předpoklad: Úvod do Wireshark
tento článek představí metody zachycení a analýzy paketů. Představí také některé pokročilé nástroje, které se používají pro zvýšení efektivity při zachycení a analýze.
proč čichat kolem?
pokud máte předchozí zkušenosti se zabezpečovacími systémy, nemůžete dostatečně zdůraznit důležitost průzkumu. A pokud jste nový, Jen vím, že je to velmi důležité. Čichání paketů je nezbytnou formou síťového průzkumu i monitorování. Je to stejně užitečné pro studenty a IT profesionály.
Wireshark zachycuje data přicházející nebo procházející nic na svém zařízení pomocí podkladové knihovny pro zachycení paketů. Ve výchozím nastavení Wireshark zachycuje pouze data na zařízení, ale pokud je spuštěn v promiskuitním režimu, dokáže zachytit téměř všechna data ve své síti LAN. V současné době Wireshark používá knihovnu pro zachycení paketů NMAP (nazývanou npcap).
vstávání a běh: Po instalaci spusťte Wireshark, schválte oprávnění správce nebo superuživatele a zobrazí se vám okno, které vypadá takto:
toto okno zobrazuje rozhraní ve vašem zařízení. Chcete-li začít čichat, vyberte jedno rozhraní a klikněte na ikonu bluefin vlevo nahoře. Obrazovka pro sběr dat má tři tabule. Horní panel zobrazuje provoz v reálném čase, prostřední zobrazuje informace o vybraném paketu a spodní panel zobrazuje nezpracovaná data paketů. Horní panel zobrazuje cílovou adresu zdrojové adresy(IPv4 nebo IPv6), zdrojové a cílové porty, protokol, ke kterému paket patří, a další informace o paketu.
vzhledem k tomu, že existuje mnoho paketů jít dovnitř a ven každou sekundu, při pohledu na všechny z nich nebo hledání jednoho typu paketů bude únavné. Proto jsou k dispozici paketové filtry. Pakety mohou být filtrovány na základě mnoha parametrů, jako je IP adresa, číslo portu nebo protokol na úrovni snímání nebo na úrovni zobrazení. Jak je zřejmé, filtr úrovně zobrazení neovlivní zachycené pakety.
některé z obecných zachycovacích filtrů jsou:
- hostitel (zachytit provoz přes jeden cíl)
- net (zachytit provoz přes síť nebo sub-sítě). „net“ může být prefix “ src „nebo“ dst “ pro označení, zda data přicházející nebo směřující k cílovému hostiteli(cílovým hostitelům).)
- port (zachytit provoz přes nebo z portu). „port“ může být prefix s “ src „nebo“ dst “ pro označení, zda data přicházející nebo jít do cílového portu.
- “ a“,“ ne „a“ nebo “ logická spojení.(Používá se pro kombinaci více filtrů dohromady).
existuje několik základních filtrů a lze je velmi kreativně kombinovat. Další řada filtrů, zobrazovací filtry se používají k vytvoření abstrakce na zachycených datech. Tyto základní příklady by měly poskytnout základní představu o jejich syntaxi:
- tcp.port= = 80/udp.port= = X zobrazuje tcp / udp provoz na portu X.
- http.žádost.uri matches „parameter=value$“ zobrazuje pakety, které jsou HTTP požadavky na úrovni aplikační vrstvy a jejich URI končí parametrem s nějakou hodnotou.
- logické spojení a nebo zde také nefunguje.
- ip.src= = 192.168.0.0 / 16 A ip.dst= = 192.168.0.0 / 16 zobrazí provoz na a z pracovních stanic a serverů.
existuje také koncept pravidel barvení. Každý protokol / port / jiný prvek má jedinečnou barvu, aby byl snadno viditelný pro rychlou analýzu. Více informací o pravidlech coluring je zde
pluginy jsou další kousky kódů, které mohou být vloženy do nativního Wireshark. Pluginy pomáhají při analýze:
- Zobrazení statistik a postřehů specifických pro parametry.
- zpracování zachycovacích souborů a problémů souvisejících s jejich formáty.
- spolupráce s dalšími nástroji a rámce pro nastavení řešení monitorování sítě all-in-one.
díky základní schopnosti vidět veškerý provoz procházející vaším zařízením nebo v síti LAN a nástrojům a pluginům, které vám pomohou při analýze, můžete s vaším zařízením dělat spoustu věcí. Jako:
- odstraňování problémů s připojením k Internetu se zařízením nebo WiFi.
- sledování vašeho zařízení pro nežádoucí provoz, který může být známkou infekce malwarem.
- testování fungování vaší aplikace, které zahrnují vytváření sítí.
- používat to jen pochopit, jak počítačové sítě fungují.