Innholdsfortegnelse
Wireshark, et sanntids nettverksanalyseverktøy, fanger opp pakker og protokoller i sanntid og viser dem i grafisk og oppført format.Wireshark er en analysator av pakker som sirkulerer på et nettverk, denne programvaren kan kjøres på Linux, Windows, OS X, Solaris.
Vi kan laste ned programvaren fra den offisielle Wireshark -siden, hvis vi vil installere den på Linux, kommer den allerede i lagrene.
Siden Windows er installert som ethvert program, vil vi i denne opplæringen installere for Linux, fra terminalvinduet skriver vi følgende kommandoer:
sudo apt-get install wiresharkHvis du vil installere den på en server og administrere programvaren i tekstform, har vi muligheten til å installere den i tekstmodus og programvaren heter Tshark. For å installere det fra et terminalvindu skriver vi følgende kommandoer:
sudo apt-get install tsharkDeretter må vi utføre Wireshark med administratorrettigheter siden den må ha tillatelser for å få tilgang til nettverket og for å kunne overvåke pakkene vi angir. I vårt tilfelle, for å starte enten fra menyen eller fra terminalen, bruker vi følgende kommando:
gksudo wiresharkDette vil be oss om brukernavn og passord for å få tilgang i administrator- eller rotmodus.
Når vi starter kan vi se en liste over grensesnitt som er tilgjengelige nettverk, i eksempelet har vi et wifi -nettverk wlan0 og ethernet eth0, der kan vi velge hvilket nettverk eller grensesnitt vi vil analysere.
Under listen over grensesnitt har vi Capture Options eller Capture Options. Alternativene inkluderer analyse i promiskuøs modus og fangstmodus, etc.Innen fangstalternativene kan vi konfigurere hvilke protokoller og tjenester som skal overvåkes for å se hvilke prosesser og plattformer som mottar og sender data i nettverket.
Lag et sporingsfilter
I filtreringslinjen kan vi konfigurere hvilken type overvåking vi vil utføre, for eksempel velger vi eth0 i listen over grensesnitt og trykker Start, et vindu åpnes og vi vil se hvordan programvaren fanger alle pakkene, for en bruker det er mange. Programvaren fanger opp mange protokoller, inkludert systemprotokoller, det vil si interne meldinger fra enheter og operativsystemer.
For eksempel trykker vi på Filter og deretter velger vi HTTP, så vi filtrerer trafikken bare fra http -protokollen, det vil si websider forespørsler gjennom port 80.
Vi åpner nettleseren og Google Solvetic.com -nettstedet, Wireshark vil vise oss http- og tcp -dataene som produseres for å opprette tilkoblingen når vi ser tcp- og http -protokollene som brukes for søket og deretter vise nettet.
Her kan vi se forespørslene. Innen http -filteret kan vi se forskjellige protokollalternativer som forespørsler, svar osv. Ved å bruke http.request -filteret er det mulig å få alle forespørsler og svar mottatt med GET og POST som utføres i nettleseren eller på alle datamaskinene i nettverket, og analysere forespørslene vi kan oppdage mulige ondsinnede aktiviteter.
Deretter skal vi analysere de fangede dataene, når vi klikker på hvert fanget element, vil vi se informasjon om datapakken, rammefeltet som identifiserer størrelsen på den fangede pakken, tiden det tok, når den ble sendt og gjennom hvilken grensesnitt.
Ethernet II -feltet tilhører dataene som genereres i datalinklaget hvis vi ser OSI -modell, her har vi opprinnelse og destinasjon, IP -adressene, mac -adressene og typen protokoll som brukes.
Internet Protocol -feltet viser oss IP -datagrammet med IP -adressene, Transmission Control Protocol eller TPC -feltet er den som fullfører TCP / IP -overføringsprotokollen. Deretter har vi HTTP -overskriftene der vi mottar gjengitte data fra webkommunikasjonen.
Vi vil se et eksempel der vi konfigurerer for å fange alle nettverk og tilkoblinger, når vi viser listen vi filtrerer og ser etter pop -tilkoblinger, det vil si innkommende e -post.
Vi ser at POP -tilkoblingene alle er til en IP som er til en VPS der postkontoene er, så den kommuniserer der.
Hvis vi sender noen e -postmeldinger og deretter filtrerer etter smtp -protokoll, ser vi alle meldingene som er sendt fra serveren eller hver datamaskin på nettverket med sin respektive IP fra hvor den ble sendt og hvor den ble sendt, vi kan alltid bruke web -http: //www.tcpiputils. com, for å bestemme dataene til en bestemt IP.
Et annet filter som vi kan bruke er DNS -filteret for å kunne se hvilke DNS som konsulteres som genererer trafikk.
I dette tilfellet gjorde vi flere søk, og vi kan se DNS til Google, Google maps, Google fonts, addons.mozilla og en DNS til en Facebook -chat. Vi skal bekrefte IP -adressen.
Vi oppdager at en datamaskin på nettverket vårt er koblet til Facebook -chatten, og vi vet nøyaktig hvilken tid den var tilkoblet.
Deretter skal vi holde oversikt over forespørsler til en Mysql -server. Nettverksadministratorer har normalt ikke en logg med forespørsler som er opprettet i en database, men ved hjelp av Wireshark kan du holde oversikt over alle søk og lagre denne loggen og vise en oppføring som en spørringslogg. For å filtrere mysql -pakker må vi bruke Mysql -filteret eller mysql.query hvis vi bare vil se SELECTs eller en bestemt setning.
Vi skal prøve å stille noen spørsmål til den lokale databaseserveren og bruke Sakila -testdatabasen som er gratis og åpen kildekode, en database som vi brukte i MySQL -opplæringskombinasjonene med Inner Join.
Vi utfører en SQL -spørring, og Wireshark registrerer hver spørring, kilde -IP -adressen til spørringen, destinasjons -IP -en, sql -spørringen, brukeren som logget inn.
Også hvis vi ser en av pakkene, forteller den oss at den var tilgjengelig med en programvare som heter Heidisql.exe og det er et usikkert eller mistenkelig program.
Selv om det er mulig å administrere eksterne databaser med denne programvaren, er det ikke den mest anbefalte siden det ville være nødvendig å tillate eksterne tilkoblinger til serveren.
Filtre Wireshark De er mange og dekker alle protokollene i et nettverk og også de mest populære nettstedsprotokollene.
Etter hvert som pakker blir fanget opp, kan vi analysere hva som skjer med nettverkstrafikken, vi må bare klikke på pakken vi vil analysere for å vise oss dataene.
Hvis vi bruker et HTTP-filter på en POST-pakke og klikker på høyre knapp på pakken, og deretter i rullegardinmenyen velger vi alternativet Følg TCP Stream eller Følg TCP Flow, dette betyr å se alt som produseres når du lager et web forespørsel til serveren.
Som et resultat får vi alle kode- og html -transaksjoner som utføres i forespørselen. Hvis brukeren angir et passord for å få tilgang til et nettsted, kan vi via denne metoden se passordet og brukeren jeg bruker.
Tatt i betraktning at Wireshark overvåker et stort antall protokoller og tjenester i et nettverk og alle pakkene som går inn og ut, kan risikoen for en feil i analysatorkoden sette sikkerheten til nettverket i fare hvis vi ikke vet hva som er skjer med hver pakke, så det er viktig å vite hvordan vi skal tolke informasjonen som Wireshark gir oss riktig.Likte og hjalp du denne opplæringen?Du kan belønne forfatteren ved å trykke på denne knappen for å gi ham et positivt poeng