Wireshark

Vajeršark (engl. Wireshark) besplatan je paket analizator, otvorenog koda. Koristi se za mrežno rešavanje problema, analizu, razvoj softvera, komunikacionog protokola i obrazovanje. Prvobitno nazvan Ethereal, projekat je preimenovan u Wireshark u maju 2006 godine zbog problema sa zaštitnim znakom.^[1]

Wireshark je ukrštena platforma, koristeći GTK+ widget toolkit u tekućim izdanjima, i Qt u razvojnim verzijama, da sprovode svoj korisnički interfejs i koristeći pcap za snimanje paketa; radi na Linux, OS X, BSD, Solaris, nekim drugim operativnim sistemima nalik na Unix i Microsoft Windows-u. Tu je i zasnovana na terminalu (ne-grafički korisnički interfejs) verzija zvana TShark. Wireshark i ostali programi distribuirani sa njim kao što je TShark, su besplatni softveri, objavljeni pod uslovima GNU General Public License.

Funkcionalnost[uredi | uredi izvor]

Wireshark je veoma sličan tcpdump-u, ali ima grafički prednji kraj, plus neke integrisane opcije sortiranja i filtriranja. Wireshark omogućava korisniku da ubaci mrežne interfejs kontrolere koji podržavaju promiskuitentni režim, u tom režimu, kako bi videli sav saobraćaj vidljiv na tom interfejsu, ne samo saobraćaj upućen jednom od interfejsa konfigurisanih adresa i emitovanog/multikast saobraćaja. Međutim, kada se snima sa paket analizatorom u promiskuitetnom režimu na portu na mrežnom prekidaču, sav saobraćaj koji prolazi kroz prekidač neće biti poslat do porta na kojem se obavlja snimanje. Tako da snimanje u promiskuitetnom režimu neće biti dovoljno da se vidi sav saobraćaj na mreži. Port ogledanje ili različite mrežne slavine proširuju snimanje do bilo koje tačke na mreži.

Na Linux, BSD, i OS X, sa libpcap 1.0.0 ili kasnijim verzijama, Wireshark 1.4 i kasniji, takođe stavljaju bežične mrežne interfejs kontrolere u režim monitora. Ako udaljena mašina snima pakete i šalje snimljene pakete do mašine koja pokreće Wireshark koristeći TZSP protokol ili protokol korišćen od strane OmniPeek-a, Wireshark će secirati te pakete, omogućavajući da se analiziraju paketi snimljeni na udaljenoj mašini u vreme kada su oni snimljeni.

Istorija[uredi | uredi izvor]

U kasnim 1990-im, Gerald Combs, kompjuterski naučnik, diplomirao na Univerzitetu Misuri-Kanzas Sitija, radio je za malog internet servis provajdera. Komercijalni proizvodi analize protokola u trenutku su koštali oko 1500 dolara^[2] i nisu radili na osnovnoj platformi kompanije (Solaris i Linux), tako je Gerald počeo da piše Ethereal i objavio prvu verziju oko 1998 godine.^[3] Ethereal zaštitni znak je u vlasništvu Network Integration Services. U maju 2006 godine, Combs je prihvatio posao sa CACE Technologies. Combs je i dalje imao autorska prava na većini Ethereal izvornog koda (a ostatk je ponovo distribuiran pod GNU GPL), tako da je koristio sadržaj Ethereal subverzionog skladišta kao osnovu za Wireshark skladište. Međutim, on nije vlasnik Ethereal-ovog zaštitnog znaka, tako da je promenio ime u Wireshark.^[4] U 2010 godini, Riverbed Technology je kupio CACE i preuzeo kao primarni sponzor Wireshark. Ethereal razvoj je prestao, i Ethereal bezbednosni savetodavci preporučuju prelazak na Wireshark. Wireshark je osvojio nekoliko industrijskih nagrada tokom godina^[5], uključujući eWeek, InfoWorld i PC Magazine. Takođe je visoko rangiran paket njuškalo u Insecure.Org istraživanju bezbednosnih alata mreža, i bio je SourceForge projekat meseca u avgustu 2010 godine.^[6] Combs je nastavio da održava ukupan kod Wireshark-a i objavljivao nove verzije softvera. Sajt proizvoda lista više od 600 dodatnih doprinosa drugih autora.

Karakteristike[uredi | uredi izvor]

Wireshark je softver koji razume (enkapsulacije) različitih mrežnih protokola. Može analizirati i mrikazivati polja, zajedno sa njihovim značenjima kao što je navedeno od strane različitih mrežnih protokola. Wireshark koristi pcap da snima pakete, tako da može da obuhvata samo tipove paketa mreža koje pcap podržava.

Podaci mogu biti snimljeni "iz žice" iz žive mrežne veze ili pročitani iz dosijea već snimljenih paketa.
Uživo podaci mogu se pročitati iz više vrsta mreža, uključujući Ethernet, IEEE 802.11, PPP i loopback.
Snimljeni podaci se mogu pretraživati preko grafičkog korisničkog interfejsa ili preko treminalne (komandne linije) verzije korisnosti, TShark-a.
Snimljeni fajlovi mogu biti programski izmenjeni ili pretvoreni preko komandne linije prebacujući se u “editcap” program.
Prikazivanje podataka može da se refinira pomoću filtera ekrana.
Dodaci mogu biti kreirani za disekciju novih protokola.
VoIP pozivi mogu biti detektovani u snimljenom saobraćaju. Ako je šifrovan u kompatibilnom šifrovanju, protok medijuma može čak biti odigran.
Sirov USB saobraćaj može biti snimljen.
Bežične veze mogu biti filtrirane sve dok su poprečane posmatranim eternetom.
Različite postavke, tajmeri, filteri mogu biti podešeni tako da će se zasigurno samo pokrenuti saobraćaj pojaviti.

Wireshark-ov prirodni mrežni fajl format je libpcap format podržan od strane libpcap-a i Winpcap-a, tako da mogu da razmenjuju snimljene mrežne tragove sa drugim aplikacijama koje koriste isti format, uključujući tcpdump i CA NetMaster. Takođe može pročitati snimke iz drugih mrežnih analizatora, kao što su snoop, Network General’s Sniffer, i Microsoft Network Monitor.

Bezbednost[uredi | uredi izvor]

Snimanje sirovog mrežnog saobraćaja iz interfejsa zahteva privilegije na nekim platformama. Iz tog razloga starije verzije Ethereal/Wireshark i tethereal/TShark često su se vodile sa superuser privilegijama. Uzimajući u obzir veliki broj protokola disektora koji se zovu kada je snimljen saobraćaj, ovo može predstavljati ozbiljnu opasnost po bezbednost s obzirom na mogućnost greške u disektoru. S obzirom na prilično veliki broj ranjivosti u prošlosti (od kojih su mnoge dozvoljeno daljinsko izvršavanje koda) i sumnje programera za bolju budućnost razvoja, OpenBSD je ukolnio Ethereal iz svog drveta portova pre OpenBSD 3.6.^[7] Visoke privilegije nisu potrebne za sve operacije. Na primer, alternativa je da pokrenete tcpdump ili dumpcap koji dolazi sa imitacijom skoro realne analize, svaka snimljena datoteka može biti spojena sa mergecap-om u rastuću datoteku obrađenu od strane Wireshark-a. Na bežičnim mrežama moguće je koristiti Aircrack bežične bezbednosne alatke za snimanje IEEE 802.11 okvira i čitanje nastalih deponovanih fajlova sa Wireshark-om. Od Wireshark-a 0.99.7, Wireshark i TShark pokreću dumpcap za snimanje saobraćaja. Na platformi gde su posebne privilegije potrebne za snimanje saobraćaja, samo dumpcap treba da bude pokrenut sa tim posebnim privilegijama: ni Wireshark-u niti TShark-u nije potrebno niti bi trebalo da se pokreću sa posebnim privilegijama.

Kodiranje u boji[uredi | uredi izvor]

Korisnik obično vidi pakete naglašene u zelenoj, plavoj, crvenoj i crnoj boji. Wireshark koristi boje da pomogne korisniku da identifikuje vrste saobraćaja na prvi pogled. Uobičajno zelena je za TCP saobraćaj, tamnoplava je DNS saobraćaj, svetloplava UDP saobraćaj, i crna identifikuje TCP pakete sa problemima, na primer, mogli bi biti dostavljeni bez redosleda. Korisnici mogu da promene postojeća pravila za boje paketa, da dodaju ili uklone nova pravila.

Vidi još[uredi | uredi izvor]

Reference[uredi | uredi izvor]

^ "Wireshark FAQ", 14. 5. 2015
^ InfoWorld Nov 17, 1997
^ "Q&A with the founder of Wireshark and Ethereal", 14. 5. 2015, Arhivirano iz originala 4. 3. 2016. g., Pristupljeno 15. 5. 2015
^ "What's up with the name change? Is Wireshark a fork?", 14. 5. 2015
^ "Awards and Accolades", 14. 5. 2015
^ "Wireshark, SourceForge Project of the Month, August 2010", 14. 5. 2015
^ "CVS log for ports/net/ethereal/Attic/Makefile", 14. 5. 2015

Spoljašnje veze[uredi | uredi izvor]

[1] "Wireshark FAQ", 14. 5. 2015

[2] InfoWorld Nov 17, 1997

[3] "Q&A with the founder of Wireshark and Ethereal", 14. 5. 2015, Arhivirano iz originala 4. 3. 2016. g., Pristupljeno 15. 5. 2015

[4] "What's up with the name change? Is Wireshark a fork?", 14. 5. 2015

[5] "Awards and Accolades", 14. 5. 2015

[6] "Wireshark, SourceForge Project of the Month, August 2010", 14. 5. 2015

[7] "CVS log for ports/net/ethereal/Attic/Makefile", 14. 5. 2015

[1]

[2]

[3]

[4]

[5]

[6]

[7]