Obsah
Wireshark, nástroj pro analýzu sítě v reálném čase, zachycuje pakety a protokoly v reálném čase a zobrazuje je v grafickém a uvedeném formátu.Wireshark je analyzátor paketů, které obíhají po síti, tento software lze spustit na Linuxu, Windows, OS X, Solaris.
Software si můžeme stáhnout z oficiální stránky Wireshark, pokud jej chceme nainstalovat na Linux, je již v repozitářích.
Protože je Windows nainstalován jako jakýkoli program, v tomto tutoriálu nainstalujeme pro Linux, z okna terminálu napíšeme následující příkazy:
sudo apt-get install WireSharkPokud jej chcete nainstalovat na server a spravovat software v textové podobě, máme možnost jej nainstalovat v textovém režimu a software se nazývá Tshark. K instalaci z terminálového okna napíšeme následující příkazy:
sudo apt-get install tsharkDále budeme muset spustit Wireshark s oprávněními správce, protože bude muset mít oprávnění pro přístup k síti a aby bylo možné sledovat balíčky, které označujeme. V našem případě pro spuštění buď z nabídky, nebo z terminálu použijeme následující příkaz:
gksudo WireharkTo nás požádá o uživatelské jméno a heslo pro přístup v režimu správce nebo root.
Když začneme, vidíme seznam rozhraní, která jsou dostupnými sítěmi, v příkladu máme wifi síť wlan0 a ethernet eth0, tam můžeme vybrat, kterou síť nebo rozhraní chceme analyzovat.
Pod seznamem rozhraní máme Capture Options nebo Capture Options. Možnosti zahrnují analýzu v promiskuitním režimu a režimu snímání atd.V rámci možností zachycení můžeme nakonfigurovat, které protokoly a služby sledovat, abychom zjistili, jaké procesy a platformy přijímají a odesílají data v síti.
Vytvořte sledovací filtr
Na liště Filtry můžeme nakonfigurovat typ monitorování, které chceme provádět, například v seznamu rozhraní vybereme eth0 a stiskneme Start, otevře se okno a uvidíme, jak software zachytí všechny pakety, např. uživatel existuje mnoho. Software zachycuje mnoho protokolů včetně systémových, tj. Interních zpráv ze zařízení a operačních systémů.
Například stiskneme Filtr a poté vybereme HTTP, takže provoz budeme filtrovat pouze z protokolu http, tj. Dotazů na webové stránky přes port 80.
Otevřeme prohlížeč a vygooglujeme web Solvetic.com, Wireshark nám ukáže data http a tcp, která jsou vytvořena k navázání spojení, protože vidíme, že pro vyhledávání se používají protokoly tcp a http a poté se zobrazí web.
Zde vidíme podané žádosti. Ve filtru http můžeme vidět různé možnosti protokolu, jako jsou požadavky, odpovědi atd. Použitím filtru http.request je možné získat všechny požadavky a odpovědi přijaté pomocí GET a POST, které jsou prováděny v prohlížeči nebo ve všech počítačích v síti, analýzou požadavků můžeme detekovat možné škodlivé aktivity.
Dále budeme analyzovat zachycená data, když klikneme na každou zachycenou položku, zobrazí se informace o datovém paketu, pole Rámeček, které identifikuje velikost zachyceného paketu, čas, který trval, kdy byl odeslán a přes který rozhraní.
Pole Ethernet II patří k datům, která jsou generována ve vrstvě datového spojení, pokud vidíme Model OSI, zde máme původ a cíl, IP adresy, mac adresy a typ použitého protokolu.
Pole Internet Protocol nám ukáže IP datagram s IP adresami, Transmission Control Protocol nebo TPC pole je tím, kdo dokončí přenosový protokol TCP / IP. Pak máme záhlaví HTTP, kam přijímáme vykreslená data z webové komunikace.
Uvidíme příklad, kdy nakonfigurujeme zachycení všech sítí a připojení, při zobrazování seznamu filtrujeme a hledáme pop připojení, tedy příchozí poštu.
Vidíme, že připojení POP jsou všechna k IP, která je k VPS, kde jsou poštovní účty, takže tam komunikuje.
Pokud odešleme nějaké e -maily a poté filtrujeme podle protokolu SMTP, uvidíme všechny zprávy odeslané ze serveru nebo každého počítače v síti s příslušnou IP adresou, odkud byla odeslána a kam byla odeslána, můžeme vždy použít web http: //www.tcpiputils. com, k určení dat konkrétní IP.
Další filtr, který můžeme použít, je filtr DNS, abychom mohli vidět, které DNS jsou konzultovány a které generují provoz.
V tomto případě jsme provedli několik vyhledávání a můžeme vidět DNS Google, Google mapy, fonty Google, addons.mozilla a DNS Facebook chatu, budeme ověřovat IP.
Zjistili jsme, že počítač v naší síti je připojen k chatu na Facebooku a přesně víme, kdy byl připojen.
Dále budeme sledovat dotazy na server MySQL. Správci sítě obvykle nemají protokol dotazů, které jsou vytvářeny do databáze, ale pomocí Wireshark můžete sledovat všechny dotazy a tento protokol uložit a zobrazit výpis jako protokol dotazů. Chcete -li filtrovat balíčky mysql, musíme použít filtr Mysql nebo mysql.query, pokud chceme vidět pouze příkazy SELECT nebo nějaký konkrétní příkaz.
Pokusíme se provést nějaké dotazy na lokálním databázovém serveru a pomocí testovací databáze Sakila, která je bezplatná a má otevřený zdroj, což je databáze, kterou jsme použili v kombinaci výukových programů MySQL s vnitřním připojením.
Provádíme dotaz SQL a Wireshark zaznamená každý dotaz, zdrojovou IP dotazu, cílovou IP adresu, sql dotaz, uživatele, který se přihlásil.
Také pokud vidíme jeden z balíčků, říká nám, že k němu byl přistupován pomocí softwaru s názvem Heidisql.exe a je to nebezpečný nebo podezřelý program.
Přestože je možné pomocí tohoto softwaru spravovat vzdálené databáze, není to nejvíce doporučováno, protože by bylo nutné povolit externí připojení k serveru.
Filtry Wireshark Existuje mnoho z nich a pokrývají všechny protokoly sítě a také nejoblíbenější protokoly webových stránek.
Když jsou pakety zachyceny, můžeme analyzovat, co se děje se síťovým provozem, stačí kliknout na paket, který chceme analyzovat, a ukázat nám data.
Pokud použijeme filtr HTTP na paket POST a klikneme na pravé tlačítko na uvedeném paketu a poté v rozevírací nabídce vybereme možnost Sledovat TCP stream nebo Sledovat tok TCP, to znamená vidět vše, co se vytváří při vytváření webu požadavek na server.
V důsledku toho získáme všechny transakce s kódem a html, které jsou prováděny v požadavku, pokud uživatel zadá heslo pro přístup na web, pomocí této metody můžeme vidět heslo a uživatele, kterého používám.
Vezmeme -li v úvahu, že Wireshark monitoruje velký počet protokolů a služeb v síti a všechny pakety, které vstupují a odcházejí, mohlo by riziko chyby v kódu analyzátoru ohrozit zabezpečení sítě, pokud nevíme, co je s každým balíčkem, takže je důležité vědět, jak správně interpretovat informace, které nám Wireshark poskytuje.Líbil se vám tento návod a pomohl mu?Autora můžete odměnit stisknutím tohoto tlačítka, čímž mu dáte kladný bod