10 patarimų, kaip naudoti „Wireshark“, norint analizuoti tinklo paketus
Bet kuriame paketiniu komutuojamame tinkle paketai reiškia duomenų vienetus, kurie perduodami tarp kompiuterių. Tinklo inžinieriai ir sistemos administratoriai yra atsakingi už paketų stebėjimą ir tikrinimą saugos ir trikčių šalinimo tikslais.
Norėdami tai padaryti, jie remiasi programinės įrangos programomis, vadinamomis srauto stebėjimu realiuoju laiku, bet taip pat išsaugo ją faile, kad būtų galima vėliau patikrinti.
Susijęs skaitymas: Geriausi „Linux“ pralaidumo stebėjimo įrankiai tinklo naudojimui analizuoti
Šiame straipsnyje mes pasidalinsime 10 patarimų, kaip naudoti „Wireshark“, norint analizuoti paketus jūsų tinkle, ir tikimės, kad pasiekę „Santraukos“ skyrių pajusite norą juos pridėti prie savo žymių.
„Wireshark“ diegimas „Linux“
Norėdami įdiegti „Wireshark“, pasirinkite savo operacinei sistemai/architektūrai tinkamą diegimo programą iš https://www.wireshark.org/download.html.
Visų pirma, jei naudojate „Linux“, „Wireshark“ turi būti prieinamas tiesiai iš jūsų platinimo saugyklų, kad būtų patogiau įdiegti jums patogiu laiku. Nors versijos gali skirtis, parinktys ir meniu turėtų būti panašūs - jei ne vienodi kiekviename.
------------ On Debian/Ubuntu based Distros ------------ $ sudo apt-get install wireshark ------------ On CentOS/RHEL based Distros ------------ $ sudo yum install wireshark ------------ On Fedora 22+ Releases ------------ $ sudo dnf install wireshark
Yra žinoma „Debian“ klaida ir išvestinės priemonės, kurios gali neleisti išvardyti tinklo sąsajų, nebent jūs įrašote šį įrašą.
Kai „Wireshark“ veikia, „Capture“ skiltyje galite pasirinkti tinklo sąsają, kurią norite stebėti:
Šiame straipsnyje naudosime eth0 , tačiau, jei norite, galite pasirinkti kitą. Dar nespauskite ant sąsajos - tai padarysime vėliau, kai peržiūrėsime keletą fiksavimo parinkčių.
Naudingiausios fiksavimo parinktys, kurias mes apsvarstysime:
- Tinklo sąsaja - kaip paaiškinome anksčiau, analizuosime tik paketus, gaunamus per eth0, gaunamus arba siunčiamus.
- Užfiksuoti filtrą - ši parinktis leidžia mums nurodyti, kokį srautą norime stebėti pagal prievadą, protokolą ar tipą.
Prieš tęsdami patarimus, svarbu pažymėti, kad kai kurios organizacijos draudžia naudoti „Wireshark“ savo tinkluose. Jei nenaudojate „Wireshark“ asmeniniams tikslams, įsitikinkite, kad jūsų organizacija leidžia jį naudoti.
Kol kas tiesiog išskleidžiamajame sąraše pasirinkite eth0 ir spustelėkite mygtuką Pradėti. Jūs pradėsite matyti visą srautą, einantį per tą sąsają. Nėra tikrai naudinga stebėjimo tikslais dėl didelio patikrintų paketų kiekio, tačiau tai pradžia.
Ankstesniame paveikslėlyje taip pat galime pamatyti piktogramas, kuriose pateikiamos galimų sąsajų sąrašas, sustabdomas dabartinis fiksavimas ir perkraunama (raudona dėžutė kairėje) ir konfigūruojamas bei redaguojamas filtras (raudonas langelis dešinėje). Užvedus pelės žymeklį virš vienos iš šių piktogramų, bus parodytas patarimas, nurodantis, ką jis daro.
Pradėsime iliustruoti fiksavimo parinktis, o patarimuose Nr. 7–10 bus aptariama, kaip iš tikrųjų padaryti ką nors naudingo sugaunant.
1 PATARIMAS - patikrinkite HTTP srautą
Filtro laukelyje įveskite http ir spustelėkite Apply. Paleiskite naršyklę ir eikite į bet kurią norimą svetainę:
Norėdami pradėti kiekvieną paskesnį patarimą, sustabdykite tiesioginį fiksavimą ir redaguokite fiksavimo filtrą.
2 PATARIMAS - patikrinkite HTTP srautą iš nurodyto IP adreso
Šiame konkrečiame patarime mes pries ip == 192.168.0.10 && prie filtro posmo, kad galėtume stebėti HTTP srautą tarp vietinio kompiuterio ir 192.168.0.10:
3 PATARIMAS - patikrinkite HTTP srautą į nurodytą IP adresą
Šiuo atveju glaudžiai susijęs su Nr. 2, tokiu atveju kaip fiksavimo filtrą naudosime ip.dst :
ip.dst==192.168.0.10&&http
Norėdami sujungti 2 ir 3 patarimus, filtro taisyklėje galite naudoti ip.addr , o ne ip.src arba ip.dst .
4 PATARIMAS - stebėkite „Apache“ ir „MySQL“ tinklo srautus
Kartais jums bus įdomu patikrinti eismą, kuris atitiktų bet kurią (arba abi) sąlygas. Pavyzdžiui, norėdami stebėti srautą TCP prievaduose 80 (žiniatinklio serveris) ir 3306 („MySQL/MariaDB“ duomenų bazės serveris), fiksavimo filtre galite naudoti sąlygą OR :
tcp.port==80||tcp.port==3306
2 ir 3 patarimuose || ir žodis arba duoda tuos pačius rezultatus. Tas pats su && ir žodžiu ir.
PATARIMAS Nr. 5 - atmeskite paketus į nurodytą IP adresą
Norėdami išskirti filtro taisyklei neatitinkančius paketus, naudokite ! ir įtraukite taisyklę skliausteliuose. Pvz., Norėdami išskirti paketus, gautus iš nurodyto IP adreso arba nukreiptus į juos, galite naudoti:
!(ip.addr == 192.168.0.10)
6 PATARIMAS - Stebėkite vietinio tinklo srautą (192.168.0.0/24)
Ši filtro taisyklė parodys tik vietinį srautą ir išskirs paketus, einančius į internetą ir iš jo:
ip.src==192.168.0.0/24 and ip.dst==192.168.0.0/24
7 PATARIMAS - stebėkite TCP pokalbio turinį
Norėdami patikrinti TCP pokalbio (keitimosi duomenimis) turinį, dešiniuoju pelės mygtuku spustelėkite nurodytą paketą ir pasirinkite Stebėti TCP srautą. Iššoks langas su pokalbio turiniu.
Tai apims HTTP antraštes, jei tikriname žiniatinklio srautą, taip pat visus paprasto teksto kredencialus, perduodamus proceso metu, jei tokių yra.
PATARIMAS Nr. 8 - redaguoti spalvinimo taisykles
Dabar jau esu įsitikinęs, kad kiekviena fiksavimo lango eilutė yra spalvota. Pagal numatytuosius nustatymus HTTP srautas rodomas žaliame fone su juodu tekstu, o kontrolinės sumos klaidos rodomos raudonu tekstu su juodu fonu.
Jei norite pakeisti šiuos nustatymus, spustelėkite piktogramą Redaguoti spalvinimo taisykles, pasirinkite nurodytą filtrą ir spustelėkite Redaguoti.
PATARIMAS Nr. 9 - išsaugokite fiksavimą faile
Išsaugoję užfiksavimo turinį, galėsime jį išsamiau apžiūrėti. Norėdami tai padaryti, eikite į Failas → Eksportuoti ir sąraše pasirinkite eksportavimo formatą:
PATARIMAS Nr. 10 - praktika su fiksavimo mėginiais
Jei manote, kad jūsų tinklas yra „nuobodus“, „Wireshark“ pateikia rinkinių rinkimo pavyzdžių rinkinius, kuriuos galite naudoti praktikai ir mokytis. Šiuos „SampleCaptures“ galite atsisiųsti ir importuoti naudodami meniu Failas → Importuoti.
„Wireshark“ yra nemokama ir atviro kodo programinė įranga, kaip matote oficialios svetainės DUK skiltyje. Užfiksavimo filtrą galite sukonfigūruoti prieš arba po patikrinimo pradžios.
Jei nepastebėjote, filtras turi automatinio užbaigimo funkciją, leidžiančią lengvai ieškoti dažniausiai naudojamų parinkčių, kurias vėliau galėsite pritaikyti. Tuo dangus yra riba!
Kaip visada, nedvejodami nuleiskite mums eilutę naudodami toliau pateiktą komentarų formą, jei turite klausimų ar pastebėjimų apie šį straipsnį.