Satura rādītājs
Wireshark, reālā laika tīkla analīzes rīks, uztver paketes un protokolus reālā laikā un parāda tos grafiskā un uzskaitītā formātā.Wireshark ir tīklā cirkulējošo pakešu analizators, šo programmatūru var palaist operētājsistēmās Linux, Windows, OS X, Solaris.
Mēs varam lejupielādēt programmatūru no oficiālās Wireshark lapas, ja vēlamies to instalēt Linux, tā jau ir pieejama krātuvēs.
Tā kā sistēma Windows ir instalēta tāpat kā jebkura programma, šajā apmācībā mēs instalēsim operētājsistēmai Linux, no termināļa loga rakstīsim šādas komandas:
sudo apt-get instalēt wireharkJa vēlaties to instalēt serverī un pārvaldīt programmatūru teksta formā, mums ir iespēja to instalēt teksta režīmā, un programmatūru sauc par Tshark. Lai to instalētu no termināļa loga, mēs rakstām šādas komandas:
sudo apt-get install tsharkTālāk mums būs jāizpilda Wireshark ar administratora privilēģijām, jo tam būs vajadzīgas atļaujas, lai piekļūtu tīklam un spētu pārraudzīt mūsu norādītās paketes. Mūsu gadījumā, lai sāktu darbu no izvēlnes vai no termināļa, mēs izmantosim šādu komandu:
gksudo wireharkTas prasīs mums lietotājvārdu un paroli, lai piekļūtu administratora vai saknes režīmā.
Kad mēs sākam, mēs varam redzēt pieejamo tīklu saskarņu sarakstu, piemēram, mums ir wifi tīkls wlan0 un ethernet eth0, tur mēs varam izvēlēties, kuru tīklu vai saskarnes mēs vēlamies analizēt.
Zem saskarņu saraksta mums ir uztveršanas opcijas vai uzņemšanas iespējas. Iespējas ietver analīzi nejaušā režīmā un uztveršanas režīmā utt.Uztveršanas opcijās mēs varam konfigurēt, kurus protokolus un pakalpojumus uzraudzīt, lai redzētu, kādi procesi un platformas tīklā saņem un sūta datus.
Izveidojiet izsekošanas filtru
Filtru joslā mēs varam konfigurēt to uzraudzības veidu, kuru vēlamies veikt, piemēram, interfeisu sarakstā atlasām eth0 un nospiediet Sākt, atvērsies logs un redzēsim, kā programmatūra uztver visas paketes. lietotāju ir daudz. Programmatūra uztver daudzus protokolus, ieskaitot sistēmas protokolus, tas ir, iekšējos ziņojumus no ierīcēm un operētājsistēmām.
Piemēram, mēs nospiežam Filtrs un pēc tam izvēlamies HTTP, tāpēc mēs filtrējam trafiku tikai no http protokola, tas ir, tīmekļa lapu vaicājumiem, izmantojot 80. portu.
Mēs atveram pārlūkprogrammu un Google vietni Solvetic.com, Wireshark parādīs mums http un tcp datus, kas tiek izveidoti, lai izveidotu savienojumu, jo mēs redzam, ka meklēšanai tiek izmantoti tcp un http protokoli, un pēc tam tiek parādīts tīmeklis.
Šeit mēs varam redzēt iesniegtos pieprasījumus. Http filtrā mēs varam redzēt dažādas protokola iespējas, piemēram, pieprasījumus, atbildes utt. Izmantojot http.request filtru, ir iespējams iegūt visus ar GET un POST saņemtos pieprasījumus un atbildes, kas tiek veiktas pārlūkprogrammā vai visos tīkla datoros, analizējot pieprasījumus, mēs varam atklāt iespējamās ļaunprātīgās darbības.
Tālāk mēs analizēsim iegūtos datus, kad mēs noklikšķināsim uz katra tvertā vienuma, mēs redzēsim informāciju par datu paketi, rāmja lauku, kas identificē uztvertās paketes lielumu, laiku, kas pagājis, kad tā tika nosūtīta un caur kuru saskarnes.
Lauks Ethernet II pieder datiem, kas tiek ģenerēti datu saišu slānī, ja redzam OSI modelis, šeit mums ir izcelsme un galamērķis, IP, mac adreses un izmantotā protokola veids.
Laukā Interneta protokols mums tiks parādīta IP datagramma ar IP adresēm, pārraides kontroles protokols vai TPC lauks ir tas, kurš aizpilda TCP / IP pārraides protokolu. Tad mums ir HTTP galvenes, kurās mēs saņemam atveidotos datus no tīmekļa saziņas.
Mēs redzēsim piemēru, kurā mēs konfigurējam visu tīklu un savienojumu uztveršanu, parādot sarakstu, kuru filtrējam, un meklējam pop savienojumus, tas ir, ienākošo pastu.
Mēs redzam, ka visi POP savienojumi ir saistīti ar IP, kas ir VPS, kur atrodas pasta konti, tāpēc tas sazinās tur.
Ja mēs nosūtām dažus e -pastus un pēc tam filtrējam pēc smtp protokola, mēs redzēsim visus ziņojumus, kas nosūtīti no servera vai katra tīkla datora ar savu IP, no kurienes tas tika nosūtīts un kur tas tika nosūtīts, mēs vienmēr varam izmantot tīmekli http: //www.tcpiputils.com, lai noteiktu konkrētas IP datus.
Vēl viens filtrs, ko mēs varam izmantot, ir DNS filtrs, lai varētu redzēt, kuri DNS tiek meklēti, kas rada trafiku.
Šajā gadījumā mēs veicām vairākus meklējumus, un mēs varam redzēt Google DNS, Google kartes, Google fontus, addons.mozilla un Facebook tērzēšanas DNS, mēs pārbaudīsim IP.
Mēs atklājam, ka mūsu tīkla dators ir savienots ar Facebook tērzēšanu, un mēs precīzi zinām, kad tas tika pievienots.
Tālāk mēs sekosim vaicājumiem Mysql serverim. Tīkla administratoriem parasti nav datu bāzē veiktu vaicājumu žurnāla, taču, izmantojot Wireshark, jūs varat izsekot visiem vaicājumiem un saglabāt šo žurnālu un parādīt ierakstu kā vaicājumu žurnālu. Lai filtrētu mysql paketes, mums jāizmanto Mysql filtrs vai mysql.query, ja mēs vēlamies redzēt tikai SELECT vai kādu konkrētu paziņojumu.
Mēs mēģināsim veikt dažus vaicājumus vietējam datu bāzes serverim un izmantot bezmaksas un atvērtā pirmkoda Sakila testa datubāzi - datu bāzi, kuru izmantojām MySQL apmācību kombinācijās ar Inner Join.
Mēs veicam SQL vaicājumu, un Wireshark ierakstīs katru vaicājumu, vaicājuma avota IP, galamērķa IP, SQL vaicājumu, lietotāju, kurš pieteicies.
Arī tad, ja mēs redzam kādu no pakotnēm, tas mums norāda, ka tam tika piekļūts ar programmatūru ar nosaukumu Heidisql.exe un tā ir nedroša vai aizdomīga programma.
Lai gan ar šo programmatūru ir iespējams pārvaldīt attālās datu bāzes, tā nav ieteicamākā, jo būtu nepieciešams atļaut ārējos savienojumus ar serveri.
Filtri Wireshark To ir daudz un tie aptver visus tīkla protokolus, kā arī populārākos vietņu protokolus.
Tā kā paketes tiek pārtvertas, mēs varam analizēt, kas notiek ar tīkla trafiku, mums vienkārši jānoklikšķina uz paketes, kuru vēlamies analizēt, lai parādītu mums datus.
Ja mēs izmantojam HTTP filtru POST pakotnei un noklikšķinām uz labās pogas uz minētās paketes un pēc tam nolaižamajā izvēlnē mēs izvēlamies opciju Sekot TCP straumei vai Sekot TCP plūsmai, tas nozīmē redzēt visu, kas tiek radīts, veidojot tīmekli pieprasījums serverim.
Rezultātā mēs iegūstam visus koda un html darījumus, kas tiek veikti pieprasījumā, ja lietotājs ievada paroli, lai piekļūtu vietnei, izmantojot šo metodi, mēs varam redzēt paroli un lietotāju, ko izmantoju.
Ņemot vērā to, ka Wireshark uzrauga lielu skaitu protokolu un pakalpojumu tīklā un visas paketes, kuras tiek ievadītas un aizvestas, kļūdas risks analizatora kodā var apdraudēt tīkla drošību, ja mēs nezinām, kas ir kas notiek ar katru iepakojumu, tāpēc ir svarīgi zināt, kā pareizi interpretēt informāciju, ko mums sniedz Wireshark.Vai jums patika šī apmācība un palīdzējāt tai?Jūs varat apbalvot autoru, nospiežot šo pogu, lai sniegtu viņam pozitīvu punktu