Wireshark Advanced: Pilnīgs ceļvedis attēlu uzņemšanai un analīzei

Informatec Digital » Resursi » Wireshark Advanced: Pilnīgs ceļvedis attēlu uzņemšanai un analīzei

Ja jau esat iepazinies ar Wireshark un vēlaties to apgūt vēl vairāk, šis raksts ir domāts jums. Mēs redzēsim, kā to maksimāli izmantot, sākot no no pamata datu vākšanas līdz padziļinātai datplūsmas analīzei, ieskaitot filtrus, krāsas, protokolus un praktiskus pielietojumus kiberdrošības analīzesniegums un problēmu risināšana.

Šajā tekstā daudzi jēdzieni ir izskaidroti mierīgi un vienkāršā, ikdienas spāņu valodā. Šie jēdzieni parasti ir atrodami profesionālos rīkos, kursos, grāmatās un laboratorijas nodarbībās, piemēram, TryHackMe, taču tie tiek piemēroti praktiskās situācijās. Mērķis ir panākt, lai līdz brīdim, kad pabeigsiet lasīt, jūs spētu Ērti pārvietojieties Wireshark saskarnē un uztveriet to, kas jūs interesē. un saprast, kas notiek jūsu tīklā.

Kas ir Wireshark un kāpēc tas ir tik svarīgs?

Wireshark būtībā ir tīkla protokola analizators (labs, vecmodīgs pakešu snifers), kas ļauj pa vienai redzēt paketes, kas ienāk un iziet no jūsu tīkla saskarnēm, neatkarīgi no tā, vai publiskie Wi-Fi tīkliEthernet vai citi. Katra pakete tiek uztverta, izolēta un parādīta reāllaikā ar visām tās detaļām.

Mēs runājam par programmu bezmaksas un atvērtā kodaIzplatīts saskaņā ar GNU Vispārējo publisko licenci v2. Tas nozīmē, ka nav saīsinātu versiju vai "demonstrācijas izdevumu": lejupielādējat pilnu versiju ar visām funkcijām, un jebkurš izstrādātājs var pārskatīt tās kodu, lai pārliecinātos, ka tajā nav nekādu neparastu darbību.

Projektu pārvalda Wireshark fondsWireshark ir bezpeļņas organizācija, kas koordinē programmatūras izstrādi, dokumentēšanu un izplatīšanu. Daudzi uzņēmumi un profesionāļi, kas savā darbā paļaujas uz Wireshark, ziedo līdzekļus, kas uztur rīku dzīvu un ļauj tam turpināt attīstīties.

Wireshark ir pieejams: Windows, macOS un Linux distribūcijas, piemēram, UbuntuTo var lejupielādēt no oficiālās tīmekļa vietnes wireshark.org. Pēc instalēšanas jūs redzēsiet saskarni, kas sākumā varētu šķist sarežģīta: simtiem rindu, kas mainās lielā ātrumā, kolonnas ar IP adresēm, protokoliem, garumiem, laika zīmogiem… taču tas viss ir tīrs zelts kļūmju diagnosticēšanai, uzbrukumu atklāšanai vai ierīču darbības izpratnei.

Wireshark saskarne: paneļi, preferences un darba sākšana

Atverot Wireshark, ekrāns ir sakārtots vairākos galvenajos paneļos: pakotņu saraksts, izvēlētās pakotnes informācija un neapstrādāto skatu (heksadecimālie un ASCII baiti). Šo paneļu izpratne ir pamats netraucētai darbībai.

Augšējā panelī tiek parādītas visas uztvertās paketes; katra rinda atbilst paketei un ietver informāciju, piemēram, paketes numuru, laiku, avota IP adresi, mērķa IP adresi, protokolu un īsu kopsavilkumu. Vidējā panelī var redzēt iepakojuma slāņveida sadalīšanās (saite, tīkls, transports, lietojumprogramma), un apakšā — baiti heksadecimālā formātā un to tekstuālais attēlojums.

No iestatījumu izvēlnes varat atvērt Wireshark preferences un pielāgot tādus iestatījumus kā laika formāts, paneļu attēlošanas veids, lauku valoda vai pat paslēpt noteiktus elementus. Piemēram, varat mainīt paneļa izkārtojumu vai atspējot HEX baitu attēlošanu, ja vēlaties koncentrēties tikai uz loģisko analīzi.

Svarīga ir arī navigācija ekrānuzņēmumā: varat tieši pāriet uz konkrētu paketes numuru, pāriet uz pirmo vai pēdējo sarakstā un pārvietoties pa sarunām, izmantojot īsinājumtaustiņus. Turklāt tas ir iespējams atzīmēt pakas, lai pie tām vēlāk atgrieztosTas ir ļoti noderīgi, ja sekojat garai plūsmai un jums ir jāatceras daži galvenie punkti.

Satiksmes uztveršana: saskarnes, ierobežojumi un pakešu veidi

Pirms analīzes ir jāuztver dati. Wireshark ļauj izvēlēties, kurus datus uztvert. tīkla saskarne Vai vēlaties dzirdēt?Ethernet karte, WiFi, virtuālās saskarnes, tuneļi utt. Ne visas saskarnes atbalsta vienādu detalizācijas līmeni, taču kopumā jūs varēsiet redzēt datplūsmu, kas šķērso jūsu ierīci, un pat noteiktos režīmos datplūsmu, kas cirkulē jūsu lokālajā tīklā.

Prakses nolūkos ir ļoti ierasts strādāt ar ierobežotiem attēliem. Piemēram, varat sākt attēlu, kas ir ierobežots līdz 1.000 iepakojumivai arī konfigurējiet to tā, lai tas automātiski apstātos pēc 5 sekundēm. Tas ir noderīgi, lai izvairītos no lieliem failiem un koncentrētos uz konkrētiem pagaidu darbību logiem.

Wireshark atbalsta arī uztveršanas filtrus, tāpēc no paša sākuma tiek ierakstītas tikai noteiktas paketes. Tipisks lietošanas gadījums ir tikai uztveršana UDP trafika vai TCP trafikaPiemēram, varat sākt uztveršanu, kas pieņem tikai UDP paketes, ja jūs interesē tiešsaistes spēles vai straumēšanas pakalpojumi, vai ierobežot uztveršanu līdz TCP, ja vēlaties pētīt HTTP, TLS, FTP sesijas utt.

Kad esat ieguvis visu nepieciešamo, rezultātu varat saglabāt failā ar paplašinājumu .pcap vai .pcapng, piemēram, kā “example_tcp.pcap”un aizveriet Wireshark. Pēc tam varat atkārtoti atvērt programmu, ielādēt failu un analizēt to savā brīvajā laikā, neļaujot datplūsmai turpināt kustību reāllaikā un neriskējot neko zaudēt.

Darbs ar laiku: atzīmes, atšķirības un laika analīze

Laika zīmoga lauks ir viens no jaudīgākajiem Wireshark elementiem. Pakešu sarakstā var redzēt, kad katra pakete tika uztverta, bet var arī izmērīt Cik daudz laika ir pagājis no uztveršanas sākuma līdz konkrētai paketei?vai starp divām konkrētām paketēm. Piemēram, varat aplūkot laiku, kas nepieciešams, lai sasniegtu 300. paketi, lai redzētu, kā attīstās komunikācija.

Viena ļoti praktiska funkcija ir iestatīt paketi kā nulles laika atskaites punktsTas ļauj jebkurā brīdī uztveršanas laikā no jauna definēt laiku "0", lai visi pārējie laiki tiktu mērīti attiecībā pret šo punktu. Tas ir ideāli, ja vēlaties pētīt konkrētu apmaiņu, nevis visu sesiju.

Apvienojot laika zīmogus ar filtriem un plūsmas izsekošanu (sekojiet TCP plūsmai, sekojiet UDP plūsmai), jūs varat diezgan precīzi redzēt latentums, aizkaves, pārsūtīšana un atkārtota pārraide kas rodas tīklā. Tas ir īpaši noderīgi, lai diagnosticētu aizkaves problēmas, sastrēgumus vai pakešu zudumu.

Slāņveida analīze: no MAC līdz lietojumprogrammai

Viena no Wireshark lielākajām priekšrocībām ir tā, ka tā ļauj redzēt katru paketi, kas sadalīta pa OSI vai TCP/IP modeļa slāņiem. Sākot no apakšas, var redzēt kāds fiziskais datu nesējs vai saites veids tiek izmantots (piemēram, Ethernet) un saskarnes veidu, kas to atbalsta.

2. slānī (datu saite) varat pārbaudīt, kas tiek izmantots protokolsMūsdienu tīklos tas parasti ir Ethernet II. Šeit svarīgs kļūst lauks "EtherType", jo tas var parādīt tādas vērtības kā 0x0800 (norāda IPv4) vai citus retāk sastopamus identifikatorus. Jūs varat meklēt paketes ar noteiktu vērtību, piemēram, 0x0800 vai 0xEBF2, izmantojot filtrus vai meklēšanu tveršanas laikā.

Pārejot uz 3. slāni, parasti atradīsiet tīkla protokolu IPv4 vai IPv6Šeit var redzēt avota un mērķa IP adreses, un lauku koku var izvērst, lai skatītu citu informāciju, piemēram, TTL, fragmentāciju, opcijas utt. Identificējiet avota IP un mērķa IP Tas ir viens no visvienkāršākajiem, bet arī visbiežāk veicamajiem uzdevumiem, izmeklējot problēmas.

4. slānī Wireshark norāda, vai jums ir darīšana ar TCP, UDP vai citi transporta protokoliŠeit var redzēt avota un mērķa portus, TCP karodziņus (SYN, ACK, FIN, RST), secības un apstiprinājuma numurus, kā arī galveno informāciju, lai saprastu, vai savienojums ir stabils, vai notiek atkārtota pārraide, vai tiek zaudētas paketes vai tas ir pēkšņi pārtraukts.

Visbeidzot, lietojumprogrammu slānī Wireshark mēģina interpretēt saturu saskaņā ar noteikto protokolu: HTTP, HTTPS (TLS/SSL), DNS, DHCP, FTP, RTP, SIP un daudzi citi. Ja datplūsma nav šifrēta, saturu ir iespējams redzēt pat vienkāršā tekstā, tostarp HTTP galvenes, FTP komandas un pat akreditācijas datus, ja tie tiek sūtīti nedroši.

Meklēšana, filtri un teksta virknes pakotnēs

Darbam ar lieliem attēliem ir nepieciešami jaudīgi filtri un meklēšanas iespējas. Wireshark augšdaļā ir rīkjosla. displeja filtri, kas ļauj rādīt tikai tās paketes, kas atbilst noteiktiem nosacījumiem: piemēram, ip.addr == 192.168.1.50, lai koncentrētos uz konkrētu ierīci, vai http, lai skatītu tikai tīmekļa trafiku.

Ja jums ir aizdomas, ka uztvertajā ziņojumā paroles vai sensitīvi dati tiek pārsūtīti nešifrēti, varat meklēt teksta virknes paketes saturā. Ir iespējams atrast paketes, kas satur, piemēram, vārdu “caurlaide” vai “saturs” tvertajos datos. Varat arī pārbaudīt, vai šīs virknes parādās kopsavilkumā vai pakotnes informācijā, ne tikai pamattekstā.

Tas ir īpaši noderīgi, analizējot nedrošus protokolus, piemēram, HTTP vai FTP. TryHackMe tipa apmācības vidēs viens no tipiskajiem uzdevumiem ir iegūt akreditācijas dati nosūtīti vienkāršā tekstā izmantojot šos pakalpojumus, vai atklāt veidlapas, kas sūta nešifrētu informāciju, kas rada acīmredzamu drošības risku.

Papildus teksta virknēm varat izmantot daudz smalkākus filtrus, apvienojot protokola laukus, loģiskos operatorus un salīdzinājumus. Tas ļauj, piemēram, izolēt tikai neveiksmīgus DNS pieprasījumus, TCP paketes ar kļūdām vai ziņojumus no konkrētas RTP plūsmas.

Krāsas un izcelšanas noteikumi labākai satiksmes redzamībai

Wireshark ietver sistēmu krāsas iepakojumiem Tas palīdz ātri atšķirt dažādus datplūsmas veidus. Zaļā krāsa parasti tiek saistīta ar "normālu" TCP datplūsmu, zilā — ar UDP vai DNS datplūsmu, bet melnā vai sarkanā krāsa norāda uz kļūdām vai anomālijām. Vienkārši aplūkojot ekrānu, var noteikt, vai viss darbojas pietiekami labi vai arī ir pārāk daudz problemātisku līniju.

Iestatījumu izvēlnē varat iespējot vai atspējot krāsu skatu. Ja nepieciešams, tas ir iespējams arī mainīt noteiktu noteikumu fona krāsuPiemēram, izveidojot noteikumu, kas iezīmē visas TCP sesijas noteiktā tonī vai atzīmē atkārtotas pārraides vai nepareizi veidotus paketes citā krāsā.

Papildus krāsu maiņai ir iespēja atspējot konkrētu noteikumu, to neizdzēšot, tādējādi tas aptur pakotņu krāsošanu, bet jūs to varat vēlāk atkārtoti aktivizēt. Tas ir ļoti noderīgi, testējot dažādas shēmas un nevēloties zaudēt esošos iestatījumus.

Vēl viena interesanta metode ir iekrāsot visas pakas, kas pieder vienai un tai pašai grupai. TCP vai UDP sarunaTādā veidā jūs varat vizuāli izsekot visai plūsmai starp diviem galapunktiem, pat ja tā ir sajaukta ar simtiem citu paralēlu savienojumu. Pēc tam jūs varat daudz vieglāk pārvietoties starp šīm iezīmētajām paketēm.

Tīkla problēmu diagnostika mājās un uzņēmumā

Lai gan Wireshark ir profesionāla līmeņa rīks, tas var arī palīdzēt mājas lietotājiem saprast, kas notiek ar viņu savienojumu. Piemēram, ja tiešsaistes spēlēs pamanāt aizkavi vai raustīšanos, tas var palīdzēt novērst interneta savienojuma problēmas. WiFi traucējumiVarat analizēt datplūsmu, lai noskaidrotu, vai Paketes tiek pazaudētas, ja tās tiek piegādātas nepareizā secībā. vai ja noteiktā ceļojuma posmā ir pārmērīgas kavēšanās.

Šajā kontekstā parasti koncentrējas uz UDP trafiku, ko izmanto daudzas spēles un reāllaika lietojumprogrammas. Ja, filtrējot pēc UDP, redzat daudzas rindas, kas apzīmētas ar kļūdu krāsām, nesakārtotas paketes vai atkārtotu pārraidi, jūs zināt, ka problēma nav tikai augsts ping testā, bet gan kaut kas dziļāk saistīts ar maršruta stabilitāti vai mezgla piesātinājumu.

Wireshark ir arī ļoti noderīgs, ja Tīmekļa vietne netiek ielādēta, printeris pazūd no tīkla vai iekšējais pakalpojums neizdodas. Ar ekrānuzņēmumu jūsu priekšā varat precīzi redzēt, kur rodas komunikācijas problēmas: ja pieprasījums atstāj datoru, bet nekad nesaņem atbildi, ja ir DNS kļūdas, ja serveris atbild ar kļūdas kodu utt.

No privātuma viedokļa rīks ļauj jums redzēt, kādus datus jūsu ierīces sūta internetā. Tas var noteikt, vai ierīce "pārāk daudz runā" ar mākoni, uztur savienojumus ar nezināmiem serveriem vai sūta nešifrētu informāciju, kuru jūs vēlētos redzēt šifrētu. Tas viss palīdz jums revidēt uzvedību IoT ierīcesmobilie tālruņi, IP kameras, viedtelevizori un jebkuru pievienoto ierīci.

Mājas tīklos ar daudzām ierīcēm var izolēt katras ierīces IP adresi un novērot, ar kuriem serveriem tā izveido savienojumu, cik bieži un kāda veida saturu tā pārraida. Tādā veidā jūs labāk izprotat sava tīkla neapstrādāto datplūsmu un varat pieņemt lēmumus, piemēram, segmentēt ierīces, bloķēt domēnus vai mainīt konfigurācijas.

Paplašināta analīze: HTTP, DNS, tīkla skenēšana un uzbrukumi

Sarežģītākās vidēs Wireshark kļūst par galveno rīku drošības analīzei un incidentu izmeklēšanai. Tas ļauj veikt detalizētu analīzi. HTTP datplūsma, DNS vaicājumi un atbildes, portu skenēšana ar NmapARP saindēšanas mēģinājumi, SSH tuneļi un daudz kas cits.

Izmantojot HTTP, varat pārskatīt galvenes, atbildes kodus, pieprasītos URL un, ja nav šifrēšanas, pat veidlapu vai failu saturu. Izmantojot DNS, redzēsiet, kuri domēni tiek atrisināti, kuriem serveriem tiek veikti vaicājumi un vai ir kādas aizdomīgas atbildes vai domēni, kas neatbilst iekārtas parastajam lietojumam.

Nmap skenēšana tīklā atstāj raksturīgus modeļus: vairākus savienojuma mēģinājumus ar daudzām pieslēgvietām, īpašu TCP karodziņu izmantošanu utt. Izmantojot atbilstošus filtrus, varat atklāt šīs darbības un apstiprināt, vai kāds ir ļaunprātīgs. atklāto pakalpojumu kartēšana jūsu infrastruktūrā.

ARP viltošanu/saindēšanu var atklāt arī, novērojot, kā lokālajā tīklā tiek modificētas IP un MAC adrešu asociācijas. Un, izmantojot SSH tuneļus, pat ja saturs ir šifrēts, joprojām var analizēt savienojuma modeļus, sesijas ilgumu un pārsūtīto datu apjomu.

Daudzi no šiem vingrinājumiem ir daļa no praktiskajām laboratorijām, piemēram, TryHackMe nodarbībām, kas ir paredzētas ļaunprātīgas vai aizdomīgas datplūsmas analīzeJūs strādāsit ar iepriekš ģenerētiem tveršanas failiem, lai, izmantojot tikai Wireshark, iemācītos atpazīt kompromitēšanas indikatorus, uzbrukumu vektorus un anomālu uzvedību.

Wireshark 4.6.0 operētājsistēmā macOS: pktap metadati un procesu analīze

Viens no interesantākajiem uzlabojumiem Mac lietotājiem nāk ar versiju Wireshark 4.6.0kas ievieš vietējo atbalstu macOS pktap metadatiem. Tas ļauj katru tīkla paketi saistīt ar sistēmas procesu, kas to ģenerēja, nodrošinot ļoti spēcīgu detalizācijas līmeni.

Pateicoties šai integrācijai, Wireshark var parādīt tādu informāciju kā PID (procesa identifikators) un lietojumprogrammas nosaukums kas ģenerē datplūsmu, kā arī citus atbilstošus metadatus. Tas ievērojami vienkāršo lietojumprogrammu atkļūdošanu, jo jūs precīzi zināt, kurš komponents atver savienojumus, patērē joslas platumu vai rada kļūdas.

Metadatos ir iekļauti arī dati par plūsmas identifikatoriem un atmesto pakešu statistiku, kas ļauj veikt detalizētāku veiktspējas problēmu analīzi. Šī informācija parasti tiek iegūta, izmantojot... tcpdump ar opcijām -ky -K, un pēc tam tas tiek importēts programmā Wireshark, kas interpretē un attēlo šos blokus pcap-ng formātā.

Apple ekosistēmas izstrādes un drošības komandām tas ir ievērojams solis uz priekšu: tās var izmeklēt incidentus, ļoti precīzi attiecinot tos uz konkrētiem procesiem, atklāt anomālu uzvedību savās lietotnēs un apstiprināt, ka drošības un privātuma politikas patiešām tiek ievērotas.

Turklāt Wireshark 4.6.0 instalētājs operētājsistēmai macOS ir universāls Arm64 un Intel arhitektūrāmTas vienkāršo instalēšanu mūsdienu Mac datoros ar Apple Silicon un nedaudz vecākos datoros ar Intel procesoriem.

Wireshark kā profesionāls rīks: kursi, grāmatas un moderna vide

Wireshark padziļināta lietošana ir atkārtota tēma specializētajos apmācību kursos, kur tiek demonstrētas tā visspēcīgākās funkcijas atkļūdošanai, auditēšanai un drošības uzdevumiem. Šajos kursos tiek mācīts, kā… konfigurēt rīku no nulles, pielāgojiet to un analizējiet visizplatītākos tīkla protokolus korporatīvajā vidē.

Daudz laika parasti tiek pavadīts tādiem protokoliem kā HTTP, FTP, SSL/TLS, DNS, DHCP, RTP, SIP un citas bieži sastopamas problēmas VoIP, tīmekļa pakalpojumos un šifrētā saziņā. Tiek veikti praktiski gadījumu pētījumi, lai diagnosticētu lēnu ātrumu, zvanu kvalitātes problēmas, pakalpojumu pārtraukumus un nepareizas konfigurācijas.

Paralēli ir parādījušās padziļinātas grāmatas un resursi, kas paredzēti tīkla speciālistiem, kiberdrošības speciālistiem un studentiem, kuri vēlas apgūt Wireshark mūsdienu situācijās. Šie materiāli parasti apvieno teoriju ar TCP/IP, TLS, pakešu analīze un uzlaboti filtri ar praktiskiem vingrinājumiem un vadītām laboratorijas nodarbībām.

Izplatīta pieeja ir integrēt Wireshark lietošanu ar citiem drošības un uzraudzības rīkiem, piemēram, Snort, Suricata, Zeek vai ELK kaudze (Elasticsearch, Logstash, Kibana) SIEM platformās. Ideja ir izmantot Wireshark zema līmeņa detalizētai pārbaudei, savukārt citi rīki nodrošina korelāciju, brīdinājumus un augsta līmeņa informācijas paneļus.

Tas aptver arī konkrētus lietojumus lietu interneta tīklos un sistēmās, kas izmanto mākslīgo intelektu, kur datplūsmas redzamība ir izšķiroša, lai atklātu ievainojamības, nepareizi konfigurētas ierīces vai negaidītu saziņu. Wireshark apgūšana šajās vidēs padara rīku par stratēģisks resurss drošībai un optimizācijai sarežģītu tīklu.

Kopumā Wireshark no vienkārša snifera kļūst par fundamentālu rīku uzlabotā uzraudzībā, kļūdu diagnostikā, draudu analīzē un dziļā izpratnē par to, kā lietojumprogrammas un pakalpojumi darbojas tīklā.

Ar visu piedāvāto, sākot ar pamata uztveršanas un filtrēšanas funkcijām un beidzot ar uzlabotām analīzes iespējām pēc protokola, krāsām, laikiem un procesa metadatiem, ir skaidrs, ka Wireshark ir svarīgs rīks Ikvienam, kam ir jāsaprot, kas patiesībā notiek viņa tīklā, neatkarīgi no tā, vai tas ir mājās, mazā uzņēmumā vai lielā organizācijā.