11.02.26. - PRD 7 - Wireshark pamatlietošana

Praktiskais darbs Nr. 7

Tēma: Wireshark pamatlietošana un trafika analīze

Mērķis: iemācīties uztvert paketes, izmantot displeja filtrus, identificēt DNS/HTTP/HTTPS/TCP/ICMP trafiku un sagatavot īsu analīzes atskaiti, izmantojot Wireshark kā pakešu analizatoru/snifferi.

Nepieciešams

• Wireshark (instalēts ar Npcap/WinPcap atbalstu, ja prasa).

• Dators ar tīkla pieslēgumu (vēlams vadu vai Wi Fi).

________________________________________

Drošības un ētikas noteikumi (obligāti)

• Tver un analizē tikai savu datora trafiku vai laboratorijas tīklu ar pasniedzēja atļauju.

• Neanalizē paroles vai sensitīvu saturu, ja tas nav mācību uzdevums; priekšroku dod šifrētam protokolam un metadatiem (IP, porti, laiki).

________________________________________

1. daļa (10–15 min): Uztveršanas uzsākšana un saglabāšana

1. Palaid Wireshark un sākumlogā izvēlies pareizo tīkla interfeisu (Ethernet vai Wi Fi).

2. Sāc uztveršanu un 30–60 sekundes veic ikdienišķas darbības: atver vienu mājaslapu, palaiž “ping” uz kādu hostu, atver vēl vienu lapu.

3. Apturi uztveršanu.

4. Saglabā uztveri failā (File → Save) ar nosaukumu WS_Lab_VardsUzvards_1.pcapng.

Ko nodot: pcapng fails + īss ekrānuzņēmums ar redzamu pakešu sarakstu un filtra lauku.

________________________________________

2. daļa (15–20 min): Displeja filtri (Display Filters)

Wireshark ļauj filtrēt trafiku ar displeja filtriem, lai ātri atrastu vajadzīgos protokolus un sarunas.

Uzdevums A — filtrē protokolus

• Ievadi filtru dns un saskaiti, cik DNS pakešu redzi (pieraksti skaitu).

• Ievadi filtru tcp un pieraksti 2 biežākos TCP portus, ko redzi (pēc “Info” vai portu laukiem).

• Ievadi filtru icmp (ja iepriekš veici ping) un atzīmē, vai redzi Echo Request/Echo Reply.

Uzdevums B — filtrē pēc hosta

• Atrodi sava datora IP (vari pēc paketes detaļām vai OS iestatījumiem) un uzliec filtru pēc konkrēta hosta (piem., pēc IP), lai redzētu trafiku tikai no/uz to. Wireshark atbalsta filtrēšanu pēc IP/hosta un protokola kombinācijām.

Ko nodot: 5–7 teikumu apraksts, kādi filtri tika izmantoti un ko tie parādīja.

________________________________________

3. daļa (15–25 min): DNS vaicājumu analīze

1. Uzliec filtru dns.

2. Atrodi vismaz 2 DNS vaicājumus (Query) un atbildes (Response).

3. Pieraksti katram:

• Domēna vārdu (piem., example.com).

• Ieraksta tipu (A/AAAA/CNAME, ja redzams).

• Atbildēto IP (ja ir A/AAAA).

Ko nodot: neliela tabula (2–3 rindas) ar “Domēns / Tips / Atbilde (IP vai CNAME)”.

________________________________________

4. daļa (15–25 min): TCP sarunas “Follow TCP Stream”

Wireshark ļauj apskatīt pilnu TCP sarunu, izmantojot “Follow → TCP Stream”, kas palīdz saprast, kas patiesībā notiek starp klientu un serveri.

1. Atrodi TCP paketi, kas saistīta ar pārlūka darbību (piem., pēc laika).

2. Ar labo taustiņu izvēlies “Follow → TCP Stream”.

3. Novēro:

• Vai redzi cilvēklasāmu saturu (biežāk būs maz, jo mūsdienās pārsvarā ir HTTPS).

• Kāds filtrs automātiski tiek uzlikts pēc “Follow” aizvēršanas.

Ko nodot: 3–5 teikumi par to, ko izdevās (vai neizdevās) ieraudzīt straumē un kāpēc (piem., šifrēšana).

________________________________________

5. daļa (10–15 min): Kopsavilkuma atskaite (vērtēšanai)

Sagatavo ½–1 lappuses atskaiti ar:

• Kādu interfeisu tvēri un cik ilgi.

• Kādi protokoli bija redzami (DNS, TCP, ICMP, citi).

• 2 novērojumi par trafiku (piem., “daudz DNS vaicājumu”, “pārsvarā TCP”, “ICMP redzams pēc ping”).

• 1 drošības secinājums: kāpēc šifrēšana (HTTPS/VPN) samazina sniffing risku (saturs nav lasāms).

________________________________________

Vērtēšanas kritēriji (piemērs)

• Uztvere saglabāta pareizi (pcapng, korekts nosaukums) — 2 p.

• Filtri un to rezultāti dokumentēti — 4 p.

• DNS analīzes tabula korekta — 4 p.

• “Follow TCP Stream” pielietots un izdarīti secinājumi — 4 p.

• Atskaites kvalitāte (termini, skaidrība, drošības secinājums) — 6 p.