Wireshark Advanced: Kompletný sprievodca zachytávaním a analýzou

Informatec Digital » Zdroje » Wireshark Advanced: Kompletný sprievodca zachytávaním a analýzou

Ak už poznáte Wireshark a chcete ho posunúť o krok ďalej, tento článok je pre vás. Uvidíme, ako z neho vyťažiť maximum, a to z... od základných záznamov až po pokročilú analýzu návštevnosti, vrátane filtrov, farieb, protokolov a praktického využitia v analýza kybernetickej bezpečnostivýkon a riešenie problémov.

V tomto texte nájdete mnoho konceptov vysvetlených pokojne a jednoduchou, každodennou španielčinou. Tieto koncepty sa bežne nachádzajú v profesionálnych nástrojoch, kurzoch, knihách a laboratóriách, ako je TryHackMe, ale aplikované v praktických situáciách. Cieľom je, aby ste po dočítaní boli schopní Ľahko sa pohybujte v rozhraní Wireshark a zachyťte, čo vás zaujíma. a pochopiť, čo sa deje vo vašej sieti.

Čo je Wireshark a prečo je taký dôležitý?

Wireshark je v podstate... analyzátor sieťových protokolov (dobrý staromódny sniffer paketov), ​​ktorý vám umožňuje vidieť jeden po druhom pakety, ktoré vstupujú do a opúšťajú vaše sieťové rozhrania, či už verejné Wi-Fi sieteEthernet alebo iné. Každý paket je zachytený, izolovaný a zobrazený v reálnom čase so všetkými podrobnosťami.

Hovoríme o programe bezplatný a otvorený zdrojDistribuované pod licenciou GNU General Public License v2. To znamená, že neexistujú žiadne skrátené verzie ani „demo verzie“: stiahnete si plnú verziu so všetkými funkciami a každý vývojár si môže skontrolovať jej kód, aby overil, či nerobí nič nezvyčajné.

Projekt riadi Nadácia WiresharkWireshark je nezisková organizácia, ktorá koordinuje vývoj, dokumentáciu a distribúciu softvéru. Mnoho spoločností a profesionálov, ktorí sa pri svojej práci spoliehajú na Wireshark, prispieva darmi, ktoré udržiavajú nástroj pri živote a umožňujú mu neustále sa vyvíjať.

Wireshark je k dispozícii pre Distribúcie Windowsu, macOS a Linuxu, ako napríklad UbuntuDá sa stiahnuť z jeho oficiálnej webovej stránky wireshark.org. Po inštalácii uvidíte rozhranie, ktoré sa na prvý pohľad môže zdať ohromujúce: stovky riadkov, ktoré sa rýchlo menia, stĺpce s IP adresami, protokolmi, dĺžkami, časovými pečiatkami… ale to všetko je rýdze zlato na diagnostikovanie porúch, detekciu útokov alebo pochopenie toho, čo vaše zariadenia robia.

Rozhranie Wireshark: panely, nastavenia a začiatok

Po otvorení Wiresharku je obrazovka rozdelená do niekoľkých hlavných panelov: zoznam balíkov, podrobnosti o vybranom balíku a surový pohľad (hexadecimálne a ASCII bajty). Pochopenie týchto panelov je základom pre bezproblémovú prácu.

Horný panel zobrazuje všetky zachytené pakety; každý riadok zodpovedá paketu a obsahuje informácie, ako je číslo paketu, čas, zdrojová IP adresa, cieľová IP adresa, protokol a stručné zhrnutie. V strednom paneli môžete vidieť vrstvený rozklad balíka (link, network, transport, application) a v dolnej časti bajty v hexadecimálnom formáte a ich textová reprezentácia.

Z ponuky nastavení môžete otvoriť Nastavenia Wiresharku a upravovať veci, ako je formát času, spôsob zobrazenia panelov, jazyk polí alebo dokonca skrývať určité prvky. Môžete napríklad zmeniť rozloženie panela alebo vypnúť zobrazenie HEX bajtov, ak sa chcete zamerať iba na logickú analýzu.

Navigácia v rámci snímky obrazovky je tiež kľúčová: môžete prejsť priamo na konkrétne číslo paketu, preskočiť na prvý alebo posledný v zozname a prechádzať konverzáciami pomocou klávesových skratiek. Okrem toho je možné označiť balíky, aby ste sa k nim mohli vrátiť neskôrToto je veľmi užitočné, keď sledujete dlhý sled udalostí a potrebujete si zapamätať určité kľúčové body.

Zachytávanie prevádzky: rozhrania, limity a typy paketov

Pred analýzou musíte vykonať zachytenie. Wireshark vám umožňuje vybrať si, ktoré z nich chcete zachytiť. sieťové rozhranie Chceš počuťEthernetová karta, WiFi, virtuálne rozhrania, tunely atď. Nie všetky rozhrania podporujú rovnakú úroveň detailov, ale vo všeobecnosti budete môcť vidieť prevádzku, ktorá prechádza vaším zariadením, a v určitých režimoch dokonca aj prevádzku, ktorá cirkuluje cez vašu lokálnu sieť.

Pre precvičenie je veľmi bežné pracovať s obmedzenými snímaniami. Môžete napríklad spustiť snímanie obmedzené na 1.000 baleniaalebo ho nakonfigurujte tak, aby sa automaticky zastavil po 5 sekundách. Toto je užitočné na vyhnutie sa veľkým súborom a zameranie sa na konkrétne dočasné okná aktivity.

Wireshark tiež podporuje filtre zachytávania, takže od začiatku sa zaznamenávajú iba určité pakety. Typickým prípadom použitia je zachytávanie iba UDP prevádzka alebo TCP prevádzkaNapríklad môžete spustiť zachytávanie, ktoré prijíma iba UDP pakety, ak máte záujem o online hry alebo streamovacie služby, alebo obmedziť zachytávanie na TCP, ak chcete študovať HTTP, TLS, FTP relácie atď.

Keď budete mať všetko, čo potrebujete, môžete výsledok uložiť do súboru s príponou .pcap alebo .pcapng, napríklad ako „example_tcp.pcap“a zatvorte Wireshark. Potom môžete program znova otvoriť, načítať súbor a analyzovať ho podľa vlastného uváženia bez toho, aby sa prevádzka naďalej pohybovala v reálnom čase a bez rizika straty čohokoľvek.

Práca s časom: známky, rozdiely a časová analýza

Pole časovej pečiatky je jedno z najvýkonnejších v programe Wireshark. V zozname paketov môžete vidieť, kedy bol každý paket zachytený, ale môžete tiež merať Koľko času uplynulo medzi začiatkom zachytávania a konkrétnym paketom?alebo medzi dvoma konkrétnymi paketmi. Môžete sa napríklad pozrieť na čas potrebný na dosiahnutie paketu 300, aby ste videli, ako sa komunikácia vyvíja.

Jednou veľmi praktickou funkciou je nastaviť balík ako nulový časový referenčný bodToto vám umožňuje predefinovať čas „0“ v ktoromkoľvek bode zachytenia, takže všetky ostatné časy sa merajú vzhľadom na daný bod. Toto je ideálne, keď chcete študovať konkrétnu výmenu a nie celú reláciu.

Kombináciou časových pečiatok s filtrami a sledovaním toku (sledovanie TCP streamu, sledovanie UDP streamu) môžete pomerne presne vidieť latencia, oneskorenia, preposielanie a opakované prenosy ktoré sa vyskytujú v sieti. Toto je obzvlášť užitočné pri diagnostike problémov s oneskorením, úzkych miest alebo straty paketov.

Vrstvená analýza: od MAC adresy po aplikáciu

Jednou z najväčších silných stránok Wiresharku je, že umožňuje zobraziť každý paket rozdelený podľa vrstiev modelu OSI alebo TCP/IP. Počnúc odspodu môžete vidieť aké fyzické médium alebo typ odkazu sa používa (napríklad Ethernet) a typ rozhrania, ktoré ho podporuje.

Vo vrstve 2 (dátové spojenie) si môžete overiť, čo používa sa protokolV moderných sieťach ide zvyčajne o Ethernet II. Tu sa pole „EtherType“ stáva dôležitým, pretože môže zobrazovať hodnoty ako 0x0800 (čo označuje IPv4) alebo iné menej bežné identifikátory. Pakety s konkrétnou hodnotou, ako napríklad 0x0800 alebo 0xEBF2, môžete vyhľadávať pomocou filtrov alebo vyhľadávania v rámci zachyteného súboru.

Na tretej vrstve nájdete sieťový protokol, zvyčajne IPv4 alebo IPv6Tu vidíte zdrojové a cieľové IP adresy a strom polí môžete rozbaliť a zobraziť ďalšie podrobnosti, ako napríklad TTL, fragmentáciu, možnosti atď. Identifikujte zdrojová IP adresa a cieľová IP adresa Je to jedna z najzákladnejších, ale aj najčastejších úloh pri vyšetrovaní problémov.

Vo vrstve 4 vám Wireshark oznámi, či máte do činenia s TCP, UDP alebo iné transportné protokolyTu vidíte zdrojové a cieľové porty, TCP príznaky (SYN, ACK, FIN, RST), poradové a potvrdzovacie čísla a kľúčové podrobnosti, ktoré vám pomôžu pochopiť, či je pripojenie stabilné, či dochádza k opakovaným prenosom, či sa strácajú pakety alebo či bolo náhle ukončené.

Nakoniec, na aplikačnej vrstve sa Wireshark pokúša interpretovať obsah podľa detekovaného protokolu: HTTP, HTTPS (TLS/SSL), DNS, DHCP, FTP, RTP, SIP a mnoho ďalších. Keď prevádzka nie je šifrovaná, je dokonca možné vidieť obsah v obyčajnom texte vrátane hlavičiek HTTP, príkazov FTP a dokonca aj prihlasovacích údajov, ak sú odosielané nezabezpečeným spôsobom.

Vyhľadáva, filtruje a používa textové reťazce v rámci balíkov

Práca s rozsiahlymi snímkami si vyžaduje použitie výkonných filtrov a vyhľadávacích funkcií. V hornej časti Wiresharku sa nachádza panel s nástrojmi. zobrazovacie filtre, čo vám umožňuje zobraziť iba pakety, ktoré spĺňajú určité podmienky: napríklad ip.addr == 192.168.1.50 pre zameranie sa na konkrétne zariadenie alebo http pre zobrazenie iba webovej prevádzky.

Ak máte podozrenie, že v zachytenej správe sa prenášajú heslá alebo citlivé údaje nešifrované, môžete v obsahu paketu vyhľadať textové reťazce. Je možné nájsť pakety obsahujúce napríklad slovo „priechod“ alebo „obsah“ v zachytených údajoch. Môžete tiež skontrolovať, či sa tieto reťazce zobrazujú v súhrne alebo informáciách o balíku, nielen v tele.

Toto je obzvlášť užitočné pri analýze nezabezpečených protokolov, ako sú HTTP alebo FTP. V tréningových prostrediach typu TryHackMe je jednou z typických úloh extrahovanie prihlasovacie údaje odoslané v obyčajnom texte prostredníctvom týchto služieb alebo detekovať formuláre, ktoré odosielajú nešifrované informácie, čo predstavuje zjavné bezpečnostné riziko.

Okrem textových reťazcov môžete použiť oveľa jemnejšie filtre kombináciou polí protokolu, logických operátorov a porovnaní. To vám napríklad umožňuje izolovať iba neúspešné požiadavky DNS, pakety TCP s chybami alebo správy z konkrétneho streamu RTP.

Farby a pravidlá zvýrazňovania pre lepšiu viditeľnosť premávky

Wireshark obsahuje systém farby pre balíčky Toto vám pomôže rýchlo rozlíšiť rôzne typy prevádzky. Zelená farba sa zvyčajne spája s „normálnou“ prevádzkou TCP, modrá s prevádzkou UDP alebo DNS a čierna alebo červená označuje chyby alebo anomálie. Už len pohľadom na obrazovku môžete zistiť, či všetko funguje primerane dobre, alebo či je príliš veľa problematických riadkov.

V ponuke nastavení môžete povoliť alebo zakázať farebné zobrazenie. V prípade potreby je tiež možné upraviť farbu pozadia konkrétnych pravidielNapríklad vytvorenie pravidla, ktoré zvýrazní všetky TCP relácie určitým odtieňom alebo ktoré označí opakované prenosy alebo chybne formátované pakety inou farbou.

Okrem zmeny farieb máte možnosť zakázať konkrétne pravidlo bez jeho odstránenia, takže sa tým zastaví farbenie balíkov, ale neskôr ho môžete znova aktivovať. To je veľmi užitočné, keď testujete rôzne schémy a nechcete stratiť svoje existujúce nastavenia.

Ďalšou zaujímavou technikou je vyfarbiť všetky balíky, ktoré patria do tej istej TCP alebo UDP konverzáciaTakto môžete vizuálne sledovať celý tok medzi dvoma koncovými bodmi, aj keď je zmiešaný so stovkami ďalších paralelných pripojení. Medzi týmito zvýraznenými paketmi sa potom môžete oveľa jednoduchšie pohybovať.

Diagnostika problémov so sieťou doma aj vo firme

Hoci je Wireshark profesionálny nástroj, môže pomôcť aj domácim používateľom pochopiť, čo sa deje s ich pripojením. Napríklad, ak si všimnete oneskorenie alebo zasekávanie v online hrách, môže vám pomôcť vyriešiť problémy s internetovým pripojením. Rušenie Wi-FiMôžete analyzovať návštevnosť, aby ste zistili, či Balíky sa strácajú, ak dorazia v nesprávnom poradí. alebo ak dôjde k nadmerným meškaniam v určitej časti cesty.

V tejto súvislosti je bežné zamerať sa na UDP prevádzku, ktorú využíva mnoho hier a aplikácií v reálnom čase. Ak pri filtrovaní podľa UDP vidíte veľa riadkov označených chybovými farbami, pakety mimo poradia alebo opakované prenosy, budete vedieť, že problém nie je len vysoký ping v teste, ale niečo hlbšie súvisiace so stabilitou trasy alebo saturáciou uzla.

Wireshark je tiež veľmi užitočný, keď Webová stránka sa nenačítava, tlačiareň zmizne zo siete alebo zlyhá interná služba. Na snímke obrazovky pred sebou môžete presne vidieť, kde sa komunikácia preruší: či požiadavka opustí váš počítač, ale nikdy nedostane odpoveď, či sa vyskytnú chyby DNS, či server odpovie chybovým kódom atď.

Z hľadiska ochrany súkromia vám tento nástroj umožňuje zistiť, aké údaje vaše zariadenia odosielajú cez internet. Dokáže zistiť, či zariadenie „príliš veľa komunikuje“ s cloudom, udržiava pripojenia k neznámym serverom alebo odosiela nešifrované informácie, ktoré by ste radšej videli šifrované. Toto všetko vám pomáha auditovať správanie Zariadenia IoTmobilné telefóny, IP kamery, inteligentné televízory a akékoľvek pripojené zariadenie.

V domácich sieťach s mnohými zariadeniami môžete izolovať IP adresu každého zariadenia a sledovať, ku ktorým serverom sa pripája, ako často a aký typ obsahu prenáša. Týmto spôsobom lepšie pochopíte surovú prevádzku vo vašej sieti a môžete robiť rozhodnutia, ako je segmentácia zariadení, blokovanie domén alebo zmena konfigurácií.

Pokročilá analýza: HTTP, DNS, sieťové skenovania a útoky

V pokročilejších prostrediach sa Wireshark stáva kľúčovým nástrojom pre bezpečnostnú analýzu a vyšetrovanie incidentov. Umožňuje podrobnú analýzu. HTTP prevádzka, DNS dotazy a odpovede, skenovanie portov pomocou NmapPokusy o otravu ARP, SSH tunely a mnoho ďalšieho.

Pomocou HTTP môžete skontrolovať hlavičky, kódy odpovedí, požadované URL adresy a v prípade, že nie je použité šifrovanie, dokonca aj obsah formulárov alebo súborov. Pomocou DNS uvidíte, ktoré domény sa prekladajú, ktoré servery sa dotazujú a či existujú podozrivé odpovede alebo domény, ktoré nezodpovedajú bežnému používaniu zariadenia.

Skenovanie Nmap zanecháva v sieti charakteristické vzory: viacnásobné pokusy o pripojenie k mnohým portom, používanie špecifických TCP príznakov atď. Pomocou vhodných filtrov môžete tieto aktivity odhaliť a potvrdiť, či je niekto škodlivý. mapovanie exponovaných služieb vo vašej infraštruktúre.

Spoofing/poisoning ARP je možné odhaliť aj pozorovaním toho, ako sa v lokálnej sieti upravujú priradenia IP a MAC adries. A s tunelmi SSH, aj keď je obsah šifrovaný, môžete analyzovať vzorce pripojenia, trvanie relácie a objem prenesených údajov.

Mnohé z týchto cvičení sú súčasťou praktických cvičení, ako napríklad cvičení z TryHackMe, ktoré sú zamerané na analýza škodlivej alebo podozrivej prevádzkyBudete pracovať s vopred vygenerovanými záznamami, aby ste sa naučili rozpoznávať indikátory kompromitácie, vektory útokov a anomálne správanie iba pomocou Wiresharku.

Wireshark 4.6.0 v systéme macOS: metadáta a analýza procesov pktap

Jedno z najzaujímavejších vylepšení pre používateľov Macu prichádza s verziou Wireshark 4.6.0ktorý zavádza natívnu podporu pre metadáta macOS pktap. To umožňuje priradiť každý sieťový paket k systémovému procesu, ktorý ho vygeneroval, čo poskytuje veľmi vysokú úroveň detailov.

Vďaka tejto integrácii dokáže Wireshark zobraziť informácie ako napríklad PID (identifikátor procesu) a názov aplikácie ktorý pochádza z prevádzky, spolu s ďalšími relevantnými metadátami. To výrazne zjednodušuje ladenie aplikácií, pretože presne viete, ktorý komponent otvára pripojenia, spotrebúva šírku pásma alebo spôsobuje chyby.

Metadáta zahŕňajú aj údaje o identifikátoroch toku a štatistikách stratených paketov, čo umožňuje podrobnejšiu analýzu problémov s výkonom. Tieto informácie sa zvyčajne zaznamenávajú prostredníctvom... tcpdump s možnosťami -ky -K, a potom sa importuje do Wiresharku, ktorý interpretuje a zobrazuje tieto bloky vo formáte pcap-ng.

Pre vývojové a bezpečnostné tímy v ekosystéme Apple to predstavuje významný skok: môžu vyšetrovať incidenty s veľmi presným priradením ku konkrétnym procesom, odhaľovať anomálne správanie vo vlastných aplikáciách a overovať, či sa skutočne dodržiavajú bezpečnostné a súkromné ​​zásady.

Okrem toho je k dispozícii inštalátor Wireshark 4.6.0 pre macOS univerzálny pre architektúry Arm64 a IntelToto zjednodušuje inštaláciu na moderných počítačoch Mac s procesormi Apple Silicon a na o niečo starších počítačoch s procesormi Intel.

Wireshark ako profesionálny nástroj: kurzy, knihy a moderné prostredia

Pokročilé používanie Wiresharku je opakujúcou sa témou v špecializovaných školeniach, kde sa prezentujú jeho najvýkonnejšie funkcie pre ladenie, audit a bezpečnostné úlohy. Tieto kurzy učia, ako nakonfigurovať nástroj od začiatku, prispôsobiť ho a analyzovať najbežnejšie sieťové protokoly v podnikových prostrediach.

Veľa času sa zvyčajne venuje protokolom, ako napríklad HTTP, FTP, SSL/TLS, DNS, DHCP, RTP, SIP a ďalšie bežné problémy vo VoIP, webových službách a šifrovanej komunikácii. Praktické prípadové štúdie sa vykonávajú na diagnostikovanie nízkych rýchlostí, problémov s kvalitou hovorov, výpadkov služieb a nesprávnych konfigurácií.

Súbežne s tým sa objavili pokročilé knihy a zdroje zamerané na sieťových profesionálov, špecialistov na kybernetickú bezpečnosť a študentov, ktorí chcú zvládnuť Wireshark v moderných scenároch. Tieto materiály zvyčajne kombinujú teóriu s TCP/IP, TLS, analýza paketov a pokročilé filtre s praktickými cvičeniami a riadenými laboratóriami.

Bežným prístupom je integrácia používania Wiresharku s inými bezpečnostnými a monitorovacími nástrojmi, ako napríklad Snort, Suricata, Zeek alebo ELK stack (Elasticsearch, Logstash, Kibana) v rámci platforiem SIEM. Cieľom je použiť Wireshark na detailnú kontrolu na nízkej úrovni, zatiaľ čo ostatné nástroje poskytujú koreláciu, upozornenia a dashboardy na vysokej úrovni.

Zahŕňa aj špecifické aplikácie v sieťach a systémoch internetu vecí využívajúcich umelú inteligenciu, kde je viditeľnosť prevádzky kľúčová pre detekciu zraniteľností, nesprávne nakonfigurovaných zariadení alebo neočakávanej komunikácie. Zvládnutie Wiresharku v týchto prostrediach robí z nástroja strategický zdroj pre bezpečnosť a optimalizáciu zložitých sietí.

Celkovo sa Wireshark z jednoduchého sniffera stáva základným nástrojom pre pokročilé monitorovanie, diagnostiku porúch, analýzu hrozieb a hlboké pochopenie správania aplikácií a služieb v sieti.

So všetkým, čo ponúka, od základných funkcií zachytávania a filtrovania až po pokročilé možnosti analýzy podľa protokolu, farieb, časov a metadát procesu, je jasné, že Wireshark je nevyhnutný nástroj Pre každého, kto potrebuje pochopiť, čo sa skutočne deje v jeho sieti, či už doma, v malej firme alebo vo veľkej organizácii.