10 Suġġerimenti dwar kif tuża Wireshark biex tanalizza l-pakketti tan-netwerk
Fi kwalunkwe netwerk li jinbidel b'pakkett, il-pakketti jirrappreżentaw unitajiet ta' data li huma trażmessi bejn il-kompjuters. Hija r-responsabbiltà tal-inġiniera tan-netwerk u l-amministraturi tas-sistema bl-istess mod li jimmonitorjaw u jispezzjonaw il-pakketti għal skopijiet ta 'sigurtà u soluzzjoni tal-problemi.
Biex jagħmlu dan, jiddependu fuq programmi ta' softwer imsejħa monitoraġġ tat-traffiku f'ħin reali iżda wkoll biex isalvawh f'fajl għal spezzjoni aktar tard.
Aqra Relatat: L-aħjar Għodod ta 'Monitoraġġ tal-Bandwidth tal-Linux biex Janalizzaw l-Użu tan-Netwerk
F'dan l-artikolu, se naqsmu 10 suġġerimenti dwar kif tuża Wireshark biex tanalizza pakketti fin-netwerk tiegħek u nittamaw li meta tasal fit-taqsima Sommarju tħossok inklinat li żżidha mal-bookmarks tiegħek.
Installazzjoni ta 'Wireshark fil-Linux
Biex tinstalla Wireshark, agħżel l-installatur it-tajjeb għas-sistema operattiva/arkitettura tiegħek minn https://www.wireshark.org/download.html.
B'mod partikolari, jekk qed tuża Linux, Wireshark għandu jkun disponibbli direttament mir-repożitorji tad-distribuzzjoni tiegħek għal installazzjoni aktar faċli fil-konvenjenza tiegħek. Għalkemm il-verżjonijiet jistgħu jvarjaw, l-għażliet u l-menus għandhom ikunu simili - jekk mhux identiċi f'kull wieħed.
------------ On Debian/Ubuntu based Distros ------------ $ sudo apt-get install wireshark ------------ On CentOS/RHEL based Distros ------------ $ sudo yum install wireshark ------------ On Fedora 22+ Releases ------------ $ sudo dnf install wireshark
Hemm bug magħruf f'Debian u derivattivi li jistgħu jipprevjenu l-elenkar tal-interfaces tan-netwerk sakemm inti din il-kariga.
Ladarba Wireshark ikun qed jaħdem, tista' tagħżel l-interface tan-netwerk li trid tissorvelja taħt Capture:
F'dan l-artikolu, se nużaw eth0
, imma tista' tagħżel waħda oħra jekk tixtieq. Tikklikkjax fuq l-interface s'issa - nagħmlu dan aktar tard ladarba nkunu rrevejna ftit għażliet ta 'qbid.
L-aktar għażliet ta’ qbid utli li se nikkunsidraw huma:
- Interface tan-netwerk – Kif spjegajna qabel, aħna se nanalizzaw biss pakketti li ġejjin minn eth0, jew deħlin jew li joħorġu.
- Capture filter – Din l-għażla tippermettilna nindikaw liema tip ta’ traffiku rridu nissorveljaw bil-port, protokoll jew tip.
Qabel ma nipproċedu bil-pariri, huwa importanti li wieħed jinnota li xi organizzazzjonijiet jipprojbixxu l-użu ta 'Wireshark fin-netwerks tagħhom. Cela dit, jekk m'intix qed tuża Wireshark għal skopijiet personali kun żgur li l-organizzazzjoni tiegħek tippermetti l-użu tiegħu.
Għalissa, agħżel biss eth0
mil-lista dropdown u kklikkja Ibda fuq il-buttuna. Se tibda tara t-traffiku kollu jgħaddi minn dik l-interface. Mhux verament utli għal skopijiet ta 'monitoraġġ minħabba l-ammont għoli ta' pakketti spezzjonati, iżda huwa bidu.
Fl-immaġni ta 'hawn fuq, nistgħu naraw ukoll l-ikoni biex jelenkaw l-interfaces disponibbli, biex iwaqqfu l-qbid kurrenti, u biex jerġgħu jibdewha (kaxxa ħamra fuq ix-xellug), u biex tikkonfigura u teditja filtru (kaxxa ħamra fuq il-lemin). Meta tgħaddi fuq waħda minn dawn l-ikoni, tintwera tooltip biex tindika x'tagħmel.
Aħna se nibdew billi nispjegaw l-għażliet tal-qbid, filwaqt li pariri #7 sa #10 se jiddiskutu kif tagħmel fil-fatt tagħmel xi ħaġa utli bil-qbid.
TIP #1 - Spezzjona Traffiku HTTP
Ittajpja http
fil-kaxxa tal-filtru u kklikkja Applika. Ibda l-browser tiegħek u mur fuq kwalunkwe sit li tixtieq:
Biex tibda kull ponta sussegwenti, waqqaf il-qbid live u editja l-filtru tal-qbid.
TIP #2 - Spezzjona Traffiku HTTP minn Indirizz IP Mogħti
F'din il-ponta partikolari, aħna se nippreċedu ip==192.168.0.10&&
għall-istrofa tal-filtru biex tissorvelja t-traffiku HTTP bejn il-kompjuter lokali u 192.168.0.10:
TIP #3 - Spezzjona Traffiku HTTP għal Indirizz IP Mogħti
Relatat mill-qrib ma '#2, f'dan il-każ, se nużaw ip.dst
bħala parti mill-filtru tal-qbid kif ġej:
ip.dst==192.168.0.10&&http
Biex tgħaqqad il-pariri #2 u #3, tista' tuża ip.addr
fir-regola tal-filtru minflok ip.src
jew ip.dst
.
TIP #4 - Monitor Apache u MySQL Network Traffic
Xi drabi tkun interessat li tispezzjona traffiku li jaqbel ma' waħda (jew it-tnejn) kundizzjonijiet tkun xi tkun. Pereżempju, biex timmonitorja t-traffiku fuq il-portijiet TCP 80 (webserver) u 3306 (server tad-database MySQL/MariaDB), tista' tuża kundizzjoni OR
fil-filtru tal-qbid:
tcp.port==80||tcp.port==3306
Fil-pariri #2 u #3, ||
u l-kelma jew jipproduċu l-istess riżultati. L-istess ma &&
u l-kelma u.
TIP #5 – Tiċħad Pakketti għal Indirizz IP Mogħti
Biex teskludi pakketti li ma jaqblux mar-regola tal-filtru, uża !
u daħħal ir-regola fil-parentesi. Pereżempju, biex teskludi pakketti li joriġinaw minn jew li jkunu diretti lejn indirizz IP partikolari, tista' tuża:
!(ip.addr == 192.168.0.10)
TIP #6 – Immonitorja t-Traffiku tan-Netwerk Lokali (192.168.0.0/24)
Ir-regola tal-filtru li ġejja turi biss it-traffiku lokali u teskludi pakketti li jmorru u ġejjin mill-Internet:
ip.src==192.168.0.0/24 and ip.dst==192.168.0.0/24
TIP #7 – Tissorvelja l-Kontenut ta’ Konversazzjoni TCP
Biex tispezzjona l-kontenut ta 'konverżazzjoni TCP (skambju ta' dejta), ikklikkja bil-lemin fuq pakkett partikolari u agħżel Follow TCP stream. Tieqa pop-up bil-kontenut tal-konversazzjoni.
Dan se jinkludi headers HTTP jekk qed nispezzjonaw it-traffiku tal-web, u wkoll kwalunkwe kredenzjali b'test sempliċi trażmessi matul il-proċess jekk ikun hemm.
TIP #8 - Editja r-Regoli tal-Kulur
Sa issa jien ċert li diġà ndunajt li kull ringiela fit-tieqa tal-qbid hija kkulurita. B'mod awtomatiku, it-traffiku HTTP jidher fl-isfond aħdar bi test iswed, filwaqt li l-iżbalji ta 'checksum jintwerew f'test aħmar bi sfond iswed.
Jekk tixtieq tibdel dawn is-settings, ikklikkja l-ikona Edit regoli tal-kulur, agħżel filtru partikolari, u kklikkja Editja.
TIP #9 - Issejvja l-Qbid f'Fajl
L-iffrankar tal-kontenut tal-qbid jippermettilna li nkunu nistgħu nispezzjonawh b'aktar dettall. Biex tagħmel dan, mur File → Esportazzjoni u agħżel format ta' esportazzjoni mil-lista:
TIP #10 - Prattika bil-Kampjuni tal-Qbid
Jekk taħseb li n-netwerk tiegħek huwa \boring, Wireshark jipprovdi serje ta' fajls ta' qbid ta' kampjuni li tista' tuża biex tipprattika u titgħallem. Tista' tniżżel dawn SampleCaptures u timportahom permezz tal-menu File → Import.
Wireshark huwa softwer b'xejn u open-source, kif tistgħu taraw fit-taqsima tal-FAQs tal-websajt uffiċjali. Tista 'tikkonfigura filtru tal-qbid jew qabel jew wara li tibda spezzjoni.
Fil-każ li ma ndunajtx, il-filtru għandu karatteristika ta 'awtokompletazzjoni li tippermettilek tfittex faċilment l-aktar għażliet użati li tista' tippersonalizza aktar tard. B'hekk, is-sema huwa l-limitu!
Bħal dejjem, toqgħodx lura milli tibgħatilna linja billi tuża l-formola tal-kumment hawn taħt jekk għandek xi mistoqsijiet jew osservazzjonijiet dwar dan l-artikolu.