Kluczowe cechy Wireshark
Ten całkowicie darmowy program pozwala nam dogłębnie badać setki protokołów, ponieważ obsługuje protokoły warstwy fizycznej, protokoły łączy, protokoły sieciowe, warstwę transferu, a także poziom aplikacji. Umożliwi nam to pobieranie w czasie rzeczywistym, a kiedy zakończymy odbieranie wszystkich przychodzących i wychodzących pakietów z naszej przewodowej lub bezprzewodowej karty sieciowej, możemy wykonać głębokie skanowanie offline, tj. na innym komputerze (lub tym samym) i w dowolnym momencie.
Wireshark pozwala nam zobaczyć cały ruch rejestrowany przez GUI za pomocą samego programu, jednak możemy również zobaczyć wszystkie informacje zarejestrowane za pomocą programu TShark, narzędzia działającego na konsoli i umożliwiającego odczytanie zawsze za pomocą polecenia wiersza CLI aby zobaczyć je wszystkie na przykład przez SSH. Główną cechą każdego analizatora pakietów są filtry, dzięki którym pokazuje nam tylko to, co chcemy nam pokazać, bez dodatkowych informacji, które tworzą dodatkową pracę.
Wireshark może czytać i pisać w różnych formatach pobierania, takich jak tcpdump (libpcap), pcap ng i wielu innych rozszerzeniach, aby idealnie dopasować się do różnych programów do dalszej analizy. Innym ważnym aspektem jest to, że nagrany obraz można skompresować za pomocą GZIP w podróży i oczywiście również rozpakować w podróży, jeśli przechwytywanie jest odczytywane. Oczywiście jest w stanie odczytywać dane z różnych technologii sieciowych takich jak Ethernet, IEEE 802.11, PPP/HDLC, ATM, Bluetooth, USB, Token Ring, Frame Relay, FDDI i inne. Dziś mamy wiele protokołów z zaszyfrowanymi danymi, dzięki odpowiedniemu kluczowi prywatnemu Wireshark jest w stanie odszyfrować ruch różnych protokołów takich jak IPsec, ISAKMP, Kerberos, SNMPv3, SSL/TLS, WEP i WPA/WPA2.
Po zapoznaniu się z głównymi funkcjami pobierzemy go i zainstalujemy.
Ściągnij i zainstaluj
Ten program jest całkowicie darmowy, mamy natychmiastowy dostęp Oficjalna strona internetowa Wireshark gdzie można znaleźć linki do jej pobrania. Instalacja tego programu jest bardzo prosta, wystarczy postępować zgodnie z instrukcjami kreatora instalacji i na koniec ponownie uruchomić komputer. Wireshark to stale aktualizowany program, dlatego zaleca się, aby zawsze mieć zainstalowaną najnowszą wersję na komputerze, aby korzystać z najnowszych wiadomości.
Jeśli masz system operacyjny oparty na Linuksie, jest bardzo prawdopodobne, że masz Wireshark w swoim menedżerze pakietów i będziesz musiał uruchomić tylko to polecenie:
sudo apt install wireshark
Gdy zobaczymy, jak pobrać i zainstalować Wireshark, użyjemy go do pobrania danych.
Przechwytuj ruch za pomocą Wireshark w systemie Windows 10
Do rejestrowania ruchu używaliśmy systemu operacyjnego Windows 10, ale w systemie Linux lub macOS jest on dokładnie taki sam, jak dokładnie ten sam graficzny interfejs użytkownika. Pierwszą rzeczą, jaką zobaczymy po uruchomieniu tego programu, są wszystkie karty sieciowe i interfejsy sieciowe na naszym komputerze, w naszym przypadku mamy w sumie trzy karty sieciowe przewodowe (ASUS XG-C100C, Realtek 2.5G i Intel 1G), jeden Karta sieciowa Wi-Fi (WiFi 2), dodatkowo mamy kilka wirtualnych interfejsów sieciowych odpowiadających interfejsom VMware i Virtual Box.
Wireshark pozwala nam rejestrować ruch z dowolnej karty sieciowej, fizycznej lub wirtualnej, wystarczy jasno określić, która karta sieciowa jest aktualnie używana iz której chcemy rejestrować ruch sieciowy. W naszym przypadku jest to ASUS XG-C100C, więc po prostu klikamy dwukrotnie tę zakładkę.
Po dwukrotnym kliknięciu automatycznie rozpocznie rejestrowanie całego przychodzącego i wychodzącego ruchu sieciowego. Oto kilka sugestii ZANIM zarejestrujesz ruch:
- Zamknij wszystkie programy ruchu sieciowego, których nie chcesz ukraść
- Upewnij się, że firewall jest wyłączony, ponieważ może blokować część ruchu i nie pojawi się w Wireshark lub tylko część wygenerowanego ruchu zostanie wyświetlona.
- Jeśli chcemy przechwycić ruch danych generowany przez aplikację, zaleca się odczekać 1 sekundę przed jej uruchomieniem i przechwycić ruch sieci komputerowej, a następnie uruchomić tę aplikację, a na koniec zamknąć aplikację i odczekać 1 sekundę przed zatrzymaniem się w celu pobrania w górę ruchu
Dzięki tym sugestiom jesteśmy pewni, że rejestracja Twojego ruchu zakończy się sukcesem.
W tym dzienniku ruchu możesz zobaczyć ruch z różnych protokołów, zarówno ruch sieciowy protokołu, jak i ruch TCP i ruch TLSv1.2 z różnych otwartych aplikacji.
Z każdym wprowadzeniem danych będziemy mogli zobaczyć i szczegółowo przejrzeć cały pakiet danych, zarówno na poziomie aplikacji, transportu, sieci, łącza, jak i fizycznym, np. Wireshark dostarczy nam informacje w warstwach, aby ułatwić wyszukiwanie informacji. musimy wiedzieć.
Oczywiście powie nam również, jakie są porty źródłowe i docelowe, jeśli używamy TCP lub UDP, a nawet możemy zobaczyć numery sekwencyjne w zaawansowany sposób i jeśli połączenie było RST lub segment musiał zostać przekazany z powodu problem.
Na poniższym zrzucie ekranu możesz zobaczyć wynik uruchomienia polecenia „nslookup www.redeszone.net” z konsoli, zadać zapytanie DNS na serwerze DNS, a on automatycznie odpowie na rozdzielczość DNS otrzymaną z poprzedniej domeny. Oczywiście ten ruch jest mieszany z innym ruchem, który mamy na naszym komputerze z różnych aplikacji, dlatego tak ważne jest zamknięcie wszystkich aplikacji korzystających z połączenia internetowego, zanim zaczniemy rejestrować ruch.
Oto odpowiedź serwera DNS na poprzednie zapytanie DNS:
Jeśli wykonamy typowy ping za pomocą protokołu ICMP, to również pokaże nam się doskonale, pokaże nam zarówno „żądanie echa”, jak i „odpowiedź echa”.
Jak widać, bardzo łatwo jest rejestrować dane za pomocą Wireshark, aby analizować cały ruch sieciowy. Jeśli chcesz zapisać to pobranie, po prostu kliknij czerwony przycisk „Zatrzymaj”, aby zatrzymać nagrywanie danych, a następnie kliknij „Plik / Zapisz”, aby je zapisać.
Możemy zapisać ten dziennik na naszym komputerze lub nośniku zewnętrznym w celu dalszej analizy lub przesłać do specjalisty, który wykryje problem, chociaż wiemy, że będzie miał dostęp do całego zarejestrowanego ruchu. , musisz go wysłać do zaufanej osoby. Jeśli przechwyciliśmy ruch przy użyciu TLS lub IPsec, będziesz potrzebować odpowiedniego klucza deszyfrującego, więc nie będziesz mógł go „odczytać” bez tej informacji, to samo dotyczy ruchu WPA/WPA2, bez klucza nie jesteś w stanie przeczytaj ruch wewnętrzny.
Istnieje wiele systemów operacyjnych dla routerów i zapór sieciowych, które mają wbudowany czujnik pakietów, ten wbudowany czujnik pakietów pozwoli nam rejestrować cały ruch sieciowy z jednego lub więcej interfejsów fizycznych lub logicznych, a nawet możemy zdefiniować, co chcemy tylko rejestrują ruch z lub do konkretnego IP/portu, dzięki czemu rejestracja, którą wykonamy nie będzie na tyle obszerna, aby zajmować kilka MB lub GB informacji. Te systemy operacyjne pozwolą nam wyeksportować pobrane pliki w formacie pcap, więc później możemy otworzyć to przechwycenie za pomocą Wireshark i szczegółowo je zbadać. Na przykład pfSense zawiera dość obszerny pakiet do pobrania, aby ograniczyć rejestrowanie danych na interfejs, a my będziemy mieli przycisk, który pozwoli nam pobrać zarejestrowane dane do dalszej analizy. Dzięki zastosowaniu Wireshark będziemy mogli zewnętrznie załadować ten nowo utworzony i zastosować wszystkie filtry Wireshark, aby zobaczyć tylko to, co nas interesuje, a nie całość, która jest rejestrowana przez pfSense. To samo dotyczy oprogramowania routera, takiego jak AVM, które ma wewnętrzny analizator pakietów do wykrywania problemów z konfiguracją lub na poziomie sieci.
Mamy nadzieję, że ten samouczek pomoże Ci rejestrować ruch danych za pomocą tego wspaniałego programu i że będziesz w stanie wykryć problemy z siecią, poza tym nie zapominaj, że pozwala nam również otworzyć pobieranie pcap i inne formaty w celu przeprowadzenia dogłębnej analizy nagrane zewnętrznie inne programy lub aplikacje.