Урок за Wireshark

Представяли ли сте си някога или сте имали някакви любопитни факти как изглежда мрежовият трафик ? Ако сте го направили, не сте сами, аз също. По това време не знаех много за работата в мрежа. Доколкото знаех, когато се свързвах с Wi-Fi мрежа, първо включих Wi-Fi услуга на компютъра си, за да сканирам наличните връзки около мен. И тогава се опитах да се свържа с целевата точка за достъп до Wi-Fi, ако поиска парола, въведете паролата. След като е свързан, сега мога да сърфирам в интернет.  Но тогава се чудя какъв е сценарият зад всичко това? Как може компютърът ми да знае дали около него има много точки за достъп? Дори не разбрах къде са поставени рутерите. И след като компютърът ми се свърже с рутера / точката за достъп, какво правят, когато сърфирах в Интернет? Как тези устройства (моят компютър и точка за достъп) комуникират помежду си?

Това се случи, когато за първи път инсталирах моя Kali Linux. Моята цел чрез инсталиране на Kali Linux беше да разреша всякакви проблеми и любопитствата ми, свързани с „някои сложни технологични неща или сценарий на методи за хакване и скоро“. Обичам процеса, обичам последователността от стъпки за разбиване на пъзела. Знаех термините прокси, VPN и други неща за свързаност. Но трябва да знам основната идея за това как тези неща (сървър и клиент) работят и комуникират особено в локалната ми мрежа.

Въпросите по-горе ме отвеждат към темата, мрежов анализ. Обикновено това е подушване и анализ на мрежовия трафик. За щастие Kali Linux и други дистрибуции на Linux предлагат най-мощния инструмент за мрежов анализатор, наречен Wireshark. Той се счита за стандартен пакет за Linux системи. Wireshark има богата функционалност. Основната идея на този урок е да се направи улавяне на мрежата на живо, запис на данните във файл за по-нататъшен (офлайн) процес на анализ.

СТЪПКА 1: ОТВОРЕНА МРЕЖА

След като се свържем с мрежата, нека започнем с отваряне на графичния интерфейс wireshark. За да стартирате това, просто въведете в терминала:

~ # wireshark

Ще видите страницата за приветствие на прозореца Wireshark, тя трябва да изглежда така:

СТЪПКА 2: ИЗБЕРЕТЕ МРЕЖА ИНТЕРФЕЙС ЗА ПЛАНИРАНЕ

В този случай се свързахме с точка за достъп чрез нашия интерфейс за безжична карта. Да отидем и да изберете WLAN0. За да започнете да заснемате, щракнете върху Бутон Старт (Икона Blue-Shark-Fin), разположена в горния ляв ъгъл.

СТЪПКА 3: ПЛАНВАНЕ НА МРЕЖОВ ТРАФИК

Сега въвеждаме в Live Capture WIndow. Може да се почувствате съкрушени за първи път, когато видите куп данни в този прозорец. Не се притеснявайте, ще го обясня един по един. В този прозорец, главно разделен на три стъкла, отгоре надолу, той е: Списък с пакети, подробности за пакета и пакети байтове.

1. 1. Панел със списък с пакети
      Първият прозорец показва списък, съдържащ пакети в текущия файл за улавяне. Показва се като таблица, а колоните съдържат: номер на пакета, уловеното време, източник и дестинация на пакета, протокол на пакета и някаква обща информация, намерена в пакета.
   2. Панел с подробности за пакета
      Вторият прозорец съдържа йерархично показване на информация за отделен пакет. Щракнете върху „свито и разгънато“, за да покажете цялата информация, събрана за отделен пакет.
   3. Pane Bytes Pane
      Третият екран съдържа кодирани пакетни данни, показва пакет в необработена, необработена форма.

СТЪПКА 4: СПРЕТЕ СНИМАНЕТО И ЗАПАЗЕТЕ НА A .PCAP ФАЙЛ

Когато сте готови да спрете заснемането и да видите заловените данни, щракнете върху Стоп бутон „Икона„ Червен квадрат “(намира се точно до бутона„ Старт “). Необходимо е да запазите файл за по-нататъшен процес на анализ или да споделите заловените пакети. След като бъде спрян, просто запазете в .pcap файлов формат, като натиснете File> Save As> fileName.pcap.

РАЗБИРАНЕ НА ФИЛТРИ ЗА ЗАХВАНЕ НА WIRESHARK И ФИЛТРИ ЗА ЕКРАН

Вече знаете основното използване на Wireshark, като цяло процесът завършва с горното обяснение. За да сортира и заснеме определена информация, Wireshark има функция за филтриране. Има два вида филтри, всеки от които има своя собствена функционалност: Филтър за улавяне и филтър за показване.

1. Филтър за улавяне

Филтърът за улавяне се използва за улавяне на конкретни данни или пакети, той се използва в „Сесия за улавяне на живо“, например трябва да уловите само един хостов трафик на 192.168.1.23 . И така, въведете заявката във формата за филтриране на Capture:

домакин 192.168.1.23

Основната полза от използването на филтъра за улавяне е, че можем да намалим количеството данни в заснетия файл, тъй като вместо да улавяме някакъв пакет или трафик, ние посочваме или ограничаваме до определен трафик. Филтърът за улавяне контролира какъв тип данни в трафика ще бъдат заснети, ако не е зададен филтър, това означава да се вземат всички. За да конфигурирате филтъра за заснемане, щракнете върху Опции за улавяне бутон, който се намира, както е показано на изображението в курсора, сочещ отдолу.

Ще забележите Capture Filter Box в долната част, щракнете върху зелената икона до полето и изберете желания филтър.

2. ЕКРАНЕН ФИЛТЪР

Дисплейният филтър, от друга страна, се използва в „Офлайн анализ“. Филтърът за показване е по-скоро като функция за търсене на определени пакети, които искате да видите в главния прозорец. Филтърът на дисплея контролира това, което се вижда от съществуващо заснемане на пакети, но не влияе върху това какъв трафик всъщност е уловен. Можете да зададете филтър за показване по време на заснемане или анализиране. Ще забележите полето Display Filter в горната част на главния прозорец. Всъщност има толкова много филтри, които можете да приложите, но не бъдете претоварени. За да приложите филтър, можете или просто да въведете израз на филтър в полето, или да изберете от съществуващия списък с налични филтри, както е показано на изображението по-долу. Щракнете Изрази ... Бутон до полето за филтър на дисплея.

След това изберете наличния аргумент Display Filter в списък. И удари Добре бутон.

Сега имате идеята каква е разликата между Capture Filter и Display Filter и знаете как да заобиколите основните функции и функционалност на Wireshark.