Prerequisite: Introduction to Wireshark
tässä artikkelissa esitellään packet capturing and analysing-menetelmät. Se ottaa käyttöön myös joitakin kehittyneitä työkaluja, joita käytetään tehokkuuden lisäämiseen talteenoton ja analysoinnin aikana.
miksi nuuskia?
jos sinulla on aiempaa kokemusta järjestelmien turvaamisesta, et voi korostaa tarpeeksi tiedustelun merkitystä. Ja jos olet uusi, vain tietää, että se on erittäin tärkeää. Pakettien nuuskinta on olennainen verkon tiedustelun ja seurannan muoto. Se on yhtä hyödyllinen opiskelijoille ja IT-ammattilaisille.
Wireshark kaappaa laitteensa niksien läpi tulevan tai menevän datan käyttämällä taustalla olevaa pakettikaappauskirjastoa. Oletusarvoisesti Wireshark tallentaa vain laitteen tiedot, mutta se voi tallentaa lähes kaikki tiedot lähiverkossa, jos sitä käytetään irrallisissa tiloissa. Tällä hetkellä wireshark käyttää Nmap: n Pakettikaappauskirjastoa(npcap).
vauhtiin pääseminen: Asennuksen käynnistämisen jälkeen Wireshark, hyväksy järjestelmänvalvojan tai pääkäyttäjän oikeudet ja sinulle esitetään ikkuna, joka näyttää tältä:
tämä ikkuna näyttää laitteesi rajapinnat. Aloita haistelu valitsemalla yksi käyttöliittymä ja klikkaa bluefin-kuvaketta vasemmassa yläkulmassa. Tietojen kaappausruudussa on kolme ruutua. Ylimmässä ruudussa näkyy reaaliaikainen liikenne, keskimmäisessä tiedot valitusta paketista ja alimmassa ruudussa raakapaketin tiedot. Yläpaneelissa näkyy lähdeosoite (IPv4 tai IPv6) kohdeosoite, lähde-ja kohdeportit, protokolla, johon paketti kuuluu, sekä lisätietoja paketista.
koska joka sekunti menee paljon paketteja sisään ja ulos, niiden kaikkien katsominen tai yhden tyyppisten pakettien etsiminen on työlästä. Tämän vuoksi pakettisuodattimia tarjotaan. Paketteja voidaan suodattaa useiden parametrien, kuten IP-osoitteen, portin numeron tai protokollan perusteella kaappaustasolla tai näyttötasolla. Ilmiselvänä näyttötasosuodatin ei vaikuta kaappattaviin paketteihin.
joitakin yleisiä talteenottosuodattimia ovat:
- isäntä (kaappaa liikenne yhden kohteen kautta)
- net (kaappaa liikenne verkon tai aliverkon kautta). ”net ”voidaan merkitä etuliitteellä” src ”tai” dst ” ilmaisemaan, tulevatko tiedot kohdeis-isännistä vai menevätkö ne niihin.)
- satama (ota talteen sataman kautta tai sieltä tuleva liikenne). ”portti ”voidaan etuliitteellä” src ”tai” dst ” ilmoittaa, tulevatko tiedot kohdeporttiin vai menevätkö ne sinne.
- ”ja”, ”ei” ja ” tai ” loogiset konnektiivit.(Käytetään yhdistämään useita suodattimia yhteen).
perussuodattimia on muutamia enemmän ja niitä voidaan yhdistellä hyvin luovasti. Toinen valikoima suodattimia, näyttösuodattimia käytetään luomaan abstraktio kaapattuun dataan. Näiden perusesimerkkien pitäisi antaa perusidea niiden syntaksista:
- tcp.port= = 80 / udp.port= = X näyttää TCP / udp-liikenteen portilla X.
- http.pyyntö.URI matches ”parameter=value$” näyttää paketit, jotka ovat HTTP-pyyntöjä sovelluskerroksen tasolla ja niiden URI päättyy parametriin, jolla on jokin arvo.
- looginen side ja tai eikä toimi tässäkin.
- ip.src==192.168. 0. 0/16 ja ip.dst==192.168.0.0 / 16 näyttää liikenteen työasemille ja palvelimille.
on olemassa myös käsite värityssäännöistä. Jokainen protokolla / portti / muu elementti on ainutlaatuinen väri, jotta se on helposti nähtävissä nopeaa analysointia varten. Lisätietoja coluringin säännöistä löytyy täältä
lisäosat ovat ylimääräisiä koodinpaloja, jotka voidaan upottaa natiiviin wiresharkiin. Liitännäiset auttavat analyysissä:
- näytetään parametrikohtaiset tilastot ja oivallukset.
- käsittelee kaappaustiedostoja ja niiden formaatteihin liittyviä kysymyksiä.
- yhteistyö muiden työkalujen ja puitteiden kanssa monitoimilaitteen verkon seurantaratkaisun luomiseksi.
pelkällä peruskyvyllä nähdä kaikki laitteesi tai lähiverkkosi läpi kulkeva liikenne ja analysointia helpottavat työkalut ja liitännäiset, voit tehdä laitteellasi paljon asioita. Like:
- vianmääritys Internet-yhteys ongelmia laitteen tai WiFi.
- laitteen seuraaminen ei-toivotun liikenteen varalta, joka voi olla merkki haittaohjelmatartunnasta.
- testaat sovelluksesi toimivuutta, johon liittyy verkostoitumista.
- käyttää sitä vain ymmärtääkseen, miten tietokoneverkot toimivat.