GeeksforGeeks

Voraussetzung: Einführung in Wireshark

In diesem Artikel werden die Methoden zur Paketerfassung und -analyse vorgestellt. Außerdem werden einige erweiterte Tools vorgestellt, mit denen die Effizienz bei der Erfassung und Analyse gesteigert werden kann.

Warum schnüffeln?

 GeeksforGeeks Kurse

Wenn Sie bereits Erfahrung mit der Sicherung von Systemen haben, können Sie die Bedeutung der Aufklärung nicht genug betonen. Und wenn Sie neu sind, wissen Sie einfach, dass es sehr wichtig ist. Packet Sniffing ist eine wesentliche Form der Netzwerkaufklärung sowie der Überwachung. Es ist gleichermaßen nützlich für Studenten und IT-Profis.

Wireshark erfasst die Daten, die über die Netzwerkkarten auf seinem Gerät kommen oder gehen, mithilfe einer zugrunde liegenden Paketerfassungsbibliothek. Standardmäßig erfasst Wireshark nur Daten auf dem Gerät, kann jedoch fast alle Daten in seinem LAN erfassen, wenn es im Promiscuous-Modus ausgeführt wird. Derzeit verwendet Wireshark die Paketerfassungsbibliothek von NMAP (npcap).

Erste Schritte: Nach der Installation starten Wireshark, genehmigen Sie die Administrator- oder Superuser-Berechtigungen und Sie erhalten ein Fenster, das wie folgt aussieht:

 Wireshark-Startbildschirm

In diesem Fenster werden die Schnittstellen Ihres Geräts angezeigt. Um mit dem Schnüffeln zu beginnen, wählen Sie eine Schnittstelle aus und klicken Sie oben links auf das Bluefin-Symbol. Der Datenerfassungsbildschirm verfügt über drei Bereiche. Der obere Bereich zeigt Echtzeitverkehr, der mittlere Bereich zeigt Informationen über das ausgewählte Paket und der untere Bereich zeigt die Rohpaketdaten. Im oberen Bereich werden die Zieladresse der Quelladresse (IPv4 oder IPv6), die Quell- und Zielports, das Protokoll, zu dem das Paket gehört, und zusätzliche Informationen zum Paket angezeigt.

Wireshark Capture screen

Da jede Sekunde viele Pakete ein- und ausgehen, ist es mühsam, alle zu betrachten oder nach einer Art von Paketen zu suchen. Aus diesem Grund werden Paketfilter bereitgestellt. Pakete können basierend auf vielen Parametern wie IP-Adresse, Portnummer oder Protokoll auf Erfassungsebene oder auf Anzeigeebene gefiltert werden. Wie offensichtlich wirkt sich ein Filter auf Anzeigeebene nicht auf die erfassten Pakete aus.

Einige der allgemeinen Erfassungsfilter sind:

  • host (Erfassung des Datenverkehrs über ein einzelnes Ziel)
  • net( Erfassung des Datenverkehrs über ein Netzwerk oder Subnetzwerk). „net“ kann mit „src“ oder „dst“ vorangestellt werden, um anzuzeigen, ob die Daten von oder zu den Zielhost (s) kommen.)
  • port (Erfassen Sie den Datenverkehr durch oder von einem Port). „port“ kann mit „src“ oder „dst“ vorangestellt werden, um anzuzeigen, ob die Daten vom Zielport kommen oder zum Zielport gehen.
  • „und“, „nicht“ und „oder“ logische Verknüpfungen.(Wird verwendet, um mehrere Filter miteinander zu kombinieren).

Es gibt einige weitere grundlegende Filter, die sehr kreativ kombiniert werden können. Eine weitere Reihe von Filtern, Anzeigefilter werden verwendet, um Abstraktion auf erfassten Daten zu erstellen. Diese grundlegenden Beispiele sollten eine grundlegende Vorstellung von ihrer Syntax vermitteln:

  • tcp.anschluss==80/udp.port==X zeigt den tcp/UDP-Verkehr an Port X.
  • http.Anfrage.uri-Übereinstimmungen „parameter = value $“ zeigt Pakete an, die HTTP-Anforderungen auf Anwendungsschichtebene sind, und ihre URI endet mit einem Parameter mit einem Wert.
  • Die logischen Verknüpfungen und oder und nicht funktionieren auch hier.
  • ip.src==192.168.0.0/16 und ip.dst == 192.168.0.0 / 16 zeigt den Datenverkehr von und zu Workstations und Servern an.

Es gibt auch ein Konzept der Farbregeln. Jedes Protokoll / Port / anderes Element wird mit einer eindeutigen Farbe versehen, um es für eine schnelle Analyse leicht sichtbar zu machen. Weitere Details zu Coluring-Regeln finden Sie hier

Plugins sind zusätzliche Codeteile, die in den nativen Wireshark eingebettet werden können. Plugins helfen bei der Analyse durch:

  • Anzeige parameterspezifischer Statistiken und Erkenntnisse.
  • Umgang mit Capture-Dateien und Problemen im Zusammenhang mit ihren Formaten.
  • Zusammenarbeit mit anderen Tools und Frameworks zur Einrichtung einer All-in-One-Netzwerküberwachungslösung.

Mit nur der grundlegenden Fähigkeit, den gesamten Datenverkehr durch Ihr Gerät oder in Ihrem LAN zu sehen, und den Tools und Plugins, die Ihnen bei der Analyse helfen, können Sie eine Menge Dinge mit Ihrem Gerät tun. Wie:

  • Fehlerbehebung bei Problemen mit der Internetverbindung mit Ihrem Gerät oder WLAN.
  • Überwachung Ihres Geräts auf unerwünschten Datenverkehr, der auf eine Malware-Infektion hindeuten kann.
  • Testen der Funktionsweise Ihrer Anwendung, die Netzwerke umfasst.
  • Verwenden Sie es, um einfach zu verstehen, wie Computernetzwerke funktionieren.
Artikel-Schlagwörter :

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.