10 padomi, kā izmantot Wireshark, lai analizētu paketes tīklā


Jebkurā pakešu komutācijas tīklā paketes ir datu vienības, kas tiek pārraidītas starp datoriem. Tīkla inženieru un sistēmu administratoru pienākums ir uzraudzīt un pārbaudīt paketes drošības un problēmu novēršanas nolūkos.

Lai to izdarītu, viņi paļaujas uz programmatūru, ko sauc par trafika monitorēšanu reāllaikā, bet arī lai to saglabātu failā vēlākai pārbaudei.

Saistīts lasījums: Labākie Linux joslas platuma uzraudzības rīki, lai analizētu tīkla lietojumu

Šajā rakstā mēs dalīsimies ar 10 padomiem, kā izmantot Wireshark, lai analizētu paketes tīklā, un ceram, ka, sasniedzot sadaļu Kopsavilkums, jūs jutīsities tieksme to pievienot savām grāmatzīmēm.

Wireshark instalēšana Linux

Lai instalētu Wireshark, vietnē https://www.wireshark.org/download.html atlasiet savai operētājsistēmai/arhitektūrai piemērotu instalēšanas programmu.

It īpaši, ja izmantojat Linux, Wireshark jābūt pieejamam tieši no jūsu izplatīšanas krātuvēm, lai ērtāk instalētu jums ērtāk. Lai gan versijas var atšķirties, opcijām un izvēlnēm jābūt līdzīgām - ja ne katrā.

------------ On Debian/Ubuntu based Distros ------------ 
$ sudo apt-get install wireshark

------------ On CentOS/RHEL based Distros ------------
$ sudo yum install wireshark

------------ On Fedora 22+ Releases ------------
$ sudo dnf install wireshark

Debianā un tā atvasinājumos ir zināma kļūda, kas, iespējams, neļauj ierakstīt tīkla saskarnes, ja vien jūs nepublicējat šo ziņu.

Kad Wireshark darbojas, sadaļā Capture varat atlasīt tīkla saskarni, kuru vēlaties uzraudzīt:

Šajā rakstā mēs izmantosim eth0 , taču, ja vēlaties, varat izvēlēties citu. Vēl neklikšķiniet uz saskarnes - mēs to darīsim vēlāk, kad būsim pārskatījuši dažas tveršanas iespējas.

Visnoderīgākās uzņemšanas iespējas, kuras mēs apsvērsim, ir:

  1. Tīkla saskarne - kā jau iepriekš skaidrojām, mēs analizēsim tikai paketes, kas ienāk caur eth0, ienākošās vai izejošās.
  2. Uztveršanas filtrs - šī opcija ļauj mums norādīt, kāda veida trafiku mēs vēlamies uzraudzīt, pēc porta, protokola vai veida.

Pirms mēs turpinām padomus, ir svarīgi atzīmēt, ka dažas organizācijas aizliedz Wireshark izmantošanu savos tīklos. Tas nozīmē, ka, ja jūs neizmantojat Wireshark personiskiem mērķiem, pārliecinieties, vai jūsu organizācija atļauj to izmantot.

Pagaidām nolaižamajā sarakstā vienkārši atlasiet eth0 un pogā noklikšķiniet uz Sākt. Jūs sāksit redzēt visu satiksmi, kas iet caur šo saskarni. Nav īsti noderīgs uzraudzības vajadzībām lielā pārbaudīto pakešu daudzuma dēļ, taču tas ir sākums.

Iepriekš redzamajā attēlā mēs varam redzēt arī ikonas, lai uzskaitītu pieejamās saskarnes, apturētu pašreizējo uztveršanu un restartētu to (sarkanā lodziņš kreisajā pusē) un konfigurētu un rediģētu filtru (sarkans lodziņš labajā pusē). Pārvietojot kursoru virs vienas no šīm ikonām, tiks parādīts rīka padoms, kas norāda, ko tā dara.

Mēs sāksim ilustrēt tveršanas iespējas, savukārt no 7. līdz 10. padomam tiks apspriests, kā faktiski izdarīt kaut ko noderīgu ar tveršanu.

1. PADOMS - pārbaudiet HTTP trafiku

Filtra lodziņā ierakstiet http un noklikšķiniet uz Apply. Palaidiet pārlūkprogrammu un dodieties uz jebkuru vietni, kuru vēlaties:

Lai sāktu katru nākamo padomu, pārtrauciet tiešraides uzņemšanu un rediģējiet uzņemšanas filtru.

PADOMS # 2 - Pārbaudiet HTTP trafiku no norādītās IP adreses

Šajā konkrētajā padomā mēs ip == 192.168.0.10 && pievienosim filtra posmam, lai uzraudzītu HTTP trafiku starp vietējo datoru un 192.168.0.10:

PADOMS Nr. 3 - pārbaudiet HTTP trafiku uz noteiktu IP adresi

Šajā gadījumā, kas ir cieši saistīts ar # 2, mēs izmantosim ip.dst kā daļu no uztveršanas filtra šādi:

ip.dst==192.168.0.10&&http

Lai apvienotu 2. un 3. padomu, filtru noteikumā varat izmantot ip.addr , nevis ip.src vai ip.dst .

4. PADOMS - uzraugiet Apache un MySQL tīkla trafiku

Dažreiz jūs interesēs pārbaudīt satiksmi, kas atbilst jebkuram (vai abiem) apstākļiem. Piemēram, lai uzraudzītu trafiku TCP portos 80 (tīmekļa serveris) un 3306 (MySQL/MariaDB datu bāzes serveris), uztveršanas filtrā varat izmantot nosacījumu OR :

tcp.port==80||tcp.port==3306

2. un 3. padomā || un vārds vai dod tādus pašus rezultātus. Tas pats ar && un vārdu un.

PADOMS # 5 - Noraidiet paketes uz norādīto IP adresi

Lai izslēgtu filtru kārtulai neatbilstošās paketes, izmantojiet ! un iekavās pievienojiet kārtulu. Piemēram, lai izslēgtu pakas, kas nāk no norādītas IP adreses vai tiek novirzītas uz to, varat izmantot:

!(ip.addr == 192.168.0.10)

PADOMS # 6 - vietējā tīkla trafika novērošana (192.168.0.0/24)

Šis filtrēšanas noteikums parādīs tikai vietējo datplūsmu un izslēgs paketes, kas nonāk un nāk no interneta:

ip.src==192.168.0.0/24 and ip.dst==192.168.0.0/24

7. PADOMS - pārraugiet TCP sarunas saturu

Lai pārbaudītu TCP sarunas (datu apmaiņas) saturu, ar peles labo pogu noklikšķiniet uz konkrētās paketes un izvēlieties Sekot TCP straumei. Tiks parādīts logs ar sarunas saturu.

Tas ietver HTTP galvenes, ja mēs pārbaudām tīmekļa trafiku, kā arī visus teksta akreditācijas datus, kas pārsūtīti procesa laikā, ja tādi ir.

PADOMS # 8 - Rediģēt krāsošanas kārtulas

Tagad esmu pārliecināts, ka jūs jau pamanījāt, ka katra uzņemšanas loga rinda ir krāsaina. Pēc noklusējuma HTTP trafika parādās zaļā fonā ar melnu tekstu, savukārt kontrolsummas kļūdas tiek parādītas sarkanā tekstā ar melnu fonu.

Ja vēlaties mainīt šos iestatījumus, noklikšķiniet uz ikonas Rediģēt krāsošanas kārtulas, izvēlieties norādīto filtru un noklikšķiniet uz Rediģēt.

9. PADOMS. Saglabājiet tveršanu failā

Saglabājot uzņemšanas saturu, mēs varēsim to pārbaudīt sīkāk. Lai to izdarītu, dodieties uz Fails → Eksportēt un sarakstā izvēlieties eksportēšanas formātu:

PADOMS # 10 - praktizējiet ar tveršanas paraugiem

Ja jūs domājat, ka jūsu tīkls ir "garlaicīgs", Wireshark piedāvā virkni sagūstīšanas failu paraugu, kurus varat izmantot, lai praktizētu un mācītos. Šīs SampleCaptures var lejupielādēt un importēt, izmantojot izvēlni Fails → Importēt.

Wireshark ir bezmaksas un atvērtā koda programmatūra, kā redzat oficiālās vietnes sadaļā FAQ. Uzņemšanas filtru var konfigurēt pirms vai pēc pārbaudes uzsākšanas.

Ja nepamanījāt, filtram ir automātiskās pabeigšanas funkcija, kas ļauj ērti meklēt visbiežāk izmantotās opcijas, kuras vēlāk varat pielāgot. Ar to debesis ir robeža!

Kā vienmēr, nevilcinieties nomest mums rindiņu, izmantojot zemāk esošo komentāru veidlapu, ja jums ir kādi jautājumi vai novērojumi par šo rakstu.