Fånga och analysera nätverkstrafik med Wireshark

Innehållsförteckning
Wireshark, ett nätverksanalysverktyg i realtid, fångar paket och protokoll i realtid och visar dem i grafiskt och listat format.
Wireshark är en analysator av paket som cirkulerar i ett nätverk, den här programvaran kan köras på Linux, Windows, OS X, Solaris.
Vi kan ladda ner programvaran från den officiella Wireshark -sidan, om vi vill installera den på Linux kommer den redan i lagren.

Eftersom Windows är installerat som alla program, kommer vi i den här självstudien att installera för Linux, från terminalfönstret skriver vi följande kommandon:
 sudo apt-get install wireshark
Om du vill installera den på en server och hantera programvaran i textform har vi möjlighet att installera den i textläge och programvaran heter Tshark. För att installera det från ett terminalfönster skriver vi följande kommandon:
 sudo apt-get install tshark
Därefter måste vi köra Wireshark med administratörsrättigheter eftersom det måste ha behörigheter för att komma åt nätverket och för att kunna övervaka paketen som vi anger. I vårt fall kommer vi att använda följande kommando för att starta antingen från menyn eller från terminalen:
 gksudo wireshark
Detta kommer att be oss om användarnamn och lösenord för åtkomst i administratörs- eller rotläge.

När vi börjar kan vi se en lista över gränssnitt som är tillgängliga nätverk, i exemplet har vi ett wifi -nätverk wlan0 och ethernet eth0, där kan vi välja vilket nätverk eller gränssnitt vi vill analysera.

Under listan över gränssnitt har vi Capture Options eller Capture Options. Alternativen inkluderar analys i promiskuöst läge och capture -läge, etc.
Inom fångningsalternativen kan vi konfigurera vilka protokoll och tjänster som ska övervakas för att se vilka processer och plattformar som tar emot och skickar data i nätverket.

Skapa ett spårningsfilter


I filterfältet kan vi konfigurera vilken typ av övervakning vi vill utföra, till exempel väljer vi eth0 i listan över gränssnitt och trycker på Start, ett fönster öppnas och vi får se hur programvaran fångar alla paket, för en användare det finns många. Programvaran fångar många protokoll inklusive system, det vill säga interna meddelanden från enheter och operativsystem.
Till exempel trycker vi på Filter och väljer sedan HTTP, så vi filtrerar trafiken endast från http -protokollet, det vill säga webbsideförfrågningar via port 80.
Vi öppnar webbläsaren och Google Solvetic.com -webbplatsen, Wireshark visar oss http- och tcp -data som produceras för att upprätta anslutningen när vi ser att tcp- och http -protokollen används för sökningen och sedan visar webben.

Här kan vi se önskemålen. Inom http -filtret kan vi se olika protokollalternativ som förfrågningar, svar etc. Genom att tillämpa http.request -filtret är det möjligt att få alla förfrågningar och svar som tas emot med GET och POST som utförs i webbläsaren eller i alla datorer i nätverket och analyserar förfrågningarna som vi kan upptäcka möjliga skadliga aktiviteter.
Därefter ska vi analysera de fångade data, när vi klickar på varje fångat objekt kommer vi att se information om datapaketet, ramfältet som identifierar storleken på det fångade paketet, tiden det tog, när det skickades och genom vilket gränssnitt.
Ethernet II -fältet tillhör data som genereras i datalänkskiktet om vi ser OSI -modell, här har vi ursprung och destination, IP -adresser, mac -adresser och vilken typ av protokoll som används.
Fältet Internet Protocol visar oss IP -datagrammet med IP -adresserna, Transmission Control Protocol eller TPC -fältet är den som fyller i TCP / IP -överföringsprotokollet. Sedan har vi HTTP -rubrikerna där vi tar emot renderade data från webbkommunikationen.
Vi kommer att se ett exempel där vi konfigurerar för att fånga alla nätverk och anslutningar, när vi visar listan filtrerar vi och letar efter pop -anslutningar, det vill säga inkommande e -post.

Vi ser att POP -anslutningarna alla är till en IP som är till en VPS där e -postkonton finns, så det kommunicerar där.
Om vi ​​skickar några e -postmeddelanden och sedan filtrerar efter smtp -protokoll kommer vi att se alla meddelanden som skickas från servern eller varje dator i nätverket med sin respektive IP från var den skickades och var den skickades, vi kan alltid använda webben http: //www.tcpiputils. com, för att bestämma data för en specifik IP.
Ett annat filter som vi kan använda är DNS -filtret för att kunna se vilka DNS som konsulteras som genererar trafik.

I det här fallet gjorde vi flera sökningar och vi kan se Googles DNS, Google maps, Google fonts, addons.mozilla och en DNS för en Facebook -chatt, vi ska verifiera IP: n.

Vi upptäcker att en dator i vårt nätverk är ansluten till Facebook -chatten och vi vet exakt vilken tid den var ansluten.
Därefter kommer vi att hålla reda på frågor till en Mysql -server. Nätverksadministratörer har normalt inte en logg med frågor som görs till en databas, men med Wireshark kan du hålla reda på alla frågor och spara denna logg och visa en lista som en frågelogg. För att filtrera mysql -paket måste vi använda Mysql -filtret eller mysql.query om vi bara vill se SELECTs eller någon särskild sats.
Vi ska försöka göra några frågor till den lokala databasservern och använda Sakila -testdatabasen som är gratis och öppen källkod, en databas som vi använde i MySQL -handledningskombinationerna med Inner Join.
Vi utför en SQL -fråga och Wireshark registrerar varje fråga, källens IP för frågan, destinations -IP, sql -frågan, användaren som loggade in.

Om vi ​​ser ett av paketen berättar det också att det var tillgängligt med en programvara som heter Heidisql.exe och det är ett osäkert eller misstänkt program.
Även om det är möjligt att hantera fjärrdatabaser med denna programvara, är det inte det mest rekommenderade eftersom det skulle vara nödvändigt att tillåta externa anslutningar till servern.

Filter Wireshark De är många och täcker alla protokoll i ett nätverk och även de mest populära webbplatsprotokollen.
När paket fångas upp kan vi analysera vad som händer med nätverkstrafiken, vi måste bara klicka på det paket som vi vill analysera för att visa oss data.
Om vi ​​tillämpar ett HTTP-filter på ett POST-paket och klickar på den högra knappen på paketet och sedan i rullgardinsmenyn väljer vi alternativet Följ TCP-ström eller Följ TCP-flöde, det betyder att du ser allt som produceras när du skapar en webb begäran till servern.
Som ett resultat får vi alla kod- och html -transaktioner som utförs i begäran, om användaren anger ett lösenord för att komma åt en webbplats kan vi genom denna metod se lösenordet och användaren som jag använder.

Med tanke på att Wireshark övervakar ett stort antal protokoll och tjänster i ett nätverk och alla paket som går in och ut kan risken för ett fel i analysatorkoden sätta nätverkets säkerhet i fara om vi inte vet vad som är händer med varje paket, så det är viktigt att veta hur man korrekt tolkar informationen som Wireshark ger oss.Gillade du och hjälpte denna handledning?Du kan belöna författaren genom att trycka på den här knappen för att ge honom en positiv poäng
wave wave wave wave wave