Wireshark Tutorial

Har du noen gang forestilt deg eller hadde noen nysgjerrigheter om hvordan nettverkstrafikk ser ut ? Hvis du gjorde det, er du ikke alene, gjorde jeg det også. Jeg visste ikke så mye om nettverk på den tiden. Så vidt jeg visste, da jeg koblet til et Wi-Fi-nettverk, ble jeg først Wi-Fi-tjenesten på datamaskinen min for å skanne tilgjengelig tilkobling/s rundt meg. Og så prøvde jeg å koble til Target Wi-Fi Access Point, hvis det ber om passord, så skriv inn passordet. Når den er koblet sammen, kan jeg nå surfe på internett. Men så lurer jeg på, hva er scenariet bak alt dette? Hvordan kunne datamaskinen min vite om det er mange tilgangspunkter rundt den? Selv jeg ikke skjønte hvor er ruterne plassert. Og når datamaskinen min koblet til ruteren / tilgangspunktet hva de gjør når jeg blar av internett? Hvordan kommuniserer disse enhetene (datamaskinen og tilgangspunktet mitt) med hverandre?

Det skjedde da jeg først installerte Kali Linux. Målet mitt ved å installere Kali Linux var å løse eventuelle problemer og nysgjerrighetene mine relatert til "noen komplekse teknologiske ting eller hackingmetoder og snart". Jeg elsker prosessen, jeg elsker sekvensen av trinn for å bryte ut puslespillet. Jeg kjente begrepene proxy, VPN og andre tilkoblingsstoffer. Men jeg trenger å vite den grunnleggende ideen om hvordan disse tingene (server og klient) fungerer og kommuniserer spesielt på mitt lokale nettverk.

Spørsmålene ovenfor bringer meg til emnet, nettverksanalyse. Det er generelt, sniffer og analyserer nettverkstrafikk. Heldigvis tilbyr Kali Linux og andre Linux Distros det kraftigste nettverksanalysatorverktøyet, kalt Wireshark. Det regnes som en standardpakke på Linux -systemer. Wireshark har rik funksjonalitet. Hovedideen med denne opplæringen er å gjøre live -fangst av nettverket, lagre dataene i en fil for videre (offline) analyseprosess.

Trinn 1: Åpne Wireshark

Når vi har koblet oss til nettverket, la oss begynne med å åpne Wireshark GUI -grensesnittet. For å kjøre dette, bare skriv inn terminalen:

Du vil se velkomstsiden til Wireshark -vinduet, det skal se slik ut:

Trinn 2: Velg grensesnitt for nettverksfangst

I dette tilfellet koblet vi oss til et tilgangspunkt gjennom vårt trådløse kortgrensesnitt. Lar gå et hode og velge wlan0. For å begynne å fange, klikk på Start knapp (Blue-Shark-Fin-ikon) Ligger på venstre hjørne.

Trinn 3: Fanger nettverkstrafikk

Nå bringer vi inn i Live Capture -vinduet. Du kan føle deg overveldet første gang du ser en haug med data i dette vinduet. Ikke bekymre deg, jeg vil forklare det en etter en. I dette vinduet, hovedsakelig delt inn i tre ruter, fra topp til bunn, er det: Pakkeliste, pakkedetaljer og pakkebyte.

1. 1. Pakkelisteruten
      Den første ruten viser en liste som inneholder pakker i gjeldende fangstfil. Det er vist som en tabell og kolonnene inneholder: pakknummeret, tiden som er fanget, pakkekilde og destinasjon, pakkeens protokoll og noen generell informasjon som finnes i pakken.
   2. Pakkedetaljer
      Den andre ruten inneholder en hierarkisk visning av informasjon om en enkelt pakke. Klikk på "kollapset og utvidet" for å vise all informasjonen som er samlet om en individuell pakke.
   3. Packet byte rute
      Den tredje ruten inneholder kodede pakkedata, viser en pakke i sin rå, uprosesserte form.

Trinn 4: Slutt å fange og spare til en .PCAP -fil

Når du er klar til å slutte å fange og se dataene som er fanget, klikker du Stopp -knappen “Rødt kvadratikon” (Ligger rett ved siden av startknappen). Det er nødvendig å lagre fil for videre analyseprosess, eller å dele de fangede pakkene. Når den er stoppet, kan du bare spare til .PCAP -filformat ved å slå Fil> Lagre som> filnavn.PCAP.

Forstå wireshark -fangstfilter og skjermfiltre

Du vet allerede den grunnleggende bruken av Wireshark, generelt, er prosessen avsluttet med ovennevnte forklaring. For å sortere og fange viss informasjon, har Wireshark en filterfunksjon. Det er to typer filtre som hver har sin egen funksjonalitet: Fangstfilter og vis filter.

1. Fangstfilter

Capture Filter brukes til å fange spesifikke data eller pakker, det brukes i "Live Capture Session", for eksempel trenger du bare å fange en vertstrafikk på 192 på 192.168.1.23 . Så legg inn spørringen til Capture Filter -skjemaet:

Vert 192.168.1.23

Den viktigste fordelen med å bruke fangstfilter er at vi kan redusere datamengden i den fangede filen, for i stedet for å fange opp en pakke eller trafikk, spesifiserer eller begrenser vi en viss trafikk. Fangstfilterkontrollerer hvilken type data i trafikken som blir fanget, hvis det ikke er satt noe filter, betyr det å fange opp alt. For å konfigurere fangstfilter, klikk Fangstalternativer knapp, som er plassert som vist ved bilde i markøren som peker på nedenfor.

Du vil merke Capture Filter Box i bunnen, klikk på det grønne ikonet ved siden av boksen og velg filteret du vil ha.

2. Skjermfilter

Displayfilter brukes i den andre hånden i "offline analyse". Skjermfilter er mer som en søkefunksjon i visse pakker du vil se på hovedvinduet. Skjermfilterkontroller det som sees fra en eksisterende pakkefangst, men påvirker ikke hvilken trafikk som faktisk blir fanget. Du kan angi skjermfilter under fangst eller analyse. Du vil merke skjermfilterboksen øverst i hovedvinduet. Det er faktisk så mange filtre du kan bruke, men ikke bli overveldet. For å bruke et filter kan du enten skrive et filteruttrykk inne i boksen, eller velge fra den eksisterende listen over tilgjengelige filtre, som vist på bildet nedenfor. Klikk Uttrykk ... knapp Ved siden av skjermfilterboksen.

Velg deretter det tilgjengelige skjermfilterargumentet på en liste. Og slå Ok knapp.

Nå har du ideen om hva som er forskjellen mellom fangstfilter og visningsfilter, og du kjenner deg rundt de grunnleggende funksjonene og funksjonaliteten til Wireshark.