Wireshark je výkonný sieťový analyzátor, ktorý možno použiť na analýzu prevádzky prechádzajúcej cez sieťové rozhranie vášho počítača. Môžete to potrebovať na zistenie a riešenie problémov so sieťou, ladenie webových aplikácií, sieťových programov alebo lokalít. Wireshark vám umožňuje plne zobraziť obsah paketu na všetkých úrovniach, takže môžete lepšie pochopiť, ako sieť funguje na nízkej úrovni.

Všetky pakety sa zachytávajú v reálnom čase a poskytujú sa v ľahko čitateľnom formáte. Program podporuje veľmi výkonný systém filtrovania, farebné zvýraznenie a ďalšie funkcie, ktoré vám pomôžu nájsť požadované balíčky. V tomto návode sa pozrieme na to, ako používať Wireshark na analýzu návštevnosti. V poslednej dobe sa vývojári pustili do práce na druhej vetve programu Wireshark 2.0, ktorá priniesla veľa zmien a vylepšení najmä pre rozhranie. To je to, čo použijeme v tomto článku.

Kľúčové vlastnosti Wireshark

Predtým, ako pristúpite k zváženiu metód analýzy návštevnosti, musíte podrobnejšie zvážiť, aké funkcie program podporuje, s akými protokolmi môže pracovať a čo robiť. Tu sú hlavné funkcie programu:

• Zachytávanie paketov v reálnom čase z káblových alebo iných typov sieťových rozhraní, ako aj čítanie zo súboru;
• Podporované sú nasledujúce rozhrania na zachytávanie: Ethernet, IEEE 802.11, PPP a lokálne virtuálne rozhrania;
• Balíky môžu byť triedené podľa mnohých parametrov pomocou filtrov;
• Všetky známe protokoly sú v zozname zvýraznené rôznymi farbami, napríklad TCP, HTTP, FTP, DNS, ICMP atď.;
• Podpora zachytávania prevádzky hovorov VoIP;
• Podporuje dešifrovanie prenosu HTTPS pomocou certifikátu;
• Dešifrovanie WEP, WPA prevádzky bezdrôtových sietí za prítomnosti kľúča a handshake;
• Zobrazenie štatistík zaťaženia siete;
• Zobrazenie obsahu paketov pre všetky vrstvy siete;
• Zobrazuje čas odoslania a prijatia paketov.

Program má mnoho ďalších funkcií, no toto boli tie hlavné, ktoré by vás mohli zaujímať.

Ako používať Wireshark

Predpokladám, že program už máte nainštalovaný, no ak nie, tak si ho môžete nainštalovať z oficiálnych repozitárov. Ak to chcete urobiť, zadajte príkaz v Ubuntu:

$ sudo apt install wireshark

Po inštalácii nájdete program v hlavnom menu distribúcie. Wireshark musíte spustiť s právami superužívateľa, pretože inak nebude program schopný analyzovať sieťové pakety. Môžete to urobiť z hlavnej ponuky alebo cez terminál pomocou príkazu pre KDE:

$ kdesu wireshark

A pre Gnome / Unity:

$ gksu wireshark

Hlavné okno programu je rozdelené na tri časti, prvý stĺpec obsahuje zoznam sieťových rozhraní dostupných na analýzu, druhý - možnosti otvárania súborov a tretí - pomocník.

Analýza sieťovej prevádzky

Ak chcete spustiť analýzu, vyberte sieťové rozhranie, napríklad eth0, a kliknite na tlačidlo Štart.

Potom sa otvorí ďalšie okno, už s prúdom paketov, ktoré prechádzajú cez rozhranie. Toto okno je tiež rozdelené na niekoľko častí:

• Vrchná časť- sú to ponuky a panely s rôznymi tlačidlami;
• Zoznam balíkov- potom sa zobrazí prúd sieťových paketov, ktoré budete analyzovať;
• Obsah balenia- tesne pod obsahom vybraného balíka sa nachádza, je rozdelený do kategórií v závislosti od transportnej vrstvy;
• Skutočná reprezentácia- úplne dole je zobrazený obsah balenia v reálnej podobe, aj vo forme HEX.

Kliknutím na ľubovoľný balík môžete analyzovať jeho obsah:

Tu vidíme balík žiadosti do DNS, aby sme získali IP adresu stránky, doména sa odošle v samotnej žiadosti a v balíku odpovedí dostaneme našu otázku, ako aj odpoveď.

Pre pohodlnejšie prezeranie môžete balík otvoriť v novom okne dvojitým kliknutím na záznam:

Filtre Wireshark

Je veľmi nepohodlné manuálne prechádzať balíčky, aby ste našli tie, ktoré potrebujete, najmä pri aktívnom streame. Preto je na takúto úlohu lepšie použiť filtre. Na zadávanie filtrov je pod ponukou špeciálny riadok. Kliknutím na položku Výraz otvoríte konštruktor filtra, ale je ich veľa, takže sa budeme zaoberať tými najzákladnejšími:

• ip.dst- cieľová IP adresa;
• ip.src- IP adresa odosielateľa;
• ip.addr- IP odosielateľa alebo príjemcu;
• ip.proto- protokol;
• tcp.dstport- prístav destinácie;
• tcp.srcport- prístav odosielateľa;
• ip.ttl- filtrovať podľa ttl, určuje vzdialenosť siete;
• http.request_uri- požadovaná adresa webovej stránky.

Na určenie vzťahu medzi poľom a hodnotou vo filtri môžete použiť nasledujúce operátory:

• == - rovná sa;
• != - nerovná sa;
• < - menší;
• > - viac;
• <= - menšie alebo rovné;
• >= - viac alebo rovnaké;
• zápasy- regulárny výraz;
• obsahuje- obsahuje.

Na kombinovanie viacerých výrazov môžete použiť:

• && - oba výrazy musia byť pravdivé pre balík;
• || - jeden z výrazov môže byť pravdivý.

Teraz sa pozrime bližšie na niekoľko filtrov pomocou príkladov a pokúsime sa zvážiť všetky znaky vzťahov.

Najprv odfiltrujme všetky pakety odoslané na 194.67.215.125 (losst.ru). Napíšte riadok do poľa filtra a kliknite Použiť... Pre pohodlie je možné filtre wireshark uložiť pomocou tlačidla Uložiť:

ip.dst == 194,67,215,125

A aby ste mohli prijímať nielen odoslané pakety, ale aj prijaté ako odpoveď z tohto uzla, môžete kombinovať dve podmienky:

ip.dst == 194.67.215.125 || ip.src == 194.67.215.125

Môžeme tiež vybrať prenášané veľké súbory:

http.content_length> 5000

Po filtrovaní Content-Type môžeme vybrať všetky obrázky, ktoré boli nahrané, analyzovať prenos wireshark, ktorého pakety obsahujú slovo obrázok:

http.content_type obsahuje obrázok

Ak chcete filter vymazať, kliknite na tlačidlo jasný... Stáva sa, že nie vždy poznáte všetky informácie potrebné na filtrovanie, ale chcete len študovať sieť. Môžete pridať ľubovoľné pole balíka ako stĺpec a zobraziť jeho obsah vo všeobecnom okne pre každý balík.

Napríklad chcem zobraziť ttl (životnosť) paketu ako stĺpec. Ak to chcete urobiť, otvorte informácie o pakete, nájdite toto pole v sekcii IP. Potom zavolajte do kontextového menu a vyberte možnosť Použiť ako stĺpec:

Môžete si tiež vytvoriť filter na základe ľubovoľného poľa. Vyberte požadované pole a otvorte kontextové menu, potom stlačte Použiť ako filter alebo Pripravte ako filter potom si vyberte Vybraný na zobrazenie len vybraných hodnôt, príp Nevybraté na ich odstránenie:

Zadané pole a jeho hodnota sa použije alebo v druhom prípade nahradí do poľa filtra:

Týmto spôsobom môžete do filtra pridať pole ľubovoľného balíka alebo stĺpca. Táto možnosť je aj v kontextovom menu. Na filtrovanie protokolov môžete použiť aj jednoduchšie podmienky. Napríklad, poďme analyzovať prevádzku Wireshark pre protokoly HTTP a DNS:

Ďalšou zaujímavou funkciou programu je použitie Wireshark na sledovanie konkrétnej relácie medzi počítačom používateľa a serverom. Ak to chcete urobiť, otvorte kontextovú ponuku balíka a vyberte Sledujte stream TCP.

Potom sa otvorí okno, v ktorom nájdete všetky dáta prenášané medzi serverom a klientom:

Diagnostika problémov Wireshark

Možno vás zaujíma, ako použiť Wireshark 2 na zistenie problémov so sieťou. Ak to chcete urobiť, v ľavom dolnom rohu okna je okrúhle tlačidlo, keď naň kliknete, otvorí sa okno. Expet Tools... V ňom Wireshark zhromažďuje všetky chybové hlásenia a problémy so sieťou:

Okno je rozdelené na záložky ako Chyby, Varovania, Oznámenia, Rozhovory. Program dokáže filtrovať a nájsť veľa problémov so sieťou a tu ich môžete vidieť veľmi rýchlo. Podporované sú tu aj filtre Wireshark.

Analýza návštevnosti Wireshark

Môžete veľmi ľahko pochopiť, čo presne si používatelia stiahli a aké súbory si prezerali, ak pripojenie nebolo šifrované. Program robí veľmi dobrú prácu pri extrakcii obsahu.

Ak to chcete urobiť, musíte najskôr zastaviť zachytávanie premávky pomocou červeného štvorca na paneli. Potom otvorte ponuku Súbor -> Exportovať objekty -> HTTP:

Je to veľmi výkonný nástroj, ktorý má veľa funkcií. Nie je možné zhrnúť všetky jeho funkcie do jedného článku, ale základné informácie tu uvedené vám postačia na to, aby ste si osvojili všetko potrebné.

Wireshark: ako používať?

Dobrý deň, priatelia! V tomto článku sa vám pokúsim vysvetliť a povedať o najnutnejších veciach, ktoré by ste mali vedieť pri používaní Wireshark v systéme Linux a ukazujú analýzu troch typov sieťovej prevádzky. Tento návod je použiteľný aj pre Wireshark na prácu pod Windowsom.

Ak ste nováčikom v informačnej bezpečnosti a veľmi dobre rozumiete tomu, čo je sniffer (analyzátor premávky), odporúčam vám prečítať si článok a až potom si prečítať tento článok o tom, ako používať Wireshark.

Veľmi obľúbený a mimoriadne šikovný analyzátor sieťového protokolu Gerald Combs vyvinul Wireshark v júni 2006, keď Combs premenoval sieťový nástroj Ethereal, ktorý tiež vytvoril, pretože zmenil prácu a už nemohol používať starý názov. Dnes väčšina ľudí používa Wireshark a Ethereal je minulosťou.

Wireshark: najlepší sniffer

Možno sa pýtate, ako sa Wireshark líši od iných sieťových snifferov – okrem toho, že je zadarmo – a prečo nezačneme propagovať tcpdump na zachytávanie paketov?

Hlavnou výhodou Wiresharku je, že ide o grafickú aplikáciu. Zhromažďovanie údajov a kontrola sieťovej prevádzky v používateľskom rozhraní je veľmi praktická, pretože vám umožňuje narábať s komplexnými sieťovými údajmi.

Ako používam Wireshark?

Aby začiatočník porozumel Wiresharku, musí porozumieť sieťovej prevádzke. Ak áno, účelom tohto článku je naučiť vás základy TCP/IP, aby ste mohli vyvodiť správne závery zo sieťovej prevádzky, ktorú analyzujete.

Formát paketov TCP a paketov IP.

Ak používate Wireshark ako bežný používateľ, nebudete môcť používať sieťové rozhrania na zhromažďovanie údajov z dôvodu predvolených povolení súborov Unix dostupných v sieťových rozhraniach. Pri zbere údajov a ako bežného používateľa na analýzu údajov je pohodlnejšie spustiť Wireshark ako root (sudo wireshark).

Prípadne môžete zhromažďovať sieťové údaje pomocou nástroja príkazového riadka tcpdump ako root a potom ich analyzovať pomocou Wireshark. Prosím, majte na pamäti, že zhromažďovanie údajov pomocou Wireshark v silne zaťaženej sieti môže spomaliť váš počítač, alebo čo je ešte horšie, zabrániť vám v zhromažďovaní údajov, ktoré potrebujete, pretože Wireshark vyžaduje viac systémových prostriedkov ako nástroj príkazového riadka. V takýchto prípadoch je najinteligentnejším riešením na zber údajov o sieťovej prevádzke použiť tcpdump.

Zachytávanie sieťových údajov pomocou Wireshark

Najjednoduchší spôsob, ako začať zachytávať sieťové paketové dáta, je vybrať požadované rozhranie po spustení Wireshark a kliknúť na Štart. Wireshark zobrazí sieťové údaje na vašej obrazovke na základe vašej sieťovej prevádzky. Poznámka: Je možné vybrať viac ako jedno rozhranie. Ak neviete nič o TCP, IP alebo iných protokoloch, výsledok môže byť ťažko čitateľný a pochopiteľný.

Ak chcete zastaviť zachytávanie údajov, vyberte z ponuky Zachytiť > Zastaviť. Prípadne môžete kliknúť na štvrtú ikonu zľava s červeným štvorcom (je to skratka pre „Stop capturing live data“) na hlavnom paneli nástrojov (poznámka, jeho presné umiestnenie závisí od verzie Wiresharku, ktorú máte). Toto tlačidlo je možné stlačiť iba počas zberu sieťových údajov.

Pri použití opísanej metódy snímania nemôžete zmeniť predvolené možnosti snímania nakonfigurované v programe Wireshark. Možnosti snímania môžete zobraziť a zmeniť výberom položky Snímanie > Možnosti z ponuky. Tu si môžete vybrať sieťové rozhranie (rozhrania), zobraziť svoju IP adresu, použiť filtre zberu údajov, prepnúť sieťovú kartu na prijímanie všetkých sieťových paketov a uložiť zozbierané údaje do jedného alebo viacerých súborov. Môžete mu dokonca povedať, aby prestal zachytávať pakety, keď dosiahne určitý počet sieťových paketov alebo určitý čas alebo určité množstvo dát (v bajtoch).

V predvolenom nastavení Wireshark neukladá zhromaždené údaje, ale môžete ich kedykoľvek uložiť neskôr. Predpokladá sa, že najlepšie je najprv uložiť a potom preskúmať sieťové pakety, pokiaľ nemáte nejaký špeciálny dôvod urobiť inak.

Wireshark vám umožňuje čítať a analyzovať už zozbierané sieťové údaje zo širokej škály formátov súborov, vrátane tcpdump, libpcap, Sun's snoop, HP's nettl, K12 textových súborov a ďalších. Stručne povedané, Wireshark dokáže prečítať takmer akýkoľvek formát zozbieraných sieťových údajov. Podobne vám Wireshark umožňuje ukladať zozbierané údaje v rôznych formátoch. Môžete dokonca použiť Wireshark na konverziu súboru z jedného formátu do druhého.

Existujúci súbor môžete tiež exportovať ako obyčajný textový súbor z ponuky Súbor. Táto možnosť je určená najmä na manuálne spracovanie sieťových údajov alebo ich zadanie do iného programu.

K dispozícii je možnosť vytlačiť vaše balíčky. Nikdy som to nepoužil v reálnom živote, ale na vzdelávacie účely môže byť veľmi užitočné vytlačiť si balíčky a ich celý obsah.

Filtre displeja Wireshark

Ak sa pri zachytávaní sieťových údajov použijú zachytávacie filtre, Wireshark neberie do úvahy sieťovú prevádzku, ktorá nezodpovedá filtru; zatiaľ čo filtre zobrazenia sa aplikujú po zachytení údajov a „skryjú“ sieťovú prevádzku bez jej odstránenia. Vždy môžete vypnúť Display filter a získať späť svoje skryté údaje.

V zásade sa filtre zobrazenia považujú za užitočnejšie a všestrannejšie ako filtre na zber údajov, pretože vopred sotva viete, aké informácie budete zhromažďovať alebo sa rozhodnete študovať. Používanie filtrov pri zachytávaní údajov vám však šetrí čas a miesto na disku, čo je hlavný dôvod používania filtrov.

Wireshark zvýrazní syntakticky správny filter svetlozeleným pozadím. Ak syntax obsahuje chyby, pozadie sa zmení na ružové.

Filtre zobrazenia podporujú porovnávacie operátory a boolovské operátory. Zobraziť filter http.response.code

Tri pakety (SYN, SYN + ACK a ACK) trojcestné TCP spojenie

404 && ip.addr == 192.168.1.1 zobrazuje prenos, ktorý buď ide z adresy IP 192.168.1.1, alebo smeruje na adresu IP 192.168.1.1, ktorá tiež obsahuje kód odpovede HTTP 404 (nenájdené). Filter! Boo1p &&! IP &&! Aggr vylučuje z výsledku návštevnosť BOOTP, IP a ARP. Filter eth.addr == 01: 23: 45: 67: 89: ab && tcp.port == 25 zobrazuje prevádzku smerujúcu zo sieťového zariadenia alebo do sieťového zariadenia s adresou MAC 01: 23: 45: 67: 89: ab, ktoré používa TCP port číslo 25 pre prichádzajúce a odchádzajúce pripojenia.

Pamätajte, že filtre displeja nevyriešia problémy magicky. Pri správnom používaní sú to mimoriadne užitočné nástroje, no aj tak musíte sami interpretovať výsledky, nájsť problém a popremýšľať o vhodnom riešení.

Pokračovanie článku na ďalšej strane. Ak chcete prejsť na ďalšiu stránku, kliknite na tlačidlo 2, ktoré sa nachádza pod tlačidlami sociálnych sietí.

Aký je dnes najsilnejší nástroj na zachytávanie a analýzu internetovej prevádzky? Odpoveď je jednoduchá – Wireshark. Je schopný zachytávať nielen odchádzajúce TCP pakety, ale aj prichádzajúce. Tento nástroj je v prevádzke s mnohými profesionálmi. A hackeri to neváhajú použiť. Možnosti programu sú nekonečné. S jeho pomocou môžete extrahovať akýkoľvek súbor z balíka, zobraziť ho a skontrolovať. Hlavnou otázkou je, ako to urobiť. Toto sa pokúsime zistiť.

Čo je Wireshark

Tento nástroj je určený na riadenie internetového prenosu. Zachytáva pakety TCP, ktoré boli prijaté počítačom alebo z neho odoslané. Funkčnosť programu je taká bohatá, že záležitosť sa neobmedzuje len na jednoduché odpočúvanie. Môžete si prezerať obsah balíkov, hľadať chyby atď. Okrem toho môžete pomocou WS vytiahnuť takmer akýkoľvek súbor z balíkov a zobraziť ho. Aby ste lepšie pochopili, čo tento program je, musíte zdôrazniť jeho hlavné výhody. Takže plusy:

• multiplatformové (existujú verzie pre Linux, Mac, Unix);
• nástroj je úplne zadarmo;
• má širokú funkčnosť;
• flexibilita prispôsobenia;
• schopnosť filtrovať návštevnosť;
• vytváranie vlastných filtrov;
• zachytávanie paketov v reálnom čase.

Výhod tejto pomôcky je naozaj veľa. Ale neexistujú vôbec žiadne nedostatky ako také. Niet divu, že Wireshark je považovaný za najlepší svojho druhu na zachytávanie a analýzu TCP paketov. Teraz musíte trochu porozumieť samotnému programu.

Inštalácia a konfigurácia

Wireshark si môžete stiahnuť z oficiálnej webovej stránky vývojára. Program je úplne zadarmo. Je potrebné poznamenať, že najnovšia verzia (2.0.5) nefunguje s adaptérmi Wi-Fi. Preto, ak potrebujete analyzovať prevádzku bezdrôtového pripojenia, mali by ste si stiahnuť staršiu verziu.

Inštalácia utility je štandardná a nespôsobí problémy ani začiatočníkom. V inštalačnom programe je všetko jasné, aj keď je v angličtine. Mimochodom, Wireshark v ruštine v prírode neexistuje, preto, aby ste sa úspešne vyrovnali s týmto softvérom, budete musieť namáhať svoju pamäť a pamätať si angličtinu. V zásade nie je potrebné nič nadprirodzené na jednoduché zachytenie a zobrazenie paketov TCP. Stačí angličtina na úrovni školy.

Prvá vec, ktorú vidíme po spustení nainštalovaného programu, je hlavné okno. Pre nepripraveného používateľa sa to môže zdať nepochopiteľné a desivé.

Nie je na tom nič zlé. Teraz sa o tom presvedčíte. Ak chcete začať, musíte najprv vybrať zdroj, z ktorého chcete zachytávať pakety TCP. Odpočúvanie je možné vykonávať z ethernetového pripojenia aj z adaptéra WLAN. Ako príklad zvážte možnosť WLAN. Ak chcete konfigurovať, musíte prejsť na položku „Zachytiť“, podpoložku „Možnosti“. V okne, ktoré sa otvorí, vyberte svoj bezdrôtový adaptér a zaškrtnite ho. Ak chcete začať zachytávať návštevnosť, stačí kliknúť na tlačidlo „Štart“.

Po kliknutí na „Štart“ sa spustí analýza a zachytávanie paketov. V okne sa objaví veľa nezrozumiteľných písmen a číslic. Niektoré z balení majú vlastné farebné označenie. Aby ste aspoň niečo pochopili, musíte určiť, ktorá farba na čo odkazuje. Zelená - TCP prevádzka, tmavomodrá - DNS, svetlomodrá - UDP a čierna - TCP pakety s chybami. Teraz je ľahšie pochopiť túto horu údajov.

Ak chcete zastaviť proces odpočúvania, stačí stlačiť tlačidlo Stop, ktoré je označené červeným obdĺžnikom. Teraz si môžete vybrať balíček, ktorý vás zaujíma, a prezrieť si ho. Ak to chcete urobiť, kliknite pravým tlačidlom myši na paket a v zobrazenej ponuke vyberte položku Zobraziť paket v novom okne. Okamžite sa objaví kopa nezrozumiteľných písmen a číslic.

Ale s hĺbkovým štúdiom prezentovaných informácií môžete pochopiť, kam a kam sa balík dostal a z čoho pozostával. Na neskoršie zobrazenie údajov o TCP paketoch je potrebné použiť funkciu uloženia zachytených informácií. Nachádza sa v položke ponuky „Súbor“, podpoložke „Uložiť ako“. Potom si môžete načítať informácie zo súboru a pokojne si ich prezerať.

Používanie filtrov

Ak chcete zobraziť iba informácie, ktoré vás zaujímajú, môžete prinútiť Wireshark používať filtre a odrezať tak nepotrebnú premávku. Pokyny na jemné doladenie filtrov sú k dispozícii na webe, ale zatiaľ zvážime iba jeden príklad. Povedzme, že vás zaujímajú iba pakety TCP. Aby program zobrazil iba ich, prejdite do položky ponuky „Capture“, podpoložka „Capture filters“, vyberte položku „TCP Only“ a stlačte tlačidlo „OK“.

Týmto spôsobom môžete prinútiť utilitu, aby zobrazovala iba návštevnosť, ktorá vás zaujíma. Viac podrobností o používaní filtrov nájdete na internete. Môžete si dokonca vytvoriť vlastnú šablónu filtra. Ale to je úplne iný príbeh.

Záver

Medzi programami na zachytávanie a analýzu prevádzky sa Wireshark etabloval ako najcennejší nástroj na riešenie takýchto problémov. Mnoho profesionálov to úspešne používa. Samozrejme, aby ste v ňom mohli pracovať na profesionálnej úrovni, budete sa musieť zdokonaliť v angličtine a naučiť sa niektoré princípy prenosu dát. Ale stojí to za to. Teraz už žiadny program vo vašom počítači nebude môcť bez vášho vedomia posielať tony nepotrebných informácií ktovie kam. Wireshark je bezkonkurenčný ako zachytávač a analyzátor.

Video

Mnohí používatelia si ani neuvedomujú, že vyplnením prihlasovacieho mena a hesla pri registrácii alebo autorizácii na uzavretom internetovom zdroji a stlačením ENTER sa tieto údaje dajú ľahko zachytiť. Veľmi často sa prenášajú cez sieť v nechránenej forme. Ak teda stránka, na ktorú sa pokúšate prihlásiť, používa protokol HTTP, potom je veľmi jednoduché zachytiť túto komunikáciu, analyzovať ju pomocou Wireshark a potom pomocou špeciálnych filtrov a programov nájsť a dešifrovať heslo.

Najlepšie miesto na zachytenie hesiel je v jadre siete, kde prevádzka všetkých používateľov smeruje na uzavreté zdroje (napríklad pošta) alebo pred smerovač na prístup na internet pri registrácii s externými zdrojmi. Nastavíme zrkadlo a sme pripravení cítiť sa ako hacker.

Krok 1. Nainštalujte a spustite Wireshark na zachytenie prevádzky

Niekedy stačí vybrať len rozhranie, cez ktoré plánujeme zachytávať návštevnosť a kliknúť na tlačidlo Štart. V našom prípade robíme zachytávanie cez bezdrôtovú sieť.

Začalo sa zachytávanie dopravy.

Krok 2. Filtrovanie zachytenej návštevnosti POST

Otvoríme prehliadač a pokúsime sa prihlásiť do akéhokoľvek zdroja pomocou používateľského mena a hesla. Po dokončení procesu autorizácie a otvorení stránky zastavíme zachytávanie návštevnosti vo Wiresharku. Potom otvorte analyzátor protokolu a zobrazte veľký počet paketov. Práve v tejto fáze to väčšina IT profesionálov vzdáva, pretože nevedia, čo robiť ďalej. Vieme však a zaujímajú nás konkrétne balíčky, ktoré obsahujú POST dáta, ktoré sa generujú na našom lokálnom počítači pri vypĺňaní formulára na obrazovke a sú odoslané na vzdialený server, keď kliknete na tlačidlo „Prihlásiť sa“ alebo „Autorizácia“ v prehliadač.

Zavedenie špeciálneho filtra do okna na zobrazenie zachytených paketov: http.žiadosť.metóda == “Zverejniť

A namiesto tisícky balíčkov vidíme len jeden s údajmi, ktoré hľadáme.

Krok 3. Nájdite používateľské meno a heslo

Rýchle kliknutie pravým tlačidlom myši a výber položky z ponuky Sledujte TCP Steam

Potom sa v novom okne objaví text, ktorý v kóde obnoví obsah stránky. Nájdite polia „heslo“ a „používateľ“, ktoré zodpovedajú heslu a používateľskému menu. V niektorých prípadoch budú obe polia ľahko čitateľné a dokonca nebudú šifrované, ale ak sa snažíme zachytiť prenos pri prístupe k veľmi známym zdrojom, ako sú Mail.ru, Facebook, Vkontakte atď., Heslo bude zakódované:

HTTP / 1.1 302 Nájdených

Server: Apache / 2.2.15 (CentOS)

X-Powered-By: PHP / 5.3.3

P3P: CP = "NOI ADM DEV PSAi COM NAV NAŠE OTRo STP IND DEM"

Set-Cookie: heslo = ; platnosť končí = štvrtok, 7. novembra 2024 23:52:21 GMT; cesta = /

Miesto: login.php

Obsah – dĺžka: 0

Pripojenie: zatvorte

Content-Type: text / html; znaková sada = UTF-8

Takže v našom prípade:

Používateľské meno: networkguru

heslo:

Krok 4. Určenie typu kódovania na dešifrovanie hesla

Ideme napríklad na stránku http://www.onlinehashcrack.com/hash-identification.php#res a do okna identifikácie zadáme svoje heslo. Dostal som zoznam kódovacích protokolov v poradí podľa priority:

Krok 5. Dešifrovanie hesla používateľa

V tejto fáze môžeme použiť pomôcku hashcat:

~ # hashcat -m 0 -a 0 /root/wireshark-hash.lf /root/rockyou.txt

Na výstupe sme dostali dešifrované heslo: simplepassword

Pomocou Wireshark teda môžeme nielen riešiť problémy s prevádzkou aplikácií a služieb, ale tiež sa vyskúšať ako hacker, ktorý zachytáva heslá, ktoré používatelia zadávajú do webových formulárov. Môžete tiež zistiť heslá do poštových schránok používateľov pomocou jednoduchých filtrov na zobrazenie:

• Protokol POP a filter vyzerá takto: pop.request.command == "USER" || pop.request.command == "PASS"
• IMAP a filter budú: imap.request obsahuje "login"
• SMTP a budete musieť zadať nasledujúci filter: smtp.req.command == "AUTH"

a serióznejšie nástroje na dešifrovanie kódovacieho protokolu.

Krok 6. Čo ak je prenos šifrovaný a používa HTTPS?

Existuje niekoľko možností, ako odpovedať na túto otázku.

Možnosť 1. Pripojiť, aby sa odpojilo spojenie medzi používateľom a serverom a zachytila ​​sa prevádzka v momente nadviazania spojenia (SSL Handshake). Po vytvorení spojenia môžete zachytiť kľúč relácie.

Možnosť 2. Prenos HTTPS môžete dešifrovať pomocou súboru denníka kľúča relácie zaznamenaného prehliadačom Firefox alebo Chrome. Ak to chcete urobiť, prehliadač musí byť nakonfigurovaný tak, aby zapisoval tieto šifrovacie kľúče do súboru denníka (príklad založený na FireFox) a tento súbor denníka by ste mali získať. V podstate musíte ukradnúť súbor kľúča relácie z pevného disku iného používateľa (čo je nezákonné). Potom zachyťte prenos a použite výsledný kľúč na jeho dešifrovanie.

Objasnenie. Hovoríme o webovom prehliadači osoby, ktorá sa snaží ukradnúť heslo. Ak máme na mysli dešifrovanie našej vlastnej HTTPS prevádzky a chceme si to precvičiť, tak táto stratégia bude fungovať. Ak sa pokúšate dešifrovať prenos HTTPS iných používateľov bez prístupu k ich počítačom, nebude to fungovať – ide o šifrovanie aj súkromie.

Po prijatí kľúčov pre možnosť 1 alebo 2 ich musíte zaregistrovať vo WireShark:

1. Prejdite do ponuky Upraviť - Predvoľby - Protokoly - SSL.
2. Nastavte príznak "Znovu zostaviť záznamy SSL zahŕňajúce viacero segmentov TCP".
3. "Zoznam RSA kľúčov" a kliknite na Upraviť.
4. Do všetkých polí zadáme údaje a zapíšeme cestu do súboru s kľúčom

WireShark dokáže dešifrovať pakety, ktoré sú šifrované pomocou algoritmu RSA. Ak sa používajú algoritmy DHE / ECDHE, FS, ECC, sniffer nie je naším pomocníkom.

Možnosť 3. Získajte prístup k webovému serveru používanému používateľom a získajte kľúč. Ale toto je ešte náročnejšie. V podnikových sieťach je na účely ladenia aplikácií alebo filtrovania obsahu táto možnosť implementovaná na právnom základe, nie však za účelom zachytávania používateľských hesiel.

BONUS

VIDEO: Wireshark Packet Sniffing užívateľských mien, hesiel a webových stránok

Wireshark je pomerne známy zachytávací nástroj a v podstate štandard pre vzdelávanie aj riešenie problémov.Wireshark pracuje s drvivou väčšinou známych protokolov, má zrozumiteľné a logické grafické rozhranie založené na GTK + a najvýkonnejší filtračný systém. Multiplatformový, funguje v takých operačných systémoch ako Linux, Solaris, FreeBSD, NetBSD, OpenBSD, Mac OS X, a samozrejme Windows. Distribuované na základe licencie GNU GPL v2. Dostupné zadarmo na wireshark.org.

Inštalácia na systém Windows je triviálna - ďalší, ďalší, ďalší. Najnovšia verzia v čase písania tohto článku je 1.10.3 a bude sa podieľať na kontrole.

Prečo vôbec potrebujete lapače paketov?

S cieľom uskutočniť výskum sieťových aplikácií a protokolov, ako aj nájsť problémy v sieti, a čo je dôležité, zistiť príčiny týchto problémov.

Je celkom zrejmé, že na čo najefektívnejšie využitie snifferov alebo analyzátorov návštevnosti potrebujete aspoň všeobecné znalosti a pochopenie fungovania sietí a sieťových protokolov. Dovoľte mi pripomenúť, že v mnohých krajinách je použitie šnupača bez výslovného povolenia považované za trestný čin.

Začnime sa plaviť

Ak chcete začať snímať, stačí vybrať sieťové rozhranie a kliknúť na tlačidlo Štart.

Potom sa začne proces zachytávania a prichádzajúce pakety sa objavia v reálnom čase. Pri prezeraní a skúmaní balíkov sú chvíle, keď sa potrebujete vrátiť k predchádzajúcemu balíku. Na to slúžia dve tlačidlá (pozri snímku obrazovky).

A ďalšie tlačidlo po nich vám umožní rýchly skok do balíka s uvedením jeho čísla.

Ak sa stĺpce prekrývajú a plížia sa na seba, môžete na takýto stĺpec kliknúť pravým tlačidlom myši a vybrať "Zmeniť veľkosť stĺpca". Tým sa automaticky zmení veľkosť, aby zodpovedala aktuálnej situácii. A okrem toho je tu tlačidlo "Zmeniť veľkosť všetkých stĺpcov", ktorý vyčistí všetky kolóny.

Pomocou ponuky Zobraziť - Formát zobrazenia času, môžete napríklad nakonfigurovať odpočítavanie nie od začiatku zachytávania, ale od okamihu prijatia predchádzajúceho paketu ( Od predchádzajúceho zachyteného paketu ). Najdôležitejšia vec v každom programe ( Pomocník - O programe Wireshark ) zobrazí nielen verziu a zoznam autorov, ale obsahuje aj záložku Priečinky , ktorý zobrazí cesty konfiguračných adresárov.

Pri skúmaní rozhrania si môžete vybrať napríklad balík http, a uvidíte to HTTP zapuzdrený v TCP (transportná vrstva), TCP je zapuzdrený v IP (sieťová vrstva) a IP je zasa zapuzdrená v Ethernete (predtým dokonca bliká 802.1Q).

A úplne hore je niečo ako malý prehľad zozbieraných informácií o ráme.

O filtroch si povieme ďalej, no v tejto fáze, ak potrebujete rýchlo odfiltrovať nepotrebné balíčky, stačí kliknúť pravým tlačidlom myši na balíček, vybrať ponuku Použiť ako filter – nie je vybraté a zmeny sa prejavia okamžite. Ak potrebujete odstrániť niečo iné, nabudúce vyberte “A nie vybrané” a nové pravidlo sa jednoducho pridá do filtra.

Odstraňovanie otrepov

Pomerne často sa pri práci s Wireshark vyskytne chyba Zníženie zaťaženia kontrolného súčtu IP- chyba v kontrolnom súčte hlavičky IP paketu.

Moderné sieťové karty sú také inteligentné, že samy počítajú kontrolný súčet, prečo to robiť na úrovni zásobníka TCP / IP programovo, ak to dokážete tvrdo. A Wireshark prirodzene zachytáva pakety skôr, ako vstúpia do siete. A predtým, ako bola táto suma vypočítaná a pridaná do hlavičky balíka. V súlade s tým existujú dva spôsoby, ako tento problém vyriešiť - vypnúť funkciu vypnutia v nastaveniach sieťovej karty alebo v nastaveniach ňufák naznačujú, že tejto hodnote nevenuje pozornosť.

Drôtové funkcie sú často lepšie ako softvérové, hlavne kvôli rýchlosti spracovania (väčšinou hardvérovo vyššej), preto je lepšie zmeniť nastavenia samotného sniffera. Ak to chcete urobiť, prejdite do nastavení ( Upraviť - Predvoľby ), potom Protokoly - IPv4- a odstráňte vlajku z „Ak je to možné, overte kontrolný súčet IPv4“.

Pred zachytením návštevnosti sa musíte rozhodnúť, čo vlastne musíte zachytiť. Analyzátor premávky môžete umiestniť na niekoľko miest:

• Lokálne na vašom hostiteľovi;
• Organizujte zrkadlenie premávky na prepínači;
• Pripojte sa priamo k zaujímavým miestam;
• alebo otrava ARP (ešte viac nelegálne ako pasívne odpočúvanie dopravy)

Filtrovanie prúdu

Wireshark obsahuje dva typy filtrov – zachytávacie (Zachytávacie filtre) a zobraziť (Zobraziť filtre).
Najprv zvážte Zachytávacie filtre.
Ako už z názvu tušíte, slúžia na filtrovanie aj vo fáze zachytávania návštevnosti. Ale v tomto prípade, samozrejme, môžete nenávratne stratiť časť prevádzky, ktorú potrebujete.

Filter je výraz pozostávajúci zo vstavaných hodnôt, ktoré možno v prípade potreby kombinovať s boolovskými funkciami (a alebo nie). Ak ho chcete použiť, musíte prejsť do ponuky Zachytiť, potom možnosti a v teréne Zachytiť filter typ, napr. hostiteľ 8.8.8.8 (alebo napr netto 192.168.0.0./24 )

Samozrejme si môžete vybrať aj vopred vytvorený filter (za to je zodpovedné tlačidlo. Zachytiť filter). V ktorejkoľvek z možností sa filter zobrazí v blízkosti rozhrania, môžete stlačiť tlačidlo Štart. Teraz prejdime k Zobraziť filtre... Filtrujú len už zachytenú návštevnosť.

Čo je možné filtrovať?

Takmer všetko – protokoly, adresy, špecifické polia v protokoloch.
Operácie, ktoré možno použiť pri vytváraní filtrov:

Ako ste si určite všimli, v tabuľke boli ako príklady rôzne výrazy, celkom zrozumiteľné a často hovoriace samy za seba. Napríklad ip.dst Je pole protokolu IP.

Ak chcete vidieť toto pole, stačí sa pozrieť na paket a v spodnej časti okna môžete vidieť jeho hodnotu, ktorú potom môžete použiť v akomkoľvek filtri. Napríklad nás zaujíma, ako vytvoriť filter, kde sa bude kontrolovať hodnota TTL.
Za týmto účelom otvoríme L3časť a postavte sa na zodpovedajúce pole:

A vidíme, že na vytvorenie filtra musíte použiť výraz ip.ttl. Ak začnete písať filter, za bodkou sa automaticky zobrazí zoznam možných hodnôt:

Ak chcete použiť filter, stačí stlačiť kláves Enter alebo tlačidlo Použiť. Samotné vstupné pole filtra môže meniť farbu v závislosti od toho, čo bolo napísané.

Zelená znamená, že je všetko v poriadku. Červená - urobila sa chyba, žltá - dosiahol sa neočakávaný výsledok, pretože existujú aj iné možnosti na zapísanie filtra (napríklad môžete napísať ip.dst! = 8.8.8.8 alebo IP.dst == 8.8.8.8 , je to druhá možnosť, ktorá je vhodnejšia). Filtre je možné uložiť pre budúce použitie kliknutím na tlačidlo uložiť, potom zadajte ľubovoľný názov

a po kliknutí na tlačidlo OK sa filter zobrazí ako tlačidlo na paneli.

A ak kliknete na tlačidlo „Výraz ...“ umiestnené v blízkosti, otvorí sa dostatočne výkonný konštruktor výrazov, pomocou ktorého môžete takmer študovať sieťové protokoly. Počet podporovaných protokolov sa neustále zvyšuje.

Ako už bolo spomenuté, môžete vybrať ľubovoľný balík a vybrať z kontextového menu Použiť ako filter a v podponuke vyberte režim - vybraný alebo nie je vybratá a podľa toho sa okamžite objaví filter, ktorý zobrazí len vybrané alebo naopak vybrané z obrazovky odstráni. Môžete si tak flexibilne vybrať, čo na obrazovke uvidíte a čo nie. Môže to byť isté ip-adresa, ttl, prístav, dns odpoveď a oveľa viac. Okrem toho existujú dve možnosti pre takéto rýchle filtre - Pripravte ako filter a Použiť ako filter.

Ako už z názvu tušíte, rozdiel je v tom, že v prvom prípade sa zobrazí iba vo vstupnom poli Display Filter, ale nepoužije sa (vhodné je, ak napr. takto pridáte niekoľko filtrov a potom ihneď použijete hotový výsledok) a v druhom sa hneď použije.

Filtre je možné kombinovať pomocou známych boolovských operácií: (dns) && (http) logické a (dns) || (http) je to logické, resp.

Týmto spôsobom môžete vytvoriť veľké a zložité filtre, ako napríklad: (tcp.flags.syn == 1) && (ip.src == 172.16.10.2) && (ip.dst == 172.16.10.1) Tu vidíme len to TCP SYN segmenty, len s konkrétnou adresou odosielateľa a príjemcu. Pri vytváraní veľkých filtrov si pamätajte, že filter je v podstate booleovský výraz, a ak je pravdivý, paket sa zobrazí na obrazovke, ak je nepravdivý - nie.

Potápanie hlbšie

Pomerne bežná situácia, keď sa vyskytnú sťažnosti na pomalú prevádzku siete, môže to mať veľa dôvodov. Pokúsme sa zistiť, čo by mohlo byť dôvodom, a zvážte dva spôsoby. Prvým je pridanie stĺpca TCP delta.

Otvorte balík, nájdite pole Čas od predchádzajúceho rámca v tomto rámci TCP, kliknite pravým tlačidlom a vyberte Použiť ako stĺpec. Objaví sa nový stĺpec. Môžete naň kliknúť pravým tlačidlom myši a zvoliť režim triedenia, napr. Zoradiť zostupne.

A okamžite zvážte druhú metódu.

Relatívne nedávno (vo verzii 1.10.0) bol filter tcp.time_delta,čo v skutočnosti zohľadňuje čas od poslednej žiadosti.

Ak klient zadá požiadavku a dostane odpoveď po 10 milisekúndách a klient povie, že mu ide všetko pomaly, tak problém môže byť u samotného klienta.
Ak klient zadá požiadavku a dostane odpoveď po 2-3 sekundách, môže už nastať problém so sieťou.

Ešte hlbšie

Ak sa pozriete na paket TCP (alebo presnejšie na segment), môžete tam vidieť Index toku ktorá zvyčajne začína od nuly. Samotné pole bude tzv tcp.stream.

Môžete naň kliknúť pravým tlačidlom a vytvoriť filter.

Týmto spôsobom môžete filtrovať pripojenia, ktoré chcete.

Ďalším spôsobom je kliknúť pravým tlačidlom myši na samotný balík, vybrať Filter konverzácie a vytvorte filter pre úroveň l2 l3 l4 resp.

V dôsledku toho opäť uvidíme interakciu dvoch hostiteľov.

A tretia možnosť je jednou z najzaujímavejších funkcií - Sledujte stream TCP... Aby ste ho mohli použiť, musíte znova kliknúť pravým tlačidlom myši na balík a vybrať „Sledovať tok TCP“. Objaví sa okno, kde bude názorne demonštrovaná celá výmena medzi dvoma uzlami.

Ak prejdete do menu Štatistika - Konverzácie, potom výberom kariet môžete vidieť štatistiky o takýchto „konverzáciách“ a rôznych reláciách, pričom ich môžete triediť podľa rôznych stĺpcov, napríklad podľa množstva prenesených dát.

A priamo v tomto okne môžete kliknúť pravým tlačidlom myši na kontextovú ponuku a znova ju použiť ako filter.

Skúsenosti prichádzajú s časom

Po nejakom čase strávenom zachytávaním rôznej premávky môžete v ľavom dolnom rohu vidieť akési tlačidlo v tvare gule, ktoré občas mení farbu.

Kliknutím na toto tlačidlo sa otvorí okno Odborné informácie ... Rovnaký výsledok možno dosiahnuť prechodom do menu A nalyze - Expert Info .

Toto okno bude obsahovať informácie o nájdených balíkoch rozdelených do skupín Errors, Warnings, Notes a Chats. Farebná schéma týchto skupín je nasledovná:
Chyby- Červená farba
Varovania - žltá
Poznámky (upraviť)- modro-zelená (azúrová)
Chatovacia miestnosť- Šedá

Wireshark obsahuje výkonný analyzátor a dokáže automaticky odhaliť veľké množstvo problémov so sieťou. Ako ste si mohli všimnúť, filtre sa dajú použiť doslova všade a Odborné informácie nie je výnimkou. Na vytvorenie takéhoto filtra je potrebné použiť konštrukciu odborník.závažnosť. Napríklad, odborník.závažnosť == chyba.

Okrádame premávku!

Je možné pomocou Wireshark to zistiť? To bolo stiahnuté?

Áno môžeš. A teraz to uvidíme. Zoberme si najprv prenos HTTP. Kliknite pravým tlačidlom myši na balík HTTP - Predvoľby protokolu- a vidíme veľa možností, ktoré priamo ovplyvňujú extrakciu súborov z webovej prevádzky. Ak chcete vidieť, čo sa dá extrahovať z aktuálneho výpisu, musíte prejsť do ponuky Súbor - Exportovať objekty - HTTP.

Zobrazí sa okno, ktoré ukáže všetky zachytené http objekty - textové súbory, obrázky atď. Ak chcete vytiahnuť ľubovoľný súbor z tohto zoznamu, stačí ho vybrať a kliknúť na tlačidlo Uložiť ako.

Ako vidíte, kresba bola extrahovaná bez problémov.

Rovnakým spôsobom môžete extrahovať streamované video / zvuk.

Tým však možnosti Wiresharku nekončia!

Vie, ako extrahovať súbory z FTP. Na tento účel môžete použiť už známy nástroj Follow TCP Stream. V dôsledku toho sa zobrazí iba výmena FTP, v ktorej budete musieť nájsť riadok RETR, čo v skutočnosti bude znamenať prenos súboru.

VoIP

Wireshark má niekoľko vstavaných funkcií pre prácu s touto technológiou. Podporuje veľa hlasových protokolov - SIP, SDP, RTSP, H.323, RTCP, SRTP a ďalšie. A samozrejme dokáže zachytiť a uložiť hlasovú prevádzku na ďalšie počúvanie.

Táto funkcia je ideálna na riešenie problémov v sieťach Voice over IP. Ponuka Štatistika - Graf toku ukáže vizuálny obraz toho, ako celá výmena balíkov prebiehala.

Vo všeobecnosti celé menu telefonovanie vyhradené pre prácu s hlasovou prevádzkou. Napríklad, Telephony - RTP - Show All Streams podrobne ukáže, čo sa dialo s RTP, najmä jitter (parameter, ktorý je pravdepodobne najdôležitejší v hlase), ktorý niekedy okamžite naznačuje prítomnosť problémov.

Stlačením tlačidla "Analyzovať", môžete otvoriť okno Analýza toku RTP - a po výbere streamu ho môžete dokonca prehrať pomocou tlačidla prehrávača. Najprv sa otvorí okno prehrávača, v ktorom je potrebné najskôr nastaviť príslušnú hodnotu jitteru a použiť tlačidlo dekódovania.

Objaví sa niečo podobné ako spektrálny analyzátor, v ktorom môžete označiť požadovanú konverzáciu a potom sa aktivuje tlačidlo Prehrať.

Existuje aj ďalší spôsob, ako počúvať hlasové hovory - môžete prejsť do ponuky Telefonovanie - VoIP hovory.

Otvorí sa okno so zoznamom uskutočnených hovorov, kde opäť môžete stlačiť tlačidlo prehrávača, zrušiť požadované konverzácie pomocou začiarkavacích políčok a stlačiť prehrávanie. Aby ste dosiahli prijateľnú kvalitu zvuku, musíte sa pohrať s hodnotou poľa jitter buffer a zmeniť jej hodnotu.

Malá odbočka

Pred časom sa objavila stránka CloudShark.org.

Toto je rovnaký sniffer Wireshark, ale implementovaný ako online služba. Je zrejmé, že nebude schopný zachytiť sieťovú premávku, ale vykoná analýzu výpisu prevádzky. Nahraním súboru PCAP na analýzu cez formulár bude možné získať prehľadnú sekvenciu paketov, v ktorej budú všetky údaje rozdelené do zrozumiteľných polí v závislosti od protokolu. Vo všeobecnosti rovnaký Wireshark, ale trochu ľahký a dostupný z akéhokoľvek prehliadača.

Záverečná bitka

Nakoniec sa pozrime na to, ako vyzerá skenovanie portov. Pozeráme sa na výpis a vidíme, že najskôr dôjde k požiadavke ARP a potom sa začne priamo skenovanie. Adresa nášho smerovača je 192.168.10.11, skenovanie pochádza z adresy 192.168.10.101

Ide o takzvaný SYN scan, kedy sú SYN pakety odosielané na určený rozsah portov. Keďže väčšina portov je uzavretá, router odpovedá paketmi RST, ACK. Posúvaním o niečo nižšie vidíme, že je otvorený telnet (tcp 23).

Toto je indikované odpoveďou smerovača paketom SYN, ACK. Mimochodom, na filtrovanie portov v snifferi môžete použiť konštrukcie ako: tcp.srcport, tcp.dstport a tcp.port. Pre protokol UDP je všetko rovnaké - udp.srcport, udp.dstport, udp.port.

výsledky

Prešli sme si najzákladnejšie časti najlepšej funkčnosti paketového sledovača. Dopadlo to trochu chaoticky, asi preto, že som sa chcel dotknúť čo najväčšieho počtu jeho funkcií a nič dôležité mi neuniklo. Ukázalo sa, že analyzátor paketov, podobne ako debugger a disassembler, demonštruje najmenšie podrobnosti o fungovaní siete a sieťových protokolov.
Pomocou Wireshark a s potrebnými znalosťami môžete celkom efektívne nájsť a diagnostikovať rôzne problémy, ktoré sa vyskytujú v sieti.

V procese písania boli použité materiály zo stránky wiki.wireshark.org / Výpisy s návštevnosťou boli prevzaté z rôznych zdrojov, predovšetkým zo stránky