Inhaltsverzeichnis
Wireshark, ein Echtzeit-Netzwerkanalyse-Tool, erfasst Pakete und Protokolle in Echtzeit und zeigt sie in grafischer und aufgelisteter Form an.Wireshark ist ein Analysator von Paketen, die in einem Netzwerk zirkulieren. Diese Software kann unter Linux, Windows, OS X, Solaris ausgeführt werden.
Wir können die Software von der offiziellen Wireshark-Seite herunterladen, wenn wir sie unter Linux installieren möchten, ist sie bereits in den Repositorys enthalten.
sudo apt-get install WiresharkWenn Sie es auf einem Server installieren und die Software in Textform verwalten möchten, haben wir die Möglichkeit, es im Textmodus zu installieren und die Software heißt Tshark. Um es von einem Terminalfenster aus zu installieren, schreiben wir die folgenden Befehle:
sudo apt-get install tsharkAls nächstes müssen wir Wireshark mit Administratorrechten ausführen, da es Berechtigungen für den Zugriff auf das Netzwerk und die Überwachung der von uns angegebenen Pakete benötigt. In unserem Fall verwenden wir zum Starten entweder über das Menü oder über das Terminal den folgenden Befehl:
gksudo WiresharkDies fragt uns nach dem Benutzernamen und dem Passwort für den Zugriff im Administrator- oder Root-Modus.
Wenn wir starten, sehen wir eine Liste der Schnittstellen, die die verfügbaren Netzwerke sind. Im Beispiel haben wir ein WLAN-Netzwerk wlan0 und ein Ethernet eth0. Dort können wir auswählen, welches Netzwerk oder welche Schnittstellen wir analysieren möchten.
Unter der Liste der Schnittstellen haben wir Capture-Optionen oder Capture-Optionen. Zu den Optionen gehören Analysen im promiskuitiven Modus und im Erfassungsmodus usw.Innerhalb der Erfassungsoptionen können wir konfigurieren, welche Protokolle und Dienste überwacht werden sollen, um zu sehen, welche Prozesse und Plattformen Daten im Netzwerk empfangen und senden.
Erstellen Sie einen Tracking-Filter
In der Leiste Filter können wir die Art der Überwachung konfigurieren, die wir durchführen möchten, zum Beispiel wählen wir eth0 in der Liste der Schnittstellen aus und drücken Start, ein Fenster öffnet sich und wir sehen, wie die Software alle Pakete erfasst, z Benutzer gibt es viele. Die Software erfasst viele Protokolle, einschließlich Systemprotokolle, dh interne Nachrichten von Geräten und Betriebssystemen.
Zum Beispiel drücken wir Filter und wählen dann HTTP aus, sodass wir den Datenverkehr nur aus dem HTTP-Protokoll filtern, d. h., Webseiten-Abfragen über Port 80.
Wir öffnen den Browser und Google die Website Solvetic.com, Wireshark zeigt uns die http- und tcp-Daten, die erzeugt werden, um die Verbindung herzustellen, wie wir sehen, dass die TCP- und http-Protokolle für die Suche verwendet werden und dann das Web anzeigen.
Als nächstes werden wir die erfassten Daten analysieren. Wenn wir auf jedes erfasste Element klicken, sehen wir Informationen über das Datenpaket, das Frame-Feld, das die Größe des erfassten Pakets angibt, die Zeit, die es dauerte, wann es gesendet wurde und durch welche Schnittstellen.
Das Feld Ethernet II gehört zu den Daten, die in der Sicherungsschicht generiert werden, wenn wir das OSI-Modell, hier haben wir den Ursprung und das Ziel, die IPs, die Mac-Adressen und den verwendeten Protokolltyp.
Das Feld Internet Protocol zeigt uns das IP-Datagramm mit den IP-Adressen, das Feld Transmission Control Protocol oder TPC ist derjenige, der das TCP / IP-Übertragungsprotokoll vervollständigt. Dann haben wir die HTTP-Header, in denen wir die gerenderten Daten aus der Webkommunikation erhalten.
Wir sehen ein Beispiel, in dem wir so konfigurieren, dass alle Netzwerke und Verbindungen erfasst werden, wenn die Liste angezeigt wird, die wir filtern und nach Popverbindungen suchen, dh nach eingehender E-Mail.
Wenn wir einige E-Mails senden und dann nach dem SMTP-Protokoll filtern, sehen wir alle vom Server oder jedem Computer im Netzwerk gesendeten Nachrichten mit ihrer jeweiligen IP-Adresse, von der aus sie gesendet wurde und wohin sie gesendet wurde. Wir können immer das Web http verwenden: //www.tcpiputils.com, um die Daten einer bestimmten IP zu ermitteln.
Ein weiterer Filter, den wir anwenden können, ist der DNS-Filter, um zu sehen, welche DNS konsultiert werden, die Datenverkehr generieren.
Als nächstes werden wir die Anfragen an einen Mysql-Server verfolgen. Netzwerkadministratoren haben normalerweise kein Protokoll der Abfragen, die an eine Datenbank gestellt werden, aber mit Wireshark können Sie alle Abfragen verfolgen und dieses Protokoll speichern und eine Liste als Abfrageprotokoll anzeigen. Um mysql-Pakete zu filtern, müssen wir den Mysql-Filter oder mysql.query verwenden, wenn wir nur die SELECTs oder eine bestimmte Anweisung sehen möchten.
Wir werden versuchen, einige Abfragen an den lokalen Datenbankserver zu senden und die kostenlose und Open Source-Testdatenbank Sakila zu verwenden, eine Datenbank, die wir in den MySQL-Tutorial-Kombinationen mit Inner Join verwendet haben.
Wir führen eine SQL-Abfrage durch und Wireshark zeichnet jede Abfrage auf, die Quell-IP der Abfrage, die Ziel-IP, die SQL-Abfrage, den angemeldeten Benutzer.
Obwohl es mit dieser Software möglich ist, entfernte Datenbanken zu verwalten, wird dies nicht empfohlen, da es erforderlich wäre, externe Verbindungen zum Server zuzulassen.
Da Pakete abgefangen werden, können wir analysieren, was mit dem Netzwerkverkehr passiert. Wir müssen nur auf das Paket klicken, das wir analysieren möchten, um uns die Daten anzuzeigen.
Wenn wir einen HTTP-Filter auf ein POST-Paket anwenden und auf die rechte Schaltfläche dieses Pakets klicken und dann im Dropdown-Menü die Option Follow TCP Stream oder Follow TCP Flow auswählen, bedeutet dies, dass alles angezeigt wird, was beim Erstellen eines Webs produziert wird Anfrage an den Server.
Als Ergebnis erhalten wir alle Code- und HTML-Transaktionen, die in der Anfrage ausgeführt werden. Wenn der Benutzer ein Passwort für den Zugriff auf eine Website eingibt, können wir auf diese Weise das Passwort und den von mir verwendeten Benutzer sehen.
