Pentesting2022

h0 - Analysoi verkkoliikennettä

Verkkoliikenteen analysointiin käytän Wireshark-työkalua, joka voi ladata ilmaiseksi täältä

filtteröinti

Voimme suodattaa verkkoliikennettä käyttämällä erilaisia suodattimia, nämä ovat periaatteessa pakollisia, sillä ilman mitään suodattamista, verkkoliikennettä modernissa tietokoneessa on niin paljon, että sitä on melkein mahdotonta analysoida.

Voimme esimerkiksi rajata verkkoliikenteestä vain salaamattoman http-liikenteen suodattamalla portteja, joiden liikennettä tarkastelemme

Esimerkki ilman suodatusta

Liikenne on täynnä UDP-paketteja, joiden uskoisin olevan päällä olevan Jitsi-puhelun takia.

Filtteröitynä TCP-portin 80 liikenteeseen

käyttämällä tcp.port == 80 and http komentoa saimme suodatettua liikennettä salaamattomaan http-liikenteeseen.

Seuraavaksi voimme ottaa yhteyden selaimella johonkin http-serveriin, kuten esimerkiksi maailman ensimmäiseen www-sivuun, joka sijaitsee nykyään mm. tässä osoitteessa

Jos lataamme sivun, näämme liikenteen Wiresharkissa: Selain lähettää GET-komennon ja serveri vastaa 200 OK komennolla, ja lähettää sivun plain textinä, joka näkyy vastauksessa.

Kuten näemmä, salaamaton http-liikenne on oikeasti pelkkää tekstiä, joka lähetetään verkon yli. Tämän takia kuka vaan pystyisi näkemään verkkoliikenteen, ja mitä sivuilla tehtäisiin, jos ei käytettäisi salattua verkkoyhteyttä. Tämän takia https (eli se lukko selaimen yläreunassa) on oikeasti tärkeä, jos selataan mitään muuta kuin maailman ensimmäistä www-sivua.

Näin voidaan analysoida verkkoliikennettä käyttäen Wireshark-työkalua.