Weboldal keresés

10 tipp a Wireshark használatához hálózati csomagok elemzéséhez


Minden csomagkapcsolt hálózatban a csomagok a számítógépek között továbbított adategységeket jelentik. A hálózati mérnökök és a rendszergazdák felelőssége a csomagok biztonsági és hibaelhárítási célból történő megfigyelése és vizsgálata.

Ehhez a hálózati csomagelemzőknek nevezett szoftverprogramokra támaszkodnak, amelyek közül a Wireshark talán a legnépszerűbb és használt sokoldalúsága és könnyű használhatósága miatt. Ezen felül a Wireshark lehetővé teszi, hogy ne csak a forgalmat valós időben figyelje, hanem azt is fájlba mentse későbbi ellenőrzés céljából.

Kapcsolódó olvasmány: A legjobb Linux sávszélesség-figyelő eszközök a hálózathasználat elemzésére

Ebben a cikkben 10 tippet osztunk meg azzal kapcsolatban, hogyan használhatja a Wiresharkot a hálózatában lévő csomagok elemzésére, és reméljük, hogy amikor eléri az Összegzés szakaszt, hajlandó lesz hozzáadni a könyvjelzőihez.

A Wireshark telepítése Linux alatt

A Wireshark telepítéséhez válassza ki az operációs rendszerének/architektúrájának megfelelő telepítőt a https://www.wireshark.org/download.html oldalon.

Különösen, ha Linuxot használ, a Wiresharknak közvetlenül elérhetőnek kell lennie a disztribúció tárolóiból a kényelmesebb telepítés érdekében. Bár a verziók eltérhetnek, a lehetőségeknek és a menüknek hasonlóaknak kell lenniük – ha nem is azonosak mindegyikben.

------------ On Debian/Ubuntu based Distros ------------ 
sudo apt-get install wireshark

------------ On CentOS/RHEL based Distros ------------
sudo yum install wireshark

------------ On Fedora 22+ Releases ------------
sudo dnf install wireshark

Van egy ismert hiba a Debianban és annak származékaiban, amely megakadályozhatja a hálózati interfészek listázását, hacsak nem sudo használatával indítja el a Wiresharkot. Ennek kijavításához kövesse az ebben a bejegyzésben elfogadott választ.

Ha a Wireshark fut, a Rögzítés alatt kiválaszthatja a figyelni kívánt hálózati interfészt:

Ebben a cikkben az eth0 kódot használjuk, de választhat másikat is, ha szeretné. Még ne kattintson a felületre – ezt később, miután áttekintettük néhány rögzítési lehetőséget, megtesszük.

Rögzítési beállítások megadása

A leghasznosabb rögzítési lehetőségek, amelyeket megvizsgálunk:

  1. Hálózati felület – Amint azt korábban kifejtettük, csak az eth0-n keresztül érkező csomagokat elemezzük, legyen az akár bejövő, akár kimenő.
  2. Rögzítési szűrő – Ezzel a lehetőséggel port, protokoll vagy típus szerint jelezhetjük, hogy milyen forgalmat szeretnénk figyelni.

Mielőtt folytatnánk a tippeket, fontos megjegyezni, hogy egyes szervezetek megtiltják a Wireshark használatát hálózataikban. Ennek ellenére, ha nem személyes célokra használja a Wiresharkot, győződjön meg arról, hogy szervezete engedélyezi a használatát.

Egyelőre csak válassza ki az eth0 elemet a legördülő listából, és kattintson a Start gombra a gombnál. Ekkor megjelenik a felületen áthaladó összes forgalom. Ellenőrzési célokra nem igazán hasznos az ellenőrzött csomagok nagy mennyisége miatt, de ez egy kezdet.

A fenti képen az ikonok is láthatók az elérhető interfészek listázásához, az aktuális rögzítés leállításához és újraindításához (piros mezőbe a bal oldalon), valamint egy szűrő konfigurálásához és szerkesztéséhez (piros mező a jobb oldalon). Ha az egérmutatót az egyik ikon fölé viszi, megjelenik egy eszköztipp, amely jelzi, hogy mit csinál.

Kezdjük a rögzítési lehetőségek bemutatásával, míg a #7#10 tippek azt tárgyalják, hogyan lehet ténylegesen valami hasznosat tenni a rögzítéssel.

TIPP #1 – Vizsgálja meg a HTTP forgalmat

Írja be a http kifejezést a szűrőmezőbe, majd kattintson az Alkalmaz gombra. Indítsa el a böngészőt, és lépjen a kívánt webhelyre:

Minden további tipp megkezdéséhez állítsa le az élő rögzítést, és szerkessze a rögzítési szűrőt.

TIPP #2 – Vizsgálja meg a HTTP-forgalmat egy adott IP-címről

Ebben a konkrét tippben az ip==192.168.0.10&& elemet a szűrőszakasz elé írjuk a helyi számítógép és a 192.168.0.10 közötti HTTP-forgalom figyeléséhez:

TIPP #3 – Vizsgálja meg a HTTP-forgalmat egy adott IP-címre

A #2-hez szorosan kapcsolódóan, ebben az esetben az ip.dst fájlt fogjuk használni a rögzítési szűrő részeként, az alábbiak szerint:

ip.dst==192.168.0.10&&http

A #2 és #3 tippek kombinálásához használhatja az ip.addr parancsot a szűrőszabályban az ip.src helyett. vagy ip.dst.

TIPP #4 – Figyelje az Apache és a MySQL hálózati forgalmat

Néha érdekelni fogja a forgalmat, amely megfelel valamelyik (vagy mindkét) feltételnek. Például a 80 (webszerver) és a 3306 (MySQL/MariaDB adatbázis-kiszolgáló) TCP-portokon történő forgalom figyeléséhez használhat OR feltételt. a rögzítési szűrőben:

tcp.port==80||tcp.port==3306

A #2 és #3 tippekben a || és a vagy szó ugyanazt az eredményt adja. Ugyanez vonatkozik a && és az és szóra.

TIPP #5 – Csomagok elutasítása adott IP-címre

A szűrőszabálynak nem megfelelő csomagok kizárásához használja a ! parancsot, és tegye zárójelbe a szabályt. Például egy adott IP-címről származó vagy arra irányított csomagok kizárásához a következőket használhatja:

!(ip.addr == 192.168.0.10)

TIPP #6 – A helyi hálózati forgalom figyelése (192.168.0.0/24)

A következő szűrőszabály csak a helyi forgalmat jeleníti meg, és kizárja az internetre érkező és onnan érkező csomagokat:

ip.src==192.168.0.0/24 and ip.dst==192.168.0.0/24

TIPP #7 – Figyelje a TCP-beszélgetés tartalmát

Egy TCP beszélgetés (adatcsere) tartalmának ellenőrzéséhez kattintson a jobb gombbal egy adott csomagra, és válassza a TCP folyam követése lehetőséget. Egy ablak jelenik meg a beszélgetés tartalmával.

Ez magában foglalja a HTTP fejléceket, ha a webes forgalmat vizsgáljuk, valamint a folyamat során továbbított egyszerű szöveges hitelesítő adatokat is, ha vannak ilyenek.

TIPP #8 – Szerkessze a színezési szabályokat

Mostanra biztos vagyok benne, hogy már észrevette, hogy a rögzítési ablak minden sora színes. Alapértelmezés szerint a HTTP forgalom zöld háttérben fekete szöveggel, míg az ellenőrző összeg hibák piros szöveggel jelennek meg. fekete háttérrel.

Ha módosítani szeretné ezeket a beállításokat, kattintson a Szerkesztés színezési szabályok ikonra, válasszon egy adott szűrőt, majd kattintson a Szerkesztés gombra.

TIPP #9 – Mentse el a rögzítést fájlba

A rögzítés tartalmának mentése lehetővé teszi számunkra, hogy részletesebben megvizsgáljuk azt. Ehhez lépjen a Fájl → Exportálás menüpontra, és válasszon egy exportálási formátumot a listából:

10. TIPP – Gyakoroljon a minták rögzítésével

Ha úgy gondolja, hogy hálózata „unalmas”, a Wireshark egy sor rögzítési mintafájlt kínál, amelyek segítségével gyakorolhat és tanulhat. Ezeket a SampleCapture-eket letöltheti és importálhatja a Fájl → Importálás menüben.

Összegzés

A Wireshark egy ingyenes és nyílt forráskódú szoftver, amint azt a hivatalos webhely GYIK részében láthatja. A rögzítési szűrőt az ellenőrzés megkezdése előtt vagy után is beállíthatja.

Ha nem vette volna észre, a szűrőnek van egy automatikus kiegészítési funkciója, amely lehetővé teszi, hogy könnyen megkeresse a leggyakrabban használt opciókat, amelyeket később személyre szabhat. Ezzel az ég a határ!

Mint mindig, ne habozzon írjon nekünk az alábbi megjegyzés űrlap segítségével, ha bármilyen kérdése vagy észrevétele van ezzel a cikkel kapcsolatban.