10 ráð um hvernig á að nota Wireshark til að greina netpakka

Í hvaða pakkaskiptu neti sem er, tákna pakkar gagnaeiningar sem eru sendar á milli tölva. Það er jafnt á ábyrgð netverkfræðinga og kerfisstjóra að fylgjast með og skoða pakkana í öryggis- og bilanaleitarskyni.

Til að gera þetta treysta þeir á hugbúnað sem kallast fylgjast með umferð í rauntíma en einnig til að vista hana í skrá til að skoða síðar.

Tengd lestur: Bestu eftirlitstækin fyrir Linux bandbreidd til að greina netnotkun

Í þessari grein munum við deila 10 ráðum um hvernig á að nota Wireshark til að greina pakka á netinu þínu og vonum að þegar þú nærð yfirlitshlutanum mun þér finnast það tilhneigingu til að bæta því við bókamerkin þín.

Að setja upp Wireshark í Linux

Til að setja upp Wireshark skaltu velja rétta uppsetningarforritið fyrir stýrikerfið/arkitektúrinn þinn af https://www.wireshark.org/download.html.

Sérstaklega, ef þú ert að nota Linux, verður Wireshark að vera tiltækur beint frá geymslum dreifingar þinnar til að auðvelda uppsetningu þegar þér hentar. Þrátt fyrir að útgáfur geti verið mismunandi ættu valkostir og valmyndir að vera svipaðar - ef ekki eins í hverjum og einum.

------------ On Debian/Ubuntu based Distros ------------ 
$ sudo apt-get install wireshark

------------ On CentOS/RHEL based Distros ------------
$ sudo yum install wireshark

------------ On Fedora 22+ Releases ------------
$ sudo dnf install wireshark

Það er þekkt villa í Debian og afleiður sem geta komið í veg fyrir skráningu netviðmótanna nema þú hafir þessa færslu.

Þegar Wireshark er í gangi geturðu valið netviðmótið sem þú vilt fylgjast með undir Capture:

Í þessari grein munum við nota eth0, en þú getur valið annan ef þú vilt. Ekki smella á viðmótið ennþá - við munum gera það síðar þegar við höfum skoðað nokkra tökumöguleika.

Hagnýtustu tökuvalkostirnir sem við munum íhuga eru:

  1. Netviðmót – Eins og við útskýrðum áður, munum við aðeins greina pakka sem koma í gegnum eth0, annað hvort komandi eða komandi.
  2. Capture filter – Þessi valkostur gerir okkur kleift að gefa til kynna hvers konar umferð við viljum fylgjast með eftir höfn, samskiptareglum eða gerð.

Áður en við höldum áfram með ráðin er mikilvægt að hafa í huga að sumar stofnanir banna notkun Wireshark í netkerfum sínum. Sem sagt, ef þú ert ekki að nota Wireshark í persónulegum tilgangi, vertu viss um að fyrirtækið þitt leyfi notkun þess.

Í bili skaltu bara velja eth0 af fellilistanum og smella á Start á hnappinum. Þú munt byrja að sjá alla umferð sem fer í gegnum það viðmót. Ekki mjög gagnlegt í eftirlitsskyni vegna mikils magns af pökkum sem skoðaðir eru, en það er byrjun.

Á myndinni hér að ofan getum við líka séð táknin til að skrá tiltæk viðmót, til að stöðva núverandi töku og endurræsa hana (rauður kassi vinstra megin) og til að stilla og breyta síu (rauður kassi til hægri). Þegar þú sveimar yfir eitt af þessum táknum birtist tólabending til að gefa til kynna hvað það gerir.

Við byrjum á því að sýna tökuvalkosti, en ráð #7 til #10 munu fjalla um hvernig á að gera raunverulega eitthvað gagnlegt með töku.

ÁBENDING #1 - Skoðaðu HTTP umferð

Sláðu inn http í síureitinn og smelltu á Apply. Ræstu vafrann þinn og farðu á hvaða síðu sem þú vilt:

Til að hefja hverja síðari ábendingu skaltu stöðva lifandi töku og breyta tökusíu.

ÁBENDING #2 - Skoðaðu HTTP umferð frá tilteknu IP-tölu

Í þessari tilteknu ábendingu munum við setja ip==192.168.0.10&& við síuorðið til að fylgjast með HTTP umferð milli staðbundinnar tölvu og 192.168.0.10:

ÁBENDING #3 - Skoðaðu HTTP umferð að tilteknu IP-tölu

Nátengd #2, í þessu tilfelli, munum við nota ip.dst sem hluta af handfangasíunni sem hér segir:

ip.dst==192.168.0.10&&http

Til að sameina ráð #2 og #3 geturðu notað ip.addr í síureglunni í stað ip.src eða ip.dst.

ÁBENDING #4 - Fylgstu með Apache og MySQL netumferð

Stundum hefur þú áhuga á að skoða umferð sem passar við annað hvort (eða bæði) skilyrðin. Til dæmis, til að fylgjast með umferð á TCP höfnum 80 (vefþjóni) og 3306 (MySQL/MariaDB gagnagrunnsþjóni), geturðu notað OR skilyrði í handfangasíu:

tcp.port==80||tcp.port==3306

Í ráðum #2 og #3, || og orðið eða gefa sömu niðurstöður. Sama með && og orðið og.

ÁBENDING #5 – Hafna pökkum á uppgefið IP-tölu

Til að útiloka pakka sem passa ekki við síuregluna skaltu nota ! og setja regluna innan sviga. Til dæmis, til að útiloka pakka sem koma frá eða eru beint á tiltekið IP-tölu, geturðu notað:

!(ip.addr == 192.168.0.10)

ÁBENDING #6 – Fylgstu með staðbundinni netumferð (192.168.0.0/24)

Eftirfarandi síuregla sýnir aðeins staðbundna umferð og útilokar pakka sem fara til og koma af internetinu:

ip.src==192.168.0.0/24 and ip.dst==192.168.0.0/24

ÁBENDING #7 - Fylgstu með innihaldi TCP samtals

Til að skoða innihald TCP samtals (gagnaskipti), hægrismelltu á tiltekinn pakka og veldu Follow TCP stream. Þá opnast gluggi með innihaldi samtalsins.

Þetta mun innihalda HTTP hausa ef við erum að skoða vefumferð, og einnig hvers kyns venjuleg textaskilríki sem send eru meðan á ferlinu stendur ef einhver er.

ÁBENDING #8 - Breyttu litarreglum

Núna er ég viss um að þú hafir þegar tekið eftir því að hver röð í myndatökuglugganum er lituð. Sjálfgefið er að HTTP umferð birtist á grænum bakgrunni með svörtum texta, en eftirlitssummuvillur eru sýndar í rauðum texta með svörtum bakgrunni.

Ef þú vilt breyta þessum stillingum, smelltu á Breyta litarreglustáknið, veldu tiltekna síu og smelltu á Breyta.

ÁBENDING #9 - Vistaðu handtökuna í skrá

Með því að vista innihald tökunnar getum við skoðað það með meiri smáatriðum. Til að gera þetta, farðu í File → Export og veldu útflutningssnið af listanum:

ÁBENDING #10 - Æfðu þig með sýnishorn

Ef þú heldur að netið þitt sé \leiðinlegt, býður Wireshark upp á röð sýnishornsskráa sem þú getur notað til að æfa og læra. Þú getur halað niður þessum SampleCaptures og flutt þær inn í gegnum File → Import valmyndina.

Wireshark er ókeypis og opinn hugbúnaður, eins og þú getur séð í algengum spurningum hluta opinberu vefsíðunnar. Þú getur stillt handfangasíu annað hvort fyrir eða eftir að skoðun er hafin.

Ef þú tókst ekki eftir því, þá hefur sían sjálfvirkan útfyllingareiginleika sem gerir þér kleift að leita auðveldlega að mest notuðu valkostunum sem þú getur sérsniðið síðar. Þar með eru himininn takmörk!

Eins og alltaf, ekki hika við að senda okkur línu með því að nota athugasemdareyðublaðið hér að neðan ef þú hefur einhverjar spurningar eða athugasemdir um þessa grein.