40 0 795KB
Facultatea de Sisteme Electronice şi Securitate Cibernetică Ingineria și Securitatea Sistemelor Informatice Militare
Analiza traficului la nivel de rețea - Utilitarul Wireshark -
Corlan Eduard-Mihăiță Grupa C124
Cuprins Analizoarele de trafic...................................................................................................................................3 Modelul OSI.................................................................................................................................................4 Mod de funcționare.....................................................................................................................................6 Wireshark....................................................................................................................................................8 Protocoale – Ierarhie.................................................................................................................................12 Filtre..........................................................................................................................................................13 Exportarea obiectelor................................................................................................................................14 Tipuri de trafic...........................................................................................................................................15 Trafic nefiltrat vs trafic filtrat.....................................................................................................................17 Concluzii....................................................................................................................................................22 Bibliografie................................................................................................................................................23
Analizoarele de trafic
Analizoarele de trafic de reţea sunt în general instrumente software care sunt capabile să capteze şi să analizeze traficul transmis sau recepţionat de către un calculator care este conectat într-o reţea. Aceste instrumente pot fi utilizate atât în scop de studiu al funcţionării protocoalelor de reţea (mecanisme, structura cadrelor etc), cât şi pentru îmbunătăţirea funcţionalităţii şi a securităţii reţelei. Cele mai multe dintre aceste instrumente se descarcă gratuit de pe Internet, unele dintre ele fiind chiar părţi integrante ale unor sisteme de operare. Câteva analizoare de reţea (uneori denumite în limba engleză "packet sniffer") des folosite sunt: Ethereal, Wireshark (versiunea nouă a lui Ethereal), tcpdump (asemănător cu cele două programe anterioare, dar apelabil doar în linia de comandă), Microsoft Network Monitor (pachet suplimentar al sistemelor de operare Windows), ettercap (program ce poate fi folosit pentru capturarea parolelor transmise într-o reţea de către unele protocoale de nivel aplicaţie) etc. Într-o reţea locală, în funcţie de structura acesteia, se poate captura traficul din întreaga reţea, sau doar traficul destinat calculatorului pe care s-a instalat software-ul de analiză. Spre exemplu, într-o reţea Ethernet care foloseşte switchuri, este posibilă "ocolirea" în scopuri rău intenţionate a filtrării de pachete pe care switchurile o pun în practică şi accesarea traficului destinat altor staţii de reţea (o metodă cunoscută este denumită ARP spoofing). Capturarea traficului întregii reţele poate servi însă şi unor scopuri de administrare, deoarece ea furnizează o imagine globală asupra reţelei în cauză. De exemplu, o tehnică folosită este configurarea pe un switch a unui port special denumit port de "mirroring", care va "oglindi" toate pachetele ce trec prin toate porturile switchului. Aşadar, în reţelele care folosesc switchuri mai degrabă decât huburi, analizorul de reţea va fi incapabil să capteze datele de reţea, datorită naturii intrinsece a switchurilor (a "izolării" pe care ele o introduc). Atât în reţelele cu fir cât şi în acelea fără fir, pentru ca analizorul de reţea să fie capabil să captureze şi pachete de date care nu îi sunt explicit dedicate (în această categorie intrând pachete unicast sau de difuzare în LANul din care respectiva staţie face parte), adaptorul de reţea trebuie setat într-un mod de operare special, care de obicei se numeşte "promiscous mode". Este de notat că nu orice analizor de reţea suportă acest mod de operare. În reţelele fără fir, chiar dacă este posibilă setarea plăcii de reţea wireless în "promiscous mode", pachetele care nu corespund setului de servicii pentru care adaptorul este configurat vor fi de obicei
ignorate. Pentru a putea vizualiza şi aceste pachete este nevoie de setarea unui alt mod de operare, şi anume acela de monitorizare a reţelei. Modelul OSI Pentru descrierea modului de comunicare la nivelul arhitecturii de protocoale între calculatoarele interconectate în cadrul unei rețele se utilizează în mod curent modele structurate pe nivele (layers). Un astfel de model este modelul OSI (Open System Interconnection) structurat pe șapte nivele dupa cum urmează:
7. Aplicație 6. Prezentare 5. Sesiune 4. Transport 3. Rețea 2. Legătură de date 1. Fizic
Fiecare din nivelele modelului OSI include o serie de specificatii (standarde, protocoale) care descriu functionalități ale respectivului nivel. Specificațiile prezente la un nivel fac uz de specificațiile nivelului inferior (in linii mari, se poate spune ca un nivel ofera servicii nivelului superior si utilizeaza serviciile oferite de un nivel inferior). O descriere sumară a fiecaruia din cele șapte nivele care cuprinde principalele operații ce au loc în comunicarea în cadrul unei rețele de calculatoare a doua sau mai multe aplicații rulate de utilizator ar fi urmatoarea:
Nivelul Aplicație - este cel mai apropiat nivel de utilizator, aici integranduse în linii mari funcționalitatea unei aplicații rulate de acesta ce include o componentă care inițiază comunicarea în rețea prin intermediul unui protocol ce se încadrează la acest nivel (exemplu: inițierea unui transfer de fișiere prin FTP) Nivelul Prezentare - are ca rol principal stabilirea unui format de reprezentare a datelor atât dinspre nivelul Aplicație spre nivelele inferioare pentru trimiterea în final în cadrul rețelei cât și invers Nivelul Sesiune - protocoalele ce acționează aici administrează o sesiune între parțile ce comunică având rol de exemplu în sincronizarea acțiunilor participanților Nivelul Transport - are rolul de a oferi servicii independente de nivelele inferioare privind transferul datelor între participanții din cadrul unei sesiuni de comunicație către nivelele superioare, aici fiind incluse și aspecte precum asigurarea transferului sigur, controlul fluxului, evitarea congestiei, etc Nivelul Rețea - are rolul de a oferi servicii efective de transfer a datelor în rețea între sursă si destinație, fiind incluse functionalități ce privesc rutarea, fragmentarea și reasamblarea unitaților de date transmise, controlul erorilor, etc Nivelul Legatură de Date - in linii mari, asigură funcționalități în ceea ce privește transferul datelor în rețea între echipamentele hardware prezente între sursă și destinație, de asemeni aici fiind incluse și detecția și corecția erorilor ce pot fi cauzate de nivelul Fizic Nivelul Fizic - include specificațiile la nivel fizic în ce privește echipamentele ce asigură transferul datelor
Mod de funcționare Instrumentul de bază pentru observarea schimbului de mesaje dintre două entități la nivel de protocol se numește sniffer de pachete. După cum sugerează și numele, un sniffer de pachete surprinde mesajele trimise / primite de la / de către computer; de asemenea, va stoca și / sau va afișa conținutul diferitelor câmpuri de protocol din aceste mesaje capturate. Un sniffer de pachete în sine este pasiv. Observă mesajele trimise și primite de aplicațiile și protocoalele care rulează pe computer, dar nu trimite niciodată pachete în sine. În mod similar, pachetele primite nu sunt niciodată adresate în mod explicit snifferului de pachete. În schimb, un sniffer de pachete primește o copie a pachetelor care sunt trimise / primite de la / prin aplicație și protocoale care se execută pe un sistem.
Fig.1 Structura unui sniffer de pachete
Figura 1 prezintă structura unui sniffer de pachete. În partea dreaptă a figurii 1 se află protocoalele (în acest caz, protocoalele Internet) și aplicațiile (cum ar fi un browser web sau un client ftp) care rulează în mod normal pe computer. Snifferul de pachete, prezentat în dreptunghiul cu linie punctata din figura 1 este o completare a software-ului de baza și este format din două părți. Biblioteca responsabila de capturarea pachetelor primește o copie a fiecărui cadru de la
nivelul fiecarui layer din stiva OSI care este trimis sau primit de la computer. Mesajele schimbate prin protocoale cu nivel superior, cum ar fi HTTP, FTP, TCP, UDP, DNS sau IP sunt în cele din urmă încapsulate în cadre la nivelul legaturii de date și care sunt transmise prin suporturi fizice, cum ar fi un cablu Ethernet. În figura 1, suportul fizic presupus este un Ethernet și astfel, toate protocoalele de nivel superior sunt în cele din urmă încapsulate într-un cadru Ethernet. Capturarea tuturor cadrelor de la nivelul legaturii de date oferă astfel toate mesaje trimise / primite de la toate protocoalele și aplicațiile care se execută în computer.
A doua componentă a unui sniffer de pachete este analizatorul de pachete, care afișează conținutul tuturor câmpurilor dintr-un mesaj de protocol. Pentru a face acest lucru, analizatorul de pachete trebuie să „înțeleagă” structura tuturor mesajelor schimbate de protocoale. De exemplu, să presupunem că suntem interesați să afișăm diferitele câmpuri din mesajele schimbate prin protocolul HTTP din figura 1. Analizatorul de pachete înțelege formatul cadrelor Ethernet și astfel poate sa identifice datagrama IP într-un cadru Ethernet. De asemenea, înțelege formatul datagramei IP, astfel încât aceasta este capabil sa extraga segmentul TCP din datagrama IP. În cele din urmă, înțelege structura segmentului TCP, astfel încât poate extrage mesajul HTTP conținut în segmentul TCP. În cele din urmă, înțelege protocolul HTTP și, de exemplu, știe că primii octeți ai unui mesaj HTTP vor conține șirul „GET”, „POST” sau „HEAD”.
Wireshark Wireshark este cel mai important și utilizat analizator pe scară largă de protocoale de rețea din lume. Acesta permite să vedeți ce se întâmplă în rețeaua dvs. la nivel microscopic și este standardul de baza în multe întreprinderi comerciale și non-profit, agenții guvernamentale și instituții de învățământ. Dezvoltarea Wireshark prosperă datorită contribuțiilor voluntare ale experților în rețea de pe glob și este continuarea unui proiect demarat de Gerald Combs în 1998. Wireshark are un set bogat de caracteristici care include următoarele:
Inspecție profundă a sute de protocoale, mereu adăugându-se mai multe Captura live și analiza offline Navigator standard de pachete cu trei panouri Multi-platform: rulează pe Windows, Linux, macOS, Solaris, FreeBSD, NetBSD și multe altele Datele de rețea capturate pot fi răsfoite printr-o interfata grafica sau prin utilitatea TShark în modul TTY Cele mai puternice filtre de afișare din industrie Analiză VoIP bogată Citeste si scrie multe formate de fișiere de captura precum: tcpdump (libpcap), Pcap NG, Catapult DCT2000, Cisco Secure IDS iplog, Microsoft Network Monitor, Network General Sniffer® (comprimat și necomprimat), Sniffer® Pro și NetXray®, Network Instruments Observer , NetScreen snoop, Novell LANalyzer, RADCOM WAN / LAN Analyzer, Shomiti / Finisar Surveyor, Tektronix K12xx, Visual Networks Visual UpTime, WildPackets EtherPeek / TokenPeek / AiroPeek și multe altele Fișierele de captură comprimate cu gzip pot fi decomprimate Datele live pot fi citite de la Ethernet, IEEE 802.11, PPP / HDLC, ATM, Bluetooth, USB, Token Ring, Frame Relay, FDDI și altele (în funcție de platforma dvs.) Suport de decriptare pentru multe protocoale, inclusiv IPsec, ISAKMP, Kerberos, SNMPv3, SSL / TLS, WEP și WPA / WPA2
Reguli de colorat pot fi aplicate pe lista de pachete pentru o analiză rapidă și intuitivă
Fig.2 Interfața Wireshark-ului
In figura 2 este prezentată interfața generală a Wireshark-ului. Acesta pune la dispoziție o serie de taburi precum “File”, “Edit”, “View”,etc pentru a oferi posibilitatea utilitarului de a salva/incarca o capura de trafic, posibilitatea de a customiza interfața aplicației pentru a o face cât mai pe placul utilizatorului cât și pentru alte funcții. In partea din mijloc a interfeței grafice a aplicației se pot obeserva interfețele de rețea pe care putem realiza captura de trafic.Dupa ce alegem o interfață, Wireshark va captura toate pachetele de pe interfața respectivă. Dacă faceți clic pe una dintre aceste interfețe pentru a începe capturarea pachetelor, va fi afișat un ecran precum cel de mai jos, care va afișa informații despre pachetele care sunt capturate. Odată ce începeți captarea pachetelor, îl puteți opri folosind meniul derulant Capture și selectând Stop.
Fig.3 Componentele majore ale Wireshark-ului Interfața Wireshark are cinci componente majore: Meniurile de comandă sunt meniuri standard, situate în partea de sus a ferestrei. Meniul File vă permite să salvați datele de pachete capturate sau să deschideți un fișier care conține pachete capturate anterior și să ieșiți din aplicația Wireshark. Meniul Capture vă permite să începeți captarea pachetelor. Fereastra de listare a pachetelor afișează un rezumat pe o linie pentru fiecare pachet capturat, inclusiv numărul pachetului (atribuit de Wireshark), momentul în care pachetul a fost capturat, sursa pachetului și adresele de destinație, tipul de protocol și informațiile specifice protocolului conținute în pachet. Listarea pachetelor poate să fie sortate în funcție de oricare dintre
aceste categorii, făcând clic pe un nume de coloană. Câmpul de tip protocol listează cel mai înalt nivel de protocol care a trimis sau a primit acest pachet, adică protocolul care este sursă pentru acest pachet. Fereastra de detalii a antetului pachetelor oferă detalii despre pachetul selectat (evidențiat) în fereastra de listare a pachetelor. Aceste detalii includ informații despre cadrul Ethernet (presupunând că pachetul a fost trimis / primit printr-o interfață Ethernet) și datagrama IP care conține acest pachet. Cantitatea de detalii Ethernet și stratul IP afișat poate fi extins sau redus la minimum făcând clic pe casetele plus minus din stânga cadrului Ethernet sau a liniei de date IP din fereastra cu detalii a pachetului. Dacă pachetul a fost transportat prin TCP sau UDP, vor fi afișate și detalii TCP sau UDP, care pot fi extinse sau reduse în mod similar. În sfârșit, sunt furnizate și detalii despre protocolul la cel mai înalt nivel care a trimis sau a primit acest pachet. Fereastra de conținut de pachete afișează întregul conținut al cadrului capturat, atât în format ASCII cât și în format hexadecimal. Spre partea de sus a interfeței grafice, se află câmpul de filtrare a afișajului de pachete, în care poate fi introdus un nume de protocol sau alte informații pentru a filtra informațiile afișate în fereastra de listare a pachetelor. În exemplul de mai jos, vom folosi câmpul de filtru de afișare a pachetelor pentru a afișa pachetele Wireshark care ruleaza pe portul 80 TCP sau UDP.
Fig. 4 Filtrarea traficului
Protocoale – Ierarhie Utilitarul Wireshark dispune de o fereastră în care se poate analiza traficul în funcție de ierarhie. Această fereastră poate fi accesată din tab-ul Statistics -> Protocol Hierarchy.
Fig. 5. Stiva de protocoale Acesta stivă este în fapt un arbore al tuturor protocoalelor din captură. Fiecare rând conține valorile statistice ale unui protocol. Din aceasta se poate filtra întregul trafic în funcție de un anume protocol prin selectarea protocolului din lista afișată ierarhic și selectând opțiunea „Apply as Filter”. Pachetele conțin de obicei mai multe protocoale. Drept urmare, mai multe protocoale vor fi contorizate pentru fiecare pachet.
Stiva de protocoale poate consta din pachete care nu conțin niciun protocol de nivel superior, astfel încât suma tuturor pachetelor de niveluri superioare poate să nu se ridice la numărul de pachete de protocoale. Un singur pachet poate conține același protocol de mai multe ori. În acest caz, protocolul este numărat de mai multe ori. De exemplu, răspunsurile ICMP și multe protocoale de tunel vor purta mai mult de un antet IP.
Filtre Wireshark pune la dispoziția utilizatorilor un câmp pentru filtre. Acesta este utilizat pentru a selecta doar acele cadre ce corespund unei anumite reguli sau unui anumit protocol. Exemple: Afișarea traficului SMTP (port 25) și ICMP: tcp.port eq 25 or icmp
Afișați numai traficul în LAN (192.168.x.x), între stațiile de lucru și serverele - fără internet: ip.src==192.168.0.0/16 and ip.dst==192.168.0.0/16
Buffer TCP plin - Sursa indică destinației să nu mai trimită date tcp.window_size == 0 && tcp.flags.reset != 1
Afișarea solicitărilor HTTP în cazul în care ultimele caractere din URI sunt caracterele "gl = se": http.request.uri matches "gl=se$"
Unele câmpuri de filtru se potrivesc cu mai multe câmpuri de protocol. De exemplu, „ip.addr” se potrivește atât cu sursa IP cât și cu adresele de destinație din antetul IP. Același lucru este valabil și pentru „tcp.port”, „udp.port”, „eth.addr” ,etc.
ip.src == 10.43.54.65 or ip.dst == 10.43.54.65
Exportarea obiectelor Această caracteristică scanează fluxurile de protocol selectate din captura deschisă sau în curs de capturare și permite utilizatorului să exporte obiecte reasamblate pe disc. De exemplu, dacă selectați HTTP, puteți exporta documente HTML, imagini, executabile și orice alte fișiere transferate prin HTTP pe disc. Dacă aveți o capturare în curs, această listă este actualizată automat la fiecare câteva secunde cu orice obiecte noi văzute. Obiectele salvate pot fi apoi deschise sau examinate independent de Wireshark.
Fig 6. Fereastra de exportare obiecte
Tipuri de trafic Cu ajutorul Wireshark-ului putem vizualiza întregul trafic de la nivelul porturilor USB. Traficul astfel generat se poate vedea în următoarea figură.
Fig.7 Trafic USB Cele mai importante pachete sunt cele legate de GET DESCRIPTOR Response/Request Device. In cererea de tip Request, computer-ul cere informațiile despre dispozitivul inserat pe portul USB. „Descriptor Response Device” este pachetul în care se afla informațiile despre dispozitiv. Câmpurile cele mai importante sunt IdVendor și idProduct. IdVendor reprezinta vendor-ul care a creat dispozitivul, în cazul nostru fiind Logitech iar idProduct este modelul, respectiv M90/M100 Optical Mouse. După ce host-ul primește informațiile necesare
stabilirii conexiunii, vor avea loc întreruperile la nivelul USB-ului (URB_INTERRUPT in). Aceste pachete conțin coordonatele punctului în care s-a deplasat mouse-ul precum și starea celor 3 butoane (click stâng/click dreapta/click scroll).
Alt tip de trafic este cel generat între un dispozitiv mobil și un router. In încercarea mobilului de a se conecta la router, se va genera un trafic în care va avea loc un schimb de informații. Acest schimb de informații se bazează pe protocolul EAPOL. Protocolul de autentificare extensibilă (EAP) prin LAN (EAPoL) este un protocol de autentificare a portului de rețea folosit în IEEE 802.1X (Controlul accesului în rețea bazat pe port) dezvoltat pentru a da o conectare generică a unui dispozitiv la resursele rețelei.
Fig.8 Trafic EAPOL Întregul trafic este criptat, acesta putând fi decriptat doar prin introducerea corectă a ESSID-ului și a parolei Access Point-ului.
In cazul unui trafic în care un host cere anumite resurse unui server web, utilitarul Wireshark va salva pachetele fiecărei resurse in parte. Prin reasamblarea pachetelor, Wireshark-ul oferă posibilitatea de a exporta aceste resurse. Aceste resurse pot fi documente HTML, imagini, executabile și orice alte fișiere care pot fi transferate prin HTTP. In figura următoare putem observa fișiere de tip php, js , css, jpg, png, sau alte fișiere fără extensie care nu sunt recunoscute de către Wireshark.
Fig.9 Exportarea de resurse
Trafic nefiltrat vs trafic filtrat Pentru a vizualiza diferența dintre cele doua tipuri de trafic, am folosit proiectul XAMPP care pune la dispoziție serviciul Apache. În primă instanța,
am pornit serviciul Apache, dar nu înainte de a crea o pagina web de test, pe care am salvat-o la locația “xampp\htdocs”. Serverul lucrează pe adresa de localhost si anume la adresa 127.0.0.1 pe portul 80 specific HTTP. In acest folder am creat fișierul index.html in care se afla o simpla pagina web ce conține un form prin metoda POST. Form-ul transmite un username și o parola care ulterior sunt trimise scriptului php denumit script.php, care se afla la fel ca si pagina principala in folderul de configurare al servciului Apache din care se extrag resursele ce urmează a fi trimise către client. Script-ul verifică dacă username-ul și parola introdusă sunt corecte, iar in caz de succes se va afișa un mesaj corespunzător, iar în caz contrat, se va întoarce un mesaj de eroare și un buton către pagina anterioară.
Fig.10 Pagina web principală și codul atașat In cazul in care utilizatorul introduce username-ul “student” si parola “123456”, va fi afișat mesajul “Hello! Logged successfully!”, iar in caz contrat se va afișa mesajul “Username or password wrong!”. Nefiind atașat niciun certificat SSL, datele transmise către server sunt afișate “în clar” (plaintext) și pot fi interceptate foarte ușor printr-un atac de tip Manin-the-Middle. Pentru a capta aceste date, am folosit Wireshark-ul pe interfața de loopback (127.0.0.1). Acesta poate captura pachetele trimise sau receptionațe către sau de la server, permițându-ne să facem o analiza a traficului transmis. Captura va fi salvata sub numele de Non_SSL.pcap.
Pentru a realiza testul necesar, după pornirea utilitarului vom accesa site-ul web si vom încerca sa introducem câteva credențiale false de test pentru ca acestea sa fie interceptate. După 3 încercări nereușite vom introduce credențialele valide. Aceste încercări pot fi ușor vizualizate in utilitarul WireShark care este un analizator de trafic. Oferind ca fișier de intrate captura “Non_SSL.pcap” realizată, vom vedea cele 3 încercări nereușite cât și validarea credențialelor care ne coduc la pagina de succes. Vom impune Wireshark-ului sa ne afișeze doar pachetele protocolului HTTP stabilind următorul filtru “tcp.port ==80 || udp.port ==80”. Portul folosit de către Apache nu a fost modificat, așadar serverul HTTP va rula implicit la adresa de loopback 127.0.0.1 pe portul implicit 80, nefiind aplicat un nivel de securitate SSL. In figura 3 se pot observa cele 3 accesări ale scriptului script.php si credențialele introduse greșit.
Fig.11 Trafic interceptat fără SSL Pentru un atacator, aceasta reprezintă o metoda de preluare a datelor unui utilizator care încearcă să se conecteze la un server ce nu are implementat un certificat SSL. Astfel, pentru a avea un server sigur, care nu pune în pericol datele utilizatorilor conectați, trebuie implementat un certificat SSL care să fie atașat serviciului Apache. Acest lucru poate fi realizat cu ajutorul utilitarului OpenSSL.
Dupa configurarea fișierului SSL pentru Apache vom reseta serviciul Apache pentru a testa funcționalitatea implementată. Vom încerca sa accesăm site-ul https://site.test. Serverul va răspunde si va afișa un mesaj de tip “Your connection is not secure”, asta pentru ca certificatul nostru este unul self-signed (auto-semnat) și nu este semnat de o companie autorizată. Putem vedea însă ca certificatul a fost instalat fără probleme și ca acesta conține datele despre persoana care a realizat cererea pentru certificat.
Fig.13 Certificat valid Vom repeta procesul descris anterior pentru a stabili daca s-a aplicat stratul de securitate peste datele pe care le transmitem către server sau pe care le oferă acesta. Realizăm o noua captură denumită SSL.pcap pe care o vom introduce in Wireshark.
Fig.14 Trafic interceptat cu SSL Observam că la nivelul protocoalelor s-a adăugat un nou nivel denumit “Transport Layer Security” și care este de fapt nivelul de securitate oferit de standardul SSL. Datele transmise către și de la server sunt acum criptate cu cheia publică creată de către utilizator, lucru care face ca datele transmise prin form-ul de tip POST să fie și ele criptate. Atacul de tip Man-in-the-Middle nu mai este eficient în acest caz, însă poate constitui un pericol dacă atacatorul face rost de cheia privată cu care a fost realizată criptarea datelor. Serverul va decripta datele transmise către acesta prin folosind cheia privată care se află in fișierul de configurare al serverului Apache, urmând ca aceste date sa fie interpretate și care vor furniza sau nu un răspuns înapoi către utilizator. In prezent, versiunea aprobată a protocolului TLS este versiunea TLS 1.1. Această vine cu câteva îmbunătățiri față de versiunea 1.0 prin clarificarea anumitor ambiguități si prin introducerea unui număr de recomandări pe care utilizatorul ar trebui să le respecte pentru a combate posibile atacuri împotriva protocolului TLS.
Concluzii Wireshark este cel mai important analizator de trafic de rețea din lume și un instrument esențial pentru orice profesionist în securitate sau administrator de sisteme. Având în vedere volumul mare de trafic care traversează o rețea tipică, instrumentele Wireshark ajută forte mult la filtrarea traficului, motiv pentru care fac ca acest utilitar sa fie unic. Filtrele de captură vor colecta doar tipurile de trafic care vă interesează, iar filtrele afișate vă vor ajuta să măriți traficul pe care doriți să îl inspectați
Bibliografie
https://en.wikipedia.org/wiki/Wireshark https://tools.kali.org/information-gathering/wireshark https://wiki.wireshark.org/