Turinys
„Wireshark“, realaus laiko tinklo analizės įrankis, fiksuoja paketus ir protokolus realiuoju laiku ir rodo juos grafiniu ir išvardytu formatu.„Wireshark“ yra tinkle cirkuliuojančių paketų analizatorius, šią programinę įrangą galima paleisti „Linux“, „Windows“, „OS X“, „Solaris“.
Programinę įrangą galime atsisiųsti iš oficialaus „Wireshark“ puslapio, jei norime ją įdiegti „Linux“, ji jau yra saugyklose.
sudo apt-get install wireharkJei norite ją įdiegti serveryje ir valdyti programinę įrangą teksto forma, turime galimybę ją įdiegti teksto režimu, o programinė įranga vadinama „Tshark“. Norėdami jį įdiegti iš terminalo lango, rašome šias komandas:
sudo apt-get install tsharkToliau turėsime vykdyti „Wireshark“ su administratoriaus teisėmis, nes jam reikės turėti leidimus pasiekti tinklą ir galėti stebėti nurodytus paketus. Mūsų atveju, norėdami pradėti arba iš meniu, arba iš terminalo, naudosime šią komandą:
gksudo wireharkTai paprašys mūsų vartotojo vardo ir slaptažodžio, kad galėtume pasiekti administratoriaus arba root režimu.
Pradėję matome galimų tinklų sąsajų sąrašą, pavyzdyje turime „wifi“ tinklą „wlan0“ ir „Ethernet eth0“, ten galime pasirinkti, kurį tinklą ar sąsajas norime analizuoti.
Žemiau sąsajų sąrašo turime fotografavimo parinktis arba fiksavimo parinktis. Parinktys apima analizę nerūpestingu režimu ir fiksavimo režimu ir kt.Naudodami fiksavimo parinktis galime sukonfigūruoti, kuriuos protokolus ir paslaugas stebėti, kad pamatytume, kokie procesai ir platformos gauna ir siunčia duomenis tinkle.
Sukurkite stebėjimo filtrą
Filtrų juostoje galime sukonfigūruoti, kokio tipo stebėjimą norime atlikti, pavyzdžiui, sąsajų sąraše pasirenkame eth0 ir paspaudžiame Pradėti, atsidarys langas ir pamatysime, kaip programinė įranga užfiksuoja visus paketus. vartotojų yra daug. Programinė įranga fiksuoja daugybę protokolų, įskaitant sisteminius, tai yra vidinius pranešimus iš įrenginių ir operacinių sistemų.
Pavyzdžiui, paspaudžiame Filtras, tada pasirenkame HTTP, todėl srautą filtruojame tik iš http protokolo, tai yra, tinklalapių užklausų per 80 prievadą.
Atidarome naršyklę ir „Google“ „Solvetic.com“ svetainę, „Wireshark“ parodys mums http ir tcp duomenis, kurie yra sukurti norint užmegzti ryšį, nes matome, kad paieškai naudojami tcp ir http protokolai, o tada rodomas žiniatinklis.
Toliau analizuosime užfiksuotus duomenis, kai spustelėsime kiekvieną užfiksuotą elementą, pamatysime informaciją apie duomenų paketą, kadro lauką, nurodantį užfiksuoto paketo dydį, laiką, per kurį jis buvo išsiųstas ir per kurį sąsajos.
„Ethernet II“ laukas priklauso duomenims, kurie generuojami duomenų ryšio sluoksnyje, jei matome OSI modelis, čia mes turime kilmę ir paskirties vietą, IP, „Mac“ adresus ir naudojamo protokolo tipą.
Lauke Interneto protokolas bus rodoma IP datagrama su IP adresais, perdavimo valdymo protokolas arba TPC laukas yra tas, kuris užbaigia TCP / IP perdavimo protokolą. Tada mes turime HTTP antraštes, kuriose gauname pateiktus duomenis iš žiniatinklio ryšio.
Pamatysime pavyzdį, kai sukonfigūruosime užfiksuoti visus tinklus ir ryšius, kai rodysime sąrašą, kurį filtruojame ir ieškome pop jungčių, tai yra gaunamų laiškų.
Jei siunčiame kai kuriuos el. Laiškus ir filtruojame pagal smtp protokolą, matysime visus iš serverio ar kiekvieno tinklo kompiuterio siunčiamus pranešimus su atitinkamu IP adresu, iš kur jis buvo išsiųstas ir iš kur jis buvo išsiųstas, visada galime naudoti žiniatinklį http: //www.tcpiputils.com, kad nustatytumėte konkretaus IP duomenis.
Kitas filtras, kurį galime pritaikyti, yra DNS filtras, kad būtų galima pamatyti, kurie DNS, su kuriais susiduriama, sukuria srautą.
Toliau stebėsime užklausas „Mysql“ serveryje. Tinklo administratoriai paprastai neturi duomenų bazėje užklausų žurnalo, tačiau naudodami „Wireshark“ galite sekti visas užklausas ir išsaugoti šį žurnalą bei rodyti sąrašą kaip užklausų žurnalą. Norėdami filtruoti „mysql“ paketus, turime naudoti „Mysql“ filtrą arba „mysql.query“, jei norime matyti tik SELECT arba tam tikrą teiginį.
Bandysime pateikti užklausas vietiniam duomenų bazės serveriui ir naudoti nemokamą ir atviro kodo „Sakila“ bandymų duomenų bazę - duomenų bazę, kurią naudojome „MySQL“ pamokų deriniuose su „Inner Join“.
Atliekame SQL užklausą, o „Wireshark“ įrašys kiekvieną užklausą, užklausos šaltinio IP, paskirties IP, SQL užklausą, prisijungusį vartotoją.
Nors naudojant šią programinę įrangą galima valdyti nuotolines duomenų bazes, ji nėra pati rekomenduojama, nes reikėtų leisti išorinius ryšius su serveriu.
Kai paketai yra perimami, galime analizuoti, kas vyksta su tinklo srautu, tiesiog turime spustelėti paketą, kurį norime analizuoti, kad parodytume duomenis.
Jei POST paketui pritaikome HTTP filtrą ir paspaudžiame dešinįjį paketo mygtuką, o tada išskleidžiamajame meniu pasirenkame parinktį Sekti TCP srautą arba Sekti TCP srautą, tai reiškia pamatyti viską, kas sukuriama kuriant žiniatinklį prašymas serveriui.
Dėl to mes gauname visas kodo ir html operacijas, kurios atliekamos užklausoje, jei vartotojas įveda slaptažodį, norėdamas pasiekti svetainę, šiuo metodu galime pamatyti slaptažodį ir naudotoją, kurį naudoju.
