10 nasvetov o uporabi Wireshark za analizo paketov v vašem omrežju


V katerem koli omrežju s paketno komutacijo paketi predstavljajo enote podatkov, ki se prenašajo med računalniki. Za nadzor in pregled paketov zaradi varnosti in odpravljanja težav so odgovorni omrežni inženirji in skrbniki sistema.

Za to se zanašajo na programe, imenovane nadzor prometa v realnem času, hkrati pa jih shranijo v datoteko za kasnejši pregled.

Sorodno branje: Najboljša orodja za nadzor pasovne širine Linuxa za analizo uporabe omrežja

V tem članku bomo delili 10 nasvetov, kako uporabiti Wireshark za analizo paketov v vašem omrežju, in upamo, da boste, ko pridete do odseka Povzetek, nagnjeni k temu, da ga dodate med zaznamke.

Namestitev Wireshark v Linux

Če želite namestiti Wireshark, na spletnem mestu https://www.wireshark.org/download.html izberite pravega namestitvenega programa za svoj operacijski sistem/arhitekturo.

Če uporabljate Linux, mora biti Wireshark na voljo neposredno iz skladišč vaše distribucije za lažjo namestitev po vaši meri. Čeprav se različice lahko razlikujejo, bi morali biti možnosti in meniji podobni - če ne enaki v vsaki.

------------ On Debian/Ubuntu based Distros ------------ 
$ sudo apt-get install wireshark

------------ On CentOS/RHEL based Distros ------------
$ sudo yum install wireshark

------------ On Fedora 22+ Releases ------------
$ sudo dnf install wireshark

V Debianu in izvedenih finančnih instrumentih je znana napaka, ki lahko prepreči naštevanje omrežnih vmesnikov, razen če objavite to objavo.

Ko se Wireshark zažene, lahko v Capture izberete omrežni vmesnik, ki ga želite nadzirati:

V tem članku bomo uporabili eth0 , če pa želite, lahko izberete drugega. Ne kliknite še vmesnika - to bomo storili kasneje, ko bomo pregledali nekaj možnosti zajema.

Najbolj uporabne možnosti zajema, ki jih bomo upoštevali, so:

  1. Omrežni vmesnik - Kot smo že pojasnili, bomo analizirali samo pakete, ki prihajajo skozi eth0, bodisi dohodne bodisi odhodne.
  2. Filter za zajemanje - s to možnostjo lahko določimo, kakšen promet želimo spremljati po vratih, protokolu ali vrsti.

Preden nadaljujemo z nasveti, je pomembno opozoriti, da nekatere organizacije prepovedujejo uporabo Wiresharka v svojih omrežjih. Če Wiresharka ne uporabljate za osebne namene, poskrbite, da organizacija dovoljuje njegovo uporabo.

Zaenkrat na spustnem seznamu izberite eth0 in na gumbu kliknite Start. Videli boste ves promet, ki poteka skozi ta vmesnik. Zaradi velike količine pregledanih paketov v resnici ni uporaben za spremljanje, vendar je začetek.

Na zgornji sliki lahko vidimo tudi ikone za seznam razpoložljivih vmesnikov, zaustavitev trenutnega zajemanja in ponovni zagon (rdeče polje na levi) ter nastavitev in urejanje filtra (rdeče polje na desni). Ko premaknete miškin kazalec nad eno od teh ikon, se prikaže opis orodja, ki označuje, kaj počne.

Začeli bomo z ilustracijo možnosti zajema, medtem ko bodo nasveti od 7 do 10 razpravljali o tem, kako v resnici narediti nekaj koristnega z zajemom.

NASVET št. 1 - Oglejte si promet HTTP

V polje za filter vnesite http in kliknite Uporabi. Zaženite svoj brskalnik in pojdite na katero koli spletno mesto, ki ga želite:

Za začetek vsakega naslednjega nasveta ustavite zajem v živo in uredite filter za zajemanje.

NASVET št. 2 - Preglejte promet HTTP z določenega naslova IP

V tem nasvetu bomo dodali ip == 192.168.0.10 && v kitico filtra za spremljanje prometa HTTP med lokalnim računalnikom in 192.168.0.10:

NASVET št. 3 - Preglejte promet HTTP do določenega naslova IP

V tem primeru bomo kot del filtra za zajem uporabili ip.dst , ki je tesno povezan z # 2:

ip.dst==192.168.0.10&&http

Če želite združiti nasvete št. 2 in št. 3, lahko v pravilu filtra uporabite ip.addr namesto ip.src ali ip.dst .

NAMIG # 4 - Nadzirajte omrežni promet Apache in MySQL

Včasih vas zanima pregled prometa, ki se popolnoma ujema z enim ali drugimi pogoji. Na primer za nadzor prometa na vratih TCP 80 (spletni strežnik) in 3306 (strežnik baz podatkov MySQL/MariaDB) lahko v filtru za zajemanje uporabite pogoj ALI :

tcp.port==80||tcp.port==3306

V nasvetih št. 2 in št. 3 || in beseda ali dajte enake rezultate. Enako z && in besedo in.

NASVET 5 - Zavrnite pakete na dani naslov IP

Če želite izključiti pakete, ki se ne ujemajo s pravilom filtra, uporabite ! in pravilo priložite v oklepaje. Če želite na primer izključiti pakete, ki izvirajo iz ali so usmerjeni na določen naslov IP, lahko uporabite:

!(ip.addr == 192.168.0.10)

NASVET št. 6 - Nadzirajte promet v lokalnem omrežju (192.168.0.0/24)

Naslednje pravilo filtra bo prikazalo samo lokalni promet in izključilo pakete, ki gredo in prihajajo iz interneta:

ip.src==192.168.0.0/24 and ip.dst==192.168.0.0/24

NASVET št. 7 - Nadzirajte vsebino pogovora TCP

Če želite pregledati vsebino pogovora TCP (izmenjava podatkov), z desno miškino tipko kliknite dani paket in izberite Spremljaj tok TCP. Pojavi se okno z vsebino pogovora.

Sem spadajo glave HTTP, če pregledujemo spletni promet, in morebitne poverilnice, posredovane med postopkom.

NASVET št. 8 - Uredite pravila barvanja

Zdaj sem prepričan, da ste že opazili, da je vsaka vrstica v oknu za zajem obarvana. Promet HTTP je privzeto prikazan v zelenem ozadju s črnim besedilom, napake kontrolne vsote pa v rdečem besedilu s črnim ozadjem.

Če želite spremeniti te nastavitve, kliknite ikono Uredi pravila barvanja, izberite dani filter in kliknite Uredi.

NASVET št. 9 - shranite posnetek v datoteko

Shranjevanje vsebine zajema nam bo omogočilo, da jo bomo lahko podrobneje pregledali. Če želite to narediti, pojdite na Datoteka → Izvozi in na seznamu izberite obliko izvoza:

NASVET št. 10 - Vadite z vzorci za zajemanje

Če menite, da je vaše omrežje "dolgočasno", Wireshark ponuja vrsto datotek za zajem vzorcev, ki jih lahko uporabite za vadbo in učenje. Te SampleCaptures lahko prenesete in uvozite v meniju Datoteka → Uvozi.

Wireshark je brezplačna in odprtokodna programska oprema, kot lahko vidite v razdelku s pogostimi vprašanji na uradni spletni strani. Filter za zajem lahko konfigurirate pred ali po začetku pregleda.

Če niste opazili, ima filter funkcijo samodokončanja, ki vam omogoča enostavno iskanje najbolj uporabljenih možnosti, ki jih lahko pozneje prilagodite. S tem je nebo meja!

Kot vedno, če imate kakršna koli vprašanja ali opažanja glede tega članka, nam pošljite vrstico s pomočjo spodnjega obrazca za komentar.