Съдържание
Wireshark, инструмент за анализ на мрежа в реално време, улавя пакети и протоколи в реално време и ги показва в графичен и изброен формат.Wireshark е анализатор на пакети, които циркулират в мрежа, този софтуер може да се изпълнява на Linux, Windows, OS X, Solaris.
Можем да изтеглим софтуера от официалната страница на Wireshark, ако искаме да го инсталираме на Linux, той вече идва в хранилищата.
sudo apt-get install wiresharkАко искате да го инсталирате на сървър и да управлявате софтуера в текстова форма, имаме възможност да го инсталираме в текстов режим и софтуерът се нарича Tshark. За да го инсталирате от терминален прозорец, ние пишем следните команди:
sudo apt-get install tsharkСлед това ще трябва да изпълним Wireshark с администраторски права, тъй като той ще трябва да има разрешения за достъп до мрежата и да може да наблюдава пакетите, които посочваме. В нашия случай, за да стартираме или от менюто, или от терминала, ще използваме следната команда:
gksudo wiresharkТова ще ни поиска потребителското име и паролата за достъп в администраторски или root режим.
Когато стартираме, можем да видим списък с интерфейси, които са наличните мрежи, в примера имаме wifi мрежа wlan0 и ethernet eth0, там можем да изберем коя мрежа или интерфейси искаме да анализираме.
Под списъка с интерфейси имаме опции за улавяне или опции за улавяне. Опциите включват анализ в безразборен режим и режим на улавяне и т.н.В рамките на опциите за улавяне можем да конфигурираме кои протоколи и услуги да наблюдаваме, за да видим какви процеси и платформи получават и изпращат данни в мрежата.
Създайте проследяващ филтър
В лентата Филтри можем да конфигурираме типа мониторинг, който искаме да извършим, например, избираме eth0 в списъка с интерфейси и натискаме Старт, ще се отвори прозорец и ще видим как софтуерът улавя всички пакети, за потребители има много. Софтуерът улавя много протоколи, включително системни, тоест вътрешни съобщения от устройства и операционни системи.
Например, ние натискаме Filter и след това избираме HTTP, така че филтрираме трафика само от http протокола, тоест заявки за уеб страници през порт 80.
Отваряме браузъра и Google на уебсайта Solvetic.com, Wireshark ще ни покаже http и tcp данните, които се произвеждат за осъществяване на връзката, тъй като виждаме, че tcp и http протоколите се използват за търсене и след това показват мрежата.
След това ще анализираме уловените данни, когато щракнем върху всеки уловен елемент, ще видим информация за пакета с данни, полето Frame, което идентифицира размера на заснетия пакет, времето, необходимо, кога е изпратено и през което интерфейси.
Полето Ethernet II принадлежи към данните, които се генерират в слоя за връзка към данни, ако видим OSI модел, тук имаме произход и местоназначение, IP адреси, mac адреси и вида на използвания протокол.
Полето Internet Protocol ще ни покаже IP дейтаграмата с IP адресите, протоколът за управление на предаването или полето TPC е този, който попълва протокола за предаване на TCP / IP. След това имаме HTTP заглавки, където получаваме рендерираните данни от уеб комуникацията.
Ще видим пример, в който конфигурираме да улавя всички мрежи и връзки, когато показваме списъка, който филтрираме и търсим поп връзки, тоест входяща поща.
Ако изпратим някои имейли и след това филтрираме по smtp протокол, ще видим всички съобщения, изпратени от сървъра или всеки компютър в мрежата със съответния им IP, откъдето е изпратен и откъдето е изпратен, винаги можем да използваме уеб http: //www.tcpiputils. com, за да се определят данните на конкретен IP.
Друг филтър, който можем да приложим, е DNS филтърът, за да можем да видим кои DNS са консултирани, които генерират трафик.
След това ще следим заявките към Mysql сървър. Мрежовите администратори обикновено нямат дневник на заявки, направени към база данни, но с помощта на Wireshark можете да следите всички заявки и да запазвате този дневник и да показвате списък като дневник на заявки. За да филтрираме пакетите mysql, трябва да използваме филтъра Mysql или mysql.query, ако искаме само да видим SELECTs или някакъв конкретен израз.
Ще се опитаме да направим някои заявки към локалния сървър на база данни и с помощта на тестовата база данни Sakila, която е безплатна и с отворен код, база данни, която използвахме в комбинациите от уроци MySQL с Inner Join.
Извършваме SQL заявка и Wireshark ще записва всяка заявка, IP източника на заявката, IP адреса на местоназначението, sql заявката, потребителя, който е влязъл.
Въпреки че е възможно да се управляват отдалечени бази данни с този софтуер, това не е най -препоръчително, тъй като би било необходимо да се разрешат външни връзки към сървъра.
Тъй като пакетите се прихващат, можем да анализираме какво се случва с мрежовия трафик, просто трябва да кликнем върху пакета, който искаме да анализираме, за да ни покажат данните.
Ако приложим HTTP филтър към POST пакет и щракнем върху десния бутон на споменатия пакет и след това в падащото меню избираме опцията Follow TCP Stream или Follow TCP Flow, това означава да виждаме всичко, което се произвежда при създаването на уеб заявка към сървъра.
В резултат на това получаваме всички кодови и html транзакции, които се извършват в заявката, ако потребителят въведе парола за достъп до уебсайт, чрез този метод можем да видим паролата и потребителя, който използвам.