101
網路安全
實驗環境介紹bull 以 Testbed建立一實驗相關拓樸及設定如下圖
OEClientOSWindows XP SP3IP 10112執行 Outlook Express
MailServerOSWindows XP SP3IP 10122安裝軟體 ArGoSoft Mail Server
2-102
WiresharkOSWindows XP SP3IP1 10113 IP2 10123安裝軟體 Wireshark
IP1IP2
網路安全
實驗拓樸 on TestbedTWISC- 建立完成的實驗拓樸
2-103
網路安全
郵件伺服器工具 - ArGoSoft Mail Server
bull 版本ndash 1892 Freeware
bull 支援作業平台ndash Windows
bull 下載位址ndash httpwwwsoftkingcomtwsoftdownloadaspfid3=7367
2-104
網路安全
郵件客戶端工具 - Outlook Express
bull 版本ndash 60
bull 支援作業平台ndash Windows
bull 下載位址ndash Windows 內建
2-105
網路安全
bull 安裝及設定郵件伺服器ndash 1下載並執行 ArGoSoft Mail Server軟體點選
Setup鈕
Outlook Express 擷取密碼案例
2-106
網路安全
ndash 1 點選 Next鈕ndash 2 點選 Start Installation鈕
Outlook Express 擷取密碼案例 (續 )
2-107
網路安全
ndash 3 點選 OK鈕ndash 4 點選 Finish鈕完成軟體安裝
Outlook Express 擷取密碼案例 (續 )
2-108
網路安全
ndash 5 點選使用者設定鈕如紅圈所示ndash 6 點選新增鈕如紅框所示
Outlook Express 擷取密碼案例 (續 )
2-109
網路安全
ndash 7填入使用者名稱 (tester) 及密碼 (testpw) 如紅圈所示填寫完成後點選 OK鈕ndash 8 點選 Close鈕關閉使用者設定視窗
Outlook Express 擷取密碼案例 (續 )
2-110
網路安全
ndash 9 點選選項鈕如左側圖中紅色圈所示ndash 10 點選紅色打勾鈕如右側圖中紅色圈所示
2-111
Outlook Express 擷取密碼案例 (續 )
網路安全
ndash 11該軟體會自動選取 DNS Server 待選取後點選 Yes鈕ndash 12 勾選 Allow Relay 選項如紅框所示
2-112
Outlook Express 擷取密碼案例 (續 )
網路安全
Outlook Express 擷取密碼案例 (續 )
bull 設定收信帳號ndash 1 點選 Tools功能選單選擇 Accounts 選項
2-113
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 2 點選 Add鈕選擇 Mail 選項
2-114
網路安全
ndash 3填入 tester 點選 Next鈕ndash 4填入 testertestcom 點選 Next鈕
Outlook Express 擷取密碼案例 (續 )
2-115
網路安全
ndash 5填入 10123 如紅框所示點選 Next鈕ndash 6填入帳號為 tester 及密碼為 testpw 點選 Next鈕
Outlook Express 擷取密碼案例 (續 )
2-116
網路安全
ndash 7 點選 Finish鈕ndash 8 點選 Close鈕
Outlook Express 擷取密碼案例 (續 )
2-117
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 模擬條件準備好後首先準備Wireshark 擷取動作開啟Wireshark
2-118
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 於Wireshark軟體選擇 Capture 下拉選單功能項點選 Interfaces 選項
2-119
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 確認欲擷取封包之網卡名稱如紅色底線所示確認後點選 Start鈕
2-120
網路安全
ndash 當使用者收發 email 時即被 Wireshark攔截封包ndash 有發現到該 Outlook Express帳號密碼是如此清晰可見的嗎
Outlook Express 擷取密碼案例 (續 )
2-121
網路安全
結論bull 學習了 Wireshark及WinDump 兩套網路封包擷取軟體基本概念如同電話側錄概念相同從中複製一連串資訊來分析與了解網路的流量及內容為何bull 當你發現網路速度緩慢等狀況你是否會反應到所學的基本概念來找尋問題所在bull 防範概念由此課程的實例可以了解網路內容如被有心人士擷取所造成的損失相當可觀故你是否有對策有哪些方式你可以應用來防範bull 正確的思考善用對的工具將對解決問題事半功倍
2-122
網路安全 2-123
Module 2-5 封包擷取與分析的專案實作()
網路安全
專案目的bull 建立遠端管理傳遞指令資訊環境bull 利用實際攔截封包操作的方式讓同學了解封包擷取運作與網路資訊流通的顧慮等相關議題
2-124
網路安全
專案描述bull 近年來遠端管理伺服器及網路服務普及光是密碼保護就足夠了嗎是否重點網段須全程加密還是作網段隔離經由此專案實作即可了解不僅部分加密仍有其風險所在網路架構如何規劃將是非常重要的課題bull 參考環境配置圖完成下列要求①環境裡的攔截封包主機是 Windows XP SP3 作業系統而該主機安裝Wireshark軟體②另兩台主機的作業系統亦是 Windows XP SP3 並裝上
MySQL軟體 MySQL帳號為 root 密碼為您的學號 (如 Q3896105)
③在MySQLClient 電腦使用 MySQL Commandline 指令連線至MySQLServer 擷取資料庫資訊
④我們針對這兩台主機傳訊的封包擷取由整個實做中思考如何防範資訊外洩與了解傳訊封包如何流動及運作2-125
網路安全
環境配置圖bull 以 Testbed建立一實驗相關拓樸及設定如下圖
MySQLServerOSWINXP-SP3-CH-pc3000 IP 10123安裝軟體 MySQL
MySQLClientOSWINXP-SP3-CH-pc3000 IP 10112安裝軟體 MySQL
2-126
WireSharkOSWINXP-SP3-CH-pc3000 IP1 10113IP2 10122安裝軟體 Wireshark
IP1IP2
網路安全
作業繳交bull 請參考情境測試發送數個 SQL 指令並將過程與擷取到的封包資訊之截圖列於報告中所有圖表皆需要輔以文字說明bull Deadline 2012312 下午 500 以前bull 作業範圍 Module 2-5 (page 2-128)bull 方式 (參考課程網址 )
ndash 帳號密碼小寫的 (ns100ns100)ndash IP 140116164167
2-127
網路安全
有問題嗎
bull 關於 TestBed 使用上的問題請直接 Email至 twisc-testbed-usergooglegroupscom 將有專人為您服務bull 課程網址
httpitlabeenckuedutwcoursesNS_100indexhtml
2-128
bull 助教資訊 (參考課程網址 )
網路安全
參考資料bull Dienet httplinuxdienetman1wiresharkbull Orebaugh Angela Ramirez Gilbert Burke Josh Pesce Larry Wright
Joshua(2007) Wireshark and Ethereal network protocol analyzer toolkitbull Tony Fortunato(2007) Wireshark Training Retrieved July 22 2009 from
the World Wide Web httpwwwthetechfirmcometherealwiresharkpdfbull WinDump httpwwwwinpcaporgWinDumpbull Wireshark httpwwwwiresharkorgbull Wireshark University httpwwwwiresharktrainingcombull 楊中皇 (民 97年 ) 網路安全理論與實務 (2版 ) 台北市學貫bull 蘇淑茵教授 Wireshark 民國 98年 6月 28日取自 httpmywebnckuedutw~sisou
2-129
網路安全
實驗環境介紹bull 以 Testbed建立一實驗相關拓樸及設定如下圖
OEClientOSWindows XP SP3IP 10112執行 Outlook Express
MailServerOSWindows XP SP3IP 10122安裝軟體 ArGoSoft Mail Server
2-102
WiresharkOSWindows XP SP3IP1 10113 IP2 10123安裝軟體 Wireshark
IP1IP2
網路安全
實驗拓樸 on TestbedTWISC- 建立完成的實驗拓樸
2-103
網路安全
郵件伺服器工具 - ArGoSoft Mail Server
bull 版本ndash 1892 Freeware
bull 支援作業平台ndash Windows
bull 下載位址ndash httpwwwsoftkingcomtwsoftdownloadaspfid3=7367
2-104
網路安全
郵件客戶端工具 - Outlook Express
bull 版本ndash 60
bull 支援作業平台ndash Windows
bull 下載位址ndash Windows 內建
2-105
網路安全
bull 安裝及設定郵件伺服器ndash 1下載並執行 ArGoSoft Mail Server軟體點選
Setup鈕
Outlook Express 擷取密碼案例
2-106
網路安全
ndash 1 點選 Next鈕ndash 2 點選 Start Installation鈕
Outlook Express 擷取密碼案例 (續 )
2-107
網路安全
ndash 3 點選 OK鈕ndash 4 點選 Finish鈕完成軟體安裝
Outlook Express 擷取密碼案例 (續 )
2-108
網路安全
ndash 5 點選使用者設定鈕如紅圈所示ndash 6 點選新增鈕如紅框所示
Outlook Express 擷取密碼案例 (續 )
2-109
網路安全
ndash 7填入使用者名稱 (tester) 及密碼 (testpw) 如紅圈所示填寫完成後點選 OK鈕ndash 8 點選 Close鈕關閉使用者設定視窗
Outlook Express 擷取密碼案例 (續 )
2-110
網路安全
ndash 9 點選選項鈕如左側圖中紅色圈所示ndash 10 點選紅色打勾鈕如右側圖中紅色圈所示
2-111
Outlook Express 擷取密碼案例 (續 )
網路安全
ndash 11該軟體會自動選取 DNS Server 待選取後點選 Yes鈕ndash 12 勾選 Allow Relay 選項如紅框所示
2-112
Outlook Express 擷取密碼案例 (續 )
網路安全
Outlook Express 擷取密碼案例 (續 )
bull 設定收信帳號ndash 1 點選 Tools功能選單選擇 Accounts 選項
2-113
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 2 點選 Add鈕選擇 Mail 選項
2-114
網路安全
ndash 3填入 tester 點選 Next鈕ndash 4填入 testertestcom 點選 Next鈕
Outlook Express 擷取密碼案例 (續 )
2-115
網路安全
ndash 5填入 10123 如紅框所示點選 Next鈕ndash 6填入帳號為 tester 及密碼為 testpw 點選 Next鈕
Outlook Express 擷取密碼案例 (續 )
2-116
網路安全
ndash 7 點選 Finish鈕ndash 8 點選 Close鈕
Outlook Express 擷取密碼案例 (續 )
2-117
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 模擬條件準備好後首先準備Wireshark 擷取動作開啟Wireshark
2-118
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 於Wireshark軟體選擇 Capture 下拉選單功能項點選 Interfaces 選項
2-119
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 確認欲擷取封包之網卡名稱如紅色底線所示確認後點選 Start鈕
2-120
網路安全
ndash 當使用者收發 email 時即被 Wireshark攔截封包ndash 有發現到該 Outlook Express帳號密碼是如此清晰可見的嗎
Outlook Express 擷取密碼案例 (續 )
2-121
網路安全
結論bull 學習了 Wireshark及WinDump 兩套網路封包擷取軟體基本概念如同電話側錄概念相同從中複製一連串資訊來分析與了解網路的流量及內容為何bull 當你發現網路速度緩慢等狀況你是否會反應到所學的基本概念來找尋問題所在bull 防範概念由此課程的實例可以了解網路內容如被有心人士擷取所造成的損失相當可觀故你是否有對策有哪些方式你可以應用來防範bull 正確的思考善用對的工具將對解決問題事半功倍
2-122
網路安全 2-123
Module 2-5 封包擷取與分析的專案實作()
網路安全
專案目的bull 建立遠端管理傳遞指令資訊環境bull 利用實際攔截封包操作的方式讓同學了解封包擷取運作與網路資訊流通的顧慮等相關議題
2-124
網路安全
專案描述bull 近年來遠端管理伺服器及網路服務普及光是密碼保護就足夠了嗎是否重點網段須全程加密還是作網段隔離經由此專案實作即可了解不僅部分加密仍有其風險所在網路架構如何規劃將是非常重要的課題bull 參考環境配置圖完成下列要求①環境裡的攔截封包主機是 Windows XP SP3 作業系統而該主機安裝Wireshark軟體②另兩台主機的作業系統亦是 Windows XP SP3 並裝上
MySQL軟體 MySQL帳號為 root 密碼為您的學號 (如 Q3896105)
③在MySQLClient 電腦使用 MySQL Commandline 指令連線至MySQLServer 擷取資料庫資訊
④我們針對這兩台主機傳訊的封包擷取由整個實做中思考如何防範資訊外洩與了解傳訊封包如何流動及運作2-125
網路安全
環境配置圖bull 以 Testbed建立一實驗相關拓樸及設定如下圖
MySQLServerOSWINXP-SP3-CH-pc3000 IP 10123安裝軟體 MySQL
MySQLClientOSWINXP-SP3-CH-pc3000 IP 10112安裝軟體 MySQL
2-126
WireSharkOSWINXP-SP3-CH-pc3000 IP1 10113IP2 10122安裝軟體 Wireshark
IP1IP2
網路安全
作業繳交bull 請參考情境測試發送數個 SQL 指令並將過程與擷取到的封包資訊之截圖列於報告中所有圖表皆需要輔以文字說明bull Deadline 2012312 下午 500 以前bull 作業範圍 Module 2-5 (page 2-128)bull 方式 (參考課程網址 )
ndash 帳號密碼小寫的 (ns100ns100)ndash IP 140116164167
2-127
網路安全
有問題嗎
bull 關於 TestBed 使用上的問題請直接 Email至 twisc-testbed-usergooglegroupscom 將有專人為您服務bull 課程網址
httpitlabeenckuedutwcoursesNS_100indexhtml
2-128
bull 助教資訊 (參考課程網址 )
網路安全
參考資料bull Dienet httplinuxdienetman1wiresharkbull Orebaugh Angela Ramirez Gilbert Burke Josh Pesce Larry Wright
Joshua(2007) Wireshark and Ethereal network protocol analyzer toolkitbull Tony Fortunato(2007) Wireshark Training Retrieved July 22 2009 from
the World Wide Web httpwwwthetechfirmcometherealwiresharkpdfbull WinDump httpwwwwinpcaporgWinDumpbull Wireshark httpwwwwiresharkorgbull Wireshark University httpwwwwiresharktrainingcombull 楊中皇 (民 97年 ) 網路安全理論與實務 (2版 ) 台北市學貫bull 蘇淑茵教授 Wireshark 民國 98年 6月 28日取自 httpmywebnckuedutw~sisou
2-129
網路安全
實驗拓樸 on TestbedTWISC- 建立完成的實驗拓樸
2-103
網路安全
郵件伺服器工具 - ArGoSoft Mail Server
bull 版本ndash 1892 Freeware
bull 支援作業平台ndash Windows
bull 下載位址ndash httpwwwsoftkingcomtwsoftdownloadaspfid3=7367
2-104
網路安全
郵件客戶端工具 - Outlook Express
bull 版本ndash 60
bull 支援作業平台ndash Windows
bull 下載位址ndash Windows 內建
2-105
網路安全
bull 安裝及設定郵件伺服器ndash 1下載並執行 ArGoSoft Mail Server軟體點選
Setup鈕
Outlook Express 擷取密碼案例
2-106
網路安全
ndash 1 點選 Next鈕ndash 2 點選 Start Installation鈕
Outlook Express 擷取密碼案例 (續 )
2-107
網路安全
ndash 3 點選 OK鈕ndash 4 點選 Finish鈕完成軟體安裝
Outlook Express 擷取密碼案例 (續 )
2-108
網路安全
ndash 5 點選使用者設定鈕如紅圈所示ndash 6 點選新增鈕如紅框所示
Outlook Express 擷取密碼案例 (續 )
2-109
網路安全
ndash 7填入使用者名稱 (tester) 及密碼 (testpw) 如紅圈所示填寫完成後點選 OK鈕ndash 8 點選 Close鈕關閉使用者設定視窗
Outlook Express 擷取密碼案例 (續 )
2-110
網路安全
ndash 9 點選選項鈕如左側圖中紅色圈所示ndash 10 點選紅色打勾鈕如右側圖中紅色圈所示
2-111
Outlook Express 擷取密碼案例 (續 )
網路安全
ndash 11該軟體會自動選取 DNS Server 待選取後點選 Yes鈕ndash 12 勾選 Allow Relay 選項如紅框所示
2-112
Outlook Express 擷取密碼案例 (續 )
網路安全
Outlook Express 擷取密碼案例 (續 )
bull 設定收信帳號ndash 1 點選 Tools功能選單選擇 Accounts 選項
2-113
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 2 點選 Add鈕選擇 Mail 選項
2-114
網路安全
ndash 3填入 tester 點選 Next鈕ndash 4填入 testertestcom 點選 Next鈕
Outlook Express 擷取密碼案例 (續 )
2-115
網路安全
ndash 5填入 10123 如紅框所示點選 Next鈕ndash 6填入帳號為 tester 及密碼為 testpw 點選 Next鈕
Outlook Express 擷取密碼案例 (續 )
2-116
網路安全
ndash 7 點選 Finish鈕ndash 8 點選 Close鈕
Outlook Express 擷取密碼案例 (續 )
2-117
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 模擬條件準備好後首先準備Wireshark 擷取動作開啟Wireshark
2-118
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 於Wireshark軟體選擇 Capture 下拉選單功能項點選 Interfaces 選項
2-119
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 確認欲擷取封包之網卡名稱如紅色底線所示確認後點選 Start鈕
2-120
網路安全
ndash 當使用者收發 email 時即被 Wireshark攔截封包ndash 有發現到該 Outlook Express帳號密碼是如此清晰可見的嗎
Outlook Express 擷取密碼案例 (續 )
2-121
網路安全
結論bull 學習了 Wireshark及WinDump 兩套網路封包擷取軟體基本概念如同電話側錄概念相同從中複製一連串資訊來分析與了解網路的流量及內容為何bull 當你發現網路速度緩慢等狀況你是否會反應到所學的基本概念來找尋問題所在bull 防範概念由此課程的實例可以了解網路內容如被有心人士擷取所造成的損失相當可觀故你是否有對策有哪些方式你可以應用來防範bull 正確的思考善用對的工具將對解決問題事半功倍
2-122
網路安全 2-123
Module 2-5 封包擷取與分析的專案實作()
網路安全
專案目的bull 建立遠端管理傳遞指令資訊環境bull 利用實際攔截封包操作的方式讓同學了解封包擷取運作與網路資訊流通的顧慮等相關議題
2-124
網路安全
專案描述bull 近年來遠端管理伺服器及網路服務普及光是密碼保護就足夠了嗎是否重點網段須全程加密還是作網段隔離經由此專案實作即可了解不僅部分加密仍有其風險所在網路架構如何規劃將是非常重要的課題bull 參考環境配置圖完成下列要求①環境裡的攔截封包主機是 Windows XP SP3 作業系統而該主機安裝Wireshark軟體②另兩台主機的作業系統亦是 Windows XP SP3 並裝上
MySQL軟體 MySQL帳號為 root 密碼為您的學號 (如 Q3896105)
③在MySQLClient 電腦使用 MySQL Commandline 指令連線至MySQLServer 擷取資料庫資訊
④我們針對這兩台主機傳訊的封包擷取由整個實做中思考如何防範資訊外洩與了解傳訊封包如何流動及運作2-125
網路安全
環境配置圖bull 以 Testbed建立一實驗相關拓樸及設定如下圖
MySQLServerOSWINXP-SP3-CH-pc3000 IP 10123安裝軟體 MySQL
MySQLClientOSWINXP-SP3-CH-pc3000 IP 10112安裝軟體 MySQL
2-126
WireSharkOSWINXP-SP3-CH-pc3000 IP1 10113IP2 10122安裝軟體 Wireshark
IP1IP2
網路安全
作業繳交bull 請參考情境測試發送數個 SQL 指令並將過程與擷取到的封包資訊之截圖列於報告中所有圖表皆需要輔以文字說明bull Deadline 2012312 下午 500 以前bull 作業範圍 Module 2-5 (page 2-128)bull 方式 (參考課程網址 )
ndash 帳號密碼小寫的 (ns100ns100)ndash IP 140116164167
2-127
網路安全
有問題嗎
bull 關於 TestBed 使用上的問題請直接 Email至 twisc-testbed-usergooglegroupscom 將有專人為您服務bull 課程網址
httpitlabeenckuedutwcoursesNS_100indexhtml
2-128
bull 助教資訊 (參考課程網址 )
網路安全
參考資料bull Dienet httplinuxdienetman1wiresharkbull Orebaugh Angela Ramirez Gilbert Burke Josh Pesce Larry Wright
Joshua(2007) Wireshark and Ethereal network protocol analyzer toolkitbull Tony Fortunato(2007) Wireshark Training Retrieved July 22 2009 from
the World Wide Web httpwwwthetechfirmcometherealwiresharkpdfbull WinDump httpwwwwinpcaporgWinDumpbull Wireshark httpwwwwiresharkorgbull Wireshark University httpwwwwiresharktrainingcombull 楊中皇 (民 97年 ) 網路安全理論與實務 (2版 ) 台北市學貫bull 蘇淑茵教授 Wireshark 民國 98年 6月 28日取自 httpmywebnckuedutw~sisou
2-129
網路安全
郵件伺服器工具 - ArGoSoft Mail Server
bull 版本ndash 1892 Freeware
bull 支援作業平台ndash Windows
bull 下載位址ndash httpwwwsoftkingcomtwsoftdownloadaspfid3=7367
2-104
網路安全
郵件客戶端工具 - Outlook Express
bull 版本ndash 60
bull 支援作業平台ndash Windows
bull 下載位址ndash Windows 內建
2-105
網路安全
bull 安裝及設定郵件伺服器ndash 1下載並執行 ArGoSoft Mail Server軟體點選
Setup鈕
Outlook Express 擷取密碼案例
2-106
網路安全
ndash 1 點選 Next鈕ndash 2 點選 Start Installation鈕
Outlook Express 擷取密碼案例 (續 )
2-107
網路安全
ndash 3 點選 OK鈕ndash 4 點選 Finish鈕完成軟體安裝
Outlook Express 擷取密碼案例 (續 )
2-108
網路安全
ndash 5 點選使用者設定鈕如紅圈所示ndash 6 點選新增鈕如紅框所示
Outlook Express 擷取密碼案例 (續 )
2-109
網路安全
ndash 7填入使用者名稱 (tester) 及密碼 (testpw) 如紅圈所示填寫完成後點選 OK鈕ndash 8 點選 Close鈕關閉使用者設定視窗
Outlook Express 擷取密碼案例 (續 )
2-110
網路安全
ndash 9 點選選項鈕如左側圖中紅色圈所示ndash 10 點選紅色打勾鈕如右側圖中紅色圈所示
2-111
Outlook Express 擷取密碼案例 (續 )
網路安全
ndash 11該軟體會自動選取 DNS Server 待選取後點選 Yes鈕ndash 12 勾選 Allow Relay 選項如紅框所示
2-112
Outlook Express 擷取密碼案例 (續 )
網路安全
Outlook Express 擷取密碼案例 (續 )
bull 設定收信帳號ndash 1 點選 Tools功能選單選擇 Accounts 選項
2-113
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 2 點選 Add鈕選擇 Mail 選項
2-114
網路安全
ndash 3填入 tester 點選 Next鈕ndash 4填入 testertestcom 點選 Next鈕
Outlook Express 擷取密碼案例 (續 )
2-115
網路安全
ndash 5填入 10123 如紅框所示點選 Next鈕ndash 6填入帳號為 tester 及密碼為 testpw 點選 Next鈕
Outlook Express 擷取密碼案例 (續 )
2-116
網路安全
ndash 7 點選 Finish鈕ndash 8 點選 Close鈕
Outlook Express 擷取密碼案例 (續 )
2-117
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 模擬條件準備好後首先準備Wireshark 擷取動作開啟Wireshark
2-118
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 於Wireshark軟體選擇 Capture 下拉選單功能項點選 Interfaces 選項
2-119
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 確認欲擷取封包之網卡名稱如紅色底線所示確認後點選 Start鈕
2-120
網路安全
ndash 當使用者收發 email 時即被 Wireshark攔截封包ndash 有發現到該 Outlook Express帳號密碼是如此清晰可見的嗎
Outlook Express 擷取密碼案例 (續 )
2-121
網路安全
結論bull 學習了 Wireshark及WinDump 兩套網路封包擷取軟體基本概念如同電話側錄概念相同從中複製一連串資訊來分析與了解網路的流量及內容為何bull 當你發現網路速度緩慢等狀況你是否會反應到所學的基本概念來找尋問題所在bull 防範概念由此課程的實例可以了解網路內容如被有心人士擷取所造成的損失相當可觀故你是否有對策有哪些方式你可以應用來防範bull 正確的思考善用對的工具將對解決問題事半功倍
2-122
網路安全 2-123
Module 2-5 封包擷取與分析的專案實作()
網路安全
專案目的bull 建立遠端管理傳遞指令資訊環境bull 利用實際攔截封包操作的方式讓同學了解封包擷取運作與網路資訊流通的顧慮等相關議題
2-124
網路安全
專案描述bull 近年來遠端管理伺服器及網路服務普及光是密碼保護就足夠了嗎是否重點網段須全程加密還是作網段隔離經由此專案實作即可了解不僅部分加密仍有其風險所在網路架構如何規劃將是非常重要的課題bull 參考環境配置圖完成下列要求①環境裡的攔截封包主機是 Windows XP SP3 作業系統而該主機安裝Wireshark軟體②另兩台主機的作業系統亦是 Windows XP SP3 並裝上
MySQL軟體 MySQL帳號為 root 密碼為您的學號 (如 Q3896105)
③在MySQLClient 電腦使用 MySQL Commandline 指令連線至MySQLServer 擷取資料庫資訊
④我們針對這兩台主機傳訊的封包擷取由整個實做中思考如何防範資訊外洩與了解傳訊封包如何流動及運作2-125
網路安全
環境配置圖bull 以 Testbed建立一實驗相關拓樸及設定如下圖
MySQLServerOSWINXP-SP3-CH-pc3000 IP 10123安裝軟體 MySQL
MySQLClientOSWINXP-SP3-CH-pc3000 IP 10112安裝軟體 MySQL
2-126
WireSharkOSWINXP-SP3-CH-pc3000 IP1 10113IP2 10122安裝軟體 Wireshark
IP1IP2
網路安全
作業繳交bull 請參考情境測試發送數個 SQL 指令並將過程與擷取到的封包資訊之截圖列於報告中所有圖表皆需要輔以文字說明bull Deadline 2012312 下午 500 以前bull 作業範圍 Module 2-5 (page 2-128)bull 方式 (參考課程網址 )
ndash 帳號密碼小寫的 (ns100ns100)ndash IP 140116164167
2-127
網路安全
有問題嗎
bull 關於 TestBed 使用上的問題請直接 Email至 twisc-testbed-usergooglegroupscom 將有專人為您服務bull 課程網址
httpitlabeenckuedutwcoursesNS_100indexhtml
2-128
bull 助教資訊 (參考課程網址 )
網路安全
參考資料bull Dienet httplinuxdienetman1wiresharkbull Orebaugh Angela Ramirez Gilbert Burke Josh Pesce Larry Wright
Joshua(2007) Wireshark and Ethereal network protocol analyzer toolkitbull Tony Fortunato(2007) Wireshark Training Retrieved July 22 2009 from
the World Wide Web httpwwwthetechfirmcometherealwiresharkpdfbull WinDump httpwwwwinpcaporgWinDumpbull Wireshark httpwwwwiresharkorgbull Wireshark University httpwwwwiresharktrainingcombull 楊中皇 (民 97年 ) 網路安全理論與實務 (2版 ) 台北市學貫bull 蘇淑茵教授 Wireshark 民國 98年 6月 28日取自 httpmywebnckuedutw~sisou
2-129
網路安全
郵件客戶端工具 - Outlook Express
bull 版本ndash 60
bull 支援作業平台ndash Windows
bull 下載位址ndash Windows 內建
2-105
網路安全
bull 安裝及設定郵件伺服器ndash 1下載並執行 ArGoSoft Mail Server軟體點選
Setup鈕
Outlook Express 擷取密碼案例
2-106
網路安全
ndash 1 點選 Next鈕ndash 2 點選 Start Installation鈕
Outlook Express 擷取密碼案例 (續 )
2-107
網路安全
ndash 3 點選 OK鈕ndash 4 點選 Finish鈕完成軟體安裝
Outlook Express 擷取密碼案例 (續 )
2-108
網路安全
ndash 5 點選使用者設定鈕如紅圈所示ndash 6 點選新增鈕如紅框所示
Outlook Express 擷取密碼案例 (續 )
2-109
網路安全
ndash 7填入使用者名稱 (tester) 及密碼 (testpw) 如紅圈所示填寫完成後點選 OK鈕ndash 8 點選 Close鈕關閉使用者設定視窗
Outlook Express 擷取密碼案例 (續 )
2-110
網路安全
ndash 9 點選選項鈕如左側圖中紅色圈所示ndash 10 點選紅色打勾鈕如右側圖中紅色圈所示
2-111
Outlook Express 擷取密碼案例 (續 )
網路安全
ndash 11該軟體會自動選取 DNS Server 待選取後點選 Yes鈕ndash 12 勾選 Allow Relay 選項如紅框所示
2-112
Outlook Express 擷取密碼案例 (續 )
網路安全
Outlook Express 擷取密碼案例 (續 )
bull 設定收信帳號ndash 1 點選 Tools功能選單選擇 Accounts 選項
2-113
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 2 點選 Add鈕選擇 Mail 選項
2-114
網路安全
ndash 3填入 tester 點選 Next鈕ndash 4填入 testertestcom 點選 Next鈕
Outlook Express 擷取密碼案例 (續 )
2-115
網路安全
ndash 5填入 10123 如紅框所示點選 Next鈕ndash 6填入帳號為 tester 及密碼為 testpw 點選 Next鈕
Outlook Express 擷取密碼案例 (續 )
2-116
網路安全
ndash 7 點選 Finish鈕ndash 8 點選 Close鈕
Outlook Express 擷取密碼案例 (續 )
2-117
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 模擬條件準備好後首先準備Wireshark 擷取動作開啟Wireshark
2-118
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 於Wireshark軟體選擇 Capture 下拉選單功能項點選 Interfaces 選項
2-119
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 確認欲擷取封包之網卡名稱如紅色底線所示確認後點選 Start鈕
2-120
網路安全
ndash 當使用者收發 email 時即被 Wireshark攔截封包ndash 有發現到該 Outlook Express帳號密碼是如此清晰可見的嗎
Outlook Express 擷取密碼案例 (續 )
2-121
網路安全
結論bull 學習了 Wireshark及WinDump 兩套網路封包擷取軟體基本概念如同電話側錄概念相同從中複製一連串資訊來分析與了解網路的流量及內容為何bull 當你發現網路速度緩慢等狀況你是否會反應到所學的基本概念來找尋問題所在bull 防範概念由此課程的實例可以了解網路內容如被有心人士擷取所造成的損失相當可觀故你是否有對策有哪些方式你可以應用來防範bull 正確的思考善用對的工具將對解決問題事半功倍
2-122
網路安全 2-123
Module 2-5 封包擷取與分析的專案實作()
網路安全
專案目的bull 建立遠端管理傳遞指令資訊環境bull 利用實際攔截封包操作的方式讓同學了解封包擷取運作與網路資訊流通的顧慮等相關議題
2-124
網路安全
專案描述bull 近年來遠端管理伺服器及網路服務普及光是密碼保護就足夠了嗎是否重點網段須全程加密還是作網段隔離經由此專案實作即可了解不僅部分加密仍有其風險所在網路架構如何規劃將是非常重要的課題bull 參考環境配置圖完成下列要求①環境裡的攔截封包主機是 Windows XP SP3 作業系統而該主機安裝Wireshark軟體②另兩台主機的作業系統亦是 Windows XP SP3 並裝上
MySQL軟體 MySQL帳號為 root 密碼為您的學號 (如 Q3896105)
③在MySQLClient 電腦使用 MySQL Commandline 指令連線至MySQLServer 擷取資料庫資訊
④我們針對這兩台主機傳訊的封包擷取由整個實做中思考如何防範資訊外洩與了解傳訊封包如何流動及運作2-125
網路安全
環境配置圖bull 以 Testbed建立一實驗相關拓樸及設定如下圖
MySQLServerOSWINXP-SP3-CH-pc3000 IP 10123安裝軟體 MySQL
MySQLClientOSWINXP-SP3-CH-pc3000 IP 10112安裝軟體 MySQL
2-126
WireSharkOSWINXP-SP3-CH-pc3000 IP1 10113IP2 10122安裝軟體 Wireshark
IP1IP2
網路安全
作業繳交bull 請參考情境測試發送數個 SQL 指令並將過程與擷取到的封包資訊之截圖列於報告中所有圖表皆需要輔以文字說明bull Deadline 2012312 下午 500 以前bull 作業範圍 Module 2-5 (page 2-128)bull 方式 (參考課程網址 )
ndash 帳號密碼小寫的 (ns100ns100)ndash IP 140116164167
2-127
網路安全
有問題嗎
bull 關於 TestBed 使用上的問題請直接 Email至 twisc-testbed-usergooglegroupscom 將有專人為您服務bull 課程網址
httpitlabeenckuedutwcoursesNS_100indexhtml
2-128
bull 助教資訊 (參考課程網址 )
網路安全
參考資料bull Dienet httplinuxdienetman1wiresharkbull Orebaugh Angela Ramirez Gilbert Burke Josh Pesce Larry Wright
Joshua(2007) Wireshark and Ethereal network protocol analyzer toolkitbull Tony Fortunato(2007) Wireshark Training Retrieved July 22 2009 from
the World Wide Web httpwwwthetechfirmcometherealwiresharkpdfbull WinDump httpwwwwinpcaporgWinDumpbull Wireshark httpwwwwiresharkorgbull Wireshark University httpwwwwiresharktrainingcombull 楊中皇 (民 97年 ) 網路安全理論與實務 (2版 ) 台北市學貫bull 蘇淑茵教授 Wireshark 民國 98年 6月 28日取自 httpmywebnckuedutw~sisou
2-129
網路安全
bull 安裝及設定郵件伺服器ndash 1下載並執行 ArGoSoft Mail Server軟體點選
Setup鈕
Outlook Express 擷取密碼案例
2-106
網路安全
ndash 1 點選 Next鈕ndash 2 點選 Start Installation鈕
Outlook Express 擷取密碼案例 (續 )
2-107
網路安全
ndash 3 點選 OK鈕ndash 4 點選 Finish鈕完成軟體安裝
Outlook Express 擷取密碼案例 (續 )
2-108
網路安全
ndash 5 點選使用者設定鈕如紅圈所示ndash 6 點選新增鈕如紅框所示
Outlook Express 擷取密碼案例 (續 )
2-109
網路安全
ndash 7填入使用者名稱 (tester) 及密碼 (testpw) 如紅圈所示填寫完成後點選 OK鈕ndash 8 點選 Close鈕關閉使用者設定視窗
Outlook Express 擷取密碼案例 (續 )
2-110
網路安全
ndash 9 點選選項鈕如左側圖中紅色圈所示ndash 10 點選紅色打勾鈕如右側圖中紅色圈所示
2-111
Outlook Express 擷取密碼案例 (續 )
網路安全
ndash 11該軟體會自動選取 DNS Server 待選取後點選 Yes鈕ndash 12 勾選 Allow Relay 選項如紅框所示
2-112
Outlook Express 擷取密碼案例 (續 )
網路安全
Outlook Express 擷取密碼案例 (續 )
bull 設定收信帳號ndash 1 點選 Tools功能選單選擇 Accounts 選項
2-113
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 2 點選 Add鈕選擇 Mail 選項
2-114
網路安全
ndash 3填入 tester 點選 Next鈕ndash 4填入 testertestcom 點選 Next鈕
Outlook Express 擷取密碼案例 (續 )
2-115
網路安全
ndash 5填入 10123 如紅框所示點選 Next鈕ndash 6填入帳號為 tester 及密碼為 testpw 點選 Next鈕
Outlook Express 擷取密碼案例 (續 )
2-116
網路安全
ndash 7 點選 Finish鈕ndash 8 點選 Close鈕
Outlook Express 擷取密碼案例 (續 )
2-117
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 模擬條件準備好後首先準備Wireshark 擷取動作開啟Wireshark
2-118
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 於Wireshark軟體選擇 Capture 下拉選單功能項點選 Interfaces 選項
2-119
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 確認欲擷取封包之網卡名稱如紅色底線所示確認後點選 Start鈕
2-120
網路安全
ndash 當使用者收發 email 時即被 Wireshark攔截封包ndash 有發現到該 Outlook Express帳號密碼是如此清晰可見的嗎
Outlook Express 擷取密碼案例 (續 )
2-121
網路安全
結論bull 學習了 Wireshark及WinDump 兩套網路封包擷取軟體基本概念如同電話側錄概念相同從中複製一連串資訊來分析與了解網路的流量及內容為何bull 當你發現網路速度緩慢等狀況你是否會反應到所學的基本概念來找尋問題所在bull 防範概念由此課程的實例可以了解網路內容如被有心人士擷取所造成的損失相當可觀故你是否有對策有哪些方式你可以應用來防範bull 正確的思考善用對的工具將對解決問題事半功倍
2-122
網路安全 2-123
Module 2-5 封包擷取與分析的專案實作()
網路安全
專案目的bull 建立遠端管理傳遞指令資訊環境bull 利用實際攔截封包操作的方式讓同學了解封包擷取運作與網路資訊流通的顧慮等相關議題
2-124
網路安全
專案描述bull 近年來遠端管理伺服器及網路服務普及光是密碼保護就足夠了嗎是否重點網段須全程加密還是作網段隔離經由此專案實作即可了解不僅部分加密仍有其風險所在網路架構如何規劃將是非常重要的課題bull 參考環境配置圖完成下列要求①環境裡的攔截封包主機是 Windows XP SP3 作業系統而該主機安裝Wireshark軟體②另兩台主機的作業系統亦是 Windows XP SP3 並裝上
MySQL軟體 MySQL帳號為 root 密碼為您的學號 (如 Q3896105)
③在MySQLClient 電腦使用 MySQL Commandline 指令連線至MySQLServer 擷取資料庫資訊
④我們針對這兩台主機傳訊的封包擷取由整個實做中思考如何防範資訊外洩與了解傳訊封包如何流動及運作2-125
網路安全
環境配置圖bull 以 Testbed建立一實驗相關拓樸及設定如下圖
MySQLServerOSWINXP-SP3-CH-pc3000 IP 10123安裝軟體 MySQL
MySQLClientOSWINXP-SP3-CH-pc3000 IP 10112安裝軟體 MySQL
2-126
WireSharkOSWINXP-SP3-CH-pc3000 IP1 10113IP2 10122安裝軟體 Wireshark
IP1IP2
網路安全
作業繳交bull 請參考情境測試發送數個 SQL 指令並將過程與擷取到的封包資訊之截圖列於報告中所有圖表皆需要輔以文字說明bull Deadline 2012312 下午 500 以前bull 作業範圍 Module 2-5 (page 2-128)bull 方式 (參考課程網址 )
ndash 帳號密碼小寫的 (ns100ns100)ndash IP 140116164167
2-127
網路安全
有問題嗎
bull 關於 TestBed 使用上的問題請直接 Email至 twisc-testbed-usergooglegroupscom 將有專人為您服務bull 課程網址
httpitlabeenckuedutwcoursesNS_100indexhtml
2-128
bull 助教資訊 (參考課程網址 )
網路安全
參考資料bull Dienet httplinuxdienetman1wiresharkbull Orebaugh Angela Ramirez Gilbert Burke Josh Pesce Larry Wright
Joshua(2007) Wireshark and Ethereal network protocol analyzer toolkitbull Tony Fortunato(2007) Wireshark Training Retrieved July 22 2009 from
the World Wide Web httpwwwthetechfirmcometherealwiresharkpdfbull WinDump httpwwwwinpcaporgWinDumpbull Wireshark httpwwwwiresharkorgbull Wireshark University httpwwwwiresharktrainingcombull 楊中皇 (民 97年 ) 網路安全理論與實務 (2版 ) 台北市學貫bull 蘇淑茵教授 Wireshark 民國 98年 6月 28日取自 httpmywebnckuedutw~sisou
2-129
網路安全
ndash 1 點選 Next鈕ndash 2 點選 Start Installation鈕
Outlook Express 擷取密碼案例 (續 )
2-107
網路安全
ndash 3 點選 OK鈕ndash 4 點選 Finish鈕完成軟體安裝
Outlook Express 擷取密碼案例 (續 )
2-108
網路安全
ndash 5 點選使用者設定鈕如紅圈所示ndash 6 點選新增鈕如紅框所示
Outlook Express 擷取密碼案例 (續 )
2-109
網路安全
ndash 7填入使用者名稱 (tester) 及密碼 (testpw) 如紅圈所示填寫完成後點選 OK鈕ndash 8 點選 Close鈕關閉使用者設定視窗
Outlook Express 擷取密碼案例 (續 )
2-110
網路安全
ndash 9 點選選項鈕如左側圖中紅色圈所示ndash 10 點選紅色打勾鈕如右側圖中紅色圈所示
2-111
Outlook Express 擷取密碼案例 (續 )
網路安全
ndash 11該軟體會自動選取 DNS Server 待選取後點選 Yes鈕ndash 12 勾選 Allow Relay 選項如紅框所示
2-112
Outlook Express 擷取密碼案例 (續 )
網路安全
Outlook Express 擷取密碼案例 (續 )
bull 設定收信帳號ndash 1 點選 Tools功能選單選擇 Accounts 選項
2-113
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 2 點選 Add鈕選擇 Mail 選項
2-114
網路安全
ndash 3填入 tester 點選 Next鈕ndash 4填入 testertestcom 點選 Next鈕
Outlook Express 擷取密碼案例 (續 )
2-115
網路安全
ndash 5填入 10123 如紅框所示點選 Next鈕ndash 6填入帳號為 tester 及密碼為 testpw 點選 Next鈕
Outlook Express 擷取密碼案例 (續 )
2-116
網路安全
ndash 7 點選 Finish鈕ndash 8 點選 Close鈕
Outlook Express 擷取密碼案例 (續 )
2-117
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 模擬條件準備好後首先準備Wireshark 擷取動作開啟Wireshark
2-118
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 於Wireshark軟體選擇 Capture 下拉選單功能項點選 Interfaces 選項
2-119
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 確認欲擷取封包之網卡名稱如紅色底線所示確認後點選 Start鈕
2-120
網路安全
ndash 當使用者收發 email 時即被 Wireshark攔截封包ndash 有發現到該 Outlook Express帳號密碼是如此清晰可見的嗎
Outlook Express 擷取密碼案例 (續 )
2-121
網路安全
結論bull 學習了 Wireshark及WinDump 兩套網路封包擷取軟體基本概念如同電話側錄概念相同從中複製一連串資訊來分析與了解網路的流量及內容為何bull 當你發現網路速度緩慢等狀況你是否會反應到所學的基本概念來找尋問題所在bull 防範概念由此課程的實例可以了解網路內容如被有心人士擷取所造成的損失相當可觀故你是否有對策有哪些方式你可以應用來防範bull 正確的思考善用對的工具將對解決問題事半功倍
2-122
網路安全 2-123
Module 2-5 封包擷取與分析的專案實作()
網路安全
專案目的bull 建立遠端管理傳遞指令資訊環境bull 利用實際攔截封包操作的方式讓同學了解封包擷取運作與網路資訊流通的顧慮等相關議題
2-124
網路安全
專案描述bull 近年來遠端管理伺服器及網路服務普及光是密碼保護就足夠了嗎是否重點網段須全程加密還是作網段隔離經由此專案實作即可了解不僅部分加密仍有其風險所在網路架構如何規劃將是非常重要的課題bull 參考環境配置圖完成下列要求①環境裡的攔截封包主機是 Windows XP SP3 作業系統而該主機安裝Wireshark軟體②另兩台主機的作業系統亦是 Windows XP SP3 並裝上
MySQL軟體 MySQL帳號為 root 密碼為您的學號 (如 Q3896105)
③在MySQLClient 電腦使用 MySQL Commandline 指令連線至MySQLServer 擷取資料庫資訊
④我們針對這兩台主機傳訊的封包擷取由整個實做中思考如何防範資訊外洩與了解傳訊封包如何流動及運作2-125
網路安全
環境配置圖bull 以 Testbed建立一實驗相關拓樸及設定如下圖
MySQLServerOSWINXP-SP3-CH-pc3000 IP 10123安裝軟體 MySQL
MySQLClientOSWINXP-SP3-CH-pc3000 IP 10112安裝軟體 MySQL
2-126
WireSharkOSWINXP-SP3-CH-pc3000 IP1 10113IP2 10122安裝軟體 Wireshark
IP1IP2
網路安全
作業繳交bull 請參考情境測試發送數個 SQL 指令並將過程與擷取到的封包資訊之截圖列於報告中所有圖表皆需要輔以文字說明bull Deadline 2012312 下午 500 以前bull 作業範圍 Module 2-5 (page 2-128)bull 方式 (參考課程網址 )
ndash 帳號密碼小寫的 (ns100ns100)ndash IP 140116164167
2-127
網路安全
有問題嗎
bull 關於 TestBed 使用上的問題請直接 Email至 twisc-testbed-usergooglegroupscom 將有專人為您服務bull 課程網址
httpitlabeenckuedutwcoursesNS_100indexhtml
2-128
bull 助教資訊 (參考課程網址 )
網路安全
參考資料bull Dienet httplinuxdienetman1wiresharkbull Orebaugh Angela Ramirez Gilbert Burke Josh Pesce Larry Wright
Joshua(2007) Wireshark and Ethereal network protocol analyzer toolkitbull Tony Fortunato(2007) Wireshark Training Retrieved July 22 2009 from
the World Wide Web httpwwwthetechfirmcometherealwiresharkpdfbull WinDump httpwwwwinpcaporgWinDumpbull Wireshark httpwwwwiresharkorgbull Wireshark University httpwwwwiresharktrainingcombull 楊中皇 (民 97年 ) 網路安全理論與實務 (2版 ) 台北市學貫bull 蘇淑茵教授 Wireshark 民國 98年 6月 28日取自 httpmywebnckuedutw~sisou
2-129
網路安全
ndash 3 點選 OK鈕ndash 4 點選 Finish鈕完成軟體安裝
Outlook Express 擷取密碼案例 (續 )
2-108
網路安全
ndash 5 點選使用者設定鈕如紅圈所示ndash 6 點選新增鈕如紅框所示
Outlook Express 擷取密碼案例 (續 )
2-109
網路安全
ndash 7填入使用者名稱 (tester) 及密碼 (testpw) 如紅圈所示填寫完成後點選 OK鈕ndash 8 點選 Close鈕關閉使用者設定視窗
Outlook Express 擷取密碼案例 (續 )
2-110
網路安全
ndash 9 點選選項鈕如左側圖中紅色圈所示ndash 10 點選紅色打勾鈕如右側圖中紅色圈所示
2-111
Outlook Express 擷取密碼案例 (續 )
網路安全
ndash 11該軟體會自動選取 DNS Server 待選取後點選 Yes鈕ndash 12 勾選 Allow Relay 選項如紅框所示
2-112
Outlook Express 擷取密碼案例 (續 )
網路安全
Outlook Express 擷取密碼案例 (續 )
bull 設定收信帳號ndash 1 點選 Tools功能選單選擇 Accounts 選項
2-113
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 2 點選 Add鈕選擇 Mail 選項
2-114
網路安全
ndash 3填入 tester 點選 Next鈕ndash 4填入 testertestcom 點選 Next鈕
Outlook Express 擷取密碼案例 (續 )
2-115
網路安全
ndash 5填入 10123 如紅框所示點選 Next鈕ndash 6填入帳號為 tester 及密碼為 testpw 點選 Next鈕
Outlook Express 擷取密碼案例 (續 )
2-116
網路安全
ndash 7 點選 Finish鈕ndash 8 點選 Close鈕
Outlook Express 擷取密碼案例 (續 )
2-117
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 模擬條件準備好後首先準備Wireshark 擷取動作開啟Wireshark
2-118
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 於Wireshark軟體選擇 Capture 下拉選單功能項點選 Interfaces 選項
2-119
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 確認欲擷取封包之網卡名稱如紅色底線所示確認後點選 Start鈕
2-120
網路安全
ndash 當使用者收發 email 時即被 Wireshark攔截封包ndash 有發現到該 Outlook Express帳號密碼是如此清晰可見的嗎
Outlook Express 擷取密碼案例 (續 )
2-121
網路安全
結論bull 學習了 Wireshark及WinDump 兩套網路封包擷取軟體基本概念如同電話側錄概念相同從中複製一連串資訊來分析與了解網路的流量及內容為何bull 當你發現網路速度緩慢等狀況你是否會反應到所學的基本概念來找尋問題所在bull 防範概念由此課程的實例可以了解網路內容如被有心人士擷取所造成的損失相當可觀故你是否有對策有哪些方式你可以應用來防範bull 正確的思考善用對的工具將對解決問題事半功倍
2-122
網路安全 2-123
Module 2-5 封包擷取與分析的專案實作()
網路安全
專案目的bull 建立遠端管理傳遞指令資訊環境bull 利用實際攔截封包操作的方式讓同學了解封包擷取運作與網路資訊流通的顧慮等相關議題
2-124
網路安全
專案描述bull 近年來遠端管理伺服器及網路服務普及光是密碼保護就足夠了嗎是否重點網段須全程加密還是作網段隔離經由此專案實作即可了解不僅部分加密仍有其風險所在網路架構如何規劃將是非常重要的課題bull 參考環境配置圖完成下列要求①環境裡的攔截封包主機是 Windows XP SP3 作業系統而該主機安裝Wireshark軟體②另兩台主機的作業系統亦是 Windows XP SP3 並裝上
MySQL軟體 MySQL帳號為 root 密碼為您的學號 (如 Q3896105)
③在MySQLClient 電腦使用 MySQL Commandline 指令連線至MySQLServer 擷取資料庫資訊
④我們針對這兩台主機傳訊的封包擷取由整個實做中思考如何防範資訊外洩與了解傳訊封包如何流動及運作2-125
網路安全
環境配置圖bull 以 Testbed建立一實驗相關拓樸及設定如下圖
MySQLServerOSWINXP-SP3-CH-pc3000 IP 10123安裝軟體 MySQL
MySQLClientOSWINXP-SP3-CH-pc3000 IP 10112安裝軟體 MySQL
2-126
WireSharkOSWINXP-SP3-CH-pc3000 IP1 10113IP2 10122安裝軟體 Wireshark
IP1IP2
網路安全
作業繳交bull 請參考情境測試發送數個 SQL 指令並將過程與擷取到的封包資訊之截圖列於報告中所有圖表皆需要輔以文字說明bull Deadline 2012312 下午 500 以前bull 作業範圍 Module 2-5 (page 2-128)bull 方式 (參考課程網址 )
ndash 帳號密碼小寫的 (ns100ns100)ndash IP 140116164167
2-127
網路安全
有問題嗎
bull 關於 TestBed 使用上的問題請直接 Email至 twisc-testbed-usergooglegroupscom 將有專人為您服務bull 課程網址
httpitlabeenckuedutwcoursesNS_100indexhtml
2-128
bull 助教資訊 (參考課程網址 )
網路安全
參考資料bull Dienet httplinuxdienetman1wiresharkbull Orebaugh Angela Ramirez Gilbert Burke Josh Pesce Larry Wright
Joshua(2007) Wireshark and Ethereal network protocol analyzer toolkitbull Tony Fortunato(2007) Wireshark Training Retrieved July 22 2009 from
the World Wide Web httpwwwthetechfirmcometherealwiresharkpdfbull WinDump httpwwwwinpcaporgWinDumpbull Wireshark httpwwwwiresharkorgbull Wireshark University httpwwwwiresharktrainingcombull 楊中皇 (民 97年 ) 網路安全理論與實務 (2版 ) 台北市學貫bull 蘇淑茵教授 Wireshark 民國 98年 6月 28日取自 httpmywebnckuedutw~sisou
2-129
網路安全
ndash 5 點選使用者設定鈕如紅圈所示ndash 6 點選新增鈕如紅框所示
Outlook Express 擷取密碼案例 (續 )
2-109
網路安全
ndash 7填入使用者名稱 (tester) 及密碼 (testpw) 如紅圈所示填寫完成後點選 OK鈕ndash 8 點選 Close鈕關閉使用者設定視窗
Outlook Express 擷取密碼案例 (續 )
2-110
網路安全
ndash 9 點選選項鈕如左側圖中紅色圈所示ndash 10 點選紅色打勾鈕如右側圖中紅色圈所示
2-111
Outlook Express 擷取密碼案例 (續 )
網路安全
ndash 11該軟體會自動選取 DNS Server 待選取後點選 Yes鈕ndash 12 勾選 Allow Relay 選項如紅框所示
2-112
Outlook Express 擷取密碼案例 (續 )
網路安全
Outlook Express 擷取密碼案例 (續 )
bull 設定收信帳號ndash 1 點選 Tools功能選單選擇 Accounts 選項
2-113
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 2 點選 Add鈕選擇 Mail 選項
2-114
網路安全
ndash 3填入 tester 點選 Next鈕ndash 4填入 testertestcom 點選 Next鈕
Outlook Express 擷取密碼案例 (續 )
2-115
網路安全
ndash 5填入 10123 如紅框所示點選 Next鈕ndash 6填入帳號為 tester 及密碼為 testpw 點選 Next鈕
Outlook Express 擷取密碼案例 (續 )
2-116
網路安全
ndash 7 點選 Finish鈕ndash 8 點選 Close鈕
Outlook Express 擷取密碼案例 (續 )
2-117
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 模擬條件準備好後首先準備Wireshark 擷取動作開啟Wireshark
2-118
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 於Wireshark軟體選擇 Capture 下拉選單功能項點選 Interfaces 選項
2-119
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 確認欲擷取封包之網卡名稱如紅色底線所示確認後點選 Start鈕
2-120
網路安全
ndash 當使用者收發 email 時即被 Wireshark攔截封包ndash 有發現到該 Outlook Express帳號密碼是如此清晰可見的嗎
Outlook Express 擷取密碼案例 (續 )
2-121
網路安全
結論bull 學習了 Wireshark及WinDump 兩套網路封包擷取軟體基本概念如同電話側錄概念相同從中複製一連串資訊來分析與了解網路的流量及內容為何bull 當你發現網路速度緩慢等狀況你是否會反應到所學的基本概念來找尋問題所在bull 防範概念由此課程的實例可以了解網路內容如被有心人士擷取所造成的損失相當可觀故你是否有對策有哪些方式你可以應用來防範bull 正確的思考善用對的工具將對解決問題事半功倍
2-122
網路安全 2-123
Module 2-5 封包擷取與分析的專案實作()
網路安全
專案目的bull 建立遠端管理傳遞指令資訊環境bull 利用實際攔截封包操作的方式讓同學了解封包擷取運作與網路資訊流通的顧慮等相關議題
2-124
網路安全
專案描述bull 近年來遠端管理伺服器及網路服務普及光是密碼保護就足夠了嗎是否重點網段須全程加密還是作網段隔離經由此專案實作即可了解不僅部分加密仍有其風險所在網路架構如何規劃將是非常重要的課題bull 參考環境配置圖完成下列要求①環境裡的攔截封包主機是 Windows XP SP3 作業系統而該主機安裝Wireshark軟體②另兩台主機的作業系統亦是 Windows XP SP3 並裝上
MySQL軟體 MySQL帳號為 root 密碼為您的學號 (如 Q3896105)
③在MySQLClient 電腦使用 MySQL Commandline 指令連線至MySQLServer 擷取資料庫資訊
④我們針對這兩台主機傳訊的封包擷取由整個實做中思考如何防範資訊外洩與了解傳訊封包如何流動及運作2-125
網路安全
環境配置圖bull 以 Testbed建立一實驗相關拓樸及設定如下圖
MySQLServerOSWINXP-SP3-CH-pc3000 IP 10123安裝軟體 MySQL
MySQLClientOSWINXP-SP3-CH-pc3000 IP 10112安裝軟體 MySQL
2-126
WireSharkOSWINXP-SP3-CH-pc3000 IP1 10113IP2 10122安裝軟體 Wireshark
IP1IP2
網路安全
作業繳交bull 請參考情境測試發送數個 SQL 指令並將過程與擷取到的封包資訊之截圖列於報告中所有圖表皆需要輔以文字說明bull Deadline 2012312 下午 500 以前bull 作業範圍 Module 2-5 (page 2-128)bull 方式 (參考課程網址 )
ndash 帳號密碼小寫的 (ns100ns100)ndash IP 140116164167
2-127
網路安全
有問題嗎
bull 關於 TestBed 使用上的問題請直接 Email至 twisc-testbed-usergooglegroupscom 將有專人為您服務bull 課程網址
httpitlabeenckuedutwcoursesNS_100indexhtml
2-128
bull 助教資訊 (參考課程網址 )
網路安全
參考資料bull Dienet httplinuxdienetman1wiresharkbull Orebaugh Angela Ramirez Gilbert Burke Josh Pesce Larry Wright
Joshua(2007) Wireshark and Ethereal network protocol analyzer toolkitbull Tony Fortunato(2007) Wireshark Training Retrieved July 22 2009 from
the World Wide Web httpwwwthetechfirmcometherealwiresharkpdfbull WinDump httpwwwwinpcaporgWinDumpbull Wireshark httpwwwwiresharkorgbull Wireshark University httpwwwwiresharktrainingcombull 楊中皇 (民 97年 ) 網路安全理論與實務 (2版 ) 台北市學貫bull 蘇淑茵教授 Wireshark 民國 98年 6月 28日取自 httpmywebnckuedutw~sisou
2-129
網路安全
ndash 7填入使用者名稱 (tester) 及密碼 (testpw) 如紅圈所示填寫完成後點選 OK鈕ndash 8 點選 Close鈕關閉使用者設定視窗
Outlook Express 擷取密碼案例 (續 )
2-110
網路安全
ndash 9 點選選項鈕如左側圖中紅色圈所示ndash 10 點選紅色打勾鈕如右側圖中紅色圈所示
2-111
Outlook Express 擷取密碼案例 (續 )
網路安全
ndash 11該軟體會自動選取 DNS Server 待選取後點選 Yes鈕ndash 12 勾選 Allow Relay 選項如紅框所示
2-112
Outlook Express 擷取密碼案例 (續 )
網路安全
Outlook Express 擷取密碼案例 (續 )
bull 設定收信帳號ndash 1 點選 Tools功能選單選擇 Accounts 選項
2-113
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 2 點選 Add鈕選擇 Mail 選項
2-114
網路安全
ndash 3填入 tester 點選 Next鈕ndash 4填入 testertestcom 點選 Next鈕
Outlook Express 擷取密碼案例 (續 )
2-115
網路安全
ndash 5填入 10123 如紅框所示點選 Next鈕ndash 6填入帳號為 tester 及密碼為 testpw 點選 Next鈕
Outlook Express 擷取密碼案例 (續 )
2-116
網路安全
ndash 7 點選 Finish鈕ndash 8 點選 Close鈕
Outlook Express 擷取密碼案例 (續 )
2-117
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 模擬條件準備好後首先準備Wireshark 擷取動作開啟Wireshark
2-118
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 於Wireshark軟體選擇 Capture 下拉選單功能項點選 Interfaces 選項
2-119
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 確認欲擷取封包之網卡名稱如紅色底線所示確認後點選 Start鈕
2-120
網路安全
ndash 當使用者收發 email 時即被 Wireshark攔截封包ndash 有發現到該 Outlook Express帳號密碼是如此清晰可見的嗎
Outlook Express 擷取密碼案例 (續 )
2-121
網路安全
結論bull 學習了 Wireshark及WinDump 兩套網路封包擷取軟體基本概念如同電話側錄概念相同從中複製一連串資訊來分析與了解網路的流量及內容為何bull 當你發現網路速度緩慢等狀況你是否會反應到所學的基本概念來找尋問題所在bull 防範概念由此課程的實例可以了解網路內容如被有心人士擷取所造成的損失相當可觀故你是否有對策有哪些方式你可以應用來防範bull 正確的思考善用對的工具將對解決問題事半功倍
2-122
網路安全 2-123
Module 2-5 封包擷取與分析的專案實作()
網路安全
專案目的bull 建立遠端管理傳遞指令資訊環境bull 利用實際攔截封包操作的方式讓同學了解封包擷取運作與網路資訊流通的顧慮等相關議題
2-124
網路安全
專案描述bull 近年來遠端管理伺服器及網路服務普及光是密碼保護就足夠了嗎是否重點網段須全程加密還是作網段隔離經由此專案實作即可了解不僅部分加密仍有其風險所在網路架構如何規劃將是非常重要的課題bull 參考環境配置圖完成下列要求①環境裡的攔截封包主機是 Windows XP SP3 作業系統而該主機安裝Wireshark軟體②另兩台主機的作業系統亦是 Windows XP SP3 並裝上
MySQL軟體 MySQL帳號為 root 密碼為您的學號 (如 Q3896105)
③在MySQLClient 電腦使用 MySQL Commandline 指令連線至MySQLServer 擷取資料庫資訊
④我們針對這兩台主機傳訊的封包擷取由整個實做中思考如何防範資訊外洩與了解傳訊封包如何流動及運作2-125
網路安全
環境配置圖bull 以 Testbed建立一實驗相關拓樸及設定如下圖
MySQLServerOSWINXP-SP3-CH-pc3000 IP 10123安裝軟體 MySQL
MySQLClientOSWINXP-SP3-CH-pc3000 IP 10112安裝軟體 MySQL
2-126
WireSharkOSWINXP-SP3-CH-pc3000 IP1 10113IP2 10122安裝軟體 Wireshark
IP1IP2
網路安全
作業繳交bull 請參考情境測試發送數個 SQL 指令並將過程與擷取到的封包資訊之截圖列於報告中所有圖表皆需要輔以文字說明bull Deadline 2012312 下午 500 以前bull 作業範圍 Module 2-5 (page 2-128)bull 方式 (參考課程網址 )
ndash 帳號密碼小寫的 (ns100ns100)ndash IP 140116164167
2-127
網路安全
有問題嗎
bull 關於 TestBed 使用上的問題請直接 Email至 twisc-testbed-usergooglegroupscom 將有專人為您服務bull 課程網址
httpitlabeenckuedutwcoursesNS_100indexhtml
2-128
bull 助教資訊 (參考課程網址 )
網路安全
參考資料bull Dienet httplinuxdienetman1wiresharkbull Orebaugh Angela Ramirez Gilbert Burke Josh Pesce Larry Wright
Joshua(2007) Wireshark and Ethereal network protocol analyzer toolkitbull Tony Fortunato(2007) Wireshark Training Retrieved July 22 2009 from
the World Wide Web httpwwwthetechfirmcometherealwiresharkpdfbull WinDump httpwwwwinpcaporgWinDumpbull Wireshark httpwwwwiresharkorgbull Wireshark University httpwwwwiresharktrainingcombull 楊中皇 (民 97年 ) 網路安全理論與實務 (2版 ) 台北市學貫bull 蘇淑茵教授 Wireshark 民國 98年 6月 28日取自 httpmywebnckuedutw~sisou
2-129
網路安全
ndash 9 點選選項鈕如左側圖中紅色圈所示ndash 10 點選紅色打勾鈕如右側圖中紅色圈所示
2-111
Outlook Express 擷取密碼案例 (續 )
網路安全
ndash 11該軟體會自動選取 DNS Server 待選取後點選 Yes鈕ndash 12 勾選 Allow Relay 選項如紅框所示
2-112
Outlook Express 擷取密碼案例 (續 )
網路安全
Outlook Express 擷取密碼案例 (續 )
bull 設定收信帳號ndash 1 點選 Tools功能選單選擇 Accounts 選項
2-113
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 2 點選 Add鈕選擇 Mail 選項
2-114
網路安全
ndash 3填入 tester 點選 Next鈕ndash 4填入 testertestcom 點選 Next鈕
Outlook Express 擷取密碼案例 (續 )
2-115
網路安全
ndash 5填入 10123 如紅框所示點選 Next鈕ndash 6填入帳號為 tester 及密碼為 testpw 點選 Next鈕
Outlook Express 擷取密碼案例 (續 )
2-116
網路安全
ndash 7 點選 Finish鈕ndash 8 點選 Close鈕
Outlook Express 擷取密碼案例 (續 )
2-117
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 模擬條件準備好後首先準備Wireshark 擷取動作開啟Wireshark
2-118
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 於Wireshark軟體選擇 Capture 下拉選單功能項點選 Interfaces 選項
2-119
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 確認欲擷取封包之網卡名稱如紅色底線所示確認後點選 Start鈕
2-120
網路安全
ndash 當使用者收發 email 時即被 Wireshark攔截封包ndash 有發現到該 Outlook Express帳號密碼是如此清晰可見的嗎
Outlook Express 擷取密碼案例 (續 )
2-121
網路安全
結論bull 學習了 Wireshark及WinDump 兩套網路封包擷取軟體基本概念如同電話側錄概念相同從中複製一連串資訊來分析與了解網路的流量及內容為何bull 當你發現網路速度緩慢等狀況你是否會反應到所學的基本概念來找尋問題所在bull 防範概念由此課程的實例可以了解網路內容如被有心人士擷取所造成的損失相當可觀故你是否有對策有哪些方式你可以應用來防範bull 正確的思考善用對的工具將對解決問題事半功倍
2-122
網路安全 2-123
Module 2-5 封包擷取與分析的專案實作()
網路安全
專案目的bull 建立遠端管理傳遞指令資訊環境bull 利用實際攔截封包操作的方式讓同學了解封包擷取運作與網路資訊流通的顧慮等相關議題
2-124
網路安全
專案描述bull 近年來遠端管理伺服器及網路服務普及光是密碼保護就足夠了嗎是否重點網段須全程加密還是作網段隔離經由此專案實作即可了解不僅部分加密仍有其風險所在網路架構如何規劃將是非常重要的課題bull 參考環境配置圖完成下列要求①環境裡的攔截封包主機是 Windows XP SP3 作業系統而該主機安裝Wireshark軟體②另兩台主機的作業系統亦是 Windows XP SP3 並裝上
MySQL軟體 MySQL帳號為 root 密碼為您的學號 (如 Q3896105)
③在MySQLClient 電腦使用 MySQL Commandline 指令連線至MySQLServer 擷取資料庫資訊
④我們針對這兩台主機傳訊的封包擷取由整個實做中思考如何防範資訊外洩與了解傳訊封包如何流動及運作2-125
網路安全
環境配置圖bull 以 Testbed建立一實驗相關拓樸及設定如下圖
MySQLServerOSWINXP-SP3-CH-pc3000 IP 10123安裝軟體 MySQL
MySQLClientOSWINXP-SP3-CH-pc3000 IP 10112安裝軟體 MySQL
2-126
WireSharkOSWINXP-SP3-CH-pc3000 IP1 10113IP2 10122安裝軟體 Wireshark
IP1IP2
網路安全
作業繳交bull 請參考情境測試發送數個 SQL 指令並將過程與擷取到的封包資訊之截圖列於報告中所有圖表皆需要輔以文字說明bull Deadline 2012312 下午 500 以前bull 作業範圍 Module 2-5 (page 2-128)bull 方式 (參考課程網址 )
ndash 帳號密碼小寫的 (ns100ns100)ndash IP 140116164167
2-127
網路安全
有問題嗎
bull 關於 TestBed 使用上的問題請直接 Email至 twisc-testbed-usergooglegroupscom 將有專人為您服務bull 課程網址
httpitlabeenckuedutwcoursesNS_100indexhtml
2-128
bull 助教資訊 (參考課程網址 )
網路安全
參考資料bull Dienet httplinuxdienetman1wiresharkbull Orebaugh Angela Ramirez Gilbert Burke Josh Pesce Larry Wright
Joshua(2007) Wireshark and Ethereal network protocol analyzer toolkitbull Tony Fortunato(2007) Wireshark Training Retrieved July 22 2009 from
the World Wide Web httpwwwthetechfirmcometherealwiresharkpdfbull WinDump httpwwwwinpcaporgWinDumpbull Wireshark httpwwwwiresharkorgbull Wireshark University httpwwwwiresharktrainingcombull 楊中皇 (民 97年 ) 網路安全理論與實務 (2版 ) 台北市學貫bull 蘇淑茵教授 Wireshark 民國 98年 6月 28日取自 httpmywebnckuedutw~sisou
2-129
網路安全
ndash 11該軟體會自動選取 DNS Server 待選取後點選 Yes鈕ndash 12 勾選 Allow Relay 選項如紅框所示
2-112
Outlook Express 擷取密碼案例 (續 )
網路安全
Outlook Express 擷取密碼案例 (續 )
bull 設定收信帳號ndash 1 點選 Tools功能選單選擇 Accounts 選項
2-113
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 2 點選 Add鈕選擇 Mail 選項
2-114
網路安全
ndash 3填入 tester 點選 Next鈕ndash 4填入 testertestcom 點選 Next鈕
Outlook Express 擷取密碼案例 (續 )
2-115
網路安全
ndash 5填入 10123 如紅框所示點選 Next鈕ndash 6填入帳號為 tester 及密碼為 testpw 點選 Next鈕
Outlook Express 擷取密碼案例 (續 )
2-116
網路安全
ndash 7 點選 Finish鈕ndash 8 點選 Close鈕
Outlook Express 擷取密碼案例 (續 )
2-117
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 模擬條件準備好後首先準備Wireshark 擷取動作開啟Wireshark
2-118
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 於Wireshark軟體選擇 Capture 下拉選單功能項點選 Interfaces 選項
2-119
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 確認欲擷取封包之網卡名稱如紅色底線所示確認後點選 Start鈕
2-120
網路安全
ndash 當使用者收發 email 時即被 Wireshark攔截封包ndash 有發現到該 Outlook Express帳號密碼是如此清晰可見的嗎
Outlook Express 擷取密碼案例 (續 )
2-121
網路安全
結論bull 學習了 Wireshark及WinDump 兩套網路封包擷取軟體基本概念如同電話側錄概念相同從中複製一連串資訊來分析與了解網路的流量及內容為何bull 當你發現網路速度緩慢等狀況你是否會反應到所學的基本概念來找尋問題所在bull 防範概念由此課程的實例可以了解網路內容如被有心人士擷取所造成的損失相當可觀故你是否有對策有哪些方式你可以應用來防範bull 正確的思考善用對的工具將對解決問題事半功倍
2-122
網路安全 2-123
Module 2-5 封包擷取與分析的專案實作()
網路安全
專案目的bull 建立遠端管理傳遞指令資訊環境bull 利用實際攔截封包操作的方式讓同學了解封包擷取運作與網路資訊流通的顧慮等相關議題
2-124
網路安全
專案描述bull 近年來遠端管理伺服器及網路服務普及光是密碼保護就足夠了嗎是否重點網段須全程加密還是作網段隔離經由此專案實作即可了解不僅部分加密仍有其風險所在網路架構如何規劃將是非常重要的課題bull 參考環境配置圖完成下列要求①環境裡的攔截封包主機是 Windows XP SP3 作業系統而該主機安裝Wireshark軟體②另兩台主機的作業系統亦是 Windows XP SP3 並裝上
MySQL軟體 MySQL帳號為 root 密碼為您的學號 (如 Q3896105)
③在MySQLClient 電腦使用 MySQL Commandline 指令連線至MySQLServer 擷取資料庫資訊
④我們針對這兩台主機傳訊的封包擷取由整個實做中思考如何防範資訊外洩與了解傳訊封包如何流動及運作2-125
網路安全
環境配置圖bull 以 Testbed建立一實驗相關拓樸及設定如下圖
MySQLServerOSWINXP-SP3-CH-pc3000 IP 10123安裝軟體 MySQL
MySQLClientOSWINXP-SP3-CH-pc3000 IP 10112安裝軟體 MySQL
2-126
WireSharkOSWINXP-SP3-CH-pc3000 IP1 10113IP2 10122安裝軟體 Wireshark
IP1IP2
網路安全
作業繳交bull 請參考情境測試發送數個 SQL 指令並將過程與擷取到的封包資訊之截圖列於報告中所有圖表皆需要輔以文字說明bull Deadline 2012312 下午 500 以前bull 作業範圍 Module 2-5 (page 2-128)bull 方式 (參考課程網址 )
ndash 帳號密碼小寫的 (ns100ns100)ndash IP 140116164167
2-127
網路安全
有問題嗎
bull 關於 TestBed 使用上的問題請直接 Email至 twisc-testbed-usergooglegroupscom 將有專人為您服務bull 課程網址
httpitlabeenckuedutwcoursesNS_100indexhtml
2-128
bull 助教資訊 (參考課程網址 )
網路安全
參考資料bull Dienet httplinuxdienetman1wiresharkbull Orebaugh Angela Ramirez Gilbert Burke Josh Pesce Larry Wright
Joshua(2007) Wireshark and Ethereal network protocol analyzer toolkitbull Tony Fortunato(2007) Wireshark Training Retrieved July 22 2009 from
the World Wide Web httpwwwthetechfirmcometherealwiresharkpdfbull WinDump httpwwwwinpcaporgWinDumpbull Wireshark httpwwwwiresharkorgbull Wireshark University httpwwwwiresharktrainingcombull 楊中皇 (民 97年 ) 網路安全理論與實務 (2版 ) 台北市學貫bull 蘇淑茵教授 Wireshark 民國 98年 6月 28日取自 httpmywebnckuedutw~sisou
2-129
網路安全
Outlook Express 擷取密碼案例 (續 )
bull 設定收信帳號ndash 1 點選 Tools功能選單選擇 Accounts 選項
2-113
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 2 點選 Add鈕選擇 Mail 選項
2-114
網路安全
ndash 3填入 tester 點選 Next鈕ndash 4填入 testertestcom 點選 Next鈕
Outlook Express 擷取密碼案例 (續 )
2-115
網路安全
ndash 5填入 10123 如紅框所示點選 Next鈕ndash 6填入帳號為 tester 及密碼為 testpw 點選 Next鈕
Outlook Express 擷取密碼案例 (續 )
2-116
網路安全
ndash 7 點選 Finish鈕ndash 8 點選 Close鈕
Outlook Express 擷取密碼案例 (續 )
2-117
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 模擬條件準備好後首先準備Wireshark 擷取動作開啟Wireshark
2-118
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 於Wireshark軟體選擇 Capture 下拉選單功能項點選 Interfaces 選項
2-119
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 確認欲擷取封包之網卡名稱如紅色底線所示確認後點選 Start鈕
2-120
網路安全
ndash 當使用者收發 email 時即被 Wireshark攔截封包ndash 有發現到該 Outlook Express帳號密碼是如此清晰可見的嗎
Outlook Express 擷取密碼案例 (續 )
2-121
網路安全
結論bull 學習了 Wireshark及WinDump 兩套網路封包擷取軟體基本概念如同電話側錄概念相同從中複製一連串資訊來分析與了解網路的流量及內容為何bull 當你發現網路速度緩慢等狀況你是否會反應到所學的基本概念來找尋問題所在bull 防範概念由此課程的實例可以了解網路內容如被有心人士擷取所造成的損失相當可觀故你是否有對策有哪些方式你可以應用來防範bull 正確的思考善用對的工具將對解決問題事半功倍
2-122
網路安全 2-123
Module 2-5 封包擷取與分析的專案實作()
網路安全
專案目的bull 建立遠端管理傳遞指令資訊環境bull 利用實際攔截封包操作的方式讓同學了解封包擷取運作與網路資訊流通的顧慮等相關議題
2-124
網路安全
專案描述bull 近年來遠端管理伺服器及網路服務普及光是密碼保護就足夠了嗎是否重點網段須全程加密還是作網段隔離經由此專案實作即可了解不僅部分加密仍有其風險所在網路架構如何規劃將是非常重要的課題bull 參考環境配置圖完成下列要求①環境裡的攔截封包主機是 Windows XP SP3 作業系統而該主機安裝Wireshark軟體②另兩台主機的作業系統亦是 Windows XP SP3 並裝上
MySQL軟體 MySQL帳號為 root 密碼為您的學號 (如 Q3896105)
③在MySQLClient 電腦使用 MySQL Commandline 指令連線至MySQLServer 擷取資料庫資訊
④我們針對這兩台主機傳訊的封包擷取由整個實做中思考如何防範資訊外洩與了解傳訊封包如何流動及運作2-125
網路安全
環境配置圖bull 以 Testbed建立一實驗相關拓樸及設定如下圖
MySQLServerOSWINXP-SP3-CH-pc3000 IP 10123安裝軟體 MySQL
MySQLClientOSWINXP-SP3-CH-pc3000 IP 10112安裝軟體 MySQL
2-126
WireSharkOSWINXP-SP3-CH-pc3000 IP1 10113IP2 10122安裝軟體 Wireshark
IP1IP2
網路安全
作業繳交bull 請參考情境測試發送數個 SQL 指令並將過程與擷取到的封包資訊之截圖列於報告中所有圖表皆需要輔以文字說明bull Deadline 2012312 下午 500 以前bull 作業範圍 Module 2-5 (page 2-128)bull 方式 (參考課程網址 )
ndash 帳號密碼小寫的 (ns100ns100)ndash IP 140116164167
2-127
網路安全
有問題嗎
bull 關於 TestBed 使用上的問題請直接 Email至 twisc-testbed-usergooglegroupscom 將有專人為您服務bull 課程網址
httpitlabeenckuedutwcoursesNS_100indexhtml
2-128
bull 助教資訊 (參考課程網址 )
網路安全
參考資料bull Dienet httplinuxdienetman1wiresharkbull Orebaugh Angela Ramirez Gilbert Burke Josh Pesce Larry Wright
Joshua(2007) Wireshark and Ethereal network protocol analyzer toolkitbull Tony Fortunato(2007) Wireshark Training Retrieved July 22 2009 from
the World Wide Web httpwwwthetechfirmcometherealwiresharkpdfbull WinDump httpwwwwinpcaporgWinDumpbull Wireshark httpwwwwiresharkorgbull Wireshark University httpwwwwiresharktrainingcombull 楊中皇 (民 97年 ) 網路安全理論與實務 (2版 ) 台北市學貫bull 蘇淑茵教授 Wireshark 民國 98年 6月 28日取自 httpmywebnckuedutw~sisou
2-129
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 2 點選 Add鈕選擇 Mail 選項
2-114
網路安全
ndash 3填入 tester 點選 Next鈕ndash 4填入 testertestcom 點選 Next鈕
Outlook Express 擷取密碼案例 (續 )
2-115
網路安全
ndash 5填入 10123 如紅框所示點選 Next鈕ndash 6填入帳號為 tester 及密碼為 testpw 點選 Next鈕
Outlook Express 擷取密碼案例 (續 )
2-116
網路安全
ndash 7 點選 Finish鈕ndash 8 點選 Close鈕
Outlook Express 擷取密碼案例 (續 )
2-117
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 模擬條件準備好後首先準備Wireshark 擷取動作開啟Wireshark
2-118
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 於Wireshark軟體選擇 Capture 下拉選單功能項點選 Interfaces 選項
2-119
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 確認欲擷取封包之網卡名稱如紅色底線所示確認後點選 Start鈕
2-120
網路安全
ndash 當使用者收發 email 時即被 Wireshark攔截封包ndash 有發現到該 Outlook Express帳號密碼是如此清晰可見的嗎
Outlook Express 擷取密碼案例 (續 )
2-121
網路安全
結論bull 學習了 Wireshark及WinDump 兩套網路封包擷取軟體基本概念如同電話側錄概念相同從中複製一連串資訊來分析與了解網路的流量及內容為何bull 當你發現網路速度緩慢等狀況你是否會反應到所學的基本概念來找尋問題所在bull 防範概念由此課程的實例可以了解網路內容如被有心人士擷取所造成的損失相當可觀故你是否有對策有哪些方式你可以應用來防範bull 正確的思考善用對的工具將對解決問題事半功倍
2-122
網路安全 2-123
Module 2-5 封包擷取與分析的專案實作()
網路安全
專案目的bull 建立遠端管理傳遞指令資訊環境bull 利用實際攔截封包操作的方式讓同學了解封包擷取運作與網路資訊流通的顧慮等相關議題
2-124
網路安全
專案描述bull 近年來遠端管理伺服器及網路服務普及光是密碼保護就足夠了嗎是否重點網段須全程加密還是作網段隔離經由此專案實作即可了解不僅部分加密仍有其風險所在網路架構如何規劃將是非常重要的課題bull 參考環境配置圖完成下列要求①環境裡的攔截封包主機是 Windows XP SP3 作業系統而該主機安裝Wireshark軟體②另兩台主機的作業系統亦是 Windows XP SP3 並裝上
MySQL軟體 MySQL帳號為 root 密碼為您的學號 (如 Q3896105)
③在MySQLClient 電腦使用 MySQL Commandline 指令連線至MySQLServer 擷取資料庫資訊
④我們針對這兩台主機傳訊的封包擷取由整個實做中思考如何防範資訊外洩與了解傳訊封包如何流動及運作2-125
網路安全
環境配置圖bull 以 Testbed建立一實驗相關拓樸及設定如下圖
MySQLServerOSWINXP-SP3-CH-pc3000 IP 10123安裝軟體 MySQL
MySQLClientOSWINXP-SP3-CH-pc3000 IP 10112安裝軟體 MySQL
2-126
WireSharkOSWINXP-SP3-CH-pc3000 IP1 10113IP2 10122安裝軟體 Wireshark
IP1IP2
網路安全
作業繳交bull 請參考情境測試發送數個 SQL 指令並將過程與擷取到的封包資訊之截圖列於報告中所有圖表皆需要輔以文字說明bull Deadline 2012312 下午 500 以前bull 作業範圍 Module 2-5 (page 2-128)bull 方式 (參考課程網址 )
ndash 帳號密碼小寫的 (ns100ns100)ndash IP 140116164167
2-127
網路安全
有問題嗎
bull 關於 TestBed 使用上的問題請直接 Email至 twisc-testbed-usergooglegroupscom 將有專人為您服務bull 課程網址
httpitlabeenckuedutwcoursesNS_100indexhtml
2-128
bull 助教資訊 (參考課程網址 )
網路安全
參考資料bull Dienet httplinuxdienetman1wiresharkbull Orebaugh Angela Ramirez Gilbert Burke Josh Pesce Larry Wright
Joshua(2007) Wireshark and Ethereal network protocol analyzer toolkitbull Tony Fortunato(2007) Wireshark Training Retrieved July 22 2009 from
the World Wide Web httpwwwthetechfirmcometherealwiresharkpdfbull WinDump httpwwwwinpcaporgWinDumpbull Wireshark httpwwwwiresharkorgbull Wireshark University httpwwwwiresharktrainingcombull 楊中皇 (民 97年 ) 網路安全理論與實務 (2版 ) 台北市學貫bull 蘇淑茵教授 Wireshark 民國 98年 6月 28日取自 httpmywebnckuedutw~sisou
2-129
網路安全
ndash 3填入 tester 點選 Next鈕ndash 4填入 testertestcom 點選 Next鈕
Outlook Express 擷取密碼案例 (續 )
2-115
網路安全
ndash 5填入 10123 如紅框所示點選 Next鈕ndash 6填入帳號為 tester 及密碼為 testpw 點選 Next鈕
Outlook Express 擷取密碼案例 (續 )
2-116
網路安全
ndash 7 點選 Finish鈕ndash 8 點選 Close鈕
Outlook Express 擷取密碼案例 (續 )
2-117
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 模擬條件準備好後首先準備Wireshark 擷取動作開啟Wireshark
2-118
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 於Wireshark軟體選擇 Capture 下拉選單功能項點選 Interfaces 選項
2-119
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 確認欲擷取封包之網卡名稱如紅色底線所示確認後點選 Start鈕
2-120
網路安全
ndash 當使用者收發 email 時即被 Wireshark攔截封包ndash 有發現到該 Outlook Express帳號密碼是如此清晰可見的嗎
Outlook Express 擷取密碼案例 (續 )
2-121
網路安全
結論bull 學習了 Wireshark及WinDump 兩套網路封包擷取軟體基本概念如同電話側錄概念相同從中複製一連串資訊來分析與了解網路的流量及內容為何bull 當你發現網路速度緩慢等狀況你是否會反應到所學的基本概念來找尋問題所在bull 防範概念由此課程的實例可以了解網路內容如被有心人士擷取所造成的損失相當可觀故你是否有對策有哪些方式你可以應用來防範bull 正確的思考善用對的工具將對解決問題事半功倍
2-122
網路安全 2-123
Module 2-5 封包擷取與分析的專案實作()
網路安全
專案目的bull 建立遠端管理傳遞指令資訊環境bull 利用實際攔截封包操作的方式讓同學了解封包擷取運作與網路資訊流通的顧慮等相關議題
2-124
網路安全
專案描述bull 近年來遠端管理伺服器及網路服務普及光是密碼保護就足夠了嗎是否重點網段須全程加密還是作網段隔離經由此專案實作即可了解不僅部分加密仍有其風險所在網路架構如何規劃將是非常重要的課題bull 參考環境配置圖完成下列要求①環境裡的攔截封包主機是 Windows XP SP3 作業系統而該主機安裝Wireshark軟體②另兩台主機的作業系統亦是 Windows XP SP3 並裝上
MySQL軟體 MySQL帳號為 root 密碼為您的學號 (如 Q3896105)
③在MySQLClient 電腦使用 MySQL Commandline 指令連線至MySQLServer 擷取資料庫資訊
④我們針對這兩台主機傳訊的封包擷取由整個實做中思考如何防範資訊外洩與了解傳訊封包如何流動及運作2-125
網路安全
環境配置圖bull 以 Testbed建立一實驗相關拓樸及設定如下圖
MySQLServerOSWINXP-SP3-CH-pc3000 IP 10123安裝軟體 MySQL
MySQLClientOSWINXP-SP3-CH-pc3000 IP 10112安裝軟體 MySQL
2-126
WireSharkOSWINXP-SP3-CH-pc3000 IP1 10113IP2 10122安裝軟體 Wireshark
IP1IP2
網路安全
作業繳交bull 請參考情境測試發送數個 SQL 指令並將過程與擷取到的封包資訊之截圖列於報告中所有圖表皆需要輔以文字說明bull Deadline 2012312 下午 500 以前bull 作業範圍 Module 2-5 (page 2-128)bull 方式 (參考課程網址 )
ndash 帳號密碼小寫的 (ns100ns100)ndash IP 140116164167
2-127
網路安全
有問題嗎
bull 關於 TestBed 使用上的問題請直接 Email至 twisc-testbed-usergooglegroupscom 將有專人為您服務bull 課程網址
httpitlabeenckuedutwcoursesNS_100indexhtml
2-128
bull 助教資訊 (參考課程網址 )
網路安全
參考資料bull Dienet httplinuxdienetman1wiresharkbull Orebaugh Angela Ramirez Gilbert Burke Josh Pesce Larry Wright
Joshua(2007) Wireshark and Ethereal network protocol analyzer toolkitbull Tony Fortunato(2007) Wireshark Training Retrieved July 22 2009 from
the World Wide Web httpwwwthetechfirmcometherealwiresharkpdfbull WinDump httpwwwwinpcaporgWinDumpbull Wireshark httpwwwwiresharkorgbull Wireshark University httpwwwwiresharktrainingcombull 楊中皇 (民 97年 ) 網路安全理論與實務 (2版 ) 台北市學貫bull 蘇淑茵教授 Wireshark 民國 98年 6月 28日取自 httpmywebnckuedutw~sisou
2-129
網路安全
ndash 5填入 10123 如紅框所示點選 Next鈕ndash 6填入帳號為 tester 及密碼為 testpw 點選 Next鈕
Outlook Express 擷取密碼案例 (續 )
2-116
網路安全
ndash 7 點選 Finish鈕ndash 8 點選 Close鈕
Outlook Express 擷取密碼案例 (續 )
2-117
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 模擬條件準備好後首先準備Wireshark 擷取動作開啟Wireshark
2-118
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 於Wireshark軟體選擇 Capture 下拉選單功能項點選 Interfaces 選項
2-119
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 確認欲擷取封包之網卡名稱如紅色底線所示確認後點選 Start鈕
2-120
網路安全
ndash 當使用者收發 email 時即被 Wireshark攔截封包ndash 有發現到該 Outlook Express帳號密碼是如此清晰可見的嗎
Outlook Express 擷取密碼案例 (續 )
2-121
網路安全
結論bull 學習了 Wireshark及WinDump 兩套網路封包擷取軟體基本概念如同電話側錄概念相同從中複製一連串資訊來分析與了解網路的流量及內容為何bull 當你發現網路速度緩慢等狀況你是否會反應到所學的基本概念來找尋問題所在bull 防範概念由此課程的實例可以了解網路內容如被有心人士擷取所造成的損失相當可觀故你是否有對策有哪些方式你可以應用來防範bull 正確的思考善用對的工具將對解決問題事半功倍
2-122
網路安全 2-123
Module 2-5 封包擷取與分析的專案實作()
網路安全
專案目的bull 建立遠端管理傳遞指令資訊環境bull 利用實際攔截封包操作的方式讓同學了解封包擷取運作與網路資訊流通的顧慮等相關議題
2-124
網路安全
專案描述bull 近年來遠端管理伺服器及網路服務普及光是密碼保護就足夠了嗎是否重點網段須全程加密還是作網段隔離經由此專案實作即可了解不僅部分加密仍有其風險所在網路架構如何規劃將是非常重要的課題bull 參考環境配置圖完成下列要求①環境裡的攔截封包主機是 Windows XP SP3 作業系統而該主機安裝Wireshark軟體②另兩台主機的作業系統亦是 Windows XP SP3 並裝上
MySQL軟體 MySQL帳號為 root 密碼為您的學號 (如 Q3896105)
③在MySQLClient 電腦使用 MySQL Commandline 指令連線至MySQLServer 擷取資料庫資訊
④我們針對這兩台主機傳訊的封包擷取由整個實做中思考如何防範資訊外洩與了解傳訊封包如何流動及運作2-125
網路安全
環境配置圖bull 以 Testbed建立一實驗相關拓樸及設定如下圖
MySQLServerOSWINXP-SP3-CH-pc3000 IP 10123安裝軟體 MySQL
MySQLClientOSWINXP-SP3-CH-pc3000 IP 10112安裝軟體 MySQL
2-126
WireSharkOSWINXP-SP3-CH-pc3000 IP1 10113IP2 10122安裝軟體 Wireshark
IP1IP2
網路安全
作業繳交bull 請參考情境測試發送數個 SQL 指令並將過程與擷取到的封包資訊之截圖列於報告中所有圖表皆需要輔以文字說明bull Deadline 2012312 下午 500 以前bull 作業範圍 Module 2-5 (page 2-128)bull 方式 (參考課程網址 )
ndash 帳號密碼小寫的 (ns100ns100)ndash IP 140116164167
2-127
網路安全
有問題嗎
bull 關於 TestBed 使用上的問題請直接 Email至 twisc-testbed-usergooglegroupscom 將有專人為您服務bull 課程網址
httpitlabeenckuedutwcoursesNS_100indexhtml
2-128
bull 助教資訊 (參考課程網址 )
網路安全
參考資料bull Dienet httplinuxdienetman1wiresharkbull Orebaugh Angela Ramirez Gilbert Burke Josh Pesce Larry Wright
Joshua(2007) Wireshark and Ethereal network protocol analyzer toolkitbull Tony Fortunato(2007) Wireshark Training Retrieved July 22 2009 from
the World Wide Web httpwwwthetechfirmcometherealwiresharkpdfbull WinDump httpwwwwinpcaporgWinDumpbull Wireshark httpwwwwiresharkorgbull Wireshark University httpwwwwiresharktrainingcombull 楊中皇 (民 97年 ) 網路安全理論與實務 (2版 ) 台北市學貫bull 蘇淑茵教授 Wireshark 民國 98年 6月 28日取自 httpmywebnckuedutw~sisou
2-129
網路安全
ndash 7 點選 Finish鈕ndash 8 點選 Close鈕
Outlook Express 擷取密碼案例 (續 )
2-117
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 模擬條件準備好後首先準備Wireshark 擷取動作開啟Wireshark
2-118
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 於Wireshark軟體選擇 Capture 下拉選單功能項點選 Interfaces 選項
2-119
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 確認欲擷取封包之網卡名稱如紅色底線所示確認後點選 Start鈕
2-120
網路安全
ndash 當使用者收發 email 時即被 Wireshark攔截封包ndash 有發現到該 Outlook Express帳號密碼是如此清晰可見的嗎
Outlook Express 擷取密碼案例 (續 )
2-121
網路安全
結論bull 學習了 Wireshark及WinDump 兩套網路封包擷取軟體基本概念如同電話側錄概念相同從中複製一連串資訊來分析與了解網路的流量及內容為何bull 當你發現網路速度緩慢等狀況你是否會反應到所學的基本概念來找尋問題所在bull 防範概念由此課程的實例可以了解網路內容如被有心人士擷取所造成的損失相當可觀故你是否有對策有哪些方式你可以應用來防範bull 正確的思考善用對的工具將對解決問題事半功倍
2-122
網路安全 2-123
Module 2-5 封包擷取與分析的專案實作()
網路安全
專案目的bull 建立遠端管理傳遞指令資訊環境bull 利用實際攔截封包操作的方式讓同學了解封包擷取運作與網路資訊流通的顧慮等相關議題
2-124
網路安全
專案描述bull 近年來遠端管理伺服器及網路服務普及光是密碼保護就足夠了嗎是否重點網段須全程加密還是作網段隔離經由此專案實作即可了解不僅部分加密仍有其風險所在網路架構如何規劃將是非常重要的課題bull 參考環境配置圖完成下列要求①環境裡的攔截封包主機是 Windows XP SP3 作業系統而該主機安裝Wireshark軟體②另兩台主機的作業系統亦是 Windows XP SP3 並裝上
MySQL軟體 MySQL帳號為 root 密碼為您的學號 (如 Q3896105)
③在MySQLClient 電腦使用 MySQL Commandline 指令連線至MySQLServer 擷取資料庫資訊
④我們針對這兩台主機傳訊的封包擷取由整個實做中思考如何防範資訊外洩與了解傳訊封包如何流動及運作2-125
網路安全
環境配置圖bull 以 Testbed建立一實驗相關拓樸及設定如下圖
MySQLServerOSWINXP-SP3-CH-pc3000 IP 10123安裝軟體 MySQL
MySQLClientOSWINXP-SP3-CH-pc3000 IP 10112安裝軟體 MySQL
2-126
WireSharkOSWINXP-SP3-CH-pc3000 IP1 10113IP2 10122安裝軟體 Wireshark
IP1IP2
網路安全
作業繳交bull 請參考情境測試發送數個 SQL 指令並將過程與擷取到的封包資訊之截圖列於報告中所有圖表皆需要輔以文字說明bull Deadline 2012312 下午 500 以前bull 作業範圍 Module 2-5 (page 2-128)bull 方式 (參考課程網址 )
ndash 帳號密碼小寫的 (ns100ns100)ndash IP 140116164167
2-127
網路安全
有問題嗎
bull 關於 TestBed 使用上的問題請直接 Email至 twisc-testbed-usergooglegroupscom 將有專人為您服務bull 課程網址
httpitlabeenckuedutwcoursesNS_100indexhtml
2-128
bull 助教資訊 (參考課程網址 )
網路安全
參考資料bull Dienet httplinuxdienetman1wiresharkbull Orebaugh Angela Ramirez Gilbert Burke Josh Pesce Larry Wright
Joshua(2007) Wireshark and Ethereal network protocol analyzer toolkitbull Tony Fortunato(2007) Wireshark Training Retrieved July 22 2009 from
the World Wide Web httpwwwthetechfirmcometherealwiresharkpdfbull WinDump httpwwwwinpcaporgWinDumpbull Wireshark httpwwwwiresharkorgbull Wireshark University httpwwwwiresharktrainingcombull 楊中皇 (民 97年 ) 網路安全理論與實務 (2版 ) 台北市學貫bull 蘇淑茵教授 Wireshark 民國 98年 6月 28日取自 httpmywebnckuedutw~sisou
2-129
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 模擬條件準備好後首先準備Wireshark 擷取動作開啟Wireshark
2-118
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 於Wireshark軟體選擇 Capture 下拉選單功能項點選 Interfaces 選項
2-119
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 確認欲擷取封包之網卡名稱如紅色底線所示確認後點選 Start鈕
2-120
網路安全
ndash 當使用者收發 email 時即被 Wireshark攔截封包ndash 有發現到該 Outlook Express帳號密碼是如此清晰可見的嗎
Outlook Express 擷取密碼案例 (續 )
2-121
網路安全
結論bull 學習了 Wireshark及WinDump 兩套網路封包擷取軟體基本概念如同電話側錄概念相同從中複製一連串資訊來分析與了解網路的流量及內容為何bull 當你發現網路速度緩慢等狀況你是否會反應到所學的基本概念來找尋問題所在bull 防範概念由此課程的實例可以了解網路內容如被有心人士擷取所造成的損失相當可觀故你是否有對策有哪些方式你可以應用來防範bull 正確的思考善用對的工具將對解決問題事半功倍
2-122
網路安全 2-123
Module 2-5 封包擷取與分析的專案實作()
網路安全
專案目的bull 建立遠端管理傳遞指令資訊環境bull 利用實際攔截封包操作的方式讓同學了解封包擷取運作與網路資訊流通的顧慮等相關議題
2-124
網路安全
專案描述bull 近年來遠端管理伺服器及網路服務普及光是密碼保護就足夠了嗎是否重點網段須全程加密還是作網段隔離經由此專案實作即可了解不僅部分加密仍有其風險所在網路架構如何規劃將是非常重要的課題bull 參考環境配置圖完成下列要求①環境裡的攔截封包主機是 Windows XP SP3 作業系統而該主機安裝Wireshark軟體②另兩台主機的作業系統亦是 Windows XP SP3 並裝上
MySQL軟體 MySQL帳號為 root 密碼為您的學號 (如 Q3896105)
③在MySQLClient 電腦使用 MySQL Commandline 指令連線至MySQLServer 擷取資料庫資訊
④我們針對這兩台主機傳訊的封包擷取由整個實做中思考如何防範資訊外洩與了解傳訊封包如何流動及運作2-125
網路安全
環境配置圖bull 以 Testbed建立一實驗相關拓樸及設定如下圖
MySQLServerOSWINXP-SP3-CH-pc3000 IP 10123安裝軟體 MySQL
MySQLClientOSWINXP-SP3-CH-pc3000 IP 10112安裝軟體 MySQL
2-126
WireSharkOSWINXP-SP3-CH-pc3000 IP1 10113IP2 10122安裝軟體 Wireshark
IP1IP2
網路安全
作業繳交bull 請參考情境測試發送數個 SQL 指令並將過程與擷取到的封包資訊之截圖列於報告中所有圖表皆需要輔以文字說明bull Deadline 2012312 下午 500 以前bull 作業範圍 Module 2-5 (page 2-128)bull 方式 (參考課程網址 )
ndash 帳號密碼小寫的 (ns100ns100)ndash IP 140116164167
2-127
網路安全
有問題嗎
bull 關於 TestBed 使用上的問題請直接 Email至 twisc-testbed-usergooglegroupscom 將有專人為您服務bull 課程網址
httpitlabeenckuedutwcoursesNS_100indexhtml
2-128
bull 助教資訊 (參考課程網址 )
網路安全
參考資料bull Dienet httplinuxdienetman1wiresharkbull Orebaugh Angela Ramirez Gilbert Burke Josh Pesce Larry Wright
Joshua(2007) Wireshark and Ethereal network protocol analyzer toolkitbull Tony Fortunato(2007) Wireshark Training Retrieved July 22 2009 from
the World Wide Web httpwwwthetechfirmcometherealwiresharkpdfbull WinDump httpwwwwinpcaporgWinDumpbull Wireshark httpwwwwiresharkorgbull Wireshark University httpwwwwiresharktrainingcombull 楊中皇 (民 97年 ) 網路安全理論與實務 (2版 ) 台北市學貫bull 蘇淑茵教授 Wireshark 民國 98年 6月 28日取自 httpmywebnckuedutw~sisou
2-129
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 於Wireshark軟體選擇 Capture 下拉選單功能項點選 Interfaces 選項
2-119
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 確認欲擷取封包之網卡名稱如紅色底線所示確認後點選 Start鈕
2-120
網路安全
ndash 當使用者收發 email 時即被 Wireshark攔截封包ndash 有發現到該 Outlook Express帳號密碼是如此清晰可見的嗎
Outlook Express 擷取密碼案例 (續 )
2-121
網路安全
結論bull 學習了 Wireshark及WinDump 兩套網路封包擷取軟體基本概念如同電話側錄概念相同從中複製一連串資訊來分析與了解網路的流量及內容為何bull 當你發現網路速度緩慢等狀況你是否會反應到所學的基本概念來找尋問題所在bull 防範概念由此課程的實例可以了解網路內容如被有心人士擷取所造成的損失相當可觀故你是否有對策有哪些方式你可以應用來防範bull 正確的思考善用對的工具將對解決問題事半功倍
2-122
網路安全 2-123
Module 2-5 封包擷取與分析的專案實作()
網路安全
專案目的bull 建立遠端管理傳遞指令資訊環境bull 利用實際攔截封包操作的方式讓同學了解封包擷取運作與網路資訊流通的顧慮等相關議題
2-124
網路安全
專案描述bull 近年來遠端管理伺服器及網路服務普及光是密碼保護就足夠了嗎是否重點網段須全程加密還是作網段隔離經由此專案實作即可了解不僅部分加密仍有其風險所在網路架構如何規劃將是非常重要的課題bull 參考環境配置圖完成下列要求①環境裡的攔截封包主機是 Windows XP SP3 作業系統而該主機安裝Wireshark軟體②另兩台主機的作業系統亦是 Windows XP SP3 並裝上
MySQL軟體 MySQL帳號為 root 密碼為您的學號 (如 Q3896105)
③在MySQLClient 電腦使用 MySQL Commandline 指令連線至MySQLServer 擷取資料庫資訊
④我們針對這兩台主機傳訊的封包擷取由整個實做中思考如何防範資訊外洩與了解傳訊封包如何流動及運作2-125
網路安全
環境配置圖bull 以 Testbed建立一實驗相關拓樸及設定如下圖
MySQLServerOSWINXP-SP3-CH-pc3000 IP 10123安裝軟體 MySQL
MySQLClientOSWINXP-SP3-CH-pc3000 IP 10112安裝軟體 MySQL
2-126
WireSharkOSWINXP-SP3-CH-pc3000 IP1 10113IP2 10122安裝軟體 Wireshark
IP1IP2
網路安全
作業繳交bull 請參考情境測試發送數個 SQL 指令並將過程與擷取到的封包資訊之截圖列於報告中所有圖表皆需要輔以文字說明bull Deadline 2012312 下午 500 以前bull 作業範圍 Module 2-5 (page 2-128)bull 方式 (參考課程網址 )
ndash 帳號密碼小寫的 (ns100ns100)ndash IP 140116164167
2-127
網路安全
有問題嗎
bull 關於 TestBed 使用上的問題請直接 Email至 twisc-testbed-usergooglegroupscom 將有專人為您服務bull 課程網址
httpitlabeenckuedutwcoursesNS_100indexhtml
2-128
bull 助教資訊 (參考課程網址 )
網路安全
參考資料bull Dienet httplinuxdienetman1wiresharkbull Orebaugh Angela Ramirez Gilbert Burke Josh Pesce Larry Wright
Joshua(2007) Wireshark and Ethereal network protocol analyzer toolkitbull Tony Fortunato(2007) Wireshark Training Retrieved July 22 2009 from
the World Wide Web httpwwwthetechfirmcometherealwiresharkpdfbull WinDump httpwwwwinpcaporgWinDumpbull Wireshark httpwwwwiresharkorgbull Wireshark University httpwwwwiresharktrainingcombull 楊中皇 (民 97年 ) 網路安全理論與實務 (2版 ) 台北市學貫bull 蘇淑茵教授 Wireshark 民國 98年 6月 28日取自 httpmywebnckuedutw~sisou
2-129
網路安全
Outlook Express 擷取密碼案例 (續 )
ndash 確認欲擷取封包之網卡名稱如紅色底線所示確認後點選 Start鈕
2-120
網路安全
ndash 當使用者收發 email 時即被 Wireshark攔截封包ndash 有發現到該 Outlook Express帳號密碼是如此清晰可見的嗎
Outlook Express 擷取密碼案例 (續 )
2-121
網路安全
結論bull 學習了 Wireshark及WinDump 兩套網路封包擷取軟體基本概念如同電話側錄概念相同從中複製一連串資訊來分析與了解網路的流量及內容為何bull 當你發現網路速度緩慢等狀況你是否會反應到所學的基本概念來找尋問題所在bull 防範概念由此課程的實例可以了解網路內容如被有心人士擷取所造成的損失相當可觀故你是否有對策有哪些方式你可以應用來防範bull 正確的思考善用對的工具將對解決問題事半功倍
2-122
網路安全 2-123
Module 2-5 封包擷取與分析的專案實作()
網路安全
專案目的bull 建立遠端管理傳遞指令資訊環境bull 利用實際攔截封包操作的方式讓同學了解封包擷取運作與網路資訊流通的顧慮等相關議題
2-124
網路安全
專案描述bull 近年來遠端管理伺服器及網路服務普及光是密碼保護就足夠了嗎是否重點網段須全程加密還是作網段隔離經由此專案實作即可了解不僅部分加密仍有其風險所在網路架構如何規劃將是非常重要的課題bull 參考環境配置圖完成下列要求①環境裡的攔截封包主機是 Windows XP SP3 作業系統而該主機安裝Wireshark軟體②另兩台主機的作業系統亦是 Windows XP SP3 並裝上
MySQL軟體 MySQL帳號為 root 密碼為您的學號 (如 Q3896105)
③在MySQLClient 電腦使用 MySQL Commandline 指令連線至MySQLServer 擷取資料庫資訊
④我們針對這兩台主機傳訊的封包擷取由整個實做中思考如何防範資訊外洩與了解傳訊封包如何流動及運作2-125
網路安全
環境配置圖bull 以 Testbed建立一實驗相關拓樸及設定如下圖
MySQLServerOSWINXP-SP3-CH-pc3000 IP 10123安裝軟體 MySQL
MySQLClientOSWINXP-SP3-CH-pc3000 IP 10112安裝軟體 MySQL
2-126
WireSharkOSWINXP-SP3-CH-pc3000 IP1 10113IP2 10122安裝軟體 Wireshark
IP1IP2
網路安全
作業繳交bull 請參考情境測試發送數個 SQL 指令並將過程與擷取到的封包資訊之截圖列於報告中所有圖表皆需要輔以文字說明bull Deadline 2012312 下午 500 以前bull 作業範圍 Module 2-5 (page 2-128)bull 方式 (參考課程網址 )
ndash 帳號密碼小寫的 (ns100ns100)ndash IP 140116164167
2-127
網路安全
有問題嗎
bull 關於 TestBed 使用上的問題請直接 Email至 twisc-testbed-usergooglegroupscom 將有專人為您服務bull 課程網址
httpitlabeenckuedutwcoursesNS_100indexhtml
2-128
bull 助教資訊 (參考課程網址 )
網路安全
參考資料bull Dienet httplinuxdienetman1wiresharkbull Orebaugh Angela Ramirez Gilbert Burke Josh Pesce Larry Wright
Joshua(2007) Wireshark and Ethereal network protocol analyzer toolkitbull Tony Fortunato(2007) Wireshark Training Retrieved July 22 2009 from
the World Wide Web httpwwwthetechfirmcometherealwiresharkpdfbull WinDump httpwwwwinpcaporgWinDumpbull Wireshark httpwwwwiresharkorgbull Wireshark University httpwwwwiresharktrainingcombull 楊中皇 (民 97年 ) 網路安全理論與實務 (2版 ) 台北市學貫bull 蘇淑茵教授 Wireshark 民國 98年 6月 28日取自 httpmywebnckuedutw~sisou
2-129
網路安全
ndash 當使用者收發 email 時即被 Wireshark攔截封包ndash 有發現到該 Outlook Express帳號密碼是如此清晰可見的嗎
Outlook Express 擷取密碼案例 (續 )
2-121
網路安全
結論bull 學習了 Wireshark及WinDump 兩套網路封包擷取軟體基本概念如同電話側錄概念相同從中複製一連串資訊來分析與了解網路的流量及內容為何bull 當你發現網路速度緩慢等狀況你是否會反應到所學的基本概念來找尋問題所在bull 防範概念由此課程的實例可以了解網路內容如被有心人士擷取所造成的損失相當可觀故你是否有對策有哪些方式你可以應用來防範bull 正確的思考善用對的工具將對解決問題事半功倍
2-122
網路安全 2-123
Module 2-5 封包擷取與分析的專案實作()
網路安全
專案目的bull 建立遠端管理傳遞指令資訊環境bull 利用實際攔截封包操作的方式讓同學了解封包擷取運作與網路資訊流通的顧慮等相關議題
2-124
網路安全
專案描述bull 近年來遠端管理伺服器及網路服務普及光是密碼保護就足夠了嗎是否重點網段須全程加密還是作網段隔離經由此專案實作即可了解不僅部分加密仍有其風險所在網路架構如何規劃將是非常重要的課題bull 參考環境配置圖完成下列要求①環境裡的攔截封包主機是 Windows XP SP3 作業系統而該主機安裝Wireshark軟體②另兩台主機的作業系統亦是 Windows XP SP3 並裝上
MySQL軟體 MySQL帳號為 root 密碼為您的學號 (如 Q3896105)
③在MySQLClient 電腦使用 MySQL Commandline 指令連線至MySQLServer 擷取資料庫資訊
④我們針對這兩台主機傳訊的封包擷取由整個實做中思考如何防範資訊外洩與了解傳訊封包如何流動及運作2-125
網路安全
環境配置圖bull 以 Testbed建立一實驗相關拓樸及設定如下圖
MySQLServerOSWINXP-SP3-CH-pc3000 IP 10123安裝軟體 MySQL
MySQLClientOSWINXP-SP3-CH-pc3000 IP 10112安裝軟體 MySQL
2-126
WireSharkOSWINXP-SP3-CH-pc3000 IP1 10113IP2 10122安裝軟體 Wireshark
IP1IP2
網路安全
作業繳交bull 請參考情境測試發送數個 SQL 指令並將過程與擷取到的封包資訊之截圖列於報告中所有圖表皆需要輔以文字說明bull Deadline 2012312 下午 500 以前bull 作業範圍 Module 2-5 (page 2-128)bull 方式 (參考課程網址 )
ndash 帳號密碼小寫的 (ns100ns100)ndash IP 140116164167
2-127
網路安全
有問題嗎
bull 關於 TestBed 使用上的問題請直接 Email至 twisc-testbed-usergooglegroupscom 將有專人為您服務bull 課程網址
httpitlabeenckuedutwcoursesNS_100indexhtml
2-128
bull 助教資訊 (參考課程網址 )
網路安全
參考資料bull Dienet httplinuxdienetman1wiresharkbull Orebaugh Angela Ramirez Gilbert Burke Josh Pesce Larry Wright
Joshua(2007) Wireshark and Ethereal network protocol analyzer toolkitbull Tony Fortunato(2007) Wireshark Training Retrieved July 22 2009 from
the World Wide Web httpwwwthetechfirmcometherealwiresharkpdfbull WinDump httpwwwwinpcaporgWinDumpbull Wireshark httpwwwwiresharkorgbull Wireshark University httpwwwwiresharktrainingcombull 楊中皇 (民 97年 ) 網路安全理論與實務 (2版 ) 台北市學貫bull 蘇淑茵教授 Wireshark 民國 98年 6月 28日取自 httpmywebnckuedutw~sisou
2-129
網路安全
結論bull 學習了 Wireshark及WinDump 兩套網路封包擷取軟體基本概念如同電話側錄概念相同從中複製一連串資訊來分析與了解網路的流量及內容為何bull 當你發現網路速度緩慢等狀況你是否會反應到所學的基本概念來找尋問題所在bull 防範概念由此課程的實例可以了解網路內容如被有心人士擷取所造成的損失相當可觀故你是否有對策有哪些方式你可以應用來防範bull 正確的思考善用對的工具將對解決問題事半功倍
2-122
網路安全 2-123
Module 2-5 封包擷取與分析的專案實作()
網路安全
專案目的bull 建立遠端管理傳遞指令資訊環境bull 利用實際攔截封包操作的方式讓同學了解封包擷取運作與網路資訊流通的顧慮等相關議題
2-124
網路安全
專案描述bull 近年來遠端管理伺服器及網路服務普及光是密碼保護就足夠了嗎是否重點網段須全程加密還是作網段隔離經由此專案實作即可了解不僅部分加密仍有其風險所在網路架構如何規劃將是非常重要的課題bull 參考環境配置圖完成下列要求①環境裡的攔截封包主機是 Windows XP SP3 作業系統而該主機安裝Wireshark軟體②另兩台主機的作業系統亦是 Windows XP SP3 並裝上
MySQL軟體 MySQL帳號為 root 密碼為您的學號 (如 Q3896105)
③在MySQLClient 電腦使用 MySQL Commandline 指令連線至MySQLServer 擷取資料庫資訊
④我們針對這兩台主機傳訊的封包擷取由整個實做中思考如何防範資訊外洩與了解傳訊封包如何流動及運作2-125
網路安全
環境配置圖bull 以 Testbed建立一實驗相關拓樸及設定如下圖
MySQLServerOSWINXP-SP3-CH-pc3000 IP 10123安裝軟體 MySQL
MySQLClientOSWINXP-SP3-CH-pc3000 IP 10112安裝軟體 MySQL
2-126
WireSharkOSWINXP-SP3-CH-pc3000 IP1 10113IP2 10122安裝軟體 Wireshark
IP1IP2
網路安全
作業繳交bull 請參考情境測試發送數個 SQL 指令並將過程與擷取到的封包資訊之截圖列於報告中所有圖表皆需要輔以文字說明bull Deadline 2012312 下午 500 以前bull 作業範圍 Module 2-5 (page 2-128)bull 方式 (參考課程網址 )
ndash 帳號密碼小寫的 (ns100ns100)ndash IP 140116164167
2-127
網路安全
有問題嗎
bull 關於 TestBed 使用上的問題請直接 Email至 twisc-testbed-usergooglegroupscom 將有專人為您服務bull 課程網址
httpitlabeenckuedutwcoursesNS_100indexhtml
2-128
bull 助教資訊 (參考課程網址 )
網路安全
參考資料bull Dienet httplinuxdienetman1wiresharkbull Orebaugh Angela Ramirez Gilbert Burke Josh Pesce Larry Wright
Joshua(2007) Wireshark and Ethereal network protocol analyzer toolkitbull Tony Fortunato(2007) Wireshark Training Retrieved July 22 2009 from
the World Wide Web httpwwwthetechfirmcometherealwiresharkpdfbull WinDump httpwwwwinpcaporgWinDumpbull Wireshark httpwwwwiresharkorgbull Wireshark University httpwwwwiresharktrainingcombull 楊中皇 (民 97年 ) 網路安全理論與實務 (2版 ) 台北市學貫bull 蘇淑茵教授 Wireshark 民國 98年 6月 28日取自 httpmywebnckuedutw~sisou
2-129
網路安全 2-123
Module 2-5 封包擷取與分析的專案實作()
網路安全
專案目的bull 建立遠端管理傳遞指令資訊環境bull 利用實際攔截封包操作的方式讓同學了解封包擷取運作與網路資訊流通的顧慮等相關議題
2-124
網路安全
專案描述bull 近年來遠端管理伺服器及網路服務普及光是密碼保護就足夠了嗎是否重點網段須全程加密還是作網段隔離經由此專案實作即可了解不僅部分加密仍有其風險所在網路架構如何規劃將是非常重要的課題bull 參考環境配置圖完成下列要求①環境裡的攔截封包主機是 Windows XP SP3 作業系統而該主機安裝Wireshark軟體②另兩台主機的作業系統亦是 Windows XP SP3 並裝上
MySQL軟體 MySQL帳號為 root 密碼為您的學號 (如 Q3896105)
③在MySQLClient 電腦使用 MySQL Commandline 指令連線至MySQLServer 擷取資料庫資訊
④我們針對這兩台主機傳訊的封包擷取由整個實做中思考如何防範資訊外洩與了解傳訊封包如何流動及運作2-125
網路安全
環境配置圖bull 以 Testbed建立一實驗相關拓樸及設定如下圖
MySQLServerOSWINXP-SP3-CH-pc3000 IP 10123安裝軟體 MySQL
MySQLClientOSWINXP-SP3-CH-pc3000 IP 10112安裝軟體 MySQL
2-126
WireSharkOSWINXP-SP3-CH-pc3000 IP1 10113IP2 10122安裝軟體 Wireshark
IP1IP2
網路安全
作業繳交bull 請參考情境測試發送數個 SQL 指令並將過程與擷取到的封包資訊之截圖列於報告中所有圖表皆需要輔以文字說明bull Deadline 2012312 下午 500 以前bull 作業範圍 Module 2-5 (page 2-128)bull 方式 (參考課程網址 )
ndash 帳號密碼小寫的 (ns100ns100)ndash IP 140116164167
2-127
網路安全
有問題嗎
bull 關於 TestBed 使用上的問題請直接 Email至 twisc-testbed-usergooglegroupscom 將有專人為您服務bull 課程網址
httpitlabeenckuedutwcoursesNS_100indexhtml
2-128
bull 助教資訊 (參考課程網址 )
網路安全
參考資料bull Dienet httplinuxdienetman1wiresharkbull Orebaugh Angela Ramirez Gilbert Burke Josh Pesce Larry Wright
Joshua(2007) Wireshark and Ethereal network protocol analyzer toolkitbull Tony Fortunato(2007) Wireshark Training Retrieved July 22 2009 from
the World Wide Web httpwwwthetechfirmcometherealwiresharkpdfbull WinDump httpwwwwinpcaporgWinDumpbull Wireshark httpwwwwiresharkorgbull Wireshark University httpwwwwiresharktrainingcombull 楊中皇 (民 97年 ) 網路安全理論與實務 (2版 ) 台北市學貫bull 蘇淑茵教授 Wireshark 民國 98年 6月 28日取自 httpmywebnckuedutw~sisou
2-129
網路安全
專案目的bull 建立遠端管理傳遞指令資訊環境bull 利用實際攔截封包操作的方式讓同學了解封包擷取運作與網路資訊流通的顧慮等相關議題
2-124
網路安全
專案描述bull 近年來遠端管理伺服器及網路服務普及光是密碼保護就足夠了嗎是否重點網段須全程加密還是作網段隔離經由此專案實作即可了解不僅部分加密仍有其風險所在網路架構如何規劃將是非常重要的課題bull 參考環境配置圖完成下列要求①環境裡的攔截封包主機是 Windows XP SP3 作業系統而該主機安裝Wireshark軟體②另兩台主機的作業系統亦是 Windows XP SP3 並裝上
MySQL軟體 MySQL帳號為 root 密碼為您的學號 (如 Q3896105)
③在MySQLClient 電腦使用 MySQL Commandline 指令連線至MySQLServer 擷取資料庫資訊
④我們針對這兩台主機傳訊的封包擷取由整個實做中思考如何防範資訊外洩與了解傳訊封包如何流動及運作2-125
網路安全
環境配置圖bull 以 Testbed建立一實驗相關拓樸及設定如下圖
MySQLServerOSWINXP-SP3-CH-pc3000 IP 10123安裝軟體 MySQL
MySQLClientOSWINXP-SP3-CH-pc3000 IP 10112安裝軟體 MySQL
2-126
WireSharkOSWINXP-SP3-CH-pc3000 IP1 10113IP2 10122安裝軟體 Wireshark
IP1IP2
網路安全
作業繳交bull 請參考情境測試發送數個 SQL 指令並將過程與擷取到的封包資訊之截圖列於報告中所有圖表皆需要輔以文字說明bull Deadline 2012312 下午 500 以前bull 作業範圍 Module 2-5 (page 2-128)bull 方式 (參考課程網址 )
ndash 帳號密碼小寫的 (ns100ns100)ndash IP 140116164167
2-127
網路安全
有問題嗎
bull 關於 TestBed 使用上的問題請直接 Email至 twisc-testbed-usergooglegroupscom 將有專人為您服務bull 課程網址
httpitlabeenckuedutwcoursesNS_100indexhtml
2-128
bull 助教資訊 (參考課程網址 )
網路安全
參考資料bull Dienet httplinuxdienetman1wiresharkbull Orebaugh Angela Ramirez Gilbert Burke Josh Pesce Larry Wright
Joshua(2007) Wireshark and Ethereal network protocol analyzer toolkitbull Tony Fortunato(2007) Wireshark Training Retrieved July 22 2009 from
the World Wide Web httpwwwthetechfirmcometherealwiresharkpdfbull WinDump httpwwwwinpcaporgWinDumpbull Wireshark httpwwwwiresharkorgbull Wireshark University httpwwwwiresharktrainingcombull 楊中皇 (民 97年 ) 網路安全理論與實務 (2版 ) 台北市學貫bull 蘇淑茵教授 Wireshark 民國 98年 6月 28日取自 httpmywebnckuedutw~sisou
2-129
網路安全
專案描述bull 近年來遠端管理伺服器及網路服務普及光是密碼保護就足夠了嗎是否重點網段須全程加密還是作網段隔離經由此專案實作即可了解不僅部分加密仍有其風險所在網路架構如何規劃將是非常重要的課題bull 參考環境配置圖完成下列要求①環境裡的攔截封包主機是 Windows XP SP3 作業系統而該主機安裝Wireshark軟體②另兩台主機的作業系統亦是 Windows XP SP3 並裝上
MySQL軟體 MySQL帳號為 root 密碼為您的學號 (如 Q3896105)
③在MySQLClient 電腦使用 MySQL Commandline 指令連線至MySQLServer 擷取資料庫資訊
④我們針對這兩台主機傳訊的封包擷取由整個實做中思考如何防範資訊外洩與了解傳訊封包如何流動及運作2-125
網路安全
環境配置圖bull 以 Testbed建立一實驗相關拓樸及設定如下圖
MySQLServerOSWINXP-SP3-CH-pc3000 IP 10123安裝軟體 MySQL
MySQLClientOSWINXP-SP3-CH-pc3000 IP 10112安裝軟體 MySQL
2-126
WireSharkOSWINXP-SP3-CH-pc3000 IP1 10113IP2 10122安裝軟體 Wireshark
IP1IP2
網路安全
作業繳交bull 請參考情境測試發送數個 SQL 指令並將過程與擷取到的封包資訊之截圖列於報告中所有圖表皆需要輔以文字說明bull Deadline 2012312 下午 500 以前bull 作業範圍 Module 2-5 (page 2-128)bull 方式 (參考課程網址 )
ndash 帳號密碼小寫的 (ns100ns100)ndash IP 140116164167
2-127
網路安全
有問題嗎
bull 關於 TestBed 使用上的問題請直接 Email至 twisc-testbed-usergooglegroupscom 將有專人為您服務bull 課程網址
httpitlabeenckuedutwcoursesNS_100indexhtml
2-128
bull 助教資訊 (參考課程網址 )
網路安全
參考資料bull Dienet httplinuxdienetman1wiresharkbull Orebaugh Angela Ramirez Gilbert Burke Josh Pesce Larry Wright
Joshua(2007) Wireshark and Ethereal network protocol analyzer toolkitbull Tony Fortunato(2007) Wireshark Training Retrieved July 22 2009 from
the World Wide Web httpwwwthetechfirmcometherealwiresharkpdfbull WinDump httpwwwwinpcaporgWinDumpbull Wireshark httpwwwwiresharkorgbull Wireshark University httpwwwwiresharktrainingcombull 楊中皇 (民 97年 ) 網路安全理論與實務 (2版 ) 台北市學貫bull 蘇淑茵教授 Wireshark 民國 98年 6月 28日取自 httpmywebnckuedutw~sisou
2-129
網路安全
環境配置圖bull 以 Testbed建立一實驗相關拓樸及設定如下圖
MySQLServerOSWINXP-SP3-CH-pc3000 IP 10123安裝軟體 MySQL
MySQLClientOSWINXP-SP3-CH-pc3000 IP 10112安裝軟體 MySQL
2-126
WireSharkOSWINXP-SP3-CH-pc3000 IP1 10113IP2 10122安裝軟體 Wireshark
IP1IP2
網路安全
作業繳交bull 請參考情境測試發送數個 SQL 指令並將過程與擷取到的封包資訊之截圖列於報告中所有圖表皆需要輔以文字說明bull Deadline 2012312 下午 500 以前bull 作業範圍 Module 2-5 (page 2-128)bull 方式 (參考課程網址 )
ndash 帳號密碼小寫的 (ns100ns100)ndash IP 140116164167
2-127
網路安全
有問題嗎
bull 關於 TestBed 使用上的問題請直接 Email至 twisc-testbed-usergooglegroupscom 將有專人為您服務bull 課程網址
httpitlabeenckuedutwcoursesNS_100indexhtml
2-128
bull 助教資訊 (參考課程網址 )
網路安全
參考資料bull Dienet httplinuxdienetman1wiresharkbull Orebaugh Angela Ramirez Gilbert Burke Josh Pesce Larry Wright
Joshua(2007) Wireshark and Ethereal network protocol analyzer toolkitbull Tony Fortunato(2007) Wireshark Training Retrieved July 22 2009 from
the World Wide Web httpwwwthetechfirmcometherealwiresharkpdfbull WinDump httpwwwwinpcaporgWinDumpbull Wireshark httpwwwwiresharkorgbull Wireshark University httpwwwwiresharktrainingcombull 楊中皇 (民 97年 ) 網路安全理論與實務 (2版 ) 台北市學貫bull 蘇淑茵教授 Wireshark 民國 98年 6月 28日取自 httpmywebnckuedutw~sisou
2-129
網路安全
作業繳交bull 請參考情境測試發送數個 SQL 指令並將過程與擷取到的封包資訊之截圖列於報告中所有圖表皆需要輔以文字說明bull Deadline 2012312 下午 500 以前bull 作業範圍 Module 2-5 (page 2-128)bull 方式 (參考課程網址 )
ndash 帳號密碼小寫的 (ns100ns100)ndash IP 140116164167
2-127
網路安全
有問題嗎
bull 關於 TestBed 使用上的問題請直接 Email至 twisc-testbed-usergooglegroupscom 將有專人為您服務bull 課程網址
httpitlabeenckuedutwcoursesNS_100indexhtml
2-128
bull 助教資訊 (參考課程網址 )
網路安全
參考資料bull Dienet httplinuxdienetman1wiresharkbull Orebaugh Angela Ramirez Gilbert Burke Josh Pesce Larry Wright
Joshua(2007) Wireshark and Ethereal network protocol analyzer toolkitbull Tony Fortunato(2007) Wireshark Training Retrieved July 22 2009 from
the World Wide Web httpwwwthetechfirmcometherealwiresharkpdfbull WinDump httpwwwwinpcaporgWinDumpbull Wireshark httpwwwwiresharkorgbull Wireshark University httpwwwwiresharktrainingcombull 楊中皇 (民 97年 ) 網路安全理論與實務 (2版 ) 台北市學貫bull 蘇淑茵教授 Wireshark 民國 98年 6月 28日取自 httpmywebnckuedutw~sisou
2-129
網路安全
有問題嗎
bull 關於 TestBed 使用上的問題請直接 Email至 twisc-testbed-usergooglegroupscom 將有專人為您服務bull 課程網址
httpitlabeenckuedutwcoursesNS_100indexhtml
2-128
bull 助教資訊 (參考課程網址 )
網路安全
參考資料bull Dienet httplinuxdienetman1wiresharkbull Orebaugh Angela Ramirez Gilbert Burke Josh Pesce Larry Wright
Joshua(2007) Wireshark and Ethereal network protocol analyzer toolkitbull Tony Fortunato(2007) Wireshark Training Retrieved July 22 2009 from
the World Wide Web httpwwwthetechfirmcometherealwiresharkpdfbull WinDump httpwwwwinpcaporgWinDumpbull Wireshark httpwwwwiresharkorgbull Wireshark University httpwwwwiresharktrainingcombull 楊中皇 (民 97年 ) 網路安全理論與實務 (2版 ) 台北市學貫bull 蘇淑茵教授 Wireshark 民國 98年 6月 28日取自 httpmywebnckuedutw~sisou
2-129
網路安全
參考資料bull Dienet httplinuxdienetman1wiresharkbull Orebaugh Angela Ramirez Gilbert Burke Josh Pesce Larry Wright
Joshua(2007) Wireshark and Ethereal network protocol analyzer toolkitbull Tony Fortunato(2007) Wireshark Training Retrieved July 22 2009 from
the World Wide Web httpwwwthetechfirmcometherealwiresharkpdfbull WinDump httpwwwwinpcaporgWinDumpbull Wireshark httpwwwwiresharkorgbull Wireshark University httpwwwwiresharktrainingcombull 楊中皇 (民 97年 ) 網路安全理論與實務 (2版 ) 台北市學貫bull 蘇淑茵教授 Wireshark 民國 98年 6月 28日取自 httpmywebnckuedutw~sisou
2-129
