Уловете и анализирайте мрежовия трафик с Netsniff

Въвеждане и инсталиране на Netsniff

А нюхач е инструмент, който се използва за улавяне на трафик пакети от мрежа и анализиране на пакетите на живо, докато се използва една или повече мрежи, той ги декодира според спецификациите на протокола, който може да бъде TCP, ICMP или друг. Софтуерът Netsniff-ng е набор от инструменти, безплатен е и работи под Linux.

Неговата производителност е много висока, тъй като работи от командния ред, така че приемането и предаването на пакети се извършва директно в паметта на компютъра или сървъра. Netsniff-ng е създаден като мрежов снифър да бъдат включени в ядрото на Linux за мрежови пакети.

Netsniff-ng, улавяне на целия трафик в реално време и генерира файлове във формат pcap, които след това могат да бъдат анализирани със софтуера Wireshark. Инструментът netsniff-ng е достъпен за всички дистрибуции на операционни системи като Linux Ubuntu, Debian, Fedora и техните производни. Можем да го намерим и в конкретни дистрибуции за криминалистични задачи.

Ще приемем Ubutnu дистрибуция за тестване в този урок и ще видим два начина за инсталиране, един от хранилищата:

 sudo apt-get install netsniff-ng

Другият начин за инсталиране е да изтеглите приложението от официалния уебсайт http: //pub.netsniff-… rg / netsniff-ng / и да разархивирате, след което да получите достъп до папката и да изпълните следните команди:

 sh ./configure make sudo make install
След това ще видим как да улавяме трафик, за това трябва да зададем мрежовия интерфейс, който искаме да анализираме, например eth0 за кабелна връзка wlan0 за wifi, затова ще използваме следните команди:
 sudo netsniff-ng -i eth0 --out /home/myuser/capture-eth0.pcap 

Ние използваме -тиt, за да запишете всички снимки в pcap файл, който след това можем да отворим с Wireshark. Да отидем в менюто Файл> Отваряне и импортираме pcap файла, който генерирахме.

След това можем да започнем да анализираме, например ще търсим генериран трафик към страницата Solvetic.

Можем да видим, че от мрежовия интерфейс на eth0, който преглеждаше чрез http, в страницата с уроци Solvetic, може да се види също, че е направено от Chrome и какъв е IP, от който е прегледан.

Инструментът позволява улавяне на пакети от устройство, свързано към мрежа и създаване на файлове с всички PCAP, този файл със заснемания може да се използва и за улавяне само на един протокол, който ни интересува, например TCP, тоест ние улавяме само трафик, който влиза през интерфейса eth0 и го изпраща във файл.

 netsniff -ng -in eth0 -out капани -tcp -eth0.pcap -s tcp 

Можем да видим, че в този случай ние улавяме всички пакети, които използват TCP и HTTP протоколи, които се прехвърлят през мрежовия интерфейс eth0. Използвайки параметъра, ние посочваме, че заснетият трафик ще бъде записан в pcap файла, можем също така да посочим друг мрежов интерфейс за пренасочване на трафика от една мрежа в друга.

ПредишниСтраница 1 от 3Следващия

wave wave wave wave wave