Tym razem porozmawiamy o jednym z analizatory sieci najczęstsze, które istnieją w tej chwili, Analizator sieci Wireshark, który ma ponad 500 000 pobrań miesięcznie, a zatem pokazuje swoją skuteczność, zaufanie i wsparcie podczas analizy infrastruktury sieciowej.
W obrębie Funkcje Wiresharka możemy wyróżnić następujące:
- Dostępne dla systemów Windows i Unix.
- Możemy filtrować paczki według ustalonych kryteriów.
- Możliwe jest przechwytywanie migawek pakietów w interfejsie sieciowym.
- Istnieje możliwość importu pakietów w formacie tekstowym.
- Możemy wyszukiwać pakiety według wielu kryteriów.
- Umożliwia tworzenie statystyk m.in.
W celu uruchom Wireshark w środowiskach Windows potrzebujemy następujących wymagań:
- 400 MB pamięci RAM
- Działa na dowolnej wersji systemu Windows zarówno na poziomie serwera, jak i komputera stacjonarnego
- 300 MB miejsca na dysku twardym
W środowiskach UNIX Wireshark może pracować na następujących platformach:
- Debiana
- Apple OS X
- FreeBSD
- Słońce solaris
- Między innymi Mandriva Linux.
Zanim zaczniemy o tym, jak działa Wireshark, przypomnijmy sobie kilka koncepcji dotyczących sieci, ponieważ wszystko to jest zanurzone w tym świecie. Pamiętajmy, że główną funkcją sieć ma umożliwić przesyłanie danych między dwoma lub więcej urządzeniami a wszystko to dzięki wspólnej pracy sprzętu i oprogramowania.
Projekt sieci może być zorganizowany na dwa sposoby:
- Klient - Serwer
- Peer to peer
Wireshark został zaprojektowany do wyświetlania informacji między warstwami od 2 do 7 modelu OSI. Dzięki Wireshark będziemy mogli prowadzić na żywo monitoring ruchu sieciowego naszej organizacji, co pozwoli nam na określenie problemów, wykonanie analiz i kilku innych zadań pozwalających na prawidłowe funkcjonowanie środowiska sieciowego. W związku z tym możemy stwierdzić, że Wireshark to analizator pakietów.
Do tego badania użyjemy środowiska Windows 7. Po pobraniu Wireshark, kontynuujemy instalację w następujący sposób:
1. Pobierz i zainstaluj Wireshark
Oprogramowanie Wireshark można pobrać z następującego linku:
Znajdziemy tam kompatybilne pliki do pobrania dla systemów:
- Okna
- PROCHOWIEC
- Linux
Uruchamiamy plik, aby go zainstalować i proces się rozpocznie. Akceptujemy. Klikniemy na przycisk zgadzam się Aby zaakceptować warunki licencji, po wykonaniu tej czynności musimy wybrać komponenty do zainstalowania Wireshark.
Klikamy Następny i możemy wybrać, czy dodamy ikony skrótów i, nawiasem mówiąc, określić rozszerzenia plików związane z Wireshark. Następnie gdzie zostanie zainstalowany Wireshark. Następnie narzędzie mówi nam, czy chcemy zainstalować, czy nie WinPcap (jest to wymagane do przechwytywania pakietów na żywo), zaznaczamy pole, domyślnie jest, i klikamy Następny.
Następnie możemy wybrać, czy zainstalować narzędzie, czy nie Nasadka USB, jest umożliwia przechwytywanie ruchu USB, najlepiej go zainstalować, zaznaczamy pole i klikamy zainstalować aby rozpocząć proces instalacji.
Po zakończeniu będziemy już mieć zainstalowaną naszą aplikację Wireshark Network Analyzer gotowy do wyjścia. Teraz w lnos poznajemy zastosowanie i wnętrzności tej wspaniałej aplikacji.
2. Jak korzystać z Wireshark
Zobaczymy, że przechwytywanie pakietów, które musimy wykonać, opiera się na połączeniu lokalnym, mogą pojawić się inne typy połączeń, takie jak Wi-Fi, Bluetooth itp. Klikając dwukrotnie w nasz interfejs zobaczymy, że cały aktualny ruch jest wyświetlany:
Klikając ikonę 
Możemy edytować wszystkie opcje naszej sieci, zobaczmy, które okno pokazuje nam się po naciśnięciu tej ikony:
POWIĘKSZAĆ
Widzimy, że mamy aktualny adres IP systemu, rozmiar bufora itp. Na karcie Opcje Mamy alternatywy, które możemy wybrać, takie jak m.in. aktualizowanie pakietów w czasie rzeczywistym, rozwiązywanie nazw sieci.
Po wprowadzeniu zmian naciśniemy Początek. Należy zauważyć, że w tej opcji konfigurujemy najważniejsze cechy Wiresharka, na przykład włącz tryb bezładny (włącz wszystkie pakiety) lub ogranicz rozmiar pakietu do przechwycenia. Przyjrzyjmy się trochę środowisku Wireshark.
W pierwszym rzędzie, zanim nieco zapoznamy się z menu, widzimy:
Ta linia składa się z następujących elementów:
- Nr: Zidentyfikuj wewnętrzny numer procesu.
- Czas: Czas połączenia między punktem początkowym a docelowym
- Źródło: Źródłowy adres IP
- Miejsce docelowe: Docelowy adres IP
- Protokół: Protokół używany do przesyłania
- Długość: Rozmiar opakowania
- Informacje: Dodatkowe informacje o miejscu docelowym
Jeśli chcemy zapisać bieżącą pracę, możemy to zrobić poprzez menu Plik, opcję Zapisz lub Zapisz jako. Aby otworzyć ten plik, użyjemy opcji Otwórz z menu Plik.
Jak widzimy w analizator pakietów mamy wiele informacji, na przykład, jeśli dokonamy przeglądu Kolumna protokołu Zobaczymy, że istnieją między innymi protokoły ARP, HTTP, TCP, jeśli chcemy tylko widzieć protokoły TCP użyjemy filtru, do tego wpisujemy w polu termin TCP „Zastosuj filtr wyświetlania” znajduje się u góry i podajemy Enter lub wciskamy przycisk Apply this filter, zobaczymy, że w kolumnie Protocol są tylko Protokoły TCP.
POWIĘKSZAĆ
POWIĘKSZAĆ
Możemy eksportować nasze dane do różnych typów formatu w celu lepszej analizy, można je wyeksportować do HTTP, SMB, TFTP itp. Aby przeprowadzić eksport, przejdziemy do menu Plik i wybierz Eksportuj obiekty, wybierzemy opcję HTTP.
To efekt naszego eksportu:
Przyjrzyjmy się różnym opcjom paska menu w Wireshark.
Plik> Plik
W tym menu znajdziemy między innymi podstawowe opcje, takie jak otwieranie, zapisywanie, eksportowanie, drukowanie. Właśnie obserwowaliśmy proces eksportowania pliku.
Edytuj> Edytuj
Z tego menu możemy wykonywać zadania takie jak kopiowanie, wyszukiwanie pakietów, tworzenie komentarzy itp. Przyjrzymy się szczegółowo niektórym z tych opcji.
Na przykład, jeśli chcemy znajdź wszystkie pakiety DNS w ramce, otworzymy Znajdź opcję i wprowadzimy słowo DNS lub możemy użyć kombinacji KLAWISZ KONTROLNY + F:
POWIĘKSZAĆ
Widzimy, że wszystkie pakiety DNS są podświetlone. Aby dodać komentarz, użyjemy Opcja komentarza do pakietu.
Zobaczymy to odzwierciedlone w menu głównym:
POWIĘKSZAĆ
Widok> Widok
W tej opcji możemy zdefiniować rodzaje widoków, jakie będzie miał nasz Wireshark, a także zdefiniować format czasu, wielkość kolumn, reguły kolorów itp.
Możemy uruchomić Opcja kolorowania reguł określić, a jeśli chcemy edytować, kolory przypisane do różnych protokołów.
Jeśli chcesz utworzyć nowy protokół, po prostu kliknij na +, zdefiniuj nazwę i kolor i naciśnij OK.
Przechwytywanie> Przechwytywanie
Dzięki tej opcji możemy rozpocząć, zatrzymać lub ponownie uruchomić przechwytywanie pakietów
w Opcja przechwytywania filtrów możemy zdefiniować parametry przechwytywania.
Analiza> Analiza
W tym menu możemy tworzyć filtry, edytować filtry, włączać lub wyłączać protokoły, między innymi.
Możemy wdrożyć Opcja wyświetlania filtrów obserwować i w razie potrzeby modyfikować obecne filtry.
Jeżeli chcemy dodać więcej filtrów wciskamy przycisk +, jeżeli chcemy usunąć filtr wciskamy przycisk -. Możemy przeanalizować pełną listę wszystkich włączonych protokołów za pomocą opcji Włączone protokoły lub za pomocą kombinacji klawiszy:
Ctrl + Shift + E
POWIĘKSZAĆ
Tam obserwujemy protokół i jego opis.
Statystyka> Statystyka
Jest to prawdopodobnie jedno z najbardziej kompletnych menu, ponieważ stamtąd możemy tworzyć raporty, wykresy i inne narzędzia, aby zobaczyć stan pakietów.
Jak widzimy, mamy kilka alternatyw, aby zobaczyć jego statystyki, na przykład stworzymy wykres wejścia i wyjścia Wykres we/wy.
Na wykresie możemy stworzyć ustawienia takie jak kolor linii, interwał częstotliwości, konkretny dzień itp. Jeśli wybierzemy opcję Właściwości pliku przechwytywania Zobaczymy między innymi właściwości plików przechwytywania, takie jak ich rozmiar, rodzaj szyfrowania, pierwszy i ostatni pakiet.
Jeśli wybierzesz opcję Statystyki IPv4 a my wybieramy Wszystkie adresy Zobaczymy następujący szczegółowy raport:
Jeśli chcemy zobaczyć zachowanie Przesyłanie strumieniowe TCP możemy skorzystać z opcji Wykresy strumienia TCP i wybierz typ wykresu, zobaczymy:
w Wpisz skróconą kartę możemy zmodyfikować typ wykresu. Z opcją Hierarchia protokołów Widzimy szczegółowo wysłane paczki, rozmiar itp.
Telefonia> Telefonia
W tej opcji możemy przeanalizować wszystko, co dotyczy protokołów związanych ze środkami telefonicznymi (Kiedy korzystamy z tego środka), możemy zobaczyć takie informacje jak:
- Wiadomości UCP
- Wiadomości ISUP
- Statystyki SIP itp.
Możemy otworzyć dowolną z tych opcji, ale ponieważ nie pracujemy z protokołami telefonicznymi, wynik wyniesie zero (0).
Bezprzewodowy
W tym menu znajdziemy informacje związane z Urządzenia bezprzewodowe sparowane z Wireshark (np. gdy pracujemy z laptopem, telefonem komórkowym itp.)
Ponieważ w tym badaniu pracujemy bardziej z siecią LAN (nie z WiFi), wszystkie opcje w tym menu będą wyświetlane jako zero lub puste.
Narzędzia> Narzędzia
W tym menu znajdziemy wszystko, co dotyczy Aplikacja LUA, jest to konsola, która umożliwia programistom tworzenie skryptów w celu ulepszenia lub rozszerzenia aplikacji.
Pomoc> Pomoc
Z tego menu możemy uzyskać dostęp do pomocy Wireshark, zobaczyć ekrany, jak go uruchomić, między innymi uzyskać dostęp do strony internetowej firmy. Możemy to zrealizować dzięki opcji O Wireshark Widzimy zawarte w nim skróty klawiaturowe, co może nam pomóc przyspieszyć niektóre procesy.
Na przykład, kiedy używamy filtrów, musimy pamiętać, że możemy użyć niektórych parametrów, takich jak:
- Równy: równ lub ==
- Nie ten sam: ne lub! =
- Lepszy niż: gt lub>
- Mniejszy niż: lt lub <
- Większy lub równy: ge lub> =
- Mniejsze lub równe: on lub <=
Wyszukiwanie możemy przeprowadzić przy użyciu następującej składni:
tcp zawiera „solvetic.com”Jeśli chodzi o protokoły, możemy wspomnieć, że następujące są najczęstsze i z niektórymi ich dodatkami:
- SSL > Protokół SSL (Socket Secure Layer).
- telnet > Telnet.
- dns > DNS. (System nazw domen)
- msnms > Wiadomości błyskawiczne (Messenger).
- ftp > Protokół FTP (możemy zobaczyć nazwę użytkownika i hasło).
- dane ftp > Umożliwia przeglądanie danych protokołu FTP.
- IP > Protokół IP.
- ip.src == 192.168.1.10 > Źródłowy adres IP.
- ip.dst == 192.168.1.30 > Docelowy adres IP.
- tcp > Protokół TCP
- tcp.port == 80 > Wskazujemy pakiety z żądanym portem.
- tcp.srcport == 80 > Wskazujemy port pochodzenia.
- tcp.dstport == 80 > Wskazujemy port docelowy.
- http > Protokół HTTP
- http.host == ”www.solvetic.com” > Chcemy zobaczyć pakiety, których hostem jest Solvetic.
- http.date == "Śr, 25 maja 2016 17:08:35 GMT" > Pakiety dotyczące randki
- http.content_type == ”aplikacja / json” > Rodzaj aplikacji może się różnić
- http.content_type == ”obraz / png” > Obrazy PNG
- http.content_type == ”obraz / gif.webp” > Obrazy GIF.webp
- http.content_type == ”obraz / jpeg.webp” > Obrazy JPEG.webp
- http.content_type == ”tekst / html” > Pliki HTML
- http.content_type == "tekst / CSS" > Arkusze stylów CSS
- http.content_type == ”wideo / szybki czas” > Filmy
- http.content_type == ”aplikacja / zip” > Pliki ZIP
- http.request.method == „POBIERZ” > POBIERZ typ żądania
- http.request.method == ”POST” > Typ żądania POST
- http.user_agent zawiera „Mozillę” > Przeglądarka Mozilli
- http.request.uri pasuje do „[0-9]” > Stosowanie wyrażeń regularnych.
Widzimy ogromny zakres, jaki mamy dzięki Wireshark do monitorowania naszego ruchu pakietowego, prosty przykład na zakończenie, otwieramy witrynę Solvetic.
Możemy zobaczyć w Wireshark (Filtrowanie przez DNS) zapytanie, które właśnie wykonaliśmy (Otwórz stronę internetową Solvetic).
POWIĘKSZAĆ
Jeśli klikniemy dwukrotnie na ten wiersz, zobaczymy bardziej szczegółowe informacje o trasie:
Będziemy mogli zobaczyć szczegóły, takie jak identyfikator interfejsu, przybliżony czas nadejścia żądania, typ karty sieciowej zarówno pochodzenia, jak i przeznaczenia itp.
Widzimy, że mamy do dyspozycji bardzo wartościowe (i darmowe) narzędzie, które pozwoli nam jako administratorom stale monitorować cały ruch sieciowy aby zagwarantować jakość komunikacji oraz prawidłowe i bezpieczne dostarczanie wszystkich informacji.
Napraw DNS w systemach Windows, Linux i Mac
