Πώς να χρησιμοποιήσετε το Wireshark, το Best Packet Analyzer Around

Το Wireshark είναι ο καλύτερος αναλυτής επισκεψιμότητας δικτύου και sniffer πακέτων. Σε αυτό το άρθρο, θα το εξετάσουμε λεπτομερώς.

Το Wireshark είναι ένας αναλυτής δικτύου που σας επιτρέπει να δείτε τι συμβαίνει στο δίκτυό σας. Σας επιτρέπει να τεμαχίσετε τα πακέτα δικτύου σας σε μικροσκοπικό επίπεδο, δίνοντάς σας σε βάθος πληροφορίες για μεμονωμένα πακέτα.

Το Wireshark κυκλοφόρησε για πρώτη φορά το 1998 (και ονομάστηκε Ethereal τότε). Μπορεί να εκτελεστεί σε όλα τα μεγάλα λειτουργικά συστήματα. Οι περισσότερες επιχειρήσεις και κυβερνητικοί οργανισμοί προτιμούν πλέον το Wireshark ως τον τυπικό αναλυτή δικτύου τους.

Το Wireshark είναι επίσης εντελώς ανοιχτού κώδικα, χάρη στην κοινότητα των μηχανικών δικτύων σε όλο τον κόσμο. Ενώ τα περισσότερα εργαλεία ασφαλείας βασίζονται σε CLI, το Wireshark διαθέτει ένα φανταστικό περιβάλλον εργασίας χρήστη.

Μοντέλο OSI

Υποθέτω ότι είστε νέοι στη δικτύωση, οπότε θα εξετάσουμε ορισμένα βασικά στοιχεία του μοντέλου OSI. Αυτό είναι σημαντικό να κατανοήσουμε τις βασικές λειτουργίες του Wireshark.

Το μοντέλο Open Systems Interconnection (OSI) τυποποιεί τον τρόπο με τον οποίο δύο ή περισσότερες συσκευές συνδέονται μεταξύ τους. Το μοντέλο OSI χωρίζει την αρχιτεκτονική του δικτύου σε 7 επίπεδα: Εφαρμογή, Παρουσίαση, Συνεδρία, Μεταφορά, Δίκτυο, Datalink και Φυσική.

Εδώ είναι τι κάνει κάθε στρώμα:

  • Φυσικό στρώμα - Υπεύθυνος για την πραγματική φυσική σύνδεση μεταξύ συσκευών. Τα δεδομένα μεταφέρονται με τη μορφή bits .
  • Επίπεδο συνδέσμου δεδομένων - Διασφαλίζει ότι τα δεδομένα είναι χωρίς σφάλματα. Τα δεδομένα μεταφέρονται σε πλαίσια .
  • Network Layer - Φροντίζει να βρει τον καλύτερο (και γρηγορότερο) τρόπο αποστολής των δεδομένων. Οι διευθύνσεις IP του αποστολέα και του παραλήπτη προστίθενται στην κεφαλίδα σε αυτό το επίπεδο.
  • Transport Layer - Λειτουργεί ως γέφυρα μεταξύ του δικτύου και του επιπέδου συνεδρίας. Χρησιμοποιεί πρωτόκολλα όπως TCP και UDP για αποστολή και λήψη δεδομένων. Τα δεδομένα σε αυτό το επίπεδο ονομάζονται Τμήμα .
  • Session Layer - Δημιουργεί και διατηρεί μια περίοδο σύνδεσης μεταξύ συσκευών.
  • Επίπεδο παρουσίασης - Τα δεδομένα από τμήματα μετατρέπονται σε πιο φιλική προς τον άνθρωπο μορφή εδώ. Φροντίζει την κρυπτογράφηση και την αποκρυπτογράφηση.
  • Επίπεδο εφαρμογής - Το επίπεδο που αλληλεπιδρά με τον χρήστη. Εάν χρησιμοποιείτε πρόγραμμα περιήγησης, βρίσκεται στο επίπεδο εφαρμογής.

Το παρακάτω διάγραμμα θα σας βοηθήσει να κατανοήσετε πώς λειτουργούν αυτά τα στοιχεία.

Εάν ενδιαφέρεστε να μάθετε περισσότερα σχετικά με το μοντέλο OSI, εδώ είναι ένα λεπτομερές άρθρο για εσάς.

Πακέτα

Τώρα που έχετε μια καλή αντίληψη του μοντέλου OSI, ας δούμε πακέτα δικτύου. Όταν τα δεδομένα μεταφέρονται από έναν υπολογιστή σε έναν άλλο, η ροή δεδομένων αποτελείται από μικρότερες μονάδες που ονομάζονται πακέτα.

Όταν κάνετε λήψη ενός αρχείου από το Διαδίκτυο, τα δεδομένα αποστέλλονται από το διακομιστή ως πακέτα. Αυτά τα πακέτα συναρμολογούνται εκ νέου από τον υπολογιστή σας για να σας δώσουν το αρχικό αρχείο.

Ένα πακέτο μπορεί να περιέχει τα ακόλουθα δεδομένα:

  • διευθύνσεις IP πηγής και προορισμού
  • πρωτόκολλο
  • θύρες προέλευσης και προορισμού
  • δεδομένα
  • μήκος, σημαίες, TTL και ούτω καθεξής

Κάθε πακέτο περιέχει πολύτιμες πληροφορίες σχετικά με τις συσκευές που εμπλέκονται στη μεταφορά πακέτων. Κάθε μεταφορά δεδομένων περιλαμβάνει χιλιάδες ή και εκατομμύρια από αυτά τα πακέτα δεδομένων που αποστέλλονται μεταξύ της πηγής και των συσκευών προορισμού.

Τώρα μπορείτε να καταλάβετε τη σημασία του Wireshark. Το Wireshark σάς επιτρέπει να καταγράφετε καθένα από αυτά τα πακέτα και να τα ελέγχετε για δεδομένα.

Το Wireshark, σε έναν μηχανικό δικτύου, είναι παρόμοιο με ένα μικροσκόπιο για έναν βιολόγο. Το Wireshark σάς επιτρέπει να "ακούτε" ένα ζωντανό δίκτυο (αφού δημιουργήσετε μια σύνδεση σε αυτό) και να συλλάβετε και να ελέγξετε πακέτα εν κινήσει.

Ως μηχανικός δικτύου ή ηθικός χάκερ, μπορείτε να χρησιμοποιήσετε το Wireshark για να εντοπίσετε σφάλματα και να ασφαλίσετε τα δίκτυά σας. Ως κακόβουλος χάκερ (το οποίο δεν προτείνω), μπορείτε να "μυρίσετε" πακέτα στο δίκτυο και να καταγράψετε πληροφορίες όπως συναλλαγές με πιστωτική κάρτα.

Γι 'αυτό δεν είναι συνετό να συνδεθείτε σε ένα δημόσιο δίκτυο όπως το Starbucks και να εκτελέσετε οικονομικές συναλλαγές ή να αποκτήσετε πρόσβαση σε ιδιωτικά δεδομένα. Παρόλο που οι ιστότοποι με HTTPS μπορούν να κρυπτογραφήσουν τα πακέτα σας, εξακολουθούν να είναι ορατοί μέσω του δικτύου. Εάν κάποιος θέλει πραγματικά να το σπάσει, μπορεί.

Βασικά στοιχεία Wireshark

Τώρα ας δούμε πώς μπορείτε να παίξετε με το Wireshark. Κατεβάστε και εγκαταστήστε το Wireshark από εδώ.

Το Wireshark έχει ένα φοβερό GUI, σε αντίθεση με τα περισσότερα εργαλεία δοκιμής διείσδυσης. Δείτε πώς φαίνεται το Wireshark όταν το φορτώνετε.

Το Wireshark παραθέτει τα δίκτυα στα οποία είστε συνδεδεμένοι και μπορείτε να επιλέξετε ένα από αυτά και να αρχίσετε να ακούτε το δίκτυο.

Υπάρχουν τρία παράθυρα στο Wireshark.

Παράθυρο λίστας πακέτων

Αυτό το παράθυρο εμφανίζει τα πακέτα που συλλαμβάνονται. Κάθε γραμμή αντιπροσωπεύει ένα μεμονωμένο πακέτο στο οποίο μπορείτε να κάνετε κλικ και να αναλύσετε λεπτομερώς χρησιμοποιώντας τα άλλα δύο παράθυρα.

Παράθυρο λεπτομερειών πακέτου

Μπορείτε να επιλέξετε ένα πακέτο και, στη συνέχεια, να κοιτάξετε τις πληροφορίες πακέτου με περισσότερες λεπτομέρειες χρησιμοποιώντας το παράθυρο Λεπτομέρειες πακέτου. Εμφανίζει πληροφορίες όπως διευθύνσεις IP, θύρες και άλλες πληροφορίες που περιέχονται στο πακέτο.

Παράθυρο πακέτων bytes

Αυτό το παράθυρο δίνει τα ανεπεξέργαστα δεδομένα του επιλεγμένου πακέτου σε byte. Τα δεδομένα εμφανίζονται ως hex dump, το οποίο εμφανίζει δυαδικά δεδομένα σε δεκαεξαδικό.

Φίλτρα

Το Wireshark διαθέτει φίλτρα που σας βοηθούν να περιορίσετε τον τύπο δεδομένων που αναζητάτε. Υπάρχουν δύο βασικοί τύποι φίλτρων: Φίλτρο καταγραφής και φίλτρο οθόνης.

Λήψη φίλτρου

Μπορείτε να ορίσετε ένα φίλτρο λήψης πριν αρχίσετε να αναλύετε ένα δίκτυο. Όταν ορίζετε ένα φίλτρο λήψης, καταγράφει μόνο τα πακέτα που ταιριάζουν με το φίλτρο λήψης.

Για παράδειγμα, εάν χρειάζεται να ακούσετε μόνο τα πακέτα που αποστέλλονται και λαμβάνονται από μια διεύθυνση IP, μπορείτε να ορίσετε ένα φίλτρο λήψης ως εξής:

host 192.168.0.1

Μόλις ορίσετε ένα φίλτρο λήψης, δεν μπορείτε να το αλλάξετε έως ότου ολοκληρωθεί η τρέχουσα περίοδος λήψης.

Εμφάνιση φίλτρων

Τα φίλτρα οθόνης εφαρμόζονται για τη δέσμευση πακέτων. Για παράδειγμα, εάν θέλετε να εμφανίσετε μόνο τα αιτήματα που προέρχονται από ένα συγκεκριμένο ip, μπορείτε να εφαρμόσετε ένα φίλτρο οθόνης ως εξής:

ip.src==192.168.0.1

Δεδομένου ότι τα φίλτρα οθόνης εφαρμόζονται σε καταγεγραμμένα δεδομένα, μπορούν να αλλάξουν αμέσως.

Με λίγα λόγια, τα φίλτρα σύλληψης σάς δίνουν τη δυνατότητα να φιλτράρετε την κίνηση, ενώ τα φίλτρα εμφάνισης εφαρμόζουν αυτά τα φίλτρα στα πακέτα που έχετε τραβήξει. Επειδή το Wireshark μπορεί να συλλάβει εκατοντάδες πακέτα σε ένα πολυσύχναστο δίκτυο, αυτά είναι χρήσιμα κατά τον εντοπισμό σφαλμάτων.

Βασικά χαρακτηριστικά του Wireshark

Τώρα που έχετε καλή κατανόηση των βασικών στοιχείων του Wireshark, ας δούμε μερικά βασικά χαρακτηριστικά. Με το Wireshark, μπορείτε:

  • Προσδιορίστε απειλές ασφαλείας και κακόβουλη δραστηριότητα σε ένα δίκτυο
  • Παρατηρήστε την κίνηση του δικτύου για τον εντοπισμό σφαλμάτων σύνθετων δικτύων
  • Φιλτράρετε την κυκλοφορία βάσει πρωτοκόλλων, θυρών και άλλων παραμέτρων
  • Καταγράψτε πακέτα και αποθηκεύστε τα σε ένα αρχείο Pcap για ανάλυση εκτός σύνδεσης
  • Εφαρμόστε κανόνες χρωματισμού στη λίστα πακέτων για καλύτερη ανάλυση
  • Εξαγωγή καταγεγραμμένων δεδομένων σε αρχείο XML, CSV ή απλού κειμένου.

συμπέρασμα

Το Wireshark κατατάσσεται πάντα στα κορυφαία 10 εργαλεία ασφάλειας δικτύου κάθε χρόνο. Με το απλό αλλά ισχυρό περιβάλλον εργασίας χρήστη, το Wireshark είναι εύκολο να μάθει και να συνεργαστεί. Είναι ένα πολύτιμο πλεονέκτημα σε κάθε εργαλειοθήκη δοκιμαστών διείσδυσης.

Ελπίζω ότι αυτό το άρθρο σας βοήθησε να αποκτήσετε μια σταθερή αντίληψη του Wireshark. Πρόσφατα έγραψα ένα άρθρο σχετικά με τα κορυφαία 10 εργαλεία που πρέπει να γνωρίζετε ως μηχανικός ασφάλειας στον κυβερνοχώρο. Ελέγξτε το εάν είστε στην ασφάλεια στον κυβερνοχώρο.

Γράφω τακτικά για Μηχανική Εκμάθηση, Ασφάλεια στον κυβερνοχώρο και DevOps. Μπορείτε να εγγραφείτε στο εβδομαδιαίο ενημερωτικό δελτίο μου εδώ.