Obsah
Wireshark, nástroj pro analýzu sítě v reálném čase, zachycuje pakety a protokoly v reálném čase a zobrazuje je v grafickém a uvedeném formátu.Wireshark je analyzátor paketů, které obíhají po síti, tento software lze spustit na Linuxu, Windows, OS X, Solaris.
Software si můžeme stáhnout z oficiální stránky Wireshark, pokud jej chceme nainstalovat na Linux, je již v repozitářích.
sudo apt-get install WireSharkPokud jej chcete nainstalovat na server a spravovat software v textové podobě, máme možnost jej nainstalovat v textovém režimu a software se nazývá Tshark. K instalaci z terminálového okna napíšeme následující příkazy:
sudo apt-get install tsharkDále budeme muset spustit Wireshark s oprávněními správce, protože bude muset mít oprávnění pro přístup k síti a aby bylo možné sledovat balíčky, které označujeme. V našem případě pro spuštění buď z nabídky, nebo z terminálu použijeme následující příkaz:
gksudo WireharkTo nás požádá o uživatelské jméno a heslo pro přístup v režimu správce nebo root.
Když začneme, vidíme seznam rozhraní, která jsou dostupnými sítěmi, v příkladu máme wifi síť wlan0 a ethernet eth0, tam můžeme vybrat, kterou síť nebo rozhraní chceme analyzovat.
Pod seznamem rozhraní máme Capture Options nebo Capture Options. Možnosti zahrnují analýzu v promiskuitním režimu a režimu snímání atd.V rámci možností zachycení můžeme nakonfigurovat, které protokoly a služby sledovat, abychom zjistili, jaké procesy a platformy přijímají a odesílají data v síti.
Vytvořte sledovací filtr
Na liště Filtry můžeme nakonfigurovat typ monitorování, které chceme provádět, například v seznamu rozhraní vybereme eth0 a stiskneme Start, otevře se okno a uvidíme, jak software zachytí všechny pakety, např. uživatel existuje mnoho. Software zachycuje mnoho protokolů včetně systémových, tj. Interních zpráv ze zařízení a operačních systémů.
Například stiskneme Filtr a poté vybereme HTTP, takže provoz budeme filtrovat pouze z protokolu http, tj. Dotazů na webové stránky přes port 80.
Otevřeme prohlížeč a vygooglujeme web Solvetic.com, Wireshark nám ukáže data http a tcp, která jsou vytvořena k navázání spojení, protože vidíme, že pro vyhledávání se používají protokoly tcp a http a poté se zobrazí web.
Dále budeme analyzovat zachycená data, když klikneme na každou zachycenou položku, zobrazí se informace o datovém paketu, pole Rámeček, které identifikuje velikost zachyceného paketu, čas, který trval, kdy byl odeslán a přes který rozhraní.
Pole Ethernet II patří k datům, která jsou generována ve vrstvě datového spojení, pokud vidíme Model OSI, zde máme původ a cíl, IP adresy, mac adresy a typ použitého protokolu.
Pole Internet Protocol nám ukáže IP datagram s IP adresami, Transmission Control Protocol nebo TPC pole je tím, kdo dokončí přenosový protokol TCP / IP. Pak máme záhlaví HTTP, kam přijímáme vykreslená data z webové komunikace.
Uvidíme příklad, kdy nakonfigurujeme zachycení všech sítí a připojení, při zobrazování seznamu filtrujeme a hledáme pop připojení, tedy příchozí poštu.
Pokud odešleme nějaké e -maily a poté filtrujeme podle protokolu SMTP, uvidíme všechny zprávy odeslané ze serveru nebo každého počítače v síti s příslušnou IP adresou, odkud byla odeslána a kam byla odeslána, můžeme vždy použít web http: //www.tcpiputils. com, k určení dat konkrétní IP.
Další filtr, který můžeme použít, je filtr DNS, abychom mohli vidět, které DNS jsou konzultovány a které generují provoz.
Dále budeme sledovat dotazy na server MySQL. Správci sítě obvykle nemají protokol dotazů, které jsou vytvářeny do databáze, ale pomocí Wireshark můžete sledovat všechny dotazy a tento protokol uložit a zobrazit výpis jako protokol dotazů. Chcete -li filtrovat balíčky mysql, musíme použít filtr Mysql nebo mysql.query, pokud chceme vidět pouze příkazy SELECT nebo nějaký konkrétní příkaz.
Pokusíme se provést nějaké dotazy na lokálním databázovém serveru a pomocí testovací databáze Sakila, která je bezplatná a má otevřený zdroj, což je databáze, kterou jsme použili v kombinaci výukových programů MySQL s vnitřním připojením.
Provádíme dotaz SQL a Wireshark zaznamená každý dotaz, zdrojovou IP dotazu, cílovou IP adresu, sql dotaz, uživatele, který se přihlásil.
Přestože je možné pomocí tohoto softwaru spravovat vzdálené databáze, není to nejvíce doporučováno, protože by bylo nutné povolit externí připojení k serveru.
Když jsou pakety zachyceny, můžeme analyzovat, co se děje se síťovým provozem, stačí kliknout na paket, který chceme analyzovat, a ukázat nám data.
Pokud použijeme filtr HTTP na paket POST a klikneme na pravé tlačítko na uvedeném paketu a poté v rozevírací nabídce vybereme možnost Sledovat TCP stream nebo Sledovat tok TCP, to znamená vidět vše, co se vytváří při vytváření webu požadavek na server.
V důsledku toho získáme všechny transakce s kódem a html, které jsou prováděny v požadavku, pokud uživatel zadá heslo pro přístup na web, pomocí této metody můžeme vidět heslo a uživatele, kterého používám.
