forudsætning: Introduktion til Trådmark
denne artikel vil introducere metoderne til pakkefangst og analyse. Det vil også introducere nogle avancerede værktøjer, der bruges til at øge effektiviteten under indfangning og analyse.
hvorfor snuse rundt?
hvis du har tidligere erfaring med sikringssystemer, kan du ikke understrege nok vigtigheden af rekognoscering. Og hvis du er ny, skal du bare vide, at det er meget vigtigt. Pakke sniffing er en væsentlig form for netværk recon samt overvågning. Det er lige så nyttigt for studerende og IT-fagfolk.
Netark indfanger de data, der kommer eller går gennem Nic ‘ erne på sin enhed ved hjælp af et underliggende packet capture-bibliotek. Som standard fanger kun data på enheden, men det kan fange næsten alle data på dets LAN, hvis det køres i promiskuøs tilstand. I øjeblikket bruger Nmap ‘ s Packet Capture library(kaldet npcap).
at komme op og køre: Efter installationsstart, Godkend administratorrettigheder eller superbrugerrettigheder, og du får et vindue, der ser sådan ud:
dette vindue viser grænsefladerne på din enhed. For at starte sniffing skal du vælge en grænseflade og klikke på bluefin-ikonet øverst til venstre. Datafangstskærmen har tre ruder. Den øverste rude viser trafik i realtid, den midterste viser oplysninger om den valgte pakke, og den nederste rude viser de rå pakkedata. Den øverste rude viser kildeadresse (IPv4 eller IPv6) destinationsadresse, kilde-og destinationsporte, protokol, som pakken tilhører, og yderligere oplysninger om pakken.
da der er mange pakker, der går ind og ud hvert sekund, vil det være kedeligt at se på dem alle eller søge efter en type pakker. Derfor leveres pakkefiltre. Pakker kan filtreres baseret på mange parametre som IP-adresse, portnummer eller protokol på optagelsesniveau eller på displayniveau. Som indlysende vil et displayniveaufilter ikke påvirke pakkerne, der fanges.
nogle af de generelle fangstfiltre er:
- vært( fange trafikken gennem et enkelt mål)
- net (fange trafikken gennem et netværk eller sub-netværk). “net “kan være præfikset med” src “eller” dst ” for at angive, om dataene kommer fra eller går til målværten(e).)
- port (fange trafikken gennem eller fra en port). “port “kan være præfikset med” src “eller” dst ” for at angive, om dataene kommer fra eller går til målporten.
- “og”, “ikke” og “eller” logiske forbindelser.(Bruges til at kombinere flere filtre sammen).
der er nogle mere grundlæggende filtre, og de kan kombineres meget kreativt. Et andet udvalg af filtre, displayfiltre bruges til at oprette abstraktion på indfangede data. Disse grundlæggende eksempler skal give en grundlæggende ide om deres syntaks:
- tcp.port= = 80 / UDP.port= = s viser TCP / UDP-trafikken i port S.
- http.anmodning.Uri matcher” parameter=værdi$ ” viser pakker, der er HTTP-anmodninger på applikationslagniveauet, og deres URI slutter med en parameter med en vis værdi.
- den logiske forbindelse og eller og ikke arbejde her også.
- ip.src= = 192.168.0.0 / 16 og ip.dst==192.168.0.0 / 16 viser trafik til og fra arbejdsstationer og servere.
der er også et koncept med farvelægningsregler. Hver protokol / port / andet element er tilvejebragt en unik farve for at gøre det let synligt for hurtig analyse. Flere detaljer om coluring regler er her
Plugins er ekstra stykker af koder, der kan integreres i den indfødte Trådmark. Plugins hjælper med analyse af:
- viser parameterspecifikke statistikker og indsigter.
- håndtering fange filer og spørgsmål i forbindelse med deres formater.
- samarbejde med andre værktøjer og rammer for at oprette en alt-i-en netværksovervågningsløsning.
med bare den grundlæggende evne til at se al trafik, der går gennem din enhed eller i dit LAN, og de værktøjer og plugins, der hjælper dig med analyse, kan du gøre en hel del ting med din enhed. Ligesom:
- fejlfinding af internetforbindelsesproblemer med din enhed eller trådløst internet.
- overvågning af din enhed for uønsket trafik, der kan være en indikation af en virusinfektion.
- test af arbejdet i din applikation, der involverer netværk.
- brug det til bare at forstå, hvordan computernetværk fungerer.