วันอังคารที่ 18 ธันวาคม พ.ศ. 2561

WireShark


Wireshark เป็นโปรแกรมประเภท Packet Analyzer หรือตัววิเคราะห์ข้อมูลที่ส่งกันไปใน Network .. ความสามารถของ Wireshark มี 2 อย่างง่ายๆครับ อย่างแรกก็ดักจับข้อและบันทึกมูลทุกอย่างที่ผ่านการ์ด LAN หรือ Network Interface Card ใดๆของเรา และอีกข้อก็คือเอามาแสดงผลให้เราดู เพื่อที่เราจะสามารถวิเคราะห์ได้ว่าตอนนี้มีข้อมูลอะไรอยู่บ้างวิ่งใน Network ส่วนใหญ่ จะเอาไว้แก้ไขปัญหาบน Network

วิธีใช้งาน Wireshark

1. เปิดโปรแกรม wireshark

คลิกที่มุมขวาบน “List the available capture interfaces” เพื่อดูว่าเครื่องเราตอนนี้มี interface อะไรบ้าง

2. ตรวจสอบ network interface ที่ใช้งาน

หลักจากนั้นจะพบหน้าต่างเด้งขึ้นมาชื่อ “Capture Interfaces” ซึ่งจะมีรายชื่อ interface เครื่องเรา รวมถึง MAC address ของ interface นั้น พร้อมกับจำนวน packet ที่วิ่งผ่านในขณะนั้น

3. เลือก interface ทีจะทำการจับ packet

ติ๊กที่ช่อง interface ที่มี packet วิ่งมากที่สุด และกด Start เพื่อทำการจับ packet ทั้งหมดที่ใช้งานผ่าน interface นั้น แล้วเปิดค้างไว้

4. เปิด website http ลอง login ด้วย user/pass

ย้ำว่าต้องเป็น http (ไม่ใช่ https) ในที่นี้ผมทดลองกับ http://www.sanook.com/

5. กลับมาที่ wireshark แล้ว stop packet

ที่เมนูด้านบนรูปสี่เหลี่ยมชื่อ “Stop the running live capture” คลิกเพื่อทำการหยุดการจับ packet บน interface

6. ลองทำการ filter ข้อมูลหา http

จะเห็นว่ามี packet วิ่งเข้ามาจำนวนมาก นั้นก็เพราะนอกจาก http แล้วยังมี protocol อื่นที่ทำงานเป็น background อยู่ตลอด โดยที่เราไม่รู้ตัวเลย เช่น program ที่เป็น instant message ก็จะมีการ fetch ข้อมูลจาก server ตลอดเมื่อมี message ใหม่มาจึงสามารถ alert ขึ้นได้ แต่สำหรับตัวอย่างเราต้องการหา packet http ที่เราไปกรอก user/pass ไว้ เพราะฉะนั้นลอง filter ว่า http.accept แล้วกด Apply

7. หา packet http POST ที่ทำการส่ง password ออกไปที่ internet

หลักจาก filter แล้วจะเหลือ http GET/POST อยู่นิดหน่อย ซึ่งนั้นแหละคือข้อมูลที่เราทำบน web ไป สังเกตุที่ packet http POST ลองคลิกดูจะพบข้อมูลบางอย่างที่น่ากลัวมาก นั้นก็คือ user/pass ที่ท่านกรอกลงไปใน web เมื่อกี้ ซึ่ง wireshark แสดงให้เห็นเลยว่า password=????????

ซึ่งถ้ามี hacker คนไหนสามารถเจอะเข้ามาใน network เราได้ และทำการจับ packet ในลักษณะ man in the middle หรือหลอกให้เราเชื่อมต่อ internet ผ่าน wifi ที่ทาง hacker เป็นคนปล่อยมา เค้าก็จะได้ข้อมูลทุกอย่างจากเครื่องเราไปทันที เพราะฉะนั้นทุกท่านต้องระวังเรื่องการเชื่อมต่อ wifi free ที่ไม่รู้จัก หรือ หลีกเลี่ยงการส่งข้อมูลให้กับ website ที่เป็น http ธรรมดา ไม่ใช่ https เพราะ hacker สามารถดักจับข้อมูลของเราได้อย่างง่ายดาย






















































เขียนโดย ที่

ไม่มีความคิดเห็น:

แสดงความคิดเห็น

สมัครสมาชิก: ส่งความคิดเห็น (Atom)