Sådan bruges Wireshark, den bedste pakkeanalysator

Wireshark er den bedste netværkstrafikanalysator og pakkesniffer rundt. I denne artikel vil vi se nærmere på det.

Wireshark er en netværksanalysator, der lader dig se, hvad der sker på dit netværk. Det giver dig mulighed for at dissekere dine netværkspakker på et mikroskopisk niveau, hvilket giver dig detaljerede oplysninger om individuelle pakker.

Wireshark blev først udgivet i 1998 (og blev kaldt Ethereal dengang). Det kan køre på alle større operativsystemer. De fleste virksomheder og offentlige organisationer foretrækker nu Wireshark som deres standardnetværksanalysator.

Wireshark er også helt open source takket være samfundet af netværksingeniører rundt om i verden. Mens de fleste sikkerhedsværktøjer er CLI-baserede, leveres Wireshark med en fantastisk brugergrænseflade.

OSI-model

Jeg antager, at du er ny inden for netværk, så vi vil gennemgå nogle grundlæggende i OSI-modellen. Dette er vigtigt for at forstå kernefunktionerne i Wireshark.

OSI-modellen (Open Systems Interconnection) standardiserer den måde, hvorpå to eller flere enheder forbinder hinanden. OSI-modellen segmenterer netværksarkitektur i 7 lag: Applikation, Præsentation, Session, Transport, Netværk, Datalink og Fysisk.

Her er hvad hvert lag gør:

  • Fysisk lag - Ansvarlig for den faktiske fysiske forbindelse mellem enheder. Data overføres i form af bits .
  • Data Link Layer - Sørger for, at dataene er fejlfri. Data overføres i rammer .
  • Netværkslag - tager sig af at finde den bedste (og hurtigste) måde at sende dataene på. Afsender- og modtagerens IP-adresser føjes til overskriften på dette lag.
  • Transportlag - Fungerer som en bro mellem netværket og sessionslaget. Bruger protokoller som TCP og UDP til at sende og modtage data. Data i dette lag kaldes et segment .
  • Session Layer - Opretter og vedligeholder en session mellem enheder.
  • Præsentationslag - Data fra segmenter konverteres til et mere menneskeligt venligt format her. Plejer kryptering og dekryptering.
  • Application Layer - Det lag, der interagerer med brugeren. Hvis du bruger en browser, er den på applikationslaget.

Nedenstående diagram skal hjælpe dig med at forstå, hvordan disse komponenter fungerer sammen.

Hvis du er interesseret i at lære mere om OSI-modellen, her er en detaljeret artikel til dig.

Pakker

Nu hvor du har en solid forståelse af OSI-modellen, lad os se på netværkspakker. Når data overføres fra en computer til en anden, består datastrømmen af ​​mindre enheder kaldet pakker.

Når du downloader en fil fra internettet, sendes dataene fra serveren som pakker. Disse pakker samles igen af ​​din computer for at give dig den originale fil.

En pakke kan indeholde følgende data:

  • kilde og destinations-IP-adresser
  • protokol
  • kilde- og destinationsporte
  • data
  • længde, flag, TTL osv

Hver pakke indeholder værdifuld information om de enheder, der er involveret i en pakkeoverførsel. Hver dataoverførsel involverer tusinder eller endog millioner af disse datapakker, der sendes mellem kilden og destinationsenhederne.

Nu kan du forstå vigtigheden af ​​Wireshark. Wireshark lader dig fange hver af disse pakker og inspicere dem for data.

Wireshark, til en netværksingeniør, ligner et mikroskop for en biolog. Wireshark lader dig 'lytte' til et live netværk (efter du har oprettet en forbindelse til det) og fange og inspicere pakker i farten.

Som netværksingeniør eller etisk hacker kan du bruge Wireshark til at debugge og sikre dine netværk. Som en ondsindet hacker (som jeg ikke kan anbefale) kan du "snuse" pakker i netværket og fange oplysninger som kreditkorttransaktioner.

Derfor er det uklogt at oprette forbindelse til et offentligt netværk som Starbucks og udføre finansielle transaktioner eller få adgang til private data. Selvom websteder med HTTPS kan kryptere dine pakker, er det stadig synligt over netværket. Hvis nogen virkelig vil knække det, kan de.

Grundlæggende om Wireshark

Lad os nu se på, hvordan du kan lege med Wireshark. Download og installer Wireshark herfra.

Wireshark har en fantastisk GUI, i modsætning til de fleste værktøjer til penetrationstest. Sådan ser Wireshark ud, når du indlæser den.

Wireshark viser de netværk, du har forbindelse til, og du kan vælge et af dem og begynde at lytte til netværket.

Der er tre ruder i Wireshark.

Rude til pakkeliste

Denne rude viser de fangede pakker. Hver linje repræsenterer en individuel pakke, som du kan klikke på og analysere i detaljer ved hjælp af de to andre ruder.

Pakke med detaljer om pakken

Du kan vælge en pakke og derefter se pakkeoplysningerne mere detaljeret ved hjælp af ruden Pakkedetaljer. Det viser oplysninger såsom IP-adresser, porte og anden information indeholdt i pakken.

Rude til pakkebytes

Denne rude giver rådataene for den valgte pakke i byte. Dataene vises som en hex-dump, som viser binære data i hexadecimal.

Filtre

Wireshark har filtre, der hjælper dig med at indsnævre den type data, du leder efter. Der er to hovedtyper af filtre: Capture filter og Display filter.

Capture Filter

Du kan indstille et opsamlingsfilter, før du begynder at analysere et netværk. Når du indstiller et opsamlingsfilter, opfanger det kun de pakker, der matcher indfangningsfiltret.

For eksempel, hvis du kun behøver at lytte til de pakker, der sendes og modtages fra en IP-adresse, kan du indstille et opsamlingsfilter som følger:

host 192.168.0.1

Når du har indstillet et opsamlingsfilter, kan du ikke ændre det, før den aktuelle indfangningssession er afsluttet.

Vis filtre

Displayfiltre anvendes til at fange pakker. For eksempel, hvis du kun vil vise de anmodninger, der stammer fra en bestemt ip, kan du anvende et skærmfilter som følger:

ip.src==192.168.0.1

Da skærmfiltre anvendes på fangede data, kan de ændres med det samme.

Kort sagt giver capture-filtre dig mulighed for at filtrere trafikken, mens displayfiltre anvender disse filtre på de fangede pakker. Da Wireshark kan fange hundredvis af pakker på et travlt netværk, er disse nyttige under debugging.

Kerneegenskaber i Wireshark

Nu hvor du har et godt kendskab til Wireshark-basics, lad os se på nogle kernefunktioner. Med Wireshark kan du:

  • Identificer sikkerhedstrusler og ondsindet aktivitet på et netværk
  • Overhold netværkstrafik for fejlretning af komplekse netværk
  • Filtrer trafik baseret på protokoller, porte og andre parametre
  • Indfang pakker, og gem dem i en Pcap-fil til offline analyse
  • Anvend farveregler på pakkelisten for bedre analyse
  • Eksporter fangede data til XML-, CSV- eller almindelig tekstfil.

Konklusion

Wireshark rangeres altid blandt de top 10 netværkssikkerhedsværktøjer hvert år. Med sin enkle, men alligevel kraftfulde brugergrænseflade er Wireshark let at lære og arbejde med. Det er et værdifuldt aktiv i hver penetrationstesters værktøjssæt.

Håber, at denne artikel hjalp dig med at få et solidt greb om Wireshark. Jeg skrev for nylig en artikel om de 10 bedste værktøjer, du bør kende som cybersikkerhedsingeniør. Tjek det, hvis du er interesseret i cybersikkerhed.

Jeg skriver regelmæssigt om maskinlæring, cybersikkerhed og DevOps. Du kan tilmelde dig mit ugentlige nyhedsbrev her.