Съдържание
Wireshark, инструмент за анализ на мрежа в реално време, улавя пакети и протоколи в реално време и ги показва в графичен и изброен формат.Wireshark е анализатор на пакети, които циркулират в мрежа, този софтуер може да се изпълнява на Linux, Windows, OS X, Solaris.
Можем да изтеглим софтуера от официалната страница на Wireshark, ако искаме да го инсталираме на Linux, той вече идва в хранилищата.
Тъй като Windows е инсталиран като всяка програма, в този урок ще инсталираме за Linux, от прозореца на терминала ще напишем следните команди:
sudo apt-get install wiresharkАко искате да го инсталирате на сървър и да управлявате софтуера в текстова форма, имаме възможност да го инсталираме в текстов режим и софтуерът се нарича Tshark. За да го инсталирате от терминален прозорец, ние пишем следните команди:
sudo apt-get install tsharkСлед това ще трябва да изпълним Wireshark с администраторски права, тъй като той ще трябва да има разрешения за достъп до мрежата и да може да наблюдава пакетите, които посочваме. В нашия случай, за да стартираме или от менюто, или от терминала, ще използваме следната команда:
gksudo wiresharkТова ще ни поиска потребителското име и паролата за достъп в администраторски или root режим.
Когато стартираме, можем да видим списък с интерфейси, които са наличните мрежи, в примера имаме wifi мрежа wlan0 и ethernet eth0, там можем да изберем коя мрежа или интерфейси искаме да анализираме.
Под списъка с интерфейси имаме опции за улавяне или опции за улавяне. Опциите включват анализ в безразборен режим и режим на улавяне и т.н.В рамките на опциите за улавяне можем да конфигурираме кои протоколи и услуги да наблюдаваме, за да видим какви процеси и платформи получават и изпращат данни в мрежата.
Създайте проследяващ филтър
В лентата Филтри можем да конфигурираме типа мониторинг, който искаме да извършим, например, избираме eth0 в списъка с интерфейси и натискаме Старт, ще се отвори прозорец и ще видим как софтуерът улавя всички пакети, за потребители има много. Софтуерът улавя много протоколи, включително системни, тоест вътрешни съобщения от устройства и операционни системи.
Например, ние натискаме Filter и след това избираме HTTP, така че филтрираме трафика само от http протокола, тоест заявки за уеб страници през порт 80.
Отваряме браузъра и Google на уебсайта Solvetic.com, Wireshark ще ни покаже http и tcp данните, които се произвеждат за осъществяване на връзката, тъй като виждаме, че tcp и http протоколите се използват за търсене и след това показват мрежата.
Тук можем да видим направените заявки. В рамките на http филтъра можем да видим различни опции за протокол като заявки, отговори и т.н. Чрез прилагане на http.request филтър е възможно да се получат всички заявки и отговори, получени с GET и POST, които се извършват в браузъра или във всички компютри в мрежата, анализирайки заявките, които можем да открием възможни злонамерени дейности.
След това ще анализираме уловените данни, когато щракнем върху всеки уловен елемент, ще видим информация за пакета с данни, полето Frame, което идентифицира размера на заснетия пакет, времето, необходимо, кога е изпратено и през което интерфейси.
Полето Ethernet II принадлежи към данните, които се генерират в слоя за връзка към данни, ако видим OSI модел, тук имаме произход и местоназначение, IP адреси, mac адреси и вида на използвания протокол.
Полето Internet Protocol ще ни покаже IP дейтаграмата с IP адресите, протоколът за управление на предаването или полето TPC е този, който попълва протокола за предаване на TCP / IP. След това имаме HTTP заглавки, където получаваме рендерираните данни от уеб комуникацията.
Ще видим пример, в който конфигурираме да улавя всички мрежи и връзки, когато показваме списъка, който филтрираме и търсим поп връзки, тоест входяща поща.
Виждаме, че всички POP връзки са към IP, тоест към VPS, където са пощенските акаунти, така че той комуникира там.
Ако изпратим някои имейли и след това филтрираме по smtp протокол, ще видим всички съобщения, изпратени от сървъра или всеки компютър в мрежата със съответния им IP, откъдето е изпратен и откъдето е изпратен, винаги можем да използваме уеб http: //www.tcpiputils. com, за да се определят данните на конкретен IP.
Друг филтър, който можем да приложим, е DNS филтърът, за да можем да видим кои DNS са консултирани, които генерират трафик.
В този случай направихме няколко търсения и можем да видим DNS на Google, тези на Google maps, Google шрифтове, addons.mozilla и DNS на Facebook чат, ще проверим IP.
Откриваме, че компютър в нашата мрежа е свързан към чата във Facebook и знаем точно в колко часа е свързан.
След това ще следим заявките към Mysql сървър. Мрежовите администратори обикновено нямат дневник на заявки, направени към база данни, но с помощта на Wireshark можете да следите всички заявки и да запазвате този дневник и да показвате списък като дневник на заявки. За да филтрираме пакетите mysql, трябва да използваме филтъра Mysql или mysql.query, ако искаме само да видим SELECTs или някакъв конкретен израз.
Ще се опитаме да направим някои заявки към локалния сървър на база данни и с помощта на тестовата база данни Sakila, която е безплатна и с отворен код, база данни, която използвахме в комбинациите от уроци MySQL с Inner Join.
Извършваме SQL заявка и Wireshark ще записва всяка заявка, IP източника на заявката, IP адреса на местоназначението, sql заявката, потребителя, който е влязъл.
Също така, ако видим един от пакетите, той ни казва, че е бил достъпен със софтуер, наречен Heidisql.exe и това е опасна или подозрителна програма.
Въпреки че е възможно да се управляват отдалечени бази данни с този софтуер, това не е най -препоръчително, тъй като би било необходимо да се разрешат външни връзки към сървъра.
Филтри Wireshark Те са много и обхващат всички протоколи на мрежа, а също и най -популярните протоколи за уебсайтове.
Тъй като пакетите се прихващат, можем да анализираме какво се случва с мрежовия трафик, просто трябва да кликнем върху пакета, който искаме да анализираме, за да ни покажат данните.
Ако приложим HTTP филтър към POST пакет и щракнем върху десния бутон на споменатия пакет и след това в падащото меню избираме опцията Follow TCP Stream или Follow TCP Flow, това означава да виждаме всичко, което се произвежда при създаването на уеб заявка към сървъра.
В резултат на това получаваме всички кодови и html транзакции, които се извършват в заявката, ако потребителят въведе парола за достъп до уебсайт, чрез този метод можем да видим паролата и потребителя, който използвам.
Като се има предвид, че Wireshark следи голям брой протоколи и услуги в мрежа и всички пакети, които влизат и излизат, рискът от грешка в кода на анализатора може да изложи сигурността на мрежата, ако не знаем какво е се случва с всеки пакет, така че е важно да знаем как правилно да тълкуваме информацията, която Wireshark ни дава.Хареса ли ви и помогнахте на този урок?Можете да възнаградите автора, като натиснете този бутон, за да му дадете положителна точка