Inhaltsverzeichnis
Wireshark, ein Echtzeit-Netzwerkanalyse-Tool, erfasst Pakete und Protokolle in Echtzeit und zeigt sie in grafischer und aufgelisteter Form an.Wireshark ist ein Analysator von Paketen, die in einem Netzwerk zirkulieren. Diese Software kann unter Linux, Windows, OS X, Solaris ausgeführt werden.
Wir können die Software von der offiziellen Wireshark-Seite herunterladen, wenn wir sie unter Linux installieren möchten, ist sie bereits in den Repositorys enthalten.
Da Windows wie jedes Programm installiert wird, werden wir in diesem Tutorial für Linux installieren, aus dem Terminalfenster schreiben wir die folgenden Befehle:
sudo apt-get install WiresharkWenn Sie es auf einem Server installieren und die Software in Textform verwalten möchten, haben wir die Möglichkeit, es im Textmodus zu installieren und die Software heißt Tshark. Um es von einem Terminalfenster aus zu installieren, schreiben wir die folgenden Befehle:
sudo apt-get install tsharkAls nächstes müssen wir Wireshark mit Administratorrechten ausführen, da es Berechtigungen für den Zugriff auf das Netzwerk und die Überwachung der von uns angegebenen Pakete benötigt. In unserem Fall verwenden wir zum Starten entweder über das Menü oder über das Terminal den folgenden Befehl:
gksudo WiresharkDies fragt uns nach dem Benutzernamen und dem Passwort für den Zugriff im Administrator- oder Root-Modus.
Wenn wir starten, sehen wir eine Liste der Schnittstellen, die die verfügbaren Netzwerke sind. Im Beispiel haben wir ein WLAN-Netzwerk wlan0 und ein Ethernet eth0. Dort können wir auswählen, welches Netzwerk oder welche Schnittstellen wir analysieren möchten.
Unter der Liste der Schnittstellen haben wir Capture-Optionen oder Capture-Optionen. Zu den Optionen gehören Analysen im promiskuitiven Modus und im Erfassungsmodus usw.Innerhalb der Erfassungsoptionen können wir konfigurieren, welche Protokolle und Dienste überwacht werden sollen, um zu sehen, welche Prozesse und Plattformen Daten im Netzwerk empfangen und senden.
Erstellen Sie einen Tracking-Filter
In der Leiste Filter können wir die Art der Überwachung konfigurieren, die wir durchführen möchten, zum Beispiel wählen wir eth0 in der Liste der Schnittstellen aus und drücken Start, ein Fenster öffnet sich und wir sehen, wie die Software alle Pakete erfasst, z Benutzer gibt es viele. Die Software erfasst viele Protokolle, einschließlich Systemprotokolle, dh interne Nachrichten von Geräten und Betriebssystemen.
Zum Beispiel drücken wir Filter und wählen dann HTTP aus, sodass wir den Datenverkehr nur aus dem HTTP-Protokoll filtern, d. h., Webseiten-Abfragen über Port 80.
Wir öffnen den Browser und Google die Website Solvetic.com, Wireshark zeigt uns die http- und tcp-Daten, die erzeugt werden, um die Verbindung herzustellen, wie wir sehen, dass die TCP- und http-Protokolle für die Suche verwendet werden und dann das Web anzeigen.
Hier sehen wir die gestellten Anfragen. Innerhalb des http-Filters können wir verschiedene Protokolloptionen wie Anfragen, Antworten usw. sehen. Durch die Anwendung des http.request-Filters ist es möglich, alle mit GET und POST empfangenen Anfragen und Antworten zu erhalten, die im Browser oder auf allen Computern im Netzwerk ausgeführt werden, indem wir die Anfragen analysieren, um mögliche bösartige Aktivitäten zu erkennen.
Als nächstes werden wir die erfassten Daten analysieren. Wenn wir auf jedes erfasste Element klicken, sehen wir Informationen über das Datenpaket, das Frame-Feld, das die Größe des erfassten Pakets angibt, die Zeit, die es dauerte, wann es gesendet wurde und durch welche Schnittstellen.
Das Feld Ethernet II gehört zu den Daten, die in der Sicherungsschicht generiert werden, wenn wir das OSI-Modell, hier haben wir den Ursprung und das Ziel, die IPs, die Mac-Adressen und den verwendeten Protokolltyp.
Das Feld Internet Protocol zeigt uns das IP-Datagramm mit den IP-Adressen, das Feld Transmission Control Protocol oder TPC ist derjenige, der das TCP / IP-Übertragungsprotokoll vervollständigt. Dann haben wir die HTTP-Header, in denen wir die gerenderten Daten aus der Webkommunikation erhalten.
Wir sehen ein Beispiel, in dem wir so konfigurieren, dass alle Netzwerke und Verbindungen erfasst werden, wenn die Liste angezeigt wird, die wir filtern und nach Popverbindungen suchen, dh nach eingehender E-Mail.
Wir sehen, dass die POP-Verbindungen alle zu einer IP führen, dh zu einem VPS, wo sich die E-Mail-Konten befinden, also kommuniziert es dort.
Wenn wir einige E-Mails senden und dann nach dem SMTP-Protokoll filtern, sehen wir alle vom Server oder jedem Computer im Netzwerk gesendeten Nachrichten mit ihrer jeweiligen IP-Adresse, von der aus sie gesendet wurde und wohin sie gesendet wurde. Wir können immer das Web http verwenden: //www.tcpiputils.com, um die Daten einer bestimmten IP zu ermitteln.
Ein weiterer Filter, den wir anwenden können, ist der DNS-Filter, um zu sehen, welche DNS konsultiert werden, die Datenverkehr generieren.
In diesem Fall haben wir mehrere Suchen durchgeführt und können das DNS von Google, das von Google Maps, Google Fonts, addons.mozilla und ein DNS eines Facebook-Chats sehen. Wir werden die IP überprüfen.
Wir stellen fest, dass ein Computer in unserem Netzwerk mit dem Facebook-Chat verbunden ist und wissen genau, zu welcher Uhrzeit die Verbindung hergestellt wurde.
Als nächstes werden wir die Anfragen an einen Mysql-Server verfolgen. Netzwerkadministratoren haben normalerweise kein Protokoll der Abfragen, die an eine Datenbank gestellt werden, aber mit Wireshark können Sie alle Abfragen verfolgen und dieses Protokoll speichern und eine Liste als Abfrageprotokoll anzeigen. Um mysql-Pakete zu filtern, müssen wir den Mysql-Filter oder mysql.query verwenden, wenn wir nur die SELECTs oder eine bestimmte Anweisung sehen möchten.
Wir werden versuchen, einige Abfragen an den lokalen Datenbankserver zu senden und die kostenlose und Open Source-Testdatenbank Sakila zu verwenden, eine Datenbank, die wir in den MySQL-Tutorial-Kombinationen mit Inner Join verwendet haben.
Wir führen eine SQL-Abfrage durch und Wireshark zeichnet jede Abfrage auf, die Quell-IP der Abfrage, die Ziel-IP, die SQL-Abfrage, den angemeldeten Benutzer.
Auch wenn wir eines der Pakete sehen, sagt es uns, dass mit einer Software namens . darauf zugegriffen wurde Heidisql.exe und es ist ein unsicheres oder verdächtiges Programm.
Obwohl es mit dieser Software möglich ist, entfernte Datenbanken zu verwalten, wird dies nicht empfohlen, da es erforderlich wäre, externe Verbindungen zum Server zuzulassen.
Filter Wireshark Es gibt viele und decken alle Protokolle eines Netzwerks und auch die beliebtesten Website-Protokolle ab.
Da Pakete abgefangen werden, können wir analysieren, was mit dem Netzwerkverkehr passiert. Wir müssen nur auf das Paket klicken, das wir analysieren möchten, um uns die Daten anzuzeigen.
Wenn wir einen HTTP-Filter auf ein POST-Paket anwenden und auf die rechte Schaltfläche dieses Pakets klicken und dann im Dropdown-Menü die Option Follow TCP Stream oder Follow TCP Flow auswählen, bedeutet dies, dass alles angezeigt wird, was beim Erstellen eines Webs produziert wird Anfrage an den Server.
Als Ergebnis erhalten wir alle Code- und HTML-Transaktionen, die in der Anfrage ausgeführt werden. Wenn der Benutzer ein Passwort für den Zugriff auf eine Website eingibt, können wir auf diese Weise das Passwort und den von mir verwendeten Benutzer sehen.
In Anbetracht der Tatsache, dass Wireshark eine große Anzahl von Protokollen und Diensten in einem Netzwerk und alle ein- und ausgehenden Pakete überwacht, könnte das Risiko eines Fehlers im Analysecode die Sicherheit des Netzwerks gefährden, wenn wir nicht wissen, was es ist passiert mit jedem Paket, daher ist es wichtig zu wissen, wie wir die Informationen, die Wireshark uns gibt, richtig interpretieren.Hat dir dieses Tutorial gefallen und geholfen?Sie können den Autor belohnen, indem Sie diesen Knopf drücken, um ihm einen positiven Punkt zu geben