Denne gangen vil vi snakke om en av nettverksanalysatorer de vanligste som eksisterer for øyeblikket, Wireshark Network Analyzer, som har mer enn 500 000 nedlastinger per måned, og derfor viser effektivitet, tillit og støtte når de analyserer en nettverksinfrastruktur.
Innen Wireshark -funksjoner vi kan markere følgende:
- Tilgjengelig for Windows og Unix -systemer.
- Vi kan filtrere pakker i henhold til fastsatte kriterier.
- Det er mulig å ta øyeblikksbilder av pakker på et nettverksgrensesnitt.
- Det er mulig å importere pakker i tekstformat.
- Vi kan søke etter pakker ved hjelp av en rekke kriterier.
- Lar deg lage statistikk, blant andre.
Til kjøre Wireshark i Windows -miljøer vi trenger følgende krav:
- 400 MB RAM
- Kjører på hvilken som helst versjon av Windows på både server- og skrivebordsnivå
- 300 MB plass på harddisken
For UNIX -miljøer kan Wireshark jobbe på følgende plattformer:
- Debian
- Apple OS X
- FreeBSD
- Sol solaris
- Mandriva Linux, blant andre.
Før vi begynner på hvordan Wireshark fungerer, la oss huske noen begreper om nettverk, siden alt dette er nedsenket i denne verden. La oss huske at hovedfunksjonen til nettverk er å tillate dataoverføring mellom to eller flere enheter og alt dette takket være et felles arbeid mellom maskinvare og programvare.
Utformingen av et nettverk kan struktureres på to måter:
- Klient server
- Peer to peer
Wireshark ble designet for å vise informasjonen mellom lag 2 til 7 i OSI -modellen. Med Wireshark vil vi kunne utføre live overvåking av organisasjonens nettverkstrafikk, slik at vi kan fastslå problemer, utføre analyser og noen få andre oppgaver som tillater riktig funksjon av nettverksmiljøet. Som sådan kan vi konkludere med det Wireshark er en pakkeanalysator.
For denne studien skal vi bruke et Windows 7. miljø. Når vi har lastet ned Wireshark, fortsetter vi installasjonen som følger:
1. Last ned og installer Wireshark
Wireshark -programvaren kan lastes ned fra følgende lenke:
Der finner vi de kompatible nedlastingsfilene for systemene:
- Windows
- MAC
- Linux
Vi kjører filen for å installere den, og prosessen starter. Vi aksepterer. Vi klikker på knappen jeg er enig For å godta lisensvilkårene må vi velge komponentene for å installere Wireshark når dette er gjort.
Vi klikker videre Neste og vi kan velge om vi skal legge til snarveisikonene eller ikke, og forresten bestemme filtypene som er knyttet til Wireshark. Hvor blir Wireshark installert. Deretter forteller verktøyet oss om vi vil installere eller ikke WinPcap (dette er nødvendig for live pakkeopptak), vi velger boksen, som standard er den, og klikker på Neste.
Deretter kan vi velge om vi skal installere verktøyet eller ikke USB -kap, er gjør at USB -trafikk kan fanges opp, det mest tilrådelige er å installere det, vi markerer boksen og klikker på Installere for å starte installasjonsprosessen.
Når den er ferdig, vi vil allerede ha installert vår Wireshark Network Analyzer -applikasjon klar til å gå. Nå i lnos blir vi kjent med bruken og tarmene til denne flotte applikasjonen.
2. Hvordan bruke Wireshark
Vi vil se at pakkeopptakene vi må gjøre er basert på en lokal tilkobling, andre typer tilkoblinger kan vises som Wi Fi, Bluetooth, etc. Ved å dobbeltklikke på grensesnittet vårt vil vi se at all nåværende trafikk vises:
Ved å klikke på ikonet Vi kan redigere alle alternativene i nettverket vårt, la oss se hvilket vindu som viser oss når vi trykker på dette ikonet:
FORSTØRRE
Vi kan se at vi har den nåværende IP -adressen til systemet, bufferstørrelsen, etc. På fanen Alternativer Vi har alternativer som vi kan velge, for eksempel oppdatering av pakker i sanntid, løsning av nettverksnavn, blant andre.
Når vi har gjort endringene, vil vi trykke Start. Det skal bemerkes at vi i dette alternativet konfigurerer de viktigste egenskapene til Wireshark, for eksempel aktiver promiskuøs modus (aktiver alle pakker) eller begrense pakkestørrelsen for fangst. La oss ta en titt på Wireshark -miljøet litt.
I den første raden, før vi blir litt kjent med menyen, ser vi følgende:
Denne linjen består av følgende:
- Antall: Identifiser det interne nummeret til prosessen.
- Tid: Tilkoblingstid mellom opprinnelse og destinasjon
- Kilde: Kilde -IP
- Mål: Destinasjons -IP
- Protokoll: Protokoll som brukes for overføring
- Lengde: Pakkestørrelse
- Info: Tilleggsinformasjon om destinasjonen
Hvis vi vil lagre det gjeldende arbeidet, kan vi gjøre det via Fil -menyen, Lagre eller Lagre som. For å åpne denne filen bruker vi alternativet Åpne i Fil -menyen.
Som vi ser i pakke analysator vi har mye informasjon, for eksempel hvis vi går gjennom Protokollkolonne Vi vil se at det er ARP, HTTP, TCP protokoller blant andre, hvis vi bare vil se TCP protokollene vil vi bruke filteret, for dette skriver vi inn begrepet TCP i boksen "Bruk et visningsfilter" plassert øverst og vi gir Enter eller trykk på Apply this filter -knappen, vil vi se at i Protocol -kolonnen er det bare TCP -protokoller.
FORSTØRRE
FORSTØRRE
Vi kan eksportere dataene våre til forskjellige typer format for en bedre analyse, disse kan eksporteres til HTTP, SMB, TFTP, etc. For å utføre eksporten går vi til Fil -menyen og velger Eksporter objekter, velger vi alternativet HTTP.
Dette er resultatet av vår eksport:
La oss ta en titt på de forskjellige menylinjealternativene i Wireshark.
Fil> Fil
I denne menyen finner vi grunnleggende alternativer som åpne, lagre, eksportere, skrive ut, blant andre. Vi har nettopp observert prosessen med å eksportere en fil.
Rediger> Rediger
Fra denne menyen kan vi utføre oppgaver som kopiering, finne pakker, etablere kommentarer, etc. Vi skal gå gjennom noen av disse alternativene i detalj.
For eksempel hvis vi vil finne alle DNS -pakker i rammen, vil vi åpne Finn alternativ og vi vil skrive inn ordet DNS, eller vi kan bruke kombinasjonen CTRL + F:
FORSTØRRE
Vi kan se at alle DNS -pakker er uthevet. For å legge til en kommentar bruker vi Pakkekommentar.
Vi vil se det gjenspeiles i hovedmenyen:
FORSTØRRE
Vis> Vis
Fra dette alternativet kan vi definere visningstyper som Wireshark vil ha, samt definere tidsformat, størrelsen på kolonnene, fargereglene, etc.
Vi kan kjøre Alternativet Fargelegge regler for å bestemme, og hvis vi vil redigere, fargene som er tildelt for de forskjellige protokollene.
Hvis du vil opprette en ny protokoll, klikker du bare på +, definerer navn og farge og trykker OK.
Capture> Capture
Med dette alternativet kan vi starte, stoppe eller starte pakkefangst på nytt
I Alternativet Capture Filters vi kan definere parametrene for fangst.
Analyser> Analyse
Innenfor denne menyen kan vi lage filtre, redigere filtre, aktivere eller deaktivere protokoller, blant andre oppgaver.
Vi kan distribuere Alternativet Vis filtre å observere, og om nødvendig endre, gjeldende filtre.
Hvis vi vil legge til flere filtre, trykker vi på + -knappen, hvis vi vil fjerne et filter, trykker vi på - -knappen. Vi kan analysere den komplette listen over alle aktiverte protokoller ved å bruke alternativet Aktiverte protokoller eller ved hjelp av tastekombinasjonen:
Ctrl + Shift + E.
FORSTØRRE
Der observerer vi protokollen og dens beskrivelse.
Statistikk> Statistikk
Det er kanskje en av de mest komplette menyene siden vi derfra kan lage rapporter, grafer og andre verktøy for å se pakkenes status.
Som vi kan se, har vi flere alternativer for å se statistikken, for eksempel skal vi lage en input- og output -graf I / O -graf.
I grafen kan vi lage innstillinger som fargen på linjen, frekvensintervallet, spesifikk dag, etc. Hvis vi velger alternativet Capture File Properties Vi vil se egenskapene til fangefilene, for eksempel størrelsen, typen kryptering, den første og den siste pakken, blant andre detaljer.
Hvis du velger alternativet IPv4 -statistikk og vi velger Alle adresser Vi vil se følgende detaljerte rapport:
Hvis vi vil se oppførselen til TCP -streaming vi kan bruke alternativet TCP -strømgrafer og velg typen graf, ser vi følgende:
I Skriv hurtigfanen vi kan endre typen graf. Med opsjon Protokollhierarki Vi kan se detaljert pakkene som er sendt, størrelsen osv.
Telefoni> Telefoni
I dette alternativet kan vi analysere alt relatert til protokollene knyttet til telefonmidlene (Når vi bruker dette middelet), kan vi se informasjon som:
- UCP -meldinger
- ISUP -meldinger
- SIP -statistikk, etc.
Vi kan åpne noen av disse alternativene, men siden vi ikke jobber med telefonprotokoller vil resultatet være null (0).
Trådløst
I denne menyen finner vi informasjon relatert til Trådløse enheter paret med Wireshark (for eksempel når vi jobber med en bærbar datamaskin, mobil osv.)
Som i denne studien jobber vi mer med LAN -nettverket (ikke med WiFi). Alle alternativene i denne menyen vil vises som null eller tomme.
Verktøy> Verktøy
I denne menyen finner vi alt som er relatert til LUA -app, dette er en konsoll som lar utviklere lage skript for å forbedre eller utvide applikasjoner.
Hjelp> Hjelp
Fra denne menyen kan vi få tilgang til Wireshark -hjelp, se skjermbilder om hvordan du kjører den, få tilgang til selskapets nettsted, blant andre. Vi kan innse det med alternativet Om Wireshark Vi kan se hurtigtastene som er inkludert i den, dette kan hjelpe oss med å få fart på visse prosesser.
For eksempel, når vi bruker filtre, må vi huske på at vi kan bruke noen parametere som:
- Lik: eq eller ==
- Ikke det samme: ne eller! =
- Større enn: gt eller>
- Mindre enn: Det eller <
- Større enn eller lik: ge eller> =
- Mindre enn eller lik: ham eller <=
Vi kan kjøre et søk ved å bruke følgende syntaks:
tcp inneholder "solvetic.com"Når det gjelder protokollene, kan vi nevne at følgende er de vanligste og med noen av deres tillegg:
- ssl > SSL (Socket Secure Layer) -protokoll.
- telnet > Telnet.
- dns > DNS. (Domenenavn system)
- msnms > Instant Messaging (Messenger).
- ftp > FTP -protokoll (vi kunne se brukernavn og passord).
- ftp-data > Gjør det mulig å se FTP -protokolldata.
- ip > IP -protokoll.
- ip.src == 192.168.1.10 > Kilde -IP -adresse.
- ip.dst == 192.168.1.30 > Destinasjonens IP -adresse.
- tcp > TCP -protokoll
- tcp.port == 80 > Vi angir pakkene med ønsket port.
- tcp.srcport == 80 > Vi angir opprinnelseshavnen.
- tcp.dstport == 80 > Vi angir destinasjonsporten.
- http > HTTP -protokoll
- http.host == ”www.solvetic.com” > Vi ønsker å se pakkene som har Solvetic som vert.
- http.date == "Ons, 25. mai 2016 17:08:35 GMT" > Pakker angående en dato
- http.content_type == ”application / json” > Søknadstypen kan variere
- http.content_type == ”image / png” > PNG -bilder
- http.content_type == ”image / gif.webp” > GIF.webp -bilder
- http.content_type == ”image / jpeg.webp” > JPEG.webp -bilder
- http.content_type == ”tekst / html” > HTML -filer
- http.content_type == "tekst / css" > CSS -stilark
- http.content_type == ”video / quicktime” > Videoer
- http.content_type == ”application / zip” > ZIP -filer
- http.request.method == ”GET” > FÅ forespørselstype
- http.request.method == ”POST” > Type etter forespørsel
- http.user_agent inneholder "Mozilla" > Mozilla nettleser
- http.request.uri matcher "[0-9]" > Bruk av vanlige uttrykk.
Vi kan se det store omfanget vi har med Wireshark for å overvåke pakketrafikken vår, et enkelt eksempel å fullføre, vi åpner nettstedet Solvetic.
Vi kan se i Wireshark (Filtrering etter DNS) spørringen vi nettopp har gjort (Åpne Solvetic -nettsiden).
FORSTØRRE
Hvis vi dobbeltklikker på den raden, kan vi se mer detaljert informasjon om ruten:
Vi vil kunne se detaljer som grensesnitt -ID, omtrentlig ankomsttid for forespørselen, typen nettverkskort med både opprinnelse og destinasjon, etc.
Vi ser at vi har til rådighet et veldig verdifullt (og gratis) verktøy som lar oss som administratorer utføre konstant overvåking av all nettverkstrafikk å garantere kommunikasjonskvaliteten og riktig og sikker levering av all informasjon.
Fix DNS på Windows, Linux og Mac