Indholdsfortegnelse
Wireshark, et realtidsværktøj til analyse af netværk, fanger pakker og protokoller i realtid og viser dem i grafisk og opført format.Wireshark er en analysator af pakker, der cirkulerer på et netværk, denne software kan køres på Linux, Windows, OS X, Solaris.
Vi kan downloade softwaren fra den officielle Wireshark -side, hvis vi vil installere det på Linux, kommer det allerede i lagrene.
Da Windows er installeret som ethvert program, installerer vi i denne vejledning til Linux, fra terminalvinduet skriver vi følgende kommandoer:
sudo apt-get install wiresharkHvis du vil installere det på en server og administrere softwaren i tekstform, har vi mulighed for at installere det i teksttilstand, og softwaren hedder Tshark. For at installere det fra et terminalvindue skriver vi følgende kommandoer:
sudo apt-get install tsharkDernæst bliver vi nødt til at udføre Wireshark med administratorrettigheder, da det skal have tilladelser for at få adgang til netværket og for at kunne overvåge de pakker, vi angiver. I vores tilfælde vil vi bruge følgende kommando for at starte enten fra menuen eller fra terminalen:
gksudo wiresharkDette vil bede os om brugernavn og adgangskode for at få adgang i administrator- eller rodtilstand.
Når vi starter kan vi se en liste over grænseflader, der er de tilgængelige netværk, i eksemplet har vi et wifi -netværk wlan0 og ethernet eth0, der kan vi vælge hvilket netværk eller grænseflader vi vil analysere.
Under listen over grænseflader har vi Capture Options eller Capture Options. Mulighederne omfatter analyse i promiskuøs tilstand og optagelsestilstand osv.Inden for fangstmulighederne kan vi konfigurere, hvilke protokoller og tjenester der skal overvåges for at se, hvilke processer og platforme der modtager og sender data inden for netværket.
Opret et sporingsfilter
I filtreringslinjen kan vi konfigurere den type overvågning, vi ønsker at udføre, f.eks. Vælger vi eth0 på listen over grænseflader og trykker på Start, et vindue åbnes, og vi vil se, hvordan softwaren fanger alle pakkerne, for en bruger der er mange. Softwaren fanger mange protokoller, herunder system -protokoller, det vil sige interne meddelelser fra enheder og operativsystemer.
For eksempel trykker vi på Filter og vælger derefter HTTP, så vi filtrerer kun trafikken fra http -protokollen, det vil sige websider forespørgsler gennem port 80.
Vi åbner browseren og Google Solvetic.com -webstedet, Wireshark viser os de http- og tcp -data, der produceres for at oprette forbindelsen, når vi ser, at tcp- og http -protokollerne bruges til søgningen og derefter viser internettet.
Her kan vi se anmodningerne. Inden for http -filteret kan vi se forskellige protokolindstillinger såsom anmodninger, svar osv. Ved at anvende http.request -filteret er det muligt at få alle de anmodninger og svar, der modtages med GET og POST, der udføres i browseren eller på alle computere på netværket, og analysere anmodningerne, som vi kan registrere mulige ondsindede aktiviteter.
Dernæst skal vi analysere de indfangede data, når vi klikker på hvert fanget element, vil vi se oplysninger om datapakken, feltet Frame, der identificerer størrelsen af den fangede pakke, den tid det tog, hvornår den blev sendt og igennem hvilken grænseflader.
Ethernet II -feltet tilhører de data, der genereres i datalinklaget, hvis vi ser OSI model, her har vi oprindelse og destination, IP'erne, mac -adresserne og den anvendte protokol.
Internet Protocol -feltet viser os IP -datagrammet med IP -adresserne, Transmission Control Protocol eller TPC -feltet er den, der udfylder TCP / IP -transmissionsprotokollen. Så har vi HTTP -headere, hvor vi modtager de gengivne data fra webkommunikationen.
Vi vil se et eksempel, hvor vi konfigurerer til at fange alle netværk og forbindelser, når vi viser listen, filtrerer vi og leder efter popforbindelser, det vil sige indgående mail.
Vi ser, at POP -forbindelserne alle er til en IP, der er til en VPS, hvor mailkonti er, så det kommunikerer der.
Hvis vi sender nogle e -mails og derefter filtrerer efter smtp -protokol, ser vi alle meddelelser sendt fra serveren eller hver computer på netværket med dens respektive IP, hvorfra den blev sendt, og hvor den blev sendt, vi kan altid bruge web -http: //www.tcpiputils. com, for at bestemme dataene for en bestemt IP.
Et andet filter, som vi kan anvende, er DNS -filteret for at kunne se, hvilken DNS der konsulteres, der genererer trafik.
I dette tilfælde har vi foretaget flere søgninger, og vi kan se DNS for Google, Google Maps, Google -skrifttyper, addons.mozilla og en DNS til en Facebook -chat, vi vil kontrollere IP'en.
Vi opdager, at en computer på vores netværk er forbundet til Facebook -chatten, og vi ved nøjagtigt, på hvilket tidspunkt den var forbundet.
Dernæst vil vi holde styr på forespørgsler til en Mysql -server. Netværksadministratorer har normalt ikke en log med forespørgsler, der foretages til en database, men ved hjælp af Wireshark kan du holde styr på alle forespørgsler og gemme denne log og vise en fortegnelse som en forespørgselslog. For at filtrere mysql -pakker skal vi bruge Mysql -filteret eller mysql.query, hvis vi kun vil se SELECTs eller en bestemt sætning.
Vi vil prøve at stille nogle forespørgsler til den lokale databaseserver og bruge Sakila -testdatabasen, der er gratis og open source, en database, som vi brugte i MySQL -vejledningskombinationerne med Inner Join.
Vi udfører en SQL -forespørgsel, og Wireshark registrerer hver forespørgsel, forespørgselens kilde -IP, destinations -IP, sql -forespørgsel, brugeren, der har logget ind.
Også hvis vi ser en af pakkerne, fortæller den os, at den blev tilgået med en software kaldet Heidisql.exe og det er et usikkert eller mistænkeligt program.
Selvom det er muligt at administrere eksterne databaser med denne software, er det ikke den mest anbefalede, da det ville være nødvendigt at tillade eksterne forbindelser til serveren.
Filtre Wireshark De er mange og dækker alle et netværks protokoller og også de mest populære webstedsprotokoller.
Da pakker opfanges, kan vi analysere, hvad der sker med netværkstrafikken, vi skal bare klikke på den pakke, som vi vil analysere for at vise os dataene.
Hvis vi anvender et HTTP-filter på en POST-pakke og klikker på den højre knap på pakken, og derefter vælger vi i rullemenuen muligheden Følg TCP Stream eller Følg TCP Flow, det betyder at se alt, hvad der produceres, når du laver et web anmodning til serveren.
Som et resultat heraf får vi alle de kode- og html -transaktioner, der udføres i anmodningen, hvis brugeren indtaster et kodeord for at få adgang til et websted, kan vi via denne metode se adgangskoden og den bruger, jeg bruger.
I betragtning af at Wireshark overvåger et stort antal protokoller og tjenester i et netværk og alle de pakker, der kommer ind og ud, kan risikoen for en fejl i analysatorkoden bringe netværkssikkerheden i fare, hvis vi ikke ved, hvad der er sker med hver pakke, så det er vigtigt at vide, hvordan man korrekt fortolker de oplysninger, Wireshark giver os.Kan du lide og hjælpe denne vejledning?Du kan belønne forfatteren ved at trykke på denne knap for at give ham et positivt punkt