Capturați și analizați traficul de rețea cu Wireshark

Wireshark, un instrument de analiză a rețelei în timp real, captează pachete și protocoale în timp real și le afișează în format grafic și listat.
Wireshark este un analizor de pachete care circulă pe o rețea, acest software poate fi rulat pe Linux, Windows, OS X, Solaris.
Putem descărca software-ul de pe pagina oficială Wireshark, dacă dorim să-l instalăm pe Linux, acesta vine deja în depozite.

Deoarece Windows este instalat ca orice program, în acest tutorial îl vom instala pentru Linux, din fereastra terminalului vom scrie următoarele comenzi:
 sudo apt-get install wireshark
Dacă doriți să îl instalați pe un server și să gestionați software-ul în formă text, avem opțiunea de a-l instala în modul text și software-ul se numește Tshark. Pentru a-l instala dintr-o fereastră terminal scriem următoarele comenzi:
 sudo apt-get install tshark
În continuare va trebui să executăm Wireshark cu privilegii de administrator, deoarece va trebui să aibă permisiuni pentru a accesa rețeaua și pentru a putea monitoriza pachetele pe care le indicăm. În cazul nostru, pentru a porni fie din meniu, fie de la terminal, vom folosi următoarea comandă:
 gksudo wireshark
Aceasta ne va cere numele de utilizator și parola pentru a le accesa în modul administrator sau root.

Când începem, putem vedea o listă de interfețe care sunt rețelele disponibile, în exemplu avem o rețea wifi wlan0 și o ethernet Ethernet0, acolo putem selecta ce rețea sau interfețe dorim să analizăm.

Sub lista de interfețe avem Opțiuni de captură sau Opțiuni de captură. Opțiunile includ analiza în modul promiscuu și modul de captare etc.
În cadrul opțiunilor de captare putem configura ce protocoale și servicii să monitorizeze pentru a vedea ce procese și platforme primesc și trimit date în rețea.

Creați un filtru de urmărire


În bara Filtre putem configura tipul de monitorizare pe care dorim să îl realizăm, de exemplu, selectăm eth0 în lista de interfețe și apăsăm Start, se va deschide o fereastră și vom vedea cum software-ul captează toate pachetele, pentru un utilizator sunt multe. Software-ul captează multe protocoale, inclusiv cele de sistem, adică mesaje interne de pe dispozitive și sisteme de operare.
De exemplu, apăsăm Filtru și apoi selectăm HTTP, deci filtrăm traficul numai din protocolul http, adică interogări de pagini web prin portul 80.
Deschidem browserul și Google site-ul web Solvetic.com, Wireshark ne va arăta datele http și tcp care sunt produse pentru a face conexiunea în timp ce vedem că protocoalele tcp și http sunt utilizate pentru căutare și apoi afișăm pe web.

Aici putem vedea solicitările făcute. În filtrul http putem vedea diferite opțiuni de protocol, cum ar fi cereri, răspunsuri etc. Prin aplicarea filtrului http.request este posibil să se obțină toate cererile și răspunsurile primite cu GET și POST care sunt efectuate în browser sau în toate computerele din rețea, analizând solicitările putem detecta posibile activități dăunătoare.
În continuare vom analiza datele capturate, când vom face clic pe fiecare element capturat vom vedea informații despre pachetul de date, câmpul Frame care identifică dimensiunea pachetului capturat, timpul necesar, când a fost trimis și prin care interfețe.
Câmpul Ethernet II aparține datelor care sunt generate în stratul de legătură de date dacă vedem Model OSI, aici avem originea și destinația, adresele IP, adresele Mac și tipul de protocol utilizat.
Câmpul Internet Protocol ne va arăta datagrama IP cu adresele IP, Protocolul de control al transmisiei sau câmpul TPC este cel care completează protocolul de transmisie TCP / IP. Apoi avem anteturile HTTP în care primim datele redate din comunicarea web.
Vom vedea un exemplu în care configurăm să capturăm toate rețelele și conexiunile, când afișăm lista pe care o filtrăm și căutăm conexiuni pop, adică poștă primită.

Vedem că conexiunile POP sunt toate către un IP care este către un VPS în care se află conturile de poștă electronică, deci comunică acolo.
Dacă trimitem câteva e-mailuri și apoi filtrăm după protocolul SMTP, vom vedea toate mesajele trimise de pe server sau de pe fiecare computer din rețea cu IP-ul respectiv de unde a fost trimis și de unde a fost trimis, putem folosi întotdeauna http-ul web: //www.tcpiputils. com, pentru a determina datele unui anumit IP.
Un alt filtru pe care îl putem aplica este filtrul DNS pentru a putea vedea ce DNS sunt consultate care generează trafic.

În acest caz am făcut mai multe căutări și putem vedea DNS-ul Google, cele ale hărților Google, fonturile Google, addons.mozilla și DNS-ul unui chat de Facebook, vom verifica IP-ul.

Detectăm că un computer din rețeaua noastră este conectat la chat-ul de pe Facebook și știm exact la ce oră a fost conectat.
În continuare vom urmări întrebările către un server Mysql. Administratorii de rețea nu au în mod normal un jurnal de interogări care sunt făcute într-o bază de date, dar folosind Wireshark puteți urmări toate interogările și puteți salva acest jurnal și puteți afișa o listă ca jurnal de interogări. Pentru a filtra pachetele mysql trebuie să folosim filtrul Mysql sau mysql.query dacă dorim să vedem doar SELECT-urile sau o anumită declarație.
Vom încerca să facem câteva întrebări către serverul de baze de date locale și folosind baza de date de testare Sakila, care este gratuită și open source, o bază de date pe care am folosit-o în combinațiile tutoriale MySQL cu Inner Join.
Realizăm o interogare SQL și Wireshark va înregistra fiecare interogare, IP-ul sursă al interogării, IP-ul de destinație, interogarea sql, utilizatorul care s-a conectat.

De asemenea, dacă vedem unul dintre pachete, ne spune că a fost accesat cu un software numit Heidisql.exe și este un program nesigur sau suspect.
Deși este posibil să gestionați baze de date la distanță cu acest software, nu este cel mai recomandat, deoarece ar fi necesar să permiteți conexiuni externe la server.

Filtre Wireshark Sunt multe și acoperă toate protocoalele unei rețele, precum și cele mai populare protocoale de site-uri web.
Deoarece pachetele sunt interceptate, putem analiza ce se întâmplă cu traficul de rețea, trebuie doar să facem clic pe pachetul pe care dorim să îl analizăm pentru a ne arăta datele.
Dacă aplicăm un filtru HTTP pe un pachet POST și facem clic pe butonul din dreapta pe respectivul pachet și apoi în meniul derulant selectăm opțiunea Urmărire flux TCP sau Urmărire flux TCP, aceasta înseamnă a vedea tot ceea ce este produs atunci când faci un web cerere către server.
Drept urmare, obținem toate tranzacțiile de cod și html care sunt efectuate în cerere, dacă utilizatorul introduce o parolă pentru a accesa un site web, prin această metodă putem vedea parola și utilizatorul pe care îl folosesc.

Având în vedere faptul că Wireshark monitorizează un număr mare de protocoale și servicii într-o rețea și toate pachetele care intră și ies, riscul unei erori în codul analizor ar putea pune în pericol securitatea rețelei dacă nu știm ce este care se întâmplă cu fiecare pachet, deci este important să știm cum să interpretăm corect informațiile pe care ni le oferă Wireshark.V-a plăcut și ați ajutat acest tutorial?Puteți recompensa autorul apăsând acest buton pentru a-i oferi un punct pozitiv
wave wave wave wave wave