Come spiare Wireshark? Analisi del traffico. Filtri Wireshark Filtri per frame Wi-Fi

Wireshark è un analizzatore di rete avanzato che può essere utilizzato per analizzare il traffico che passa attraverso l'interfaccia di rete del tuo computer. Potrebbe essere necessario identificare e risolvere problemi nella rete, migliorare i tuoi componenti aggiuntivi web, software e siti. Wireshark ti consente di riesaminare il pacchetto a tutti i livelli, così puoi capire meglio come praticare la rete a un livello basso.

Tutti i pacchetti vengono convertiti in tempo reale e in un formato pratico per la lettura. Il programma migliorerà ulteriormente il sistema di filtraggio, la corrispondenza dei colori e altre funzionalità, poiché ti aiuterà a conoscere i pacchetti richiesti. In queste istruzioni, possiamo vedere come viene utilizzato Wireshark per analizzare il traffico. Di recente, i rivenditori sono passati a lavorare su un altro stupido programma Wireshark 2.0 e sono stati apportati cambiamenti e miglioramenti impersonali, in particolare per l'interfaccia. Stesso її mi vikoristovuvatimemo a tsіy statti.

Funzionalità principali di Wireshark

Prima di passare alla revisione dei metodi di analisi del traffico, è necessario esaminare come è possibile supportare il programma di segnalazione, con quali protocolli è possibile esercitarsi e lavorare. Asse della capacità principale del programma:

• Archiviazione di pacchetti in tempo reale da una porta Dart di un diverso tipo di interfacce mesh e avvio della lettura da un file;
• Sono supportate le seguenti interfacce: Ethernet, IEEE 802.11, PPP e interfacce virtuali locali;
• I pacchetti possono essere modificati per parametri anonimi per filtri aggiuntivi;
• Tutti i tipi di protocolli vengono visualizzati nell'elenco con colori diversi, ad esempio TCP, HTTP, FTP, DNS, ICMP e così via;
• Supporto per l'acquisizione del traffico chiamate VoIP;
• La decrittografia del traffico HTTPS è supportata per la presenza del certificato;
• Decrittazione del traffico WEP, WPA delle reti wireless per la presenza della chiave e dell'handshake;
• visualizzazione delle statistiche sulla fusione;
• Pereglyad vm_stu paktіv per tutte le misure uguali;
• Vedendo l'ora di rafforzare quei pacchetti otrimannya.

Il programma non ha altre funzioni, ma solo quelle principali, possono ispirarti.

Yak koristuvatisya Wireshark

Presumo che tu abbia già installato il programma, ma in caso contrario, puoi installarlo dai repository ufficiali. Per quale tipo di comando in Ubuntu:

$ sudo apt install wireshark

Una volta installato, puoi trovare il programma nel menu principale della distribuzione. Devi eseguire Wireshark con diritti supercorretti, altrimenti il ​​programma non può analizzare i pacchetti in rete. Puoi iniziare dal menu principale o tramite il terminale per comandi aggiuntivi per KDE:

$ kdesu wireshark

E per Gnome/Unity:

$ gksu wireshark

La finestra principale del programma è divisa in tre parti, la prima colonna contiene un elenco di interfacce disponibili per l'analisi, un'altra opzione per aprire i file e la terza colonna è di aiuto.

Analisi del traffico di fusione

Per avviare l'analisi, scegli un'interfaccia mesh, ad esempio, eth0 e premi il pulsante inizio.

Se ciò accade, andrà e verrà con il flusso di pacchetti, mentre passano attraverso l'interfaccia. Il prezzo è anche diviso in parti di spratto:

• Parte superiore- stesso menu e pannello con pulsanti diversi;
• Elenco dei pacchetti- vediamo il flusso delle borse sfuse, come analizzi tu;
• Incluso nel pacchetto- troch inferiori al pacchetto rozashovaniya vmіst vibrannogo, in razbity per le categorie incolte con il trasporto rіvnya;
• Aspetto reale- in fondo, puoi vedere il pacchetto nella vista reale, oltre che nella vista HEX.

Puoi cliccare su qualsiasi pacchetto per analizzarlo tutto insieme:

Qui invieremo il pacchetto al DNS, per prendere l'indirizzo ip del sito, nella richiesta stessa sovrapponiamo il dominio, e nel pacchetto prenderemo il nostro potere, così come la richiesta.

Per una migliore revisione, puoi aprire il pacchetto nella nuova finestra facendo clic sulla voce:

Filtri wireshark

Ordinare i pacchetti a mano, per sapere di cosa hai bisogno non è utile, specialmente con la potenza attiva. Pertanto, per tale compito, è meglio vicorare il filtro. Per l'introduzione di filtri sotto il menu, c'è una riga speciale. Puoi digitare un'espressione per aprire il costruttore del filtro, ma ce ne sono molti, quindi guardiamo la testa:

• ip.dst- numero indirizzo ip;
• ip.src- indirizzi IP del gestore;
• ind.ip- ip del responsabile del titolare;
• ip.proto- Protocollo;
• tcp.dstport- porto di accettazione;
• tcp.srcport- porto della sorgente;
• ip.ttl- filtra per ttl, determina la linea di confine;
• http.request_uri- Indirizzi del sito richiesti.

Per far corrispondere il valore tra il campo e i valori del filtro, puoi selezionare i seguenti operatori:

• == - uno;
• != - non salutare;
• < - meno;
• > - Di più;
• <= - meno o meno costoso;
• >= - più o meno;
• partite- espressione regolare;
• contiene- Vendetta.

Per ridurre il numero di virus, puoi interrompere:

• && - risentimento nei confronti di un pacco;
• || - possiamo ma prenderemo uno dei viraziv.

Ora diamo un'occhiata ai mozziconi dello spratto del filtro e proviamo a guardare tutti i segni del vodnosin.

Filtriamo tutti i pacchetti inoltrati a 194.67.215.125 (losst.ru). Comporre una riga nel campo del filtro e premere applicare. Per chiarezza, i filtri wireshark possono essere salvati per il pulsante di aiuto Salva:

ip.dst == 194.67.215.125

E per portare via non solo i pacchetti spediti, ma anche per portarli via dalla fonte nella stessa università, puoi usare due menti:

ip.dst == 194.67.215.125 || ip.src == 194.67.215.125

Possiamo anche selezionare file di grandi dimensioni:

http.content_length > 5000

Dopo aver filtrato il Content-Type, possiamo selezionare tutte le immagini, se sono interessate, possiamo analizzare il traffico wireshark, pacchetti di cui la parola image:

http.content_type contiene un'immagine

Per cancellare il filtro, puoi premere il pulsante Chiaro. Non conosci tutte le informazioni necessarie per il filtraggio, ma vuoi solo mantenerlo semplice. Puoi aggiungere se il campo del pacchetto è come una colonna e guardarlo invece della finestra principale per il pacchetto skin.

Ad esempio, voglio visualizzare le colonne ttl (ora di vita) del pacchetto. Per inserire informazioni sul pacchetto, è necessario conoscere il campo nella sezione IP. Quindi fare clic sul menu contestuale e scegliere un'opzione Applica come colonna:

È anche possibile creare un filtro sulla base di qualsiasi campo utile. Selezionare il campo e fare clic sul menu contestuale, quindi fare clic su Applica come filtro o Preparare come filtro, quindi scegli Selezionato sob per inserire meno del valore selezionato o Non selezionato, per ripulirli:

Il campo specificato avrà il proprio valore o verrà presentato in un altro modo accanto al campo filtro:

In questo modo è possibile aggiungere un campo al filtro, sia esso un pacchetto o una colonna. C'è anche un'opzione nel menu contestuale. Per filtrare i protocolli, puoi vincere e pensare. Ad esempio, possiamo analizzare il traffico Wireshark per i protocolli HTTP e DNS:

Un'altra possibilità del programma è il wiki Wireshark per l'esecuzione di una sessione di canto tra un computer e un server. Per cui, apri il menu di scelta rapida per il pacchetto e seleziona Segui il flusso TCP.

Diamo un'occhiata vittoriosa, in cui conoscerai tutti i dati trasferiti tra il server e il client:

Diagnosi dei problemi di Wireshark

Forse, tu tsіkavo, come Wireshark 2 può essere usato per identificare i problemi nel merezhі. Per questo, nella piega in basso a sinistra, c'è un pulsante rotondo, quando viene premuto su di esso, la finestra si apre Strumenti esperti. New Wireshark raccoglie tutte le informazioni su grazie e problemi nel merezhі:

La finestra è suddivisa in schede come Errori, Avvisi, Avvisi, Chat. Il programma ti consente di filtrare e conoscere i problemi impersonali dal confine e qui puoi fare di più. Qui vengono aggiunti anche i filtri Wireshark.

Analisi del traffico Wireshark

Puoi semplicemente capire che tu stesso eri affascinato dal coristuvachi e che i file puzzavano e si meravigliavano che il giorno non fosse crittografato. Il programma fa un buon lavoro nella gestione dei contenuti.

Per questo è necessario spalare il traffico dietro l'ausilio di un quadrato rosso sul pannello. Apriamo il menu file -> Esporta oggetti -> http:

Questa utility è troppo difficile, perché può avere molte funzioni. Non è possibile inserire tutte le funzionalità in un articolo, ma le informazioni di base fornite saranno sufficienti in modo che tu possa apprendere tutto ciò di cui hai bisogno.

Per seguire il comportamento dei relativi componenti aggiuntivi e nodi, nonché per rilevare problemi nella misura robotica, ci si rivolge spesso agli analizzatori dei relativi pacchetti. Le caratteristiche chiave di tale software sono, in primo luogo, la fattibilità di varie analisi e, in un altro modo, il ricco filtraggio funzionale dei pacchetti, che consente di visualizzare la ricchezza di informazioni in un flusso di traffico ininterrotto. Il restante aspetto i è assegnato all'articolo.

Iscrizione

Tre dei migliori metodi di analisi computerizzata dell'analisi del traffico, forse, sono i più laboriosi e laboriosi. Flussi intensivi dell'attuale merezh danno origine a molto materiale "grezzo", è tutt'altro che facile da conoscere in alcune informazioni di base. Entro un'ora dalla sua fondazione, lo stack TCP/IP era pieno di numerose aggiunte e aggiunte, centinaia di migliaia. Tutti i protocolli applicativi e di servizio, i protocolli per l'autenticazione, il tunneling, l'accesso alla sola misura. È necessario conoscere tutte le differenze di protocollo ed esercitarsi con strumenti software specifici: sniffer o, in modo scientifico, analizzatore.

La funzionalità dello sniffer non è solo la possibilità di utilizzare la modalità “incomprensibile” (promiscua) della scheda robotica per l'override. Tale software si occupa di filtrare in modo efficiente il traffico sia nella fase di raccolta, sia in contemporanea per le prime trasmissioni (frame, pacchetti, segmenti, datagrammi, alert). Inoltre, più protocolli sniffer "sapere" è più breve.

I moderni analizzatori di protocollo hanno molte cose da fare: analizzare le statistiche sul traffico, disegnare grafici sull'avanzamento delle interazioni di fusione, prendere dati dai protocolli applicati, esportare i risultati del lavoro in vari formati... Pertanto, gli strumenti per l'analisi del traffico metrico sono un argomento per una buona recensione. Se non sai cosa scegliere, o se non vuoi spendere soldi per un software a pagamento, allora sbrigati con una semplice gioia: installa Wireshark.

Familiarizzare con i filtri

Wireshark supporta due tipi di filtri:

• overflow del traffico (filtri di cattura);
• visualizzare i filtri.

Il primo sottosistema è stato rimosso da Wireshark dalla fallout della libreria Pcap, che fornisce un'API di basso livello per l'interfacciamento robotico. La selezione del traffico per un lungo periodo e un'ora di sovraffollamento consente di risparmiare memoria operativa e spazio su disco rigido. Il filtro è una virase, che è composta da un gruppo di primitive, eventualmente combinate da funzioni logiche (and, or, not). Questo virus viene registrato nel campo Filtro cattura della finestra di dialogo Opzioni cattura. La massima convivenza filtrante possibile può essere ricavata dal profilo per il rematching (Fig. 1).

Riso. 1. Filtrare il profilo

Il linguaggio dei filtri è standard per il mondo Open Source e ci sono molti prodotti basati su Pcap (ad esempio, l'utility tcpdump o il sistema di rilevamento/deterrenza delle intrusioni Snort). Pertanto, qui non ha senso particolare descrivere la sintassi; E puoi guardare i dettagli nella documentazione, ad esempio, in Linux sul lato della crittografia avanzata pcap-filter(7).

I filtri vengono utilizzati dallo stesso traffico e sono "comuni" per Wireshark. Vіdminnosti con Pcap - nel formato del record (zocrema, come distributore di acqua, c'è un punto); aggiungere anche la notazione inglese nelle operazioni di riconciliazione e suddivisione delle suddivisioni.

È possibile inserire un filtro per la visualizzazione direttamente nel campo di immissione (rispettare, utilizzare l'elenco dei prompt, cosa selezionare) della schermata principale del programma dopo il pulsante "Filtro" (prima del discorso, sotto il pulsante, inserire un profilo per frequenti risposte selezionate). E se premi il pulsante "Espressione ..." nelle vicinanze, apparirà un costruttore Viraz riccamente funzionale (Fig. 2).

Livoruch (Field Name) è presentato in ordine alfabetico dell'albero dei protocolli dei campi, come in Wireshark. Per questo campo è possibile inserire un operatore logico (Relazione), inserire un valore (Valore), inserire un intervallo (Range) o selezionare un valore dall'elenco (Valore predefinito). Zagalom, enciclopedia Povna Merezheva in un vіknі.

L'asse degli operatori logici, che vincono ai filtri del display:

• e (&&) - "І";
• o (||) - "ABO";
• xor (^^) - che include "ABO";
• not(!) - non elencato;
• [...] - una selezione di un contratto. # Filtraggio per l'indirizzo MAC dell'adattatore di fusione, incluso tutto il traffico locale no (eth.addr eq aa:bb:cc:22:33:44) # Rimuovi tutto il "rumore di servizio" per concentrarti sul traffico, scho us!( arp o icmp o dns)

Ebbene, prima della selezione di un contratto, non chiediamo un'operazione logica, ma ancor più un'opzione banale. Vaughn ti permette di togliere una singola parte della sequenza. Ad esempio, in questo modo è possibile vincere alla prima riga (viene utilizzato il primo numero sugli archi quadrati) tre byte (il numero dopo il doppio - il penultimo) del campo dell'indirizzo MAC del dzherel :

Eth.src == 00:19:5b

Uno dei parametri può essere omesso per i vibratori con andamento doppio. Se perdi l'appuntamento, la vibirka partirà da un byte zero. Come una dovzhina, prendiamo tutti i byte dall'adozione alla fine del campo.

Prima di parlare, seleziona manualmente l'ordine di rilevamento del malware nel menu a discesa, in modo da poter vedere la sequenza di byte che segue l'intestazione (ad esempio, "0x90, 0x90, 0x90, 0x04" nel pacchetto UDP):

udp == 90:90:90:04

Operazioni di corrispondenza vittoriose in linee logiche:

• eq (==) - uno;
• ne (!=) - non uno;
• gt (>) - altro;
• lt (<) - меньше;
• ge (>=) - più di uno;
• le (<=) - меньше или равно.tcp.dstport ne 8080 && tcp.len gt 0 && data eq A0

Vlasne, finirò abbastanza la teoria. Ha dato a vikoristovuy occhi e archi sani per il bisogno e senza di esso. Inoltre, non dimenticare che il filtro è essenzialmente logico: se è vero, il pacchetto apparirà sullo schermo, se non male, no.

Filtro Pcap per rilevare la scansione delle porte Netbios

Shukaёmo vkradacha indirizzi IP

Nel segmento delle reti locali, trap (per altri motivi) guadagna l'indirizzo IP di due e più nodi. Il metodo di “vilovu” (definizione del MAC address) dei sistemi conflittuali della casa: lanciamo uno sniffer sul terzo computer, puliamo la cache ARP, e lo stimoliamo ad inviare il MAC allo stupido IP, per esempio, propping su:

# arp -d 192.168.56.5 # ping -n -c 1 192.168.56.5

E poi scherzeremo sul traffico in eccesso, da alcuni MAC sono venuti in buona fede. Come Wireshark, dopo aver catturato molti pacchetti, creiamo un filtro per l'aiuto del progettista. Nella prima parte della virase, seleziona ARP-Vidpoly, nell'altra parte - quelle note, in cui gli indirizzi IP vengono mostrati al migliore amico. Le primitività sono combinate con l'operatore &&, per questo è necessario, in modo che gli insulti siano stati spazzati via immediatamente:

(arp.opcode == risposta) && (arp.src.proto_ipv4 == 192.168.56.5)

Fino ad allora, la rete di computer non ha subito alcun danno da questo scenario, perché sono state sconfitte due macchine virtuali Oracle VirtualBox e una rete connessa di tipo “Virtual Host Adapter”.

Ispezione di recinzioni e linee di trasporto

Fino a quest'ora, il protocollo ICMP viene negato da un modo efficace di diagnosticare lo stack unito. Oltre al protocollo, si possono prendere preziose informazioni sulle problematiche del provvedimento.

Come già sapevi, filtrare ICMP da Wireshark è facile. Abbastanza perché la riga del filtro nella finestra principale del programma scriva: icmp. Crim icmp, use e molte altre parole chiave, che sono nomi di protocolli, ad esempio arp, ip, tcp, udp, snmp, smb, http, ftp, ssh e altri.

Sebbene il traffico ICMP sia ricco, è possibile visualizzare dettagli, tra cui, ad esempio, richieste echo (tipo 0) e richieste echo (tipo 8):

Icmp e ((icmp.type ne 0) e (icmp.type ne 8))

Sulla fig. 4 letture di una piccola selezione di avvisi ICMP, creati da un router Linux di prova. L'annuncio "Port Unreachable" suona vittorioso per la serratura. Viene generato dallo stack quando i datagrammi UDP vengono inviati alla porta, che non vince. Un router virtuale basato su Debian, avendo iniziato ad aggiornare Host irraggiungibile e Comunicazione filtrata amministrativamente, ho avuto la possibilità di armeggiare con esso. Per Cisco, chiamare per informazioni sul filtraggio amministrativo. Notifica "Tempo di vita superato" per parlare della presenza di un loop su una tale distanza di un merezhі (beh, se un percorso viene instradato, possono anche apparire tali pacchetti).

Prima del discorso, sugli schermi intermedi. È possibile creare regole per i firewall più diffusi direttamente da Wireshark utilizzando la voce Regole ACL firewall del menu Strumenti. In anticipo, è necessario selezionare un pacchetto, informazioni su ciò che verrà selezionato. Estensioni Cisco ACL standard disponibili, regole di prodotto simili a UNIX IP Filter, IPFirewall (ipfw), Netfilter (iptables), Packet Filter (pf) e Windows Firewall (netsh).

E ora brevemente le basi del filtraggio al confine, le basi per impostare i campi dell'intestazione del pacchetto IP: l'indirizzo del gestore (ip.src) e l'indirizzo del proprietario (ip.dst):

(ip.src == 192.168.56.6) | (ip.dst == 192.168.56.6)

Quindi, abbiamo tutti i pacchetti, li hanno portati via o li hanno inviati all'indirizzo IP. È possibile filtrare il numero di pidmerezh utilizzando la notazione CIDR della voce della maschera. Ad esempio, possiamo vedere l'infezione dell'host, che è l'estensione dello spam (qui 192.168.56.251 è l'indirizzo IP del nostro server SMTP):

ip.src == 192.168.56.0/24 e tcp.dstport == 25 e !(ip.dst == 192.168.56.251)

Prima del discorso, per la selezione degli indirizzi MAC, seguire la selezione delle primitive eth.src, eth.dst ed eth.addr. Altri problemi della linea tapis roulant sono legati alla linea Ethernet, al di sotto della teoria. Zocrema, quando il routing sarà impostato, sarà stranamente sorpreso, all'indirizzo MAC di qualche router, il vperty vuzol invia pacchetti. Comunque, per un compito così semplice, per gli occhi, scarica le utilità tcpdump, che sono praticamente standard per i sistemi simili a UNIX.

Non ci sono alimentatori per il filtraggio delle porte Wireshark. Per TCP ai tuoi servizi le parole chiave sono tcp.srcport, tcp.dstport e tcp.port, per UDP - udp.srcport, udp.dstport e udp.port. È vero, i filtri cinematografici di Wireshark introdotti non avevano un analogo della primitiva della porta in Pcap, che designa una porta UDP, così come TCP. Ale ce è facile da correggere con l'aiuto di una virasi logica, ad esempio:

tcp.port == 53 || udp.port == 53

Improvvisare con il traffico HTTP

I protocolli applicati, il framework HTTP, sono lo stesso argomento "eterno" nello sniffing. Per essere onesti, va detto che molti software specializzati sono stati creati per mantenere attivo il traffico web. Eppure uno strumento così universale, come Wireshark, con un sistema di filtraggio morbido su questo campo, non è applicabile.

Per la pannocchia prendiamo un po' di traffico web andando sul primo sito che ci viene in mente. Ora esamineremo i dettagli del protocollo TCP, che è il trasporto per HTTP, gli enigmi di un'amata risorsa Internet:

Tcp contiene "sito"

L'operatore contiene controlla la presenza dell'ordine nel campo indicato. Oltre all'operatore delle partite, è anche possibile vincere virazi regolari Perl-summ_snі.

Alla fine di "Filter Expressions", ovviamente un buon aiutante, ma per circa un'ora si è rimpinzato ancora di più di una lunga lista di ricerche del campo richiesto. Modo più semplice per creare/modificare i filtri: per un menu contestuale aggiuntivo durante la visualizzazione dei pacchetti. Per questo, è sufficiente fare clic con il pulsante destro del mouse sul campo da fare clic e selezionare uno degli elementi secondari nell'elemento "Applica come filtro" o nell'elemento "Prepara un filtro". Per la prima volta cambierai idea subito e in un'altra sarai in grado di correggere il viraz. "Selezionato" significa che il valore del campo diventerà un nuovo filtro, "Non selezionato" - gli stessi, solo quelli che non sono elencati. I punti che iniziano con “...”, aggiungono il valore del campo ad una chiara visione del miglioramento degli operatori logici.

Combinando le diverse funzionalità dell'interfaccia grafica di Wireshark e conoscendo le specifiche del protocollo HTTP, puoi facilmente ottimizzare il traffico al livello richiesto nella finestra principale del programma.

Ad esempio, per vedere come appare l'immagine, il browser chiede al server web quando si modella il lato, è utile un filtro che analizza l'URI del server che viene trasmesso:

(http.host eq "www..request.uri contiene ".jpg#26759185") o (http.request.uri contiene ".png#26759185"))

Lo stesso, ma con abbinamenti diversi:

(http.host eq "www..request.uri corrisponde a ".jpg|.png#26759185")

Mi sono reso conto che i campi per rivisitare i protocolli in diversi uguali possono essere audacemente mescolati in una vista. Ad esempio, per riconoscere, come immagini di dati, il server ha passato al client, vittoriosamente, l'indirizzo del pacchetto IP e il campo "Content-Type" del tipo HTTP:

(ip.src eq 178.248.232.27) e (http.content_type contiene "immagine")

E per l'aiuto del campo di richiesta HTTP "Referer", puoi riconoscere da quali server il browser prende il contenuto quando forma il lato del sito che ami:

(http.referer eq "http://www..dst eq 178.248.232.27))

Diamo un'occhiata allo spratto dei filtri-corisnik. Per selezionare il traffico dalle richieste HTTP, generate utilizzando il metodo GET, puoi accelerare con il seguente virase:

Http.request.method == OTTIENI

A livello applicato, i filtri si mostrano in tutta la loro bellezza e semplicità. Per motivi di equalizzazione: ad esempio, per interrompere il compito per l'aiuto di Pcap, sarebbe possibile correggere una tale costruzione a tre superfici:

Porta 80 e tcp[((tcp & 0xf0) >> 2):4] = 0x47455420

Per chiarire, se www-connection è impostare l'host 192.168.56.8 al primo intervallo di un'ora (diciamo, nel pomeriggio di una pausa), dietro la primitiva frame.time:

tcp.dstport == 80 && frame.time >= "Yan 9, 2013 13:00:00" && frame.time< "Yan 9, 2013 14:00:00" && ip.src == 192.168.56.8

Bene, sto indovinando l'URI della richiesta, che sostituirà le parole "login" e "user", oltre a "indovinare" le password:

Http.request.uri corrisponde a "login.*=utente" (http contiene "password") || (pop contiene "PASS")

Sovrascrivere il contenuto SSL

La piaga principale dell'eredità della fusione del traffico è la crittografia. E se hai un file di password con un certificato (prima di parlare, prenditi cura di esso come il pollice di un occhio), puoi facilmente riconoscere quale risorsa è degna nelle sessioni SSL. Per cui è necessario specificare i parametri del server e il file del certificato nelle impostazioni per il protocollo SSL (voce Preferenze del menu Modifica, selezionare SSL a sinistra dell'elenco dei protocolli). Sono supportati i formati PKCS12 e PEM. Nel resto della sessione, è necessario rimuovere la password dal file con i comandi:

openssl pkcs12 -export -in server.pem -out aa.pfx openssl pkcs12 -in aa.pfx -out serverNoPass.pem --nodes

INFORMAZIONI

Il monitoraggio del traffico per il monitoraggio e il monitoraggio del traffico di rete viene eseguito da un filtro di pacchetti. Il filtro pacchetti entra nel magazzino del kernel del sistema operativo e rimuove i pacchetti uniti dal driver della scheda di unione.

Le applicazioni di filtraggio dei pacchetti per sistemi operativi simili a UNIX sono BPF (Berkeley Packet Filter) e LSF (Linux Socket Filter). In BPF, il filtraggio è implementato sulla base di un film macchina primitivo orientato al caso, che è l'interprete BPF.

Analizza il traffico da host distanti

I server Windows possono funzionare non solo con le interfacce del computer, su cui viene avviato Wireshark, ma anche raccogliere il traffico da macchine remote. Per il quale esiste un servizio speciale (Remote Packet Capture Protocol) dalla libreria WinPcap fornita. Devi prima aggiungerlo allo snap-in di gestione dei servizi (services.msc). Ora, dopo aver avviato Wireshark su un computer remoto, puoi connetterti a quel nodo, al quale servizio viene elaborato il traffico remoto (per bloccare la porta vittoriosa 2002), e i dati del protocollo RPCAP ti verranno inviati.

Porterò anche opzioni per la connessione alla "chiamata" home * nix-router per l'analisi del traffico remoto:

$ssh [email protetta]"tshark -f "port !22" -i any -w -" | wireshark -k -i -$ssh [email protetta] tcpdump -U -s0 -w - "non porta 22" | wireshark -k -i -

Deve avere uno strumento

Wireshark è uno strumento di analisi del traffico incrociato e interattivo ampiamente utilizzato, di fatto lo standard per l'industria e l'intelligence. Concesso in licenza con licenza GNU GPLv2. Wireshark utilizza più protocolli, un'interfaccia grafica basata su GTK+, un avanzato sistema di filtraggio del traffico e un interprete di film Lua per la creazione di decodificatori e programmatori.

Vantaggio marrone Vityagti

Nella posta in gioco sono molto utilizzati strumenti speciali che consentono di "stringere" il traffico degli oggetti informativi finali: file, immagini, contenuti video e audio e altro ancora. I fastidiosi sottosistemi analitici, Wireshark, per amore di troppe funzionalità, cercano il pulsante Salva payload nelle finestre di analisi….

Visnovok

Sulla marea fumante del computer sotterraneo, alimentata dalla sicurezza dei programmi di rete, i problemi monumentali dei livelli inferiori passo dopo passo vanno su un altro piano. Zrozumіlo, scho frange e trasporto rivnі vvchenі e doslіdzhenі vzdovzh che attraverso. Ale scommette sul fatto che fahіvtsі, come crescere su SQL-іn'єktsіyah, cross-site scripting e inclusioni, non sospettare della grande palla, degli allegati sotto la punta dell'iceberg, e spesso cedere a, sembrerebbe, problemi elementari.

Lo sniffer, simile al driver e al disassemblatore, mostra i dettagli del funzionamento del sistema nel modo più dettagliato. Dopo aver installato Wireshark e aver mostrato la correttezza del deac, puoi lavorare insieme l'uno con l'altro, come un fetore - con uno sguardo innocente e nudo. Ti filtro per aiutare!

Solo filtri diversi senza volto. І shdo tsikh filtrіv є documentazione maestosa, in cui non è così facile risolvere. Ho selezionato i migliori per me e i più comuni sono i filtri Wireshark. Per koristuvachіv-pochatkіvtsіv tse può diventare un esempio di buon affare con i filtri Wireshark, un buon punto per il matrimonio. Quindi qui nei commenti ti propago con filtri in esecuzione, come spesso vicorista, oltre che con grande conoscenza - li aggiungerò alla lista.

Tieni presente che Wireshark dispone di filtri per la visualizzazione e l'archiviazione dei filtri. Qui guardo i filtri per la visualizzazione, così come sono presentati nella schermata principale del programma nel campo in alto, una volta sotto il menù e con le icone delle funzioni principali.

Per capire il significato dei filtri ancora e ancora, e cosa mostrano i vini, è necessario capire il lavoro della misura. Per comprendere i principi del flusso di lavoro e dei protocolli, si consiglia di leggere il ciclo del flusso di lavoro robotico, primo articolo del ciclo "" (le altre parti del processo di preparazione).

I filtri Deyaki sono scritti qui in una forma formale e deyaki vikonan come un calcio specifico. Ricorda che in ogni caso puoi fornire i tuoi dati, ad esempio, cambiare il numero di porta in qualunque cosa tu debba chiamare, e lavorare allo stesso modo con l'indirizzo IP, l'indirizzo MAC, il valore dell'ora e quel numero.

Operatori di filtro Wireshark

I filtri possono avere valori diversi, ad esempio possono essere una riga, un sedicesimo formato o un numero.

Se scherzi sull'input impreciso (è più adatto a valori non numerici), allora vinci contiene. Ad esempio, per mostrare i pacchetti TCP per controllare una riga di hackware, è necessario un filtro offensivo:

Tcp contiene hackware

Per una ricerca di valori esatti, utilizzare gli operatori. Diamo un'occhiata:

Come puoi bachiti, ci sono due varianti di scrittura, ad esempio, se vogliamo dire che il significato del filtro è più recente, allora possiamo vikoristovuvat == o eq.

Con i filtri degli operandi logici zastosuvannym, puoi aggiungere costruzioni pieghevoli, ma, forse, poiché lo stesso filtro può essere superato da due operatori, ad esempio, poiché qui puoi provare a filtrare non per una porta, ma per un intervallo di porte:

tcp.porta>=8000 && tcp.porta<=8180

quindi il valore del filtro (in questo modo tcp.port) viene sovrascritto dal resto dei valori, quindi come risultato della sostituzione del comportamento del punteggio, prendiamo il risultato del lavoro e solo il resto della parte, in questo caso

tcp.port<=8180

Ricordati di questo bug!

Quando vikoristanni s == (Rivno) questo bug è quotidiano.

Operatori logici di filtro Wireshark

Gli operatori logici ti consentono di creare filtri dettagliati per una varietà di menti. Si consiglia di vincere ulteriormente gli archi, i frammenti in un modo diverso, puoi prendere valori sbagliati, poiché segnerai.

Applica una combinazione:

Mostra HTTP o Traffico DNS:

http o dns

Mostrami un qualche tipo di traffico Crimea ARP, ICMP e DNS:

!(arp o icmp o dns)

Filtro di interfaccia

Mostra solo i pacchetti caricati o cancellati sull'interfaccia wlan0:

Frame.interface_name == "wlan0"

Traffico di protocolli a livello di canale

Per mostrare il traffico ARP:

Mostra i frame ARP al protocollo, nell'addendum che può essere l'indirizzo MAC 00:c0:ca:96:cf:cb:

Arp.src.hw_mac == 00:c0:ca:96:cf:cb

Mostra i frame al protocollo ARP, diretti al dispositivo che può avere l'indirizzo IP 192.168.50.90:

arp.src.proto_ipv4 == 192.168.50.90

Mostra i frame ARP al protocollo diretto all'interno che può essere assegnato all'indirizzo MAC 00:00:00:00:00:00 : ff:ff:ff:ff;

Arp.dst.hw_mac == 00:00:00:00:00:00

Mostra i frame ARP al protocollo, inviato alla destinazione, che può indirizzo IP 192.168.50.1:

arp.dst.proto_ipv4 == 192.168.50.1

Mostra traffico Ethernet:

Mostra frame (tutti i frame sono stati selezionati, non solo ARP, come era nei mozziconi anteriori), davanti all'allegato, che può essere l'indirizzo MAC 00:c0:ca:96:cf:cb:

Eth.src == 00:c0:ca:96:cf:cb

Mostra frame inviati ad allegati che possono essere indirizzi MAC 78:cd:8e:a6:73:be:

Eth.dst == 78:cd:8e:a6:73:be

Il traffico dei protocolli in inter-merezhovogo è uguale

Filtraggio del protocollo IPv4

Mostra traffico IP (qui puoi vedere TCP, UDP, così come i protocolli DNS aggiuntivi, HTTP - è praticamente tutto, tranne i protocolli di canale, se non sovrascrivi gli indirizzi IP per la trasmissione dei dati (per le reti Ethernet locali, come consegna indirizzi, ignora gli indirizzi MAC) ):

Per essere più precisi, è possibile evitare il traffico verso il protocollo IPv4, che si chiama semplicemente IP (Internet Protocol).

Mostra il traffico associato all'indirizzo IP primario (scrivi il valore di x.x.x.x). Verranno visualizzati i pacchetti in cui gli indirizzi IP sono memorizzati dal supporto dati ABO:

Ip.addr == x.x.x.x

Mostra il traffico associato a due indirizzi IP. Per un'unica logica possibile, uno di questi sarà l'indirizzo del dzherel e l'altro l'indirizzo di consegna.

ind.ip == x.x.x.x && ind.ip == a.a.a.a

Mostra traffico, che è l'host con indirizzo IP 138.201.81.199:

ip.src == 138.201.81.199

Mostra traffico, quale destinazione è un host con indirizzo IP 138.201.81.199:

IP.dst == 138.201.81.199

Attenzione, il protocollo IP opera sugli indirizzi IP, ma non sulle porte. Le porte fanno parte dei protocolli TCP e UDP. Il protocollo IP è valido solo per instradare il traffico tra host.

Filtraggio dell'intervallo IP con Wireshark

È possibile modificare un indirizzo IP e inserire quanto segue:

Ip.addr == 192.168.1.0/24

Filtraggio del traffico inviato all'intervallo IP. Siccome è necessario filtrare il traffico, come promemoria di qualche tipo di impresa, filtra la mente:

ip.src==192.168.1.0/24

Filtraggio del traffico, riconosciuto per sopraffare la gamma di canto dell'IP. Se hai bisogno di filtrare il traffico, come punto di riconoscimento di qualsiasi tipo di idmerezha, filtra la mente:

Ip.dst == 192.168.1.0/24

Filtraggio del protocollo IPv6

Mostra traffico IPv6 (protocollo Internet versione bassa):

Filtraggio per indirizzo IPv6. Per filtrare dietro un indirizzo IPv6, stoppare il filtro:

ipv6.addr == 2604:a880:800:c1::2ae:d001

Filtraggio dell'intervallo IPv6 con Wireshark

Puoi modificare un indirizzo IPv6 e specificare un sottoinsieme per il filtraggio:

ipv6.addr == 2604:a880:800:c1::2ae:d000/64

Di norma, è necessario filtrare il traffico, dzherelom di un tale indirizzo IPv6:

ipv6.src == 2604:a880:800:c1::2ae:d001

Come filtrare il traffico, inviare messaggi all'indirizzo IPv6:

ipv6.dst == 2604:a880:800:c1::2ae:d001

Filtraggio del traffico inviato all'intervallo IPv6. Siccome è necessario filtrare il traffico, come promemoria di qualche tipo di impresa, filtra la mente:

ipv6.src == 2604:a880:800:c1::2ae:d000/64

Filtraggio del traffico, riconosciuto per l'applicazione sulla gamma di canto di IPv6. Se hai bisogno di filtrare il traffico, come punto di riconoscimento di qualsiasi tipo di idmerezha, filtra la mente:

ipv6.dst == 2604:a880:800:c1::2ae:d000/64

Filtraggio ICMPv6 (Internet Control Message Protocol - un protocollo di aggiornamenti kerauchchih intermedi alla sesta versione) in Wireshark per provare a filtrare:

Per far corrispondere i pacchetti per modificare il ruolo di ARP per IPv6, modificare il filtro:

icmpv6.type == 133 o icmpv6.type == 134 o icmpv6.type == 135 o icmpv6.type == 136 o icmpv6.type == 137

Altri filtri con indirizzo IP sono simili per IPv6 e IPv4.

Protocolli di traffico della linea di trasporto

Per incrementare più traffico TCP:

Mostra traffico, dzherelom o la porta riconosciuta come prima porta, ad esempio 8080:

tcp.port==8080

Mostra traffico, che tipo di porta 80:

tcp.srcport==80

Mostra il traffico su cui è in esecuzione il servizio, in ascolto sulla porta 80:

tcp.dstport == 80

Mostra pacchetti TCP con SYN ensign:

tcp.flags.syn==1

Mostra i pacchetti TCP con un flag SYN e un flag ACK:

tcp.flags.syn==1 && tcp.flags.ack==0

Allo stesso modo per altri alfieri:

Puoi anche modificare la sintassi della mente tcp.flags == 0x0XX, Per esempio:

• FIN ce tcp.flags == 0x001
• SYN tcp.flags == 0x002
• RST ce tcp.flags == 0x004
• ACK ce tcp.flags == 0x010
• Installato un'ora ACK e FIN tcp.flags == 0x011
• Installato un'ora ACK e SYN tcp.flags == 0x012
• Installato un'ora ACK e RST tcp.flags == 0x014

Per mostrare i pacchetti, come vendicare o meno una fila, ad esempio, una fila di hackware:

Tcp contiene hackware

Segui il flusso TCP numero X:

Tcp.stream eq X

Filtra per numero di stream:

Tcp.seq == x

Mostra la resistenza eccessiva ripetuta dei pacchetti. Aiuta a migliorare la produttività degli integratori e a spendere pacchetti:

Questo filtro ha mostrato i pacchetti problematici (segmenti inseriti, aggiunti nuovamente gli altri. Questo filtro passa i pacchetti TCP Keep-Alive, ma la puzza è un segno di problemi.

Tcp.analysis.flags

Filtri per la stima della qualità della connessione al cantiere.

Le caratteristiche avanzate sono visibili fino ai frame TCP. Inoltre, la puzza non si basa sulle intestazioni del fotogramma: le caratteristiche visualizzate (salto di dati, duplicati) vengono assegnate dal programma Wireshark per l'analisi.

Filtro per visualizzare le informazioni sui frame con il flag ACK, come se fossero duplicati. Esiste un gran numero di tale personale, puoi parlare del problema della comunicazione:

tcp.analysis.duplicate_ack_num == 1

Filtro per la visualizzazione di cornici per qualche tipo di disordine nel segmento anteriore:

Tcp.analysis.ack_lost_segment

Va bene seppellire i dati sulla pannocchia, i frammenti di informazioni non vengono trasferiti dalla stessa pannocchia della sessione.

Per mostrare frame, cioè ritrasmissione (da rieditare):

Tcp.analisi.ritrasmissione

Visione di frame, yakі otrimani sbagliato:

Tcp.analysis.out_of_order

Per incrementare meno traffico UDP:

UDP non ha flag. Per quale protocollo è possibile specificare una porta in più.

Mostra traffico, che tipo di porta 53:

Udp.srcport == 53

Mostra il traffico su cui è in esecuzione il servizio, in ascolto sulla porta 53:

Udp.dstport == 53

Pacchetto UDP, in cui viene utilizzata la riga della canzone, ad esempio la riga dell'hackware:

Udp contiene hackware

Per consentire meno traffico ICMP:

Per consentire meno traffico ICMP v6 (versione breve)

Mostra tutti i risultati per ping:

icmp.type==0

Mostra tutte le richieste ping:

icmp.type==8

Mostra tutte le grazie di indisponibilità/recinzioni di host e porte

icmp.type==3

Mostra tutto provare il routing di reindirizzamento per la guida ICMP:

icmp.type==8

Butt della variante CODE, il filtro successivo mostrerà la notifica di indisponibilità della porta:

icmp.type==3 && icmp.code==3

Protocolli di traffico delle applicazioni

Per i protocolli dei dannati filtri HTTP, DNS, SSH, FTP, SMTP, RDP, SNMP, RTSP, GQUIC, CDP, LLMNR, SSDP, che si chiamano come i protocolli stessi, ma sono scritti in minuscolo.

Ad esempio, per ottenere il traffico HTTP:

Per abilitare il traffico per il nuovo protocollo HTTP/2:

Ricorda che quando viene presa la decisione, fino a quale protocollo vengono forniti i dati, il programma entra dal numero di porta che è vittorioso. Come se si scegliesse una porta non standard, il programma non può conoscere i dati richiesti. Ad esempio, se fosse possibile connettersi alla porta SSH 1234, allora il filtro ssh non conosco il traffico SSH.

Filtro che mostra più dati inviati dal metodo POST:

http.request.method == "POSTALE"

Filtro che mostra più dati trasmessi dal metodo GET:

http.request.method == "OTTIENI"

Richiesta richiesta al sito originale (host):

http.host==" "

Richiesta di ricerca al sito della canzone in parte del nome:

Http.host contiene "here.private.im'ya"

Filtro per la visualizzazione delle richieste HTTP, da cui sono stati trasmessi i cookie:

http.cookie

Chiedi, su quale server, impostando i cookie nel browser del koristuvach.

http.set_cookie

Per scherzo, ci sono trasferimenti di immagini:

http.content_type contiene "immagine"

Per il bene di cantare immagini:

http.content_type contiene "gif" http.content_type contiene "jpeg" http.content_type contiene "png"

Per cercare i file del tipo di canzone:

http.content_type contiene "testo" http.content_type contiene "xml" http.content_type contiene "html" http.content_type contiene "json" http.content_type contiene "javascript" http.content_type contiene "x-www-form-urlencode" http. content_type contiene "compresso" http.content_type contiene "applicazione"

Chiedi a Wireshark di scaricare file di tipo singolo. Ad esempio, per uno scherzo che trasferisce archivi ZIP:

Http.request.uri contiene "zip"

Invece di http.request.uri per una maggiore precisione, puoi cambiare il filtro http.request.uri.path o http.request.uri.query, ad esempio, per una richiesta di richiesta di file JPG (invio di immagini):

Http.request.uri.path contiene "jpg"

È anche possibile filtrare la richiesta per rimuovere il valore dell'intestazione HTTP REFERER (referer). Ad esempio, per una richiesta di richieste, in alcuni referrer є ru-board.com:

Http.referer contiene "ru-board.com"

http.autorizzazione

Cerca file da HTTP potoci:

Http.file_data

Per aiutare, poiché i dati HTTP vengono rimossi dallo zatrymkoy, tale costruzione è vinta:

http.tempo>1

Vaughn mostrerà il traffico, otrimaniy pіznіshe yak per 1 secondo.

Per risolvere i problemi, puoi analizzare lo stato del codice HTTP nella risposta. Ad esempio, il filtro successivo mostrerà il traffico, nel qual caso l'indulto 404 Not Found viene rimosso (lato non trovato):

http.response.code==404

Il filtro in arrivo è più simile a una cicavia. Innanzitutto, ti mostrerò come realizzare design pieghevoli con il maggior numero possibile di filtri. In un altro modo, vin consente la richiesta HTTP e in generale l'attività web, comprese le richieste di dati. Per l'aiuto di questo filtro, puoi guardare l'attività web di alto livello. Le regole al centro dell'arco includono immagini, file Javascript e fogli di stile: tutto ciò che il lato richiede in sé. Per aggiungere all'elenco di altre parti per vendicare altri oggetti, includerli in questo ordine:

Http.request && !(http.request.uri contiene ".ico" o http.request.uri contiene ".css" o http.request.uri contiene ".js" o http.request.uri contiene ".gif" o http.request.uri contiene ".jpg")

Per controllare tutte le richieste DNS e vidpovidi:

Sobachit, come le richieste DNS, ha richiesto molto tempo:

tempo.dns>1

Bude ti mostrerà quanto altro sarà necessario in un secondo dopo l'applicazione della forza.

Questo filtro mostra se le richieste DNS non possono essere correttamente consentite:

dns.flags.rcode != 0

Mostra solo query DNS:

dns.flags.response == 0

Mostra solo valori DNS:

dns.flags.response == 1

Mostra la richiesta e il feedback su di essi, in cui viene cercato l'IP per google.com:

dns.qry.name == "google.it"

Mostra query DNS e corrispondenza per record A:

dns.qry.type == 1

Mostra query DNS e abbina qualsiasi record AAAA:

dns.qry.type == 28

Mostra le prove in cui per il record A come IP è stato inviato 216.58.196.3:

dns.a == 216.58.196.3

Mostra le correzioni in cui per il record AAAA come IP è stato corretto 2a01:4f8:172:1d86::1:

dns.aaaa == 2a01:4f8:172:1d86::1

Mostra record da CNAME apollo.archlinux.org:

dns.cname == "apollo.archlinux.org"

Mostra il tipo di matrimonio over 30:

dns.resp.len > 30

Mostra richieste con più di 25:

dns.qry.name.len >25

Mostra i tipi di server DNS in cui è disponibile la ricorsione:

dns.flags.recavail == 1

Mostra i tipi di server DNS, sui quali la ricorsione non è disponibile:

dns.flags.recavail == 0

Qual è il motivo della ricorsione (poiché il server DNS non ha informazioni sul nome host, è colpa di altri server DNS nella ricerca di informazioni):

dns.flags.recdesired == 1

Come stare alla richiesta 1 , quindi è necessaria la ricorsione, quindi 0 - otzhe, non c'è bazhana.

Accetta dati non autenticati ( 0 significa non accettare 1 significa accettare):

dns.flags.checkdisable == 0

Per capire come vengono assegnati gli indirizzi IP tramite il protocollo DHCP:

Udp.dstport==67

bootp.option.dhcp

Per mostrare la richiesta DHCP:

bootp.option.dhcp==3

Per mostrare DHCP Discover:

bootp.option.dhcp==1

Filtro PMI. Questo filtro nella colonna Info mostra l'intero albero (cool) del giorno, le directory selezionate ei file selezionati nella traccia.

smb2.cmd==3 o smb2.cmd==5

Filtri per frame Wi-Fi

Mostra gli elementi di alcune strette di mano (per inquadrare il protocollo EAPOL):

Mostra frame Beacon:

wlan.fc.type_subtype == 0x08

Mostra frame di risposta della sonda:

wlan.fc.type_subtype == 0x05

Mostra tutto in una volta: EAPOL, beacon, risposta della sonda:

wlan.fc.type_subtype == 0x08 || wlan.fc.type_subtype == 0x05 || eapol

Mostra frame non drone per un singolo componente aggiuntivo con l'indirizzo MAC del BSSID:

wlan.addr==BSSID

Mostra EAPOL, beacon, risposta della sonda per un allegato di brano con indirizzo MAC 28:28:5D:6C:16:24:

(wlan.fc.type_subtype == 0x08 || wlan.fc.type_subtype == 0x05 || eapol) && wlan.addr==28:28:5D:6C:16:24

Visualizzazione del PMKID salvato:

Eapol && wlan.rsn.ie.pmkid

Mostra PMKID, beacon, risposta della sonda:

(wlan.fc.type_subtype == 0x08 || wlan.fc.type_subtype == 0x05 || (eapol && wlan.rsn.ie.pmkid))

Mostra PMKID, Beacon, Probe Response per AP con indirizzo MAC 40:3D:EC:C2:72:B8:

(wlan.fc.type_subtype == 0x08 || wlan.fc.type_subtype == 0x05 || (eapol && wlan.rsn.ie.pmkid)) && wlan.addr==40:3D:EC:C2:72:B8

Mostra solo il primo promemoria dell'agitazione della mano:

Wlan_rsna_eapol.keydes.msgnr == 1

Mostra a più di un amico il promemoria della stretta di mano (puoi vincere ricordando la stretta di mano con qualsiasi numero):

Wlan_rsna_eapol.keydes.msgnr == 2

Mostra frame per access point con data rate (Data Rate) 1 Mb/s:

Wlan_radio.data_rate == 1

Mostra frame per punti di accesso con velocità superiore a 10 Mb/s:

Wlan_radio.data_rate > 10

Mostra i punti di accesso sulla frequenza del brano:

Radiotap.canale.freq == 2412

Mostra hotspot con bassa potenza del segnale:

Wlan_radio.signal_dbm > -50

Filtri, collegati alla presenza di un'antenna:

Radiotap.present.antenna == 1

Radiotap.antenna == 1

Se conosci altri filtri Wireshark, condividili nei commenti.

Iscrizione

La rete di computer robotici e lo stack di nodi mesh a volte presentano problemi, le cui cause sono importanti da rivelare dalle più importanti utilità di raccolta di statistiche (ad esempio, netstat) e componenti aggiuntivi standard basati sul protocollo ICMP (ping, traceroute/ tracert, ecc.). In tali casi, per la diagnosi dei problemi, è spesso necessario utilizzare dati più specifici, che consentono di visualizzare (ascoltare) il flusso del traffico e analizzarlo su una singola trasmissione degli stessi protocolli. "annusare", annusare).

Puri analizzatori di protocollo o "sniffatore"є marrone stonato strumenti per il follow-up del comportamento dei nodi della mesh e il rilevamento di malfunzionamenti nella mesh del robot. Zrozumilo, come se fosse uno zasib, ad esempio, gostry low, uno sniffer può essere altrettanto bravo nelle mani di un amministratore di sistema o di un ingegnere con sicurezza informatica, così come una malizia nelle mani di un malintenzionato informatico.

Suona come un vicorista per software più specializzato Modalità "rootless" (promiscua) dell'adattatore di tethering robotico monitor del computer (zocrema, per interferire con il traffico del segmento merezhny, la porta dello switch del router). Come puoi vedere, l'essenza di quale regime deve essere creato prima dell'elaborazione di tutti i frame che arrivano all'interfaccia., e non solo l'indirizzo MAC della scheda tethered e quelle larghe, come dovrebbe essere nella modalità considerevole.

Guardando questo articolo prodotto Wiresharkє ampiamente utilizzato come strumento per l'analisi trasversale e interattiva della fusione del traffico, infatti, lo standard per l'industria e l'istruzione. Prima caratteristiche principali di Wireshark puoi vedere: piattaforma ricca (Windows, Linux, Mac OS, FreeBSD, Solaris e in); capacità di analizzare centinaia di protocolli diversi; supporto per la modalità di lavoro grafica e per l'interfaccia a riga di comando (utility tshark); Spingerò il sistema di filtraggio del traffico; esportazione dei risultati del lavoro in formato XML, PostScript, CSV.

Un fatto importante è che Wireshark non è sicuro per il software con codice open source, concesso in licenza con licenza GNU GPLv2, quindi puoi vincere liberamente il prodotto a tua discrezione.

Installazione di Wireshark

La versione rimanente di Wireshark per i sistemi operativi Windows e OS X, così come il codice di output, può essere scaricare dal sito del progetto. Per le distribuzioni Linux ei sistemi BSD, questo prodotto è disponibile da repository alternativi standard. Le foto pubblicate in questo articolo provengono dalla versione 1.6.2 di Wireshark per Windows. La maggior parte delle prime versioni del software, che possono essere trovate nei repository di sistemi operativi simili a Unix, possono anche essere violate con successo, i frammenti di Wireshark sono stati a lungo un prodotto stabile e funzionale.

Il robot Wireshark è basato sulla libreria Pcap (Packet Capture), che è un'interfaccia di programmazione dell'applicazione per l'implementazione di funzioni di basso livello nell'interfacciamento con interfacce di rete (sovrapposizione e generazione di parecchie trasmissioni di protocolli di rete e protocolli in reti locali) . La libreria Pcap è anche la base per tali strumenti di unione, come tcpdump, snort, nmap, kismet, ecc. Per i sistemi simili a Unix, Pcap si trova nei repository software standard. Per la famiglia dei sistemi operativi Windows, esiste una versione di Pcap, chiamata Winpcap. Її può scaricare dal sito del progetto. Beh, ovviamente non ne hai bisogno per nessun altro.La libreria Winpcap è inclusa nel pacchetto di installazione di Wireshark per Windows.

Il processo di installazione del programma non è pieghevole, sia esso un sistema operativo, con una modifica, consapevolmente, per le specifiche della piattaforma che hai scelto. Наприклад, Wireshark в Debian/Ubuntu встановлюється так, що непривілейовані користувачі за замовчуванням не мають права перехоплювати пакети, тому програму потрібно запускати з використанням механізму зміни ідентифікатора користувача sudo (або зробити необхідні маніпуляції відповідно до документації стандартного DEB-пакета).

Azi Roboty di Wireshark

Interfaccia di richiesta Wireshark basata sulla libreria GTK+(kit di strumenti GIMP). Il programma di headline comprende i seguenti elementi: menu, barre degli strumenti e filtri per la revisione, elenco dei pacchetti, descrizione dettagliata del pacchetto selezionato, visualizzazione dei byte del pacchetto (nella sedicesima forma e nel testo visibile) e di seguito diventerò:

Va notato che l'interfaccia del programma è buona per il funzionamento, per essere ergonomica e altamente intuitiva, che consente di concentrarsi sulla tessitura dei processi di pizzo, senza preoccuparsi del dribnitsy. Inoltre, tutte le possibilità e i dettagli del wiki di Wireshark sono descritti in dettaglio in aiuto di un koristuvach. Pertanto, in questo articolo, l'enfasi principale è data alle capacità funzionali del prodotto, che possono essere viste, anche alle caratteristiche di sniffer simili, ad esempio, con l'utilità della console tcpdump.

Inoltre, l'ergonomia di Wireshark consente di proteggere le interazioni mesh. Tutto è suddiviso in modo tale che, dopo aver inviato il pacchetto mesh alla lista, toglierà la possibilità di guardare tutte le intestazioni (condivisioni), nonché il valore di innaffiare la palla di pelle del pacchetto mesh, a partire dal wrapper - al frame Ethernet, senza la metà dell'intestazione IP, l'intestazione del livello di trasporto e i dati del protocollo dell'applicazione, come un pacchetto.

I dati di output per l'elaborazione possono essere prelevati da Wireshark in tempo reale o importati dal file di dump del traffico e il file di dump per l'analisi può essere combinato "al volo" in uno solo.

Il problema di cercare i pacchetti necessari nei grandi obblighi di traffico sovrautilizzato sta violando due tipi di filtri: raccolta traffico (filtri cattura) e yoga visualizzare i filtri. I filtri per la raccolta Wireshark si basano sui filtri della mia libreria Pcap, cioè. la sintassi è simile a quella dell'utilità tcpdump. Il filtro è una serie di primitive combinate, se necessario, da funzioni logiche (and, or, not). Spesso i filtri vikoristuvannye possono essere salvati profili per citazione ripetuta.

La miniatura mostra il profilo del filtro Wireshark:

Anche l'analizzatore di pacchetti Wireshark è molto semplice, ma ricco di funzionalità filtraggio della lingua. Il valore del campo skin nell'intestazione del pacchetto può essere utilizzato come criterio di filtraggio(ad esempio, ip.src - indirizzi IP del dzherel nel pacchetto unito, frame.len - la lunghezza del frame Ethernet). Per un'operazione aggiuntiva, il valore dei campi può essere impostato su determinati valori(ad esempio, frame.len e viraziv dovrebbero essere sostituiti con operatori logici (ad esempio: ip.src==10.0.0.5 e tcp.flags.fin). Un buon aiuto per il processo di costruzione di viraziv è vikno nalashtuvannya governa vіdobrazhennya (Filter Expression):

Effettuare un'analisi dei pacchetti misurati

Pertanto, i protocolli senza una data di chiusura possono essere seguiti semplicemente esaminando alcuni pacchetti e una revisione delle statistiche, elaborando l'orientamento robotico della chiusura dei protocolli e chiedendo in modo significativo l'ovvietà di ulteriori possibilità per analizzare l'andamento delle interazioni mesh .

Una delle funzioni di base di Wireshark è il punto "Segui flusso TCP"(letteralmente, "Segui il flusso TCP") Modificherò il menu "Analizza", che consente di recuperare i dati del protocollo dell'applicazione dal segmento TCP nel flusso, che dovrebbe contenere il pacchetto selezionato:

Un altro punto per l'analisi dei sottomenu - "Composito informazioni per esperti", che viene chiamato dal sistema esperto Wireshark, se cerca di rilevare grazie e rispetto nei pacchetti, vede automaticamente i dump e li caratterizza. Questo modulo viene riacquistato dal processo di espansione ed è completamente aggiornato dalla versione alla versione del programma.

In cima alle statistiche "Statistiche" Opzioni selezionate che consentono di analizzare tutte le caratteristiche statistiche del traffico in elaborazione, indurre grafici dell'intensità del flusso di traffico, analizzare l'ora di servizio, ecc. Sì, punto "Gerarchia del protocollo" visualizza le statistiche sull'elenco dei protocolli nella visualizzazione della gerarchia dei protocolli dal numero del cento per cento al traffico totale, il numero di pacchetti e byte trasmessi dal protocollo cis.

Funzione "Punto finale" fornisce statistiche bugatory sul traffico di input/output del nodo skin. Paragrafo "Conversazioni"(letteralmente, “rimuovere”) permette di indicare il traffico di diversi protocolli (canale, rete e livello di trasporto del modello di mutua interoperabilità dei sistemi) trasmesso tra i nodi, che si modificano reciprocamente uno per uno. Funzione "Lunghezze pacchetto" Dobrazhaє pacchetti rozpodіl per їх dozhinoy.

Paragrafo "Grafico di flusso..." presenta i flussi di pacchetti a un visualizzatore grafico. Con questo, quando selezioni un elemento sul grafico, il pacchetto diventa attivo nell'elenco nella finestra principale del programma:

Altri sottomenu nelle restanti versioni di Wireshark hanno introdotto la telefonia IP. Il sottomenu "Strumenti" ha un elemento "Regole ACL del firewall", per il pacchetto selezionato, prova a creare una regola di inter-merge screen (nella versione 1.6.x, sono supportati i seguenti formati: Cisco IOS, IP Filter, IPFirewall, Netfilter, Packet Filter e Windows Firewall).

Il programma può essere utilizzato anche come interprete leggero Programmazione film Lua. Usando Lua, puoi creare vari "decodificatori" di protocolli e pod wireshark.

Vice Uz'yaznennya

Wireshark Analyzer di Wireshark è un esempio di un prodotto Opensource che ha successo come parte della piattaforma Unix/Linux, così popolare negli ambienti Windows e Mac OS X. La puzza di birra, in primo luogo, è costata un sacco di soldi, in un modo diverso, ripiegabile nel padroneggiare quello sfruttamento; In terzo luogo, devi essere consapevole che non tutto può essere automatizzato e anche un sistema esperto non può sostituire un buon specialista. Quindi, poiché ti trovi di fronte al compito di richiedere l'analisi del traffico tethered, Wireshark è lo strumento che fa per te. E il rango di comando shanuvalniks può utilizzare l'utilità tshark - versione per console di Wireshark.