Този път ще говорим за един от мрежови анализатори най -често срещаните, които съществуват в момента, Wireshark мрежов анализатор, която има повече от 500 000 изтегляния на месец и следователно показва своята ефективност, доверие и поддръжка при анализ на мрежова инфраструктура.
В рамките на Функции на Wireshark можем да подчертаем следното:
- Предлага се за Windows и Unix системи.
- Можем да филтрираме пакети според установените критерии.
- Възможно е да се заснемат моментни снимки на пакети на мрежов интерфейс.
- Възможно е импортиране на пакети в текстов формат.
- Можем да търсим пакети, използвайки редица критерии.
- Позволява ви да създавате статистика, наред с други.
Да се стартирайте Wireshark в Windows среди имаме нужда от следните изисквания:
- 400 MB RAM
- Работи на всяка версия на Windows на ниво сървър и десктоп
- 300 MB място на твърдия диск
За UNIX среди Wireshark може да работи на следните платформи:
- Debian
- Apple OS X
- FreeBSD
- Слънчев слънце
- Mandriva Linux, наред с други.
Преди да започнем как работи Wireshark, нека си припомним някои концепции за работа в мрежа, тъй като всичко това е потопено в този свят. Нека си припомним, че основната функция на мрежата позволява да се прехвърлят данни между две или повече устройства и всичко това благодарение на съвместна работа между хардуер и софтуер.
Проектирането на мрежа може да бъде структурирано по два начина:
- Клиентски сървър
- Peer to peer
Wireshark е проектиран да показва вашата информация между слоеве 2 до 7 на модела OSI. С Wireshark ще можем да извършваме мониторинг на живо на мрежовия трафик на нашата организация, което ни позволява да определяме проблеми, да извършваме анализи и още няколко задачи, позволяващи правилното функциониране на мрежовата среда. Като такива можем да заключим, че Wireshark е анализатор на пакети.
За това проучване ще използваме среда на Windows 7. След като изтеглим Wireshark, продължаваме с инсталацията, както следва:
1. Изтеглете и инсталирайте Wireshark
Софтуерът Wireshark може да бъде изтеглен от следната връзка:
Там ще намерим съвместимите файлове за изтегляне за системите:
- Windows
- MAC
- Linux
Изпълняваме файла, за да го инсталираме и процесът ще започне. Приемаме. Ще кликнете върху бутона съгласен съм За да приемем лицензионните условия, след като направим това, трябва да изберем компонентите за инсталиране на Wireshark.
Кликваме върху Следващия и можем да изберем дали да добавим иконите за бърз достъп или, между другото, да определим файловите разширения, свързани с Wireshark. Тогава къде ще бъде инсталиран Wireshark. След това инструментът ни казва дали искаме да инсталираме или не WinPcap (това е необходимо за улавяне на пакети на живо), избираме полето, по подразбиране е така и кликваме върху Следващия.
След това можем да изберем дали да инсталираме инструмента или не USBPcap, е позволява улавянето на USB трафик, най -препоръчително е да го инсталирате, маркираме кутията и кликваме върху Инсталирай за да стартирате процеса на инсталиране.
След като приключи, вече ще имаме инсталирано нашето приложение за Wireshark Network Analyzer готов да тръгвам. Сега в lnos се запознаваме с употребата и червата на това страхотно приложение.
2. Как да използвате Wireshark
Ще видим, че улавянето на пакети, което трябва да направим, се основава на локална връзка, може да се появят и други видове връзки като Wi Fi, Bluetooth и т.н. Чрез двукратно щракване върху нашия интерфейс ще видим, че целият текущ трафик се показва:
Като щракнете върху иконата 
Можем да редактираме всички опции на нашата мрежа, нека видим кой прозорец ни показва, когато натискаме тази икона:
Увеличете
Можем да видим, че имаме текущия IP адрес на системата, размера на буфера и т.н. В раздела Настроики Имаме алтернативи, които можем да избираме, като например актуализиране на пакети в реално време, разрешаване на мрежови имена, наред с други.
След като направим промените, ще натиснем Старт. Трябва да се отбележи, че в тази опция ние конфигурираме най -важните характеристики на Wireshark, например активирайте безразборния режим (активирайте всички пакети) или ограничаване на размера на пакета за улавяне. Нека да разгледаме малко околната среда на Wireshark.
В първия ред, преди да се запознаем малко с менюто, виждаме следното:
Този ред се състои от следното:
- N °: Определете вътрешния номер на процеса.
- Време: Време за връзка между източника и местоназначението
- Източник: Източник IP
- Дестинация: Дестинация IP
- Протокол: Протокол, използван за прехвърляне
- Дължина: Размер на опаковката
- Информация: Допълнителна информация за дестинацията
Ако искаме да запазим текущата работа, можем да я направим чрез менюто Файл, Запазване или Запазване като. За да отворим този файл, ще използваме опцията Отвори в менюто Файл.
Както виждаме в пакетен анализатор имаме много информация, например, ако прегледаме Протоколна колона Ще видим, че има ARP, HTTP, TCP протоколи между другото, ако искаме само да видим TCP протоколите ще използваме филтъра, за това въвеждаме термина TCP в полето „Прилагане на екранен филтър“ разположени в горната част и ние даваме Enter или натискаме бутона Apply this filter, ще видим, че в колоната Protocol има само TCP протоколи.
Увеличете
Увеличете
Можем да експортираме данните си в различни типове формат за по -добър анализ, те могат да бъдат експортирани в HTTP, SMB, TFTP и т.н. За да извършим експортирането, отиваме в менюто Файл и избираме Експортиране на обекти, ще изберем опцията HTTP.
Това е резултатът от нашия износ:
Нека да разгледаме различните опции на лентата с менюта в Wireshark.
Файл> Файл
В това меню откриваме основни опции като отваряне, запазване, експортиране, печат и др. Току -що наблюдавахме процеса на експортиране на файл.
Редактиране> Редактиране
От това меню можем да изпълняваме задачи като копиране, намиране на пакети, установяване на коментари и т.н. Ще разгледаме някои от тези опции подробно.
Например, ако искаме намерете всички DNS пакети в рамките на рамката, ще отворим Опция за намиране и ще въведем думата DNS или можем да използваме комбинацията CTRL + F:
Увеличете
Можем да видим, че всички DNS пакети са маркирани. За да добавим коментар ще използваме Опция за коментар на пакет.
Ще го видим отразено в главното меню:
Увеличете
Изглед> Изглед
От тази опция можем да дефинираме типовете изглед, които ще има нашата Wireshark, както и да определим формата на часа, размера на колоните, правилата за цветовете и т.н.
Можем да стартираме Опция Правила за оцветяване за да определим и ако искаме да редактираме цветовете, определени за различните протоколи.
Ако искате да създадете нов протокол, просто щракнете върху +, определете името и цвета и натиснете OK.
Заснемане> Заснемане
С тази опция можем да стартираме, спрем или рестартираме улавяне на пакети
В Опция за улавяне на филтри можем да дефинираме параметрите на улавянето.
Анализ> Анализ
В рамките на това меню можем създавайте филтри, редактирайте филтри, активирайте или деактивирайте протоколи, наред с други задачи.
Можем да разгърнем Опция за показване на филтри да наблюдават и при необходимост променят текущите филтри.
Ако искаме да добавим още филтри, натискаме бутона +, ако искаме да премахнем филтър, натискаме бутона -. Можем да анализираме пълния списък на всички разрешени протоколи, като използваме опцията Активирани протоколи или с помощта на клавишната комбинация:
Ctrl + Shift + E
Увеличете
Там наблюдаваме протокола и неговото описание.
Статистика> Статистика
Това е може би едно от най -пълните менюта, тъй като оттам можем да правим отчети, графики и други помощни програми, за да видим състоянието на пакетите.
Както виждаме, имаме няколко алтернативи, за да видим статистиката му, например ще създадем графика за вход и изход I / O графика.
В графиката можем да създадем настройки като цвета на линията, честотния интервал, конкретен ден и т.н. Ако изберем опцията Заснемете свойствата на файла Ще видим свойствата на файловете за улавяне, като техния размер, вида на криптирането, първия и последния пакет, наред с други подробности.
Ако изберете опцията IPv4 статистика и ние избираме Всички адреси Ще видим следния подробен доклад:
Ако искаме да видим поведението на TCP стрийминг можем да използваме опцията TCP поточни графики и изберете типа графика, ще видим следното:
В Въведете FastTab можем да променим типа на графиката. С опция Протоколна йерархия Можем да видим подробно изпратените пакети, размера и т.н.
Телефония> Телефония
В тази опция можем да анализираме всичко, свързано с протоколите, свързани с телефонните средства (Когато използваме това средство), можем да видим информация като:
- UCP съобщения
- ISUP съобщения
- SIP статистика и др.
Можем да отворим всяка от тези опции, но тъй като не работим с телефонни протоколи, резултатът ще бъде нула (0).
Безжичен
В това меню намираме информация, свързана с Безжични устройства, сдвоени с Wireshark (например, когато работим с лаптоп, мобилен телефон и т.н.)
Тъй като в това проучване работим повече с LAN мрежата (не с WiFi), всички опции в това меню ще се появят като нула или празни.
Инструменти> Инструменти
В това меню ще намерим всичко свързано с Приложение LUA, това е конзола, която позволява на разработчиците да създават скриптове за подобряване или разширяване на приложения.
Помощ> Помощ
От това меню можем да получим достъп до помощта на Wireshark, да видим екрани за това как да го стартираме, достъп до уебсайта на компанията, наред с други. Можем да осъзнаем това с опцията За Wireshark Можем да видим клавишните комбинации, включени в него, това може да ни помогне да ускорим определени процеси.
Например, когато използваме филтри, трябва да имаме предвид, че можем да използваме някои параметри като:
- Равна на: eq или ==
- Не същото: не или! =
- По-голям от: gt или>
- По-малък от: lt или <
- По -голямо или равно на: ge или> =
- По -малко или равно: него или <=
Можем да стартираме търсене, използвайки следния синтаксис:
tcp съдържа „solutiontic.com“По отношение на протоколите можем да споменем, че следните са най -често срещаните и с някои от техните допълнения:
- ssl > SSL (Socket Secure Layer) протокол.
- telnet > Telnet.
- dns > DNS. (Система за имена на домейни)
- msnms > Незабавни съобщения (Messenger).
- ftp > FTP протокол (можем да видим потребителското име и паролата).
- ftp-данни > Позволява преглед на данните от FTP протокола.
- ip > IP протокол.
- ip.src == 192.168.1.10 > Източник IP адрес.
- ip.dst == 192.168.1.30 > Целеви IP адрес.
- tcp > TCP протокол
- tcp.port == 80 > Ние посочваме пакетите с желания порт.
- tcp.srcport == 80 > Ние посочваме пристанището на произход.
- tcp.dstport == 80 > Ние посочваме пристанището на местоназначение.
- http > HTTP протокол
- http.host == ”www.solvetic.com” > Искаме да видим пакетите, които имат Solvetic като хост.
- http.date == "Сряда, 25 май 2016 17:08:35 GMT" > Пакети относно дата
- http.content_type == ”application / json” > Типът на приложението може да варира
- http.content_type == ”изображение / png” > PNG изображения
- http.content_type == ”изображение / gif.webp” > GIF.webp изображения
- http.content_type == ”image / jpeg.webp” > JPEG.webp изображения
- http.content_type == ”текст / html” > HTML файлове
- http.content_type == "текст / css" > CSS стилови таблици
- http.content_type == ”видео / quicktime” > Видеоклипове
- http.content_type == ”application / zip” > ZIP файлове
- http.request.method == „ВЗЕМЕТЕ“ > GET Тип заявка
- http.request.method == ”POST” > Тип заявка за POST
- http.user_agent съдържа "Mozilla" > Браузър Mozilla
- http.request.uri съвпада с „[0-9]“ > Използване на регулярни изрази.
Можем да видим големия обхват, който имаме с Wireshark за наблюдение на нашия трафик на пакети, прост пример за завършване, отваряме уебсайта Solvetic.
Можем да видим в Wireshark (Филтриране по DNS) заявката, която току -що направихме (Отворете уеб страницата Solvetic).
Увеличете
Ако щракнем двукратно върху този ред, можем да видим по-подробна информация за маршрута:
Ще можем да видим подробности като идентификатора на интерфейса, приблизителното време на пристигане на заявката, типа на мрежовата карта както на произход, така и на местоназначение и т.н.
Виждаме, че разполагаме с много ценен (и безплатен) инструмент, който ще ни позволи като администратори извършват постоянен мониторинг на целия мрежов трафик да гарантира качеството на комуникацията и правилното и безопасно предаване на цялата информация.
Поправете DNS на Windows, Linux и Mac
