Czy kiedykolwiek wyobrażałeś sobie lub miałeś ciekawostki na temat tego, jak lubi ruch sieciowy ? Jeśli tak, nie jesteś sam, ja też zrobiłem. W tym czasie niewiele wiedziałem o sieciach. O ile wiedziałem, kiedy łączyłem się z siecią Wi-Fi, najpierw włączyłem usługę Wi-Fi na moim komputerze, aby skanować dostępne połączenie/s. A następnie próbowałem połączyć się z docelowym punktem dostępu Wi-Fi, jeśli poprosi o hasło, wówczas wprowadź hasło. Po połączeniu, teraz mogłem surfować po Internecie. Ale zastanawiam się, jaki jest scenariusz tego wszystkiego? Skąd mój komputer mógł wiedzieć, czy wokół niego jest wiele punktów dostępu? Nawet ja nie zdawałem sobie sprawy, gdzie umieszczone są routery. A kiedy mój komputer podłączył się do routera / punktu dostępu, co robią, gdy przeglądałem Internet? Jak te urządzenia (mój komputer i punkt dostępu) komunikują się ze sobą?
Stało się to, kiedy po raz pierwszy zainstalowałem mój Kali Linux. Moim celem poprzez instalowanie Kali Linux było rozwiązanie wszelkich problemów i moich ciekawostek związanych z „niektórymi złożonymi technikami lub scenariuszem metod hakowania i wkrótce”. Uwielbiam ten proces, uwielbiam sekwencję etapów rozbicia zagadki. Znałem terminy proxy, VPN i inne rzeczy do łączności. Ale muszę znać podstawową ideę, w jaki sposób te rzeczy (serwer i klient) działają i komunikują się szczególnie w mojej sieci lokalnej.
Powyższe pytania doprowadzają mnie do tematu, analiza sieci. Zasadniczo jest to snifffer i analizowanie ruchu sieciowego. Na szczęście Kali Linux i inne dystrybucje Linux oferują najpotężniejsze narzędzie analizatora sieci, o nazwie Wireshark. Jest uważany za standardowy pakiet w systemach Linux. Wireshark ma bogatą funkcjonalność. Główną ideą tego samouczka jest przechwytywanie na żywo sieci, zapisać dane w pliku w celu dalszego (offline) procesu analizy.
Po podłączeniu do sieci zacznijmy od otwarcia interfejsu GUI Wireshark. Aby to uruchomić, po prostu wprowadź w terminalu:
~ # Wireshark |
Zobaczysz stronę powitalną okna Wireshark, powinno wyglądać tak:
W takim przypadku podłączyliśmy do punktu dostępu za pośrednictwem naszego interfejsu karty bezprzewodowej. Przejdźmy do głowy i wybierz WLAN0. Aby rozpocząć przechwytywanie, kliknij Przycisk Start (Ikona z niebiesko-sharkiem) znajdująca się na lewym rogu.
Teraz wprowadzamy okno przechwytywania na żywo. Możesz czuć się przytłoczony, gdy po raz pierwszy widząc kilka danych w tym oknie. Nie martw się, wyjaśnię to jeden po drugim. W tym oknie, podzielonym głównie na trzy patelnie, od góry do dołu, jest to: Lista pakietów, szczegóły pakietów i bajty pakietów.
Gdy będziesz gotowy, aby przestać przechwytywać i wyświetlić przechwycone dane, kliknij Przycisk stopu „Ikona czerwona kwadrat” (znajdująca się tuż obok przycisku Start). Konieczne jest zapisanie pliku w celu dalszego procesu analizy lub udostępnienie przechwyconych pakietów. Po zatrzymaniu, po prostu oszczędzaj .Format pliku PCAP poprzez trafienie Plik> Zapisz jako> nazwa pliku.PCAP.
Zrozumienie filtrów przechwytywania Wireshark i filtry wyświetlania
Znasz już podstawowe użycie Wireshark, ogólnie proces ten kończy się powyższym wyjaśnieniem. Aby sortować i przechwycić określone informacje, Wireshark ma funkcję filtra. Istnieją dwa rodzaje filtrów, z których każdy ma swoją własną funkcjonalność: Filtr przechwytujący i filtr wyświetlania.
1. Filtr przechwytujący
Filtr przechwytujący jest używany do przechwytywania określonych danych lub pakietów, jest używany w „Sesji przechwytywania na żywo”, na przykład wystarczy przechwytywać ruch pojedynczego hosta w 192 roku.168.1.23 . Wprowadź zapytanie do formularza filtra przechwytywania:
Gospodarz 192.168.1.23
Główną zaletą korzystania z filtra przechwytywania jest to, że możemy zmniejszyć ilość danych w przechwyconym pliku, ponieważ zamiast przechwytywania dowolnego pakietu lub ruchu określamy lub ograniczamy do pewnego ruchu. Capture Filtr kontroluje, jaki rodzaj danych w ruchu zostanie przechwycony, jeśli nie zostanie ustawiony filtr, oznacza to przechwytywanie wszystkich. Aby skonfigurować filtr przechwytywania, kliknij Opcje przechwytywania przycisk, który znajduje się, jak pokazano obrazem w kursorze wskazującym poniżej.
Zauważysz pole filtra przechwytywania na dole, kliknij zieloną ikonę obok pola i wybierz żądany filtr.
2. Filtr wyświetlania
Z drugiej strony filtr wyświetlacza jest używany w „Analiza offline”. Filtr wyświetlacza bardziej przypomina funkcję wyszukiwania niektórych pakietów, które chcesz zobaczyć w oknie głównym. Wyświetl filtr kontroluje to, co widać z istniejącego przechwytywania pakietu, ale nie wpływa na to, jaki ruch jest przechwycony. Możesz ustawić filtr wyświetlania podczas przechwytywania lub analizy. Zauważysz pole filtra wyświetlania w górnej części okna głównego. W rzeczywistości jest tak wiele filtrów, które możesz zastosować, ale nie daj się przytłoczyć. Aby zastosować filtr, możesz po prostu wpisać wyrażenie filtra w polu lub wybrać z istniejącej listy dostępnych filtrów, jak pokazano na poniższym obrazku. Kliknij Wyrażenia… przycisk Oprócz pole filtra wyświetlacza.
Następnie wybierz dostępny argument filtra wyświetlania na liście. I uderz OK przycisk.
Teraz masz pomysł, jaka jest różnica między filtrem przechwytywania a filtrem wyświetlania i znasz swoje podstawowe funkcje i funkcjonalność Wireshark.