Przechwytuj i analizuj ruch sieciowy za pomocą Wireshark

Spisie treści
Wireshark, narzędzie do analizy sieci w czasie rzeczywistym, przechwytuje pakiety i protokoły w czasie rzeczywistym i wyświetla je w formie graficznej i na liście.
Wireshark to analizator pakietów krążących w sieci, to oprogramowanie może być uruchamiane na systemach Linux, Windows, OS X, Solaris.
Oprogramowanie możemy pobrać z oficjalnej strony Wireshark, jeśli chcemy zainstalować je w systemie Linux, jest już dostępne w repozytoriach.

Ponieważ system Windows jest instalowany jak każdy program, w tym samouczku zainstalujemy dla systemu Linux, z okna terminala napiszemy następujące polecenia:
 sudo apt-get zainstaluj wireshark
Jeśli chcesz zainstalować go na serwerze i zarządzać oprogramowaniem w formie tekstowej, mamy możliwość zainstalowania go w trybie tekstowym, a oprogramowanie nazywa się Tshark. Aby zainstalować go z okna terminala, piszemy następujące polecenia:
 sudo apt-get zainstaluj tshark
Następnie będziemy musieli uruchomić Wireshark z uprawnieniami administratora, ponieważ będzie musiał mieć uprawnienia dostępu do sieci i być w stanie monitorować wskazane przez nas pakiety. W naszym przypadku, aby rozpocząć albo z menu, albo z terminala, użyjemy następującego polecenia:
 gksudo wireshark
To poprosi nas o nazwę użytkownika i hasło, aby uzyskać dostęp w trybie administratora lub roota.

Kiedy zaczynamy, widzimy listę interfejsów, które są dostępnymi sieciami, w przykładzie mamy sieć wifi wlan0 i ethernet eth0, tam możemy wybrać, którą sieć lub interfejsy chcemy analizować.

Poniżej listy interfejsów mamy opcje przechwytywania lub opcje przechwytywania. Opcje obejmują analizę w trybie swobodnym i trybie przechwytywania itp.
W ramach opcji przechwytywania możemy skonfigurować, które protokoły i usługi monitorować, aby zobaczyć, jakie procesy i platformy odbierają i wysyłają dane w sieci.

Utwórz filtr śledzenia


W pasku Filtry możemy skonfigurować rodzaj monitoringu jaki chcemy przeprowadzić, np. wybieramy eth0 na liście interfejsów i naciskamy Start, otworzy się okno i zobaczymy jak oprogramowanie przechwytuje wszystkie pakiety, dla użytkownika jest ich wiele. Oprogramowanie przechwytuje wiele protokołów, w tym systemowych, czyli wewnętrznych komunikatów z urządzeń i systemów operacyjnych.
Na przykład wciskamy Filter, a następnie wybieramy HTTP, więc filtrujemy ruch tylko z protokołu http, czyli zapytania stron internetowych przez port 80.
Otwieramy przeglądarkę i Google stronę Solvetic.com, Wireshark pokaże nam dane http i tcp, które są generowane w celu nawiązania połączenia, ponieważ widzimy, że protokoły tcp i http są używane do wyszukiwania, a następnie wyświetla sieć.

Tutaj możemy zobaczyć złożone prośby. W filtrze http możemy zobaczyć różne opcje protokołu, takie jak żądania, odpowiedzi itp. Stosując filtr http.request można uzyskać wszystkie żądania i odpowiedzi otrzymane za pomocą GET i POST, które są wykonywane w przeglądarce lub na wszystkich komputerach w sieci, analizując żądania możemy wykryć ewentualne złośliwe działania.
Następnie przeanalizujemy przechwycone dane, gdy klikniemy na każdy przechwycony element, zobaczymy informacje o pakiecie danych, pole Frame, które identyfikuje rozmiar przechwyconego pakietu, czas jaki zajęło, kiedy został wysłany i przez który interfejsy.
Pole Ethernet II należy do danych generowanych w warstwie łącza danych, jeśli widzimy Model OSI, tutaj mamy źródło i miejsce docelowe, adresy IP, adresy mac i typ używanego protokołu.
Pole Internet Protocol pokaże nam datagram IP z adresami IP, pole Transmission Control Protocol lub TPC to ten, który uzupełnia protokół transmisji TCP/IP. Następnie mamy nagłówki HTTP, w których otrzymujemy wyrenderowane dane z komunikacji internetowej.
Zobaczymy przykład, w którym konfigurujemy do przechwytywania wszystkich sieci i połączeń, podczas wyświetlania listy filtrujemy i szukamy połączeń pop, czyli poczty przychodzącej.

Widzimy, że wszystkie połączenia POP są do adresu IP, który jest do VPS, gdzie znajdują się konta pocztowe, więc się tam komunikuje.
Jeśli wyślemy kilka e-maili, a następnie przefiltrujemy według protokołu smtp, zobaczymy wszystkie wiadomości wysłane z serwera lub każdego komputera w sieci z odpowiednim IP, z którego została wysłana i gdzie została wysłana, zawsze możemy skorzystać z sieci http: //www.tcpiputils.com, aby określić dane konkretnego adresu IP.
Innym filtrem, który możemy zastosować, jest filtr DNS, aby móc zobaczyć, które DNS są konsultowane i generują ruch.

W tym przypadku przeprowadziliśmy kilka wyszukiwań i widzimy DNS Google, te z map Google, czcionki Google, addons.mozilla i DNS czatu na Facebooku, zamierzamy zweryfikować IP.

Wykrywamy, że komputer w naszej sieci jest podłączony do czatu na Facebooku i dokładnie wiemy, o której był połączony.
Następnie będziemy śledzić zapytania do serwera Mysql. Administratorzy sieci zwykle nie mają dziennika zapytań do bazy danych, ale używając Wireshark możesz śledzić wszystkie zapytania i zapisać ten dziennik i wyświetlić listing jako dziennik zapytań. Aby filtrować pakiety mysql, musimy użyć filtru Mysql lub mysql.query, jeśli chcemy widzieć tylko SELECTy lub jakąś konkretną instrukcję.
Spróbujemy wykonać kilka zapytań do lokalnego serwera bazy danych i użyć testowej bazy danych Sakila, która jest bezpłatna i ma otwarte źródło, bazy danych, której używaliśmy w kombinacjach samouczków MySQL z Inner Join.
Przeprowadzamy zapytanie SQL, a Wireshark zarejestruje każde zapytanie, źródłowy adres IP zapytania, docelowy adres IP, zapytanie sql, użytkownika, który się zalogował.

Również jeśli zobaczymy jeden z pakietów, powie nam, że uzyskano do niego dostęp za pomocą oprogramowania o nazwie Heidisql.exe i jest to niebezpieczny lub podejrzany program.
Chociaż możliwe jest zarządzanie zdalnymi bazami danych za pomocą tego oprogramowania, nie jest to najbardziej zalecane, ponieważ konieczne byłoby zezwolenie na zewnętrzne połączenia z serwerem.

Filtry Wireshark Jest ich wiele i obejmują wszystkie protokoły sieciowe, a także najpopularniejsze protokoły internetowe.
Ponieważ pakiety są przechwytywane, możemy analizować, co dzieje się z ruchem sieciowym, wystarczy kliknąć pakiet, który chcemy przeanalizować, aby pokazać nam dane.
Jeśli zastosujemy filtr HTTP na pakiecie POST i klikniemy prawy przycisk na tym pakiecie, a następnie w rozwijanym menu wybierzemy opcję Śledź strumień TCP lub Śledź przepływ TCP, oznacza to zobaczenie wszystkiego, co powstaje podczas tworzenia sieci żądanie do serwera.
W rezultacie uzyskujemy wszystkie transakcje kodowe i html, które są wykonywane w żądaniu, jeśli użytkownik wprowadzi hasło dostępu do strony internetowej, dzięki tej metodzie możemy zobaczyć hasło i użytkownika, którego używam.

Biorąc pod uwagę, że Wireshark monitoruje dużą liczbę protokołów i usług w sieci oraz wszystkie pakiety przychodzące i wychodzące, ryzyko błędu w kodzie analizatora może zagrozić bezpieczeństwu sieci, jeśli nie wiemy, co jest dzieje się z każdym pakietem, dlatego ważne jest, aby wiedzieć, jak poprawnie zinterpretować informacje, które przekazuje nam Wireshark.Podobał Ci się i pomógł ten samouczek?Możesz nagrodzić autora, naciskając ten przycisk, aby dać mu pozytywny punkt
wave wave wave wave wave