В любой сети с коммутацией пакеты представляют собой единицы данных, которые передаются между компьютерами.
Сетевые инженеры и системные администраторы несут ответственность за мониторинг и проверку пакетов в целях безопасности и устранения неполадок.
Для этого они используют программы, называемые анализаторами сетевых пакетов, причем Wireshark, пожалуй, является наиболее популярным и часто используемым благодаря своей универсальности и простоте.
Кроме того, Wireshark позволяет не только отслеживать трафик в режиме реального времени, но и сохранять его в файл для последующей проверки.
- Установка Wireshark на Linux
- Настройка параметров захвата
- СОВЕТ № 1 – проверка трафика HTTP
- СОВЕТ №2 – проверка HTTP-трафика с заданного IP-адреса
- СОВЕТ № 3 – проверка HTTP-трафика на заданный IP-адрес
- СОВЕТ №4. Отследить сетевой трафик Apache и MySQL
- СОВЕТ № 5 – отклоненные пакеты на заданный IP-адрес
- СОВЕТ № 6 – Мониторинг трафика локальной сети (192.168.0.0/24)
- СОВЕТ № 7 – Контролируйте содержание обмена данными по TCP
- СОВЕТ № 8 – Редактирование правил окраски
- СОВЕТ № 9 – Сохранение захвата пакетов в файл
- СОВЕТ № 10 – Практика с примерами захвата пакетов
Установка Wireshark на Linux
Чтобы установить Wireshark, выберите правильный установщик для вашей операционной системы / архитектуры по адресу https://www.wireshark.org/download.html.
В частности, если вы используете Linux, Wireshark должен быть доступен непосредственно из репозиториев вашего дистрибутива, чтобы его было легче установить.
Хотя версии могут отличаться, параметры и меню должны быть похожими – если не идентичны в каждой версии.
------------ На Debian/Ubuntu ------------ $ sudo apt-get install wireshark ------------ На CentOS/RHEL ------------ $ sudo yum install wireshark ------------ На Fedora 22+ ------------ $ sudo dnf install wireshark
В Debian и его производных есть известная ошибка, которая может помешать перечислению сетевых интерфейсов, если вы не используете sudo для запуска Wireshark.
Чтобы это исправить, следуйте инструкции https://osqa-ask.wireshark.org/questions/7523/ubuntu-machine-no-interfaces-listed
Настройка параметров захвата
Наиболее полезные варианты захвата, которые мы рассмотрим:
- Network interface – Как мы объясняли ранее, мы будем анализировать только пакеты, проходящие через eth0, либо входящие, либо исходящие.
- Capture filter – Эта опция позволяет нам указать, какой тип трафика мы хотим отслеживать по порту, протоколу или типу.
Прежде чем перейти к советам, важно отметить, что некоторые организации запрещают использование Wireshark в своих сетях. Тем не менее, если вы не используете Wireshark в личных целях, убедитесь, что ваша организация разрешает его использование.
Теперь просто выберите eth0 из выпадающего списка и нажмите кнопку Start.
Вы начнете видеть весь трафик, проходящий через этот интерфейс.
Это не очень полезно в целях мониторинга из-за большого количества проверенных пакетов, но это только начало.
На изображении , показанном выше мы также видим значки для отображения списка доступных интерфейсов, остановки текущего захвата и его перезапуска (красное поле слева), а также для настройки и редактирования фильтра (красное поле справа).
Когда вы наводите курсор на один из этих значков, отображается подсказка, указывающая, что он делает.
Мы начнем с иллюстрации вариантов захвата, в то время как советы с номера 7 по номер 10 покажут, как на самом деле сделать что-то полезное с захватом этих пакетов.
СОВЕТ № 1 – проверка трафика HTTP
Введите http в поле фильтра и нажмите «Apply».
Запустите браузер и перейдите на любой сайт:
СОВЕТ №2 – проверка HTTP-трафика с заданного IP-адреса
В этом совете мы добавим ip == 192.168.0.10 && в разделе фильтра для мониторинга трафика HTTP между локальным компьютером и 192.168.0.10:
СОВЕТ № 3 – проверка HTTP-трафика на заданный IP-адрес
Тесно связан с советом # 2, в этом случае мы будем использовать ip.dst как часть фильтра захвата следующим образом:
ip.dst==192.168.0.10&&http
СОВЕТ №4. Отследить сетевой трафик Apache и MySQL
Иногда вы будете заинтересованы в проверке трафика, который соответствует одному или нескольким условия.
Например, для мониторинга трафика через порты TCP 80 (веб-сервер) и 3306 (сервер базы данных MySQL / MariaDB) можно использовать условие ИЛИ в фильтре захвата:
tcp.port==80||tcp.port==3306
СОВЕТ № 5 – отклоненные пакеты на заданный IP-адрес
Чтобы исключить пакеты, не соответствующие правилу фильтрации, используйте ! и заключите правило в круглые скобки.
Например, чтобы исключить пакеты, исходящие или направленные на данный IP-адрес, вы можете использовать:
!(ip.addr == 192.168.0.10)
СОВЕТ № 6 – Мониторинг трафика локальной сети (192.168.0.0/24)
Следующее правило фильтра будет отображать только локальный трафик и исключать пакеты, идущие в Интернет и приходящие из него:
ip.src==192.168.0.0/24 and ip.dst==192.168.0.0/24
СОВЕТ № 7 – Контролируйте содержание обмена данными по TCP
Чтобы проверить содержимое диалога TCP (обмен данными), щелкните правой кнопкой мыши на заданном пакете и выберите Follow TCP stream.
Появится окно с содержанием этих данных.
Оно будет включать заголовки HTTP, если мы проверяем веб-трафик, а также любые учетные данные в виде простого текста, передаваемые во время процесса, если таковые имеются.
СОВЕТ № 8 – Редактирование правил окраски
Теперь я уверен, что вы уже заметили, что каждая строка в окне захвата окрашена.
По умолчанию HTTP-трафик отображается на зеленом фоне черным текстом, а ошибки контрольной суммы – красным текстом на черном фоне.
Если вы хотите изменить эти настройки, щелкните значок «Edit coloring rules», выберите нужный фильтр и нажмите «Edit».
СОВЕТ № 9 – Сохранение захвата пакетов в файл
Сохранение содержимого захвата позволит нам более детально изучить его.
Для этого перейдите в File → Export и выберите формат экспорта из списка:
СОВЕТ № 10 – Практика с примерами захвата пакетов
Если вы думаете, что ваша сеть «скучная», Wireshark предоставляет серию образцов файлов захвата, которые вы можете использовать для обучения/
Вы можете скачать эти SampleCaptures и импортировать их через меню File → Impor.