10 Suġġerimenti dwar kif tuża Wireshark biex tanalizza l-pakketti tan-netwerk


Fi kwalunkwe netwerk li jinbidel b'pakkett, il-pakketti jirrappreżentaw unitajiet ta' data li huma trażmessi bejn il-kompjuters. Hija r-responsabbiltà tal-inġiniera tan-netwerk u l-amministraturi tas-sistema bl-istess mod li jimmonitorjaw u jispezzjonaw il-pakketti għal skopijiet ta 'sigurtà u soluzzjoni tal-problemi.

Biex jagħmlu dan, jiddependu fuq programmi ta' softwer imsejħa monitoraġġ tat-traffiku f'ħin reali iżda wkoll biex isalvawh f'fajl għal spezzjoni aktar tard.

Aqra Relatat: L-aħjar Għodod ta 'Monitoraġġ tal-Bandwidth tal-Linux biex Janalizzaw l-Użu tan-Netwerk

F'dan l-artikolu, se naqsmu 10 suġġerimenti dwar kif tuża Wireshark biex tanalizza pakketti fin-netwerk tiegħek u nittamaw li meta tasal fit-taqsima Sommarju tħossok inklinat li żżidha mal-bookmarks tiegħek.

Installazzjoni ta 'Wireshark fil-Linux

Biex tinstalla Wireshark, agħżel l-installatur it-tajjeb għas-sistema operattiva/arkitettura tiegħek minn https://www.wireshark.org/download.html.

B'mod partikolari, jekk qed tuża Linux, Wireshark għandu jkun disponibbli direttament mir-repożitorji tad-distribuzzjoni tiegħek għal installazzjoni aktar faċli fil-konvenjenza tiegħek. Għalkemm il-verżjonijiet jistgħu jvarjaw, l-għażliet u l-menus għandhom ikunu simili - jekk mhux identiċi f'kull wieħed.

------------ On Debian/Ubuntu based Distros ------------ 
$ sudo apt-get install wireshark

------------ On CentOS/RHEL based Distros ------------
$ sudo yum install wireshark

------------ On Fedora 22+ Releases ------------
$ sudo dnf install wireshark

Hemm bug magħruf f'Debian u derivattivi li jistgħu jipprevjenu l-elenkar tal-interfaces tan-netwerk sakemm inti din il-kariga.

Ladarba Wireshark ikun qed jaħdem, tista' tagħżel l-interface tan-netwerk li trid tissorvelja taħt Capture:

F'dan l-artikolu, se nużaw eth0, imma tista' tagħżel waħda oħra jekk tixtieq. Tikklikkjax fuq l-interface s'issa - nagħmlu dan aktar tard ladarba nkunu rrevejna ftit għażliet ta 'qbid.

L-aktar għażliet ta’ qbid utli li se nikkunsidraw huma:

  1. Interface tan-netwerk – Kif spjegajna qabel, aħna se nanalizzaw biss pakketti li ġejjin minn eth0, jew deħlin jew li joħorġu.
  2. Capture filter – Din l-għażla tippermettilna nindikaw liema tip ta’ traffiku rridu nissorveljaw bil-port, protokoll jew tip.

Qabel ma nipproċedu bil-pariri, huwa importanti li wieħed jinnota li xi organizzazzjonijiet jipprojbixxu l-użu ta 'Wireshark fin-netwerks tagħhom. Cela dit, jekk m'intix qed tuża Wireshark għal skopijiet personali kun żgur li l-organizzazzjoni tiegħek tippermetti l-użu tiegħu.

Għalissa, agħżel biss eth0 mil-lista dropdown u kklikkja Ibda fuq il-buttuna. Se tibda tara t-traffiku kollu jgħaddi minn dik l-interface. Mhux verament utli għal skopijiet ta 'monitoraġġ minħabba l-ammont għoli ta' pakketti spezzjonati, iżda huwa bidu.

Fl-immaġni ta 'hawn fuq, nistgħu naraw ukoll l-ikoni biex jelenkaw l-interfaces disponibbli, biex iwaqqfu l-qbid kurrenti, u biex jerġgħu jibdewha (kaxxa ħamra fuq ix-xellug), u biex tikkonfigura u teditja filtru (kaxxa ħamra fuq il-lemin). Meta tgħaddi fuq waħda minn dawn l-ikoni, tintwera tooltip biex tindika x'tagħmel.

Aħna se nibdew billi nispjegaw l-għażliet tal-qbid, filwaqt li pariri #7 sa #10 se jiddiskutu kif tagħmel fil-fatt tagħmel xi ħaġa utli bil-qbid.

TIP #1 - Spezzjona Traffiku HTTP

Ittajpja http fil-kaxxa tal-filtru u kklikkja Applika. Ibda l-browser tiegħek u mur fuq kwalunkwe sit li tixtieq:

Biex tibda kull ponta sussegwenti, waqqaf il-qbid live u editja l-filtru tal-qbid.

TIP #2 - Spezzjona Traffiku HTTP minn Indirizz IP Mogħti

F'din il-ponta partikolari, aħna se nippreċedu ip==192.168.0.10&& għall-istrofa tal-filtru biex tissorvelja t-traffiku HTTP bejn il-kompjuter lokali u 192.168.0.10:

TIP #3 - Spezzjona Traffiku HTTP għal Indirizz IP Mogħti

Relatat mill-qrib ma '#2, f'dan il-każ, se nużaw ip.dst bħala parti mill-filtru tal-qbid kif ġej:

ip.dst==192.168.0.10&&http

Biex tgħaqqad il-pariri #2 u #3, tista' tuża ip.addr fir-regola tal-filtru minflok ip.src jew ip.dst.

TIP #4 - Monitor Apache u MySQL Network Traffic

Xi drabi tkun interessat li tispezzjona traffiku li jaqbel ma' waħda (jew it-tnejn) kundizzjonijiet tkun xi tkun. Pereżempju, biex timmonitorja t-traffiku fuq il-portijiet TCP 80 (webserver) u 3306 (server tad-database MySQL/MariaDB), tista' tuża kundizzjoni OR fil-filtru tal-qbid:

tcp.port==80||tcp.port==3306

Fil-pariri #2 u #3, || u l-kelma jew jipproduċu l-istess riżultati. L-istess ma && u l-kelma u.

TIP #5 – Tiċħad Pakketti għal Indirizz IP Mogħti

Biex teskludi pakketti li ma jaqblux mar-regola tal-filtru, uża ! u daħħal ir-regola fil-parentesi. Pereżempju, biex teskludi pakketti li joriġinaw minn jew li jkunu diretti lejn indirizz IP partikolari, tista' tuża:

!(ip.addr == 192.168.0.10)

TIP #6 – Immonitorja t-Traffiku tan-Netwerk Lokali (192.168.0.0/24)

Ir-regola tal-filtru li ġejja turi biss it-traffiku lokali u teskludi pakketti li jmorru u ġejjin mill-Internet:

ip.src==192.168.0.0/24 and ip.dst==192.168.0.0/24

TIP #7 – Tissorvelja l-Kontenut ta’ Konversazzjoni TCP

Biex tispezzjona l-kontenut ta 'konverżazzjoni TCP (skambju ta' dejta), ikklikkja bil-lemin fuq pakkett partikolari u agħżel Follow TCP stream. Tieqa pop-up bil-kontenut tal-konversazzjoni.

Dan se jinkludi headers HTTP jekk qed nispezzjonaw it-traffiku tal-web, u wkoll kwalunkwe kredenzjali b'test sempliċi trażmessi matul il-proċess jekk ikun hemm.

TIP #8 - Editja r-Regoli tal-Kulur

Sa issa jien ċert li diġà ndunajt li kull ringiela fit-tieqa tal-qbid hija kkulurita. B'mod awtomatiku, it-traffiku HTTP jidher fl-isfond aħdar bi test iswed, filwaqt li l-iżbalji ta 'checksum jintwerew f'test aħmar bi sfond iswed.

Jekk tixtieq tibdel dawn is-settings, ikklikkja l-ikona Edit regoli tal-kulur, agħżel filtru partikolari, u kklikkja Editja.

TIP #9 - Issejvja l-Qbid f'Fajl

L-iffrankar tal-kontenut tal-qbid jippermettilna li nkunu nistgħu nispezzjonawh b'aktar dettall. Biex tagħmel dan, mur File → Esportazzjoni u agħżel format ta' esportazzjoni mil-lista:

TIP #10 - Prattika bil-Kampjuni tal-Qbid

Jekk taħseb li n-netwerk tiegħek huwa \boring, Wireshark jipprovdi serje ta' fajls ta' qbid ta' kampjuni li tista' tuża biex tipprattika u titgħallem. Tista' tniżżel dawn SampleCaptures u timportahom permezz tal-menu File → Import.

Wireshark huwa softwer b'xejn u open-source, kif tistgħu taraw fit-taqsima tal-FAQs tal-websajt uffiċjali. Tista 'tikkonfigura filtru tal-qbid jew qabel jew wara li tibda spezzjoni.

Fil-każ li ma ndunajtx, il-filtru għandu karatteristika ta 'awtokompletazzjoni li tippermettilek tfittex faċilment l-aktar għażliet użati li tista' tippersonalizza aktar tard. B'hekk, is-sema huwa l-limitu!

Bħal dejjem, toqgħodx lura milli tibgħatilna linja billi tuża l-formola tal-kumment hawn taħt jekk għandek xi mistoqsijiet jew osservazzjonijiet dwar dan l-artikolu.