4.6.6.5 Lab - Using Wireshark to Examine HTTP and HTTPS Traffic

МИНИСТЕРСТВО ЦИФРОВОГО РАЗВИТИЯ, СВЯЗИ И МАССОВЫХ КОММУНИКАЦИЙ РОССИЙСКОЙ ФЕДЕРАЦИИ

ФЕДЕРАЛЬНОЕ ГОСУДАРСТВЕННОЕ БЮДЖЕТНОЕ ОБРАЗОВАТЕЛЬНОЕ УЧРЕЖДЕНИЕ ВЫСШЕГО ОБРАЗОВАНИЯ «САНКТ-ПЕТЕРБУРГСКИЙ ГОСУДАРСТВЕННЫЙ УНИВЕРСИТЕТ ТЕЛЕКОММУНИКАЦИЙ ИМ. ПРОФ. М.А. БОНЧ-БРУЕВИЧА»

Кафедра защищенных систем связи

ОТЧЁТ

по лабораторной работе № 4.6.6.5 на тему: Using Wireshark to Examine HTTP and HTTPS Traffic

по дисциплине «Безопасность компьютерных систем»

Выполнили: студенты группы ИКТК-96

Беляев Д.М.

Пухов Д. А. Орлов М.А.

Принял: доцент

Кушнир Д.В.

Лабораторная работа. Анализ трафика HTTP и HTTPS с помощью программы Wireshark

Задачи

Часть 1. Перехват и просмотр HTTP-трафика

Часть 2. Перехват и просмотр HTTPS-трафика

1. Общие сведения и сценарий

Протокол передачи гипертекста (HTTP) — это протокол уровня приложений, который предоставляет данные через веб-обозреватель. При использовании HTTP нет никакой защиты передаваемых данных между двумя устройствами.

Протокол HTTPS шифрует данные с использованием математического алгоритма. Алгоритм скрывает истинное значение пересылаемых данных. Это достигается с помощью сертификатов, которые можно просмотреть позже в этой лабораторной работе.

Независимо от того, используется протокол HTTP или HTTPS, рекомендуется обмениваться данными только с веб-сайтами, которым вы доверяете. Лишь тот факт, что сайт использует протокол HTTPS, не гарантирует его надежности. Злоумышленники обычно используют протокол HTTPS, чтобы скрыть свои действия.

В этой лабораторной работе вы будете анализировать и перехватывать трафик HTTP и HTTPS с помощью программы Wireshark.

2. Необходимые ресурсы

• Виртуальная машина рабочей станции CyberOps

• Интернет-подключение

1. Перехват и просмотр HTTP-трафика

В этой части лабораторной работы вы будете использовать служебную программу tcpdump для перехвата содержимого HTTP-трафика. С помощью параметров команды вы сохраните трафик в файле перехвата пакетов (pcap). Эти записи можно затем проанализировать с помощью различных приложений, пригодных для чтения файлов pcap, в том числе программы Wireshark.

1. Запустите виртуальную машину и выполните вход в операционную систему.

Запустите виртуальную машину рабочей станции CyberOps. Используйте следующие учетные данные пользователя:

Имя пользователя: analyst

Пароль: cyberops

2. Откройте терминал и запустите служебную программу tcpdump.

   1. Откройте приложение терминала и введите команду ifconfig.

[analyst@secOps ~]$ ifconfig

2. Список интерфейсов и их IP-адресов приведен в выходных данных ifconfig.

3. В приложении терминала введите команду sudo tcpdump –i enp0s3 –s 0 –w httpdump.pcap. Введите пароль cyberops для пользователя analyst в ответ на приглашение.

[analyst@secOps ~]$ sudo tcpdump –i enp0s3 –s 0 –w httpdump.pcap

[sudo] пароль для analyst:

tcpdump: прослушивает enp0s3, тип канала EN10MB (Ethernet), перехваченное количество: 262 144 байта

Эта команда запускает tcpdump и записывает сетевой трафик на интерфейсе enp0s3.

Параметр команды -i позволяет указать интерфейс. Если не указано иное, tcpdump будет перехватывать весь трафик на всех интерфейсах.

Параметр команды -s задает длину моментального снимка для каждого пакета. Следует ограничить snaplen до наименьшего количества, и с его помощью будут перехватываться данные о протоколе, в котором вы заинтересованы. Установка snaplen, равного 0, задает значение по умолчанию 262144 в целях обратной совместимости с недавними, более старыми версиями tcpdump.

Параметр команды -w используется для записи результатов команды tcpdump в файл. Добавление расширения .pcap гарантирует, что операционные системы и приложения будут иметь возможность выполнять считывание в файл. Весь записанный трафик будут выведен в файл httpdump.pcap в главном каталоге пользователя analyst.

Используйте страницы справки для служебной программы tcpdump, чтобы выяснить особенности использования параметров команды -s и -w.

4. Откройте веб-обозреватель из панели запуска на рабочей станции Linux. Перейдите к www.altoromutual.com/bank/login.aspx

Поскольку на этом веб-сайте используется протокол HTTP, трафик не зашифрован. Щелкните поле Username (Имя пользователя) для просмотра всплывающего окна с предупреждением.

5. Введите имя пользователя Admin с паролем Admin и нажмите Login (Войти).

6. Закройте виртуальный веб-обозреватель.

7. Вернитесь в окно терминала, в котором работает tcpdump. Нажмите CTRL + C, чтобы остановить перехват пакетов.

1. Просмотр записанного содержимого HTTP.

Команда tcpdump, выполненная на предыдущем шаге, выдает выходные данные в файл с именем httpdump.pcap. Этот файл находится в главном каталоге пользователя analyst.

1. Щелкните значок диспетчера файлов на рабочем столе и перейдите в домашнюю папку пользователя analyst. Дважды щелкните файл httpdump.pcap, чтобы открыть его в программе Wireshark.

2. В программе Wireshark выполните фильтрацию по http и нажмите Apply (Применить).

3. Просмотрите сообщения HTTP и выберите сообщение POST.

4. Сообщение отобразится в нижнем окне. Разверните раздел HTML Form URL Encoded: application/x-www-form-urlencoded (URL-адрес HTML-формы закодирован: application/x-www-form-urlencoded).

Какие два фрагмента информации показаны?

5. Закройте приложение Wireshark.

1. Захват и просмотр HTTPS-трафика

Теперь вы будете использовать служебную программу tcpdump из командной строки рабочей станции Linux для захвата трафика HTTPS. После запуска служебной программы tcpdump будет генерироваться трафик HTTPS, а tcpdump будет записывать содержимое сетевого трафика. Эти записи будут анализироваться опять же с помощью программы Wireshark.

1. Запустите служебную программу tcpdump в терминале.

   1. В приложении терминала введите команду sudo tcpdump –i enp0s3 –s 0 –w httpsdump.pcap. Введите пароль cyberops для пользователя analyst в ответ на приглашение.

[analyst@secOps ~]$ sudo tcpdump –i enp0s3 –s 0 –w httpsdump.pcap

[sudo] пароль для analyst:

tcpdump: прослушивает enp0s3, тип канала EN10MB (Ethernet), перехваченное количество: 262 144 байта

Эта команда запускает tcpdump и записывает сетевой трафик на интерфейсе enp0s3 рабочей станции Linux. Если интерфейс отличается от enp0s3, измените его при использовании указанной выше команды.

Весь записанный трафик будут выведен в файл httpsdump.pcap в главном каталоге пользователя analyst.

2. Откройте веб-обозреватель из панели запуска на рабочей станции Linux. Перейдите на www.netacad.com.

Что можно сказать об URL-адресе веб-сайта?

____________________________________________________________________________________

3. Щелкните Log In (Вход).

4. Введите имя пользователя NetAcad и пароль. Щелкните Log In (Вход).

5. Закройте виртуальный веб-обозреватель.

6. Вернитесь в окно терминала, в котором работает tcpdump. Нажмите CTRL + C, чтобы остановить перехват пакетов.

1. Просмотр записанного содержимого HTTPS.

Команда tcpdump, выполненная на шаге 1, выдает выходные данные в файл с именем httpsdump.pcap. Этот файл находится в главном каталоге пользователя analyst.

1. Щелкните значок файловой системы на рабочем столе и перейдите в домашнюю папку пользователя analyst. Откройте файл httpsdump.pcap.

2. В программе Wireshark разверните окно захвата данных по вертикали и выполните фильтрацию трафика HTTPS через порт 443.

Введите tcp.port==443 в качестве фильтра и нажмите Apply (Применить).

3. Просмотрите различные сообщения HTTPS и выберите сообщение Application Data (Данные приложений).

4. Сообщение отобразится в нижнем окне.

Что появилось вместо раздела HTTP, который был в предыдущем записанном файле?

TLS (англ. transport layer security — Протокол защиты транспортного уровня)

5. Полностью разверните раздел Secure Sockets Layer (Протокол SSL).

6. Нажмите кнопку Encrypted Application Data (Зашифрованные данные приложения).

7. 

Данные приложений представлены в виде простого текста или в формате, пригодном для чтения?

8. Закройте все окна и выключите виртуальную машину.

3. Вопросы для повторения

   1. В чем заключаются преимущества использования HTTPS вместо HTTP?

В передаваемых пакетах данные зашифрованы. Алгоритм скрывает истинное значение пересылаемых данных.

2. Все ли веб-сайты, которые используют HTTPS, считаются надежными?

Нет. Лишь тот факт, что сайт использует протокол HTTPS, не гарантирует его надежности. Злоумышленники обычно используют протокол HTTPS, чтобы скрыть свои действия.