Satura rādītājs
Wireshark, reālā laika tīkla analīzes rīks, uztver paketes un protokolus reālā laikā un parāda tos grafiskā un uzskaitītā formātā.Wireshark ir tīklā cirkulējošo pakešu analizators, šo programmatūru var palaist operētājsistēmās Linux, Windows, OS X, Solaris.
Mēs varam lejupielādēt programmatūru no oficiālās Wireshark lapas, ja vēlamies to instalēt Linux, tā jau ir pieejama krātuvēs.
sudo apt-get instalēt wireharkJa vēlaties to instalēt serverī un pārvaldīt programmatūru teksta formā, mums ir iespēja to instalēt teksta režīmā, un programmatūru sauc par Tshark. Lai to instalētu no termināļa loga, mēs rakstām šādas komandas:
sudo apt-get install tsharkTālāk mums būs jāizpilda Wireshark ar administratora privilēģijām, jo tam būs vajadzīgas atļaujas, lai piekļūtu tīklam un spētu pārraudzīt mūsu norādītās paketes. Mūsu gadījumā, lai sāktu darbu no izvēlnes vai no termināļa, mēs izmantosim šādu komandu:
gksudo wireharkTas prasīs mums lietotājvārdu un paroli, lai piekļūtu administratora vai saknes režīmā.
Kad mēs sākam, mēs varam redzēt pieejamo tīklu saskarņu sarakstu, piemēram, mums ir wifi tīkls wlan0 un ethernet eth0, tur mēs varam izvēlēties, kuru tīklu vai saskarnes mēs vēlamies analizēt.
Zem saskarņu saraksta mums ir uztveršanas opcijas vai uzņemšanas iespējas. Iespējas ietver analīzi nejaušā režīmā un uztveršanas režīmā utt.Uztveršanas opcijās mēs varam konfigurēt, kurus protokolus un pakalpojumus uzraudzīt, lai redzētu, kādi procesi un platformas tīklā saņem un sūta datus.
Izveidojiet izsekošanas filtru
Filtru joslā mēs varam konfigurēt to uzraudzības veidu, kuru vēlamies veikt, piemēram, interfeisu sarakstā atlasām eth0 un nospiediet Sākt, atvērsies logs un redzēsim, kā programmatūra uztver visas paketes. lietotāju ir daudz. Programmatūra uztver daudzus protokolus, ieskaitot sistēmas protokolus, tas ir, iekšējos ziņojumus no ierīcēm un operētājsistēmām.
Piemēram, mēs nospiežam Filtrs un pēc tam izvēlamies HTTP, tāpēc mēs filtrējam trafiku tikai no http protokola, tas ir, tīmekļa lapu vaicājumiem, izmantojot 80. portu.
Mēs atveram pārlūkprogrammu un Google vietni Solvetic.com, Wireshark parādīs mums http un tcp datus, kas tiek izveidoti, lai izveidotu savienojumu, jo mēs redzam, ka meklēšanai tiek izmantoti tcp un http protokoli, un pēc tam tiek parādīts tīmeklis.
Tālāk mēs analizēsim iegūtos datus, kad mēs noklikšķināsim uz katra tvertā vienuma, mēs redzēsim informāciju par datu paketi, rāmja lauku, kas identificē uztvertās paketes lielumu, laiku, kas pagājis, kad tā tika nosūtīta un caur kuru saskarnes.
Lauks Ethernet II pieder datiem, kas tiek ģenerēti datu saišu slānī, ja redzam OSI modelis, šeit mums ir izcelsme un galamērķis, IP, mac adreses un izmantotā protokola veids.
Laukā Interneta protokols mums tiks parādīta IP datagramma ar IP adresēm, pārraides kontroles protokols vai TPC lauks ir tas, kurš aizpilda TCP / IP pārraides protokolu. Tad mums ir HTTP galvenes, kurās mēs saņemam atveidotos datus no tīmekļa saziņas.
Mēs redzēsim piemēru, kurā mēs konfigurējam visu tīklu un savienojumu uztveršanu, parādot sarakstu, kuru filtrējam, un meklējam pop savienojumus, tas ir, ienākošo pastu.
Ja mēs nosūtām dažus e -pastus un pēc tam filtrējam pēc smtp protokola, mēs redzēsim visus ziņojumus, kas nosūtīti no servera vai katra tīkla datora ar savu IP, no kurienes tas tika nosūtīts un kur tas tika nosūtīts, mēs vienmēr varam izmantot tīmekli http: //www.tcpiputils.com, lai noteiktu konkrētas IP datus.
Vēl viens filtrs, ko mēs varam izmantot, ir DNS filtrs, lai varētu redzēt, kuri DNS tiek meklēti, kas rada trafiku.
Tālāk mēs sekosim vaicājumiem Mysql serverim. Tīkla administratoriem parasti nav datu bāzē veiktu vaicājumu žurnāla, taču, izmantojot Wireshark, jūs varat izsekot visiem vaicājumiem un saglabāt šo žurnālu un parādīt ierakstu kā vaicājumu žurnālu. Lai filtrētu mysql paketes, mums jāizmanto Mysql filtrs vai mysql.query, ja mēs vēlamies redzēt tikai SELECT vai kādu konkrētu paziņojumu.
Mēs mēģināsim veikt dažus vaicājumus vietējam datu bāzes serverim un izmantot bezmaksas un atvērtā pirmkoda Sakila testa datubāzi - datu bāzi, kuru izmantojām MySQL apmācību kombinācijās ar Inner Join.
Mēs veicam SQL vaicājumu, un Wireshark ierakstīs katru vaicājumu, vaicājuma avota IP, galamērķa IP, SQL vaicājumu, lietotāju, kurš pieteicies.
Lai gan ar šo programmatūru ir iespējams pārvaldīt attālās datu bāzes, tā nav ieteicamākā, jo būtu nepieciešams atļaut ārējos savienojumus ar serveri.
Tā kā paketes tiek pārtvertas, mēs varam analizēt, kas notiek ar tīkla trafiku, mums vienkārši jānoklikšķina uz paketes, kuru vēlamies analizēt, lai parādītu mums datus.
Ja mēs izmantojam HTTP filtru POST pakotnei un noklikšķinām uz labās pogas uz minētās paketes un pēc tam nolaižamajā izvēlnē mēs izvēlamies opciju Sekot TCP straumei vai Sekot TCP plūsmai, tas nozīmē redzēt visu, kas tiek radīts, veidojot tīmekli pieprasījums serverim.
Rezultātā mēs iegūstam visus koda un html darījumus, kas tiek veikti pieprasījumā, ja lietotājs ievada paroli, lai piekļūtu vietnei, izmantojot šo metodi, mēs varam redzēt paroli un lietotāju, ko izmantoju.
