Denne gang vil vi tale om en af de netværksanalysatorer mest almindelige, der findes i øjeblikket, Wireshark Network Analyzer, som har mere end 500.000 downloads om måneden, og derfor viser sin effektivitet, tillid og support, når man analyserer en netværksinfrastruktur.
Indenfor Wireshark funktioner vi kan fremhæve følgende:
- Fås til Windows- og Unix -systemer.
- Vi kan filtrere pakker efter fastlagte kriterier.
- Det er muligt at tage snapshots af pakker på en netværksgrænseflade.
- Det er muligt at importere pakker i tekstformat.
- Vi kan søge efter pakker ved hjælp af en række kriterier.
- Giver dig mulighed for at oprette blandt andet statistik.
Til køre Wireshark i Windows -miljøer vi har brug for følgende krav:
- 400 MB RAM
- Kører på enhver version af Windows på både server- og skrivebordsniveau
- 300 MB harddiskplads
For UNIX -miljøer kan Wireshark arbejde på følgende platforme:
- Debian
- Apple OS X
- FreeBSD
- Sol solaris
- Mandriva Linux, blandt andre.
Inden vi går i gang med, hvordan Wireshark fungerer, skal vi huske nogle begreber om netværk, da alt dette er nedsænket i denne verden. Lad os huske, at hovedfunktionen netværk er at tillade dataoverførsel mellem to eller flere enheder og alt dette takket være et fælles arbejde mellem hardware og software.
Designet af et netværk kan struktureres på to måder:
- Klient - Server
- Peer to peer
Wireshark er designet til at vise dine oplysninger mellem lag 2 til 7 i OSI -modellen. Med Wireshark vil vi være i stand til at udføre live overvågning af vores organisations netværkstrafik, så vi kan fastslå problemer, udføre analyser og et par flere opgaver, der muliggør korrekt funktion af netværksmiljøet. Som sådan kan vi konkludere det Wireshark er en pakkeanalysator.
Til denne undersøgelse vil vi bruge et Windows 7. miljø. Når vi har downloadet Wireshark, fortsætter vi med installationen som følger:
1. Download og installer Wireshark
Wireshark -softwaren kan downloades fra følgende link:
Der finder vi de kompatible downloadfiler til systemerne:
- Windows
- MAC
- Linux
Vi udfører filen for at installere den, og processen starter. Vi accepterer. Vi klikker på knappen jeg er enig For at acceptere licensvilkårene, når dette er gjort, skal vi vælge de komponenter, der skal installeres Wireshark.
Vi klikker videre Næste og vi kan vælge, om vi tilføjer genvejsikonerne eller i øvrigt bestemmer filudvidelserne, der er knyttet til Wireshark. Hvor vil Wireshark derefter blive installeret. Derefter fortæller værktøjet os, om vi vil installere eller ej WinPcap (dette er påkrævet for live packet capture), vælger vi boksen, som standard er den, og klikker på Næste.
Derefter kan vi vælge, om værktøjet skal installeres eller ej USB -kap, er gør det muligt at fange USB -trafik, det mest tilrådelige er at installere det, vi markerer feltet og klikker på Installere for at starte installationsprocessen.
Når den er færdig, vi vil allerede have vores Wireshark Network Analyzer -applikation installeret klar til at gå. Nu i lnos lærer vi brugen og tarmene af denne fantastiske applikation at kende.
2. Sådan bruges Wireshark
Vi vil se, at de pakkeoptagelser, vi skal foretage, er baseret på en lokalforbindelse, andre typer forbindelser kan forekomme, såsom Wi Fi, Bluetooth osv. Ved at dobbeltklikke på vores interface ser vi, at al aktuel trafik vises:
Ved at klikke på ikonet Vi kan redigere alle mulighederne i vores netværk, lad os se, hvilket vindue der viser os, når vi trykker på dette ikon:
FORSTØRRE
Vi kan se, at vi har systemets aktuelle IP -adresse, bufferstørrelse osv. På fanen Muligheder Vi har alternativer, som vi kan vælge, f.eks. Opdatering af pakker i realtid, løsning af netværksnavne, blandt andre.
Når vi har foretaget ændringerne, trykker vi på Start. Det skal bemærkes, at vi i denne mulighed konfigurerer f.eks. De vigtigste egenskaber ved Wireshark aktivere promiskuøs tilstand (aktiver alle pakker) eller begrænse pakkestørrelse til indfangning. Lad os se lidt på Wireshark -miljøet.
I den første række, før vi lærer menuen lidt at kende, ser vi følgende:
Denne linje består af følgende:
- Antal: Identificer procesens interne nummer.
- Tid: Forbindelsestid mellem oprindelse og destination
- Kilde: Kilde -IP
- Bestemmelsessted: Destinations -IP
- Protokol: Protokol brugt til overførsel
- Længde: Pakningsstørrelse
- Info: Yderligere destinationsoplysninger
Hvis vi vil gemme det aktuelle arbejde, kan vi gøre det via menuen Filer, Gem eller Gem som. For at åbne denne fil vil vi bruge indstillingen Åbn i menuen Filer.
Som vi ser i pakke analysator vi har mange oplysninger, for eksempel hvis vi gennemgår Protokol kolonne Vi vil se, at der er ARP-, HTTP-, TCP -protokoller blandt andre, hvis vi kun vil se TCP -protokollerne, vil vi bruge filteret, for dette indtaster vi udtrykket TCP i boksen "Anvend et displayfilter" placeret øverst, og vi giver Enter eller tryk på knappen Anvend dette filter, vil vi se, at i kolonnen Protokol er der kun TCP -protokoller.
FORSTØRRE
FORSTØRRE
Vi kan eksportere vores data til forskellige former for format for en bedre analyse, disse kan eksporteres til HTTP, SMB, TFTP osv. For at udføre eksporten går vi til menuen Filer og vælger Eksporter objekter, vælger vi HTTP -indstillingen.
Dette er resultatet af vores eksport:
Lad os tage et kig på de forskellige menulinjemuligheder i Wireshark.
Fil> Fil
Inden for denne menu finder vi grundlæggende muligheder, såsom åbne, gemme, eksportere, udskrive, blandt andre. Vi har lige observeret processen med at eksportere en fil.
Rediger> Rediger
Fra denne menu kan vi udføre opgaver som at kopiere, finde pakker, etablere kommentarer osv. Vi vil gennemgå nogle af disse muligheder i detaljer.
For eksempel hvis vi vil finde alle DNS -pakker inden for rammen, vi åbner Find mulighed og vi indtaster ordet DNS, eller vi kan bruge kombinationen CTRL + F:
FORSTØRRE
Vi kan se, at alle DNS -pakker er fremhævet. For at tilføje en kommentar bruger vi Mulighed for pakkekommentar.
Vi vil se det afspejles i hovedmenuen:
FORSTØRRE
Vis> Vis
Fra denne mulighed kan vi definere de typer visninger, som vores Wireshark vil have, samt definere tidsformatet, kolonnernes størrelse, farvereglerne osv.
Vi kan køre Mulighed for farvelægning af regler at bestemme, og hvis vi vil redigere, de farver, der er tildelt til de forskellige protokoller.
Hvis du vil oprette en ny protokol, skal du blot klikke på +, definere navn og farve og trykke på OK.
Capture> Capture
Med denne mulighed kan vi starte, stoppe eller genstarte en pakkeoptagelse
I Optag filtre vi kan definere parametrene for indfangningen.
Analyser> Analyse
Inden for denne menu kan vi oprette filtre, redigere filtre, aktivere eller deaktivere protokoller, blandt andre opgaver.
Vi kan implementere Mulighed for visning af filtre at observere og om nødvendigt ændre de nuværende filtre.
Hvis vi vil tilføje flere filtre, trykker vi på knappen +, hvis vi vil fjerne et filter, trykker vi på knappen -. Vi kan analysere den komplette liste over alle aktiverede protokoller ved hjælp af indstillingen Aktiverede protokoller eller ved hjælp af tastekombinationen:
Ctrl + Shift + E
FORSTØRRE
Der observerer vi protokollen og dens beskrivelse.
Statistik> Statistik
Det er måske en af de mest komplette menuer, da vi derfra kan lave rapporter, grafer og andre hjælpeprogrammer for at se pakkernes status.
Som vi kan se, har vi flere alternativer til at se dens statistik, for eksempel skal vi oprette en input- og outputgraf I / O -graf.
I grafen kan vi oprette indstillinger såsom linjens farve, frekvensintervallet, en bestemt dag osv. Hvis vi vælger indstillingen Optag filegenskaber Vi vil se egenskaberne for capture -filerne, såsom deres størrelse, typen af kryptering, den første og den sidste pakke, blandt andre detaljer.
Hvis du vælger indstillingen IPv4 -statistik og vi vælger Alle adresser Vi vil se følgende detaljerede rapport:
Hvis vi vil se adfærden hos TCP -streaming vi kan bruge indstillingen TCP Stream -grafer og vælg graftypen, ser vi følgende:
I Skriv hurtigfanen vi kan ændre graftypen. Med mulighed Protokolhierarki Vi kan se detaljeret de sendte pakker, størrelsen osv.
Telefoni> Telefoni
I denne mulighed kan vi analysere alt relateret til de protokoller, der er forbundet med telefonmidlerne (Når vi bruger dette middel), kan vi se oplysninger som:
- UCP -beskeder
- ISUP beskeder
- SIP -statistik mv.
Vi kan åbne enhver af disse muligheder, men da vi ikke arbejder med telefonprotokoller, vil resultatet være nul (0).
Trådløs
I denne menu finder vi oplysninger om Trådløse enheder parret med Wireshark (for eksempel når vi arbejder med en bærbar computer, mobil osv.)
Som i denne undersøgelse arbejder vi mere med LAN -netværket (ikke med WiFi) alle mulighederne i denne menu vises som nul eller tomme.
Værktøjer> Værktøjer
I denne menu finder vi alt relateret til LUA app, dette er en konsol, der giver udviklere mulighed for at oprette scripts for at forbedre eller udvide applikationer.
Hjælp> Hjælp
Fra denne menu kan vi få adgang til Wireshark -hjælp, se skærme om, hvordan du kører den, få adgang til virksomhedens websted, blandt andre. Det kan vi indse med muligheden Om Wireshark Vi kan se tastaturgenveje inkluderet i det, dette kan hjælpe os med at fremskynde visse processer.
For eksempel, når vi bruger filtre, skal vi huske på, at vi kan bruge nogle parametre som:
- Svarende til: eq eller ==
- Ikke det samme: ne eller! =
- Bedre end: gt eller>
- Mindre end: lt eller <
- Større end eller lig med: ge eller> =
- Mindre end eller lig med: ham eller <=
Vi kan køre en søgning ved hjælp af følgende syntaks:
tcp indeholder "solvetic.com"Med hensyn til protokollerne kan vi nævne, at følgende er de mest almindelige og med nogle af deres tilføjelser:
- ssl > SSL (Socket Secure Layer) protokol.
- telnet > Telnet.
- dns > DNS. (Domain Name System)
- msnms > Instant Messaging (Messenger).
- ftp > FTP -protokol (vi kunne se brugernavn og adgangskode).
- ftp-data > Gør det muligt at se FTP -protokoldata.
- ip > IP -protokol.
- ip.src == 192.168.1.10 > Kilde -IP -adresse.
- ip.dst == 192.168.1.30 > Destinationens IP -adresse.
- tcp > TCP -protokol
- tcp.port == 80 > Vi angiver pakkerne med den ønskede port.
- tcp.srcport == 80 > Vi angiver oprindelseshavnen.
- tcp.dstport == 80 > Vi angiver destinationshavnen.
- http > HTTP -protokol
- http.host == ”www.solvetic.com” > Vi vil se de pakker, der har Solvetic som vært.
- http.date == "Ons, 25. maj 2016 17:08:35 GMT" > Pakker vedrørende en dato
- http.content_type == ”application / json” > Ansøgningstypen kan variere
- http.content_type == ”billede / png” > PNG -billeder
- http.content_type == ”billede / gif.webp” > GIF.webp -billeder
- http.content_type == ”image / jpeg.webp” > JPEG.webp -billeder
- http.content_type == ”tekst / html” > HTML -filer
- http.content_type == "tekst / css" > CSS -stilark
- http.content_type == ”video / quicktime” > Videoer
- http.content_type == ”application / zip” > ZIP -filer
- http.request.method == ”GET” > HENT anmodningstype
- http.request.method == ”POST” > POST -anmodningstype
- http.user_agent indeholder "Mozilla" > Mozilla browser
- http.request.uri matcher "[0-9]" > Brug af regulære udtryk.
Vi kan se det store omfang, vi har med Wireshark til at overvåge vores pakketrafik, et enkelt eksempel til afslutning, vi åbner Solvetic -webstedet.
Vi kan se i Wireshark (Filtrering efter DNS) den forespørgsel, vi lige har lavet (Åbn Solvetic -websiden).
FORSTØRRE
Hvis vi dobbeltklikker på den række, kan vi se mere detaljerede oplysninger om ruten:
Vi vil kunne se detaljer såsom grænseflade -id, anmodningens omtrentlige ankomsttid, typen af netværkskortet med både oprindelse og destination osv.
Vi kan se, at vi har et meget værdifuldt (og gratis) værktøj til rådighed, som gør det muligt for os som administratorer udføre konstant overvågning af al netværkstrafik at garantere kommunikationskvaliteten og den korrekte og sikre levering af alle oplysninger.
Fix DNS på Windows, Linux og Mac