Cum se folosește Wireshark, cel mai bun analizor de pachete din jur

Wireshark este cel mai bun analizor de trafic de rețea și sniffer de pachete din jur. În acest articol, îl vom analiza în detaliu.

Wireshark este un analizor de rețea care vă permite să vedeți ce se întâmplă în rețeaua dvs. Vă permite să vă disecați pachetele de rețea la un nivel microscopic, oferindu-vă informații detaliate despre pachetele individuale.

Wireshark a fost lansat pentru prima dată în 1998 (și pe atunci se numea Ethereal). Poate rula pe toate sistemele de operare majore. Majoritatea întreprinderilor și organizațiilor guvernamentale preferă acum Wireshark ca analizor de rețea standard.

Wireshark este, de asemenea, complet open-source, datorită comunității inginerilor de rețea din întreaga lume. În timp ce majoritatea instrumentelor de securitate se bazează pe CLI, Wireshark vine cu o interfață de utilizator fantastică.

Model OSI

Presupun că sunteți nou la rețea, așa că vom trece prin câteva elemente de bază ale modelului OSI. Acest lucru este important pentru a înțelege funcțiile de bază ale Wireshark.

Modelul Open Systems Interconnection (OSI) standardizează modul în care două sau mai multe dispozitive se conectează între ele. Modelul OSI segmentează arhitectura rețelei în 7 straturi: aplicație, prezentare, sesiune, transport, rețea, legătură de date și fizică.

Iată ce face fiecare strat:

• Stratul fizic – Responsabil pentru conexiunea fizică reală dintre dispozitive. Datele sunt transferate sub formă de biți.
• Data Link Layer – Asigură-te că datele nu conțin erori. Datele sunt transferate în rame.
• Network Layer – Se ocupă de găsirea celui mai bun (și cel mai rapid) mod de a trimite datele. Adresele IP ale expeditorului și ale destinatarului sunt adăugate la antet la acest strat.
• Transport Layer – Acționează ca o punte între rețea și stratul de sesiune. Folosește protocoale precum TCP și UDP pentru a trimite și primi date. Datele din acest strat se numesc a Segment.
• Session Layer – Stabilește și menține o sesiune între dispozitive.
• Strat de prezentare – Datele din segmente sunt convertite într-un format mai potrivit pentru oameni. Se ocupă de criptare și decriptare.
• Application Layer – Stratul care interacționează cu utilizatorul. Dacă utilizați un browser, acesta se află pe stratul de aplicație.

Diagrama de mai jos ar trebui să vă ajute să înțelegeți cum funcționează împreună aceste componente.

Dacă sunteți interesat să aflați mai multe despre modelul OSI, iată un articol detaliat pentru dvs..

Pachete

Acum, că aveți o înțelegere solidă a modelului OSI, să ne uităm la pachetele de rețea. Când datele sunt transferate de la un computer la altul, fluxul de date este format din unități mai mici numite pachete.

Când descărcați un fișier de pe internet, datele sunt trimise de pe server ca pachete. Aceste pachete sunt reasamblate de computer pentru a vă oferi fișierul original.

Un pachet poate conține următoarele date:

• adrese IP sursă și destinație
• protocol
• porturile sursă și destinație
• date
• lungime, steaguri, TTL și așa mai departe

Fiecare pachet conține informații valoroase despre dispozitivele implicate într-un transfer de pachete. Fiecare transfer de date implică mii sau chiar milioane din aceste pachete de date trimise între dispozitivele sursă și destinație.

Acum puteți înțelege importanța Wireshark. Wireshark vă permite să capturați fiecare dintre aceste pachete și să le inspectați pentru date.

Wireshark, pentru un inginer de rețea, este similar cu un microscop pentru un biolog. Wireshark vă permite să „ascultați” o rețea live (după ce stabiliți o conexiune la aceasta) și să capturați și să inspectați pachetele din mers.

Ca inginer de rețea sau hacker etic, puteți utiliza Wireshark pentru a depana și securiza rețelele. În calitate de hacker rău intenționat (pe care nu îl recomand), puteți „adulmeca” pachete în rețea și capta informații precum tranzacții cu cardul de credit.

Acesta este motivul pentru care nu este înțelept să vă conectați la o rețea publică precum Starbucks și să efectuați tranzacții financiare sau să accesați date private. Chiar dacă site-urile cu HTTPS vă pot cripta pachetele, acestea sunt încă vizibile în rețea. Dacă cineva chiar vrea să o spargă, poate.

Bazele Wireshark

Acum să vedem cum poți să te joci cu Wireshark. Descărcați și instalați Wireshark de aici.

Wireshark are un GUI minunat, spre deosebire de majoritatea instrumentelor de testare a penetrării. Iată cum arată Wireshark când îl încărcați.

Wireshark listează rețelele la care sunteți conectat și puteți alege una dintre ele și puteți începe să ascultați rețeaua.

Există trei panouri în Wireshark.

Panou listă pachete

Acest panou afișează pachetele capturate. Fiecare linie reprezintă un pachet individual pe care îl puteți face clic și analiza în detaliu folosind celelalte două panouri.

Panoul Detalii pachet

Puteți selecta un pachet și apoi să priviți informațiile despre pachete mai detaliat folosind panoul Detalii pachet. Afișează informații precum adrese IP, porturi și alte informații conținute în pachet.

Panou de octeți de pachete

Acest panou oferă datele brute ale pachetului selectat în octeți. Datele sunt afișate ca o descărcare hexagonală, care afișează date binare în hexazecimal.

Filtre

Wireshark are filtre care vă ajută să restrângeți tipul de date pe care îl căutați. Există două tipuri principale de filtre: filtru Captură și filtru Afișare.

Captură filtru

Puteți seta un filtru de captură înainte de a începe să analizați o rețea. Când setați un filtru de captare, acesta captează numai pachetele care se potrivesc cu filtrul de captură.

De exemplu, dacă trebuie doar să ascultați pachetele trimise și primite de la o adresă IP, puteți seta un filtru de captură după cum urmează:

host 192.168.0.1

Odată ce ați setat un filtru de captare, nu îl puteți schimba până nu se finalizează sesiunea de captare curentă.

Afișați filtrele

Filtrele de afișare sunt aplicate pentru captarea pachetelor. De exemplu, dacă doriți să afișați numai cererile provenite de la un anumit IP, puteți aplica un filtru de afișare după cum urmează:

ip.src==192.168.0.1

Deoarece filtrele de afișare sunt aplicate datelor capturate, acestea pot fi schimbate din mers.

Pe scurt, filtrele de captare vă permit să filtrați traficul în timp ce filtrele de afișare aplică aceste filtre pe pachetele capturate. Deoarece Wireshark poate captura sute de pachete într-o rețea ocupată, acestea sunt utile în timpul depanării.

Caracteristicile principale ale Wireshark

Acum, că aveți o bună înțelegere a elementelor de bază Wireshark, să ne uităm la câteva caracteristici de bază. Cu Wireshark, puteți:

• Identificați amenințările la adresa securității și activitatea rău intenționată dintr-o rețea
• Observați traficul de rețea pentru depanarea rețelelor complexe
• Filtrați traficul pe baza protocoalelor, porturilor și a altor parametri
• Capturați pachete și salvați-le într-un fișier Pcap pentru analize offline
• Aplicați reguli de colorare pe lista de pachete pentru o analiză mai bună
• Exportați datele capturate în XML, CSV sau fișier text simplu.

Concluzie

Wireshark este întotdeauna clasat printre primele 10 instrumente de securitate a rețelei în fiecare an. Cu interfața sa de utilizator simplă, dar puternică, Wireshark este ușor de învățat și de utilizat. Este un atu valoros în setul de instrumente al fiecărui tester de penetrare.

Sper că acest articol te-a ajutat să înțelegi Wireshark. Recent am scris un articol despre primele 10 instrumente pe care ar trebui să le cunoașteți ca inginer de securitate cibernetică. Verificați-l dacă sunteți în securitate cibernetică.

Scriu în mod regulat despre Machine Learning, Cyber ​​Security și DevOps. Vă puteți înscrie pentru buletin informativ săptămânal aici.