Wireshark dyptgående opplæring
Wireshark er de-facto go-to-verktøy for flere nettverksproblemer som varierer fra nettverksfeilsøking, undersøkelse av sikkerhetsproblemer, inspiserer nettverkstrafikk av en mistenkelig applikasjon, feilsøkingsprotokollimplementeringer, sammen med nettverksprotokollens læringsformål osv.
Wireshark -prosjektet ble initiert i 1998. Takket være Global Networking Experts frivillige bidrag, fortsetter det å gjøre oppdateringer for nye teknologier og krypteringsstandarder. Derfor er det uten tvil et av de beste pakkeanalysatorverktøyene og brukes som et standard kommersielt verktøy av forskjellige offentlige etater, utdanningsinstitusjoner og ideelle organisasjoner.
Wireshark -verktøyet er sammensatt av et rikt sett med funksjoner. Noen av dem er følgende:
- Multiplatform: Den er tilgjengelig for UNIX, Mac og vindus systemer.
- Den fanger pakker fra forskjellige nettverksmedier, jeg.e., Trådløst LAN, Ethernet, USB, Bluetooth, etc.
- Det åpner pakkefiler fanget av andre programmer som Oracle Snoop og Atmsnoop, NMAP, TCPDump, Microsoft Network Monitor, Snort og mange andre.
- Det lagrer og eksporterer fanget pakkedata i forskjellige formater (CSV, XML, PlainText, etc.).
- Det gir beskrivelse støtte for protokoller inkludert SSL, WPA/WPA2, IPsec og mange andre.
- Det inkluderer fangst- og visningsfiltre.
Wireshark vil imidlertid ikke advare deg om noen ondsinnet aktivitet. Det vil bare hjelpe deg å inspisere og identifisere hva som skjer i nettverket ditt. Dessuten vil den bare analysere nettverksprotokoll/aktiviteter og vil ikke utføre noen annen aktivitet som å sende/avskjære pakker.
Denne artikkelen gir en grundig opplæring som begynner med det grunnleggende (i.e., filtrering, wireshark nettverkslag osv.) og tar deg inn i dybden i trafikkanalysen.
Wireshark -filtre
Wireshark kommer med kraftige filtermotorer, fangstfiltre og skjermfiltre, for å fjerne støy fra nettverket eller allerede fanget trafikk. Disse filtrene begrenser den ubestemte trafikken og viser bare pakkene du vil se. Denne funksjonen hjelper nettverksadministratorer med å feilsøke problemene som er aktuelle.
Før du går inn på detaljene i filtre. I tilfelle du lurer på hvordan du kan fange nettverkstrafikken uten filter, kan du enten trykke på Ctrl+E eller gå til fangstalternativet på Wireshark -grensesnittet og klikke på Start.
La oss nå grave dypt i de tilgjengelige filtrene.
Fangstfilter
Wireshark gir støtte for å redusere størrelsen på en rå pakkefangst ved å la deg bruke et fangstfilter. Men det fanger bare pakketrafikken som samsvarer med filteret og ser bort fra resten av det. Denne funksjonen hjelper deg å overvåke og analysere trafikken til en spesifikk applikasjon ved hjelp av nettverket.
Ikke forveksle dette filteret med skjermfiltre. Det er ikke et skjermfilter. Dette filteret vises i hovedvinduet som er nødvendig for å angi før du starter pakkefangst. Dessuten kan du ikke endre dette filteret under fangsten.
Du kan gå til Fange Alternativ for grensesnittet og velg Fangstfiltre.
Du blir bedt om med et vindu, som vist i øyeblikksbildet. Du kan velge et hvilket som helst filter fra listen over filtre eller legge til/opprette et nytt filter ved å klikke på + knapp.
Eksempler på listen over nyttige fangstfiltre:
- Vert IP_ADDRESS - fanger trafikk, bare mellom den spesifikke kommuniserende IP -adressen
- netto 192.168.0.0/24 - fanger trafikk mellom IP -adresserier/CIDRS
- Port 53 - fanger DNS -trafikk
- TCP Portrange 2051-3502 - fanger TCP-trafikk fra portområdet 2051-3502
- Port ikke 22 og ikke 21 - Fang all trafikken bortsett fra SSH og FTP
Skjermfilter
Skjermfiltre lar deg skjule noen pakker fra den allerede fangede nettverkstrafikken. Disse filtrene kan legges til over den fangede listen og kan modifiseres på farten. Du kan nå kontrollere og begrense pakkene du vil konsentrere deg om mens du skjuler unødvendige pakker.
Du kan legge til filtre i skjermfilterverktøylinjen rett over den første ruten som inneholder pakkeinformasjon. Dette filteret kan brukes til å vise pakker basert på protokoll, kilde -IP -adresse, destinasjons -IP -adresse, porter, verdi og informasjon om felt, sammenligning mellom felt og mye mer.
Det er riktig! Du kan bygge en kombinasjon av filtre ved hjelp av logiske operatører som ==.!=, ||, && osv.
Noen eksempler på visningsfilter av en enkelt TCP -protokoll og et kombinasjonsfilter er vist nedenfor:
Nettverkslag i Wireshark
Annet enn pakkeinspeksjon, presenterer Wireshark OSI -lag som hjelper feilsøkingsprosessen. Wireshark viser lagene i omvendt rekkefølge, for eksempel:
- Fysisk lag
- Data Link Layer
- Nettverkslag
- Transportlag
- Applikasjonslag
Merk at Wireshark ikke alltid viser det fysiske laget. Vi vil nå grave i hvert lag for å forstå det viktige aspektet ved pakkeanalyse, og det hvert lag presenterer i Wireshark.
Fysisk lag
Det fysiske laget, som vist i følgende øyeblikksbilde, presenterer det fysiske sammendraget av rammen, for eksempel maskinvareinformasjon. Som nettverksadministrator trekker du ikke ut generelt informasjon fra dette laget.
Data Link Layer
Neste datalinklag inneholder kilde- og destinasjonsnettverksadressen. Det er relativt enkelt, siden den bare leverer rammen fra den bærbare datamaskinen til ruteren eller den neste tilstøtende rammen i det fysiske mediet.
Nettverkslag
Nettverkslaget presenterer kilden og destinasjons -IP -adresser, IP -versjon, overskriftslengde, total pakkelengde og masse annen informasjon.
Transportlag
I dette laget viser Wireshark informasjon om transportlaget, som består av SRC -port, DST -port, overskriftslengde og sekvensnummer som endres for hver pakke.
Applikasjonslag
I det endelige laget kan du se hvilken type data som blir sendt over mediet og hvilken applikasjon som brukes, for eksempel FTP, HTTP, SSH, etc.
Trafikkanalyse
ICMP -trafikkanalyse
ICMP brukes til feilrapportering og testing ved å bestemme om dataene når den tiltenkte destinasjonen i tide eller ikke. Ping -verktøyet bruker ICMP -meldinger for å teste hastigheten på forbindelsen mellom enheter, og rapportere hvor lang tid pakken tar for å nå sin destinasjon og deretter komme tilbake.
Ping bruker ICMP_ECHO_REQUEST -melding til enheten i nettverket, og enheten svarer med ICMP_ECHO_Reply Melding. For å fange pakker på Wireshark, start fangstfunksjonen til Wireshark, åpne terminalen og kjør følgende kommando:
ubuntu $ ubuntu: ~ $ ping google.com
Bruk Ctrl+c Å avslutte pakkefangstprosessen i Wireshark. I øyeblikksbildet nedenfor kan du legge merke til ICMP -pakke sendt = mottatt ICMP -pakke med 0% pakketap.
I Wireshark Capture -ruten velger du den første ICMP_ECHO_REQUEST -pakken og følg detaljene ved å åpne Middle Wireshark -ruten.
I nettverkslaget kan du legge merke til kilden Src som min ip_adress, mens destinasjonen Dst IP_Address er av Google Server, mens IP -laget nevner protokollen for å være ICMP.
Nå zoomer vi inn i ICMP -pakkedetaljene ved å utvide protokollen for internettkontroll og avkode de uthevede boksene i øyeblikksbildet nedenfor:
- Type: 08-bit felt satt til 8 betyr Echo Request-melding
- Kode: alltid null for ICMP -pakker
- Kontroller: 0x46c8
- Identifikatornummer (BE): 19797
- Identifikatornummer (LE): 21837
- Sekvensnummer (være): 1
- Sekvensnummer (LE): 256
Identifikatoren og sekvensnumrene blir matchet for å hjelpe til med å identifisere svarene til Echo -forespørsler. Tilsvarende, før pakkeoverføring, beregnes kontrollsummen og legges til feltet som skal sammenlignes med kontrollsummen i den mottatte datapakken.
Nå, i ICMP -svarpakken, legg merke til IPv4 -laget. Kilde- og destinasjonsadressene har byttet ut.
I ICMP -laget må du bekrefte og sammenligne følgende viktige felt:
- Type: 08-bit felt satt til 0 betyr ekko Svarmelding
- Kode: alltid 0 for ICMP -pakker
- Kontroller: 0x46c8
- Identifikatornummer (BE): 19797
- Identifikatornummer (LE): 21837
- Sekvensnummer (være): 1
- Sekvensnummer (LE): 256
Du kan legge merke til at ICMP -svaret gjenspeiler den samme forespørselen sjekksum, identifikator og sekvensnummer.
HTTP -trafikkanalyse
HTTP er en protokoll for hypertekstoverføring. Det brukes av World Wide Web og definerer regler når HTTP -klienten/serveren overfører/mottar HTTP -kommandoer. De mest brukte HTTP -metodene AE Post og Get:
POST: Denne metoden brukes til å sende konfidensiell informasjon sikkert til serveren som ikke vises i nettadressen.
FÅ: Denne metoden brukes vanligvis til å hente data fra adressefeltet fra en webserver.
Før vi graver dypere i HTTP-pakkeanalyse, vil vi først kort demonstrere TCP-treveis-Handshake i Wireshark.
TCP treveis-håndshake
I et treveis håndtrykk initierer klienten en forbindelse ved å sende en SYN-pakke og motta et syn-ACK-svar fra serveren, som er anerkjent av klienten. Vi vil bruke NMAP TCP Connect Scan -kommandoen for å illustrere TCP -håndtrykk mellom klient og server.
ubuntu $ ubuntu: ~ $ nmap -st google.com
I Wireshark-pakkefangstruten, bla til toppen av vinduet for å legge merke til forskjellige tre-veier-håndshakes etablert basert på bestemte porter.
Bruke TCP.port == 80 filter for å se om tilkoblingen er etablert via port 80. Du kan legge merke til den komplette treveis-håndshaken, jeg.e., Syn, Syn-ack, og Ack, fremhevet øverst i øyeblikksbildet, og illustrerer en pålitelig forbindelse.
HTTP -pakkeanalyse
For HTTP -pakkeanalyse, gå til nettleseren din og lim inn Wireshark Documentation URL: http: // www.Wafflemaker.com og last ned brukerhåndboken PDF. I mellomtiden må Wireshark fange alle pakkene.
Bruk et HTTP -filter og se etter Http få forespørsel sendt til serveren av klienten. Hvis du vil se en HTTP -pakke, velger du den og utvider applikasjonslaget i midtruten. Det kan også være mange overskrifter i en forespørsel, avhengig av nettstedet og nettleseren. Vi vil analysere overskriftene som er til stede i vår forespørsel i øyeblikksbildet nedenfor.
- Forespørsel metode: HTTP -forespørselsmetoden er å få
- Vert: identifiserer navnet på serveren
- Bruker agent: Informerer om nettlesertypen
- Akseptere, akseptere koding, akseptere språk: informerer serveren om filtypen, akseptert koding på klientsiden, i.e., Gzip osv., og det aksepterte språket
- Cache-Control: viser hvordan den forespurte informasjonen er hurtigbufr
- PAGMA: Viser informasjonskapselens navn og verdsetter nettleseren har for nettstedet
- Forbindelse: overskrift som kontrollerer om forbindelsen holder seg åpen etter transaksjonen
I Http ok Pakke fra server til klient, og observerer informasjonen i protokolllaget for hypertekstoverføring viser "200 OK“. Denne informasjonen indikerer en normal vellykket overføring. I HTTP OK -pakken kan du observere forskjellige overskrifter i forhold til Http få pakke. Disse overskriftene inneholder informasjon om det forespurte innholdet.
- Svarversjon: Informerer om HTTP -versjonen
- Statuskode, svarfrase: sendt av serveren
- Dato: tiden da serveren mottok HTTP Get Packet
- Server: Serverdetaljer (Nginx, Apache, etc.)
- Innholdstype: Type innhold (JSON, TXT/HTML, etc.)
- Innholdslengde: Total lengde på innholdet; Filen vår er 39696 byte
I denne delen har du lært hvordan HTTP fungerer og hva som skjer når vi ber om innhold på nettet.
Konklusjon
Wireshark er det mest populære og kraftige nettverkssniffer- og analyseverktøyet. Det er mye brukt i daglige pakkeanalyseoppgaver i forskjellige organisasjoner og institutter. I denne artikkelen har vi studert noen nybegynnere til middels nivåer av Wireshark i Ubuntu. Vi har lært hvilken type filtre som Wireshark for pakkeanalyse som tilbys. Vi har dekket nettverkslagsmodellen i Wireshark og utført dyptgående ICMP- og HTTP-pakkeanalyse.
Å lære og forstå ulike aspekter ved dette verktøyet er imidlertid en lang hard reise. Derfor er det mange andre online forelesninger og opplæringer tilgjengelig for å hjelpe deg rundt spesifikke emner av Wireshark. Du kan følge den offisielle brukerhåndboken som er tilgjengelig på Wireshark -nettstedet. Når du først har bygget den grunnleggende forståelsen av protokollanalyse, anbefales det også å bruke et verktøy som Varonis som peker deg på den potensielle trusselen og deretter bruker Wireshark for å undersøke for bedre forståelse.