De data aceasta vom vorbi despre unul dintre analizoare de rețea cele mai comune care există în acest moment, Wireshark Network Analyzer, care are peste 500.000 de descărcări pe lună și, prin urmare, își arată eficacitatea, încrederea și suportul atunci când analizează o infrastructură de rețea.
În cadrul Caracteristici Wireshark putem evidenția următoarele:
- Disponibil pentru sistemele Windows și Unix.
- Putem filtra pachetele conform criteriilor stabilite.
- Este posibil să capturați instantanee de pachete pe o interfață de rețea.
- Este posibil să importați pachete în format text.
- Putem căuta pachete folosind o serie de criterii.
- Vă permite să creați statistici, printre altele.
La rulați Wireshark în medii Windows avem nevoie de următoarele cerințe:
- 400 MB RAM
- Se execută pe orice versiune de Windows atât la nivel de server, cât și la nivel de desktop
- 300 MB spațiu pe hard disk
Pentru mediile UNIX, Wireshark poate lucra pe următoarele platforme:
- Debian
- Apple OS X
- FreeBSD
- Sun solaris
- Mandriva Linux, printre altele.
Înainte să începem cum funcționează Wireshark, să ne amintim câteva concepte despre rețea, deoarece toate acestea sunt scufundate în această lume. Să ne amintim că funcția principală a rețeaua este de a permite transferul de date între două sau mai multe dispozitive și toate acestea datorită unei lucrări comune între hardware și software.
Proiectarea unei rețele poate fi structurată în două moduri:
- Client server
- De la persoană la persoană
Wireshark a fost conceput pentru a afișa informațiile dvs. între straturile 2 până la 7 ale modelului OSI. Cu Wireshark vom putea efectua monitorizarea live a traficului de rețea al organizației noastre, permițându-ne să determinăm problemele, să efectuăm analize și alte câteva sarcini care să permită funcționarea corectă a mediului de rețea. Ca atare putem concluziona că Wireshark este un analizor de pachete.
Pentru acest studiu vom folosi un mediu Windows 7. După ce am descărcat Wireshark, continuăm instalarea după cum urmează:
1. Descărcați și instalați Wireshark
Software-ul Wireshark poate fi descărcat de pe următorul link:
Acolo vom găsi fișierele de descărcare compatibile pentru sisteme:
- Windows
- MAC
- Linux
Executăm fișierul pentru al instala și procesul va începe. Noi acceptam. Vom face clic pe buton Sunt de acord Pentru a accepta termenii licenței, odată ce acest lucru este făcut, trebuie să selectăm componentele pentru instalarea Wireshark.
Facem clic pe Următorul și putem alege dacă adăugăm sau nu pictogramele de comenzi rapide și, întâmplător, determinăm extensiile de fișiere asociate cu Wireshark. Atunci unde va fi instalat Wireshark. Apoi instrumentul ne spune dacă vrem sau nu să instalăm WinPcap (acest lucru este necesar pentru capturile de pachete live), selectăm caseta, implicit este, și facem clic pe Următorul.
Apoi putem alege dacă instalăm sau nu instrumentul USBPcap, este permite captarea traficului USB, cel mai indicat lucru este să îl instalați, marcăm caseta și facem clic pe Instalare pentru a porni procesul de instalare.
Odată terminat, vom avea deja aplicația Wireshark Network Analyzer instalată gata de plecare. Acum, în lnos, vom cunoaște utilizarea și curajul acestei aplicații grozave.
2. Cum se folosește Wireshark
Vom vedea că capturile de pachete pe care trebuie să le realizăm se bazează pe o conexiune locală, ar putea apărea alte tipuri de conexiuni, cum ar fi Wi Fi, Bluetooth etc. Făcând dublu clic pe interfața noastră vom vedea că este afișat tot traficul curent:
Dând clic pe pictogramă Putem edita toate opțiunile rețelei noastre, să vedem ce fereastră ne arată când apăsăm această pictogramă:
MARI
Putem vedea că avem adresa IP curentă a sistemului, dimensiunea bufferului etc. Pe filă Opțiuni Avem alternative pe care le putem selecta, cum ar fi actualizarea pachetelor în timp real, rezolvarea numelor de rețea, printre altele.
Odată ce am făcut modificările, vom apăsa Start. Trebuie remarcat faptul că în această opțiune configurăm cele mai importante caracteristici ale Wireshark, de exemplu activați modul promiscuu (activați toate pachetele) sau limita mărimii pachetului pentru capturare. Să aruncăm o privire puțin asupra mediului Wireshark.
În primul rând, înainte de a cunoaște puțin meniul, vedem următoarele:
Această linie este compusă din următoarele:
- Nr.: Identificați numărul intern al procesului.
- Timp: Timp de conexiune între origine și destinație
- Sursă: IP sursă
- Destinaţie: IP de destinație
- Protocol: Protocol utilizat pentru transfer
- Lungime: Dimensiunea ambalajului
- Informații: Informații suplimentare despre destinație
Dacă dorim să salvăm lucrarea curentă o putem face prin meniul Fișier, opțiunea Salvare sau Salvare ca. Pentru a deschide acest fișier vom folosi opțiunea Deschidere din meniul Fișier.
După cum vedem în analizor de pachete avem o mulțime de informații, de exemplu, dacă examinăm Coloana protocol Vom vedea că există protocoale ARP, HTTP, TCP printre altele, dacă vrem doar să vedem protocoalele TCP vom folosi filtrul, pentru aceasta introducem termenul TCP în casetă „Aplicați un filtru de afișare” situat în partea de sus și dăm Enter sau apăsăm butonul Aplică acest filtru, vom vedea că în coloana Protocol există doar Protocoale TCP.
MARI
MARI
Ne putem exporta datele în diferite tipuri de format pentru o analiză mai bună, acestea putând fi exportate în HTTP, SMB, TFTP etc. Pentru a efectua exportul vom merge la meniul Fișier și vom alege Exportați obiecte, vom alege opțiunea HTTP.
Acesta este rezultatul exportului nostru:
Să aruncăm o privire la diferitele opțiuni ale barei de meniu din Wireshark.
Fișier> Fișier
În cadrul acestui meniu găsim opțiuni de bază precum deschidere, salvare, export, imprimare, printre altele. Tocmai am observat procesul de export al unui fișier.
Editați> Editați
Din acest meniu putem executa sarcini precum copierea, găsirea pachetelor, stabilirea comentariilor etc. Vom analiza în detaliu unele dintre aceste opțiuni.
De exemplu, dacă vrem găsiți toate pachetele DNS în cadrul, vom deschide Găsiți opțiunea și vom introduce cuvântul DNS sau putem folosi combinația CTRL + F:
MARI
Putem vedea că toate pachetele DNS sunt evidențiate. Pentru a adăuga un comentariu vom folosi Opțiunea Pachet comentariu.
O vom vedea reflectată în meniul principal:
MARI
Vizualizare> Vizualizare
Din această opțiune putem defini tipurile de vizualizare pe care le va avea Wireshark-ul nostru, precum și defini formatul orei, dimensiunea coloanelor, regulile de culoare etc.
Putem rula Opțiunea Colorize Rules pentru a determina și dacă dorim să edităm culorile atribuite diferitelor protocoale.
Dacă doriți să creați un nou protocol, trebuie doar să faceți clic pe +, să definiți numele și culoarea și apăsați OK.
Captură> Captură
Cu această opțiune putem începe, opri sau reporni o captură de pachete
În Opțiunea Capture Filters putem defini parametrii capturii.
Analizați> Analiza
În cadrul acestui meniu putem creați filtre, editați filtre, activați sau dezactivați protocoale, printre alte sarcini.
Putem implementa Opțiunea Afișare filtre pentru a observa și, dacă este necesar, a modifica filtrele curente.
Dacă dorim să adăugăm mai multe filtre, apăsăm butonul +, dacă vrem să eliminăm un filtru, apăsăm butonul -. Putem analiza lista completă a tuturor protocoalelor activate folosind opțiunea Protocoale activate sau folosind combinația de taste:
Ctrl + Shift + E
MARI
Acolo observăm protocolul și descrierea acestuia.
Statistici> Statistici
Este probabil unul dintre cele mai complete meniuri, deoarece de acolo putem face rapoarte, grafice și alte utilități pentru a vedea starea pachetelor.
După cum putem vedea, avem mai multe alternative pentru a vedea statisticile sale, de exemplu, vom crea un grafic de intrare și ieșire Grafic I / O.
În grafic putem crea setări precum culoarea liniei, intervalul de frecvență, ziua specifică etc. Dacă selectăm opțiunea Capturați proprietățile fișierului Vom vedea proprietățile fișierelor de captură, cum ar fi dimensiunea lor, tipul de criptare, primul și ultimul pachet, printre alte detalii.
Dacă selectați opțiunea Statistici IPv4 iar noi alegem Toate adresele Vom vedea următorul raport detaliat:
Dacă vrem să vedem comportamentul Transmiterea TCP putem folosi opțiunea Grafice TCP Stream și selectați tipul de grafic, vom vedea următoarele:
În Tastați FastTab putem modifica tipul de grafic. Cu opțiune Ierarhia Protocolului Putem vedea în detaliu pachetele trimise, mărimea etc.
Telefonie> Telefonie
În această opțiune putem analiza tot ce ține de protocoalele asociate mijloacelor telefonice (Când folosim acest mijloc), putem vedea informații precum:
- Mesaje UCP
- Mesaje ISUP
- Statistici SIP etc.
Putem deschide oricare dintre aceste opțiuni, dar deoarece nu lucrăm cu protocoale telefonice, rezultatul va fi zero (0).
Fără fir
În cadrul acestui meniu găsim informații legate de Dispozitive wireless asociate cu Wireshark (de exemplu, atunci când lucrăm cu un laptop, mobil etc.)
Ca și în acest studiu, lucrăm mai mult cu rețeaua LAN (nu cu WiFi), toate opțiunile din acest meniu vor apărea ca zero sau goale.
Instrumente> Instrumente
În cadrul acestui meniu vom găsi tot ce ține de Aplicația LUA, aceasta este o consolă care permite dezvoltatorilor să creeze scripturi pentru a îmbunătăți sau extinde aplicațiile.
Ajutor> Ajutor
Din acest meniu putem accesa ajutorul Wireshark, vedem ecrane despre cum să îl rulăm, accesăm site-ul companiei, printre altele. Putem realiza asta cu opțiunea Despre Wireshark Putem vedea comenzile rapide de la tastatură incluse în acesta, acest lucru ne poate ajuta să accelerăm anumite procese.
De exemplu, atunci când folosim filtre trebuie să avem în vedere faptul că putem folosi unii parametri precum:
- Egal cu: ech sau ==
- Nu e la fel: ne sau! =
- Mai mare ca: gt sau>
- Mai mic ca: Este sau <
- Mai mare sau egal cu: ge sau> =
- Mai mic sau egal: el sau <=
Putem efectua o căutare utilizând următoarea sintaxă:
tcp conține „solvetic.com”În ceea ce privește protocoalele, putem menționa că următoarele sunt cele mai frecvente și cu unele dintre adăugirile lor:
- ssl > Protocol SSL (Socket Secure Layer).
- telnet > Telnet.
- dns > DNS. (Numele domeniului)
- msnms > Mesagerie instant (Messenger).
- ftp > Protocol FTP (am putut vedea numele de utilizator și parola).
- ftp-date > Permite vizualizarea datelor protocolului FTP.
- ip > Protocol IP.
- ip.src == 192.168.1.10 > Adresa IP sursă.
- ip.dst == 192.168.1.30 > Adresa IP de destinație.
- tcp > Protocol TCP
- tcp.port == 80 > Vă indicăm pachetele cu portul dorit.
- tcp.srcport == 80 > Vă indicăm portul de origine.
- tcp.dstport == 80 > Vă indicăm portul de destinație.
- http > Protocol HTTP
- http.host == ”www.solvetic.com” > Vrem să vedem pachetele care au Solvetic ca gazdă.
- http.date == "Miercuri, 25 mai 2016 17:08:35 GMT" > Pachete referitoare la o dată
- http.content_type == ”application / json” > Tipul aplicației poate varia
- http.content_type == ”imagine / png” > Imagini PNG
- http.content_type == ”imagine / gif.webp” > Imagini GIF.webp
- http.content_type == ”imagine / jpeg.webp” > Imagini JPEG.webp
- http.content_type == ”text / html” > Fișiere HTML
- http.content_type == "text / css" > Foi de stil CSS
- http.content_type == ”video / quicktime” > Videoclipuri
- http.content_type == ”aplicație / zip” > Fișiere ZIP
- http.request.method == ”OBȚINE” > Obțineți tipul de solicitare
- http.request.method == ”POST” > Tipul cererii POST
- http.user_agent conține „Mozilla” > Browser Mozilla
- http.request.uri se potrivește cu "[0-9]" > Utilizarea expresiilor regulate.
Putem vedea marea gamă pe care o avem cu Wireshark pentru a ne monitoriza traficul de pachete, un exemplu simplu de finalizat, deschidem site-ul web Solvetic.
Putem vedea în Wireshark (Filtrare după DNS) interogarea pe care tocmai am făcut-o (Deschideți pagina web Solvetic).
MARI
Dacă facem dublu clic pe acel rând, putem vedea informații mai detaliate despre traseu:
Vom putea vedea detalii precum ID-ul interfeței, ora aproximativă de sosire a cererii, tipul plăcii de rețea atât de origine, cât și de destinație etc.
Vedem că avem la dispoziție un instrument foarte valoros (și gratuit) care ne va permite ca administratori monitorizați constant traficul de rețea pentru a garanta calitatea comunicării și livrarea corectă și sigură a tuturor informațiilor.
Remediați DNS pe Windows, Linux și Mac