手機App很容易下載使用,但使用者無法全權掌握App內部的運作,也就成為個人資料外洩的一項隱憂。為了這個問題,本文將使用Wireshark架設網路封包偵測環境,擷取出流經HUB的所有封包,並透過WhatsMyIP網站來查詢IP及DNS資訊,以幫助使用者發現與分析網路異常行為。
此外,在介面使用上,Wireshark圖形化的介面相當容易上手,並提供豐富的過濾語言,可以輕鬆判別出封包的種類,是一套整合度完整的軟體,也是目前全世界最廣泛的網路封包分析軟體之一。
WhatsMyIP
WhatsMyIP是一個IP地址查詢服務網站,用戶可以在此網站上進行IP位址查詢,了解IP位址的相關資訊,使用情境如遊戲、技術支援、代理檢測、遠端桌面連接等。本文使用WhatsMyIP來查看自己的IP,以及已知IP查Domain Name或是已知Domain Name查IP,另外,還包含Port Scanners、IP Location等等的功能。
Android智慧型手機
Android是一個以Linux為基礎的開放原始碼行動裝置作業系統,主要用於智慧型手機和平板電腦,由於裝置本身體積較小,以及須具備行動通訊功能,所以搭載的中央處理效能、儲存空間、電量及系統功能與個人電腦差異很大。
Android是由Google成立的「開放手機聯盟」(Open Handset Alliance,OHA)持續領導與開發中。目前Google發布Android的最新正式版本為Android 6.0.1 Marshmallow。
封包擷取及證據分析
Android智慧型手機具有許多功能,例如資料儲存、藍牙、網路、無線分享功能等等。本實驗使用HTC的Android智慧型手機,作業系統版本為4.1.1。
架設封包分析環境
首先,準備一台HUB與網際網路(Internet)連接,如圖3所示,接著其中一個埠接上一台發送無線訊號的AP,當手機與無線AP連線傳送資料時,封包就會經過HUB。同時,另一個埠接上側錄封包的主機,用來監聽所有經過HUB的封包。
|
▲圖3 網路封包側錄環境。 |
Wireshark操作流程與分析
Wireshark這款網路封包解析軟體,具備完整且豐富的過濾器和統計分析的功能。如圖4所示,其操作介面包含最上方的功能表、工具列、篩選工具列、網路封包清單、封包內容、封包位元組和狀態列。
|
▲圖4 Wireshark操作介面。 |
另外,在網路封包清單中,可以針對不同的通訊協定或過濾規則指定顏色,這種設計方式可以協助使用者針對特定的目標分析網路封包,有助於通訊協定的行為研究與異常行為的偵測,快速辨識各種不同通訊協定,或者過濾規則符合目前網路流量的情況,能夠更方便進行後續處理工作。Wireshark相關的操作窗格,分別說明如下:
·封包清單窗格(Packet List Pane):顯示封包清單,所列出的可能是目前擷取的封包,或是之前存檔的封包內容,預設會以第一個欄位(流水號)來排序,其中包含五個欄位:No(擷取封包數)、Time(封包擷取時間,預設從開始擷取為第0秒)、Source(封包傳送來源)、Destination(封包傳送目的地)、Protocol(傳輸協定)、Info(有關封包的其他訊息內容)。
·封包內容窗格(Packet Details Pane):當點選封包列表內的其中一筆資料時,在封包詳細資訊窗格中會以樹枝化狀呈現該筆封包的詳細資訊,包含封包擷取的大小、時間、來源、目的、協定等資訊。
·封包位元組窗格(Packet Bytes Pane):顯示內容和封包內容窗格相同,但以位元組的格式來呈現,當使用者選取封包內容窗格中的通訊協定欄位時,此處相對應的位元組會自動反白顯示。
·過濾器(Filter):封包擷取時,不管是不是屬於該電腦的封包,都會將網卡上所收到的封包全部都擷取下來,此時會看到封包列表窗格內,有許多不同協定的封包正在傳送。如果只想看到某些協定或IP的封包傳送狀況時,就會變得很不方便,捲軸要向下拉很長一段距離才能看到需要的資訊,若透過Filter工具列,就能過濾需要的封包資訊。在Capture Filter欄位上可以輸入如表1所示的過濾條件。
表1 封包過濾條件及說明
將可疑IP利用WhatsMyIP反查Domain Name以查證主機合理性
WhatsMyIP是一個IP地址查詢服務網站。在開始使用時,先點選左方窗格內的「WHOIS & DNS」,如圖5所示,其中包含三種功能:
|
▲圖5 WhatsMyIP反查Domain name操作流程介紹。 |
·WHOIS Lookup:在此欄位中輸入Hostname或IP Address可以查到註冊此主機名稱或IP位址的詳細資料,正常的主機應包含公司名稱、地址、電話、註冊日期、E-mail等等,如圖6所示。
|
▲圖6 正常的IP位址應查出的詳細資訊。 |
·DNS Record Lookup:在這個欄位之中輸入Hostname,就能夠選擇所要查詢的資訊,例如IPv4、IPv6等等。
·Reverse DNS:在此欄位中輸入IP Address後,按下Reverse DNS即可獲知該IP Address的DNS,正常的主機會顯示出其正確的DNS,若未顯示出DNS,則判定可能為異常主機。