Sadržaj
Wireshark, alat za analizu mreže u stvarnom vremenu, snima pakete i protokole u stvarnom vremenu i prikazuje ih u grafičkom i navedenom formatu.Wireshark je analizator paketa koji kruže mrežom, ovaj softver se može pokrenuti na Linuxu, Windowsu, OS X, Solarisu.
Softver možemo preuzeti sa službene stranice Wireshark, ako ga želimo instalirati na Linux, već dolazi u spremišta.
Budući da je Windows instaliran kao i svaki program, u ovom ćemo vodiču instalirati za Linux, a iz prozora terminala napisat ćemo sljedeće naredbe:
sudo apt-get install wiresharkAko ga želite instalirati na poslužitelj i upravljati softverom u tekstualnom obliku, imamo mogućnost instaliranja u tekstualnom načinu rada, a softver se naziva Tshark. Za instalaciju iz prozora terminala zapisujemo sljedeće naredbe:
sudo apt-get install tsharkZatim ćemo morati izvršiti Wireshark s administratorskim ovlastima jer će morati imati dozvole za pristup mreži i biti u mogućnosti nadzirati pakete koje označimo. U našem slučaju, za početak bilo s izbornika ili s terminala upotrijebit ćemo sljedeću naredbu:
gksudo wiresharkTo će nas pitati za korisničko ime i lozinku za pristup u administratorskom ili root načinu.
Kad počnemo, možemo vidjeti Popis sučelja koje su dostupne mreže, u primjeru imamo wifi mrežu wlan0 i ethernet eth0, tamo možemo odabrati koju mrežu ili sučelja želimo analizirati.
Ispod popisa sučelja imamo opcije snimanja ili mogućnosti snimanja. Opcije uključuju analizu u promiskuitetnom načinu i načinu snimanja itd.Unutar mogućnosti snimanja možemo konfigurirati protokole i usluge za praćenje kako bismo vidjeli koji procesi i platforme primaju i šalju podatke unutar mreže.
Izradite filtar za praćenje
Na traci Filtri možemo konfigurirati vrstu nadzora koju želimo provesti, na primjer, na popisu sučelja odaberemo eth0 i pritisnemo Start, otvorit će se prozor i vidjet ćemo kako softver hvata sve pakete, npr. korisnika postoji mnogo. Softver bilježi mnoge protokole, uključujući sistemske, odnosno interne poruke s uređaja i operacijskih sustava.
Na primjer, pritisnemo Filter, a zatim odaberemo HTTP, pa filtriramo promet samo iz http protokola, odnosno upita web stranica kroz port 80.
Otvaramo preglednik i Google web stranicu Solvetic.com, Wireshark će nam pokazati http i tcp podatke koji se proizvode za uspostavljanje veze jer vidimo da se tcp i http protokoli koriste za pretraživanje, a zatim prikazuju web.
Ovdje možemo vidjeti postavljene zahtjeve. Unutar http filtra možemo vidjeti različite opcije protokola kao što su zahtjevi, odgovori itd. Primjenom filtera http.request moguće je dobiti sve zahtjeve i odgovore primljene pomoću GET -a i POST -a koji se provode u pregledniku ili na svim računalima u mreži, analizirajući zahtjeve koje možemo otkriti moguće zlonamjerne aktivnosti.
Zatim ćemo analizirati snimljene podatke, kada kliknemo na svaku snimljenu stavku, vidjet ćemo podatke o podatkovnom paketu, polje Frame koje identificira veličinu zarobljenog paketa, vrijeme koje je trebalo, kada je poslano i kroz koje sučelja.
Polje Ethernet II pripada podacima koji se generiraju u sloju podatkovne veze ako vidimo OSI model, ovdje imamo ishodište i odredište, IP adrese, mac adrese i vrstu korištenog protokola.
Polje Internet Protocol prikazat će nam IP datagram s IP adresama, polje Transmission Control Protocol ili TPC je ono koje dovršava protokol prijenosa TCP / IP. Zatim imamo HTTP zaglavlja gdje primamo renderirane podatke iz web komunikacije.
Vidjet ćemo primjer gdje konfiguriramo snimanje svih mreža i veza, pri prikazivanju popisa filtriramo i tražimo pop veze, odnosno dolaznu poštu.
Vidimo da su sve POP veze na IP -u, odnosno na VPS -u gdje se nalaze računi pošte, pa tamo komunicira.
Ako pošaljemo neke e -poruke, a zatim filtriramo prema smtp protokolu, vidjet ćemo sve poruke poslane s poslužitelja ili svakog računala na mreži sa svojim IP -om odakle je poslano i odakle je poslano, uvijek možemo koristiti web http: //www.tcpiputils. com, za određivanje podataka o određenoj IP adresi.
Drugi filtar koji možemo primijeniti je DNS filtar kako bismo mogli vidjeti s kojim DNS -ima se generira promet.
U ovom slučaju izvršili smo nekoliko pretraživanja i možemo vidjeti Googleov DNS, one Googleovih karata, Google fontove, addons.mozilla i DNS Facebook chata, provjerit ćemo IP.
Otkrivamo da je računalo na našoj mreži spojeno na Facebook chat i točno znamo u koje je vrijeme povezano.
Zatim ćemo pratiti upite prema Mysql poslužitelju. Mrežni administratori obično nemaju dnevnik upita koji se upućuju u bazu podataka, ali pomoću Wiresharka možete pratiti sve upite i spremiti ovaj dnevnik te prikazati popis kao dnevnik upita. Za filtriranje mysql paketa moramo koristiti Mysql filter ili mysql.query ako želimo vidjeti samo SELECTs ili neki poseban izraz.
Pokušat ćemo postaviti neke upite lokalnom poslužitelju baze podataka i pomoću Sakila testne baze podataka koja je besplatna i otvorenog koda, baze podataka koju smo koristili u kombinacijama vodiča MySQL s Inner Join.
Izvršimo SQL upit i Wireshark će zabilježiti svaki upit, izvorni IP upita, odredišni IP, sql upit, korisnika koji se prijavio.
Također, ako vidimo jedan od paketa, to nam govori da mu je pristupljeno pomoću softvera koji se zove Heidisql.exe i to je nesiguran ili sumnjiv program.
Iako je s ovim softverom moguće upravljati udaljenim bazama podataka, to se ne preporučuje jer bi bilo potrebno dopustiti vanjske veze s poslužiteljem.
Filtri Wireshark Ima ih mnogo i pokrivaju sve protokole mreže, a ujedno i najpopularnije protokole web stranica.
Kako se paketi presreću, možemo analizirati što se događa s mrežnim prometom, samo moramo kliknuti na paket koji želimo analizirati kako bi nam pokazali podatke.
Ako primijenimo HTTP filtar na POST paket i kliknemo desni gumb na navedenom paketu, a zatim na padajućem izborniku odaberemo opciju Prati TCP tok ili Prati tok TCP-a, to znači vidjeti sve što se proizvodi prilikom izrade weba zahtjev poslužitelju.
Kao rezultat toga, dobivamo sve transakcije koda i html -a koje se provode u zahtjevu, ako korisnik unese lozinku za pristup web stranici, putem ove metode možemo vidjeti lozinku i korisnika kojeg koristim.
Uzimajući u obzir da Wireshark nadzire veliki broj protokola i usluga u mreži i sve pakete koji ulaze i izlaze, rizik od pogreške u kodu analizatora mogao bi ugroziti sigurnost mreže ako ne znamo što je događa se sa svakim paketom, pa je važno znati ispravno protumačiti informacije koje nam Wireshark daje.Je li vam se svidio i pomogao ovaj vodič?Autor možete nagraditi pritiskom na ovaj gumb kako biste mu dali pozitivan bod