GeeksforGeeks

pré-requisito: Introdução ao Wireshark

este artigo apresentará os métodos de captura e análise de pacotes. Ele também apresentará algumas ferramentas avançadas que são usadas para aumentar a eficiência durante a captura e análise.

por que cheirar?

cursos GeeksforGeeks

se você tem experiência anterior com sistemas de segurança, você não pode enfatizar o suficiente a importância do reconhecimento. E se você é novo, saiba que é muito importante. Packet sniffing é uma forma essencial de reconhecimento de rede, bem como monitoramento. É igualmente útil para estudantes e profissionais de TI.

o Wireshark captura os dados que chegam ou passam pelos NICs em seu dispositivo usando uma biblioteca de captura de pacotes subjacente. Por padrão, o Wireshark captura apenas dados no dispositivo, mas pode capturar quase todos os dados em sua LAN se executados no modo promíscuo. Atualmente, o Wireshark usa a biblioteca de captura de pacotes do NMAP(chamada npcap).

levantar e correr: Após o lançamento da instalação Wireshark, aprovar os privilégios de administrador ou superusuário e você será presenteado com uma janela que se parece com isso:

tela de inicialização do Wireshark

esta janela mostra as interfaces no seu dispositivo. Para começar a cheirar, selecione uma interface e clique no ícone bluefin no canto superior esquerdo. A tela de captura de dados tem três painéis. O painel superior mostra o tráfego em tempo real, o do meio mostra informações sobre o pacote escolhido e o painel inferior mostra os dados brutos do pacote. O painel superior mostra o endereço de destino do endereço de origem(IPv4 ou IPv6), as portas de origem e de destino, o protocolo ao qual o pacote pertence e informações adicionais sobre o pacote.

Wireshark capture screen

como há muitos pacotes entrando e saindo a cada segundo, olhar para todos eles ou procurar um tipo de pacotes será tedioso. É por isso que os filtros de pacotes são fornecidos. Os pacotes podem ser filtrados com base em muitos parâmetros, como endereço IP, número da porta ou protocolo no nível de captura ou no nível de exibição. Como óbvio, um filtro de nível de exibição não afetará os pacotes que estão sendo capturados.

Alguns dos gerais filtros de captura são:

  • host (capturar o tráfego através de um único alvo)
  • net( capturar o tráfego através de uma rede ou sub-rede). “net “pode ser prefixado com” src “ou” dst ” para indicar se os dados vêm ou vão para o(s) host (s) de destino.)
  • porta (capturar o tráfego através ou a partir de uma porta). “port “pode ser prefixado com” src “ou” dst ” para indicar se os dados vêm ou vão para a porta de destino.
  • “e”, “não” e “ou” conectivos lógicos.(Usado para combinar vários filtros juntos).

existem alguns filtros mais básicos e eles podem ser combinados de forma muito criativa. Outra gama de Filtros, Filtros de exibição são usados para criar abstração em dados capturados. Esses exemplos básicos devem fornecer uma ideia básica de sua sintaxe:

  • tcp.porta = = 80 / udp.a porta = = x mostra o tráfego tcp / udp na porta X.
  • http.pedido.URI corresponde a “parameter = value$” mostra pacotes que são solicitações HTTP no nível da camada de aplicativo e seu URI termina com um parâmetro com algum valor.
  • o conectivo lógico e ou não funciona aqui também.
  • ip.src = = 192.168.0.0 / 16 e ip.dst = = 192.168.0.0/16 mostrará tráfego de e para estações de trabalho e servidores.

há também um conceito de regras de coloração. Cada protocolo / porta / outro elemento é fornecido uma cor única para torná-lo facilmente visível para análise rápida. Mais detalhes sobre as regras de colagem estão aqui

Plugins são pedaços extras de códigos que podem ser incorporados ao Wireshark nativo. Plugins ajudam na análise por:

  • mostrando estatísticas e insights específicos de parâmetros.
  • manipulação de arquivos de captura e problemas relacionados aos seus formatos.
  • colaborando com outras ferramentas e estruturas para configurar uma solução de monitoramento de rede tudo-em-um.

com apenas a capacidade básica de ver todo o tráfego que passa pelo seu dispositivo ou na sua LAN e as ferramentas e plugins para ajudá-lo na análise, você pode fazer uma grande quantidade de coisas com o seu dispositivo. Como:

  • resolução de problemas de conectividade com a Internet com o seu dispositivo ou WiFi.
  • monitoramento do seu dispositivo para tráfego indesejado que pode ser uma indicação de uma infecção por malware.
  • testando o funcionamento do seu aplicativo que envolve rede.
  • usando-o apenas para entender como as redes de computadores funcionam.
Etiquetas Do Artigo :

Deixe uma resposta

O seu endereço de email não será publicado.