Co je Wireshark?
Rychlé odkazy
- Co je Wireshark?
- Instalace Wireshark
- Okna
- Mac
- Linux
- Rozhraní
- Možnosti zachycení
- Zachyťte provoz
- Čtení dat
- Filtrování paketů
- Filtrování během zachycení
- Výsledky filtrování
- Sledování toků paketů
- Závěrečné myšlenky
Wireshark je výkonný nástroj pro analýzu sítě, který umožňuje sledovat a zaznamenávat síťový provoz. Zachycuje provoz na úrovni paketů, což znamená, že můžete vidět každý kousek informací, které se dostanou kolem vaší sítě, co obsahuje a kam směřují.
Tento nástroj umožňuje vizualizovat a porozumět toku provozu v síti. Zjistením, jaká data jsou předávána, můžete také získat přehled o všech potenciálních bezpečnostních obavách, kterým můžete čelit, a také o jakémkoli potenciálně nežádoucím provozu, jako je malware, programy zabraňující šířce pásma a dokonce i nežádoucí hosté na vaší WiFi.
Wireshark je také důležitým nástrojem, protože umožňuje přesně zjistit, jak jsou data opouštějící vaši síť odesílána na větší internet. Můžete například vidět a číst požadavky HTTP, což vám umožní zjistit, která data jsou odesílána nešifrovaná. To by mohlo být velmi velké řešení, zejména pokud jsou tato data něco jako bankovní heslo.
Instalace Wireshark
Wireshark je open source a multiplatformní platforma. Je k dispozici zdarma a pro všechny hlavní operační systémy. Ovládací prvky programu jsou na všech platformách stejné, takže se nemusíte obávat. Obrázky pocházejí z Linuxu, ale vše, co uvidíte, bude fungovat i na Windows a Mac.
Okna
Přejděte na stránku pro stažení softwaru Wireshark a stáhněte si nejnovější verzi své verze systému Windows. Spusťte výsledný .exe. Instalační program je celkem standardní. Můžete kliknout na většinu z nich a použít výchozí hodnoty.
Existuje však jedna věc, kterou chcete dávat pozor. Objeví se obrazovka s dotazem, zda chcete nainstalovat WinPcap. WinPcap je další nástroj pro Wireshark ve Windows, který mu umožňuje zachytit veškerý provoz v síti, nikoli pouze provoz vašeho počítače. Zaškrtněte políčko pro instalaci WinPcap. Zeptá se vás také na verzi USB. To není nutné, ale můžete to také zahrnout.
Poté bude instalace dokončena. Nová instalace se spustí pro WinPcap. Výchozí hodnoty jsou také přijatelné.
Mac
Přejděte na stránku pro stahování Wireshark a uchopte nejnovější soubor .dmg. Po dokončení stahování jej otevřete poklepáním na soubor. Chcete-li nainstalovat Wireshark, přetáhněte otevřenou aplikaci do složky / Applications.
Linux
Většina linuxových distribucí má ve svých repozitářích k dispozici Wireshark. Nainstalujte jej pomocí správce balíků.
$ sudo apt install wireshark-gtk
V závislosti na vaší distribuci se zobrazí výzva, zda chcete povolit běžným uživatelům zachytit pakety. Měli byste říci „Ano“. Po instalaci balíčku přidejte uživatele do skupiny Wireshark. Až budete hotovi, odhlaste se a přihlaste se zpět.
$ sudo gpasswd - uživatel wireshark
Rozhraní
Když poprvé otevřete Wireshark, uvidíte obrazovku podobnou té nahoře. Na panelu nástrojů je výše několik tlačítek a může to vypadat ohromně, ale je to mnohem jednodušší, než si pravděpodobně myslíte.
Výchozí rozhraní pro snímání je trochu trapné. Rozložení můžete změnit tak, aby bylo pohodlnější, klikněte na „Upravit“. Vyhledejte nabídku „Předvolby“ a dole a otevřete ji. Pod předvolbami uvidíte vlevo kartu „Rozvržení“. Vyberte ji. Uvidíte několik ikon zobrazujících různé možnosti rozvržení. Vyberte si ten, který vám nejlépe vyhovuje. První možnost se skládaným rozvržením obvykle funguje dobře.
S panely nástrojů se nebojte ještě. Prvních pět ikon je nejdůležitějších. V pořadí vám umožní vybrat rozhraní, které chcete zachytit, změnit nastavení snímání, zahájit snímání, zastavit snímání a pokračovat v něm. Ikony samotné jsou docela intuitivní.
Možnosti zachycení
Než začnete zachytávat provoz, měli byste prozkoumat možnosti zachycení a zjistit, co může Wireshark udělat. Klikněte na ikonu možností snímání. Mělo by to vypadat jako výstroj.
První věc, kterou uvidíte v horní části okna, je tabulka se seznamem všech vašich síťových rozhraní. Zaškrtněte políčko vedle rozhraní, které chcete zachytit. Ve většině případů je požadovaným rozhraním rozhraní, které používáte k připojení k síti. Bude to ten, který odpovídá vašemu ethernetovému portu nebo WiFi zařízení.
Pod tím uvidíte několik zaškrtávacích políček. Jeden se zeptá, zda chcete použít promiskuitní režim. Promiskuitní režim umožňuje sledovat výměny mezi všemi zařízeními v síti, nejen s vaším vlastním počítačem. Je pravděpodobné, že to chcete povolit. Buďte však opatrní . Použití promiskuitního režimu v síti, kterou nevlastníte nebo nemáte oprávnění k testování, je nezákonné .
V následující části dolů jsou zachyceny soubory. Wireshark vám umožní uložit vaše zachycená data. První pole umožňuje určit jeden cíl pro váš snímek. Pod tímto políčkem můžete zaškrtnout políčko a povolit Wiresharkovi rozdělit záznam o zachycení. Protokoly mohou být velmi velké, zejména na větších sítích. Tato funkce umožňuje automaticky rozdělit vaše data o sběru dat podle času nebo velikosti souboru. V každém případě je to výhodná funkce, pokud se zabýváte dlouhodobými skenováními nebo rušnou sítí.
Níže můžete nastavit délku záznamu. Snímky se opět mohou zvětšit, takže můžete nastavit maximální velikost. Můžete také časový limit, což je hezké, protože vám umožní pořídit snímek konkrétního časového rámce v síti.
Zachyťte provoz
Jakmile budete mít nastavení v pořádku, můžete začít zaznamenávat provoz v síti. Pokud jste nikdy nic takového neudělali, buďte připraveni na překvapení. Po vaší síti proudí mnohem více provozu, než víte. Chcete-li zahájit snímání, klikněte na tlačítko „Start“ v dolní části konfiguračního okna nebo na ikonu žraločí ploutve. Každopádně to funguje.
Při spuštění záznamu závisí množství provozu, které vidíte, na tom, která zařízení jsou ve vaší síti. Zatímco většina lidí nebude schopna držet krok s nákladem provozu, který vidí, je zcela možné, že neuvidíte téměř nic. Pokud je tomu tak, otevřete webový prohlížeč a začněte navigovat. Váš záznam se rychle začne naplňovat.
Poté, co byl váš záznam spuštěn tolik času, kolik chcete testovat, klikněte na panelu nástrojů na tlačítko Stop. To, co máte, by mělo vypadat jako výše uvedený obrázek.
Čtení dat
Klikněte na jeden z paketů, které jste zachytili. Zkuste najít HTTP požadavek. Často bývají čitelnější. Když vyberete paket, další dvě části obrazovky se vyplní informacemi o té, kterou jste vybrali.
Oddíl, kterému musíte věnovat pozornost, má skládané skládací karty. Tyto karty se řídí modelem OSI a jsou řazeny od nejnižší úrovně k nejvyšší s nejnižší úrovní informací nahoře. To znamená, že informace, které jsou pro vás nejdůležitější, jsou pravděpodobně na spodních kartách.
Každá karta obsahuje různé informace o paketu. V paketech HTTP uvidíte informace o požadavku HTTP, včetně odpovědi, záhlaví a případně i nějakého HTML. Jiné typy paketů mohou obsahovat informace o používaných portech, o použitém šifrování, protokolech a MAC adresách.
Filtrování paketů
To může být bolest kopat přes spoustu zachytit data najít přesně to, co hledáte. Je to neefektivní a je to obrovská ztráta času. Wireshark má funkci filtrování, která vám umožňuje rychle seřadit prostřednictvím paketů a najít přesně to, co je v daném okamžiku relevantní.
Existuje několik základních způsobů, jak Wireshark umožňuje filtrovat výsledky. Za prvé, má spoustu vestavěných filtrů. Když začnete psát do některého z polí filtru, program Wireshark je zobrazí jako návrhy na automatické doplňování. Pokud některý z nich je to, co hledáte, skvělé! Filtrování bude velmi snadné.
Wireshark také používá to, čemu se říká booleovští operátoři. Booleovské operátory se používají k vyhodnocení, zda je výrok pravdivý nebo ne. Například, pokud chcete, aby byly splněny dvě podmínky, mezi nimi byste použili operátor „a“, protože podmínka 1 i podmínka 2 musí být splněny. Operátor „nebo“ je podobný, pouze vyžaduje, aby jedna z vašich podmínek byla pravdivá. Pravděpodobně můžete hádat, že operátor „ne“ hledá, když podmínka neexistuje.
Kromě Booleovských operátorů podporuje Wireshark operátory porovnání. Jak název napovídá, operátory porovnání porovnávají dvě nebo více podmínek. Hodnotí rovnocennost podmínek jako větší, menší nebo rovno.
Filtrování během zachycení
Filtrování výsledků během snímání je velmi snadné. Otevřete možnosti zálohování. Vyhledejte tlačítko „Možnosti zachycení“ směrem do středu okna. Vedle něj by mělo být také velké textové pole.
V tomto poli můžete vytvořit filtr od nuly, nebo můžete kliknout na tlačítko a použít vestavěné filtry Wireshark. Zkuste kliknout na tlačítko. Otevře se nové okno se seznamem filtrů. Kliknutím na tyto filtry se vyplní pole níže. Dolní pole je skutečný filtr, který se používá. Tento filtr můžete upravit jako základ vlastních vlastních vlastních filtrů. Až budete připraveni, klikněte na „Ok“. Poté spusťte skenování, jako byste normálně. Místo toho, aby zachytil všechno, Wireshark zachytí pouze pakety, které splňují podmínky vašeho filtru. Díky tomu je třídění a kategorizace dat paketů mnohem snazší. Nemusíte kopat spoustu dalších informací, abyste našli to, co potřebujete.
Výsledky filtrování
Pokud jste provedli úplné nebo robustnější zachycení, ale po tom chcete filtrovat, můžete to udělat také. Po provedení záznamu se pod ovládacími ikonami zobrazí další panel nástrojů. Tento panel nástrojů obsahuje pole „Filtr“. Do zadaného výrazu můžete zadat výrazy a filtrovat tak výsledky, které se zobrazí v programu Wireshark.
Stejně jako u filtrování během snímání existuje snadný způsob. Kliknutím na tlačítko „Expression“ (Exprese) otevřete okno, které vám pomůže sestavit výrazy filtru. Levý sloupec obsahuje seznam polí. V těchto polích si můžete vybrat, na jaké informace budete cílit. Následující sloupec obsahuje seznam možných vztahů. Většina z nich jsou symboly pro méně než, větší než, rovno a jejich kombinace. Poslední sloupec je pro hodnoty. Toto jsou hodnoty, se kterými porovnáváte. V závislosti na vašem poli si můžete vybrat nebo napsat hodnotu, kterou chcete porovnat.
Ty mohou být složitější a můžete přidat další výrazy dohromady. To připadá na booleovské operátory. Tito Booleans jsou však odlišní. Toto výrazové pole používá symboly pro a, nebo, nikoli namísto samotných slov. || znamená „nebo“. && je „a“. Jednoduchý! není."
Například pokud chcete všechno kromě UDP, použijte! Udp. Pokud chcete HTTP nebo TCP, zkuste http || tcp. Můžete je také kombinovat do složitějších výrazů. Čím složitější bude váš výraz, tím rafinovanější bude váš filtr.
Sledování toků paketů
Jakmile máte paket nebo pakety, které vás zajímají, můžete použít úžasný vestavěný nástroj ve Wiresharku a sledovat celou „konverzaci“ mezi dvěma počítači, které si tyto pakety vyměňují. Následující toky paketů umožňují Wirsharkovi dát vše dohromady a vytvořit větší výsledný obrázek. V případě HTTP paketů Wireshark pravděpodobně sestaví zdroj HTML webové stránky. S určitými nešifrovanými programy VOIP může Wireshark dokonce získat vyměněný zvuk. Ano, skutečně může poslouchat konverzace VOIP.
Klikněte pravým tlačítkem na paket, který chcete sledovat. Vyberte „Follow… Stream“ s tečkami nahrazenými protokolem paketu. Wireshark trvá několik sekund, než to spojí dohromady. Po dokončení vám Wireshark představí dokončený výsledek. Díky této funkci je mnohem snazší zjistit, co přesně se ve vaší síti vyměňuje. Ukazuje také, jak důležité je šifrování v síti, protože tato funkce dá dohromady pouze nesmysly se šifrovanými pakety.
Závěrečné myšlenky
Wireshark je naprosto úžasný nástroj v síťové analýze. Poskytuje vám přístup ke všemu, co se ve vaší síti děje. S programem Wireshark můžete lépe porozumět tomu, kde jsou problémy s vaší sítí, a to jak z hlediska rychlosti, tak bezpečnosti. Nezapomeňte vždy používat Wireshark opatrně a uvědomte si, že je to velmi rušivé. Nespoléhejte na lidi a pamatujte, aby vaše wiresharkské použití bylo v zákoně.
