Vyhledávání na webu

10 tipů, jak používat Wireshark k analýze síťových paketů

V jakékoli síti s přepínáním paketů představují pakety jednotky dat, které jsou přenášeny mezi počítači. Je odpovědností síťových inženýrů a systémových administrátorů monitorovat a kontrolovat pakety pro účely zabezpečení a odstraňování problémů.

K tomu se spoléhají na softwarové programy zvané síťové paketové analyzátory, přičemž Wireshark je možná nejoblíbenější a nejpoužívanější díky své všestrannosti a snadnému použití. Kromě toho vám Wireshark umožňuje nejen sledovat provoz v reálném čase, ale také jej ukládat do souboru pro pozdější kontrolu.

Související informace: Nejlepší nástroje pro sledování šířky pásma Linuxu k analýze využití sítě

V tomto článku se podělíme o 10 tipů, jak používat Wireshark k analýze paketů ve vaší síti, a doufáme, že až se dostanete do sekce Souhrn, budete mít chuť si ji přidat do záložek.

Instalace Wireshark v Linuxu

Chcete-li nainstalovat Wireshark, vyberte správný instalační program pro váš operační systém/architekturu z https://www.wireshark.org/download.html.

Zejména pokud používáte Linux, Wireshark musí být k dispozici přímo z úložišť vaší distribuce, aby byla instalace snadnější. Ačkoli se verze mohou lišit, možnosti a nabídky by měly být podobné – ne-li stejné v každé z nich.

------------ On Debian/Ubuntu based Distros ------------ 
sudo apt-get install wireshark

------------ On CentOS/RHEL based Distros ------------
sudo yum install wireshark

------------ On Fedora 22+ Releases ------------
sudo dnf install wireshark

V Debianu a jeho derivátech je známá chyba, která může zabránit vypsání síťových rozhraní, pokud ke spuštění Wireshark nepoužijete sudo. Chcete-li to opravit, postupujte podle přijaté odpovědi v tomto příspěvku.

Jakmile je Wireshark spuštěn, můžete v části Zachytit vybrat síťové rozhraní, které chcete sledovat:

V tomto článku budeme používat eth0, ale pokud chcete, můžete si vybrat jiný. Na rozhraní ještě neklikejte – uděláme tak později, jakmile zkontrolujeme několik možností zachycení.

Nastavení možností snímání

Nejužitečnější možnosti zachycení, které zvážíme, jsou:

  1. Síťové rozhraní – Jak jsme vysvětlili dříve, budeme analyzovat pouze pakety přicházející přes eth0, ať už příchozí nebo odchozí.
  2. Filtr zachycení – Tato možnost nám umožňuje určit, jaký druh provozu chceme monitorovat, podle portu, protokolu nebo typu.

Než budeme pokračovat s tipy, je důležité poznamenat, že některé organizace zakazují používání Wireshark ve svých sítích. To znamená, že pokud nepoužíváte Wireshark pro osobní účely, ujistěte se, že vaše organizace jeho použití umožňuje.

Prozatím stačí vybrat eth0 z rozevíracího seznamu a kliknout na tlačítko Start. Začnete vidět veškerý provoz procházející tímto rozhraním. Není to opravdu užitečné pro účely monitorování kvůli vysokému počtu kontrolovaných paketů, ale je to začátek.

Na obrázku výše také vidíme ikony pro seznam dostupných rozhraní, pro zastavení aktuálního záznamu a pro jeho restartování (červená vlevo) a konfigurovat a upravovat filtr (červené pole vpravo). Když na některou z těchto ikon umístíte ukazatel myši, zobrazí se nápověda, která ukazuje, co dělá.

Začneme tím, že si ukážeme možnosti snímání, zatímco tipy #7#10 budou diskutovat o tom, jak se snímáním skutečně udělat něco užitečného.

TIP #1 – Zkontrolujte HTTP provoz

Do pole filtru zadejte http a klikněte na Použít. Spusťte prohlížeč a přejděte na libovolnou stránku:

Chcete-li zahájit každý následující tip, zastavte živý záznam a upravte filtr záznamu.

TIP #2 – Zkontrolujte HTTP provoz z dané IP adresy

V tomto konkrétním tipu přidáme před stanzu filtru ip==192.168.0.10&&, abychom mohli monitorovat provoz HTTP mezi místním počítačem a 192.168.0.10:

TIP #3 – Zkontrolujte HTTP provoz na danou IP adresu

Úzce souvisí s #2, v tomto případě použijeme ip.dst jako součást filtru zachycení takto:

ip.dst==192.168.0.10&&http

Chcete-li zkombinovat tipy #2 a #3, můžete v pravidle filtru použít ip.addr namísto ip.src nebo ip.dst.

TIP #4 – Sledujte síťový provoz Apache a MySQL

Někdy budete mít zájem o kontrolu provozu, který odpovídá jedné (nebo oběma) podmínkám. Chcete-li například sledovat provoz na portech TCP 80 (webový server) a 3306 (databázový server MySQL/MariaDB), můžete použít podmínku OR ve filtru zachycení:

tcp.port==80||tcp.port==3306

V tipech #2 a #3 poskytují || a slovo nebo stejné výsledky. Totéž s && a slovem and.

TIP #5 – Odmítněte pakety na danou IP adresu

Chcete-li vyloučit pakety, které neodpovídají pravidlu filtru, použijte ! a uzavřete pravidlo do závorek. Chcete-li například vyloučit balíčky pocházející nebo směrované na danou IP adresu, můžete použít:

!(ip.addr == 192.168.0.10)

TIP #6 – Sledujte provoz v místní síti (192.168.0.0/24)

Následující pravidlo filtru zobrazí pouze místní provoz a vyloučí pakety směřující a přicházející z Internetu:

ip.src==192.168.0.0/24 and ip.dst==192.168.0.0/24

TIP #7 – Sledujte obsah konverzace TCP

Chcete-li zkontrolovat obsah konverzace TCP (výměna dat), klikněte pravým tlačítkem myši na daný paket a vyberte možnost Sledovat stream TCP. Zobrazí se okno s obsahem konverzace.

To bude zahrnovat záhlaví HTTP, pokud kontrolujeme webový provoz, a také jakékoli pověření ve formátu prostého textu přenesené během procesu, pokud nějaké existují.

TIP #8 – Upravte pravidla barvení

Nyní jsem si jistý, že jste si již všimli, že každý řádek v okně zachycení je barevný. Ve výchozím nastavení se provoz HTTP zobrazuje na zeleném pozadí s černým textem, zatímco chyby kontrolního součtu jsou zobrazeny červeným textem s černým pozadím.

Chcete-li tato nastavení změnit, klikněte na ikonu Upravit pravidla barvení, vyberte daný filtr a klikněte na tlačítko Upravit.

TIP #9 – Uložte snímek do souboru

Uložení obsahu zachycení nám umožní prohlédnout si jej s většími detaily. Chcete-li to provést, přejděte na Soubor → Exportovat a ze seznamu vyberte formát exportu:

TIP #10 – Cvičte se zachycenými vzorky

Pokud si myslíte, že je vaše síť „nudná“, Wireshark poskytuje řadu ukázkových souborů, které můžete použít k procvičování a učení. Tyto SampleCaptures si můžete stáhnout a importovat pomocí nabídky Soubor → Import.

souhrn

Wireshark je bezplatný software s otevřeným zdrojovým kódem, jak můžete vidět v sekci Nejčastější dotazy na oficiálních stránkách. Filtr zachycení můžete nakonfigurovat buď před zahájením kontroly, nebo po něm.

V případě, že jste si toho nevšimli, má filtr funkci automatického doplňování, která vám umožní snadno vyhledat nejpoužívanější možnosti, které si můžete později upravit. S tím je nebe limitem!

Jako vždy, pokud máte nějaké dotazy nebo připomínky k tomuto článku, neváhejte a napište nám pomocí níže uvedeného formuláře pro komentáře.