10 tipp a Wireshark használatához hálózati csomagok elemzéséhez
Minden csomagkapcsolt hálózatban a csomagok a számítógépek között továbbított adategységeket jelentik. A hálózati mérnökök és a rendszergazdák felelőssége a csomagok biztonsági és hibaelhárítási célból történő megfigyelése és vizsgálata.
Ehhez a hálózati csomagelemzőknek nevezett szoftverprogramokra támaszkodnak, amelyek közül a Wireshark talán a legnépszerűbb és használt sokoldalúsága és könnyű használhatósága miatt. Ezen felül a Wireshark lehetővé teszi, hogy ne csak a forgalmat valós időben figyelje, hanem azt is fájlba mentse későbbi ellenőrzés céljából.
Kapcsolódó olvasmány: A legjobb Linux sávszélesség-figyelő eszközök a hálózathasználat elemzésére
Ebben a cikkben 10 tippet osztunk meg azzal kapcsolatban, hogyan használhatja a Wiresharkot a hálózatában lévő csomagok elemzésére, és reméljük, hogy amikor eléri az Összegzés szakaszt, hajlandó lesz hozzáadni a könyvjelzőihez.
A Wireshark telepítése Linux alatt
A Wireshark telepítéséhez válassza ki az operációs rendszerének/architektúrájának megfelelő telepítőt a https://www.wireshark.org/download.html oldalon.
Különösen, ha Linuxot használ, a Wiresharknak közvetlenül elérhetőnek kell lennie a disztribúció tárolóiból a kényelmesebb telepítés érdekében. Bár a verziók eltérhetnek, a lehetőségeknek és a menüknek hasonlóaknak kell lenniük – ha nem is azonosak mindegyikben.
------------ On Debian/Ubuntu based Distros ------------
sudo apt-get install wireshark
------------ On CentOS/RHEL based Distros ------------
sudo yum install wireshark
------------ On Fedora 22+ Releases ------------
sudo dnf install wireshark
Van egy ismert hiba a Debianban és annak származékaiban, amely megakadályozhatja a hálózati interfészek listázását, hacsak nem sudo használatával indítja el a Wiresharkot. Ennek kijavításához kövesse az ebben a bejegyzésben elfogadott választ.
Ha a Wireshark fut, a Rögzítés alatt kiválaszthatja a figyelni kívánt hálózati interfészt:
Ebben a cikkben az eth0
kódot használjuk, de választhat másikat is, ha szeretné. Még ne kattintson a felületre – ezt később, miután áttekintettük néhány rögzítési lehetőséget, megtesszük.
Rögzítési beállítások megadása
A leghasznosabb rögzítési lehetőségek, amelyeket megvizsgálunk:
- Hálózati felület – Amint azt korábban kifejtettük, csak az eth0-n keresztül érkező csomagokat elemezzük, legyen az akár bejövő, akár kimenő.
- Rögzítési szűrő – Ezzel a lehetőséggel port, protokoll vagy típus szerint jelezhetjük, hogy milyen forgalmat szeretnénk figyelni.
Mielőtt folytatnánk a tippeket, fontos megjegyezni, hogy egyes szervezetek megtiltják a Wireshark használatát hálózataikban. Ennek ellenére, ha nem személyes célokra használja a Wiresharkot, győződjön meg arról, hogy szervezete engedélyezi a használatát.
Egyelőre csak válassza ki az eth0
elemet a legördülő listából, és kattintson a Start gombra a gombnál. Ekkor megjelenik a felületen áthaladó összes forgalom. Ellenőrzési célokra nem igazán hasznos az ellenőrzött csomagok nagy mennyisége miatt, de ez egy kezdet.
A fenti képen az ikonok is láthatók az elérhető interfészek listázásához, az aktuális rögzítés leállításához és újraindításához (piros mezőbe a bal oldalon), valamint egy szűrő konfigurálásához és szerkesztéséhez (piros mező a jobb oldalon). Ha az egérmutatót az egyik ikon fölé viszi, megjelenik egy eszköztipp, amely jelzi, hogy mit csinál.
Kezdjük a rögzítési lehetőségek bemutatásával, míg a #7–#10 tippek azt tárgyalják, hogyan lehet ténylegesen valami hasznosat tenni a rögzítéssel.
TIPP #1 – Vizsgálja meg a HTTP forgalmat
Írja be a http
kifejezést a szűrőmezőbe, majd kattintson az Alkalmaz gombra. Indítsa el a böngészőt, és lépjen a kívánt webhelyre:
Minden további tipp megkezdéséhez állítsa le az élő rögzítést, és szerkessze a rögzítési szűrőt.
TIPP #2 – Vizsgálja meg a HTTP-forgalmat egy adott IP-címről
Ebben a konkrét tippben az ip==192.168.0.10&&
elemet a szűrőszakasz elé írjuk a helyi számítógép és a 192.168.0.10 közötti HTTP-forgalom figyeléséhez:
TIPP #3 – Vizsgálja meg a HTTP-forgalmat egy adott IP-címre
A #2-hez szorosan kapcsolódóan, ebben az esetben az ip.dst
fájlt fogjuk használni a rögzítési szűrő részeként, az alábbiak szerint:
ip.dst==192.168.0.10&&http
A #2 és #3 tippek kombinálásához használhatja az ip.addr
parancsot a szűrőszabályban az ip.src helyett.
vagy ip.dst
.
TIPP #4 – Figyelje az Apache és a MySQL hálózati forgalmat
Néha érdekelni fogja a forgalmat, amely megfelel valamelyik (vagy mindkét) feltételnek. Például a 80 (webszerver) és a 3306 (MySQL/MariaDB adatbázis-kiszolgáló) TCP-portokon történő forgalom figyeléséhez használhat OR
feltételt. a rögzítési szűrőben:
tcp.port==80||tcp.port==3306
A #2 és #3 tippekben a ||
és a vagy szó ugyanazt az eredményt adja. Ugyanez vonatkozik a &&
és az és szóra.
TIPP #5 – Csomagok elutasítása adott IP-címre
A szűrőszabálynak nem megfelelő csomagok kizárásához használja a !
parancsot, és tegye zárójelbe a szabályt. Például egy adott IP-címről származó vagy arra irányított csomagok kizárásához a következőket használhatja:
!(ip.addr == 192.168.0.10)
TIPP #6 – A helyi hálózati forgalom figyelése (192.168.0.0/24)
A következő szűrőszabály csak a helyi forgalmat jeleníti meg, és kizárja az internetre érkező és onnan érkező csomagokat:
ip.src==192.168.0.0/24 and ip.dst==192.168.0.0/24
TIPP #7 – Figyelje a TCP-beszélgetés tartalmát
Egy TCP beszélgetés (adatcsere) tartalmának ellenőrzéséhez kattintson a jobb gombbal egy adott csomagra, és válassza a TCP folyam követése lehetőséget. Egy ablak jelenik meg a beszélgetés tartalmával.
Ez magában foglalja a HTTP fejléceket, ha a webes forgalmat vizsgáljuk, valamint a folyamat során továbbított egyszerű szöveges hitelesítő adatokat is, ha vannak ilyenek.
TIPP #8 – Szerkessze a színezési szabályokat
Mostanra biztos vagyok benne, hogy már észrevette, hogy a rögzítési ablak minden sora színes. Alapértelmezés szerint a HTTP forgalom zöld háttérben fekete szöveggel, míg az ellenőrző összeg hibák piros szöveggel jelennek meg. fekete háttérrel.
Ha módosítani szeretné ezeket a beállításokat, kattintson a Szerkesztés színezési szabályok ikonra, válasszon egy adott szűrőt, majd kattintson a Szerkesztés gombra.
TIPP #9 – Mentse el a rögzítést fájlba
A rögzítés tartalmának mentése lehetővé teszi számunkra, hogy részletesebben megvizsgáljuk azt. Ehhez lépjen a Fájl → Exportálás menüpontra, és válasszon egy exportálási formátumot a listából:
10. TIPP – Gyakoroljon a minták rögzítésével
Ha úgy gondolja, hogy hálózata „unalmas”, a Wireshark egy sor rögzítési mintafájlt kínál, amelyek segítségével gyakorolhat és tanulhat. Ezeket a SampleCapture-eket letöltheti és importálhatja a Fájl → Importálás menüben.
Összegzés
A Wireshark egy ingyenes és nyílt forráskódú szoftver, amint azt a hivatalos webhely GYIK részében láthatja. A rögzítési szűrőt az ellenőrzés megkezdése előtt vagy után is beállíthatja.
Ha nem vette volna észre, a szűrőnek van egy automatikus kiegészítési funkciója, amely lehetővé teszi, hogy könnyen megkeresse a leggyakrabban használt opciókat, amelyeket később személyre szabhat. Ezzel az ég a határ!
Mint mindig, ne habozzon írjon nekünk az alábbi megjegyzés űrlap segítségével, ha bármilyen kérdése vagy észrevétele van ezzel a cikkel kapcsolatban.