Sadržaj
Wireshark, alat za analizu mreže u stvarnom vremenu, snima pakete i protokole u stvarnom vremenu i prikazuje ih u grafičkom i navedenom formatu.Wireshark je analizator paketa koji kruže mrežom, ovaj softver se može pokrenuti na Linuxu, Windowsu, OS X, Solarisu.
Softver možemo preuzeti sa službene stranice Wireshark, ako ga želimo instalirati na Linux, već dolazi u spremišta.
sudo apt-get install wiresharkAko ga želite instalirati na poslužitelj i upravljati softverom u tekstualnom obliku, imamo mogućnost instaliranja u tekstualnom načinu rada, a softver se naziva Tshark. Za instalaciju iz prozora terminala zapisujemo sljedeće naredbe:
sudo apt-get install tsharkZatim ćemo morati izvršiti Wireshark s administratorskim ovlastima jer će morati imati dozvole za pristup mreži i biti u mogućnosti nadzirati pakete koje označimo. U našem slučaju, za početak bilo s izbornika ili s terminala upotrijebit ćemo sljedeću naredbu:
gksudo wiresharkTo će nas pitati za korisničko ime i lozinku za pristup u administratorskom ili root načinu.
Kad počnemo, možemo vidjeti Popis sučelja koje su dostupne mreže, u primjeru imamo wifi mrežu wlan0 i ethernet eth0, tamo možemo odabrati koju mrežu ili sučelja želimo analizirati.
Ispod popisa sučelja imamo opcije snimanja ili mogućnosti snimanja. Opcije uključuju analizu u promiskuitetnom načinu i načinu snimanja itd.Unutar mogućnosti snimanja možemo konfigurirati protokole i usluge za praćenje kako bismo vidjeli koji procesi i platforme primaju i šalju podatke unutar mreže.
Izradite filtar za praćenje
Na traci Filtri možemo konfigurirati vrstu nadzora koju želimo provesti, na primjer, na popisu sučelja odaberemo eth0 i pritisnemo Start, otvorit će se prozor i vidjet ćemo kako softver hvata sve pakete, npr. korisnika postoji mnogo. Softver bilježi mnoge protokole, uključujući sistemske, odnosno interne poruke s uređaja i operacijskih sustava.
Na primjer, pritisnemo Filter, a zatim odaberemo HTTP, pa filtriramo promet samo iz http protokola, odnosno upita web stranica kroz port 80.
Otvaramo preglednik i Google web stranicu Solvetic.com, Wireshark će nam pokazati http i tcp podatke koji se proizvode za uspostavljanje veze jer vidimo da se tcp i http protokoli koriste za pretraživanje, a zatim prikazuju web.
Zatim ćemo analizirati snimljene podatke, kada kliknemo na svaku snimljenu stavku, vidjet ćemo podatke o podatkovnom paketu, polje Frame koje identificira veličinu zarobljenog paketa, vrijeme koje je trebalo, kada je poslano i kroz koje sučelja.
Polje Ethernet II pripada podacima koji se generiraju u sloju podatkovne veze ako vidimo OSI model, ovdje imamo ishodište i odredište, IP adrese, mac adrese i vrstu korištenog protokola.
Polje Internet Protocol prikazat će nam IP datagram s IP adresama, polje Transmission Control Protocol ili TPC je ono koje dovršava protokol prijenosa TCP / IP. Zatim imamo HTTP zaglavlja gdje primamo renderirane podatke iz web komunikacije.
Vidjet ćemo primjer gdje konfiguriramo snimanje svih mreža i veza, pri prikazivanju popisa filtriramo i tražimo pop veze, odnosno dolaznu poštu.
Ako pošaljemo neke e -poruke, a zatim filtriramo prema smtp protokolu, vidjet ćemo sve poruke poslane s poslužitelja ili svakog računala na mreži sa svojim IP -om odakle je poslano i odakle je poslano, uvijek možemo koristiti web http: //www.tcpiputils. com, za određivanje podataka o određenoj IP adresi.
Drugi filtar koji možemo primijeniti je DNS filtar kako bismo mogli vidjeti s kojim DNS -ima se generira promet.
Zatim ćemo pratiti upite prema Mysql poslužitelju. Mrežni administratori obično nemaju dnevnik upita koji se upućuju u bazu podataka, ali pomoću Wiresharka možete pratiti sve upite i spremiti ovaj dnevnik te prikazati popis kao dnevnik upita. Za filtriranje mysql paketa moramo koristiti Mysql filter ili mysql.query ako želimo vidjeti samo SELECTs ili neki poseban izraz.
Pokušat ćemo postaviti neke upite lokalnom poslužitelju baze podataka i pomoću Sakila testne baze podataka koja je besplatna i otvorenog koda, baze podataka koju smo koristili u kombinacijama vodiča MySQL s Inner Join.
Izvršimo SQL upit i Wireshark će zabilježiti svaki upit, izvorni IP upita, odredišni IP, sql upit, korisnika koji se prijavio.
Iako je s ovim softverom moguće upravljati udaljenim bazama podataka, to se ne preporučuje jer bi bilo potrebno dopustiti vanjske veze s poslužiteljem.
Kako se paketi presreću, možemo analizirati što se događa s mrežnim prometom, samo moramo kliknuti na paket koji želimo analizirati kako bi nam pokazali podatke.
Ako primijenimo HTTP filtar na POST paket i kliknemo desni gumb na navedenom paketu, a zatim na padajućem izborniku odaberemo opciju Prati TCP tok ili Prati tok TCP-a, to znači vidjeti sve što se proizvodi prilikom izrade weba zahtjev poslužitelju.
Kao rezultat toga, dobivamo sve transakcije koda i html -a koje se provode u zahtjevu, ako korisnik unese lozinku za pristup web stranici, putem ove metode možemo vidjeti lozinku i korisnika kojeg koristim.
