10 vinkkiä Wiresharkin käyttämiseen verkon pakettien analysointiin
Missä tahansa pakettikytkentäisessä verkossa paketit edustavat tietoyksiköitä, jotka välitetään tietokoneiden välillä. Verkkoinsinöörien ja järjestelmänvalvojien vastuulla on valvoa ja tarkastaa paketteja tietoturva- ja vianmääritystarkoituksia varten.
Tätä varten he luottavat ohjelmistoihin, joita kutsutaan valvomaan liikennettä reaaliajassa, mutta myös tallentamaan ne tiedostoon myöhempää tarkastusta varten.
Aiheeseen liittyvä luku: Parhaat Linux-kaistanleveyden seurantatyökalut verkon käytön analysointiin
Tässä artikkelissa jaamme 10 vinkkiä Wiresharkin käyttämiseen verkon pakettien analysointiin ja toivomme, että kun pääset Yhteenveto-osioon, tunnet halukkuutesi lisätä se kirjanmerkkeihisi.
Wiresharkin asentaminen Linuxiin
Asenna Wireshark valitsemalla käyttöjärjestelmällesi/arkkitehtuurillesi oikea asennusohjelma osoitteesta https://www.wireshark.org/download.html.
Erityisesti, jos käytät Linuxia, Wiresharkin on oltava saatavilla suoraan jakelusi arkistoista, jotta asennus on helpompaa. Vaikka versiot saattavat vaihdella, vaihtoehtojen ja valikoiden tulisi olla samanlaisia - elleivät ne ole identtiset kussakin.
------------ On Debian/Ubuntu based Distros ------------ $ sudo apt-get install wireshark ------------ On CentOS/RHEL based Distros ------------ $ sudo yum install wireshark ------------ On Fedora 22+ Releases ------------ $ sudo dnf install wireshark
Debianissa ja sen johdannaisissa on tunnettu virhe, joka saattaa estää verkkoliitäntöjen luetteloimisen, ellet tee tätä viestiä.
Kun Wireshark on käynnissä, voit valita seurattavan verkkoliittymän Sieppaa-kohdasta:
Tässä artikkelissa käytämme eth0 , mutta voit halutessasi valita toisen. Älä napsauta käyttöliittymää vielä - teemme sen myöhemmin, kun olemme tarkistaneet muutaman kaappausvaihtoehdon.
Hyödyllisimmät sieppausvaihtoehdot, joita harkitsemme, ovat:
- Verkkoliitäntä - Kuten aiemmin selitimme, analysoimme vain eth0: n kautta saapuvia, joko saapuvia tai lähteviä paketteja.
- Sieppaussuodatin - Tämän vaihtoehdon avulla voimme ilmoittaa, minkälaista liikennettä haluamme seurata portin, protokollan tai tyypin mukaan.
Ennen kuin jatkamme vinkkejä, on tärkeää huomata, että jotkut organisaatiot kieltävät Wiresharkin käytön verkostoissaan. Jos et käytä Wiresharkia henkilökohtaisiin tarkoituksiin, varmista, että organisaatiosi sallii sen käytön.
Valitse toistaiseksi pudotusvalikosta eth0 ja napsauta Aloita-painiketta. Alat nähdä kaiken liikenteen kulkevan kyseisen käyttöliittymän läpi. Ei todellakaan hyödyllinen seurantatarkoituksiin tarkastettujen pakettien suuren määrän vuoksi, mutta se on alku.
Yllä olevassa kuvassa näemme myös kuvakkeet käytettävissä olevien rajapintojen luetteloimiseksi, nykyisen sieppauksen lopettamiseksi ja käynnistämiseksi uudelleen (punainen ruutu vasemmalla) sekä suodattimen konfiguroimiseksi ja muokkaamiseksi (punainen ruutu oikealla). Kun viet hiiren yhden näistä kuvakkeista, näkyviin tulee työkaluvihje osoittamaan, mitä se tekee.
Aloitamme havainnollistamalla sieppausvaihtoehtoja, kun taas vinkit # 7 - # 10 keskustelevat siitä, miten todella tehdä jotain hyödyllistä sieppauksen kanssa.
VINKKI # 1 - Tarkasta HTTP-liikenne
Kirjoita suodatinkenttään http ja napsauta Käytä. Käynnistä selain ja siirry haluamallesi sivustolle:
Aloita jokainen seuraava vinkki lopettamalla reaaliaikainen sieppaus ja muokkaamalla sieppaussuodatinta.
VINKKI # 2 - Tarkasta HTTP-liikenne tietystä IP-osoitteesta
Tässä nimenomaisessa vihjeessä asetamme ip == 192.168.0.10 && -profiilin suodatinjaksoon seurataksesi paikallisen tietokoneen ja 192.168.0.10 välistä HTTP-liikennettä:
VINKKI # 3 - Tarkasta HTTP-liikenne annettuun IP-osoitteeseen
Liittyy läheisesti numeroon 2, tässä tapauksessa käytämme ip.dst -osaa sieppaussuodattimena seuraavasti:
ip.dst==192.168.0.10&&http
Jos haluat yhdistää vinkit # 2 ja # 3, voit käyttää suodatussäännössä ip.addr -kohtaa ip.src - tai ip.dst -kohdan sijaan.
VINKKI # 4 - Seuraa Apache- ja MySQL-verkkoliikennettä
Joskus olet kiinnostunut tarkastamaan liikenteen, joka vastaa jompaa kumpaa (tai molempia) ehtoja. Esimerkiksi TCP-porttien 80 (verkkopalvelin) ja 3306 (MySQL/MariaDB-tietokantapalvelin) liikenteen seuraamiseksi voit käyttää sieppaussuodattimessa ehtoa OR :
tcp.port==80||tcp.port==3306
Vinkeissä # 2 ja # 3 || ja sana tai tuottavat samat tulokset. Sama && ja sanan kanssa.
VIHJE # 5 - Hylkää paketit annettuun IP-osoitteeseen
Jos haluat sulkea pois paketit, jotka eivät vastaa suodatussääntöä, käytä ! ja liitä sääntö sulkeisiin. Voit esimerkiksi sulkea pois paketit, jotka ovat peräisin tai jotka on suunnattu tietystä IP-osoitteesta, käyttämällä:
!(ip.addr == 192.168.0.10)
VINKKI # 6 - Paikallisverkkoliikenteen seuraaminen (192.168.0.0/24)
Seuraava suodatussääntö näyttää vain paikallisen liikenteen ja sulkee pois Internetiin menevät ja sieltä tulevat paketit:
ip.src==192.168.0.0/24 and ip.dst==192.168.0.0/24
VIHJE # 7 - Seuraa TCP-keskustelun sisältöä
Voit tarkistaa TCP-keskustelun sisällön (tiedonvaihto) napsauttamalla hiiren kakkospainikkeella tiettyä pakettia ja valitsemalla Seuraa TCP-virtaa. Ikkuna avautuu keskustelun sisällön kanssa.
Tämä sisältää HTTP-otsikot, jos tarkastamme verkkoliikennettä, ja myös kaikki prosessin aikana mahdollisesti lähetetyt pelkkätekstiset tunnistetiedot.
VINKKI # 8 - Muokkaa värisääntöjä
Nyt olet varma, että olet jo huomannut, että sieppausikkunan kukin rivi on värillinen. Oletusarvoisesti HTTP-liikenne näkyy vihreällä taustalla mustalla tekstillä, kun taas tarkistussummavirheet näkyvät punaisella mustalla taustalla.
Jos haluat muuttaa näitä asetuksia, napsauta Muokkaa värisääntöjä -kuvaketta, valitse annettu suodatin ja napsauta Muokkaa.
VINKKI # 9 - Tallenna sieppaus tiedostoon
Sieppauksen sisällön tallentaminen antaa meille mahdollisuuden tarkastaa se yksityiskohtaisemmin. Voit tehdä tämän valitsemalla Tiedosto → Vie ja valitsemalla vientimuoto luettelosta:
VINKKI # 10 - Harjoittele kaappaavanäytteiden kanssa
Jos verkko on mielestäsi "tylsä", Wireshark tarjoaa sarjan näytteenottotiedostoja, joiden avulla voit harjoitella ja oppia. Voit ladata nämä SampleCaptures-tiedostot ja tuoda ne Tiedosto → Tuo-valikosta.
Wireshark on ilmainen ja avoimen lähdekoodin ohjelmisto, kuten näet virallisen verkkosivuston UKK-osiossa. Voit määrittää sieppaussuodattimen joko ennen tarkastuksen aloittamista tai sen jälkeen.
Jos et huomannut, suodattimessa on automaattisen täydennyksen ominaisuus, jonka avulla voit etsiä helposti eniten käytettyjä vaihtoehtoja, joita voit myöhemmin mukauttaa. Sen kanssa taivas on raja!
Kuten aina, älä epäröi pudottaa meille riviä alla olevan kommenttilomakkeen avulla, jos sinulla on kysyttävää tai huomautuksia tästä artikkelista.