Užfiksuokite ir analizuokite tinklo srautą naudodami „Wireshark“

„Wireshark“, realaus laiko tinklo analizės įrankis, fiksuoja paketus ir protokolus realiuoju laiku ir rodo juos grafiniu ir išvardytu formatu.
„Wireshark“ yra tinkle cirkuliuojančių paketų analizatorius, šią programinę įrangą galima paleisti „Linux“, „Windows“, „OS X“, „Solaris“.
Programinę įrangą galime atsisiųsti iš oficialaus „Wireshark“ puslapio, jei norime ją įdiegti „Linux“, ji jau yra saugyklose.

Kadangi „Windows“ yra įdiegta kaip ir bet kuri programa, šioje pamokoje mes įdiegsime „Linux“, iš terminalo lango parašysime šias komandas:
 sudo apt-get install wirehark
Jei norite ją įdiegti serveryje ir valdyti programinę įrangą teksto forma, turime galimybę ją įdiegti teksto režimu, o programinė įranga vadinama „Tshark“. Norėdami jį įdiegti iš terminalo lango, rašome šias komandas:
 sudo apt-get install tshark
Toliau turėsime vykdyti „Wireshark“ su administratoriaus teisėmis, nes jam reikės turėti leidimus pasiekti tinklą ir galėti stebėti nurodytus paketus. Mūsų atveju, norėdami pradėti arba iš meniu, arba iš terminalo, naudosime šią komandą:
 gksudo wirehark
Tai paprašys mūsų vartotojo vardo ir slaptažodžio, kad galėtume pasiekti administratoriaus arba root režimu.

Pradėję matome galimų tinklų sąsajų sąrašą, pavyzdyje turime „wifi“ tinklą „wlan0“ ir „Ethernet eth0“, ten galime pasirinkti, kurį tinklą ar sąsajas norime analizuoti.

Žemiau sąsajų sąrašo turime fotografavimo parinktis arba fiksavimo parinktis. Parinktys apima analizę nerūpestingu režimu ir fiksavimo režimu ir kt.
Naudodami fiksavimo parinktis galime sukonfigūruoti, kuriuos protokolus ir paslaugas stebėti, kad pamatytume, kokie procesai ir platformos gauna ir siunčia duomenis tinkle.

Sukurkite stebėjimo filtrą


Filtrų juostoje galime sukonfigūruoti, kokio tipo stebėjimą norime atlikti, pavyzdžiui, sąsajų sąraše pasirenkame eth0 ir paspaudžiame Pradėti, atsidarys langas ir pamatysime, kaip programinė įranga užfiksuoja visus paketus. vartotojų yra daug. Programinė įranga fiksuoja daugybę protokolų, įskaitant sisteminius, tai yra vidinius pranešimus iš įrenginių ir operacinių sistemų.
Pavyzdžiui, paspaudžiame Filtras, tada pasirenkame HTTP, todėl srautą filtruojame tik iš http protokolo, tai yra, tinklalapių užklausų per 80 prievadą.
Atidarome naršyklę ir „Google“ „Solvetic.com“ svetainę, „Wireshark“ parodys mums http ir tcp duomenis, kurie yra sukurti norint užmegzti ryšį, nes matome, kad paieškai naudojami tcp ir http protokolai, o tada rodomas žiniatinklis.

Čia matome pateiktus prašymus. Http filtre matome įvairias protokolo parinktis, tokias kaip užklausos, atsakymai ir kt. Taikant http.request filtrą, galima gauti visas užklausas ir atsakymus, gautus naudojant GET ir POST, kurie vykdomi naršyklėje arba visuose tinklo kompiuteriuose, analizuojant užklausas galime aptikti galimą kenkėjišką veiklą.
Toliau analizuosime užfiksuotus duomenis, kai spustelėsime kiekvieną užfiksuotą elementą, pamatysime informaciją apie duomenų paketą, kadro lauką, nurodantį užfiksuoto paketo dydį, laiką, per kurį jis buvo išsiųstas ir per kurį sąsajos.
„Ethernet II“ laukas priklauso duomenims, kurie generuojami duomenų ryšio sluoksnyje, jei matome OSI modelis, čia mes turime kilmę ir paskirties vietą, IP, „Mac“ adresus ir naudojamo protokolo tipą.
Lauke Interneto protokolas bus rodoma IP datagrama su IP adresais, perdavimo valdymo protokolas arba TPC laukas yra tas, kuris užbaigia TCP / IP perdavimo protokolą. Tada mes turime HTTP antraštes, kuriose gauname pateiktus duomenis iš žiniatinklio ryšio.
Pamatysime pavyzdį, kai sukonfigūruosime užfiksuoti visus tinklus ir ryšius, kai rodysime sąrašą, kurį filtruojame ir ieškome pop jungčių, tai yra gaunamų laiškų.

Matome, kad visi POP ryšiai yra susiję su IP, kuris yra VPS, kur yra pašto paskyros, taigi jis bendrauja ten.
Jei siunčiame kai kuriuos el. Laiškus ir filtruojame pagal smtp protokolą, matysime visus iš serverio ar kiekvieno tinklo kompiuterio siunčiamus pranešimus su atitinkamu IP adresu, iš kur jis buvo išsiųstas ir iš kur jis buvo išsiųstas, visada galime naudoti žiniatinklį http: //www.tcpiputils.com, kad nustatytumėte konkretaus IP duomenis.
Kitas filtras, kurį galime pritaikyti, yra DNS filtras, kad būtų galima pamatyti, kurie DNS, su kuriais susiduriama, sukuria srautą.

Šiuo atveju mes atlikome keletą paieškų ir matome „Google“ DNS, „Google“ žemėlapius, „Google“ šriftus, addons.mozilla ir „Facebook“ pokalbio DNS, ketiname patikrinti IP.

Mes nustatome, kad mūsų tinklo kompiuteris yra prijungtas prie „Facebook“ pokalbio ir tiksliai žinome, kada jis buvo prijungtas.
Toliau stebėsime užklausas „Mysql“ serveryje. Tinklo administratoriai paprastai neturi duomenų bazėje užklausų žurnalo, tačiau naudodami „Wireshark“ galite sekti visas užklausas ir išsaugoti šį žurnalą bei rodyti sąrašą kaip užklausų žurnalą. Norėdami filtruoti „mysql“ paketus, turime naudoti „Mysql“ filtrą arba „mysql.query“, jei norime matyti tik SELECT arba tam tikrą teiginį.
Bandysime pateikti užklausas vietiniam duomenų bazės serveriui ir naudoti nemokamą ir atviro kodo „Sakila“ bandymų duomenų bazę - duomenų bazę, kurią naudojome „MySQL“ pamokų deriniuose su „Inner Join“.
Atliekame SQL užklausą, o „Wireshark“ įrašys kiekvieną užklausą, užklausos šaltinio IP, paskirties IP, SQL užklausą, prisijungusį vartotoją.

Taip pat, jei matome vieną iš paketų, jis mums sako, kad jis buvo pasiektas naudojant programinę įrangą „Heidisql.exe“ ir tai yra nesaugi ar įtartina programa.
Nors naudojant šią programinę įrangą galima valdyti nuotolines duomenų bazes, ji nėra pati rekomenduojama, nes reikėtų leisti išorinius ryšius su serveriu.

Filtrai „Wireshark“ Jų yra daug ir jie apima visus tinklo protokolus ir populiariausius svetainių protokolus.
Kai paketai yra perimami, galime analizuoti, kas vyksta su tinklo srautu, tiesiog turime spustelėti paketą, kurį norime analizuoti, kad parodytume duomenis.
Jei POST paketui pritaikome HTTP filtrą ir paspaudžiame dešinįjį paketo mygtuką, o tada išskleidžiamajame meniu pasirenkame parinktį Sekti TCP srautą arba Sekti TCP srautą, tai reiškia pamatyti viską, kas sukuriama kuriant žiniatinklį prašymas serveriui.
Dėl to mes gauname visas kodo ir html operacijas, kurios atliekamos užklausoje, jei vartotojas įveda slaptažodį, norėdamas pasiekti svetainę, šiuo metodu galime pamatyti slaptažodį ir naudotoją, kurį naudoju.

Atsižvelgiant į tai, kad „Wireshark“ stebi daugybę protokolų ir paslaugų tinkle bei visus įeinančius ir išeinančius paketus, analizatoriaus kodo klaidos rizika gali kelti pavojų tinklo saugumui, jei nežinome, kas yra su kiekvienu paketu, todėl svarbu žinoti, kaip teisingai interpretuoti informaciją, kurią mums suteikia „Wireshark“.Ar jums patiko ir padėjo ši pamoka?Galite apdovanoti autorių paspausdami šį mygtuką, kad suteiktumėte jam teigiamą tašką
wave wave wave wave wave