10 tip til, hvordan du bruger Wireshark til at analysere pakker i dit netværk
I ethvert pakkeomskiftet netværk repræsenterer pakker enheder af data, der transmitteres mellem computere. Det er netværksingeniørers og systemadministrators ansvar at overvåge og inspicere pakkerne med henblik på sikkerhed og fejlfinding.
For at gøre dette stoler de på softwareprogrammer kaldet netværkspakkeanalysatorer, hvor Wireshark måske er den mest populære og bruges på grund af dens alsidighed og brugervenlighed. Oven i dette giver Wireshark dig mulighed for ikke kun at overvåge trafik i realtid, men også at gemme den i en fil til senere inspektion.
Relateret læsning: Bedste Linux-båndbreddemonitoringsværktøjer til analyse af netværksbrug
I denne artikel vil vi dele 10 tip om, hvordan du bruger Wireshark til at analysere pakker i dit netværk og håber, at når du når sektionen Resume, vil du føle dig tilbøjelig til at føje den til dine bogmærker.
Installation af Wireshark i Linux
For at installere Wireshark skal du vælge det rigtige installationsprogram til dit operativsystem/arkitektur fra https://www.wireshark.org/download.html.
Især hvis du bruger Linux, skal Wireshark være tilgængelig direkte fra din distributions opbevaringssteder for en lettere installation, når det passer dig. Selvom versioner kan være forskellige, skal valgmulighederne og menuerne være ens - hvis de ikke er identiske i hver enkelt.
------------ On Debian/Ubuntu based Distros ------------ $ sudo apt-get install wireshark ------------ On CentOS/RHEL based Distros ------------ $ sudo yum install wireshark ------------ On Fedora 22+ Releases ------------ $ sudo dnf install wireshark
Der er en kendt fejl i Debian og derivater, der muligvis forhindrer en liste over netværksgrænseflader, medmindre du bruger sudo til at starte Wireshark. For at løse dette skal du følge det accepterede svar i dette indlæg.
Når Wireshark kører, kan du vælge netværksgrænsefladen, som du vil overvåge under Capture:
I denne artikel bruger vi eth0 , men du kan vælge en anden, hvis du ønsker det. Klik ikke på grænsefladen endnu - vi gør det senere, når vi har gennemgået et par indfangningsmuligheder.
De mest nyttige opsamlingsmuligheder, vi vil overveje, er:
- Netværksgrænseflade - Som vi har forklaret før, analyserer vi kun pakker, der kommer gennem eth0, enten indgående eller udgående.
- Capture filter - Denne mulighed giver os mulighed for at angive, hvilken type trafik vi vil overvåge efter port, protokol eller type.
Før vi fortsætter med tipene, er det vigtigt at bemærke, at nogle organisationer forbyder brugen af Wireshark i deres netværk. Når det er sagt, skal du sørge for, at din organisation tillader brugen, hvis du ikke bruger Wireshark til personlige formål.
For øjeblikket skal du blot vælge eth0 fra rullelisten og klikke på Start ved knappen. Du begynder at se al trafik, der passerer gennem denne grænseflade. Ikke rigtig nyttigt til overvågningsformål på grund af den store mængde inspicerede pakker, men det er en start.
I ovenstående billede kan vi også se ikonerne for at liste de tilgængelige grænseflader, stoppe den aktuelle optagelse og genstarte den (rød boks til venstre) og konfigurere og redigere et filter (rød boks til højre). Når du holder markøren over et af disse ikoner, vises en værktøjstip for at angive, hvad den gør.
Vi begynder med at illustrere indstillingsmuligheder, mens tip nr. 7 til og med 10 vil diskutere, hvordan man rent faktisk gør noget nyttigt med en optagelse.
TIP # 1 - Undersøg HTTP-trafik
Skriv http i filterboksen, og klik på Anvend. Start din browser, og gå til ethvert websted, du ønsker:
For at begynde hvert efterfølgende tip skal du stoppe liveoptagelsen og redigere opsamlingsfiltret.
TIP # 2 - Undersøg HTTP-trafik fra en given IP-adresse
I dette specifikke tip forbereder vi ip == 192.168.0.10 && til filterstrofen for at overvåge HTTP-trafik mellem den lokale computer og 192.168.0.10:
TIP # 3 - Undersøg HTTP-trafik til en given IP-adresse
Nært beslægtet med nr. 2, i dette tilfælde bruger vi ip.dst som en del af opsamlingsfilteret som følger:
ip.dst==192.168.0.10&&http
For at kombinere tip nr. 2 og nr. 3 kan du bruge ip.addr i filterreglen i stedet for ip.src eller ip.dst .
TIP # 4 - Overvåg Apache og MySQL netværkstrafik
Nogle gange vil du være interesseret i at inspicere trafik, der matcher enten (eller begge) forhold overhovedet. For at overvåge trafik på TCP-porte 80 (webserver) og 3306 (MySQL/MariaDB-databaseserver) kan du f.eks. Bruge en ELLER -tilstand i opsamlingsfilteret:
tcp.port==80||tcp.port==3306
I tip nr. 2 og # 3 || og ordet eller producerer de samme resultater. Samme med && og ordet og.
TIP # 5 - Afvis pakker til given IP-adresse
For at ekskludere pakker, der ikke matcher filterreglen, skal du bruge ! og omslutte reglen inden for parenteser. For at ekskludere pakker, der stammer fra eller bliver sendt til en given IP-adresse, kan du f.eks .:
!(ip.addr == 192.168.0.10)
TIP # 6 - Overvåg lokal netværkstrafik (192.168.0.0/24)
Følgende filterregel viser kun lokal trafik og udelukker pakker, der går til og kommer fra Internettet:
ip.src==192.168.0.0/24 and ip.dst==192.168.0.0/24
TIP # 7 - Overvåg indholdet af en TCP-samtale
For at inspicere indholdet af en TCP-samtale (dataudveksling) skal du højreklikke på en given pakke og vælge Følg TCP-stream. Der vises et vindue med indholdet af samtalen.
Dette inkluderer HTTP-overskrifter, hvis vi inspicerer webtrafik, og også eventuelle legitimationsoplysninger, der sendes under processen, hvis nogen.
TIP # 8 - Rediger farvestofregler
Nu er jeg sikker på, at du allerede har bemærket, at hver række i fangstvinduet er farvet. Som standard vises HTTP-trafik i den grønne baggrund med sort tekst, mens kontrolsumfejl vises i rød tekst med sort baggrund.
Hvis du ønsker at ændre disse indstillinger, skal du klikke på ikonet Rediger farvestofregler, vælge et givet filter og klikke på Rediger.
TIP # 9 - Gem optagelsen i en fil
Gemning af indholdet af fangst giver os mulighed for at inspicere det mere detaljeret. For at gøre dette skal du gå til File → Export og vælge et eksportformat fra listen:
TIP # 10 - Øv dig med capture-prøver
Hvis du synes, dit netværk er "kedeligt", leverer Wireshark en række eksempler på capture-filer, som du kan bruge til at øve og lære. Du kan downloade disse SampleCaptures og importere dem via menuen File → Import.
Wireshark er gratis software med open source, som du kan se i afsnittet om ofte stillede spørgsmål på det officielle websted. Du kan konfigurere et opsamlingsfilter enten før eller efter en inspektion.
Hvis du ikke har bemærket det, har filteret en autofuldførelsesfunktion, der giver dig mulighed for nemt at søge efter de mest anvendte indstillinger, som du kan tilpasse senere. Med det er himlen grænsen!
Som altid, tøv ikke med at sende os en linje ved hjælp af kommentarformularen nedenfor, hvis du har spørgsmål eller observationer om denne artikel.