Wireshark Advanced: En komplett guide til opptak og analyse

Informatec Digital » Ressurser » Wireshark Advanced: En komplett guide til opptak og analyse

Hvis du allerede er kjent med Wireshark og ønsker å ta det et skritt videre, er denne artikkelen for deg. Vi skal se hvordan du virkelig får mest mulig ut av det, fra fra grunnleggende opptak til avansert trafikkanalyse, inkludert filtre, farger, protokoller og praktisk bruk i analyse av cybersikkerhetytelse og problemløsning.

Gjennom hele denne teksten finner du mange konsepter forklart rolig og på enkel, hverdagslig spansk. Disse konseptene finnes ofte i profesjonelle verktøy, kurs, bøker og laboratorier som TryHackMe, men de brukes i praktiske situasjoner. Målet er at du, når du er ferdig med å lese, skal kunne Beveg deg enkelt rundt i Wireshark-grensesnittet, og fang opp det som interesserer deg. og forstå hva som skjer på nettverket ditt.

Hva er Wireshark, og hvorfor er det så viktig?

Wireshark er i bunn og grunn, en nettverksprotokollanalysator (en god gammeldags pakkesniffer) som lar deg se, én etter én, pakkene som kommer inn og ut av nettverksgrensesnittene dine, enten offentlige Wi-Fi-nettverkEthernet eller andre. Hver pakke blir fanget, isolert og vist i sanntid, med alle detaljene.

Vi snakker om et program gratis og åpen kildekodeDistribuert under GNU General Public License v2. Dette betyr at det ikke finnes noen nedskalerte versjoner eller «demo-utgaver»: det du laster ned er fullversjonen, med alle funksjoner, og enhver utvikler kan gjennomgå koden for å bekrefte at den ikke gjør noe uvanlig.

Prosjektet administreres av Wireshark-stiftelsenWireshark er en ideell organisasjon som koordinerer utvikling, dokumentasjon og distribusjon av programvaren. Mange selskaper og fagfolk som er avhengige av Wireshark for arbeidet sitt, bidrar med donasjoner, noe som holder verktøyet i live og lar det fortsette å utvikle seg.

Wireshark er tilgjengelig for Windows-, macOS- og Linux-distribusjoner som UbuntuDen kan lastes ned fra den offisielle nettsiden, wireshark.org. Når den er installert, vil du se et grensesnitt som i starten kan virke overveldende: hundrevis av linjer som endres i høy hastighet, kolonner med IP-adresser, protokoller, lengder, tidsstempler ... men alt dette er rent gull for å diagnostisere feil, oppdage angrep eller forstå hva enhetene dine gjør.

Wireshark-grensesnitt: paneler, preferanser og hvordan du kommer i gang

Når du åpner Wireshark, er skjermen organisert i flere hovedpaneler: listen over pakker, detaljene for den valgte pakken og råvisningen (heksadesimal og ASCII-byte). Å forstå disse panelene er grunnlaget for å fungere problemfritt.

Det øverste panelet viser alle innsamlede pakker; hver linje tilsvarer en pakke og inneholder informasjon som pakkenummer, tidspunkt, kilde-IP-adresse, destinasjons-IP-adresse, protokoll og et kort sammendrag. I det midterste panelet kan du se den lagdelte nedbrytningen av pakken (lenke, nettverk, transport, applikasjon), og nederst, bytene i heksadesimalt format og deres tekstrepresentasjon.

Fra innstillingsmenyen kan du åpne Wireshark-preferanser og justere ting som tidsformat, hvordan panelene vises, språket i feltene, eller til og med skjule bestemte elementer. Du kan for eksempel endre paneloppsettet eller deaktivere visningen av HEX-byte hvis du foretrekker å fokusere bare på logisk analyse.

Navigering i et skjermbilde er også viktig: du kan gå direkte til et bestemt pakkenummer, hoppe til det første eller siste i listen og navigere gjennom samtaler ved hjelp av hurtigtaster. Videre er det mulig merk pakker for å returnere dem senereDette er veldig nyttig når du følger en lang flyt og trenger å huske visse viktige punkter.

Trafikkfangst: grensesnitt, grenser og pakketyper

Før du analyserer, må du fange opp. Wireshark lar deg velge hvilke du vil fange opp. nettverksgrensesnitt Vil du høreEthernet-kortet, WiFi, virtuelle grensesnitt, tunneler osv. Ikke alle grensesnitt støtter samme detaljnivå, men generelt sett vil du kunne se trafikken som krysser enheten din, og til og med, i visse moduser, trafikken som sirkulerer gjennom det lokale nettverket ditt.

For øving er det veldig vanlig å jobbe med begrensede opptak. Du kan for eksempel starte et opptak begrenset til 1.000 pakkereller konfigurer den til å stoppe automatisk etter 5 sekunder. Dette er nyttig for å unngå store filer og fokusere på bestemte midlertidige aktivitetsvinduer.

Wireshark støtter også opptaksfiltre, slik at bare visse pakker blir registrert fra starten av. Et typisk brukstilfelle er kun opptak UDP-trafikk eller TCP-trafikkFor eksempel kan du starte en opptak som bare tar inn UDP-pakker hvis du er interessert i online spill eller strømmetjenester, eller begrense opptakene til TCP når du vil studere HTTP-, TLS-, FTP-økter osv.

Når du har det du trenger, kan du lagre resultatet i en fil med filtypen .pcap eller .pcapng, for eksempel som «eksempel_tcp.pcap»og lukk Wireshark. Deretter kan du åpne programmet på nytt, laste inn filen og analysere den når du vil, uten at trafikken fortsetter å bevege seg i sanntid og uten risiko for å miste noe.

Arbeid med tid: karakterer, forskjeller og tidsanalyse

Tidsstempelfeltet er et av de kraftigste i Wireshark. I pakkelisten kan du se når hver pakke ble fanget, men du kan også måle Hvor mye tid har gått mellom starten av opptak og en bestemt pakke?eller mellom to spesifikke pakker. For eksempel kan du se på tiden det tar å nå pakke 300 for å se hvordan en kommunikasjon utvikler seg.

En veldig praktisk funksjon er å sette en pakke som nulltidsreferanseDette lar deg omdefinere tiden «0» når som helst i opptaket, slik at alle andre tider måles i forhold til det punktet. Dette er ideelt når du vil studere en spesifikk utveksling i stedet for hele økten.

Ved å kombinere tidsstempler med filtre og flytsporing (følg TCP-strømmen, følg UDP-strømmen), kan du se ganske nøyaktig latens, forsinkelser, videresending og resendinger som oppstår på nettverket. Dette er spesielt nyttig for å diagnostisere forsinkelsesproblemer, flaskehalser eller pakketap.

Lagdelt analyse: fra MAC til applikasjon

En av Wiresharks største styrker er at den lar deg se hver pakke oppdelt i lag av OSI- eller TCP/IP-modellen. Fra bunnen av kan du se hvilket fysisk medium eller type lenke som brukes (for eksempel Ethernet) og typen grensesnitt som støtter det.

I lag 2 (datalink) kan du sjekke hva protokollen blir bruktDette er vanligvis Ethernet II i moderne nettverk. Det er her «EtherType»-feltet blir viktig, ettersom det kan vise verdier som 0x0800 (som indikerer IPv4) eller andre mindre vanlige identifikatorer. Du kan søke etter pakker med en spesifikk verdi, for eksempel 0x0800 eller 0xEBF2, ved hjelp av filtre eller søk i opptaksprosessen.

Når du går opp til lag 3, finner du nettverksprotokollen, vanligvis IPv4 eller IPv6Her kan du se kilde- og destinasjons-IP-adressene, og du kan utvide felttreet for å se andre detaljer som TTL, fragmentering, alternativer osv. Identifiser kilde-IP og destinasjons-IP Det er en av de mest grunnleggende, men også den vanligste oppgavene når man undersøker problemer.

I lag 4 forteller Wireshark deg om du har å gjøre med TCP, UDP eller andre transportprotokollerDet er her du kan se kilde- og destinasjonsporter, TCP-flagg (SYN, ACK, FIN, RST), sekvens- og bekreftelsesnumre og viktige detaljer for å forstå om en forbindelse er stabil, om det er retransmisjoner, om pakker går tapt eller om den har blitt brått lukket.

Til slutt, på applikasjonslaget, prøver Wireshark å tolke innholdet i henhold til den oppdagede protokollen: HTTP, HTTPS (TLS/SSL), DNS, DHCP, FTP, RTP, SIP og mange andre. Når trafikken ikke er kryptert, er det til og med mulig å se innholdet i ren tekst, inkludert HTTP-overskrifter, FTP-kommandoer og til og med legitimasjon hvis de sendes usikkert.

Søk, filtre og tekststrenger i pakker

Å jobbe med store opptak krever bruk av kraftige filtre og søkefunksjoner. Øverst i Wireshark finner du verktøylinjen. skjermfiltre, som lar deg bare vise pakkene som oppfyller visse betingelser: for eksempel ip.addr == 192.168.1.50 for å fokusere på en bestemt enhet, eller http for bare å se nettrafikk.

Hvis du mistenker at passord eller sensitive data overføres ukryptert i en innsamlet melding, kan du søke etter tekststrenger i pakkeinnholdet. Det er mulig å finne pakker som for eksempel inneholder ordet «bestått» eller «innhold» i de innsamlede dataene. Du kan også sjekke om disse strengene vises i sammendraget eller pakkeinformasjonen, ikke bare i brødteksten.

Dette er spesielt nyttig når man analyserer usikre protokoller som HTTP eller FTP. I treningsmiljøer av typen TryHackMe er en av de typiske oppgavene å trekke ut legitimasjon sendt i ren tekst gjennom disse tjenestene, eller oppdage skjemaer som sender ukryptert informasjon, noe som representerer en åpenbar sikkerhetsrisiko.

Utover tekststrenger kan du bruke mye finere filtre ved å kombinere protokollfelt, logiske operatorer og sammenligninger. Dette lar deg for eksempel isolere bare mislykkede DNS-forespørsler, TCP-pakker med feil eller meldinger fra en bestemt RTP-strøm.

Farger og uthevingsregler for bedre synlighet i trafikken

Wireshark inkluderer et system av farger til pakkene Dette hjelper deg med å raskt skille mellom ulike typer trafikk. Grønt er vanligvis assosiert med "normal" TCP-trafikk, blått med UDP- eller DNS-trafikk, og svart eller rødt indikerer feil eller avvik. Bare ved å se på skjermen kan du se om alt fungerer rimelig bra, eller om det er for mange problematiske linjer.

Fra innstillingsmenyen kan du aktivere eller deaktivere fargevisning. Om nødvendig er det også mulig endre bakgrunnsfargen til bestemte reglerFor eksempel å opprette en regel som fremhever alle TCP-økter i en bestemt fargetone, eller som markerer nye overføringer eller feilformede pakker i en annen farge.

I tillegg til å endre farger, har du muligheten til å deaktivere en bestemt regel uten å slette den, slik at den stopper fargeleggingen av pakker, men du kan aktivere den på nytt senere. Dette er veldig nyttig når du tester forskjellige skjemaer og ikke vil miste eksisterende innstillinger.

En annen interessant teknikk er å fargelegge alle pakkene som tilhører den samme TCP- eller UDP-samtalePå denne måten kan du visuelt følge hele flyten mellom to endepunkter, selv når den er blandet med hundrevis av andre parallelle forbindelser. Du kan deretter navigere mellom de uthevede pakkene mye enklere.

Diagnostisering av nettverksproblemer hjemme og i bedriften

Selv om Wireshark er et profesjonelt verktøy, kan det også hjelpe hjemmebrukere med å forstå hva som skjer med tilkoblingen deres. Hvis du for eksempel oppdager forsinkelser eller hakking i onlinespillene dine, kan det hjelpe deg med å feilsøke internettforbindelsen din. WiFi-forstyrrelserDu kan analysere trafikken for å se om Pakker går tapt hvis de ankommer i feil rekkefølge. eller hvis det er store forsinkelser på en bestemt del av reisen.

I denne sammenhengen er det vanlig å fokusere på UDP-trafikk, som brukes av mange spill og sanntidsapplikasjoner. Hvis du, når du filtrerer etter UDP, ser mange linjer merket med feilfarger, pakker i feil rekkefølge eller retransmisjoner, vet du at problemet ikke bare er en høy ping i en test, men noe dypere relatert til rutestabilitet eller metningen av en node.

Wireshark er også veldig nyttig når en Nettstedet lastes ikke inn, skriveren forsvinner fra nettverket eller en intern tjeneste svikter. Med skjermbildet foran deg kan du se nøyaktig hvor kommunikasjonen bryter sammen: hvis forespørselen forlater datamaskinen din, men aldri mottar svar, om det er DNS-feil, om serveren svarer med en feilkode, osv.

Fra et personvernperspektiv lar verktøyet deg se hvilke data enhetene dine sender over internett. Det kan oppdage om en enhet «snakker for mye» til skyen, opprettholder forbindelser til ukjente servere eller sender ukryptert informasjon som du helst vil se kryptert. Alt dette hjelper deg med å revidere oppførselen til IoT-enhetermobiltelefoner, IP-kameraer, smart-TV-er og enhver tilkoblet enhet.

I hjemmenettverk med mange enheter kan du isolere IP-adressen til hver enhet og observere hvilke servere den kobler seg til, hvor ofte og hvilken type innhold den overfører. På denne måten forstår du nettverkets råtrafikk bedre og kan ta avgjørelser som å segmentere enheter, blokkere domener eller endre konfigurasjoner.

Avansert analyse: HTTP, DNS, nettverksskanninger og angrep

I mer avanserte miljøer blir Wireshark et nøkkelverktøy for sikkerhetsanalyse og hendelsesundersøkelse. Det muliggjør detaljert analyse. HTTP-trafikk, DNS-spørringer og -svar, portskanninger med NmapARP-forgiftningsforsøk, SSH-tunneler og mye mer.

Med HTTP kan du se overskrifter, svarkoder, forespurte URL-er og, når det ikke er kryptering, til og med innholdet i skjemaer eller filer. Med DNS ser du hvilke domener som blir løst, hvilke servere som blir spurt, og om det finnes mistenkelige svar eller domener som ikke samsvarer med normal bruk av utstyret.

Nmap-skanninger etterlater karakteristiske mønstre på nettverket: flere tilkoblingsforsøk til mange porter, bruk av spesifikke TCP-flagg osv. Med riktige filtre kan du oppdage disse aktivitetene og bekrefte om noen er ondsinnet. kartlegging av eksponerte tjenester i infrastrukturen din.

ARP-forfalskning/forgiftning kan også oppdages ved å observere hvordan IP- og MAC-adresseassosiasjoner endres på det lokale nettverket. Og med SSH-tunneler kan du fortsatt analysere tilkoblingsmønstre, øktvarighet og datamengden som overføres, selv om innholdet er kryptert.

Mange av disse øvelsene er en del av praktiske laboratorieøvelser som de fra TryHackMe, som er rettet mot analyse av ondsinnet eller mistenkelig trafikkDu vil jobbe med forhåndsgenererte opptak, slik at du kan lære å gjenkjenne indikatorer på kompromittering, angrepsvektorer og unormal oppførsel kun ved hjelp av Wireshark.

Wireshark 4.6.0 på macOS: pktap-metadata og prosessanalyse

En av de mest interessante forbedringene for Mac-brukere kommer med versjon Wireshark 4.6.0som introduserer innebygd støtte for macOS pktap-metadata. Dette gjør at hver nettverkspakke kan knyttes til systemprosessen som genererte den, noe som gir et svært kraftig detaljnivå.

Takket være denne integrasjonen kan Wireshark vise informasjon som PID (prosessidentifikator) og applikasjonsnavn som genererer trafikken, sammen med andre relevante metadata. Dette forenkler feilsøking av applikasjoner betraktelig, ettersom du vet nøyaktig hvilken komponent som åpner tilkoblinger, bruker båndbredde eller forårsaker feil.

Metadataene inkluderer også data om flytidentifikatorer og statistikk for tapte pakker, noe som muliggjør en mer detaljert analyse av ytelsesproblemer. Denne informasjonen innhentes vanligvis gjennom... tcpdump med -ky -K-alternativene, og deretter importeres den til Wireshark, som tolker og viser disse blokkene i pcap-ng-formatet.

For utviklings- og sikkerhetsteam i Apple-økosystemet representerer dette et betydelig sprang: de kan undersøke hendelser med svært presis tilskrivning til spesifikke prosesser, oppdage unormal oppførsel i sine egne apper og validere at sikkerhets- og personvernreglene faktisk følges.

I tillegg er installasjonsprogrammet for Wireshark 4.6.0 for macOS universell for Arm64- og Intel-arkitekturerDette forenkler installasjonen på moderne Mac-er med Apple Silicon og på litt eldre datamaskiner med Intel-prosessorer.

Wireshark som et profesjonelt verktøy: kurs, bøker og moderne miljøer

Avansert bruk av Wireshark er et tilbakevendende tema i spesialiserte opplæringskurs, der de kraftigste funksjonene for feilsøking, revisjon og sikkerhetsoppgaver presenteres. Disse kursene lærer hvordan man konfigurer verktøyet fra bunnen av, tilpass den og analyser de vanligste nettverksprotokollene i bedriftsmiljøer.

Mye tid brukes vanligvis på protokoller som f.eks. HTTP, FTP, SSL/TLS, DNS, DHCP, RTP, SIP og andre vanlige problemer i VoIP, webtjenester og kryptert kommunikasjon. Praktiske casestudier utføres for å diagnostisere lave hastigheter, problemer med samtalekvalitet, tjenestebrudd og feil konfigurasjoner.

Parallelt har det dukket opp avanserte bøker og ressurser, fokusert på nettverksfagfolk, cybersikkerhetsspesialister og studenter som ønsker å mestre Wireshark i moderne scenarier. Disse materialene kombinerer vanligvis teori med TCP/IP, TLS, pakkeanalyse og avanserte filtre med praktiske øvelser og veiledede laboratorieøvelser.

En vanlig tilnærming er å integrere bruken av Wireshark med andre sikkerhets- og overvåkingsverktøy, som for eksempel Snort, Suricata, Zeek eller ELK-stakken (Elasticsearch, Logstash, Kibana) innenfor SIEM-plattformer. Ideen er å bruke Wireshark til detaljert inspeksjon på lavt nivå, mens de andre verktøyene gir korrelasjon, varsler og dashbord på overordnet nivå.

Den dekker også spesifikke applikasjoner i IoT-nettverk og -systemer som bruker kunstig intelligens, der trafikksynlighet er avgjørende for å oppdage sårbarheter, feilkonfigurerte enheter eller uventet kommunikasjon. Å mestre Wireshark i disse miljøene gjør verktøyet til et strategisk ressurs for sikkerhet og optimalisering av komplekse nettverk.

Totalt sett går Wireshark fra å være en enkel sniffer til å bli et grunnleggende verktøy innen avansert overvåking, feildiagnose, trusselanalyse og dyp forståelse av hvordan applikasjoner og tjenester oppfører seg på nettverket.

Med alt det tilbyr, fra grunnleggende fangst- og filtreringsfunksjoner til avanserte analysemuligheter etter protokoll, farger, tider og prosessmetadata, er det tydelig at Wireshark er et viktig verktøy For alle som trenger å forstå hva som egentlig skjer på nettverket sitt, enten det er hjemme, i en liten bedrift eller i en stor organisasjon.