SADRŽAJ:

UVOD 2.

1. DIGITALNA FORENZIKA 4.

1.1. Pojam digitalne forenzike 4.

1.1.1. Mrežna forenzika 4.
1.1.2. Forenzika baze podataka 5.
1.1.3. Forenzika mobilnih uređaja 5.
1.2. Obavljanje forernzičke analize 6.
1.2.1. Prikupljanje digitalnih dokaza 6.
1.2.2. Pretraživanje 7.
1.2.3. Analiza 8.
1.2.4. Prezentacija rezultata istrage 8.
2. WIRESHARK 10.
2.1. Istorijat i razvoj 10.
2.2. Način rada i mogućnosti 11.
2.3. Wireshark u funkciji bezbjednosti 12.
3. PRIMJERI PRIMJENE ALATA WIRESHARK 13.
3.1. Hvatanje mrežnih paketa 13.
3.2. Uvoz/izvoz i ispis podataka 13.
3.3. Rad sa uhvaćenim paketima 14.
3.4. Nedostaci Wireshark-a 14.
3.5. Kako koristiti Wireshark za snimanje, filtriranje i pregled paketa
15.

3.6. Primjer primjene Wireshark-a kod prikupljanja jedinica podataka protokola 18.
(PDU – protocol data unit)
21.
3.7. Primjena Wireshark-a kod specifičnog tipa paketa podataka

ZAKLJUČAK 24.

REFERENCE 25.

1
UVOD

Društvene mreže, pametni uređaji, vještačka inteligencija, kriptovalute – prije dvadesetak

godina bez svega toga se moglo živjeti, a danas je to naša svakodnevica. Podaci su srž tih
koncepata, a informacije proizašle iz tih podataka su veoma vrijedne. Svijet se nekad zasnivao
na ratovima, onim fizičkim, a danas smo svjedoci novih vrsta ratova – onih u digitalnom
svijetu. Na tržištu se ratuje informacijama, a terorizam je dobio novi oblik – kibernetički. Više
strahujemo za podatke, slike, brojeve, poruke nego za nešto materijalno, poput uređaja.
Međutim, iako je danas informacija osovina svijeta, trebamo znati da svaki podatak koji je
ikada upisan ili unijet u računar, pametni telefon ili neki drugi smart uređaj, zauvijek ostaje
pothranjen na njemu, bez obzira koliko ga puta izbrisali i uništili.
Upravo iz tog razloga, pojavila se digitalna forenzika – nauka koja će osigurati izgubljene
podatke, zauvijek uništiti one koji nisu potrebni i otkriti krivca, odnosno zločinca. Za svaki
kibernetički napad, zločin ili prijetnju postoji forenzičar koji će sprovesti digitalnu istragu, ali
i za svakog forenzičara postoje protivmjere koja otežavaju istragu. Koristeći alate, hardverske
i softverske prirode, digitalni forenzičar u nekoliko koraka obavlja samu istragu, a pri tome
upotrebljava različite tehnike i metode. Digitalni dokazi su temelj istrage, te ih je potrebno
detaljno i pažljivo analizirati.
Kako bi postao uspješan u svojoj karijeri, budući digitalni forenzičar bi trebao proći formalno
ili neformalno obrazovanje, kako bi dobio teorijska znanja i praktične vještine koje će kasnije
moći koristiti. Pored svega toga, digitalna forenzika je u bliskom odnosu s pravom, pa je
potrebno poznavati zakone i druge regulative iz te oblasti. U Crnoj Gori se digitalna forenzika
kao nauka tek razvija, ali trenutno stanje predviđa svijetlu budućnost.
Čovječanstvo se suočilo sa velikim brojem ratova, bolestima i prirodnim katastrofama, ali to
nisu jedine prijetnje koje čovjeku ugrožavaju osjećaj sigurnosti. Pojavom Interneta, javljaju se
i nove vrste prijetnji – one u digitalnom svijetu.
Kibernetička prijetnja (eng. cyberthreat) je mogućnost iskorištavanja ranjivosti u svrhu
napada na računar, računarski sastav ili mrežu. Kako bi se osigurali od tih prijetnji i napada,
potrebno je poznavati osnove elemente računarskih sigurnosti. Računarska sigurnost
(eng.computer security) je definisana kao mogućnost zaštite računarskih sastava i informacija
od štete, krađe i neovlaštenih pristupa. To je proces sprečavanja i otkrivanja neovlaštenog
pristupa na računarskom sastavu. Računarska sigurnost osigurava povjerljivost, integritet i
dostupnost cjelokupnog računarskog sastava.
Osim računarske sigurnosti, javlja se pojam informatička sigurnost (eng.information security),
ali i pojam kibernetička sigurnost (eng.cyber security). Informatička sigurnost je zaštita
informacija od neovlaštenog pristupa, izmjene i brisanja, dok je kibernetička sigurnost zaštita
računarskih sastava koji komuniciraju putem mreže.
Ugrožavanjem navedenih tipova sigurnosti javlja se nova vrsta zločina – kibernetički.
Kibernetički zločin (eng. cybercrime) je vrsta zločina u kojem je računar objekat napada ili se
on koristi u svrhu napada.
Kibernetički kriminalci (eng. cybercriminals) mogu koristiti računarske tehnologije kako bi
pristupili ličnim podacima, poslovnim tajnama ili koristili Internet u zlonamjerne svrhe.
Kibernetički zločin najčešće uključuje krađu bankovnih podataka, krađu identiteta ili
neovlašteni pristup računaru.
Takođe, javlja se problematična vrsta kibernetičkog zločina, a to je kibernetički terorizam
(eng.cyberterrorism). Kibernetički terorizam se odnosi na stvaranje prijetnji koje su
namijenjene promjenama društvenog uređenja, zastrašivanju šire javnosti ili uticaju na
političko odlučivanje, zbog unapređenja političkih, vjerskih, rasnih ili ideoloških razloga,
uticajem na integritet, povjerljivost ili dostupnost informacija, informatičkih sastava i mreža

2
ili neovlaštenim radnjama vezanim za nadzor informatičkih i komunikacijskih tehnologija
fizičkih procesa u stvarnom svijetu.
Upravo zbog pojave ovakvih prijetnji i zločina, uspostavljaju se mnoge sigurnosne i
zakonodavne ustanove.

3
 1. DIGITALNA FORENZIKA

1.1. Pojam digitalne forenzike

Digitalna forenzika je grana forenzike koja se bavi prikupljanjem, pretraživanjem, zaštitom i

analizom dokaza u digitalnom obliku, te uključuje njihovu prezentaciju kao materijalnih
dokaza u kasnijim eventualnim sudskim postupcima.
Cilj digitalne forenzike je objasniti trenutno stanje digitalnog artefakta. Pojam digitalni
artefakt može uključivati računarski sastav, medij za pohranu podataka, kao što su hard disk
ili DVD medij, elektronski dokument (poruku elektronske pošte, digitalnu fotografiju) ili niz
mrežnih paketa.
Postoji mnogo razloga za primjenu digitalne forenzike, a neki od njih su:

- u pravnim slučajevima, tehnike digitalne forenzike se koriste za analizu računarskih

uređaja koji pripadaju optuženicima;
- za oporavak podataka u slučaju kvara računarskih komponenti i uređaja, te analize
računarskih programa;
- za analizu računarskog sastava nakon napada, kako bi se utvrdilo kako je napadač
pristupio sastavu i šta je učinjeno nakon upada u sistem;
- za prikupljanje dokaza protiv zaposlenih za koje organizacija ili firma smatra da se
bave nedozvoljenim aktivnostima;
- za prikupljanje podataka o računarskim sastavima u svrhu pronalaska pogrešaka u
programima, optimizacije učinkovitosti programa ili obrnutog inženjerstva (eng.
reverse engineering).

Prilikom sprovođenja forenzičke istrage, potrebno je preduzeti posebne mjere ukoliko dokazi
trebaju biti prihvatljivi na sudu. Jedna od najvažnijih mjera je osiguravanje da je dokaz
prikupljen na ispravan način i da se poštuje lanac dokaza od mjesta zločina do laboratorije i
konačno do suda.
Elektronski uređaj nad kojim je počinjena kriminalna radnja ili je bio alat za obavljanje iste
prenosi se u forenzičku laboratoriju u stanju u kojem je pronađen radi dalje analize. Podaci sa
njega se kopiraju upotrebom forenzičkog alata i ta kopija čini osnov istrage. Izvorni uređaj
nikada nije objekat nad kojim se obavlja istraga, jer mora služiti kao dokaz. Zbog toga niti
jedan podatak na njemu ne smije biti izmijenjen. Kopija mora biti vjerodostojna da bi uopšte
mogla biti predmet istrage.
Ponekad elektronski uređaj nije moguće prenijeti u laboratoriju, pa se kopiranje mora obaviti
na licu mjesta. Nakon što se različitim metodama dokaže vjerodostojnost kopije, sa nje se
počinju prikupljati podaci koji se zatim analiziraju.

Digitalna forenzika se dijeli na četiri grane:

- forenzika vatrozida (eng. firewall forensics),
- mrežna forenzika (eng. network forensics),
- forenzika baze podataka (eng. database forensics) i
- forenzika mobilnih uređaja (eng. mobile device forensics).

1.1.1. Mrežna forenzika

Mrežna forenzika se bavi upotrebom naučno dokazanih tehnika za prikupljanje, identifikaciju,

pretraživanje, povezivanje, analizu i dokumentaciju digitalnih dokaza iz više aktivnih

4
digitalnih izvora koji šalju i primaju podatke u svrhu otkrivanja činjenica vezanih za
planiranje i uspješno obavljanje kriminalnih radnji.
Zasniva se na praćenju mrežnog saobraćaja i otkrivanju anomalija. Nakon što su otkrivene
anomalije u mrežnom prometu, utvrđuje se da li one predstavljaju prijetnju. U slučaju da su
otkrivene zlonamjerne aktivnosti, analizira se koje su to aktivnosti i koja im je svrha. Važni
aspekti uključuju presretanje prometa, očuvanje dokaza, analizu i vizuelizaciju rezultata.
Računarski sigurnosni incident je svaki događaj koji ugrožava bilo koji aspekt računarske
sigurnosti, odnosno koji za posledicu ima gubitak povjerljivosti, cjelovitosti i raspoloživosti
podataka, zloupotrebu ili oštećenje informatičkog sastava ili informacija, uskraćivanje usluge
ili onemogućavanje rada informatičkog sastava, te svaka nezakonita radnja čiji se dokazi
mogu pothraniti na računarski medij.1.
Forenzički specijalisti uvidom u prikupljene dokaze mogu odgovoriti na sigurnosni incident.
To znači da oni mogu otkriti ko stoji iza napada na računarski sistem i prikupiti dokaze koji će
osigurati dokaz njegove krivice ukoliko dođe do sudskog postupka. Napadač može obrisati
dnevne datoteke (eng. log files) na ugroženom računaru klijenta, te dokazi prikupljeni
praćenjem mrežnog saobraćaja mogu biti jedini dokazi koji vode do otkrivanja napadača i
izvora napada.
Sistemi mrežne forenzike mogu biti tzv.:
- „Ulovi-me-ako-možeš“(eng. „Catch-it-as-you-can“ systems) – svi paketi koji prolaze kroz
određenu prometnu tačku se presreću i spremaju za dalju analizu. Ovaj pristup zahtjeva
mnogo prostora za čuvanje podataka.
- „Stani, pogledaj i poslušaj“ (eng. „Stop, look and listen“ systems) – svaki paket se analizira
na rudimentni način u memoriji i samo se određeni podaci pothranjuju za buduću analizu.
Ovaj pristup zahtjeva brze procesore kako bi se obradio svaki paket.

1.1.2. Forenzika baze podataka

Forenzika baze podataka se bavi pretraživanjem i analizom baza podataka ili posebnih
transakcija i relacija (eng. tables) izvučenih iz baze na način koji ne uništava podatke u svrhu
rekonstrukcije podataka ili događaja koji su se dogodili u sistemu.
Prilikom prikupljanja baze podataka za analizu, one se obavezno moraju kopirati, te se analiza
mora obaviti na kopiji izvorne baze kako bi otkriveni dokazi bili prihvatljivi u eventualnom
sudskom procesu. Forenzička analiza baze podataka može uključivati vremenske zapise o
ažuriranju zapisa u relaciji kako bi se utvrdile akcije korisnika baze. Osim toga, forenzički
pregled može biti usredsređen na identifikaciju transakcija u sistemu baze podataka ili
aplikaciji koja sadrži dokaze o kriminalnim radnjama, kao što je pronevjera novca.
Zbog primjene posebne pažnje kod analize baze podataka, potrebno je primijeniti prilagođene
programske alate, kao što su ACL, Idea i Arbutus. Navedeni alati, između ostalog pružaju
okruženje koje dozvoljava samo čitanje baze podataka.

1.1.3.Forenzika mobilnih uređaja

Forenzika mobilnih uređaja uključuje skup metoda pretraživanja dokaza sa mobilnih uređaja.
Posebno se pažnja pridaje načinu forenzičke pothrane memorije mobilnog uređaja, odnosno
stvaranju memorijske slike uređaja. Memorijska slika može biti dokaz i koristiti se za dalju
istragu.

1. Pravilnik o koordinaciji prevencije i odgovora na računarske sigurnosne incidente

5
Tehnike stvaranja forenzičke slike medija su posebne za mobilne uređaje, jer oni koriste
drugačije tipove memorije i interfejsa od ličnog računara. Mobilni uređaj se sastoji od
mikroprocesora, flash memorije i RAM-a (eng. Random Access Memory). Na mobilnim
uređajima obično se nalaze podaci kao što su kontakti (brojevi telefona, adrese), fotografije,
kalendari i bilješke. Prema tome, mobilni uređaji imaju važnu ulogu u procesu istrage.

1.2. Obavljanje forenzičke analize

Postoji četiri osnovna koraka prilikom vršenja foremzičke analize:

- prikupljanje,
- pretraživanje,
- analiza i
- prezentacija.

1.2.1. Prikupljanje digitalnih dokaza

Kad forenzički stručnjak dođe na mjesto zločina, mora odmah započeti sa istragom.
Fotografisanje zatečenog stanja, snimanje, pisanje zabilješki, čak i snimanje diktafonom su
obavezne akcije tokom forenzičke analize. Zatim, treba uočiti da li je računar uključen i
ukoliko jeste, obavezno ga ostaviti u tom stanju. Isključivanje bi prouzrokovalo izmjenu
nekoliko stotina datoteka na koje utiče operacijski sistem prilikom gašenja računara. Važno je
uočiti i pod kojim operacijskim sistemom računar radi, te kojom je vrstom instalacija
opremljen.

Digitalne dokaze je moguće prikupiti iz više izvora. Uobičajeni izvori su:

- lični računari;
- mobilni telefoni;
- digitalne kamere;
- hard diskovi;
- optički mediji;
- USB memorijski uređaji i drugo.

Digitalne dokaze potrebno je prikupljati sa krajnjom pažnjom, jer je većina digitalnih

podataka podložna izmjenama. Jednom kada su promijenjeni gotovo je nemoguće otkriti koja
se promjena dogodila ili vratiti system u prvobitno stanje. Zbog toga se radi kopija diska koja
se još naziva i forenzička kopija diska (eng. bit-stream image, forensic image).
Forenzička kopija nije obična logička kopija, zato što ne sadrži samo korisniku vidljive
podatke koji se trenutno nalaze na disku, nego i podatke koji su bili izbrisani. Ona je identična
kopija svakog pojedinog dijela (eng. cluster) diska. Stvara se na posebnom disku koji prije
kopiranja mora biti potpuno prazan. Obično formatiranje nije dovoljno, jer ono ne odstranjuje
sve podatke sa medija.
Forenzička metoda formatiranja sastoji se u ispisivanju niza nula koje ispunjavaju svaki
sektor diska. Na taj način se disk u potpunosti očisti. Nakon stvaranja forenzičke kopije diska
provjerava se autentičnost kopije uz pomoć kriptografskog algoritma. On se koristi za
provjeru ispravnosti kopije, kao i za provjeru da li je dokazni materijal bio izmijenjen nakon
računanja algoritma.

6
1.2.2. Pretraživanje

Nakon što su svi dokazni materijali prikupljeni, može se početi sa pretraživanjem digitalnih
zapisa. Način na koji se započinje istraga zavisi od vrste slučaja. Tako npr.ako se istražuje
zloupotreba podataka neke korporacije, pretraživanje se usmjerava na elektronsku poštu.
Jednostavni slučajevi, u kojima je poznat objekat pretrage, oduzimaju manje vremena, dok
složeniji slučajevi, u kojima je potrebno uzeti u obzir podatke iz nekoliko izvora, oduzimaju
više vremena. Vrlo je važno iskoristiti vrijeme, jer ponekad sudski proces započinje prije nego
što je istraga zaključena. Zbog toga je dobar početni korak ukloniti iz istrage datoteke za koje
je poznato da nisu potencijalni dokazi.
Izdvajanje podataka može započeti analizom kriptografskog algoritma. Npr, ako je disk koji
je predmet istrage jedan od diskova iz velike firme u kojoj se dogodilo curenje podataka i
vlasnici sumnjaju da je neko od zaposlenih odao neke važne informacije konkurentskoj firmi.
Firma koja zahtjeva istragu forenzičkom timu daje sve kritične podatke za koje se boji da su
mogli biti proslijeđeni, te ih oni pomoću algoritma upoređuju sa podacima na disku. Pronađe
li se algoritam koji se podudara sa određenom datotekom, ispisaće se na ekranu računara. Na
taj način radi velika većina forenzičkih programskih paketa koji obrađuju podatke analizom
kriptografskih algoritama.
Sledeći korak uključuje provjeru potpisa datoteke (eng. file signature). Potpis datoteke se
koristi za identifikaciju ili provjeru sadržaja datoteke. Svaka datoteka ima svoj potpis koji se
sastoji od magičnog broja (kratkog niza bajtova, obično 2-4 smještenih na početak datoteke) i
on govori u kojem je programskom alatu nastala. Dakle, potpis datoteke se koristi za
identifikaciju formata datoteke. Ova je metoda vrlo korisna kada se provjerava da li je
korisnik računara promijenio ime i ekstenziju datoteke kako bi prikrio njen pravi sadržaj.
Datoteku u JPG formatu korisnik lako može preimenovati u .doc format. Obični korisnik
nikada neće primijetiti da je to zapravo fotografija, jer će Word svakoj .doc datoteci dodijeliti
Word ikonu. Forenzički stručnjak će datoteku sprovesti kroz poseban alat i ukoliko se pokaže
da trenutna ekstenzija ne odgovara njenom stvarnom formatu, datoteka ide na detaljniju
analizu.
Istraga se može dalje nastaviti prema ključnoj riječi (eng. keyword analysis). Stvara se
tekstualna datoteka u koju se upisuju ključne riječi. Pomoću posebnih alata mogu se pronaći
sva pojavljivanja riječi iz tekstualne datoteke, te na taj način izdvojiti datoteke prema
sadržaju.
Ukoliko istražitelj zna šta otprilike traži, datoteka se može izdvojiti i po: tipu, veličini i
datumu nastanka.
Nakon izdvajanja svih datoteka koje su dostupne, kreće se na pregled obrisanih podataka,
zamjenskih datoteka (eng. swap file), te neiskorištenih sektora na disku. Zamjenska datoteka
je binarna datoteka koja predstavlja virtuelnu memoriju računara. U nju se prosleđuje sadržaj
radne memorije koji se najdalje u prošlosti nije koristio, te iz koje se sadržaj po potrebi
ponovo vraća u radnu memoriju. Zamjenska datoteka može sadržati podatke koji su forenzički
izbrisani sa diska. Zbog toga je vrlo koristan izvor informacija.
Sledeće mjesto koje je potrebno pregledati je recycle bin (prostor na disku, posebna datoteka,
u koju se spremaju datoteke prije konačnog brisanja sa diska). Neko je možda u strahu
pokušao brzo prikriti dokaze i odlučio ih izbrisati. Međutim obrisani podaci nisu u potpunosti
uklonjeni iz sistema, čak i kada su izbrisani iz recycle bin-a. Ako korisnik nije izbrisao
datoteke iz recycle bin-a, te je datoteke vrlo lako vratiti. Datoteke koje su obrisane iz recycle
bin-a još uvijek se zadržavaju na disku i operacijski sastav u tablici datoteka obilježava njihov
prostor slobodnim. Kada mu taj prostor bude odgovarao za zapis novih podataka samo će ih
prepisati preko starih. To znači da će još neko vrijeme obrisane datoteke biti na disku. Uz to,

7
moguće je pročitati i njihove metapodatke (podatke o podacima) koji sadrže ime, vrijeme
nastajanja, vrijeme izmjene, ime autora i slično.
Bitni dokazi se mogu otkriti nalaze se i u privremenim datotekama (eng. temporary files).
Različite aplikacije ih stvaraju tokom svog rada i po završetku ih brišu. Microsoft Word, na
primjer, stvara privremenu datoteku svakog puta kada se snimaju izmjene na dokumentu sa
kojim korisnik radi. To znači da će forenzički stručnjak vidjeti kada i kako se mijenjao
dokument, te saznati kako je nastala određena datoteka.
Podaci vezani uz aktivnosti na Internetu nalaze se i u cookie datotekama. To su podaci koji
nastaju u komunikaciji servera i korisnika. Spremaju se na računar u obliku tekstualnih
datoteka i imaju široku primjenu. Na primjer, korisniku omogućavaju obavljanje kupovine
preko Interneta. Tačnije, omogućavaju mu spremanje i vađenje proizvoda iz virtuelne korpe.
Osim toga, olakšavaju mu prijavljivanje na različite web stranice čuvanjem zapisa o tome da
je on već autorizovani korisnik, pa se ne traži upisivanje korisničkog imena i lozinke ponovo.
Pomoću cookie datoteka moguće je pratiti koje stranice korisnik posjećuje.
Međutim, česta je pojava da je računar nemoguće isključiti sa mreže i fizički prebaciti u
forenzičku laboratoriju i tada se istraga sprovodi na licu mjesta, što je puno teže jer se sistem
neprestano mijenja i jedan potez mijenja više od nekoliko stvari u sistemu. Budući da je
izmjene nemoguće spriječiti, važno je svesti ih na minimum i to tako da se koraci
pretraživanja sistema sprovode prema unaprijed određenom planu.

1.2.3. Analiza

Analiza je proces tumačenja dokaza prikupljenih tokom procesa pretraživanja podataka. Ona
je korak u kojem istražitelj dolazi do krajnjih rezultata istrage.
Postoji nekoliko vrsta analiza:
- vremenska analiza - određuje kada se određeni događaj dogodio i stvara sliku o
razvoju zločina korak po korak. Sprovodi se pregledom vremenskih metapodataka
(poslednja izmjena, poslednji pristup, vrijeme nastanka, promjena statusa) ili dnevne
datoteke (može se saznati kada se korisnik prijavio na sistem);
- analiza skrivenih podataka - korisna je u rekonstrukciji skrivenih podataka i može
ukazivati na vlasništvo, vještinu ili namjeru. Ako se pretraživanjem naišlo na podatke
koji imaju izmijenjenu ekstenziju, to odmah upućuje na namjerno skrivanje podataka.
Dohvat kriptovanih, kompromitujućih podataka, te podataka zaštićenih lozinkama
upućuje na skrivanje podataka od strane zlonamjernih korisnika;
- analiza datoteka i aplikacija – izvode se zaključci o sistemu i vještini korisnika.
Rezultati ove analize ukazuju na sledeće mjere koje se moraju preduzeti kako bi se
analiza obavila do kraja. To mogu biti: pregledavanje sadržaja datoteka, identifikacija
broja i vrsta operacijskih sistema, utvrđivanje povezanosti datoteka, pregledavanje
korisničkih postavki.

Krajnji korak analize je njen zaključak, u kojem se povezuju do sada prikupljeni i analizirani
podaci u jednu cjelinu.

1.2.4. Prezentacija rezultata istrage

Izvještaj povezuje zaključke analize, dokaze i dokumentaciju, sadrži vrijeme i datum analize,
te detaljan opis rezultata. Stvaranje izvještaja je najvažnija faza digitalne forenzike i treba da
sadrži detaljnu dokumentaciju alata, procesa i metodologije. Složenost izvještaja zavisi od
njegove namjene. Ponekad se, osim za sudski proces, piše i poseban izvještaj za izvršnog
menadžera kako bi firma dobila zahtijevane odgovore. Kada je istraga zaključena i slučaj

8
predat sudu, rezultati istrage se predstavljaju advokatima, sudijama i poroti. Forenzički
stručnjak mora biti u stanju na jednostavan način obrazložiti rezultate, a nerijetko advokati i
sudije prolaze osnovne tečajeve digitalne forenzike, kako bi što kvalitetnije mogli učestvovati
u sudskom procesu.

9
 2. WIRESHARK

2.1. Istorijat i razvoj

Programski alat Wireshark koristi se za analizu mrežnih paketa. Radi se o alatu koji hvata
podatke koji u paketima putuju mrežom i prikazuje ih na najdetaljniji mogući način. U
prošlosti, alati slični Wiresharku su bili skupi i najčešće komercijalni. Dolaskom alata
Wireshark na tržište, situacija se promijenila. Wireshark je danas vjerojatno najbolji besplatni
i open source alat dostupan na tržištu.

Wireshark omogućava rješavanje različitih problema na mreži:

- otklanjanje problema na mreži;
- analiza sigurnosnih ranjivosti;
- razvoj i implementacija novih protokola;
- učenje o mrežnim protokolima.

Wireshark je tzv. „cross-platform“ mrežni alat, što znači da može raditi na različitim
platformama. Osim što radi na operativnom sistemu Microsoft Windows, podržan je i na
različitim Unix operativnim sistemima među kojima su Linux, Mac OS X, BSD i Solaris.
Takođe, postoji i verzija bez grafičkog interfejsa (eng. Graphical User Interface) nazvana
TShark. Wireshark i TShark su besplatni alati pod uslovima GNU General Public licence
(najrasprostranjenija licenca za slobodan softver).

Godine 1997., Gerald Combs je zbog potrebe za alatom za praćenje prometa na mreži i želje
da nauči više o upravljanju i administraciji mreže počeo pisati program zvan Ethereal, preteču
današnjeg Wiresharka. Alatom Ethereal htio je riješiti oba gore navedena problema. Ethereal
je inicijalno pušten na tržište, nakon nekoliko kraćih zastoja u razvoju 1998. godine u verziji
0.2.0. Vremenom se Ethereal nadogradio, ispravljene su postojeće greške i polako se počeo
nazirati uspjeh projekta. Nedugo nakon toga, sistemski inženjer Gilbert Ramirez je uočio
potencijal Ethereala i postao prvi saradnik projekta.
Godine 1998., Guy Harris iz Network Appliance pokušao je pronaći bolji alat za
administraciju mreže od dotad korištenog alata tcpview, te je takođe počeo razvijati
poboljšanja za Ethereal. Krajem 1998. godine i Richard Sharpe, stručnjak iz oblasti TCP/IP
protokola, je uočio potencijal ovog alata, te počeo unapređivati protokole koji su mu bili
potrebni. Do danas se lista ljudi koji su pridonijeli razvoju ovog alata znatno povećala. Većina
tih ljudi je započela sa radom na novim protokolima koji su im bili potrebni, a koje Ethereal,
ili kasnije Wireshark, nisu još podržavali. To je dovelo do velikog broja protokola koje
Wireshark podržava danas.
Godine 2006., projekat se restrukturirao pod današnjim imenom Wireshark. U proljeće 2008.
godine, nakon deset godina razvoja, Wireshark je napokon izašao u verziji 1.0. Ova verzija je
bila prva potpuna verzija koja je izašla na tržište, ali je isto tako bila i verzija sa minimalnim
rezultatima. Dakle, predstavljala je osnovnu verziju uz mogućnost nadogradnje.
Verzija 1.0. izašla je istovremeno sa održavanjem prve Wireshark konferencije za programere
i korisnike nazvale SharkFest. Magazin eWEEK (eng. The Enterprise Newsweekly, nedeljni
poslovni informatički magazin) je proglasio Wireshark „najuticajnijom open source
aplikacijom svih vremena“.
Mogućnosti koje alat Wireshark pruža su različite, a najbitnije su:
- hvatanje podatkovanih paketa sa mrežnog interfejsa;
- prikazivanje paketa sa vrlo detaljnim informacijama o mrežnom protokolu;
- otvaranje i spremanje paketa;

10
 - uvoz i izvoz podataka u druge slične programe;
- pretraga i filtriranje paketa po različitim kriterijumima i
- kreiranje različitih statistika.

Wireshark je izašao na tržištu pod GNU GPL licencom. Sav izvorni kod se može besplatno
preuzeti na web stranicama projekta.
Gotovo svi dijelovi Wiresharka su implementirani u programskom jeziku C. Osim
uobičajenog razvoja programa u jeziku C, neki programski alati, kasnije dodati u Wireshark,
napisani su u drugim programskim jezicima. Neki od tih alata, odnosno programskih jezika,
su:
- Perl - služi za izradu dokumentacije;
- Pyton i Sed - mogu poslužiti za generisanje nekih protokola, funkcija ili biblioteka
- Flex i Bison - mogu se koristiti pri izradi biblioteka.

2.2. Način rada i mogućnosti Wireshark-a

Wireshark je softverski alat koji „razumije“ strukturu različitih mrežnih protokola. Iz tog
razloga sposoban je prikazati podatke iz paketa specifičnih za različite protokole. Wireshark
koristi biblioteku koda pcap (eng. Packet capture) za hvatanje paketa, što znači da može
hvatati samo pakete sa mreža koje pcap podržava (Ethernet, IEEE 802.11, …). Pcap je
biblioteka koja raznim programima pruža programski interfejs (eng. API – Application
Programming Interface) za postizanje paketa sa mrežnih interfejsa na operativnim sistemima
Windows i Linux/Unix.
Podaci se mogu uhvatiti direktno sa aktivne mrežne veze ili se mogu učitati iz datoteke u
kojoj su pothranjeni već uhvaćeni paketi. Uhvaćeni podaci mogu biti prikazani preko
grafičkog korisničkog interfejsa ili preko terminala (komandne linije) kod korištenja TSharka.
Podaci se mogu programski uređivati preko komandne linije ili pomoću potprograma
„editcap“.
Wireshark sadrži i filter za prikaz podataka pomoću kojega se može prikazati i samo dio
podataka, u zavisnosti od uslova filtriranja. Budući da je Wireshark open source alat,
relativno je jednostavno implementirati programske dodatke za nove protokole.
Podatke unutar mrežnih paketa Wireshark može očitati sa više različitih vrsta mreža, a
najpoznatije koje podržava su:
- Ethernet – najčešća LAN (eng. Local Area Networking) tehnologija koja se, sa 10
gigabajtnom proizvodnjom koristi i kao WAN (eng. Wide Area Networking)
tehnologija. Ethernet šalje pakete od pošiljaoca prema jednom (Unicast) ili više
(Multicast/Broadcast) prijemnika;
- IEEE 802.11 – skup standarda za bežičnu računarsku komunikaciju (WLAN, eng.
Wireless Local Area Network) na frekvencijskim pojasevima od 2.4, 3.6 i 5 GHz.
Razvijen je od strane IEEE LAN/MAN Standards Committee (IEEE 802);
- PPP – (eng. Point-to-Point Protocol) protokol koji se koristi za direktno povezivanje
dva čvora računarske mreže. Omogućava povezivanje računara serijskim, telefonskim
ili optičkim kablom, pomoću mobilnih telefona, te posebno oblikovanim radio ili
satelitskim vezama;
- Loop-back – virtuelno mrežni interfejs.

Format datoteke za čuvanje paketa uhvaćenih na mreži je standardni libpcap format podržan
od strane mrežnih biblioteka Libpcap i WinPcap. To znači da Wireshark može pročitati i
podatke iz aplikacija kao što su tcpdump i CA NetMaster koje takođe koriste isti format.
Osim toga, podaci uhvaćeni Wiresharkom mogu se pročitati I uz pomoć drugih aplikacija,

11
koje koriste Libpcap i WinPcap za čitanje uhvaćenih podataka. Tako Wireshark može čitati i
podatke uhvaćene mrežnim analizatorima kao što su Snoop, Network General's Sniffer, te
Microsoft Network Monitor.

2.3. Wireshark u funkciji bezbjednosti

Kao i nekim drugim alatima za analizu mreže, tako je i Wiresharkom moguće detektovati
neke sigurnosne propuste i nepravilnosti. Sigurnosni propust se očituje u neovlaštenim,
nedopuštenim, odnosno malicioznim radnjama koje mogu naštetiti mreži i njenim
korisnicima. Wireshark sprečava sigurnosne propuste analizom mogućih problema i radnji
koje mogu stvoriti probleme.
Zadaci analize unutar Wireshark alata dijele se na preventivne i reaktivne. Preventivni zadaci
(metode) uključuju „baselining“ mrežne metode (najprimitivnija metoda za analizu mrežnih
performansi) za očitavanje trenutnog statusa mreže i aplikacije. Preventivne metode se takođe
mogu koristiti za uočavanje problema na mreži prije nego što ih korisnik mreže osjeti. Kao
primjer toga, preventivne metode omogućavaju uočavanje gubitka paketa prije nego taj
gubitak počne uticati na mrežnu komunikaciju i time se izbjegava problem prije nego je uočen
od strane korisnika. Reaktivne metode analize koriste se nakon što su greške u radu mreže
uočene. Npr, ukoliko postoji problem sa nekim serverom, Wireshark će problem prijaviti tek
nakon što pokuša uhvatiti pakete sa mreže. Nažalost, u Wiresharku su još uvijek reaktivne
analize zastupljenije od preventivnih, što je loše jer reaktivne analize uočavaju problem prije
nego on može uticati na mrežu i korisnika, dok kod preventivnih to nije slučaj.
Neke analize koje korisnicima Wiresharka mogu poslužiti u funkciji sigurnosti i
administracije mreže su:
- pronalaženje korisnika sa najviše prometa na mreži,
- identifikacija protokola i aplikacija koje se trenutno koriste,
- određivanje prosječnog broja paketa u sekundi, prosječnog broja bajtova u sekundi ili
ukupnog prometa na mreži,
- prikaz svih korisnika komunikacijske mreže,
- određivanje dužine paketa koji koristi aplikacija za prenos podataka na mreži,
- prepoznavanje najčešćih problema na mreži (spora mreža, neprepoznavanje korisnika,
…),
- prepoznavanje kašnjenja između korisničkog naloga za rad sa mrežnim paketima i
samog procesa rada sa paketima,
- prepoznavanje pogrešno konfigurisanih korisnika (npr. dupla IP adresa),
- određivanje mreže ili korisnika koji usporavaju promet na mreži,
- identifikacija nesinhronizovanog prenosa na mreži,
- identifikacija neuobičajenog pregleda prometa na mreži,
- brzo identifikovanje HTTP (eng. HyperText Transfer Protocol) grešaka koje ukazuju
na probleme korisnicima i serveru,
- brza identifikacija VoIP (eng. Voice over Internet Protocol) grešaka koje ukazuju na
probleme korisnik ili serveru te globalne pogreške,
- izgradnja grafikona za poređenje ponašanja prometa na mreži,
- izgradnja grafikona prometa aplikacije te poređenja sa ukupnim prometom na mreži,
- identifikacija aplikacija koje ne šifriraju podatke koji se prenose,
- uočavanje neuobičajenih protokola,
- identifikacija prosječnog i neprihvatljivog vremena odziva mrežnih servisa (SRT, eng.
Service Response Time), te izgradnja grafikona intervala periodičnog generisanja
paketa aplikacija ili protokola.

12
 3. PRIMJERI PRIMJENE ALATA WIRESHARK

Wireshark je mrežni analizator i kao takav služi za hvatanje i analizu mrežnih paketa.
Njegove mogućnosti svode se na:
- hvatanje mrežnih paketa (eng. Capturing live network data),
- uvoz/izvoz i ispis podataka (eng. File input/output and printing)
- rad sauhvaćenim paketima (eng. Working with captured packets).

3.1. Korišćenje Wireshark-a

Wireshark je besplatan mrežni protocol, koji radi pod Windows, Linux/Unix i Mac
operativnim sistemom. Kada se pokrene Wireshark program, pojavljuje se grafički korisnički
interfejs.
Wireshark interfejs ima pet osnovnih komponenti:
• Command menus (komandni meni) - standardni padajući meni koji se nalaze na vrhu
prozora. Najznačajni su:
- File - omogućava čuvanje “uhvaćenih” paketa ili otvaranje fajla koji sadrži prethodno
uhvaćene pakete
- Capture - omogućava početak “hvatanja” paketa.
• Packet-listing window (prozor za prikazivanje uhvaćenih paketa) – prikazuje podatke za
svaki “uhvaćeni” paket, uključujući broj paketa (koji mu dodjeljuje Wireshark; ovo nije broj
paketa koji se nalazi u zaglavlju bilo kog protokola), trenutak u kojem je paket uhvaćen,
adresu izvora i destinacije paketa, tip protokola i specifičnu informaciju o protokolu koja se
nalazi u svakom paketu.
Lista paketa može biti sortirana po bilo kojoj od ovih kategorija klikom na ime kolone.
• Packet - header details window (prozor za prikazivanje detalja selektovanog paketa) -
obezbjeđuje detalje o paketu odabranom u packet listing prozoru.
• Packet - contents window - prikazuje ukupan sadržaj uhvaćenog paketa u ASCII i
heksadecimalnom zapisu.
• Filter (polje za filtriranje) u koje se mogu unijeti ime protokola ili druge informacije, kako bi
se u packet-listing prozoru (kao i packet–header i packet–contents prozorima) izdvojile samo
one informacije koje nas zanimaju.
Kako bi se započelo hvatanje paketa, potrebno je izabrati Capture padajući meni i izabrati
Options.
U Capture options prozoru potrebno je odabrati jednu od mrežnih kartica koje se nalaze u
računaru (npr. wireless ili wired Ethernet), a zatim kliknuti Start, nakon čega počinje hvatanje
paketa.
Ukoliko je deselektovana opcija u Capture Options – Display options – Hide capture info
dialog, pojaviće se packet capture summary prozor. Ovaj prozor prikazuje broj paketa
različitih tipova protokola koji su uhvaćeni. Ukoliko želimo da vidimo uhvaćene pakete,
potrebno je pritisnuti dugme Stop u Packet Capture summary prozoru. Nakon toga dobije se
prozor sa prikazom svih uhvaćenih paketa.

3.2. Hvatanje mrežnih paketa

Hvatanje mrežnih paketa je jedna od glavnih osobina Wiresharka. Njegov mehanizam za

hvatanje omogućava:
- hvatanje sa različitih vrsta mreža (Ethernet, TokenRing, ATM, …),
- prekid hvatanja uz različite uslove (količina uhvaćenih podataka, vrijeme hvatanja,
broj uhvaćenih paketa i sl.),

13
 - simultano prikazivanje dekodiranih istovremeno sa hvatanjem novih paketa,
- filtriranje paketa i redukovanje količine uhvaćenih podataka.

Hvatanje mrežnih paketa se odvija na vrlo jednostavan način. Označavanjem opcije

„Interfaces…“ iz izbornika „Capture“ otvara se prozor „Capture Interfaces“.
Izborom opcije „Start“ pokreće se hvatanje paketa, dok se izborom opcije „Options“ pristupa
prozoru „Capture Options“. Prozor „Capture Options“ služi za određivanje vrste mreže sa
koje se hvataju podaci, te za uređivanje različitih prekidača za prekid hvatanja uz određeni
uslov.

Osim hvatanja podataka sa lokalne mreže, Wireshark je sposoban hvatati podatke i sa

udaljenih mrežnih interfejsa. Na operativnom sistemu Microsoft Windows tome služi tzv.
„Capture Daemon“ servis, dok se na operativnim sistemima Unix/Linux isti efekat postiže
preko SSH tunela (eng. Secure Shell). Za hvatanje podataka sa udaljenih interfejsa Wireshark
koristi opciju „Remote Capture Interfaces“. U tom se prozoru, upisom udaljene IP adrese,
pristupa mrežnom prometu i tada se, na isti način kao i kod lokalne mreže, mogu hvatati i
analizirati mrežni podaci.
Tokom hvatanja podataka na interfejsu Wiresharka prikazuje se prozor „Capture Info“.
„Capture Info“ služi za informisanje korisnika o broju uhvaćenih paketa kao i o vremenu
proteklom od početka hvatanja. Osim toga, na samom prozoru je moguće prekinuti hvatanje
podataka ili ga samo pauzirati.

3.3. Uvoz/izvoz i ispis podataka

Wireshark može pročitati i podatke iz uhvaćenih mrežnih paketa sačuvanih u datoteku.

Čitanje se obavlja intuitivno, u meniju „File/Open“, čime se otvara prozor „Open Capture
File“. Wireshark može pročitati razne formate datoteka iz drugih alata za mrežnu analizu, a
najrašireniji i najpoznatiji među njima su:
- libpcap, tcpdump i drugi alati koji koriste tcpdump format za hvatanje,
- sun, snoop i atmsnoop,
- Microsoft Network Monitor,
- Novell LANalyzer
- Shomiti/Finisar Surveyor i mnogi drugi.

Wireshark podržava više formata za izvoz podataka. Najjednostavniji i najčešće korišteni

način izvoza podataka je u ASCII tekstualnom formatu. Takav način izvoza podataka u
Wiresharku je moguće napraviti odabirom opcije „File/Export“. Izvoz podataka iz Wiresharka
moguć je i u drugim formatima, među kojima su:
- PostScript,
- CSV (eng. Comma Separated Values),
- polja programskog jezika C,
- PSML i
- PDML.

Wireshark ima i opciju ispisa uhvaćenih paketa. Odabirom opcije „File/Print…“ otvara se
prozor za ispis paketa.

14
3.4. Rad sa uhvaćenim paketima

Rad sa uhvaćenim paketima u Wiresharku obuhvata prikaz uhvaćenih paketa, njihovo

filtriranje, označavanje ili ignorisanje te mnoge druge opcije. Wireshark pakete prikazuje u
korisničkom interfejsu.
Uhvaćene pakete moguće je filtrirati po mnogim uslovima. Wireshark omogućava izradu
sopstvenih filtera i uslova filtriranja, te njihovo čuvanje i kasnije korištenje. Izrada sopstvenog
filtera obavlja se unutar prozora „Filter Expression“. Ugrađeni filteri unutar alata Wireshark
omogućavaju selekciju paketa po uslovima kao što su: protokol, postojanje podataka u
paketu, vrijednost podatka, sličnost među podacima, kao i mnoge druge selekcije.
Wireshark omogućava pronalazak uhvaćenog paketa preko opcije „Find Packet“. Na sličan
način, opcija „Go To Packet“ omogućava prikaz odabranog paketa. Osim ovih opcija moguće
je označiti pakete isticanjem, ignorisati ih da se Wireshark ponaša kao da oni ne postoje i
slično.

3.5. Nedostaci Wireshark-a

U poslednje vrijeme Wireshark je u informatičkim krugovima često spominjan u kontekstu

popravljanja sigurnosnih grešaka, te nadogradnje i poboljšanja sigurnosti. Sigurnosni
problemi i nedostaci Wiresharka najviše zavise od vrste mreže na kojoj se koriste.
Zadaci koje Wireshark obavlja, a koji su najkritičniji sa gledišta sigurnosti su:
- otvaranje uhvaćenog paketa,
- korištenje opcije „Update list of packets in real time“ za vrijeme hvatanja paketa i
- nekorištenje opcije „Update list of packets in real time” nakon završetka hvatanja.

Preporuke za zaštitu od sigurnosnih ranjivosti koje predlaže Wiresharkov programerski tim

obuhvataju:
- stalno korištenje zadnje verzije Wiresharka,
- nekorištenje Wiresharka sa administratorskim naredbama, te
- analiza uhvaćenih paketa u nekritičnom okruženju (npr. poseban korisnički račun).

3.6. Kako koristiti Wireshark za snimanje, filtriranje i pregled paketa

Slika 1

Nakon preuzimanja i instaliranja Wireshark-a, klikom na naziv mrežnog interfejsa pod

Capture, započinje snimanje paketa na tom. Na primjer, ako želimo da uhvatimo promet na

15
bežičnoj mreži, kliknemo na bežični interfejs. Napredne karakteristike se mogu konfigurisati
klikom na Capture>Options.

Slika 2

Čim se klikne ime interfejsa, paketi se počinju prikazivati u stvarnom vremenu. Wireshark
bilježi svaki paket koji je poslan sa ili na naš interfejs.
Ako je omogućen način rada prema zadatim postavkama – prikazuju se i svi ostali paketi na
mreži. Da bismo provjerili da li je omogućen način rada prema zadatim postavkama,
kliknemo Capturing>Opcije i potvrdimo klikom pri dnu prozora.

Slika 3

Klikom na crveno dugme "Stop" u blizini gornjeg lijevog ugla prozora, zaustavlja se snimanje
prometa.

16
Slika 4

Prilikom kodiranja boja, prikazuju se paketi istaknuti u različitim bojama. Wireshark koristi
boje kako bi omogućio otkrivanje vrste prometa. Prema zadatim postavkama, svjetlo
ljubičaste boje je TCP promet, svijetlo plave boje je UDP promet, a crna iukazuje na pakete sa
pogreškama - na primjer, mogli su biti isporučeni iz redova.

Da bismo znali šta znače šifre boja, kliknemo Colouring rules. Takođe možemo prilagoditi i
mijenjati pravila bojanja i odavde.

Slika 5

Ako pokušavamo da provjerimo nešto posebno, kao što je promet koji program šalje pri
telefoniranju, Wireshark zatvara sve druge aplikacije putem mreže, tako da možemo suziti

17
promet. Ipak, vjerojatno će postojati velika količina paketa za filtriranje. Tada se primjenjuju
Wireshark filteri.

Najjednostavniji način primjene filtera je upisivanjem u filtersku kutiju pri vrhu prozora i
klikom na Enter. Na primjer, ako upišimo "dns", pojaviće se samo DNS paketi. Kada
počnemo tipkati, Wireshark će pomoći sa samopokretanjem filtera.

Slika 6

Još jedna zanimljivost jeste da desnim klikom na miša odaberemo paket Follow TCP Stream.
Prikazaće se puni TCP razgovor između klijenta i servera. Takođe, klikom na druge protokole
u opciji Follow prikazuju se puni razgovori i za druge protokole.

Slika 7

Zatvaranjem prozora, uočićemo da je filter automatski primijenjen. Wireshark prikazuje

sadržaje razgovora.

18
3.7. Primjer primjene Wireshark-a kod prikupljanja jedinica podataka protokola (PDU
– protocol data unit)

Da bi se izvršilo hvatanje PDU na kompjuteru na kom je instaliran Wireshark, neophodno je

da je Wireshark pokrenut prije bilo kog pokušaja hvatanja podataka.

Da bi započeli hvatanje podataka, biramo opciju Capture, pa u meniju Option.

Slika 8

Ono što je jako važno jeste provjeriti da li je Wireshark podešen za nadzor odgovarajućeg
interfejsa, jer ostale opcije mogu biti podešene tek nakon podešavanja interfejsa.

Podešavanje Wiresharka za hvatanje podataka u slobodnom modu (promiscous mode) je jako

važno.Ukoliko ova opcija nije čekirana, moguće je uhvatiti samo podatke upućivane samo
ispitivanom računaru. Ukoliko jeste, moguće je uhvatiti podatke detektovane sa ispitivanog
računara ka svakom mrežnom segmentu.

Čekiranjem opcije Wiresharka za određivanje imena mreže (network name resolution)

dozvoljava se kontrolisanje da li će Wireshark prevoditi mrežne adrese otkrivene u PDU u
imena.

Aktivacijom opcije Start, otpočinje proces sakupljanja PDU.

19
Kada se PDU sakupljaju, u prozoru se prikazuje vrsta i broj sakupljenih PDU.

Slika 9

Glavni prozor Wireshark-a ima tri okvira: Packet List Pane; Packet Details Pane i Packet
Bytes Pane.

PDU lista ili lista okvir paketa - Packet List Pane, nalazi se na vrhu prozora i prikazuje
pregled uhvaćenih paketa.

PDU detalji ili Packet Details Pane nalazi se u sredini prozora i prikazuje pakete odabrane u
Okviru liste paketa.

PDU bajt ili Okvir bajta - Packet Bytes Pane nalazi se na dnu prozora i prikazuje aktuelne
podatke odabrane u Okviru liste paketa. Prikazuju se podaci u heksadecimalnoj formi i
predstavljaju aktuelne binarne podatke, a odnose se i na polja odabrana u Okviru detalja
paketa.

20
Slika 10

Podaci uhvaćeni PDU mogu biti sačuvani u fajlu, koji može biti otvoren uz pomoć Wireshark-
a radi dodatnih analiza u nekom budućem vremenu, bez potrebe za dodatnim hvatanjem
podataka u prometu.

Informacije o uhvaćenim podacima u fajlu su iste čak i nakon isteka određenog vremena.
Wireshark će postaviti pitanje da li je potrebno zapamtiti uhvaćene PDU. Opcijom Continue
without saving zatvaramo fajl i napuštamo Wireshark.

3.8. Primjena Wireshark-a kod specifičnog tipa paketa podataka

Upotreba Wireshark-a je jako jednostavna i kod primjene na određeni paket podataka, klikne
se stavka u meniju Go.

Ako želimo da idemo nazad, kliknemo opciju Go back, pri čemu nje jako slično kao istorija
pregleda stranica u većini web browser-a. Slično je i ako želimo da idemo naprijed, kliknemo
opciju Go forward.

Kada želimo da uđemo na određeni paket, tada otvaramo odabirom na Go/Go to packet u
glavnom meniju, koja se nalazi između glavne trake sa alatkama i liste paketa.

Kada unesemo broj paketa i kliknemo na Go to packet, Wireshark prelazi na taj paket.

Komandom „Go to corresponding packet“, prebacujemo se na odgovarajući paket. Obzirom

da ova polja protokola sada rade kao veze na browser-u, klikom dva puta na odgovarajuće
polje prelazimo na njega.

21
Sve pakete možemo označiti u okviru Liste paketa. Označeni paket će biti markiran crnom
pozadinom, bez obzira na postavljena pravila bojenja. Označavanje paketa može biti korisno
za njegovo kasnije pronalaženje tokom analize u velikoj datoteci za snimanje.

Označenje informacije o paketu se ne čuvaju u datoteci za snimanje i mogu se izgubiti kada se

datoteka za snimanje zatvori.

Oznakom paketa možemo da kontrolišemo izlaz paketa prilikom čuvanja, izvoza ili
štampanja.

Postoji nekoliko načina za označavanje i uklanjanje oznake paketa. Iz menija Edit, možemo
izabrati:

- Mark/Unmark paket prebacuje označeno stanje pojedinačnog paketa. Ova opcija je

takođe dostupna u kontekstnom meniju liste paketa.

- Mark all displayed prikazuje stanje obilježavanja svih prikazanih paketa.

- Unmark all displayed resetuje stanje oznake svih paketa.

Paketi se takođe mkogu i ignorisati i u tom slučaju, Wireshark će ih tretirati kao da ne postoje
u datoteci za snimanje. Ignorisani paket će biti prikazan sa bjelom pozadinom i sivim
prednjim planom, bez obzira na postavljena pravila bojenja.

Postoji nekoliko načina za ignorisanje i poništavanje paketa. Klikom na Edit možemo izabrati:

- Ignore/Unignore packet koji prebacuje zanemareno stanje pojedinačnog paketa.

- Ignore all displayed prikazuje zanemareno stanje svih prikazanih paketa.

- Unignore all displayed poništava ignorisano stanje svih paketa.

Slika 11

22
Korisnik može postaviti vremenske reference na pakete. Vremenska referenca je početna
tačka za sve naredne proračune vremena paketa. Ovo može biti korisno ako želimo da vidimo
vremenske vrijednosti u odnosu na poseban paket, npr. početak novog zahtjeva. U datoteci za
snimanje moguće je postaviti više vremenskih referenci.

Reference vremena biće korisno samo ako je format prikaza vremena postavljen na “Seconds
Since Beginning of Capture”. Ako se koristi neki od ostalih formata prikaza vremena,
referenciranje vremena neće imati efekta.

Da bismo radili sa vremenskim referencama, biramo jednu od oznaka vremenskih referenci u

meniju Edit ili iz iskačućeg menija okna „Lista paketa“.

 Set Time Reference uključuje ili isključuje vremensko referentno stanje trenutno
izabranog paketa
 Find Next, pronali sledeći paket na koji se referencira u oknu „Lista paketa“.
 Find Previous, u oknu „Lista paketa“ pronalazi prethodni paket na koji se poziva

Wireshark je jako moćan alat, tako da je samo mali dio prikazan primjerom. Profesionalci ga
koriste za otklanjanje pogrešaka u implementaciji mrežnih protokola, ispitivanje sigurnosnih
problema i pregled internih mrežnih protokola.

Sve detaljne informacije mogu se naći na Wiresharkovoj web stranici www.wireshark.org.

23
ZAKLJUČAK

Wireshark je jedan od najboljih besplatnih alata za analizu mrežnog prometa na tržištu. Titulu
jednog od najboljih zaslužio je iz više razloga. On ima, uz konzolu za upis naredbi, grafički
korisnički interfejs koji korisnicima olakšava rad i snalaženje u alatu.

Wireshark podržava sve važnije mrežne protokole i ima mogućnost nadogradnje za nove
protokole, tako da se do sada broj podržanih protokola popeo na više od stotinu. Wireshark na
vrlo jednostavan način omogućava korisnicima povezivanje, te uvoz i izvoz podataka na
druge i sa drugih sličnih mrežnih analizatora, kao što su dSniff i tcpdump.
Rad sa paketima, kao što je hvatanje ili filtriranje paketa, u potpunosti je prilagođen
grafičkom interfejsu Wiresharka, tako da je potrebno minimalno znanje i vrijeme za
savladavanje osnovnih funkcionalnosti.

Po pitanju bezbjednosti, uočene su i određene poteškoće, ali se one svakim danom otklanjaju i
svaka nova verzija Wiresharka je bolja od predhodne. Uz to, obzirom da se radi o open
source alatu, svaki korisnik koji uoči sigurnosni problem može ga na svojoj verziji
Wiresharka i samostalno ukloniti.
Planovi za budućnost Wiresharka uključuju stvaranje korisničke pomoći za svaki podržani
protokol, dodatno prilagođavanje Wiresharka novim verzijama operativnog sistema Microsoft
Windows, te uklanjanje grešaka u kodu, pogotovo onih koje mogu naštetiti sigurnosti
korisnika.

Generalno gledalo, digitalna forenzika važno je područje forenzike, ne samo zbog hvatanja
cyber-kriminalaca, već i ubica te drugih zakonskih prestupnika. Računarski sigurnosni
incidenti su postali svakodnevica i u današnje vrijeme su neizbježni. Kako bi se otkrili krivci
koji stoje iza incidenata, potrebno je nužno upotrebiti tehnike digitalne forenzike.
Osim u rješavanju slučajeva u kojima su kriminalci iskoristili slabosti računara, računarskih
programa i mreža, digitalni forenzičari koriste svoja znanja u praćenju i otkrivanju različitih
kriminalaca i ubica.

24
Izgleda da budućnost rješavanja kriminalnih slučajeva leži upravo u digitalnoj forenzici i
sličnim metodama otkrivanja informacija o kriminalu.

REFERENCE

1. Wireshark's team: About Wireshark, http://www.wireshark.org/about.html

2. GNU General Public Licence: Wireshark, http://www.gnu.org/licenses/gpl.html

3. Ethereal's team: Ethereal, http://www.ethereal.com

4. Dug Song: dSniff http://monkey.org/~dugsong/dsniff/

5. Tcpdump/Libpcap: Tcpdump, http://www.tcpdump.org

6. Wireshark's team: Wireshark User's Guide,

http://www.wireshark.org/docs/wsug_html_chunked/index.html

7. Pravilnik o koordinaciji prevencije i odgovora na računarske sigurnosne incidente

25