GeeksforGeeks

Posted on by admin

előfeltétel: Bevezetés a Wireshark-Ba

ez a cikk bemutatja a csomagrögzítés és-elemzés módszereit. Ezenkívül olyan fejlett eszközöket is bevezet, amelyeket a rögzítés és az elemzés során a hatékonyság növelésére használnak.

miért szaglászik?

GeeksforGeeks tanfolyamok

ha korábbi tapasztalata van a biztonsági rendszerekkel kapcsolatban, akkor nem tudja eléggé hangsúlyozni a felderítés fontosságát. És ha új vagy, csak tudd, hogy ez nagyon fontos. A csomagszippantás a hálózati felderítés, valamint a megfigyelés alapvető formája. Ez egyaránt hasznos a diákok és az informatikai szakemberek számára.

a Wireshark egy mögöttes csomagrögzítő könyvtár segítségével rögzíti az eszközön lévő Nic-Eken keresztül érkező vagy áthaladó adatokat. Alapértelmezés szerint a Wireshark csak az eszközön lévő adatokat rögzíti, de szinte az összes adatot képes rögzíteni a LAN-on, ha ígéretes módban fut. Jelenleg a Wireshark az NMAP csomagrögzítő könyvtárát használja (npcap néven).

felkelés és futás: A telepítés után indítsa el a Wireshark alkalmazást, hagyja jóvá a rendszergazda vagy a superuser jogosultságokat, és megjelenik egy ablak, amely így néz ki:

Wireshark Launch Screen

ez az ablak a készülék interfészeit mutatja. A szippantás megkezdéséhez válasszon ki egy felületet, majd kattintson a bal felső sarokban található bluefin ikonra. Az adatrögzítő képernyő három ablaktáblával rendelkezik. A felső ablaktábla a valós idejű forgalmat, a középső a kiválasztott csomaggal kapcsolatos információkat, az alsó ablaktábla pedig a nyers csomagkapcsolt adatokat mutatja. A felső ablaktáblán a forráscím(IPv4 vagy IPv6) célcím, a forrás-és célportok, a protokoll, amelyhez a csomag tartozik, valamint a csomaggal kapcsolatos további információk láthatók.

Wireshark capture screen

mivel másodpercenként sok csomag megy be és ki, unalmas lesz mindet megnézni, vagy egy típusú csomagot keresni. Ezért vannak csomagszűrők. A csomagok szűrhetők számos paraméter alapján, például IP-cím, portszám vagy protokoll rögzítési vagy megjelenítési szinten. Nyilvánvaló, hogy a megjelenítési szintű szűrő nem befolyásolja a rögzített csomagokat.

néhány általános rögzítési szűrő:

  • host (a forgalom rögzítése egyetlen célon keresztül)
  • net (a forgalom rögzítése hálózaton vagy alhálózaton keresztül). a ” net “előtagja” src “vagy” dst ” lehet annak jelzésére, hogy az adatok a célállomástól származnak-e, vagy a célállomásra kerülnek-e.)
  • port (rögzítse a forgalmat egy porton keresztül vagy onnan). “port “lehet előtaggal” src “vagy” dst ” annak jelzésére, hogy az adatok érkező vagy megy a cél port.
  • “és”, “nem” és “vagy” logikai kapcsolatok.(Több szűrő kombinálására szolgál).

van még néhány alapvető szűrő, amelyek nagyon kreatívan kombinálhatók. A szűrők egy másik tartománya, a kijelző szűrők absztrakció létrehozására szolgálnak a rögzített adatokon. Ezeknek az alapvető példáknak alapgondolatot kell adniuk szintaxisukról:

  • tcp.port= = 80 / udp.port = = X a tcp/udp forgalmat mutatja az X porton.
  • http.kérés.az uri megfelel a “parameter=value$” – nak, és az alkalmazásréteg szintjén HTTP-kéréseket tartalmazó csomagokat jelenít meg, amelyek URI-je egy bizonyos értékű paraméterrel végződik.
  • a logikai összekötő és vagy nem működik itt is.
  • ip.src = = 192.168.0.0 / 16 és ip.a DST==192.168.0.0/16 megmutatja a munkaállomásokra és szerverekre irányuló és onnan érkező forgalmat.

a színezési szabályok fogalma is létezik. Minden protokoll/port/egyéb elem egyedi színű, hogy könnyen látható legyen a gyors elemzéshez. További részletek a coluring szabályok itt

Plugins extra darab kódokat lehet ágyazni a natív Wireshark. A bővítmények segítenek az elemzésben:

  • Paraméterspecifikus statisztikák és betekintések megjelenítése.
  • a rögzítési fájlok és a formátumukkal kapcsolatos problémák kezelése.
  • együttműködés más eszközökkel és keretrendszerekkel egy all-in-one hálózati felügyeleti megoldás beállításához.

csak az alapvető képessége, hogy az összes forgalom megy keresztül a készülék vagy a LAN és az eszközök és plugins, hogy segítsen az elemzés, meg tudod csinálni egy csomó dolgot a készülék. Mint:

  • hibaelhárítás Internet kapcsolat problémák a készülék vagy WiFi.
  • a készülék nem kívánt forgalmának figyelése, amely rosszindulatú program fertőzésére utalhat.
  • az alkalmazás működésének tesztelése, amely magában foglalja a hálózatépítést.
  • segítségével csak megérteni, hogyan működnek a számítógépes hálózatok.
Cikk-Címkék :

Related Posts

Vélemény, hozzászólás?

Az e-mail-címet nem tesszük közzé.