Samouczek Wireshark

Igor Skrzypek
Samouczek Wireshark

Czy kiedykolwiek wyobrażałeś sobie lub miałeś ciekawostki na temat tego, jak lubi ruch sieciowy ? Jeśli tak, nie jesteś sam, ja też zrobiłem. W tym czasie niewiele wiedziałem o sieciach. O ile wiedziałem, kiedy łączyłem się z siecią Wi-Fi, najpierw włączyłem usługę Wi-Fi na moim komputerze, aby skanować dostępne połączenie/s. A następnie próbowałem połączyć się z docelowym punktem dostępu Wi-Fi, jeśli poprosi o hasło, wówczas wprowadź hasło. Po połączeniu, teraz mogłem surfować po Internecie. Ale zastanawiam się, jaki jest scenariusz tego wszystkiego? Skąd mój komputer mógł wiedzieć, czy wokół niego jest wiele punktów dostępu? Nawet ja nie zdawałem sobie sprawy, gdzie umieszczone są routery. A kiedy mój komputer podłączył się do routera / punktu dostępu, co robią, gdy przeglądałem Internet? Jak te urządzenia (mój komputer i punkt dostępu) komunikują się ze sobą?

Stało się to, kiedy po raz pierwszy zainstalowałem mój Kali Linux. Moim celem poprzez instalowanie Kali Linux było rozwiązanie wszelkich problemów i moich ciekawostek związanych z „niektórymi złożonymi technikami lub scenariuszem metod hakowania i wkrótce”. Uwielbiam ten proces, uwielbiam sekwencję etapów rozbicia zagadki. Znałem terminy proxy, VPN i inne rzeczy do łączności. Ale muszę znać podstawową ideę, w jaki sposób te rzeczy (serwer i klient) działają i komunikują się szczególnie w mojej sieci lokalnej.

Powyższe pytania doprowadzają mnie do tematu, analiza sieci. Zasadniczo jest to snifffer i analizowanie ruchu sieciowego. Na szczęście Kali Linux i inne dystrybucje Linux oferują najpotężniejsze narzędzie analizatora sieci, o nazwie Wireshark. Jest uważany za standardowy pakiet w systemach Linux. Wireshark ma bogatą funkcjonalność. Główną ideą tego samouczka jest przechwytywanie na żywo sieci, zapisać dane w pliku w celu dalszego (offline) procesu analizy.

Krok 1: Otwórz Wireshark

Po podłączeniu do sieci zacznijmy od otwarcia interfejsu GUI Wireshark. Aby to uruchomić, po prostu wprowadź w terminalu:

~# Wireshark

Zobaczysz stronę powitalną okna Wireshark, powinno wyglądać tak:

Krok 2: Wybierz interfejs przechwytywania sieci

W takim przypadku podłączyliśmy do punktu dostępu za pośrednictwem naszego interfejsu karty bezprzewodowej. Przejdźmy do głowy i wybierz WLAN0. Aby rozpocząć przechwytywanie, kliknij Przycisk Start (Ikona z niebiesko-sharkiem) znajdująca się na lewym rogu.

Krok 3: Schwytanie ruchu sieciowego

Teraz wprowadzamy okno przechwytywania na żywo. Możesz czuć się przytłoczony, gdy po raz pierwszy widząc kilka danych w tym oknie. Nie martw się, wyjaśnię to jeden po drugim. W tym oknie, podzielonym głównie na trzy patelnie, od góry do dołu, jest to: Lista pakietów, szczegóły pakietów i bajty pakietów.

    1. Panela listy pakietów
      Pierwsza panela wyświetla listę zawierającą pakiety w bieżącym pliku przechwytywania. Jest wyświetlany jako tabela, a kolumny zawierają: numer pakietu, przechwycone czas, źródło pakietu i miejsce docelowe, protokół pakietu oraz niektóre ogólne informacje znalezione w pakiecie.
    2. Szczegóły pakietu Pane
      Druga panel zawiera hierarchiczny wyświetlanie informacji o pojedynczym pakiecie. Kliknij „Zakochane i rozszerzone”, aby pokazać wszystkie informacje zebrane na temat poszczególnych pakietów.
    3. Pakiet bajtów
      Trzecia okienka zawiera zakodowane dane pakietów, wyświetla pakiet w swojej surowej, nieprzetworzonej formie.

Krok 4: Przestań przechwytywać i oszczędzaj na .Plik PCAP

Gdy będziesz gotowy, aby przestać przechwytywać i wyświetlić przechwycone dane, kliknij Przycisk stopu „Ikona czerwona kwadrat” (znajdująca się tuż obok przycisku Start). Konieczne jest zapisanie pliku w celu dalszego procesu analizy lub udostępnienie przechwyconych pakietów. Po zatrzymaniu, po prostu oszczędzaj .Format pliku PCAP poprzez trafienie Plik> Zapisz jako> nazwa pliku.PCAP.

Zrozumienie filtrów przechwytywania Wireshark i filtry wyświetlania

Znasz już podstawowe użycie Wireshark, ogólnie proces ten kończy się powyższym wyjaśnieniem. Aby sortować i przechwycić określone informacje, Wireshark ma funkcję filtra. Istnieją dwa rodzaje filtrów, z których każdy ma swoją własną funkcjonalność: Filtr przechwytujący i filtr wyświetlania.

1. Filtr przechwytujący

Filtr przechwytujący jest używany do przechwytywania określonych danych lub pakietów, jest używany w „Sesji przechwytywania na żywo”, na przykład wystarczy przechwytywać ruch pojedynczego hosta w 192 roku.168.1.23 . Wprowadź zapytanie do formularza filtra przechwytywania:

Gospodarz 192.168.1.23

Główną zaletą korzystania z filtra przechwytywania jest to, że możemy zmniejszyć ilość danych w przechwyconym pliku, ponieważ zamiast przechwytywania dowolnego pakietu lub ruchu określamy lub ograniczamy do pewnego ruchu. Capture Filtr kontroluje, jaki rodzaj danych w ruchu zostanie przechwycony, jeśli nie zostanie ustawiony filtr, oznacza to przechwytywanie wszystkich. Aby skonfigurować filtr przechwytywania, kliknij Opcje przechwytywania przycisk, który znajduje się, jak pokazano obrazem w kursorze wskazującym poniżej.

Zauważysz pole filtra przechwytywania na dole, kliknij zieloną ikonę obok pola i wybierz żądany filtr.

2. Filtr wyświetlania

Z drugiej strony filtr wyświetlacza jest używany w „Analiza offline”. Filtr wyświetlacza bardziej przypomina funkcję wyszukiwania niektórych pakietów, które chcesz zobaczyć w oknie głównym. Wyświetl filtr kontroluje to, co widać z istniejącego przechwytywania pakietu, ale nie wpływa na to, jaki ruch jest przechwycony. Możesz ustawić filtr wyświetlania podczas przechwytywania lub analizy. Zauważysz pole filtra wyświetlania w górnej części okna głównego. W rzeczywistości jest tak wiele filtrów, które możesz zastosować, ale nie daj się przytłoczyć. Aby zastosować filtr, możesz po prostu wpisać wyrażenie filtra w polu lub wybrać z istniejącej listy dostępnych filtrów, jak pokazano na poniższym obrazku. Kliknij Wyrażenia… przycisk Oprócz pole filtra wyświetlacza.

Następnie wybierz dostępny argument filtra wyświetlania na liście. I uderz OK przycisk.

Teraz masz pomysł, jaka jest różnica między filtrem przechwytywania a filtrem wyświetlania i znasz swoje podstawowe funkcje i funkcjonalność Wireshark.

Programowanie C
Jaki jest adres pamięci w programowaniu C i jak go znaleźć?
Adres pamięci w programowaniu C odnosi się do lokalizacji, w której dane są przechowywane w pamięci ...
Zofia Góra
PowerShell
Jak używać polecenia „Get-command” w PowerShell
CMDLET „Get-command” otrzymuje listę poleceń dostępnych na komputerze. Ponadto może importować moduł...
Bruno Dobrowolski
Programowanie C
Jak usunąć białespace z ciągów ze strtrim w programowaniu C
Funkcja strtrim () usuwa znaki białych od samego początku i na końcu łańcucha. Postępuj zgodnie z ty...
Sebastian Kaczyński
Pyton
Seborn poziome działki barowe
Larysa Witczak
Sqlite
Jak korzystać z aplikacji internetowej SQLite Viewer
Pani Alicja Szafrański
Polecenia Linux
Jak zainstalować i włączyć uwierzytelnianie wieloskładnikowe SSH dla systemów Linux
Bertram Jóźwiak
JavaScript
Jak używać metody getelementsBaTagname w JavaScript
Oliwia Makowski
AWS
Co to jest proces wsadowy i jak go używać w AWS?
Oliwia Makowski
Golang
Co to jest dziedzictwo w Golang
Sebastian Kaczyński
MS SQL Server
Co to jest mysql rdbms kompleksowy przewodnik
Justyna Flak
Maszynopis
Co to jest maszynopis i jak go używać?
Sebastian Kaczyński
PowerShell
Jak korzystać z cmdlet podobytw w PowerShell
Albert Szcześniak
php
Jak dołączyć do tablicy PHP?
Renata Borowiec