Godt nyttår.
Som den første oppgaven i 2012 skulle vi lære oss å bruke et program med navn Wireshark. Dette er et ganske kjekt program som kan bli utrolig viktig når man jobber med nettverk, for Wireshark plukker nemlig opp alle pakkene som går igjennom nettverket som man er koblet til, noe som gjør at det et godt verktøy å bruke under feilsøking. Til denne oppgaven brukte vi Wireshark og en hub.
Wireshark
Et program som tar opp alle pakkene som går igjennom et nettverk og viser dem for brukeren. Det viser både kilden og destinasjon for pakken i form av IP-adresser, og det viser også type protokoll den bruker og gir en beskrivelse av pakken. Siden det viser alle pakkene i nettverket, så er det mange bruksområder for det, og noen er mindre lovlig enn andre, men dette skal jeg gå nærmere inn på senere. Et av de mange lovlige bruksområdene man kan bruke Wireshark til er feilsøking, der man kan gå inn i programmet og se om f.eks. en PC som er tilkoblet nettverket bruker unødvendig mye nettkapasitet.
Hub
I et stort nettverk brukes man vanligvis en svitsj, men før det var det vanlig med en hub. Grunnen til at vi brukte en hub og ikke en svitsj er fordi en hub sender ut alle pakkene til alle portene. F.eks hvis en PC på port 4 henter en pakke ifra en server på port 1, så blir den pakken sendt ut til alle portene slik at at også en PC på port 3 kan se på pakken. Dette er noe som en svitsj ikke gjør, for en hvis en PC på port 4 tar en fil fra serveren på port 1, så er det ikke mulig for PCen på port 3 å se den, fordi pakkene går kun mellom de to portene.
Oppgavene
NB! Målet med denne oppgaven var ment for å kunne lære hvordan man kan bruke verktøy for å gå inn og se på diverse data og vite hvordan et nettverk jobber, i tillegg til å kunne vite hvordan personer kan bruke det til å noe ulovlig. Dette programmet ble brukt i et kontrollert miljø med tunge restriksjoner og med tillatelser for hva vi kunne bruke det til. Wireshark er et program som har muligheter til å utføre handlinger som går forbi Norges lover og bør derfor ikke brukes til noe mer enn det man har rettigheter til. Blir du tatt i å bruke det til noe ulovlig har du selv ansvar for dine handlinger.
Del 1
Oppgaven
Last ned Wireshark og surf på nettet mens man pinger naboens PC.
Resultat
Når man surfer på nettet mens Wireshark står og går, så vil programmet plukke opp alle pakker som går igjennom PCen og nettverket. Disse pakkene inkluderer alt ifra nettsider som lastes, musikk og videoer som streames, nye meldinger i chatter på Facebook og MSN etc. Streamer man også en video på 1080P ifra YouTube så vil det også blir ekstremt mange pakker og bli mer trafikk på nettverket. Egentlig alt som man gjør som går igjennom nettverket kommer i form av pakker, og disse pakkene vises i Wireshark. Hvis man pinger en annen PC så blir også dette vist i Wireshark, både hvem som pinger og hvem som blir pinget.
Del 2
Oppgave
Koble alle PCene på rekka til en hub og surf på nettet mens man pinger naboens PC.
Resultat
Vi koblet sammen fire PCer til en hub og kjørte Wireshark
mens vi pinget og surfet på internett, og mens vi gjorde dette ble all
trafikken fra alle PCene vist i Wireshark, siden en hub sender ut pakkene til
alle portene i motsetning til en switch. Det samme skjedde når vi pinget i
tillegg, for da kunne vi se pakkene som gikk mellom hver individuell PC, selv
som PCen man kjørte programmet på ikke var maskinen man pinget. Grunnen til
dette er som sagt fordi en hub sender ut pakkene til alle portene.
Oppgave
Reboot en PC og se hva som skjer.
Resultat
Under en reboot er det også mulig å følge med på internettaktiviteten som kommer fra en PC, for under en avlogging sender PCen en hel masse “requests” til nettverket som trolig viser at maskinen kobler seg fra Workgroup/domene og fjerner policies og kjører eventuelle logoff script. Når PCen slår seg på igjen så plukker også Wireshark opp litt nettverkstrafikk, for man ser at den oppgir brukernavn og sender ut flere forespørsler for å melde seg inn i Workgroup/domene, for programmet plukker opp forskjellige group policies og viser at PCen pinger tilkoblingspunktet. Etterhvert kjører den også ting som logon script, og Dropbox og MSN prøver også å koble seg til nettverket.
Oppgave
Release og renew adressen på en maskin.
Resultat
Når man releaser en adresse, så ber man DHCP serveren at man ikke lenger trenger å få tildelt en IP-adresse, siden en DHCP server deler ut automatiske IP-adresser til enheter på nettverket. Vi prøvde å skrive ipconfig /release i CMD, og resultatet ble ganske klart i Wireshark, for der ser man at protokollen er DHCP, kilden er PCen og destinasjonen er serveren. I beskrivelsen står det også ganske enkelt at den releaser adressen. Hvis man også renewer adressen, så sier man til DHCP serveren at man skal ha en IP-adresse igjen, så vi skrev ipconfig /renew i CMD, og resultatet kom opp på skjermen med en gang rett under release. Her får man opp noe av det samme som under en pålogging, for man ser at PCen prøver å koble seg opp til serveren igjen.
Oppgave
Dra opp en MSN chat med en av de andre i gruppen.
Resultat
Neste oppgave var å dra opp en MSN chat og se om det også kunne spores i Wireshark, noe vi selvsagt prøvde. Idet vi sendte den første meldingen så vi allerede at den ble plukket opp i Wireshark, og det å bruke kun en av de mange pakkene for å finne hele samtalen var egentlig utrolig lett. Alt vi trengte å gjøre var nemlig å finne riktig pakke med navn POST /gateway og dermed høyreklikke og velge Trace TCP. Nå får man opp en boks med massevis av forskjellige linjer og kommandoer, som for mange kan virke ganske kryptisk, men hvis man ser litt på de forskjellige linjene, så ser man at hele boksen faktisk er hele samtalen. Vi tenkte dermed vi skulle om meldingene var ukryptert, så vi trykte på Find og skrev inn ZOMBIE siden det var meldingen vi testet med. Med en gang vi søkte så fant vi utrolig nok alle meldingene vi hadde sendt, og både hotmail adresse og tidspunkt vises i klartekst. Dette viser bare litt av potensiale til Wireshark og hva som skal til for å snuse i en usikret pakke.
Oppgave
Prøv en traceroute og en ping.
Resultat
Vi prøve også Wireshark når vi kjørte en traceroute. En traceroute er en kommando man bruker for å finne hvilken vei datapakker tar i et IP-nettverk. For å kunne gjøre dette måtte vi skrive tracert 10.16.170.84 (hvilken som helst IP kan bruks) inn i CMD og dermed bruke Wireshark for å følge med på pakkene. Programmet vil da vise ti pakker som senderens PC sendte, der de to første er veien pakkene sendt, etterfulgt av seks pakker med ping, og til slutt er de to siste som viser veien pakkene ble sendt tilbake.
Del 3
Oppgave
Finn noe annet spennende å teste med Wireshark.
Resultat
Etter å ha snust litt i MSN chatten bestemte vi oss for å se om vi kunne snufse i Facebook chatten også. Vi gikk da sammen i gruppa og skrev "ZOMBIE" til hverandre i chatten og så om det ble plukket opp av Wireshark. Det gjorde det selvsagt, så vi lette en stund i ganske så mange pakker før vi fant ut at pakkene med navn POST /ajax/chat/send.php? var pakkene vi har ute etter. Vi gikk dermed frem på samme måte som vi gjorde med MSN ved å høyreklokke og velge Trace TCP og søke etter meldingen. Vi ble da ganske overasket over at meldingene igjen sto der i klartekst. Men ikke nok med det, når vi snuste litt mer i disse pakkene fant vi etterhvert Facebook IDen til personen vi chattet med (Facebook ID vil si det lange nummeret på slutten av adressen til en Facebook profil), og hvis vi kopierte inn denne og limte den inn i URLen kom vi rett inn på profilen til den personen.
Men vi stoppet selvsagt ikke der, så vi prøvde å skrive på veggen til hverandre, og igjen så dukket både meldingen og Facebook IDen opp i vinduet. Men ikke nok med det (!), etter å ha snust enda litt til, så fant vi en stor liste over numre som var skremmende like Facebook IDer, så vi kopierte disse og limte de inn i URLen, og da ble vi dirigert til påloggede venner til personen vi chattet med. Vi prøve også å skrive på veggen til venner som de andre på gruppa ikke hadde lagt til, og til og med da kunne vi se både meldingen og IDen til den personen.
Til slutt prøvde vi å sniffe litt passord på nettsider, og vi klarte etterhvert dette på vanlige HTTP sider, siden nettsider med HTTPS er sikret mot slikt. Vi visste allerede at Arena-IKT brukte vanlig HTTP, så vi skrev inn IP.dst == 194.24.252.108, siden vi skulle vite hva nettsiden mottok (skriver man IP.src == *IP-adresse* så får man opp pakker som IPen sender. Altså: .dst = destinasjon for pakker, .src = kilde for pakker). Dermed endret en på gruppa passord til "test123" siden vi andre skulle se det, og dermed logget han inn og hele innloggingen ble vist i Wireshark. Dette var en pakke med navn POST /login/index.php, så vi valgte den, bladde litt nedover i innholdet, og etterhvert fant vi både brukernavnet og passordet.
At alt dette faktisk er så enkelt hadde vi aldri trodd, for at slike pakker ikke en gang er krypterte er ganske så overraskende, spesielt med tanke på at en så stor nettside som Facebook ikke har større sikkerhet, og det er en nettside som mange millioner personer verden over brukerer hver eneste dag der de skriver masse personlig nesten hver dag. Dette fungerte riktignok kun på et lokalt nettverk, men hvis man bruker programmer som for eksempel Hamachi så kan man gå forbi dette.
Del 4
Oppgave
Er dette et lovlig produkt å benytte? Hvorfor/hvorfor ikke?
Svar
Jeg mener at Wireshark er et lovlig produkt, men kun til en viss grad. Det burde være lovlig fordi det er veldig bra å bruke til feilsøking osv. men igjen så er det så utrolig mye annet man kan bruke det til som kan regnes som ulovlig, som for eksempel det å snoke i andres Facebook og MSN meldinger. Jeg mener derfor at alle nettsider som behandler personlig informasjon burde gå over til HTTPS, og at de burde kryptere alt av meldinger og slike ting, sånn at det ikke er mulig å snoke i det ved hjelp av programmer som Wireshark. Det negative med dette derimot at det kan by på en del jobb, og noen kommer helt sikker til å finne nye veier rundt dette. Så sånn sett burde det vært ulovlig å benytte seg av, så det lureste kan derfor være å la bedrifter kunne benytte seg av det med en form for lisens, og at det enten burde vært helt utilgjengelig for uautoriserte brukere, eller at det er veldig begrenset for hva man kan gjøre med det.
Trykk på bilde for å få det større.
Oppgave
Finn noe annet spennende å teste med Wireshark.
Resultat
Etter å ha snust litt i MSN chatten bestemte vi oss for å se om vi kunne snufse i Facebook chatten også. Vi gikk da sammen i gruppa og skrev "ZOMBIE" til hverandre i chatten og så om det ble plukket opp av Wireshark. Det gjorde det selvsagt, så vi lette en stund i ganske så mange pakker før vi fant ut at pakkene med navn POST /ajax/chat/send.php? var pakkene vi har ute etter. Vi gikk dermed frem på samme måte som vi gjorde med MSN ved å høyreklokke og velge Trace TCP og søke etter meldingen. Vi ble da ganske overasket over at meldingene igjen sto der i klartekst. Men ikke nok med det, når vi snuste litt mer i disse pakkene fant vi etterhvert Facebook IDen til personen vi chattet med (Facebook ID vil si det lange nummeret på slutten av adressen til en Facebook profil), og hvis vi kopierte inn denne og limte den inn i URLen kom vi rett inn på profilen til den personen.
Men vi stoppet selvsagt ikke der, så vi prøvde å skrive på veggen til hverandre, og igjen så dukket både meldingen og Facebook IDen opp i vinduet. Men ikke nok med det (!), etter å ha snust enda litt til, så fant vi en stor liste over numre som var skremmende like Facebook IDer, så vi kopierte disse og limte de inn i URLen, og da ble vi dirigert til påloggede venner til personen vi chattet med. Vi prøve også å skrive på veggen til venner som de andre på gruppa ikke hadde lagt til, og til og med da kunne vi se både meldingen og IDen til den personen.
Til slutt prøvde vi å sniffe litt passord på nettsider, og vi klarte etterhvert dette på vanlige HTTP sider, siden nettsider med HTTPS er sikret mot slikt. Vi visste allerede at Arena-IKT brukte vanlig HTTP, så vi skrev inn IP.dst == 194.24.252.108, siden vi skulle vite hva nettsiden mottok (skriver man IP.src == *IP-adresse* så får man opp pakker som IPen sender. Altså: .dst = destinasjon for pakker, .src = kilde for pakker). Dermed endret en på gruppa passord til "test123" siden vi andre skulle se det, og dermed logget han inn og hele innloggingen ble vist i Wireshark. Dette var en pakke med navn POST /login/index.php, så vi valgte den, bladde litt nedover i innholdet, og etterhvert fant vi både brukernavnet og passordet.
At alt dette faktisk er så enkelt hadde vi aldri trodd, for at slike pakker ikke en gang er krypterte er ganske så overraskende, spesielt med tanke på at en så stor nettside som Facebook ikke har større sikkerhet, og det er en nettside som mange millioner personer verden over brukerer hver eneste dag der de skriver masse personlig nesten hver dag. Dette fungerte riktignok kun på et lokalt nettverk, men hvis man bruker programmer som for eksempel Hamachi så kan man gå forbi dette.
Del 4
Oppgave
Er dette et lovlig produkt å benytte? Hvorfor/hvorfor ikke?
Svar
Jeg mener at Wireshark er et lovlig produkt, men kun til en viss grad. Det burde være lovlig fordi det er veldig bra å bruke til feilsøking osv. men igjen så er det så utrolig mye annet man kan bruke det til som kan regnes som ulovlig, som for eksempel det å snoke i andres Facebook og MSN meldinger. Jeg mener derfor at alle nettsider som behandler personlig informasjon burde gå over til HTTPS, og at de burde kryptere alt av meldinger og slike ting, sånn at det ikke er mulig å snoke i det ved hjelp av programmer som Wireshark. Det negative med dette derimot at det kan by på en del jobb, og noen kommer helt sikker til å finne nye veier rundt dette. Så sånn sett burde det vært ulovlig å benytte seg av, så det lureste kan derfor være å la bedrifter kunne benytte seg av det med en form for lisens, og at det enten burde vært helt utilgjengelig for uautoriserte brukere, eller at det er veldig begrenset for hva man kan gjøre med det.
Trykk på bilde for å få det større.
Ingen kommentarer:
Legg inn en kommentar