Wireshark- en protocolkennis voor net werkbeheer
Wireshark- en protocolkennis voor netwerkbeheer
Soms moet je echt in detail naar het netwerkverkeer kijken om te achterhalen waar een probleem vandaan komt. En zelfs als er geen problemen zijn, kun je bij het bestuderen van netwerkverkeer nuttige of verrassende ontdekkingen doen.
De bekendste tool om netwerkverkeer te analyseren is Wireshark. In combinatie met een PCAP-driver voor de netwerkkaart, kun je daarmee pakketten van allerlei netwerkprotocollen analyseren en vastleggen in een trace. Onder Windows wordt automatisch de laatste versie van WinPcap mee geïnstalleerd. Onder Linux moet libpcap aanwezig zijn. Draai Wireshark bij voorkeur op een pc met bekabelde aansluiting. Met de meeste wifi-adapters lukt het namelijk niet om 802.11-verkeer goed te analyseren, zeker onder Windows [1].
Een vastgelegde trace van het netwerkverkeer, in de vorm van een PCAP-bestand, kun je achteraf rustig en uitgebreid analyseren. Heb je geen bestand beschikbaar, dan kun je je opsporingskunsten ook oefenen met voorbeeldbestanden die je bijvoorbeeld downloadt van wiki. wireshark.org/SampleCaptures. Daar vind je traces met de meest exotische netwerkprotocollen, die je op je eigen netwerk niet zo snel tegenkomt. Bij het analyseren van de gegevens helpt het wel als je meer weet van het onderzochte netwerk en van de netwerkprotocollen.
Protocollen en netwerkpakketten
Het belangrijkste hulpmiddel bij het analyseren van een trace is het 'Display Filter'. Daarmee laat je enkel de gekozen pakketten weergeven. Vaak is de naam van het filter afgeleid van een netwerkprotocol,
bijvoorbeeld 'dns' of 'ssh'. Je activeert een filter door de naam te typen in het invoervak onder de knoppenbalk van Wireshark en te bevestigen met Enter.
Onder de trace zet Wireshark het deelvenster 'Packet Details'. Daar zie je de inhoud van het gemarkeerde pakket. Klik op de verschillende velden in dit venster om pakketdetails te bekijken. In bijna elk veld kun je met de rechtermuisknop en het snelmenu een filter instellen op basis van de getoonde gegevens (met 'Apply as Filter/Selected').
Om je op weg te helpen met de analyse en ideeën op te doen, volgt hier een overzicht van de belangrijkste protocollen. In sommige gevallen geven we ook voorbeelden van wat je uit de netwerkpakketten kunt afleiden.
DNS: Het Domain Name System zet domeinnamen om in IP-adressen. In de details van DNS-pakketten kun je bijvoorbeeld zien wat het IPv6-adres van de DNSserver is en welke hostnamen er worden opgevraagd door clients. Als een client een IPv6-adres voor een hostnaam wil, zie je dat aan de waarde AAAA voor het veld Type.
Je kunt uit de trace bijvoorbeeld ook afleiden hoe veel hops de DNS-server verwijderd is. Het DNS-protocol geeft hierover geen uitsluitsel, maar het onderliggende IP wel. Uit het veld TTL (Hop Limit bij IPv6) van de DNS-reply kun je afleiden hoe ver de DNS-server verwijderd is. De aanvankelijke grootte hiervan wordt doorgaans gesteld op 64, 128 of 255. Zie je in de reply een TTL van 62, dan is de server waarschijnlijk slechts 2 hops verwijderd, aangezien DNSservers meestal 'dichtbij' liggen.
DHCP: Via DHCP worden onder andere IP-adressen aangevraagd en toegewezen uit de betreffende adressenpool. Voor de analyse moet je weten dat het Display Filter niet zoals verwacht dhcp heet. In plaats daarvan moet je bootp in het invoervak typen. DHCP is slechts een uitbreiding op het Bootstrap Protocol.
Met dit filter vind je in een trace onder andere MAC-adressen en hostnamen van clients. De hostnaam kan bijvoorbeeld verwijzen naar het besturingssysteem waar iemand mee werkt. In de DHCP-request zie je welk IP-adres een client wil, bijvoorbeeld 192.168.20.11. Maar dat verzoek kan afgewezen worden (NAK), omdat het adres in gebruik is of bijvoorbeeld in een ander VLAN ligt. In het laatste ACK-pakket voor de client zie je het toegewezen adres.
STP: Het Spanning Tree Protocol beperkt redundatie op Layer 2 door loops te voorkomen. Het bijbehorende Display Filter heet stp. Het protocol wordt gebruikt door Cisco-switches en andere netwerkapparatuur. Uit de pakketten kun je bijvoorbeeld afleiden wanneer de topologie is veranderd, bijvoorbeeld omdat er een nieuwe switch is aangesloten. Voor dat laatste zoek je naar de betreffende vlag met stp.flags.tc == 1. Het eerste overeenkomstige pakket geeft aan wanneer de wijziging plaatsvond.
CDP: CDP is een propriëtair protocol van Cisco. Netwerkcomponenten gebruiken dat om diverse gegevens met elkaar uit te wisselen. Het bijbehorende Display Filter is cdp. Je achterhaalt hiermee bijvoorbeeld de softwareversie, zoals in "Cisco IOS Software, C2960 Software (C2960-LANBASEK9M), Version 15.0(2)SE9, RELEASE SOFTWARE (fc1)" en het type (in dit geval een switch uit de C2960-serie).
VTP: Dit is nog een Cisco-specifiek protocol: het VLAN Trunking Protocol. Switches gebruiken dit om informatie over VLAN's uit te wisselen. Problemen met VTP kunnen bijvoorbeeld worden veroorzaakt als een oude switch als reserve wordt ingezet en dankzij een hoger Configuration Revision Number zijn verouderde VLANlijst doordrukt.
LACP: Het Link Aggregation Protocol combineert meerdere fysieke poorten tot
een enkele logische poort ('trunking'). Dit zorgt voor meer bandbreedte en minder kans op uitval. Bij de gegevens in LACPpakketten heeft 'actor' altijd betrekking op parameters en flags van de bron en 'partner' op die van de andere partij.
LLDP: Het Link Layer Discovery Protocol is een tegenhanger voor Cisco's CDP die ook door apparatuur van andere fabrikanten wordt ondersteund. Het wordt gebruikt door fysiek verbonden apparaten om statusinfo uit te wisselen. In de pakketten vind je onder andere het managementIP-adres.
SNMP: Met het Simple Network Management Protocol monitor je netwerkapparatuur. Applicaties zoals MRTG en PRTG gebruiken het om waarden zoals de interface-belasting op te vragen. Vaak gaat dit met het onversleutelde SNMP versie 2c. Daarin is zelfs het wachtwoord gewoon leesbaar als platte tekst in de 'Community String'. Als de standaardwaarde 'public' überhaupt gewijzigd is. Als de toegang tot SNMP-diensten niet met een Access Control List is ingeperkt, kan elke client in het LAN gegevens opvragen van routers en switches. Dat kan bijvoorbeeld met snmpwalk -v 2c -c COMMUNITYSTRING .1.3.6 of met de Windows-tool 'MIB Browser' van iReasoning.
Syslog: Syslog wordt eveneens voor netwerk-monitoring gebruikt. Apparaten versturen hiermee logberichten naar een Syslog-server. Verkeer is unidirectioneel en verpakt in UDP-pakketten. Er komt dus
geen ACK of andere reactie van de server. De inhoud is onversleuteld, maar kan een nogal uiteenlopende opmaak hebben afhankelijk van de implementatie.
NTP: Met het Network Time Protocol vragen clients de tijd op bij een NTP-server. De Reference-ID in het antwoord kan verklappen waar die server zelf de informatie vandaan haalt. Zo wijst de string 'DCFa' of 'DCFp' op een DCF77-ontvanger. Die krijgt zijn signaal van een zender in het Duitse Mainflingen die ook bijna alle radiogestuurde horloges in West-Europa van de juiste tijd voorziet.
TFTP: Het Trivial File Transfer Protocol lijkt op FTP, maar werkt ('triviaal') zonder authenticatie. Op lokale netwerken wordt het nog steeds veel gebruikt voor configuratiebestanden en software-images. Wireshark biedt het Display Filter tftp, maar het is zinvoller om de UDP-stream te bekijken waarin bijvoorbeeld de back-up van een configuratiebestand te volgen is. Als je weet dat die stream via poort 54 loopt, gebruik je het filter udp.stream == 54. Klik met rechts op een pakket in de stream en kies 'Follow/UDP Stream'. Dan worden de gegevens getoond als tekst. Met een tool zoals hashcat kun je zelfs gehashte wachtwoorden uit de stream vissen.
ARP: Het Address Resolution Protocol is een basisonderdeel van het IPv4-protocol. Hiermee worden Layer-3-adressen (IPv4) omgezet in Layer-2-adressen (MACadressen). Een kijkje in een ARP-pakket is genoeg om via de Info-regel te achterhalen dat bijvoorbeeld "192.168.121.2 is at 00:1e:7a:79:3f:11".
LOOP: Dit protocol (via het filter loop te bekijken in Wireshark) behoort niet tot de klassieke IEEE 802-protocollen. Het is bestemd voor eenvoudige tests op Ethernet-niveau, net als Ping op IP-niveau. Kies het menu-item 'Statistics/Conversations' en markeer de optie 'Limit to display filter' om snel het aantal bronnen op dit niveau te achterhalen.
RIP: De naam Routing Information Protocol verraadt eigenlijk alles al: hiermee wisselen routers routes uit. Het is een eenvoudig dynamisch routing-protocol, op bedrijfsnetwerken is OSPF gebruikelijk. In het veld 'Packet Details' kun je afzonderlijke routing-items terugvinden.
RIPng: RIPng is hetzelfde als RIP, maar dan voor IPv6. Daarbij kun je bijvoorbeeld link-local adressen met de prefix fe80::/10 tegenkomen voor de router. Als je gewend bent aan IPv4 moet je even omschakelen, want in dat geval verwacht je bij de routing-items waarschijnlijk IPv6-adressen uit je eigen GlobalUnicast-range.
ICMPv6: Het Internet Control Messaging Protocol biedt voor IPv6 veel meer dan alleen Ping-tests. Via Router Sollicitations en Advertisements worden adressen van routers en default-routers opgevraagd en doorgegeven. Neighbour Sollicitations en Advertisements zetten bovendien IPv6adressen om in Layer-2-adressen. In Wireshark haal je ICMPv6-berichten eruit door
Welk IP-adres wil de client?
het Display Filter op het Type van het betreffende bericht in te stellen: zo zoek je met icmpv6.type == 133 || icmpv6.type == 134 naar Router Sollicits en Advertisements. Met icmpv6.type == 135 || icmpv6. type == 136 vind je Neighbor Sollicits en Advertisements en icmpv6.type == 128 || icmpv6.type == 129 toont Ping6-pakketten. Bij ICMPv6 Ping-pakketten wordt overigens het 'Data'-veld gevuld met dummy-bytes om een minimale pakketgrootte te krijgen.
SSH: Via Secure Shell worden versleutelde en dus niet leesbare verbindingen opgezet. Maar de eerste pakketten van een sessie zijn niet versleuteld, waardoor je bijvoorbeeld de protocol-versie van de deelnemers kunt achterhalen (zoals SSH2.0-OpenSSH_7.2p2 Ubuntu-4ubuntu2.1) .
In plaats van te zoeken naar een specifiek protocol, kun je ook protocollen uitfilteren en kijken wat er overblijft. Stel bijvoorbeeld het Display Filter in op not (dns or dhcp or stp or …), dan stuit je misschien op zeldzame of exotische protocollen. Je kunt ook pakketten tegenkomen waar geen protocol aan is toegewezen, zoals IP-SLA-verkeer van Cisco-routers. Daarmee wordt UDP-jitter gemeten, door met regelmatige tussenpozen (standaard 60 seconden) UDP-pakketten tussen twee routers uit te wisselen. Het menu 'Statistics/Conversations' biedt bovendien snel inzicht in het aantal uitwisselingen via IPv4, IPv6, TCP en UDP. Als je je vaardigheid met Wireshark en je kennis van protocollen wilt testen, kan dat bijvoorbeeld met een online PCAP-bestand en bijbehorende vragen [2]. Of je gaat meteen aan de slag met een trace op je eigen netwerk.