GeeksforGeeks

前提条件:Wiresharkの概要

この記事では、パケットのキャプチャと分析の方法を紹介します。 また、キャプチャと分析の間に効率を高めるために使用されるいくつかの高度なツールを紹介します。

なぜ嗅ぐのですか?

GeeksforGeeksコース

システムのセキュリティ保護に関する経験がある場合は、偵察の重要性を十分に強調することはできません。 そして、あなたが新しい場合は、それが非常に重要であることを知っています。 パケットスニッフィングは、監視と同様にネットワーク偵察の不可欠な形式です。 これは、学生やIT専門家にとっても同様に便利です。

Wiresharkは、基礎となるパケットキャプチャライブラリを使用して、デバイス上のNicを送受信するデータをキャプチャします。 デフォルトでは、Wiresharkはデバイス上のデータのみをキャプチャしますが、無差別モードで実行すると、LAN上のほぼすべてのデータをキャプチャできます。 現在、WiresharkはNMAPのパケットキャプチャライブラリ(npcapと呼ばれる)を使用しています。

: インストール後、Wiresharkを起動し、管理者またはスーパーユーザー権限を承認すると、次のようなウィンドウが表示されます:

Wireshark起動画面

このウィンドウには、デバイス上のインターフェイスが表示されます。 スニッフィングを開始するには、1つのインターフェイスを選択し、左上のクロマグロのアイコンをクリックしてください。 データキャプチャ画面には3つのペインがあります。 上部のペインにはリアルタイムのトラフィックが表示され、中央のペインには選択したパケットに関する情報が表示され、下部のペインには生のパケ 上部ペインには、送信元アドレスIpv4またはIpv6宛先アドレス、送信元ポートと宛先ポート、パケットが属するプロトコル、およびパケットに関する追加情報が表示されます。

Wiresharkキャプチャ画面

毎秒出入りするパケットがたくさんあるので、すべてを見たり、一つのタイプのパケットを検索したりするのは面倒です。 これがパケットフィルタが提供される理由です。 パケットは、ipアドレス、ポート番号、プロトコルなどの多くのパラメータに基づいて、キャプチャレベルまたは表示レベルでフィルタリングできます。 明らかなように、表示レベルフィルタはキャプチャされるパケットに影響しません。

一般的なキャプチャフィルタのいくつかは次のとおりです:

  • host(単一のターゲットを介してトラフィックをキャプチャ)
  • net(ネットワークまたはサブネットワークを介してトラフィックをキャプチャ)。 “net”は、データがターゲットホストから来るか、ターゲットホストに行くかを示すために、”src”または”dst”の接頭辞を付けることができます。)
  • ポート(ポートを介してまたはポートからトラフィックをキャプチャします)。 “port”は、データがターゲットポートから来るか、ターゲットポートに行くかを示すために、”src”または”dst”の前に付けることができます。
  • “and”,”not”and”or”論理接続詞。(複数のフィルタを一緒に結合するために使用されます)。

いくつかのより基本的なフィルタがあり、それらは非常に創造的に組み合わせることができます。 フィルタの別の範囲は、表示フィルタは、キャプチャされたデータ上の抽象化を作成するために使用されます。 これらの基本的な例は、構文の基本的な考え方を提供する必要があります:

  • tcp。ポート==80/udp。port==Xは、ポートXでのtcp/udpトラフィックを示します。
  • http。リクエスト。uriが一致する”parameter=value$”は、アプリケーション層レベルでHTTP要求であるパケットを示し、そのURIは何らかの値を持つパラメータで終わります。
  • 論理結合and or and notもここでは機能しません。
  • src==192.168.0.0/16およびip。dst==192.168.0.0/16は、ワークステーションとサーバーとの間のトラフィックを表示します。

着色ルールの概念もあります。 各議定書/港/他の要素はそれを速い分析のために容易に目に見えるようにするために独特な色提供される。 Coluringルールの詳細はこちら

プラグインは、ネイティブのWiresharkに埋め込むことができるコードの余分な部分です。 プラグインは、分析に役立ちます:

  • パラメータ固有の統計情報と洞察を表示します。
  • キャプチャファイルとその形式に関連する問題の処理。
  • 他のツールやフレームワークと協力して、オールインワンのネットワーク監視ソリューションを設定します。

お使いのデバイスを通過するすべてのトラフィックを確認するだけの基本的な機能と分析のお手伝いをするツールやプラグインを使用すると、お使いのデバイスで多くのことを行うことができます。 のように:

  • お使いのデバイスまたはWiFiとのインターネット接続の問題のトラブルシューティング。
  • マルウェア感染の兆候である可能性のある不要なトラフィックのためにあなたのデバイスを監視します。
  • ネットワークを含むアプリケーションの動作をテストします。
  • コンピュータネットワークがどのように機能するかを理解するためにそれを使用します。
記事タグ :

コメントを残す

メールアドレスが公開されることはありません。