🖧 10 советов в работе с Wireshark по анализу пакетов в сети – Information Security Squad
🖧 10 советов в работе с Wireshark по анализу пакетов в сети

В любой сети с коммутацией пакеты представляют собой единицы данных, которые передаются между компьютерами.

Сетевые инженеры и системные администраторы несут ответственность за мониторинг и проверку пакетов в целях безопасности и устранения неполадок.

Для этого они используют программы, называемые анализаторами сетевых пакетов, причем Wireshark, пожалуй, является наиболее популярным и часто используемым благодаря своей универсальности и простоте.

Кроме того, Wireshark позволяет не только отслеживать трафик в режиме реального времени, но и сохранять его в файл для последующей проверки.

В этой статье мы поделимся 10 советами о том, как использовать Wireshark для анализа пакетов в вашей сети.

Установка Wireshark на Linux

Чтобы установить Wireshark, выберите правильный установщик для вашей операционной системы / архитектуры по адресу https://www.wireshark.org/download.html.

В частности, если вы используете Linux, Wireshark должен быть доступен непосредственно из репозиториев вашего дистрибутива, чтобы его было легче установить.

Хотя версии могут отличаться, параметры и меню должны быть похожими – если не идентичны в каждой версии.

------------ На Debian/Ubuntu  ------------ 
$ sudo apt-get install wireshark

------------ На CentOS/RHEL ------------
$ sudo yum install wireshark

------------ На Fedora 22+  ------------
$ sudo dnf install wireshark

В Debian и его производных есть известная ошибка, которая может помешать перечислению сетевых интерфейсов, если вы не используете sudo для запуска Wireshark.

Чтобы это исправить, следуйте инструкции https://osqa-ask.wireshark.org/questions/7523/ubuntu-machine-no-interfaces-listed

Когда Wireshark запущен, вы можете выбрать сетевой интерфейс, который вы хотите отслеживать, в Capture:
В этой статье мы будем использовать eth0, но вы можете выбрать другой интерфейс, если захотите.
Пока не нажимайте на интерфейс – мы сделаем это позже, как только мы рассмотрим несколько вариантов захвата.

Настройка параметров захвата

Наиболее полезные варианты захвата, которые мы рассмотрим:

  1. Network interfaceКак мы объясняли ранее, мы будем анализировать только пакеты, проходящие через eth0, либо входящие, либо исходящие.
  2. Capture filterЭта опция позволяет нам указать, какой тип трафика мы хотим отслеживать по порту, протоколу или типу.

Прежде чем перейти к советам, важно отметить, что некоторые организации запрещают использование Wireshark в своих сетях. Тем не менее, если вы не используете Wireshark в личных целях, убедитесь, что ваша организация разрешает его использование.

Теперь просто выберите eth0 из выпадающего списка и нажмите кнопку Start.

Вы начнете видеть весь трафик, проходящий через этот интерфейс.

Это не очень полезно в целях мониторинга из-за большого количества проверенных пакетов, но это только начало.

На изображении , показанном выше мы также видим значки для отображения списка доступных интерфейсов, остановки текущего захвата и его перезапуска (красное поле слева), а также для настройки и редактирования фильтра (красное поле справа).

Когда вы наводите курсор на один из этих значков, отображается подсказка, указывающая, что он делает.

Мы начнем с иллюстрации вариантов захвата, в то время как советы с номера 7 по номер 10 покажут, как на самом деле сделать что-то полезное с захватом этих пакетов.

СОВЕТ № 1 – проверка трафика HTTP

Введите http в поле фильтра и нажмите «Apply».

Запустите браузер и перейдите на любой сайт:

Чтобы начать пробовать в действии каждый последующий совет, остановите онлайн захват и отредактируйте фильтр.

СОВЕТ №2 – проверка HTTP-трафика с заданного IP-адреса

В этом совете мы добавим ip == 192.168.0.10 && в разделе фильтра для мониторинга трафика HTTP между локальным компьютером и 192.168.0.10:

СОВЕТ № 3 – проверка HTTP-трафика на заданный IP-адрес

Тесно связан с советом # 2, в этом случае мы будем использовать ip.dst как часть фильтра захвата следующим образом:

ip.dst==192.168.0.10&&http

Чтобы объединить советы № 2 и № 3, вы можете использовать ip.addr в правиле фильтрации вместо ip.src или ip.dst.

СОВЕТ №4. Отследить сетевой трафик Apache и MySQL

Иногда вы будете заинтересованы в проверке трафика, который соответствует одному или нескольким условия.

Например, для мониторинга трафика через порты TCP 80 (веб-сервер) и 3306 (сервер базы данных MySQL / MariaDB) можно использовать условие ИЛИ в фильтре захвата:

tcp.port==80||tcp.port==3306

СОВЕТ № 5 – отклоненные пакеты на заданный IP-адрес

Чтобы исключить пакеты, не соответствующие правилу фильтрации, используйте ! и заключите правило в круглые скобки.

Например, чтобы исключить пакеты, исходящие или направленные на данный IP-адрес, вы можете использовать:

!(ip.addr == 192.168.0.10)

СОВЕТ № 6 – Мониторинг трафика локальной сети (192.168.0.0/24)

Следующее правило фильтра будет отображать только локальный трафик и исключать пакеты, идущие в Интернет и приходящие из него:

ip.src==192.168.0.0/24 and ip.dst==192.168.0.0/24

СОВЕТ № 7 – Контролируйте содержание обмена данными по TCP

Чтобы проверить содержимое диалога TCP (обмен данными), щелкните правой кнопкой мыши на заданном пакете и выберите Follow TCP stream.

Появится окно с содержанием этих данных.

Оно будет включать заголовки HTTP, если мы проверяем веб-трафик, а также любые учетные данные в виде простого текста, передаваемые во время процесса, если таковые имеются.

СОВЕТ № 8 – Редактирование правил окраски

Теперь я уверен, что вы уже заметили, что каждая строка в окне захвата окрашена.

По умолчанию HTTP-трафик отображается на зеленом фоне черным текстом, а ошибки контрольной суммы – красным текстом на черном фоне.

Если вы хотите изменить эти настройки, щелкните значок «Edit coloring rules», выберите нужный фильтр и нажмите «Edit».

СОВЕТ № 9 – Сохранение захвата пакетов в файл

Сохранение содержимого захвата позволит нам более детально изучить его.

Для этого перейдите в File → Export и выберите формат экспорта из списка:

СОВЕТ № 10 – Практика с примерами захвата пакетов

Если вы думаете, что ваша сеть «скучная», Wireshark предоставляет серию образцов файлов захвата, которые вы можете использовать для обучения/

Вы можете скачать эти SampleCaptures и импортировать их через меню File → Impor.

 

 

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *