10 tipů, jak používat Wireshark k analýze síťových paketů
V jakékoli síti s přepínáním paketů představují pakety jednotky dat, které jsou přenášeny mezi počítači. Je odpovědností síťových inženýrů a systémových administrátorů monitorovat a kontrolovat pakety pro účely zabezpečení a odstraňování problémů.
K tomu se spoléhají na softwarové programy zvané síťové paketové analyzátory, přičemž Wireshark je možná nejoblíbenější a nejpoužívanější díky své všestrannosti a snadnému použití. Kromě toho vám Wireshark umožňuje nejen sledovat provoz v reálném čase, ale také jej ukládat do souboru pro pozdější kontrolu.
Související informace: Nejlepší nástroje pro sledování šířky pásma Linuxu k analýze využití sítě
V tomto článku se podělíme o 10 tipů, jak používat Wireshark k analýze paketů ve vaší síti, a doufáme, že až se dostanete do sekce Souhrn, budete mít chuť si ji přidat do záložek.
Instalace Wireshark v Linuxu
Chcete-li nainstalovat Wireshark, vyberte správný instalační program pro váš operační systém/architekturu z https://www.wireshark.org/download.html.
Zejména pokud používáte Linux, Wireshark musí být k dispozici přímo z úložišť vaší distribuce, aby byla instalace snadnější. Ačkoli se verze mohou lišit, možnosti a nabídky by měly být podobné – ne-li stejné v každé z nich.
------------ On Debian/Ubuntu based Distros ------------
sudo apt-get install wireshark
------------ On CentOS/RHEL based Distros ------------
sudo yum install wireshark
------------ On Fedora 22+ Releases ------------
sudo dnf install wireshark
V Debianu a jeho derivátech je známá chyba, která může zabránit vypsání síťových rozhraní, pokud ke spuštění Wireshark nepoužijete sudo. Chcete-li to opravit, postupujte podle přijaté odpovědi v tomto příspěvku.
Jakmile je Wireshark spuštěn, můžete v části Zachytit vybrat síťové rozhraní, které chcete sledovat:
V tomto článku budeme používat eth0
, ale pokud chcete, můžete si vybrat jiný. Na rozhraní ještě neklikejte – uděláme tak později, jakmile zkontrolujeme několik možností zachycení.
Nastavení možností snímání
Nejužitečnější možnosti zachycení, které zvážíme, jsou:
- Síťové rozhraní – Jak jsme vysvětlili dříve, budeme analyzovat pouze pakety přicházející přes eth0, ať už příchozí nebo odchozí.
- Filtr zachycení – Tato možnost nám umožňuje určit, jaký druh provozu chceme monitorovat, podle portu, protokolu nebo typu.
Než budeme pokračovat s tipy, je důležité poznamenat, že některé organizace zakazují používání Wireshark ve svých sítích. To znamená, že pokud nepoužíváte Wireshark pro osobní účely, ujistěte se, že vaše organizace jeho použití umožňuje.
Prozatím stačí vybrat eth0
z rozevíracího seznamu a kliknout na tlačítko Start. Začnete vidět veškerý provoz procházející tímto rozhraním. Není to opravdu užitečné pro účely monitorování kvůli vysokému počtu kontrolovaných paketů, ale je to začátek.
Na obrázku výše také vidíme ikony pro seznam dostupných rozhraní, pro zastavení aktuálního záznamu a pro jeho restartování (červená vlevo) a konfigurovat a upravovat filtr (červené pole vpravo). Když na některou z těchto ikon umístíte ukazatel myši, zobrazí se nápověda, která ukazuje, co dělá.
Začneme tím, že si ukážeme možnosti snímání, zatímco tipy #7 až #10 budou diskutovat o tom, jak se snímáním skutečně udělat něco užitečného.
TIP #1 – Zkontrolujte HTTP provoz
Do pole filtru zadejte http
a klikněte na Použít. Spusťte prohlížeč a přejděte na libovolnou stránku:
Chcete-li zahájit každý následující tip, zastavte živý záznam a upravte filtr záznamu.
TIP #2 – Zkontrolujte HTTP provoz z dané IP adresy
V tomto konkrétním tipu přidáme před stanzu filtru ip==192.168.0.10&&
, abychom mohli monitorovat provoz HTTP mezi místním počítačem a 192.168.0.10:
TIP #3 – Zkontrolujte HTTP provoz na danou IP adresu
Úzce souvisí s #2, v tomto případě použijeme ip.dst
jako součást filtru zachycení takto:
ip.dst==192.168.0.10&&http
Chcete-li zkombinovat tipy #2 a #3, můžete v pravidle filtru použít ip.addr
namísto ip.src
nebo ip.dst
.
TIP #4 – Sledujte síťový provoz Apache a MySQL
Někdy budete mít zájem o kontrolu provozu, který odpovídá jedné (nebo oběma) podmínkám. Chcete-li například sledovat provoz na portech TCP 80 (webový server) a 3306 (databázový server MySQL/MariaDB), můžete použít podmínku OR
ve filtru zachycení:
tcp.port==80||tcp.port==3306
V tipech #2 a #3 poskytují ||
a slovo nebo stejné výsledky. Totéž s &&
a slovem and.
TIP #5 – Odmítněte pakety na danou IP adresu
Chcete-li vyloučit pakety, které neodpovídají pravidlu filtru, použijte !
a uzavřete pravidlo do závorek. Chcete-li například vyloučit balíčky pocházející nebo směrované na danou IP adresu, můžete použít:
!(ip.addr == 192.168.0.10)
TIP #6 – Sledujte provoz v místní síti (192.168.0.0/24)
Následující pravidlo filtru zobrazí pouze místní provoz a vyloučí pakety směřující a přicházející z Internetu:
ip.src==192.168.0.0/24 and ip.dst==192.168.0.0/24
TIP #7 – Sledujte obsah konverzace TCP
Chcete-li zkontrolovat obsah konverzace TCP (výměna dat), klikněte pravým tlačítkem myši na daný paket a vyberte možnost Sledovat stream TCP. Zobrazí se okno s obsahem konverzace.
To bude zahrnovat záhlaví HTTP, pokud kontrolujeme webový provoz, a také jakékoli pověření ve formátu prostého textu přenesené během procesu, pokud nějaké existují.
TIP #8 – Upravte pravidla barvení
Nyní jsem si jistý, že jste si již všimli, že každý řádek v okně zachycení je barevný. Ve výchozím nastavení se provoz HTTP zobrazuje na zeleném pozadí s černým textem, zatímco chyby kontrolního součtu jsou zobrazeny červeným textem s černým pozadím.
Chcete-li tato nastavení změnit, klikněte na ikonu Upravit pravidla barvení, vyberte daný filtr a klikněte na tlačítko Upravit.
TIP #9 – Uložte snímek do souboru
Uložení obsahu zachycení nám umožní prohlédnout si jej s většími detaily. Chcete-li to provést, přejděte na Soubor → Exportovat a ze seznamu vyberte formát exportu:
TIP #10 – Cvičte se zachycenými vzorky
Pokud si myslíte, že je vaše síť „nudná“, Wireshark poskytuje řadu ukázkových souborů, které můžete použít k procvičování a učení. Tyto SampleCaptures si můžete stáhnout a importovat pomocí nabídky Soubor → Import.
souhrn
Wireshark je bezplatný software s otevřeným zdrojovým kódem, jak můžete vidět v sekci Nejčastější dotazy na oficiálních stránkách. Filtr zachycení můžete nakonfigurovat buď před zahájením kontroly, nebo po něm.
V případě, že jste si toho nevšimli, má filtr funkci automatického doplňování, která vám umožní snadno vyhledat nejpoužívanější možnosti, které si můžete později upravit. S tím je nebe limitem!
Jako vždy, pokud máte nějaké dotazy nebo připomínky k tomuto článku, neváhejte a napište nám pomocí níže uvedeného formuláře pro komentáře.