Wireshark'ta nasıl casusluk yapılır? Trafik analizi. Wi-Fi çerçeveleri için Wireshark Filtreleri
Wireshark, bilgisayarınızın ağ arabiriminden geçen trafiği analiz etmek için kullanılabilen güçlü bir ağ analiz aracıdır. Ağdaki sorunları tespit edip çözmek, web eklentilerinizi, yazılımlarınızı ve sitelerinizi geliştirmek gerekebilir. Wireshark, paketi her seviyede yeniden incelemenizi sağlar, böylece ağı düşük seviyede nasıl uygulayacağınızı daha iyi anlayabilirsiniz.
Tüm paketler gerçek zamanlı olarak ve okuma için kullanışlı bir biçimde dönüştürülür. Program, gerekli paketleri bilmenize yardımcı olacağından, filtreleme sistemini, renk eşleştirmeyi ve diğer özellikleri daha da geliştirecektir. Bu talimatlarda, trafiği analiz etmek için Wireshark'ın nasıl kullanıldığını görebiliriz. Son zamanlarda, perakendeciler başka bir aptalca Wireshark 2.0 programı üzerinde çalışmaya geçtiler ve bu programda, özellikle arayüz için kişisel olmayan değişiklikler ve iyileştirmeler yapıldı. Kendisi її mi vikoristovuvatimemo ve tsіy statti.
Wireshark Çekirdek Yetenekleri
Bundan önce, trafiği analiz etme yöntemlerini incelemeye geçelim, rapor programını desteklemenin ne kadar mümkün olduğuna, hangi protokollerle pratik yapabileceğinize ve çalışabileceğinize bakmak gerekir. Programın ana yeteneğinin ekseni:
- Paketlerin gerçek zamanlı olarak farklı türde bir dart bağlantı noktasından depolanması ve bir dosyadan okumaya başlanması;
- Aşağıdaki arabirimler desteklenir: Ethernet, IEEE 802.11, PPP ve yerel sanal arabirimler;
- Ek filtreler için anonim parametreler için paketler değiştirilebilir;
- Listede farklı renklerle tüm protokol türleri görüntülenir, örneğin TCP, HTTP, FTP, DNS, ICMP vb.
- Trafik VoIP çağrılarını yakalama desteği;
- Sertifikanın varlığı için HTTPS trafiğinin şifresinin çözülmesi desteklenir;
- Anahtarın varlığı ve el sıkışma için WEP, kablosuz ağların WPA trafiğinin şifresinin çözülmesi;
- birleşmeyle ilgili istatistiklerin görüntülenmesi;
- Tüm eşit ölçüler için Pereglyad vm_stu paktіv;
- Otrimannya paketlerinin güçlenmesinin saatini görmek.
Programın başka işlevi yoktur, yalnızca ana işlevleri size ilham verebilir.
Yak koristuvatisya Wireshark
Programın zaten kurulu olduğunu varsayıyorum, ancak değilse, resmi depolardan kurabilirsiniz. Ubuntu'da hangi tür komut için:
$ sudo apt wireshark'ı kurun
Kurulduktan sonra, programı dağıtımın ana menüsünde bulabilirsiniz. Wireshark'ı süper doğru haklarla çalıştırmanız gerekir, aksi takdirde program ağ bağlantılı paketleri analiz edemez. KDE için ek komutlar için ana menüden veya terminal aracılığıyla başlayabilirsiniz:
$ kdesu tel köpekbalığı
Ve Gnome/Unity için:
$ gksu tel köpekbalığı
Programın ana penceresi üç bölüme ayrılmıştır, ilk sütun analiz için kullanılabilecek arayüzlerin bir listesini, dosyaları açmak için başka bir seçeneği ve üçüncü sütun yardım içindir.
Birleştirme trafiğinin analizi
Analizi başlatmak için bir ağ arabirimi seçin, örneğin eth0 ve düğmesine basın başlangıç.
Bu olursa, arayüzden geçerken paketlerin akışıyla gelip gidecektir. Fiyat ayrıca çaça parçalarına ayrılmıştır:
- Üst parça- farklı düğmelere sahip aynı menü ve panel;
- paket listesi- analiz ettiğiniz gibi gevşek torbaların akışını görelim;
- pakete dahil- rozashovaniya vmіst vibrannogo paketinden daha düşük troklar, nakliye rіvnya nadas kategorileri için razbity;
- Gerçek Görünüm- en altta, paketi hem gerçek görünümde hem de HEX görünümünde görebilirsiniz.
Hepsini birlikte analiz etmek için herhangi bir pakete tıklayabilirsiniz:
Burada sitenin ip adresini almak için paketi DNS'ye göndereceğiz, isteğin kendisinde etki alanını üst üste koyuyoruz ve pakette isteğin yanı sıra gücümüzü alacağız.
Daha iyi bir inceleme için, girişe tıklayarak paketi yeni pencerede açabilirsiniz:
Wireshark filtreleri
Paketleri elle sıralamak, neye ihtiyacınız olduğunu bilmek kullanışlı değildir, özellikle aktif potansiyelde. Bu nedenle, böyle bir görev için filtreyi değiştirmek daha iyidir. Menünün altında filtrelerin tanıtılması için özel bir satır vardır. Filtre oluşturucuyu açmak için bir İfade yazabilirsiniz, ancak bunlardan çok var, bu yüzden başa bakıyoruz:
- ip.dst- numara ip adresi;
- ip.src- yöneticinin IP adresleri;
- ip.addr- sahibinin yöneticisinin ip adresi;
- ip.proto- Protokol;
- tcp.dstport- kabul limanı;
- tcp.srcport- kaynağın bağlantı noktası;
- ip.ttl- ttl ile filtrele, sınır çizgisini belirler;
- http.request_uri- İstenen site adresleri.
Alan ve filtre değerleri arasındaki değeri eşleştirmek için aşağıdaki işleçleri seçebilirsiniz:
- == - bir;
- != - sağlıklı değil;
- < - az;
- > - Daha fazla;
- <= - daha az veya daha az pahalı;
- >= - Az çok;
- maçlar- Düzenli ifade;
- içerir- İntikam.
Virüs sayısını azaltmak için şunları durdurabilirsiniz:
- && - bir paketle ilgili kızgınlık;
- || - Yapabiliriz ama virazivlerden birini alacağız.
Şimdi filtre çaçasının dipçiklerine bir göz atalım ve vodnosin'in tüm belirtilerine bakmaya çalışalım.
194.67.215.125'e (losst.ru) iletilen tüm paketleri filtreliyoruz. Filtre alanında bir satır çevirin ve tuşuna basın. uygula. Anlaşılır olması için, yardım düğmesi için wireshark filtreleri kaydedilebilir Kaydetmek:
ip.dst == 194.67.215.125
Ve sadece gönderilen paketleri değil, aynı üniversitedeki kaynaktan da almak için iki akıl kullanabilirsiniz:
ip.dst == 194.67.215.125 || ip.src == 194.67.215.125
Büyük dosyaları da seçebiliriz:
http.content_length > 5000
İçerik Türünü filtreledikten sonra, tüm resimleri seçebiliriz, eğer ilgilenirlerse, görüntü kelimesini içeren paketler olan wireshark trafiğini analiz edebiliriz:
http.content_type resim içeriyor
Filtreyi temizlemek için düğmeye basabilirsiniz. Temizlemek. Filtreleme için ihtiyacınız olan tüm bilgileri bilmiyorsunuz, ancak bunu basit tutmak istiyorsunuz. Paketin alanının bir sütun gibi olup olmadığını ekleyebilir ve dış görünüm paketi için ana pencere yerine ona bakabilirsiniz.
Örneğin, paketin ttl (saat ömrü) sütunlarını görüntülemek istiyorum. Paket ile ilgili bilgileri girmek için IP bölümündeki alanı bilmeniz gerekir. Ardından bağlam menüsünü tıklayın ve bir seçenek belirleyin Sütun Olarak Uygula:
Herhangi bir faydalı alan bazında filtre oluşturmak da mümkündür. Alanı seçin ve bağlam menüsünü tıklayın, ardından tıklayın Filtre olarak uygula veya Filtre olarak hazırla, ardından seçin Seçildi seçilen değerden daha azını girmek için sob veya Seçili değil, bunları temizlemek için:
Belirtilen alan kendi değerine sahip olacak veya filtre alanının yanında başka bir şekilde sunulacak:
Bu sayede filtreye ister paket ister kolon şeklinde bir alan ekleyebilirsiniz. Bağlam menüsünde de bir seçenek var. Protokolleri filtrelemek için kazanabilir ve sadece düşünebilirsiniz. Örneğin, HTTP ve DNS protokolleri için Wireshark trafiğini analiz edebiliriz:
Başka bir program olasılığı, bir bilgisayar ve bir sunucu arasında şarkı söyleme oturumu yürütmek için Wireshark wiki'dir. Bunun için paketin içerik menüsünü açın ve seçin TCP akışını takip et.
Sunucu ve istemci arasında aktarılan tüm verileri bileceğiniz zaferle kontrol edelim:
Wireshark Sorunlarını Teşhis Etme
Belki de, Wireshark 2'nin merezhі'daki sorunları tanımlamak için nasıl kullanılabileceğini tsіkavo. Bunun için sol alt katta yuvarlak bir düğme var, üzerine basıldığında pencere açılıyor Uzman Araçlar. Yeni Wireshark, merezhі'daki aflar ve sorunlar hakkındaki tüm bilgileri toplar:
Pencere Hatalar, Uyarılar, Bildirimler, Sohbetler gibi sekmelere bölünmüştür. Program, kişisel olmayan sorunları sınırdan filtrelemenize ve bilmenize izin verir ve burada bundan daha fazlasını yapabilirsiniz. Wireshark filtreleri de buraya eklenir.
Wireshark trafik analizi
Coristuvachi'den etkilendiğinizi ve dosyaların kötü koktuğunu ve günün şifrelenmemiş olmasına şaşırdığınızı kolayca anlayabilirsiniz. Program, içeriği yönetme konusunda iyi bir iş çıkarıyor.
Bu nedenle panel üzerinde kırmızı bir kare yardımıyla trafiği kürekle arkasına almak gerekir. menüyü açalım Dosya -> Nesneleri Dışa Aktar -> HTTP:
Bu yardımcı program çok zordur, çünkü birçok işlevi olabilir. Tüm işlevler tek bir makaleye sığdırılamaz, ancak sağlanan temel bilgiler, ihtiyacınız olan her şeyi kendi başınıza öğrenebilmeniz için yeterli olacaktır.
İlgili eklentilerin ve düğümlerin davranışını takip etmek ve robotik ölçümdeki sorunları tespit etmek için genellikle ilgili paketlerin analizörlerine başvurulur. Bu tür yazılımların temel özellikleri, öncelikle çeşitli analitiklerin fizibilitesi ve başka bir şekilde, kesintisiz bir trafik akışında bilgi zenginliğini görselleştirmenize olanak tanıyan zengin işlevsel paket filtrelemesidir. Kalan i yönü makaleye atanır.
giriş
Trafik analizinin en iyi bilgisayar analizi yöntemlerinden üçü, belki de en zahmetli ve zahmetli olanıdır. Yoğun mevcut merezh akışları, birçok "ham" malzemeye yol açar, bazı temel bilgileri bilmek kolay olmaktan uzaktır. Kuruluşundan sonraki bir saat içinde, TCP/IP yığını yüzbinlerce olmak üzere çok sayıda ekleme ve eklemeyle doldu. Tüm uygulama ve hizmet protokolleri, kimlik doğrulama protokolleri, tünelleme, yalnızca ölçüme erişim. Birlikte çalışabilirliğin karşılıklı bağımlılığı, son trafik (tobto you) hakkındaki Kırım bilgisi, tüm protokol farklılıkları tarafından yönlendirilmek ve belirli yazılım araçlarıyla - koklayıcılar, aksi takdirde bilimsel, trafik analizörleri (protokoller) ile pratik yapmak için gereklidir.
Sniffer'ın işlevselliği, geçersiz kılma için yalnızca robotik kartın "anlaşılmaz" (promiscuos) modunu kullanma olasılığı değildir. Bu tür yazılımlar, toplama aşamasında olduğu gibi trafiği verimli bir şekilde filtrelemekten ve aynı zamanda ilk birkaç iletimden (çerçeveler, paketler, segmentler, datagramlar, uyarılar) sorumludur. Ayrıca, daha fazla protokol sniffer "bilmek" için daha kısadır.
Modern protokol analizörlerinin yapacak çok şeyi vardır: trafik istatistiklerini analiz edin, etkileşimleri birleştirme sürecinin grafiklerini çizin, uygulanan protokollerden veri alın, çalışma sonuçlarını çeşitli biçimlerde dışa aktarın... ї arayın. Ne seçeceğinizi bilmiyorsanız veya ücretli bir yazılıma para harcamak istemiyorsanız, basit bir zevkle acele edin: Wireshark'ı kurun.
Filtrelerle tanışın
Wireshark iki tür filtreyi destekler:
- trafik taşması (yakalama filtreleri);
- filtreleri göster.
İlk alt sistem, Wireshark tarafından, robotik arabirim için düşük seviyeli bir API sağlayan Pcap kitaplığının serpintisinden kaldırıldı. Uzun bir süre ve bir saatlik aşırı kalabalık için trafik seçmek, bir sabit sürücüde operasyonel bellek ve alandan tasarruf etmenizi sağlar. Filtre, gerekirse mantıksal işlevlerle (ve, veya, değil) birleştirilen bir grup ilkelden oluşan bir virazdır. Bu virüs, Yakalama seçenekleri iletişim kutusunun Yakalama Filtresi alanına kaydedilir. Mümkün olan en büyük filtre birlikte yaşama, yeniden eşleştirme için profilden alınabilir (Şekil 1).
Pirinç. 1. Filtre profili
Filtrelerin dili, Açık Kaynak dünyası için standarttır ve birçok Pcap tabanlı ürün vardır (örneğin, tcpdump yardımcı programı veya Snort saldırı tespit/caydırma sistemi). Bu nedenle, burada sözdizimini tanımlamanın özel bir anlamı yoktur; Belgelerdeki ayrıntılara da bakabilirsiniz, örneğin Linux'ta pcap-filter(7) gelişmiş şifreleme tarafında.
Filtreler aynı trafik tarafından kullanılır ve Wireshark için "ortaktır". Vіdminnosti vіd Pcap - kayıt biçiminde (zocrema, su dağıtıcısı olarak bir nokta var); ayrıca mutabakat ve alt bölümlerin alt bölümlere ayrılması işlemlerinde İngilizce notasyonu ekleyin.
“Filtre” düğmesinden sonra (konuşmadan önce, düğmenin altında sık sık seçilen yanıtlar için bir profil girin) programın ana penceresinin giriş alanında (saygı, bilgi istemi listesini kullanın, ne seçilmelidir) görüntülemek için bir filtre girebilirsiniz. Ve yakındaki “İfade…” düğmesine basarsanız, zengin işlevselliğe sahip bir Viraz kurucusu görünecektir (Şek. 2).
Livoruch (Alan Adı), Wireshark'ta olduğu gibi, protokollerin alan ağacının alfabetik sırasına göre sunulur. Bu alan için bir mantıksal operatör (İlişki), bir değer (Değer), bir aralık (Range) girebilir veya listeden bir değer seçebilirsiniz (Öntanımlı Değer). Zagalom, bir vіknі'da Povna Merezheva ansiklopedisi.
Ekranın filtrelerinde galip gelen mantıksal operatörlerin ekseni:
- ve (&&) - "І";
- veya (||) - "ABO";
- xor (^^) - "ABO" içerir;
- not(!) - listelenmemiş;
- [...] - bir sözleşme seçimi. # Tüm yerel trafiği kapatmak için birleştirme adaptörünüzün MAC adresini filtrelemek (eth.addr eq aa:bb:cc:22:33:44) # Bizi cıvıldamak için trafiğe odaklanmak için tüm "hizmet gürültüsünü" kaldırın! (arp veya icmp veya dns)
Pekala, bir sözleşme seçmeden önce mantıklı bir işlem değil, daha da bayat bir seçenek istiyoruz. Vaughn, dizinin tek bir bölümünü almanıza izin verir. Örneğin, bu şekilde dzherel'in MAC adresi alanının ilk satırında (kare kemerlerdeki ilk sayı kullanılır) üç bayt (iki kattan sonraki sayı - sondan ikinci sayı) kazanmak mümkündür:
Eth.src == 00:19:5b
İki katlı modele sahip vibratörler için parametrelerden biri atlanabilir. Randevuyu kaçırırsanız, vibirka sıfır bayttan başlayacaktır. Bir dovzhina gibi, evlat edinmeden alanın sonuna kadar tüm baytları alıyoruz.
Konuşmadan önce, açılır listeden kötü amaçlı yazılım algılama sırasını manuel olarak seçin, böylece başlıktan sonra gelen bayt sırasını görebilirsiniz (örneğin, UDP paketinde "0x90, 0x90, 0x90, 0x04"):
udp == 90:90:90:04
Mantıksal satırlarda kazanan eşleştirme işlemleri:
- eq (==) - bir;
- ne (!=) - bir değil;
- gt (>) - daha fazla;
- lt (<) - меньше;
- ge (>=) - birden fazla;
- le(<=) - меньше или равно.tcp.dstport ne 8080 && tcp.len gt 0 && data eq A0
Vlasne, teoriyi yeterince bitireceğim. Vikoristovuy'a ihtiyaç için ve onsuz sağlıklı gözler ve yaylar verdi. Ayrıca, filtrenin esasen mantıklı olduğunu unutmayın: eğer doğruysa, o zaman paket ekranda kötü değilse de görünecektir - değil.
Netbios portlarının taranmasını algılamak için Pcap filtresi
dst bağlantı noktası 135 veya dst bağlantı noktası 445 veya dst bağlantı noktası 1433 ve tcp & (tcp-syn) != 0 ve tcp & (tcp-ack) = 0 ve src net 192.168.56.0/24Shukaёmo vkradacha IP adresleri
Yerel ağlar bölümünde, tuzak (başka nedenlerle) iki veya daha fazla düğümün IP adresini alır. Evdeki çakışan sistemlerin “vilovu” (MAC adresini tanımlama) yöntemi: üçüncü bilgisayarda bir dinleyici başlatıyoruz, ARP önbelleğini temizliyoruz ve MAC'i aptal IP'ye göndermesi için teşvik ediyoruz, örneğin onu destekleyerek:
# arp -d 192.168.56.5 # ping -n -c 1 192.168.56.5
Ve sonra aşırı kalabalık trafiğe şaka yapacağız, bazı MAC'lerden iyi niyetle geldiler. Wireshark gibi, pek çok paket yakaladıktan sonra, tasarımcının yardımı için bir filtre oluşturuyoruz. Virazın ilk bölümünde, diğer bölümde ARP-Vidpoly'yi seçin - IP adreslerinin en iyi arkadaşa gösterildiği notlar. İlkellikler && operatörüyle birleştirilir, bunun için gereklidir, böylece hakaretler bir anda yıkanır:
(arp.opcode == cevap) && (arp.src.proto_ipv4 == 192.168.56.5)
O zamana kadar bilgisayar ağı bu senaryoda herhangi bir zarar görmedi çünkü iki Oracle VirtualBox sanal makinesi ve “Virtual Host Adapter” tipine bağlı bir ağ yenildi.
Eskrim ve taşıma hatlarının denetimi
Bu saate kadar, ICMP protokolü, birleştirilmiş yığını teşhis etmenin etkili bir yolu tarafından reddedildi. Protokole ek olarak, önlemin sorunları hakkında değerli bilgiler alabilirsiniz.
Bildiğiniz gibi, Wireshark'tan ICMP'yi filtrelemek kolaydır. Programın ana penceresindeki bir sıra filtrenin şunu yazması için yeterlidir: icmp. Crim icmp, use ve protokol adları olan diğer birçok anahtar kelime, örneğin arp, ip, tcp, udp, snmp, smb, http, ftp, ssh ve diğerleri.
ICMP trafiği zengin olsa da, örneğin yankı istekleri (tip 0) ve yankı istekleri (tür 8) dahil olmak üzere ayrıntıları görüntüleyebilirsiniz:
Icmp ve ((icmp.type ne 0) ve (icmp.type ne 8))
Şek. Bir test Linux yönlendiricisi tarafından oluşturulan küçük bir ICMP uyarısı seçiminin 4 okuması. Duyuru "Port Unreachable" sesi kilit için muzaffer. Kazanmayan bağlantı noktasına UDP datagramları gönderildiğinde yığın tarafından üretilir. Debian tabanlı bir sanal yönlendirici, Host unreachable ve Communication yönetimsel olarak filtrelenmiş olarak güncellenmeye başladıktan sonra, onu kurcalama şansım oldu. Cisco için yönetimsel filtreleme hakkında bilgi almak için lütfen arayınız. Böyle bir merezhі mesafesindeki bir döngünün varlığından bahsetmek için "Yaşam süresi aşıldı" bildirimi (bir rota yönlendirilirse, bu tür paketler de görünebilir).
Konuşmadan önce ara ekranlar hakkında. Araçlar menüsündeki Güvenlik Duvarı ACL Kuralları öğesini kullanarak doğrudan Wireshark'tan popüler güvenlik duvarları için kurallar oluşturabilirsiniz. Önceden, bir paket seçmeniz gerekir, neyin seçileceği hakkında bilgi. Mevcut standart Cisco ACL uzantıları, UNIX benzeri ürün kuralları IP Filtresi, IP Güvenlik Duvarı (ipfw), Netfilter (iptables), Paket Filtresi (pf) ve Windows Güvenlik Duvarı (netsh).
Ve şimdi kısaca sınırda filtrelemenin temelleri hakkında, IP paket başlık alanlarını ayarlamanın temeli - yöneticinin adresi (ip.src) ve sahibinin adresi (ip.dst):
(ip.src == 192.168.56.6) | (ip.dst == 192.168.56.6)
Yani tüm paketlere sahibiz, onları aldılar ya da IP adresine gönderdiler. Maske girişinin CIDR gösterimini kullanarak pidmerezh sayısını filtreleyebilirsiniz. Örneğin, spam uzantısı olan ana bilgisayarın bulaştığını görebiliriz (burada 192.168.56.251, SMTP sunucumuzun IP adresidir):
ip.src == 192.168.56.0/24 ve tcp.dstport == 25 ve !(ip.dst == 192.168.56.251)
Konuşmadan önce, MAC adreslerinin seçimi için eth.src, eth.dst ve eth.addr ilkellerinin seçimini takip edin. Koşu bandı hattının diğer sorunları, teorinin altında Ethernet hattı ile ilgilidir. Zocrema, yönlendirme ayarlandığında garip bir şekilde şaşıracak, bazı yönlendiricilerin MAC adreslerinde vperty vuzol paketleri gönderiyor. Vtіm, bu kadar basit bir görev için, gözler için, UNIX benzeri sistemler için pratik olarak standart olan tcpdump yardımcı programlarını indirin.
Wireshark bağlantı noktası filtrelemesi için güç kaynağı yoktur. Hizmetlerinize TCP için anahtar sözcükler tcp.srcport, tcp.dstport ve tcp.port, UDP için - udp.srcport, udp.dstport ve udp.port'tur. Doğru, tanıtılan Wireshark film filtrelerinin, TCP'nin yanı sıra bir UDP bağlantı noktası belirleyen Pcap'teki ilkel bağlantı noktasının bir analogu yoktu. Ale ce'yi mantıksal bir viraz yardımıyla düzeltmek kolaydır, örneğin:
tcp.port == 53 || udp.port == 53 
HTTP trafiği ile doğaçlama yapın
Uygulanan protokoller, HTTP çerçevesi, koklamada aynı "ebedi" konudur. Adil olmak gerekirse, web trafiğini devam ettirmek için pek çok özel yazılımın oluşturulduğunu söylemek gerekiyor. Yine de Wireshark gibi bu kadar evrensel bir araç, bu hatalı filtreleme sistemiyle bu alanda çalışmıyor.
Koçan için ilk akla gelen siteye giderek biraz web trafiğini alıyoruz. Şimdi, sevilen bir İnternet kaynağının bilmeceleri olan HTTP için aktarım olan TCP protokolünün ayrıntılarına bakacağız:
Tcp "site" içerir
İçerir operatörü, verilen alanda siparişin varlığını kontrol eder. Maç operatörüne ek olarak, Perl-summ_snі düzenli virazi kazanmak da mümkündür.
"İfadeleri Filtrele" nin sonunda, açıkça iyi bir yardımcıydı, ancak bir saat kadar gerekli alanı aramak için uzun bir listede tıka basa doydu. Filtre oluşturmanın/değiştirmenin daha basit yolu: paketleri görüntülerken ek bağlam menüsü için. Bunun için tıklanacak alana sağ tıklayıp “Filtre Olarak Uygula” maddesinde veya “Filtre Hazırla” maddesinde bulunan alt maddelerden birini seçmeniz yeterlidir. İlk defa bir anda fikrini değiştireceksin ve bir diğerinde virazı düzeltebileceksin. "Seçildi", alanın değerinin yeni bir filtre olacağı anlamına gelir, "Seçili Değil" - aynı olanlar, yalnızca listelenmeyenler. “...” ile başlayan noktalar, mantıksal operatörlerin iyileştirilmesinin net bir görünümüne alanın değerini ekler.
Wireshark grafik arabiriminin farklı özelliklerini bir araya getirerek ve HTTP protokolünün özelliklerini bilerek, programın ana penceresinde trafiği gereken düzeye kolayca ince ayar yapabilirsiniz.
Örneğin, görüntünün nasıl göründüğünü görmek için, tarayıcı tarafı şekillendirirken web sunucusuna sorar, iletilen sunucu URI'sini analiz eden bir filtre kullanışlıdır:
(http.host eq "www..request.uri içerir ".jpg#26759185") veya (http.request.uri içerir ".png#26759185"))
Aynı, ancak farklı eşleşmelerle:
(http.host eq "www..request.uri".jpg|.png#26759185 ile eşleşir")
Farklı eşitliklerdeki protokolleri yeniden ziyaret etmek için alanların tek bir görünümde cesurca karıştırılabileceğini fark ettim. Örneğin, veri resimlerini tanımak için sunucu, istemciyi istemciye zaferle, IP paketinin adresini ve HTTP türünün "İçerik Türü" alanını iletti:
(ip.src eq 178.248.232.27) ve (http.content_type "görüntü" içerir)
Ve "Yönlendiren" HTTP istek alanı sayesinde, sitenin sevdiğiniz tarafını oluştururken tarayıcının hangi sunuculardan içerik aldığını anlayabilirsiniz:
(http.referer eq "http://www..dst eq 178.248.232.27))
Filtre-korisniklerin çaçasına bir göz atalım. GET yöntemi kullanılarak oluşturulan HTTP isteklerinden trafik seçmek için aşağıdaki viraz ile hızlandırabilirsiniz:
Http.request.method == GET
Uygulanan seviyede filtreler tüm güzellikleri ve sadelikleri ile kendilerini göstermektedir. Eşitleme uğruna: örneğin, görevi Pcap'ın yardımıyla kırmak için, böyle bir üç yüzeyli yapıyı düzeltmek mümkün olacaktır:
Bağlantı noktası 80 ve tcp[((tcp & 0xf0) >> 2):4] = 0x47455420
Açıklığa kavuşturmak gerekirse, www-connection ana bilgisayarı 192.168.56.8 ilk saat aralığına (diyelim ki bir molanın öğleden sonra) frame.time ilkelinin arkasına ayarlamaksa:
tcp.dstport == 80 && frame.time >= "9 Ocak 2013 13:00:00" && frame.time< "Yan 9, 2013 14:00:00" && ip.src == 192.168.56.8
Pekala, "oturum açma" ve "kullanıcı" kelimelerinin yanı sıra "tahmin" şifrelerinin yerini alacak olan isteğin URI'sini tahmin ediyorum:
Http.request.uri "login.*=user" ile eşleşir (http "parola" içerir) || (pop "PASS" içerir)
SSL İçeriğini Geçersiz Kılma
Trafiği birleştirme mirasının ana belası şifrelemedir. Sertifikalı bir şifre dosyanız varsa (konuşmadan önce, gözünüzün başparmağı gibi ilgilenin), o zaman SSL oturumlarında hangi kaynağın değerli olduğunu kolayca anlayabilirsiniz. Bunun için, SSL protokolü ayarlarında sunucu parametrelerini ve sertifika dosyasını belirtmenin gerekli olduğu (Düzen menüsünün Tercihler öğesi, protokoller listesinin sol tarafında SSL'yi seçin). PKCS12 ve PEM biçimleri desteklenir. Oturumun geri kalanında, dosyadan parolayı şu komutlarla kaldırmanız gerekir:
openssl pkcs12 -export -in server.pem -out aa.pfx openssl pkcs12 -in aa.pfx -out serverNoPass.pem --nodes
BİLGİ
İzleme için trafiğin izlenmesi ve ağ trafiğinin izlenmesi bir paket filtresi ile yapılır. Paket filtresi, işletim sisteminin çekirdeğinin deposuna girer ve birleştirilmiş paketleri birleştirme kartı sürücüsünden kaldırır.
UNIX benzeri işletim sistemi için paket filtre uygulamaları BPF (Berkeley Packet Filter) ve LSF'dir (Linux Socket Filter). BPF'de filtreleme, BPF yorumlayıcısı olan vaka yönelimli ilkel bir makine filmi temelinde uygulanır.
Uzak ana bilgisayarlardan gelen trafiği analiz edin
Windows sunucuları, yalnızca Wireshark'ın başlatıldığı bilgisayar arabirimleriyle çalışmakla kalmaz, aynı zamanda uzak makinelerden trafik de toplayabilir. Sağlanan WinPcap kitaplığından özel bir hizmet (Uzaktan Paket Yakalama Protokolü) vardır. Önce onu hizmet yönetimi ek bileşenine (services.msc) eklemeniz gerekir. Şimdi, uzak bir bilgisayarda Wireshark'ı başlattıktan sonra, uzak trafiğin işlendiği hizmete (muzaffer bağlantı noktası 2002'yi kilitlemek için) o düğüme bağlanabilirsiniz ve RPCAP protokol verileri size akacaktır.
Uzaktan trafik analizi için ev * nix-router "çağrısına" bağlanmak için seçenekler de getireceğim:
$ssh [e-posta korumalı]"tshark -f "bağlantı noktası !22" -i herhangi bir -w -" | wireshark -k -i -$ssh [e-posta korumalı] tcpdump -U -s0 -w - "22 numaralı bağlantı noktası değil" | wireshark -k -i -
Aracı olmalı
Wireshark, yaygın olarak kullanılan bir çapraz trafik ve etkileşimli trafik analiz aracıdır ve endüstri ve zeka için fiili bir standarttır. GNU GPLv2 lisansı altında lisanslanmıştır. Wireshark, kod çözücüler ve kodlayıcılar oluşturmak için daha fazla protokol, GTK+ tabanlı bir grafik arabirim, gelişmiş bir trafik filtreleme sistemi ve bir Lua film yorumlayıcısı kullanır.
Vityagti kahverengi bakış açısı
Şarkı bahislerinde, son bilgi nesnelerinin trafiğini "sıkılaştırmanıza" izin veren yaygın olarak kullanılan özel araçlar vardır: dosyalar, resimler, video ve ses içeriği ve daha fazlası. Zahmetli analitik alt sistemler Wireshark, çok fazla işlevsellik uğruna, analiz pencerelerinde Yükü Kaydet düğmesini arayın….
Visnovok
Ağ programlarının güvenliğiyle beslenen yeraltı bilgisayarın için için yanan selinde, alt seviyelerin anıtsal sorunları adım adım başka bir boyuta geçer. Zrozumіlo, scho saçaklar ve ulaşım rivnі vvchenі ve doslіdzhenі vzdovzh karşısında. Ale, fahіvtsі'nin, SQL-іn'єktsіyah'da büyümek, siteler arası komut dosyası oluşturma ve kapanımlar gibi, büyük toptan, buzdağının ucunun altındaki eklerden şüphelenmediği ve çoğu zaman göründüğü gibi, temel sorunlara teslim olduğu gerçeğine bahse girer.
Sniffer, tıpkı sürücü ve disassembler gibi sistemin işleyişine dair detayları en detaylı şekilde gösterir. Wireshark'ı kurduktan ve deac'ın doğruluğunu gösterdikten sonra, masum, çıplak bir bakışta birbirinizle bir pis koku gibi çalışabilirsiniz. Filtrelemene yardım edeceğim!
Sadece meçhul farklı filtreler. І shdo tsikh filtrіv є çözmenin o kadar kolay olmadığı görkemli belgeler. Benim için en iyilerini seçtim ve en yaygın olanları Wireshark filtreleridir. Koristuvachіv-pochatkіvtsіv tse için, evlilik için iyi bir nokta olan Wireshark filtreleriyle iyi bir anlaşma örneği olabilir. Bu yüzden burada, yorumlarda, sizi sık sık galip geldiğiniz gibi, büyük bilgi birikimiyle de, çalışan filtrelerle yayıyorum - onları listeye ekleyeceğim.
Wireshark'ın filtreleri görüntülemek ve saklamak için filtreleri olduğunu unutmayın. Burada, programın ana ekranında üst alanda, bir kez menünün altında ve ana işlevlerin simgeleriyle tanıtıldığı şekliyle görüntülemek için filtrelere bakıyorum.
Filtrelerin anlamını tekrar tekrar anlamak ve şarapların neyi gösterdiğini anlamak için ölçünün işini anlamak gerekir. İş akışı ilkelerini ve protokolleri anlamak için, döngünün ilk maddesi olan robotik iş akışı döngüsünün (hazırlık sürecinin diğer bölümleri) okunması önerilir.
Deyaki filtreleri burada resmi bir biçimde, deyaki vikonan ise belirli bir popo olarak yazılmıştır. Her durumda verilerinizi sağlayabileceğinizi unutmayın, örneğin, aramanız gereken bağlantı noktası numarasını değiştirebilir ve ayrıca IP adresi, MAC adresi, zaman değeri ve o numara ile aynı şekilde çalışabilirsiniz.
Wireshark filtre operatörleri
Filtreler farklı değerlerde olabilir, örneğin bir satır, on altıncı biçim veya bir sayı olabilir.
Yanlış girdi hakkında şaka yaparsanız (sayısal olmayan değerler için daha uygundur), o zaman kazanırsınız içerir. Örneğin, bir bilgisayar korsanlığı yazılımını kontrol etmek amacıyla TCP paketlerini göstermek için saldırgan bir filtre gereklidir:
Tcp bilgisayar korsanlığı içerir
Kesin değerleri aramak için işleçleri kullanın. Hadi bir bakalım:
Nasıl bachiti yapabilirsin, yazmanın iki çeşidi vardır, örneğin, filtrenin anlamının daha yeni olduğunu söylemek istiyorsak, o zaman vikoristovuvat yapabiliriz. == veya eşdeğer.
Zastosuvannyam mantıksal işlenenlerinden çıkan filtrelerle, daraltılabilir yapılar eklemek mümkündür, ancak, örneğin, aynı filtre gibi, vikoristovuvat dvіchі z operatörleri porivnyannya, örneğin burada bir bağlantı noktasına göre değil, dia bağlantı noktası aralığına göre filtrelemeye çalışırken:
tcp.port>=8000 && tcp.port<=8180
sonra filtre değeri (bu şekilde tcp.port) değerlerin geri kalanı tarafından üzerine yazılır, bu nedenle puanlama davranışının değiştirilmesinin bir sonucu olarak, çalışmanın sonucunu ve bu durumda yalnızca parçanın geri kalanını alırız.
tcp.port<=8180
Bu hatayı unutmayın!
vikoristanni s ne zaman == (Rivno) bu hata günlük.
Wireshark filtre mantıksal işleçleri
Mantık işleçleri, çeşitli zihinler için ayrıntılı filtreler oluşturmanıza olanak tanır. Ek olarak yayları, kırıkları farklı bir şekilde yenmeniz önerilir, puan alacağınız için yanlış değerler alabilirsiniz.
| Şebeke | Tanım |
|---|---|
| Ve/&& | Pis koku filtrenin her iki parçasının da göstergesiymiş gibi gösterilmesi daha mantıklı ve veridir. Örneğin, filtre ip.src==192.168.1.1 ve tcp 192.168.1.1 gibi görünen ve TCP protokolüyle ilişkili daha fazla paket gösterin. Her iki beyinden alınan verilerden daha az gösterilecektir. |
| veya/|| | Mantıksal ABO, yeterli, böylece yalnızca bir zihin doğruydu; yakscho hakaretleri doğrudur, tse tezh ortaya çıkar. örneğin filtre tcp.port==80 veya tcp.port==8080 TCP paketlerini 80 veya 8080 numaralı bağlantı noktasında göründükleri gibi (kaynak veya hedefe göre) gösterir. |
| Olumsuz/! | Bazı paketleri kapatmak istiyorsanız kazanmamak daha mantıklı. Böylece tüm paketler gösterilecek, krem artık OLMADIĞI zihinlerini tatmin edecek. örneğin filtre !dns tüm paketleri göster, okrim DNS. |
Bir kombinasyon uygulayın:
HTTP'yi göster veya DNS trafiği:
http veya dns
Bana bir tür trafik göster Kırım ARP, ICMP ve DNS:
!(arp veya icmp veya dns)
Arayüz filtresi
Yalnızca wlan0 arabiriminde yüklenen veya iptal edilen paketleri göster:
Frame.interface_name == "wlan0"
Kanal düzeyinde protokol trafiği
ARP trafiğini göstermek için:
Ekte, MAC adresi 00:c0:ca:96:cf:cb: olabilen protokole ARP çerçevelerini gösterin:
Arp.src.hw_mac == 00:c0:ca:96:cf:cb
192.168.50.90 IP adresine sahip olabilen cihaza yönlendirilen ARP protokolüne çerçeveleri göster:
arp.src.proto_ipv4 == 192.168.50.90
MAC adresi 00:00:00:00:00:00 olabilecek uzantıya gönderilen protokole ARP çerçevelerini gösterin є geniş, tobto z tsієyu adresi yerel alandaki tüm müştemilatlar için tanınır):
Arp.dst.hw_mac == 00:00:00:00:00:00
ARP çerçevelerini, IP adresi 192.168.50.1 olan hedefe gönderilen protokole gösterin:
arp.dst.proto_ipv4 == 192.168.50.1
Ethernet trafiğini göster:
MAC adresi 00:c0:ca:96:cf:cb: olabilecek ekin önünde çerçeveleri göster (ön uçlarda olduğu gibi yalnızca ARP değil, tüm çerçeveler seçildi):
Eth.src == 00:c0:ca:96:cf:cb
MAC adresi 78:cd:8e:a6:73:be olabilecek eklere gönderilen çerçeveleri göster:
Eth.dst == 78:cd:8e:a6:73:be
Inter-merezhovogo'daki protokollerin trafiği eşittir
IPv4 protokolünü filtreleme
IP trafiğini göster (burada TCP, UDP ve ek DNS, HTTP protokollerini görebilirsiniz - bu, veri aktarımı için IP adreslerini geçersiz kılmazsanız (yerel Ethernet ağları için, teslimat adresleri olarak, MAC adreslerini geçersiz kılar) kanal katmanındaki protokoller dışında pratik olarak her şeydir):
Daha kesin olmak gerekirse, kısaca IP (İnternet Protokolü) olarak adlandırılan IPv4 protokolüne trafikten kaçınmak mümkündür.
Birincil IP adresiyle ilişkili trafiği gösterin (x.x.x.x değerini yazın). ABO veri taşıyıcısı tarafından IP adreslerinin saklandığı paketler gösterilecektir:
ip.addr == x.x.x.x
İki IP adresiyle ilişkili trafiği göster. Tek bir olası mantık için, bunlardan biri dzherel'in adresi, diğeri ise teslimat adresi olacaktır.
ip.addr == x.x.x.x && ip.addr == y.y.y.y
138.201.81.199 IP adresine sahip ana bilgisayar olan trafiği göster:
ip.src == 138.201.81.199
Hangi hedefin 138.201.81.199 IP adresine sahip bir ana bilgisayar olduğu trafiği göster:
IP.dst == 138.201.81.199
Dikkat, IP protokolü IP adreslerinde çalışır, ancak bağlantı noktalarında çalışmaz. Bağlantı noktaları, TCP ve UDP protokollerinin bir parçasıdır. IP protokolü yalnızca ana bilgisayarlar arasındaki yönlendirme trafiği için geçerlidir.
Wireshark ile IP aralığı filtreleme
Bir IP adresini değiştirebilir ve aşağıdakileri girebilirsiniz:
ip.addr == 192.168.1.0/24
IP aralığına gönderilen trafiği filtreleme. Trafiği filtrelemek gerektiğinden, bir tür girişimin hatırlatıcısı olarak zihni filtreleyin:
ip.src==192.168.1.0/24
IP'nin şarkı söyleme aralığını aşmasıyla tanınan filtreleme trafiği. Herhangi bir idmerezha türünü tanıma noktası olarak trafiği filtrelemeniz gerekirse, zihni filtreleyin:
IP.dst == 192.168.1.0/24
IPv6 protokolünü filtreleme
IPv6 (İnternet Protokolü düşük sürüm) trafiğini göster:
IPv6 adresi için filtreleme. Bir IPv6 adresinin arkasına filtre uygulamak için filtreyi fitilleyin:
ipv6.addr == 2604:a880:800:c1::2ae:d001
Wireshark ile IPv6 aralığı filtreleme
Bir IPv6 adresini değiştirebilir ve filtreleme için bir alt küme belirtebilirsiniz:
ipv6.addr == 2604:a880:800:c1::2ae:d000/64
Kural olarak, böyle bir IPv6 adresinin dzherelom trafiğini filtrelemek gerekir:
ipv6.src == 2604:a880:800:c1::2ae:d001
Trafik nasıl filtrelenir, IPv6 adresine mesaj gönderilir:
ipv6.dst == 2604:a880:800:c1::2ae:d001
IPv6 aralığına gönderilen trafiği filtreleme. Trafiği filtrelemek gerektiğinden, bir tür girişimin hatırlatıcısı olarak zihni filtreleyin:
ipv6.src == 2604:a880:800:c1::2ae:d000/64
IPv6'nın şarkı söyleme aralığında uygulama için tanınan filtreleme trafiği. Herhangi bir idmerezha türünü tanıma noktası olarak trafiği filtrelemeniz gerekirse, zihni filtreleyin:
ipv6.dst == 2604:a880:800:c1::2ae:d000/64
Filtrelemeyi denemek için Wireshark'ta ICMPv6'yı (İnternet Kontrol Mesajı Protokolü - altıncı sürüme yapılan ara kerauchchih güncellemelerinin bir protokolü) filtreleme:
IPv6 için ARP'nin rolünü değiştirmek amacıyla paketleri eşleştirmek için filtreyi değiştirin:
icmpv6.type == 133 veya icmpv6.type == 134 veya icmpv6.type == 135 veya icmpv6.type == 136 veya icmpv6.type == 137
IP adresine sahip diğer filtreler, IPv6 ve IPv4 için benzerdir.
Taşıma hattının trafik protokolleri
Daha fazla TCP trafiğini artırmak için:
Trafiği, dzherelom'u veya ilk bağlantı noktası olarak tanınan bağlantı noktasını gösterin, örneğin 8080:
tcp.port==8080
Trafiği göster, ne tür bir bağlantı noktası 80:
tcp.srcport==80
Hizmetin üzerinde çalıştığı trafiği, 80 numaralı bağlantı noktasını dinleyerek gösterin:
tcp.dstport == 80
SYN bayrağı ile TCP paketlerini göster:
tcp.flags.syn==1
TCP paketlerini bir SYN bayrağı ve bir ACK bayrağıyla gösterin:
tcp.flags.syn==1 && tcp.flags.ack==0
Benzer şekilde diğer bayraklar için:
tcp.flags.syn==1 tcp.flags.ack==1 tcp.flags.reset==1 tcp.flags.fin==1 tcp.flags.cwr tcp.flags.ecn tcp.flags.urg==1 tcp.flags.push==1Ayrıca zihnin sözdizimini de değiştirebilirsiniz. tcp.flags == 0x0XX, Örneğin:
- FİN ce tcp.flags == 0x001
- SYN tcp.flags == 0x002
- RST ce tcp.flags == 0x004
- ACK ce tcp.flags == 0x010
- Bir saat ACK ve FIN kuruldu tcp.flags == 0x011
- Bir saat ACK ve SYN kuruldu tcp.flags == 0x012
- Bir saat ACK ve RST kuruldu tcp.flags == 0x014
Paketleri göstermek için, örneğin bir satır hackware olsun ya da olmasın nasıl intikam alınır:
Tcp bilgisayar korsanlığı içerir
TCP akış numarası X'i izleyin:
Tcp.stream eq X
Akış numarasına göre filtrele:
Tcp.seq == x
Paketlerin tekrarlanan aşırı dayanıklılığını göster. Takviyelerin ve harcama paketlerinin üretkenliğini artırmaya yardımcı olur:
Bu filtre sorunlu paketleri gösterdi (segmentler eklendi, diğerlerini yeniden ekledi. Bu filtre TCP Canlı Tutma paketlerini geçirir, ancak kötü koku bir sorun belirtisidir.
Tcp.analiz.flags
Avluya bağlantının kalitesini tahmin etmek için filtreler.
Gelişmiş özellikler TCP çerçevelerine kadar görülür. Dahası, koku çerçevenin başlıklarına dayanmaz - görülen özellikler (veri atlama, kopyalar) Wireshark programı tarafından analiz için atanır.
ACK bayrağına sahip çerçeveler hakkındaki bilgileri sanki kopyalarmış gibi görüntülemek için filtreleyin. Bu tür çok sayıda personel var, iletişim sorunu hakkında konuşabilirsiniz:
tcp.analysis.duplicate_ack_num == 1
Ön segmentte bir tür dağınıklık için çerçeveleri görüntülemek için filtre:
Tcp.analiz.ack_lost_segment
Verileri koçana gömmek sorun değil, bilgi parçaları oturumun koçanından aktarılmıyor.
Çerçeveleri göstermek için, yani yeniden iletim (yeniden düzenlenecek):
Tcp.analiz.yeniden iletim
Çerçevelerin vizyonu, yakі otrimani yanlış:
Tcp.analiz.out_of_order
Daha az UDP trafiğini artırmak için:
UDP'nin bayrakları yoktur. Hangi protokol için bir port daha belirtmek mümkündür.
Trafiği göster, ne tür bir bağlantı noktası 53:
Udp.srcport == 53
Hizmetin üzerinde çalıştığı trafiği, 53 numaralı bağlantı noktasını dinleyerek gösterin:
Udp.dstport == 53
Şarkı satırının kullanıldığı UDP paketi, örneğin bilgisayar korsanlığı yazılımı satırı:
Udp bilgisayar korsanlığı içerir
Daha az ICMP trafiğine izin vermek için:
Daha az trafiğe izin vermek için ICMP v6 (kısa versiyon)
Ping için tüm sonuçları göster:
icmp.type==0
Tüm ping isteklerini göster:
icmp.type==8
Ana bilgisayarların ve bağlantı noktalarının kullanılamamasına/çitlerine ilişkin tüm afları göster
icmp.type==3
ICMP yardımı için tüm deneme yönlendirmesini göster:
icmp.type==8
KOD varyantının poposu, bir sonraki filtre, bağlantı noktasının kullanılamamasıyla ilgili bildirimi gösterecektir:
icmp.type==3 && icmp.code==3
Uygulama trafik protokolleri
Lanet olası HTTP, DNS, SSH, FTP, SMTP, RDP, SNMP, RTSP, GQUIC, CDP, LLMNR, SSDP protokolleri için - protokollerin kendileri gibi adlandırılan ancak küçük harflerle yazılan filtreler.
Örneğin, HTTP trafiği almak için:
Yeni HTTP/2 protokolü için trafiği etkinleştirmek üzere:
Unutmayın ki karar verildiğinde hangi protokole kadar veri verilir program kazanan port numarasından girer. Sanki standart olmayan bir port seçilmiş gibi, program gerekli verileri bilemez. Örneğin, SSH bağlantı noktası 1234'e bağlanmak mümkünse, filtre ssh SSH trafiğini bilmiyorum.
POST yöntemi tarafından gönderilen daha fazla veriyi gösteren filtre:
http.request.method == "GÖNDER"
GET yöntemiyle iletilen daha fazla veriyi gösteren filtre:
http.request.method == "GET"
Orijinal siteye (ana bilgisayar) istek isteğinde bulunun:
http.host=="
Şarkı sitesinde ismin bir kısmında arama isteği:
Http.host içerir "here.private.im'ya"
Tanımlama bilgilerinin aktarıldığı HTTP isteklerini görüntülemek için filtre:
http.cookie
Koristuvach tarayıcısında çerezleri ayarlayarak hangi sunucuda olduğunu sorun.
http.set_cookie
Şaka olsun, herhangi bir resim aktarımı var mı:
http.content_type "görüntü" içerir
Görüntüleri şarkı uğruna:
http.content_type "gif" içerir http.content_type "jpeg" içerir http.content_type "png" içerir
Şarkı türündeki arama dosyaları için:
http.content_type "metin" içerir http.content_type "xml" içerir http.content_type "html" içerir http.content_type "json" içerir http.content_type "javascript" içerir http.content_type "x-www-form-urlencode" içerir http. content_type "sıkıştırılmış" içerir http.content_type "uygulama" içerir
Wireshark'tan tek tip dosyaları indirmesini isteyin. Örneğin, ZIP arşivlerini aktaran bir şaka için:
Http.request.uri "zip" içeriyor
Daha fazla doğruluk için http.request.uri yerine filtreyi değiştirebilirsiniz http.request.uri.yol veya http.request.uri.query, örneğin, JPG dosyaları için bir talep talebi için (resimler için gönderme):
Http.request.uri.path "jpg" içeriyor
HTTP başlığı REFERER (referer) değerini kaldırmak için isteği filtrelemek de mümkündür. Örneğin, bazı yönlendiren є ru-board.com'da bir istek talebi için:
Http.referer "ru-board.com" içerir
http.yetkilendirme
HTTP potoci'den dosyaları arayın:
Http.file_data
Yardım etmek için, zatrymkoy'dan HTTP verileri kaldırıldığı için, böyle bir yapı kazanılır:
http.zaman>1
Vaughn trafiği gösterecek, otrimaniy pіznіshe yak 1 saniye.
Sorunları gidermek için yanıttaki HTTP kodunun durumunu analiz edebilirsiniz. Örneğin, bir sonraki filtre trafiği gösterecektir, bu durumda af 404 Bulunamadı kaldırılır (yan bulunamadı):
http.response.code==404
Gelen filtre daha çok bir ağustosböceği gibidir. İlk önce size mümkün olduğunca çok filtreyle nasıl katlanabilir tasarımlar yapılabileceğini göstereceğim. Başka bir şekilde vin, HTTP isteğine ve genel olarak veri istekleri dahil web etkinliğine izin verir. Bu filtrenin yardımı için, yüksek düzeydeki web etkinliğine bakabilirsiniz. Yayın ortasındaki kurallar, resimleri, Javascript dosyalarını ve stil sayfalarını içerir - tarafın kendi içinde istediği her şey. Diğer nesnelerin intikamını almak için diğer tarafların listesine eklemek için, onları şu sıraya dahil etmek için:
Http.request && !(http.request.uri ".ico" içerir veya http.request.uri ".css" içerir veya http.request.uri ".js" içerir veya http.request.uri ".gif" içerir veya http.request.uri ".jpg" içerir")
Tüm DNS isteklerini ve vidpovidi'yi kontrol etmek için:
Sobachit, DNS istekleri gibi çok zaman aldı:
dns.zamanı>1
Bude, kuvvet uygulandıktan bir saniye sonra size daha ne kadar ihtiyaç duyulacağını gösterecektir.
Bu filtre, dns isteklerine doğru şekilde izin verilip verilmediğini gösterir:
dns.flags.rcode != 0
Yalnızca DNS sorgularını göster:
dns.flags.response == 0
Yalnızca DNS değerlerini göster:
dns.flags.response == 1
IP'nin google.com için arandığı isteği ve bunlarla ilgili geri bildirimi gösterin:
dns.qry.name == "google.com"
A kaydı için DNS sorgusu ve eşleşmesini göster:
dns.qry.type == 1
DNS sorgusunu göster ve herhangi bir AAAA kaydıyla eşleştir:
dns.qry.type == 28
A kaydı için IP olarak 216.58.196.3'ün gönderildiği kanıtı gösterin:
dns.a == 216.58.196.3
AAAA kaydı için IP'nin düzeltildiği düzeltmeleri göster 2a01:4f8:172:1d86::1:
dns.aaaa == 2a01:4f8:172:1d86::1
CNAME apollo.archlinux.org'daki kayıtları göster:
dns.cname == "apollo.archlinux.org"
30 yaş üstü evlilik türünü gösterin:
dns.resp.len > 30
25'ten fazla olan istekleri göster:
dns.qry.name.len >25
Yinelemenin mevcut olduğu DNS sunucusu türlerini göster:
dns.flags.recavail == 1
Özyinelemenin kullanılamadığı DNS sunucusu türlerini göster:
dns.flags.recavail == 0
Tekrarlamanın nedeni nedir (DNS sunucusunun host adı hakkında bilgisi olmadığı için bilgi aramalarında diğer DNS sunucularının hatasıdır):
dns.flags.recdesired == 1
Talepte nasıl durulur 1 , bu nedenle özyineleme gereklidir, yani 0 - otzhe, bazhana yok.
Kimliği doğrulanmamış verileri kabul et ( 0 kabul etme demek 1 kabul anlamına gelir):
dns.flags.checkdisable == 0
IP adreslerinin DHCP protokolü üzerinden nasıl atandığını anlamak için:
Udp.dstport==67
bootp.option.dhcp
DHCP isteğini göstermek için:
bootp.option.dhcp==3
DHCP Discover'ı göstermek için:
bootp.option.dhcp==1
SMB filtresi. Bilgi sütunundaki bu filtre, günün tüm ağacını (soğuk), seçili dizinleri ve izlemedeki seçili dosyaları gösterir.
smb2.cmd==3 veya smb2.cmd==5
Wi-Fi çerçeveleri için filtreler
Bir el sıkışmanın öğelerini gösterin (EAPOL protokolünü çerçevelemek için):
İşaret çerçevelerini göster:
wlan.fc.type_subtype == 0x08
Prob Yanıt Çerçevelerini Göster:
wlan.fc.type_subtype == 0x05
Hepsini birden göster: EAPOL, işaretler, Prob Yanıtı:
wlan.fc.type_subtype == 0x08 || wlan.fc.type_subtype == 0x05 || eapol
BSSID'nin MAC adresiyle tek bir eklenti için insansız çerçeveleri göster:
wlan.addr==BSSID
MAC Adresi 28:28:5D:6C:16:24: olan bir Şarkı Eklentisi için EAPOL, Beacons, Probe Response'u Göster:
(wlan.fc.type_subtype == 0x08 || wlan.fc.type_subtype == 0x05 || eapol) && wlan.addr==28:28:5D:6C:16:24
Kaydedilen PMKID gösteriliyor:
Eapol && wlan.rsn.ie.pmkid
PMKID, Beacons, Probe Response'u göster:
(wlan.fc.type_subtype == 0x08 || wlan.fc.type_subtype == 0x05 || (eapol && wlan.rsn.ie.pmkid))
MAC adresi 40:3D:EC:C2:72:B8 olan AP için PMKID, Beacons, Probe Response'u göster:
(wlan.fc.type_subtype == 0x08 || wlan.fc.type_subtype == 0x05 || (eapol && wlan.rsn.ie.pmkid)) && wlan.addr==40:3D:EC:C2:72:B8
El sallamanın yalnızca ilk hatırlatıcısını göster:
Wlan_rsna_eapol.keydes.msgnr == 1
El sıkışma hatırlatıcısını bir arkadaştan daha fazla gösterin (hangi sayı olursa olsun el sıkışmayı hatırlamak için kazanabilirsiniz):
Wlan_rsna_eapol.keydes.msgnr == 2
Veri hızı (Veri Hızı) 1 Mb/s olan erişim noktası için çerçeveleri göster:
Wlan_radio.data_rate == 1
Hızı 10 Mb/sn üzerinde olan erişim noktaları için çerçeveleri göster:
Wlan_radio.data_rate > 10
Erişim noktalarını şarkı frekansında göster:
Radiotap.channel.freq == 2412
Düşük sinyal gücüne sahip etkin noktaları göster:
Wlan_radio.signal_dbm > -50
Bir antenin varlığıyla bağlantılı filtreler:
Radiotap.present.anten == 1
Radyotap.anten == 1
Başka Wireshark filtreleri biliyorsanız, lütfen bunları yorumlarda paylaşın.
giriş
Robotik bilgisayar ağı ve düğümlerin örgü yığını bazen, en önemli istatistik toplama yardımcı programları (örneğin, netstat) ve ICMP protokolüne (ping, traceroute/tracert, vb.) dayalı standart eklentiler tarafından ortaya çıkarılması önemli olan sorunlara sahiptir. Bu gibi durumlarda, sorunları teşhis etmek için genellikle trafik akışını görselleştirmenize (dinlemenize) ve aynı protokollerin tek bir iletiminde analiz etmenize olanak tanıyan daha spesifik verilerin kullanılması gerekir. "koklamak", koklamak).
Sadece protokol analizörleri veya "koklayıcı"є açık kahverengi ağ düğümlerinin davranışının takibi ve robot ağındaki arızaların tespiti için araçlar. Zrozumilo, sanki bir zasibmiş gibi, örneğin gostry low, bir sniffer, bir sistem yöneticisinin veya bilgi güvenliğine sahip bir mühendisin elinde iyi olabileceği gibi, bir bilgisayar saldırganının elinde de bir kötülük olabilir.
Daha özel yazılımlar için zafer kazanmış gibi görünün Robotik tethering adaptörünün "Köksüz" (rastgele) modu bilgisayar monitörü (zocrema, merezhny segmentinin trafiğine müdahale etmek için, yönlendiricinin anahtar bağlantı noktası). Görüldüğü gibi hangi rejimin özü oluşturulacak? arayüze gelen tüm çerçevelerin işlenmesinden önce. ve sadece bağlı kartın ve geniş olanların MAC adresini değil, oldukça büyük modda olması gerektiği gibi.
Bu makaleye bakıldığında ürün Tel Köpekbalığıє birleştirme trafiğinin kesişen ve etkileşimli analizi için bir araç olarak yaygın olarak kullanılır, aslında endüstri ve eğitim standardıdır. Önce Wireshark'ın temel özelliklerişunları görebilirsiniz: zengin platform (Windows, Linux, Mac OS, FreeBSD, Solaris ve içinde); yüzlerce farklı protokolü analiz etme yeteneği; grafiksel çalışma modu ve komut satırı arabirimi (tshark yardımcı programı) için destek; Trafik filtreleme sistemini zorlayacağım; çalışmanın sonuçlarının XML, PostScript, CSV formatında dışa aktarılması.
Önemli bir gerçek, Wireshark'ın açık kaynak koduyla yazılım açısından güvenli olmamasıdır. GNU GPLv2 lisansı altında lisanslanmıştır, böylece ürünü kendi takdirinize bağlı olarak özgürce kazanabilirsiniz.
Wireshark'ı Yükleme
Windows ve OS X işletim sistemleri için Wireshark'ın kalan sürümü ve çıkış kodu, proje sitesinden indir. Linux dağıtımları ve BSD sistemleri için bu ürün, standart alternatif depolardan edinilebilir. Bu makalede yayınlanan fotoğraflar Windows için Wireshark'ın 1.6.2 sürümünden alınmıştır. Unix benzeri işletim sistemlerinin depolarında bulunabilen yazılımın çoğu erken sürümleri de başarılı bir şekilde hacklenebilir, Wireshark kırıkları uzun süredir kararlı ve işlevsel bir ürün olmuştur.
Wireshark robotu, Pcap kitaplığına (Paket Yakalama) dayalıdır, ağ arabirimleriyle arayüz oluşturmada düşük seviyeli işlevlerin uygulanması için bir uygulama programlama arabirimidir (yerel ağlarda ağ protokollerinin ve protokollerinin epeyce iletimini üst üste bindiren ve üreten). Pcap kitaplığı aynı zamanda tcpdump, snort, nmap, kismet vb. gibi birleştirme araçlarının temelini oluşturur. Unix benzeri sistemler için, Pcap standart yazılım havuzlarında bulunur. Windows işletim sistemi ailesi için, Winpcap adı verilen bir Pcap sürümü vardır. Її can proje sitesinden indir. Açıkçası, başka kimse için buna ihtiyacınız yok Winpcap kütüphanesi, Windows için Wireshark kurulum paketine dahil edilmiştir.
Programın kurulum süreci, seçtiğiniz platformun özellikleri için bilinçli olarak bir değişiklikle bir işletim sistemi olsun, katlanabilir değildir. Örneğin, Debian/Ubuntu'daki Wireshark, kilitleme için ayrıcalığı olmayan koristuvachi'nin paketleri değiştirme hakkına sahip olmayacağı şekilde kurulur, ardından programın sudo sudo ID değişiklik mekanizması ile başlatılması gerekir, yayınlar standart DEB paketinin belgelerine benzer).
Wireshark'tan Azi Roboty
GTK+ kitaplığına dayalı Wireshark yönlendirme arabirimi(GIMP Araç Takımı). Başlık programı aşağıdaki öğeleri içerir: menü, araç çubukları ve inceleme için filtreler, paketlerin listesi, seçilen paketin ayrıntılı açıklaması, paket baytlarının görüntülenmesi (on altıncı biçimde ve görünür metinde) ve arka arkaya şu hale geleceğim:
Unutulmamalıdır ki, program arayüzü kullanım için iyidir, ergonomiktir ve son derece sezgiseldir, bu da damlama konusunda endişelenmeden dantel işlemlerinin dokumasına konsantre olmanızı sağlar. Ek olarak, Wireshark wiki'nin tüm olasılıkları ve detayları aşağıdaki bölümde ayrıntılı olarak açıklanmaktadır: bir koristuvach'ın yardımı. Bu nedenle, bu makalede, örneğin tcpdump konsol yardımcı programı ile benzer koklayıcıların özelliklerinde bile görülebilen ürünün işlevsel yeteneklerine ana vurgu verilmektedir.
Ayrıca Wireshark'ın ergonomisi, ağ etkileşimlerini güvenli hale getirmeyi mümkün kılar. Her şey, sınır paketini listeye gönderdikten sonra, tüm başlıklara (paylaşımlara) bakma yeteneğini ve sınırdan başlayarak sınır paketinin dış yüzey küresini sulama değerini - orta IP başlığı olmadan Ethernet çerçevesi, paketteki uygulama protokolünün verilerine eşit taşıma başlığı vb.
İşleme için çıktı verileri gerçek zamanlı olarak Wireshark'tan alınabilir veya trafiğin döküm dosyasından içe aktarılabilir ve analiz için döküm dosyası "anında" birleştirilebilir.
Aşırı kullanılan trafiğin büyük yükümlülüklerinde gerekli paketleri arama sorunu, iki tip filtre: trafik toplama (yakalama filtreleri) ve yoga ekran filtreleri. Wireshark koleksiyonu için filtreler, yani benim Pcap kütüphane filtrelerimi temel alır. sözdizimi tcpdump yardımcı programınınkine benzer. Filtre, gerektiğinde mantıksal işlevlerle (ve, veya, değil) birleştirilen bir dizi ilkeldir. Genellikle vikoristuvannye filtreleri kaydedilebilir tekrarlanan alıntı için profiller.
Küçük resim, Wireshark filtre profilini gösterir:
Wireshark paket analizörü de çok basittir, ancak işlevsellik açısından zengindir. dil filtreleme. Paket başlığındaki dış görünüm alanının değeri, bir filtreleme kriteri olarak kullanılabilir.(örneğin, ip.src - birleştirilmiş paketteki dzherel'in IP adresleri, frame.len - Ethernet çerçevesinin uzunluğu). Ek bir işlem için, alanların değeri verilen değerlere ayarlanabilir.(örneğin, frame.len ve viraziv, mantıksal operatörlerle değiştirilmelidir (örneğin: ip.src==10.0.0.5 ve tcp.flags.fin). viraziv oluşturma işlemi için iyi bir yardımcıdır. vikno nalashtuvannya kuralları vіdobrazhennya (Filtre İfadesi):
Ölçülen paketlerin analizini yapın
Bu nedenle, kapanış tarihi olmayan protokoller, sadece birkaç paketin gözden geçirilmesi ve istatistiklerin gözden geçirilmesi, protokollerin kapanışının robotik yönelimi üzerinde çalışılması ve ağ etkileşimlerinin ilerlemesini analiz etmek için ek olasılıkların açıklığının önemli ölçüde istenmesi ile takip edilebilir.
Wireshark'ın temel işlevlerinden biri nokta "TCP Akışını Takip Et"(kelimenin tam anlamıyla, "TCP akışını takip et") Uygulama protokolü verilerinin, seçilen paketi içermesi gereken akıştaki TCP segmentinden alınmasına izin veren "Analiz" menüsünü değiştireceğim:
Alt menü analizi için bir nokta daha - "Uzman Bilgi Bileşik" Wireshark uzman sistemi olarak adlandırılan paketlerdeki af ve saygıyı tespit etmeye çalışırsa dumpları otomatik olarak görür ve karakterize eder. Bu modül, genişleme sürecinden yeniden satın almakta ve programın sürümünden sürümüne tamamen yükseltilmektedir.
İstatistiklerin en üstünde "İstatistik"İşlenmekte olan trafiğin tüm istatistiksel özelliklerini analiz etmenize, trafik akışının yoğunluğunun grafiklerini oluşturmanıza, hizmet saatini analiz etmenize vb. izin veren seçilmiş seçenekler. Evet, nokta "Protokol Hiyerarşisi" yüzde yüz sayısından toplam trafiğe, cis protokolü tarafından iletilen paket ve bayt sayısına kadar protokol hiyerarşisi görünümünde protokoller listesindeki istatistikleri görüntüler.
İşlev "Son nokta" dış görünüm düğümünün giriş/çıkış trafiği hakkında hatalı istatistikler verir. Paragraf "Konuşmalar"(kelimenin tam anlamıyla "kaldır"), karşılıklı olarak tek tek değiştirilen düğümler arasında iletilen farklı protokollerin (sistemlerin karşılıklı birlikte çalışabilirlik modelinin kanal, ağ ve taşıma düzeyi) trafiğini belirtmenizi sağlar. İşlev "Paket Uzunlukları"їх dozhinoy için dobrazhaє rozpodіl paketleri.
Paragraf "Akış Grafiği..." paket akışlarını bir grafik görüntüleyiciye sunar. Bununla, grafikte bir öğe seçtiğinizde, programın ana penceresindeki listede paket aktif hale gelir:
Wireshark'ın geri kalan sürümlerindeki diğer alt menü, IP telefonunu tanıttı. "Araçlar" alt menüsünde bir öğe var "Güvenlik Duvarı ACL Kuralları", seçili paket için bir birleştirmeler arası ekran kuralı oluşturmayı deneyin (1.6.x sürümünde şu biçimler desteklenir: Cisco IOS, IP Filter, IPFirewall, Netfilter, Packet Filter ve Windows Firewall).
Program ayrıca hafif bir tercüman olarak da kullanılabilir. Film Programlama Lua. Lua'yı kullanarak çeşitli protokol "kod çözücüleri" ve wireshark bölmeleri oluşturabilirsiniz.
Yardımcısı Uz'yaznenya
Wireshark tethering analizörü, Windows ve Mac OS X ortamlarında çok popüler olan Unix/Linux platformunun bir parçası olarak başarılı olan bir Açık Kaynak ürünü örneğidir, bazılarının işlevselliği daha zengindir. Bira kokusu, her şeyden önce, büyük kuruşlara mal oldu, farklı bir şekilde, bu sömürünün üstesinden gelmek için katlanabilir; Üçüncüsü, her şeyin otomatikleştirilemeyeceğinin ve bir uzman sistemin bile iyi bir uzmanın yerini alamayacağının farkında olmanız gerekir. Dolayısıyla, bağlı trafiğin analizini zorunlu kılma göreviyle karşı karşıya olduğunuz için, Wireshark sizin için bir araçtır. Ve rank shanuvalniks komutu yardımcı programı kullanabilir tshark - Wireshark'ın konsol versiyonu.
