„Wireshark Advanced“: išsamus fiksavimo ir analizės vadovas

Informatec Digital » Ištekliai » „Wireshark Advanced“: išsamus fiksavimo ir analizės vadovas

Jei jau esate susipažinę su „Wireshark“ ir norite žengti dar vieną žingsnį į priekį, šis straipsnis skirtas jums. Pažiūrėsime, kaip iš tikrųjų išnaudoti visas jo galimybes, pradedant nuo... nuo pagrindinių duomenų fiksavimo iki išplėstinės srauto analizės, įskaitant filtrus, spalvas, protokolus ir praktinį panaudojimą kibernetinio saugumo analizėnašumas ir problemų sprendimas.

Šiame tekste rasite daug sąvokų, ramiai paaiškintų paprasta, kasdiene ispanų kalba. Šios sąvokos dažnai randamos profesionaliuose įrankiuose, kursuose, knygose ir laboratorijose, tokiose kaip „TryHackMe“, tačiau taikomos praktinėse situacijose. Tikslas yra tas, kad iki to laiko, kai baigsite skaityti, galėsite Lengvai naršykite „Wireshark“ sąsajoje ir užfiksuokite tai, kas jus domina. ir suprasti, kas vyksta jūsų tinkle.

Kas yra „Wireshark“ ir kodėl jis toks svarbus?

„Wireshark“ iš esmės yra tinklo protokolų analizatorius (geras senamadiškas paketų šnipinėjimo įrankis), leidžiantis po vieną matyti paketus, kurie patenka į jūsų tinklo sąsajas ir išeina iš jų, nesvarbu, ar viešieji „Wi-Fi“ tinklaiEthernet ar kiti. Kiekvienas paketas yra užfiksuojamas, izoliuojamas ir rodomas realiuoju laiku su visomis jo detalėmis.

Kalbame apie programą nemokamas ir atviras šaltinisPlatinama pagal GNU General Public License v2. Tai reiškia, kad nėra sutrumpintų versijų ar „demonstracinių leidimų“: atsisiunčiate pilną versiją su visomis funkcijomis, ir bet kuris kūrėjas gali peržiūrėti jos kodą, kad įsitikintų, jog jame nėra nieko neįprasto.

Projektą valdo Wireshark fondas„Wireshark“ yra ne pelno siekianti organizacija, koordinuojanti programinės įrangos kūrimą, dokumentavimą ir platinimą. Daugelis įmonių ir specialistų, kurie savo darbe naudojasi „Wireshark“, aukoja, o tai leidžia įrankiui išlikti gyvam ir jį toliau tobulinti.

„Wireshark“ galima naudoti „Windows“, „macOS“ ir „Linux“ distribucijos, tokios kaip „Ubuntu“Ją galima atsisiųsti iš oficialios svetainės wireshark.org. Įdiegę pamatysite sąsają, kuri iš pradžių gali atrodyti paini: šimtai eilučių, besikeičiančių dideliu greičiu, stulpeliai su IP adresais, protokolais, ilgiais, laiko žymomis... bet visa tai yra grynas auksas diagnozuojant gedimus, aptinkant atakas ar suprantant, ką veikia jūsų įrenginiai.

„Wireshark“ sąsaja: skydeliai, nuostatos ir pradžia

Atidarius „Wireshark“, ekranas suskirstytas į kelias pagrindines paneles: paketų sąrašas, pasirinkto paketo informacija ir neapdorotą rodinį (šešioliktainiai ir ASCII baitai). Šių skydelių supratimas yra sklandaus darbo pagrindas.

Viršutiniame skydelyje rodomi visi užfiksuoti paketai; kiekviena eilutė atitinka paketą ir joje pateikiama tokia informacija kaip paketo numeris, laikas, šaltinio IP adresas, paskirties IP adresas, protokolas ir trumpa santrauka. Viduriniame skydelyje galite matyti sluoksniuotas pakuotės skaidymas (ryšys, tinklas, transportas, programa), o apačioje – baitai šešioliktainiu formatu ir jų tekstinis vaizdavimas.

Iš nustatymų meniu galite atidaryti „Wireshark“ nuostatos ir koreguoti tokius dalykus kaip laiko formatas, skydelių rodymo būdas, laukų kalba ar net paslėpti tam tikrus elementus. Pavyzdžiui, galite pakeisti skydelio išdėstymą arba išjungti šešioliktainių baitų rodymą, jei norite sutelkti dėmesį tik į loginę analizę.

Navigacija ekrano kopijoje taip pat yra svarbi: galite pereiti tiesiai prie konkretaus paketo numerio, pereiti prie pirmo arba paskutinio sąraše ir naršyti pokalbius naudodami sparčiuosius klavišus. Be to, tai įmanoma pažymėti paketus, kad vėliau galėtumėte prie jų grįžtiTai labai naudinga, kai sekate ilgą srautą ir reikia atsiminti tam tikrus pagrindinius dalykus.

Srauto fiksavimas: sąsajos, ribos ir paketų tipai

Prieš analizuodami turite užfiksuoti. „Wireshark“ leidžia pasirinkti, kuriuos užfiksuoti. tinklo sąsaja Ar norite išgirsti?Ethernet plokštė, „Wi-Fi“, virtualios sąsajos, tuneliai ir kt. Ne visos sąsajos palaiko tą patį detalumo lygį, tačiau paprastai galėsite matyti srautą, kuris kerta jūsų įrenginį, ir netgi, tam tikrais režimais, srautą, kuris cirkuliuoja per jūsų vietinį tinklą.

Praktikai labai dažnai naudojami riboti fiksavimai. Pavyzdžiui, galite pradėti fiksavimą, apribotą iki 1.000 pakuotėsarba sukonfigūruokite jį taip, kad jis automatiškai sustotų po 5 sekundžių. Tai naudinga norint išvengti didelių failų ir sutelkti dėmesį į konkrečius laikinus veiklos langus.

„Wireshark“ taip pat palaiko fiksavimo filtrus, todėl nuo pat pradžių įrašomi tik tam tikri paketai. Tipiškas naudojimo atvejis yra tik fiksavimas. UDP srautas arba TCP srautasPavyzdžiui, galite pradėti fiksavimą, kuris priima tik UDP paketus, jei jus domina internetiniai žaidimai ar transliacijos paslaugos, arba apriboti fiksavimą iki TCP, jei norite tyrinėti HTTP, TLS, FTP sesijas ir pan.

Kai turėsite tai, ko jums reikia, rezultatą galite išsaugoti faile su plėtiniu .pcap arba .pcapng, pavyzdžiui, kaip „example_tcp.pcap“ir uždarykite „Wireshark“. Tada galite iš naujo atidaryti programą, įkelti failą ir laisvalaikiu jį analizuoti, nepertraukiant srauto judėjimo realiuoju laiku ir nerizikuodami nieko prarasti.

Darbas su laiku: pažymiai, skirtumai ir laiko analizė

Laiko žymos laukas yra vienas galingiausių „Wireshark“ programoje. Paketų sąraše galite matyti, kada kiekvienas paketas buvo užfiksuotas, bet taip pat galite išmatuoti Kiek laiko praėjo nuo fiksavimo pradžios iki konkretaus paketo?arba tarp dviejų konkrečių paketų. Pavyzdžiui, galite peržiūrėti laiką, per kurį pasiekiamas 300 paketas, kad pamatytumėte, kaip vystosi ryšys.

Viena labai praktiška funkcija yra nustatyti paketą kaip nulinio laiko nuorodaTai leidžia bet kuriame fiksavimo taške iš naujo apibrėžti laiką „0“, kad visi kiti laikai būtų matuojami atsižvelgiant į tą tašką. Tai idealu, kai norite ištirti konkretų mainą, o ne visą sesiją.

Derindami laiko žymas su filtrais ir srauto stebėjimu (sekti TCP srautą, sekti UDP srautą), galite gana tiksliai matyti delsa, vėlavimai, persiuntimas ir pakartotinis perdavimas kurie atsiranda tinkle. Tai ypač naudinga diagnozuojant vėlavimo problemas, kliūtis ar paketų praradimą.

Sluoksniuota analizė: nuo MAC iki programos

Vienas didžiausių „Wireshark“ privalumų yra tai, kad jis leidžia matyti kiekvieną paketą, suskirstytą pagal OSI arba TCP/IP modelio sluoksnius. Pradedant nuo apačios, galite matyti kokia fizinė terpė ar ryšio tipas naudojamas (pavyzdžiui, Ethernet) ir sąsajos tipą, kuris jį palaiko.

2 sluoksnyje (duomenų perdavimas) galite patikrinti, ką naudojamas protokolasŠiuolaikiniuose tinkluose tai paprastai yra Ethernet II. Čia svarbus tampa laukas „EtherType“, nes jame gali būti rodomos tokios reikšmės kaip 0x0800 (rodo IPv4) arba kiti rečiau pasitaikantys identifikatoriai. Galite ieškoti paketų su konkrečia reikšme, pvz., 0x0800 arba 0xEBF2, naudodami filtrus arba paieškas duomenų rinkinyje.

Pereinant prie 3 sluoksnio, rasite tinklo protokolą, paprastai IPv4 arba IPv6Čia galite matyti šaltinio ir paskirties IP adresus, taip pat galite išskleisti laukų medį, kad peržiūrėtumėte kitą informaciją, pvz., TTL, fragmentaciją, parinktis ir kt. Nustatykite šaltinio IP ir paskirties IP Tai viena iš elementariausių, bet ir dažniausiai atliekamų užduočių tiriant problemas.

4 sluoksnyje „Wireshark“ praneša, ar susiduriate su TCP, UDP arba kiti perdavimo protokolaiČia galite matyti šaltinio ir paskirties prievadus, TCP vėliavėles (SYN, ACK, FIN, RST), sekos ir patvirtinimo numerius bei pagrindinę informaciją, kad suprastumėte, ar ryšys stabilus, ar vyksta pakartotiniai perdavimai, ar prarandami paketai, ar jis staiga nutrūko.

Galiausiai, programos lygmenyje „Wireshark“ bando interpretuoti turinį pagal aptiktą protokolą: HTTP, HTTPS (TLS/SSL), DNS, DHCP, FTP, RTP, SIP ir daugelis kitų. Kai srautas nėra šifruojamas, netgi galima matyti turinį paprastu tekstu, įskaitant HTTP antraštes, FTP komandas ir net prisijungimo duomenis, jei jie siunčiami nesaugiai.

Paieškos, filtrai ir teksto eilutės paketuose

Dirbant su dideliais užfiksuotais failais reikia naudoti galingus filtrus ir paieškos galimybes. „Wireshark“ viršuje yra įrankių juosta. ekrano filtrai, kuris leidžia rodyti tik tuos paketus, kurie atitinka tam tikras sąlygas: pavyzdžiui, ip.addr == 192.168.1.50, kad būtų sutelktas dėmesys į konkretų įrenginį, arba http, kad būtų rodomas tik interneto srautas.

Jei įtariate, kad užfiksuotame pranešime slaptažodžiai ar neskelbtini duomenys perduodami nešifruoti, galite ieškoti teksto eilučių paketo turinyje. Galima rasti paketus, kuriuose yra, pavyzdžiui, žodis „praleisti“ arba „turinys“ užfiksuotuose duomenyse. Taip pat galite patikrinti, ar tos eilutės rodomos santraukoje arba paketo informacijoje, o ne tik tekste.

Tai ypač naudinga analizuojant nesaugius protokolus, tokius kaip HTTP arba FTP. „TryHackMe“ tipo mokymo aplinkose viena iš tipinių užduočių yra išgauti kredencialai, išsiųsti paprastu tekstu per šias paslaugas arba aptikti formas, kurios siunčia nešifruotą informaciją, o tai kelia akivaizdžią saugumo riziką.

Be teksto eilučių, galite naudoti daug tikslesnius filtrus, derindami protokolo laukus, loginius operatorius ir palyginimus. Tai leidžia, pavyzdžiui, išskirti tik nepavykusias DNS užklausas, TCP paketus su klaidomis arba pranešimus iš konkretaus RTP srauto.

Spalvų ir paryškinimo taisyklės geresniam eismo matomumui

„Wireshark“ apima sistemą, pakuotės spalvos Tai padeda greitai atskirti skirtingus srauto tipus. Žalia spalva paprastai siejama su „įprastu“ TCP srautu, mėlyna – su UDP arba DNS srautu, o juoda arba raudona rodo klaidas arba anomalijas. Tiesiog pažvelgę ​​į ekraną galite pasakyti, ar viskas veikia pakankamai gerai, ar yra per daug probleminių linijų.

Nustatymų meniu galite įjungti arba išjungti spalvų rodinį. Jei reikia, taip pat galite keisti konkrečių taisyklių fono spalvąPavyzdžiui, sukuriant taisyklę, kuri paryškina visus TCP seansus konkrečiu atspalviu arba pažymi pakartotinius perdavimus ar netinkamai suformuotus paketus kita spalva.

Be spalvų keitimo, galite išjungti konkrečią taisyklę jos neištrindami, todėl paketai nebespalvinami, bet vėliau galite ją vėl suaktyvinti. Tai labai naudinga, kai testuojate skirtingas schemas ir nenorite prarasti esamų nustatymų.

Dar vienas įdomus būdas – nuspalvinti visus paketus, kurie priklauso tam pačiam TCP arba UDP pokalbisTokiu būdu galite vizualiai sekti visą srautą tarp dviejų galinių taškų, net kai jis sumaišytas su šimtais kitų lygiagrečių jungčių. Tada galėsite daug lengviau naršyti tarp tų paryškintų paketų.

Tinklo problemų diagnostika namuose ir įmonėje

Nors „Wireshark“ yra profesionalios klasės įrankis, jis taip pat gali padėti namų vartotojams suprasti, kas vyksta su jų ryšiu. Pavyzdžiui, jei pastebite vėlavimą ar mikčiojimą internetiniuose žaidimuose, jis gali padėti išspręsti interneto ryšio problemas. „WiFi“ trukdžiaiGalite analizuoti srautą, kad pamatytumėte, ar Siuntos dingsta, jei jos atkeliauja ne eilės tvarka. arba jei tam tikroje kelionės dalyje yra per didelių vėlavimų.

Šiame kontekste įprasta sutelkti dėmesį į UDP srautą, kurį naudoja daugelis žaidimų ir realaus laiko programų. Jei filtruojant pagal UDP matote daug klaidų spalvomis pažymėtų eilučių, ne eilės tvarka išdėstytus paketus arba pakartotinius perdavimus, žinosite, kad problema yra ne tik didelis testo ping, bet ir kažkas gilesnio, susijusio su maršruto stabilumu arba mazgo prisotinimu.

„Wireshark“ taip pat labai naudinga, kai Svetainė neįkraunama, spausdintuvas dingsta iš tinklo arba sugenda vidinė paslauga. Turėdami ekrano kopiją priešais save, galite tiksliai matyti, kur nutrūksta ryšys: ar užklausa palieka jūsų kompiuterį, bet niekada negauna atsakymo, ar yra DNS klaidų, ar serveris atsako klaidos kodu ir pan.

Privatumo požiūriu, įrankis leidžia matyti, kokius duomenis jūsų įrenginiai siunčia internetu. Jis gali aptikti, ar įrenginys „per daug kalba“ su debesimi, palaiko ryšius su nežinomais serveriais arba siunčia nešifruotą informaciją, kurią norėtumėte matyti užšifruotą. Visa tai padeda jums audituoti elgesį Daiktų interneto įrenginiaimobilieji telefonai, IP kameros, išmanieji televizoriai ir bet kurį prijungtą įrenginį.

Namų tinkluose su daug įrenginių galite izoliuoti kiekvieno įrenginio IP adresą ir stebėti, prie kurių serverių jis jungiasi, kaip dažnai ir kokio tipo turinį perduoda. Tokiu būdu geriau suprasite savo tinklo neapdorotą srautą ir galėsite priimti sprendimus, pvz., segmentuoti įrenginius, blokuoti domenus ar keisti konfigūracijas.

Išplėstinė analizė: HTTP, DNS, tinklo nuskaitymai ir atakos

Sudėtingesnėse aplinkose „Wireshark“ tampa pagrindine saugumo analizės ir incidentų tyrimo priemone. Ji leidžia atlikti išsamią analizę. HTTP srautas, DNS užklausos ir atsakymai, prievadų nuskaitymas naudojant „Nmap“ARP užkrėtimo bandymai, SSH tuneliai ir daug daugiau.

Naudodami HTTP galite peržiūrėti antraštes, atsakymo kodus, prašomus URL ir, kai nėra šifravimo, net formų ar failų turinį. Naudodami DNS, matysite, kurie domenai yra identifikuojami, kuriems serveriams užklausos pateikiamos ir ar yra įtartinų atsakymų ar domenų, kurie neatitinka įprasto įrangos naudojimo.

„Nmap“ nuskaitymai palieka tinkle būdingus modelius: kelis bandymus prisijungti prie daugelio prievadų, konkrečių TCP vėliavėlių naudojimą ir kt. Naudodami tinkamus filtrus, galite aptikti šią veiklą ir patvirtinti, ar kas nors yra kenkėjiškas. atvirų paslaugų kartografavimas jūsų infrastruktūroje.

ARP klastojimą/apgaulinimą taip pat galima aptikti stebint, kaip vietiniame tinkle modifikuojami IP ir MAC adresų susiejimai. O naudojant SSH tunelius, net jei turinys yra užšifruotas, vis tiek galima analizuoti ryšio modelius, sesijos trukmę ir perduotų duomenų kiekį.

Daugelis šių pratimų yra praktinių laboratorinių darbų, tokių kaip „TryHackMe“, dalis, kurie skirti kenkėjiško ar įtartino srauto analizėDirbsite su iš anksto sugeneruotais įrašais, kad išmoktumėte atpažinti kompromitacijos požymius, atakų vektorius ir anomalų elgesį naudodami tik „Wireshark“.

„Wireshark 4.6.0“ sistemoje „macOS“: „pktap“ metaduomenys ir procesų analizė

Vienas įdomiausių patobulinimų „Mac“ vartotojams yra su versija Wireshark 4.6.0kuri pristato vietinį „macOS pktap“ metaduomenų palaikymą. Tai leidžia kiekvieną tinklo paketą susieti su jį sugeneravusiu sistemos procesu, užtikrinant labai išsamų duomenų lygį.

Dėl šios integracijos „Wireshark“ gali rodyti tokią informaciją kaip PID (proceso identifikatorius) ir programos pavadinimas iš kurio gaunamas srautas, kartu su kitais svarbiais metaduomenimis. Tai labai supaprastina programų derinimą, nes tiksliai žinote, kuris komponentas atidaro ryšius, naudoja pralaidumą arba sukelia klaidas.

Metaduomenyse taip pat yra srauto identifikatorių ir prarastų paketų statistikos duomenys, leidžiantys atlikti išsamesnę našumo problemų analizę. Ši informacija paprastai fiksuojama... tcpdump su -ky -K parinktimis, o tada jis importuojamas į „Wireshark“, kuri interpretuoja ir rodo šiuos blokus „pcap-ng“ formatu.

„Apple“ ekosistemos kūrimo ir saugumo komandoms tai yra reikšmingas šuolis: jos gali tirti incidentus, labai tiksliai priskirdamos juos konkretiems procesams, aptikti anomalų elgesį savo programose ir patvirtinti, kad iš tikrųjų laikomasi saugumo ir privatumo politikos.

Be to, „Wireshark 4.6.0“ diegimo programa, skirta „macOS“, yra universalus „Arm64“ ir „Intel“ architektūromsTai supaprastina diegimą šiuolaikiniuose „Mac“ kompiuteriuose su „Apple Silicon“ ir šiek tiek senesniuose kompiuteriuose su „Intel“ procesoriais.

„Wireshark“ kaip profesionalus įrankis: kursai, knygos ir moderni aplinka

Pažangus „Wireshark“ naudojimas yra nuolatinė tema specializuotuose mokymo kursuose, kuriuose pristatomos galingiausios jo funkcijos, skirtos derinimo, audito ir saugumo užduotims. Šiuose kursuose mokoma, kaip... sukonfigūruoti įrankį nuo nulio, pritaikykite jį ir išanalizuokite dažniausiai pasitaikančius tinklo protokolus įmonių aplinkoje.

Daug laiko paprastai skiriama tokiems protokolams kaip HTTP, FTP, SSL/TLS, DNS, DHCP, RTP, SIP ir kitas dažnas VoIP, žiniatinklio paslaugų ir šifruoto ryšio problemas. Praktiniai atvejų tyrimai atliekami siekiant diagnozuoti lėtą greitį, skambučių kokybės problemas, paslaugų sutrikimus ir neteisingas konfigūracijas.

Lygiagrečiai atsirado pažangių knygų ir išteklių, skirtų tinklo specialistams, kibernetinio saugumo specialistams ir studentams, norintiems įvaldyti „Wireshark“ šiuolaikinėse situacijose. Šiose medžiagose paprastai derinama teorija su TCP/IP, TLS, paketų analizė ir išplėstiniai filtrai su praktiniais pratimais ir vedamaisiais laboratoriniais darbais.

Įprastas būdas yra integruoti „Wireshark“ naudojimą su kitomis saugumo ir stebėjimo priemonėmis, tokiomis kaip „Snort“, „Suricata“, „Zeek“ arba „ELK“ krūva („Elasticsearch“, „Logstash“, „Kibana“) SIEM platformose. Idėja yra naudoti „Wireshark“ žemo lygio išsamiai patikrai, o kiti įrankiai teikia koreliacijos, įspėjimų ir aukšto lygio ataskaitų suvestines.

Taip pat aptariamos konkrečios taikymo sritys daiktų interneto tinkluose ir sistemose, naudojančiose dirbtinį intelektą, kur srauto matomumas yra labai svarbus aptinkant pažeidžiamumus, netinkamai sukonfigūruotus įrenginius ar netikėtą ryšį. „Wireshark“ įvaldymas šiose aplinkose paverčia įrankį... strateginis saugumo ir optimizavimo išteklius sudėtingų tinklų.

Apskritai „Wireshark“ iš paprasto šnipinėjimo įrankio tampa pagrindine pažangios stebėsenos, gedimų diagnostikos, grėsmių analizės ir gilaus programų bei paslaugų elgesio tinkle supratimo priemone.

Atsižvelgiant į viską, ką siūlo – nuo ​​pagrindinių fiksavimo ir filtravimo funkcijų iki pažangių analizės galimybių pagal protokolą, spalvas, laiką ir proceso metaduomenis, – akivaizdu, kad „Wireshark“ yra būtina priemonė Visiems, kuriems reikia suprasti, kas iš tikrųjų vyksta jų tinkle, nesvarbu, ar tai būtų namuose, mažoje įmonėje, ar didelėje organizacijoje.