Wireshark: Podrobný analyzátor sítě

Tentokrát si povíme o jednom z síťové analyzátory nejběžnější, které v tuto chvíli existují, Wireshark Network Analyzer, který má více než 500 000 stažení za měsíc, a proto ukazuje svou účinnost, důvěru a podporu při analýze síťové infrastruktury.

V rámci Funkce Wireshark můžeme zdůraznit následující:

  • K dispozici pro systémy Windows a Unix.
  • Balíčky můžeme filtrovat podle stanovených kritérií.
  • Je možné zachytit snímky paketů na síťovém rozhraní.
  • Je možné importovat balíčky v textovém formátu.
  • Můžeme hledat balíčky podle řady kritérií.
  • Umožňuje mimo jiné vytvářet statistiky.

Na spustit Wireshark v prostředí Windows potřebujeme následující požadavky:

  • 400 MB RAM
  • Běží na jakékoli verzi systému Windows na úrovni serveru i plochy
  • 300 MB místa na pevném disku

V prostředích UNIX je Wireshark schopen pracovat na následujících platformách:

  • Debian
  • Apple OS X
  • FreeBSD
  • Sluneční solaris
  • Mandriva Linux, mimo jiné.

Než se pustíme do toho, jak Wireshark funguje, připomeňme si některé pojmy týkající se vytváření sítí, protože to všechno je v tomto světě ponořeno. Pamatujme, že hlavní funkcí networking má umožnit přenos dat mezi dvěma nebo více zařízeními a to vše díky společné práci mezi hardwarem a softwarem.

Návrh sítě lze strukturovat dvěma způsoby:

  • Klient-server
  • Peer to peer

Wireshark byl navržen tak, aby zobrazoval vaše informace mezi vrstvami 2 až 7 modelu OSI. S Wiresharkem budeme moci provádět živé monitorování síťového provozu naší organizace, což nám umožní určit problémy, provádět analýzy a několik dalších úkolů, které umožní správné fungování síťového prostředí. Z toho můžeme vyvodit závěr Wireshark je analyzátor paketů.

Pro tuto studii použijeme prostředí Windows 7. Jakmile si stáhneme Wireshark, pokračujeme v instalaci následovně:

1. Stáhněte a nainstalujte Wireshark


Software Wireshark lze stáhnout z následujícího odkazu:

Zde najdeme kompatibilní soubory pro stahování pro systémy:

  • Okna
  • MAC
  • Linux

Spustíme soubor, abychom jej nainstalovali, a proces začne. Přijímáme. Klikneme na tlačítko souhlasím Abychom přijali licenční podmínky, jakmile to bude hotové, musíme vybrat součásti, které Wireshark nainstalují.

Klikneme na další a můžeme se rozhodnout, zda přidáme ikony zkratek, a mimochodem, určit přípony souborů spojené s Wireshark. Kde bude potom nainstalován Wireshark. Poté nám nástroj řekne, zda chceme nebo nechceme nainstalovat WinPcap (to je vyžadováno u živých záznamů paketů), zaškrtneme políčko, ve výchozím nastavení je a klikneme na další.

Poté se můžeme rozhodnout, zda nástroj nainstalujeme nebo ne USBPcap, je umožňuje zachytit provoz USB, nejvhodnější je nainstalovat, označíme pole a klikneme na Nainstalujte spusťte instalační proces.

Jakmile skončíte, již budeme mít nainstalovanou naši aplikaci Wireshark Network Analyzer připraven jít. Nyní se v lnos seznámíme s používáním a odvahou této skvělé aplikace.

2. Jak používat Wireshark

Uvidíme, že zachytávání paketů, které musíme vytvořit, je založeno na připojení k místní síti, mohou se objevit další typy připojení, jako je Wi Fi, Bluetooth atd. Poklepáním na naše rozhraní uvidíme, že se zobrazuje veškerý aktuální provoz:

Kliknutím na ikonu Můžeme upravit všechny možnosti naší sítě, podívejme se, které okno se nám zobrazí, když stiskneme tuto ikonu:

ZVĚTŠIT

Vidíme, že máme aktuální IP adresu systému, velikost vyrovnávací paměti atd. Na kartě Možnosti Máme alternativy, které můžeme vybrat, například aktualizaci balíčků v reálném čase, překlad názvů sítí a další.

Jakmile provedeme změny, stiskneme Start. Je třeba poznamenat, že v této možnosti konfigurujeme například nejdůležitější vlastnosti Wireshark povolit promiskuitní režim (povolit všechny balíčky) nebo omezit velikost paketu pro zachycení. Pojďme se trochu podívat do prostředí Wireshark.

V první řadě, než se trochu seznámíme s nabídkou, vidíme následující:

Tento řádek se skládá z následujících:

  • Číslo: Identifikujte interní číslo procesu.
  • Čas: Doba spojení mezi původem a cílem
  • Zdroj: Zdroj IP
  • Destinace: Cílová IP
  • Protokol: Protokol používaný k přenosu
  • Délka: Velikost balení
  • Informace: Další informace o cíli

Pokud chceme uložit aktuální práci, můžeme to udělat prostřednictvím nabídky Soubor, volbou Uložit nebo Uložit jako. K otevření tohoto souboru použijeme možnost Otevřít v nabídce Soubor.

Jak vidíme v analyzátor paketů máme mnoho informací, například když zkontrolujeme soubor Sloupec protokolu Uvidíme, že existují mimo jiné protokoly ARP, HTTP a TCP, pokud chceme vidět pouze protokoly TCP, použijeme filtr, proto do pole zadáme výraz TCP „Použít filtr zobrazení“ umístěný nahoře a dáme Enter nebo stiskneme tlačítko Použít tento filtr, uvidíme, že ve sloupci Protokol jsou pouze TCP protokoly.

ZVĚTŠIT

ZVĚTŠIT

Můžeme exportovat naše data do různých typů formátů pro lepší analýzu, ty lze exportovat do HTTP, SMB, TFTP atd. Chcete -li provést export, přejděte do nabídky Soubor a vyberte Exportovat objekty, zvolíme možnost HTTP.

Toto je výsledek našeho exportu:

Podívejme se na různé možnosti lišty nabídek ve Wireshark.

Soubor> Soubor
V této nabídce najdeme mimo jiné základní možnosti, jako je otevírání, ukládání, export, tisk a další. Právě jsme sledovali proces exportu souboru.

Upravit> Upravit
Z této nabídky můžeme provádět úlohy, jako je kopírování, hledání balíčků, vytváření komentářů atd. Některé z těchto možností podrobně prozkoumáme.

Například pokud chceme najít všechny pakety DNS v rámci, otevřeme Najít možnost a zadáme slovo DNS nebo můžeme použít kombinaci CTRL + F:

ZVĚTŠIT

Vidíme, že jsou zvýrazněny všechny pakety DNS. K přidání komentáře použijeme Možnost komentáře paketů.

Uvidíme, jak se to projeví v hlavní nabídce:

ZVĚTŠIT

Zobrazit> Zobrazit
Z této možnosti můžeme definovat typy zobrazení, které bude mít náš Wireshark, a také definovat časový formát, velikost sloupců, pravidla barev atd.

Můžeme spustit Možnost Colorize Rules určit, a pokud chceme upravit, barvy přiřazené různým protokolům.

Pokud chcete vytvořit nový protokol, klikněte na +, definujte název a barvu a stiskněte OK.

Zachytit> Zachytit
Pomocí této možnosti můžeme spustit, zastavit nebo restartovat zachycování paketů

V Možnost Zachytit filtry můžeme definovat parametry zachycení.

Analyzovat> Analýza
V rámci této nabídky můžeme vytvářet filtry, upravovat filtry, povolit nebo zakázat protokoly, mimo jiné úkoly.

Můžeme nasadit Možnost Zobrazit filtry pozorovat a v případě potřeby upravovat aktuální filtry.

Pokud chceme přidat další filtry, stiskneme tlačítko +, pokud chceme filtr odebrat, stiskneme tlačítko -. Pomocí této možnosti můžeme analyzovat kompletní seznam všech povolených protokolů Povolené protokoly nebo pomocí kombinace kláves:

Ctrl + Shift + E

ZVĚTŠIT

Tam sledujeme protokol a jeho popis.

Statistiky> Statistiky
Je to možná jedna z nejkompletnějších nabídek, protože odtud můžeme vytvářet zprávy, grafy a další nástroje pro sledování stavu balíčků.

Jak vidíme, máme několik alternativ k zobrazení statistik, například vytvoříme vstupní a výstupní graf I / O Graph.

V grafu můžeme vytvořit nastavení jako je barva čáry, frekvenční interval, konkrétní den atd. Pokud vybereme možnost Vlastnosti souboru Capture Kromě dalších podrobností uvidíme vlastnosti zachytávacích souborů, jako je jejich velikost, typ šifrování, první a poslední paket.

Pokud vyberete možnost Statistiky IPv4 a my si vybíráme Všechny adresy Uvidíme následující podrobnou zprávu:

Pokud chceme vidět chování Streamování TCP můžeme použít možnost Grafy toku TCP a vyberte typ grafu, uvidíme následující:

V Zadejte FastTab můžeme upravit typ grafu. S možností Hierarchie protokolu Detailně vidíme odeslané balíčky, velikost atd.

Telefonie> Telefonie
V této možnosti můžeme analyzovat vše, co souvisí s protokoly spojenými s telefonními prostředky (Když použijeme tento prostředek), můžeme vidět informace jako:

  • Zprávy UCP
  • Zprávy ISUP
  • Statistiky SIP atd.

Můžeme otevřít kteroukoli z těchto možností, ale protože nepracujeme s telefonními protokoly, bude výsledek nulový (0).

Bezdrátový
V této nabídce najdeme informace týkající se souboru Bezdrátová zařízení spárovaná s Wireshark (například když pracujeme s notebookem, mobilem atd.)

Stejně jako v této studii pracujeme více se sítí LAN (ne s WiFi), všechny možnosti v této nabídce se zobrazí jako nulové nebo prázdné.

Nástroje> Nástroje
V této nabídce najdeme vše, co souvisí Aplikace LUA, toto je konzola, která umožňuje vývojářům vytvářet skripty pro vylepšení nebo rozšíření aplikací.

Nápověda> Nápověda
Z této nabídky můžeme přistupovat k nápovědě Wireshark, vidět obrazovky o tom, jak ji spustit, mimo jiné navštívit web společnosti. Můžeme si to uvědomit pomocí této možnosti O společnosti Wireshark Můžeme vidět klávesové zkratky, které jsou v něm obsaženy, což nám může pomoci urychlit určité procesy.

Když například používáme filtry, musíme mít na paměti, že můžeme použít některé parametry, jako například:

  • Rovná: ekv. nebo ==
  • Nejsou stejné: ne nebo! =
  • Větší než: gt nebo>
  • Menší než: lt nebo <
  • Větší nebo rovno: ge nebo> =
  • Méně nebo rovno: on nebo <=

Hledání můžeme spustit pomocí následující syntaxe:

 tcp obsahuje "solvetic.com"
Pokud jde o protokoly, můžeme zmínit, že následující jsou nejběžnější a s některými jejich dodatky:
  • ssl > Protokol SSL (Socket Secure Layer).
  • telnet > Telnet.
  • dns > DNS. (Domain Name System)
  • msnms > Okamžité zprávy (Messenger).
  • ftp > FTP protokol (mohli jsme vidět uživatelské jméno a heslo).
  • ftp-data > Umožňuje prohlížení dat protokolu FTP.
  • ip > IP protokol.
  • ip.src == 192.168.1.10 > Zdrojová IP adresa.
  • ip.dst == 192.168.1.30 > Cílová IP adresa.
  • tcp > Protokol TCP
  • tcp.port == 80 > Pakety označíme požadovaným portem.
  • tcp.srcport == 80 > Udáváme přístav původu.
  • tcp.dstport == 80 > Udáváme cílový port.
  • http > Protokol HTTP
  • http.host == ”www.solvetic.com” > Chceme vidět balíčky, které mají jako hostitele Solvetic.
  • http.date == "St, 25. května 2016 17:08:35 GMT" > Balíčky týkající se data
  • http.content_type == ”aplikace / json” > Typ aplikace se může lišit
  • http.content_type == ”obrázek / png” > Obrázky PNG
  • http.content_type == ”obrázek / gif.webp” > Obrázky GIF.webp
  • http.content_type == ”obrázek / jpeg.webp” > Obrázky JPEG.webp
  • http.content_type == ”text / html” > HTML soubory
  • http.content_type == "text / css" > Styly CSS
  • http.content_type == ”video / quicktime” > Videa
  • http.content_type == ”aplikace / zip” > ZIP soubory
  • http.request.method == „ZÍSKAT“ > ZÍSKEJTE typ požadavku
  • http.request.method == ”POST” > Typ požadavku POST
  • http.user_agent obsahuje "Mozilla" > Prohlížeč Mozilla
  • http.request.uri odpovídá „[0-9]“ > Používání regulárních výrazů.

Vidíme velký rozsah, který máme s Wiresharkem pro sledování provozu našich paketů, jednoduchý příklad pro dokončení, otevíráme web Solvetic.

Ve Wireshark (Filtrování podle DNS) vidíme dotaz, který jsme právě zadali (Otevřete webovou stránku Solvetic).

ZVĚTŠIT

Pokud dvakrát klikneme na tento řádek, zobrazí se nám podrobnější informace o trase:

Uvidíme detaily, jako je ID rozhraní, přibližný čas příjezdu požadavku, typ síťové karty původu a cíle atd.

Vidíme, že máme k dispozici velmi hodnotný (a bezplatný) nástroj, který nám jako správcům umožní provádět neustálé monitorování veškerého síťového provozu zaručit kvalitu komunikace a správné a bezpečné doručení všech informací.

Opravte DNS ve Windows, Linux a Mac

wave wave wave wave wave