Wireshark Capture & Utilities

ทดลองกรองและวิเคราห์ข้อมูลโดยใช้โปรแกรม Wireshark เลือกดูแพ็คเกจที่สนใจๆมาหนึ่งตัว และดูความต่อเนื่องของการทำงาน ว่าระยะเวลาที่ส่งแพ็คเกจแรกออกไปจนได้รับแพ็คเกจกลับมาจนสิ้นสุดห่วงเวลาของการรับส่งข้อมูลของชุดนั้นๆ เป็นอย่างไรบ้าง และอธิบายการทำงานประกอบกับการวาด Time-Sequence Diagram พร้อมวิเคราห์ด้วยว่าเรารับรู้อะไรได้บ้างจากการวิเคราห์ของโปรแกรม เริ่มจากการทดลอง Download โปรแกรมจาก  http://homefreshhydrofarm.dyndns.org:9000/Downloads/Programs/Primg1211_32.exe ขนาดไฟล์ 718 Kb และดักโปรแกรม Wireshark ได้ผลดังภาพ  หมายเลขที่ 108 เริ่มทำการ Download โปรแกรมแล้วครับ ผ่าน Protocol HTTP และ IP Address ของเครื่องปลายทางคือ 119.76.56.55  เวลาในการส่งแพ็คเกจแรกออกไปจนได้รับแพ็คเกจกลับมาเป็นเวลา 1.97066800 วินาที แพ็คเกจสุดท้ายในการ Download เสร็จสมบูรณ์ หมายเลขที่ 1543 เวลาในการส่งแพ็คเกจแรกออกไปจนได้รับแพ็คเกจกลับมาเป็นเวลา 7.087159000 วินาที มีการบอกว่า 1009 Reassembled TCP Segments (734860 bytes) คือการรวมข้อมูล 1009 Frame จนได้มาเป็น โปรแกรมที่...

ความสามารถของโปรแกรม Wireshark  ในการค้นหาผู้ ที่ใช้โปรแกรม Netcut โปรแกรม Netcut เป็นโปรแกรมที่สามารถตัดอินเทอร์เน็ตคนอื่นได้ แต่โปรแกรมนี้ก็สามารถโดนตรวจจับได้เช่นกันว่าใครเป็นคนใช้ ในขณะที่เปิดโปรแกรมอยู่นั้น ก็สามารถตรวจจับได้โดยโปรแกรม Wireshark ถ้าเครือข่ายของเราไม่มีการใช้ Netcut หน้าตาของโปรแกรม Wireshark ก็จะเป็นประมาณแบบนี้ครับ แต่ถ้าสงสัยว่ามีใครใช้ Netcut ล่ะ?? เปิดโปรแกรม Wireshark ขึ้นมา และทำการ Filter Protocol ARP จะเห็นได้ว่า Protocol ARP วิ่งเยอะมากในเครือข่ายของเรา ถ้าในเครื่อข่ายของเรามี Protocol ARP เยอะขนาดนี้ แสดงว่ามีคนใช้โปรแกรม Netcut อยู่ในเครื่องข่ายของเรา แล้วใครล่ะ ที่กำลังใช้โปรแกรม Netcut อยู่ในเครือข่ายของเรา สังเกตุง่ายๆใน โปรแกรม Wireshark จะแสดงที่อยู่ IP Address ที่ใช้ Protocol ARP ทั้งหมด จากในรูป สังเกตุได้ว่า IP 10.3.30.254 ใช้ Protocol ARP เป็นจำนวนมาก ให้สันนิษฐานได้เลยว่า IP Address นี้ กำลังใช้โปรแกรม Netcut อยู่นั่นเอง ทดสอบการตัดอินเทอร์เน็ต เครื่องที่ผมเลือกที่จะ cut คือ IP Address : 10.3.30.209 ...

1.DNS Protocol ทดลองเข้าเว็บไซต์ http://homefreshhydrofarm.dyndns.org:9000 ทำการดักจับข้อมูล และ Filter เฉพาะ DNS protocol ออกมาได้ดังภาพ เมื่อนำมาเทียบกับ OSI 7 Layer ได้ดังภาพดังนี้ 1.1ชั้น Physical Layer เมื่อขยายออกมาจะพบว่า เวลาในการจับข้อมูลเป็น 0.000000000 วินาที ขนาดของแพ็คเกจนี้ 89 Bytes (712 bits) ชนิดของ Protocol UDP  1.2ชั้น Data Link Layer เมื่อขยายออกมาเราสามารถดูที่อยู่ต้นทาง รวมถึงรายละเอียดที่อยู่ต้นทางของแพ็คเกจตัวแทนซึ่งเป็นที่อยู่ของ MAC Address โดย *Ethernet รับผิดชอบในการส่งแพ็คเกจระหว่างโหนดเครือข่ายที่อยู่ติดกัน ชนิดของ Protocol คือ  IP Version 4 1.3ชั้น Network Layer เราจะเห็นส่วนหัวของรายละเอียดของส่วนหัว แต่ที่สำคัญที่สุดสำหรับชั้นนี้คือ Protocol ที่ใช้ คือ UDP  บอก IP Address ของเครื่องต้นทางคือ คอมพิวเตอร์ของเรา IP 10.6.8.47 และ IP Address ของเครื่องปลายทางคือ IP 202.41.160.113 และ IP ทั้งคู่เป็น IP จริง 1.4ชั้น Transport Layer Layer มาในชั้นนี้ Port...