Etter du har lastet ned, installert og åpnet Wireshark får du opp dette grensesnittet.
Etter du har trykket på start begynner Wireshark og logge all nettverkstrafikk. Første del av oppgaven sa at jeg skulle pinge naboens PC mens jeg så på hva slags data som dukket opp på wireshark over ca to minutter.
Jeg pinget Marius sin PC som er HOVS-UTLEIE-20, med kommando: "ping 192.168.0.187 -t"
Her ser du trafikken fra omtrent to sekunder hvor du kan se at jeg pinger og får svar fra PCen ved navn utleie 20.
Etterpå filtret jeg ut alt som ikke var IPen til Marius (prøvde også med mac, både med bindestreker mellom og med kolon, men fant ingen ting da). Da så jeg når PCen ble slått av, men alt sto dødt frem til han manuelt koblet seg til Wiresharknettet etter PCen hadde slått seg på igjen, siden PCen ikke får den IPen den hadde før han kobler seg på Wiresharknettet.
Det nederste bildet er en log av ping mellom to PCer ved siden av meg mellom hverandre, men filter satt til kun den ene.
_________________________________________________
UCP (Universal Computer Protocol) er en protokoll som er spesifikt brukt til å overføre korte meldinger mellom en Short Message Service Senter og en applikasjon ved bruk av TCP.
TCP (Transmission Control Protocol) er en protokoll som forsyner streambasert kontaktorientert overføring av data. Det gir en pålitelig overføring med tanke på packetloss og dupe packets (manglende pakker, eller kopierte pakker).
ICMP (Internet Control Message Protocol) blir brukt av IP til å overføre kontrollmeldinger mellom IP verter.
NBNS (NetBIOS Name Service) har samme funksjon som DNS med at the oversetter menneskelig lesbare navn til IP-adresser. DNS er mer avansert når det kommer til navngivning, siden NetBIOS kun har support for IPv4 og ikke IPv6, i tillegg har navngivning i DNS mindre regler for hvordan navnet ikke kan være. For eksempel når det komme til spacing, om ikke man bruker extensions i form av scopes.
ARP (Address Resolution Protocol) blir brukt til å utforske, dokumentere og oversette fra IP-adresser til MAC-adresser. ARP blir oftest sett før kommunikasjonsmeldinger blir sendt. Alle adresser blir lagt i en database med default 15 min reset. (Blir slettet etter 15 min).
_________________________________________________
En av de ekstra funksjonene man kan sette på er et domenenavn, men dette vil forstyrre logdataene med ekstra DNS forespørsler for å få tak i navn fra IP-adressene, noe som gjør loggene ekstra lange.
På HowToGeek fant jeg også et triks som gjør det mulig å logge fra et remote interface, som en router eller server om du vil.
Om jeg er enig i om dette burde være lovlig eller ikke har jeg ingen 100% formening om. Jeg syntes det er skeptisk at man kan gå å sniffe trafikk på en så enkel måte, men samtidig om man skal ha noe nytte av det må man ha gidd til det. Jeg fant ingen passord eller brukernavn da jeg prøvde på det og har hittil ikke sett noe tegn til at det er mulig, så helt HVOR MYE som er mulig å sniffe er uvisst for meg. Men først og fremst mener jeg at privat skal være privat. Dette gjør jo selvsagt at jeg lener meg mer på at Wireshark ikke burde være lovlig, bare fordi det kan sniffe opp noe som er privat, selv så lite som en IP-adresse fra en nettside man har vært på.
No comments:
Post a Comment