Wireshark on johtava verkkoprotokollan analysaattori, jota turvallisuusammattilaiset käyttävät kaikkialla maailmassa. Sen avulla voit havaita poikkeavuuksia tietokoneverkoissa ja löytää taustalla olevat syyt. Seuraavissa osioissa esitellään Wiresharkin käyttöä.
Joten miten se toimii? Ja miten käytät Wiresharkia datapakettien sieppaamiseen?
Kuinka Wireshark toimii?
Wiresharkin vankka ominaisuusjoukko on tehnyt siitä yhden parhaat työkalut verkko-ongelmien vianmääritykseen. Monet ihmiset käyttävät Wiresharkia, mukaan lukien verkonvalvojat, tietoturvatarkastajat, haittaohjelmien analyytikot ja jopa hyökkääjät.
Onko sinulla verkko-ongelma? Tai haluatko vain tietää enemmän kotiverkostasi? Nämä seitsemän työkalua voivat auttaa sinua analysoimaan ja ratkaisemaan verkkoasi.
Sen avulla voit suorittaa syviä tarkastuksia eläville tai tallennetuille verkkopaketeille. Kun aloitat Wiresharkin käytön, sinua kiehtoo sen tarjoama tieto. Liian monien tietojen vuoksi on kuitenkin vaikea pysyä tiellä.
Onneksi voimme lieventää tätä Wiresharkin edistyneiden suodatustoimintojen avulla. Keskustelemme niistä myöhemmin yksityiskohtaisesti. Työnkulku koostuu verkkopakettien sieppaamisesta ja tarvittavien tietojen suodattamisesta.
Wiresharkin käyttäminen pakettien sieppaamiseen
Kun käynnistät Wiresharkin, se näyttää järjestelmään liitetyt verkkoliitännät. Jokaisen käyttöliittymän vieressä tulee huomata käyrät, jotka edustavat verkkoviestintää.
Nyt sinun on valittava tietty käyttöliittymä, ennen kuin voit aloittaa pakettien sieppaamisen. Voit tehdä tämän valitsemalla käyttöliittymän nimen ja napsauttamalla sinistä hain evä -kuvaketta. Voit tehdä tämän myös kaksoisnapsauttamalla käyttöliittymän nimeä.
Wireshark alkaa kaapata saapuvia ja lähteviä paketteja valitulle käyttöliittymälle. Napsauta punaista tauko -kuvake pysäyttää sieppauksen. Sinun pitäisi nähdä luettelo tämän prosessin aikana otetuista verkkopaketeista.
Wireshark näyttää kunkin paketin lähteen ja määränpään protokollan vieressä. Suurimman osan ajasta sinua kiinnostaa kuitenkin tietokentän sisältö.
Voit tarkastaa yksittäiset paketit napsauttamalla niitä. Tällä tavalla voit tarkastella koko pakettidataa.
Siepattujen pakettien tallentaminen Wiresharkiin
Koska Wireshark sieppaa paljon liikennettä, kannattaa joskus tallentaa ne myöhempää tarkastusta varten. Onneksi kaapattujen pakettien tallentaminen Wiresharkilla on vaivatonta.
Jos haluat tallentaa paketteja, pysäytä aktiivinen istunto. Napsauta sitten tiedosto -kuvake ylävalikossa. Voit myös käyttää Ctrl + S tehdä tämä.
Wireshark voi tallentaa paketteja useissa muodoissa, mukaan lukien pcapng, pcap ja dmp. Voit myös tallentaa siepatut paketit muussa muodossa verkkoanalyysityökalut voi myöhemmin käyttää.
Siepattujen pakettien analysointi
Voit analysoida aiemmin siepattuja paketteja avaamalla sieppaustiedoston. Napsauta pääikkunassa Tiedosto> Avaa ja valitse sitten asianmukainen tallennettu tiedosto.
Voit myös käyttää Ctrl + O tehdä tämä nopeasti. Kun olet analysoinut paketit, sulje tarkastusikkuna siirtymällä kohtaan Tiedosto> Sulje.
Wireshark-suodattimien käyttö
Wireshark tarjoaa lukuisia tehokkaita suodatusominaisuuksia. Suodattimia on kahta tyyppiä - näyttö- ja sieppaussuodattimet.
Wireshark-näytön suodattimien käyttäminen
Näyttösuodattimia käytetään tiettyjen pakettien tarkasteluun kaikista siepatuista paketeista. Voimme käyttää esimerkiksi näyttösuodatinta icmp nähdäksesi kaikki ICMP-datapaketit.
Voit valita suuren määrän suodattimia. Lisäksi voit myös määrittää mukautetut suodatussäännöt triviaalille tehtäville. Voit lisätä räätälöityjä suodattimia siirtymällä kohtaan Analysoi> Näytön suodattimet. Klikkaa + -kuvaketta lisätäksesi uuden suodattimen.
Wireshark-sieppaussuodattimien käyttäminen
Sieppaussuodattimia käytetään määrittämään, mitkä paketit kaapataan Wireshark-istunnon aikana. Se tuottaa huomattavasti vähemmän paketteja kuin tavalliset sieppaukset. Voit käyttää niitä tilanteissa, joissa tarvitset tarkkoja tietoja tietyistä paketeista.
Kirjoita sieppaussuodatin pääikkunan käyttöliittymäluettelon yläpuolella olevaan kenttään. Valitse käyttöliittymän nimi luettelosta ja kirjoita suodattimen nimi yllä olevaan kenttään.
Napsauta sinistä hain evä -kuvaketta aloittaaksesi pakettien sieppaamisen. Seuraava esimerkki käyttää arp suodatin kaappaamaan vain ARP-tapahtumat.
Wireshark-värityssääntöjen käyttäminen
Wireshark tarjoaa useita värisääntöjä, joita aiemmin kutsuttiin värisuodattimiksi. Se on hieno ominaisuus, kun analysoidaan laajaa verkkoliikennettä. Voit myös muokata niitä mieltymysten perusteella.
Näytä nykyiset värisäännöt siirtymällä kohtaan Näytä> Värityssäännöt. Täältä löydät asennuksen oletusvärisäännöt.
Voit muokata niitä millä tahansa tavalla. Lisäksi voit käyttää muiden ihmisten värisääntöjä tuomalla määritystiedoston.
Lataa mukautettuja sääntöjä sisältävä tiedosto ja tuo se sitten valitsemalla Näytä> Värityssäännöt> Tuo. Voit viedä sääntöjä samalla tavalla.
Wireshark toiminnassa
Toistaiseksi olemme keskustelleet joistakin Wiresharkin ydinominaisuuksista. Suoritetaan joitain käytännön toimia osoittaaksemme näiden integroitumisen.
Olemme luoneet Go-peruspalvelimen tätä esittelyä varten. Se palauttaa yksinkertaisen tekstiviestin jokaiselle pyynnölle. Kun palvelin on käynnissä, teemme joitain HTTP-pyyntöjä ja sieppaamme reaaliaikaisen liikenteen. Huomaa, että palvelinta käytetään localhostissa.
Ensin aloitamme pakettien sieppaamisen kaksoisnapsauttamalla Loopback (localhost) -rajapintaa. Seuraava vaihe on käynnistää paikallinen palvelimemme ja lähettää GET-pyyntö. Käytämme kiharaa tähän.
Wireshark sieppaa kaikki saapuvat ja lähtevät paketit tämän keskustelun aikana. Haluamme tarkastella palvelimemme lähettämiä tietoja, joten käytämme http. vastaus näyttösuodatin vastepakettien katseluun.
Nyt Wireshark piilottaa kaikki muut kaapatut paketit ja näyttää vain vastauspaketit. Jos tarkastelet tarkasti pakettien yksityiskohtia, sinun tulee huomata palvelimemme lähettämä selkeä teksti.
Hyödyllisiä Wireshark-komentoja
Voit myös käyttää erilaisia Wireshark-komentoja hallita ohjelmistoa Linux-päätelaitteeltasi. Tässä on joitain Wireshark-komentoja:
- lankahai käynnistää Wiresharkin graafisessa tilassa.
- lankahai -h näyttää käytettävissä olevat komentorivivalinnat.
- wireshark -i INTERFACE valitsee sieppausliittymäksi INTERFACE.
Tshark on Wiresharkin komentorivivaihtoehto. Se tukee kaikkia olennaisia ominaisuuksia ja on erittäin tehokas.
Analysoi verkon turvallisuus Wiresharkin avulla
Wiresharkin runsas ominaisuusjoukko ja edistyneet suodatussäännöt tekevät pakettianalyysistä tuottavan ja suoraviivaisen. Sen avulla voit etsiä kaikenlaisia tietoja verkostostasi. Kokeile sen perustoimintoja, jotta voit oppia käyttämään Wiresharkia pakettianalyysiin.
Wireshark on ladattavissa laitteissa, joissa on Windows, macOS ja Linux.
Haluatko seurata verkkoasi tai etälaitteitasi? Näin muutat Vadelma Pi: stä verkonvalvontatyökaluksi Nagiosin avulla.
- Linux
- Mac
- Windows
- Turvallisuus
- Verkkoturva
Rubaiat on CS-grad, jolla on vahva intohimo avoimen lähdekoodin kanssa. Sen lisäksi, että hän on Unix-veteraani, hän työskentelee myös verkkoturvallisuuden, salauksen ja toiminnallisen ohjelmoinnin parissa. Hän on innokas käytettyjen kirjojen keräilijä ja rakastaa loputtomasti klassista rockia.
Tilaa uutiskirjeemme
Liity uutiskirjeeseemme, jossa on teknisiä vinkkejä, arvosteluja, ilmaisia e-kirjoja ja erikoistarjouksia!
Vielä yksi askel !!!
Vahvista sähköpostiosoitteesi juuri lähettämässäsi sähköpostiviestissä.