Насколько безопасна ваша сеть? Как анализировать сетевой трафик с помощью Wireshark
Wireshark – ведущий анализатор сетевых протоколов, используемый профессионалами в области безопасности во всем мире. Он позволяет обнаруживать аномалии в компьютерных сетях и находить основные причины. Мы продемонстрируем, как использовать Wireshark в следующих разделах.
Итак, как это работает? И как на самом деле использовать Wireshark для захвата пакетов данных?
Как работает Wireshark?
Надежный набор функций Wireshark сделал его одним из лучших инструментов для устранения проблем с сетью . Многие люди используют Wireshark, включая сетевых администраторов, аудиторов безопасности, аналитиков вредоносных программ и даже злоумышленников.
Он позволяет выполнять глубокую проверку активных или сохраненных сетевых пакетов. Когда вы начнете использовать Wireshark, вы будете очарованы объемом информации, который он может предложить. Однако из-за слишком большого количества информации зачастую трудно не сбиться с пути.
К счастью, мы можем смягчить это с помощью расширенных возможностей фильтрации Wireshark. Подробнее о них мы поговорим позже. Рабочий процесс состоит из захвата сетевых пакетов и фильтрации необходимой информации.
Как использовать Wireshark для захвата пакетов
Как только вы запустите Wireshark, он отобразит сетевые интерфейсы, подключенные к вашей системе. Вы должны заметить кривые, представляющие сетевую связь рядом с каждым интерфейсом.
Теперь вам нужно выбрать конкретный интерфейс, прежде чем вы сможете начать захват пакетов. Для этого выберите название интерфейса и щелкните значок синего плавника акулы . Вы также можете сделать это, дважды щелкнув имя интерфейса.
Wireshark начнет перехват входящих и исходящих пакетов для выбранного интерфейса. Щелкните красный значок паузы, чтобы остановить захват. Вы должны увидеть список сетевых пакетов, принятых во время этого процесса.
Wireshark отобразит источник и место назначения для каждого пакета вместе с протоколом. Однако в большинстве случаев вас будет интересовать содержимое информационного поля.
Вы можете проверить отдельные пакеты, щелкнув по ним. Таким образом, вы можете просмотреть все пакетные данные.
Как сохранить захваченные пакеты в Wireshark
Поскольку Wireshark захватывает много трафика, иногда вам может понадобиться сохранить их для более поздней проверки. К счастью, сохранить перехваченные пакеты с помощью Wireshark не составит труда.
Чтобы сохранить пакеты, остановите активный сеанс. Затем щелкните значок файла, расположенный в верхнем меню. Вы также можете использовать Ctrl + S для этого.
Wireshark может сохранять пакеты в нескольких форматах, включая pcapng, pcap и dmp. Вы также можете сохранять захваченные пакеты в формате, который позже могут использовать другие инструменты сетевого анализа .
Как анализировать захваченные пакеты
Вы можете проанализировать ранее захваченные пакеты, открыв файл захвата. В главном окне щелкните Файл> Открыть, а затем выберите соответствующий сохраненный файл.
Вы также можете использовать Ctrl + O, чтобы сделать это быстро. После того, как вы проанализировали пакеты, выйдите из окна проверки, выбрав « Файл»> «Закрыть» .
Как использовать фильтры Wireshark
Wireshark предлагает множество надежных возможностей фильтрации. Фильтры бывают двух типов: фильтры отображения и фильтры захвата.
Использование фильтров отображения Wireshark
Фильтры отображения используются для просмотра определенных пакетов из всех захваченных пакетов. Например, мы можем использовать фильтр отображения icmp для просмотра всех пакетов данных ICMP.
Вы можете выбирать из большого количества фильтров. Более того, вы также можете определить собственные правила фильтрации для тривиальных задач. Чтобы добавить персонализированные фильтры, перейдите в « Анализ»> «Фильтры отображения» . Щелкните значок +, чтобы добавить новый фильтр.
Использование фильтров захвата Wireshark
Фильтры захвата используются для указания, какие пакеты захватывать во время сеанса Wireshark. Он производит значительно меньше пакетов, чем стандартный захват. Вы можете использовать их в ситуациях, когда вам нужна конкретная информация об определенных пакетах.
Введите свой фильтр захвата в поле над списком интерфейсов в главном окне. Выберите имя интерфейса из списка и введите имя фильтра в поле выше.
Щелкните значок синего плавника акулы, чтобы начать захват пакетов. В следующем примере используется КТ фильтр для захвата только ARP – транзакции.
Использование правил раскраски Wireshark
Wireshark предоставляет несколько правил раскраски, которые ранее назывались цветными фильтрами. Это отличная функция для анализа обширного сетевого трафика. Вы также можете настроить их по своему усмотрению.
Чтобы отобразить текущие правила окраски, выберите «Просмотр»> «Правила окраски» . Здесь вы можете найти правила окраски по умолчанию для вашей установки.
Вы можете изменить их как хотите. Кроме того, вы также можете использовать чужие правила окраски, импортировав файл конфигурации.
Загрузите файл, содержащий пользовательские правила, и затем импортируйте его, выбрав « Просмотр»> «Правила окраски»> «Импорт» . Аналогичным образом вы можете экспортировать правила.
Wireshark в действии
До сих пор мы обсуждали некоторые из основных функций Wireshark. Давайте выполним несколько практических операций, чтобы продемонстрировать, как они интегрируются.
Для этой демонстрации мы создали базовый сервер Go. Он возвращает простое текстовое сообщение для каждого запроса. После того, как сервер будет запущен, мы сделаем несколько HTTP-запросов и захватим живой трафик. Обратите внимание, что мы запускаем сервер на локальном хосте.
Сначала мы инициируем захват пакета двойным щелчком по интерфейсу Loopback (localhost). Следующим шагом будет запуск нашего локального сервера и отправка запроса GET. Для этого мы используем curl.
Wireshark будет захватывать все входящие и исходящие пакеты во время этого разговора. Мы хотим просмотреть данные, отправленные нашим сервером, поэтому мы будем использовать фильтр отображения http.response для просмотра пакетов ответа.
Теперь Wireshark скроет все остальные захваченные пакеты и отобразит только ответные пакеты. Если вы внимательно посмотрите на детали пакета, вы должны заметить данные в виде открытого текста, отправленные нашим сервером.
Полезные команды Wireshark
Вы также можете использовать различные команды Wireshark для управления программным обеспечением с вашего терминала Linux. Вот несколько основных команд Wireshark:
- WireShark запускает Wireshark в графическом режиме.
- Wirehark -h отображает доступные параметры командной строки.
- wirehark -i ИНТЕРФЕЙС выбирает ИНТЕРФЕЙС в качестве интерфейса захвата.
Tshark – это альтернатива командной строки для Wireshark. Он поддерживает все основные функции и чрезвычайно эффективен.
Анализируйте сетевую безопасность с помощью Wireshark
Богатый набор функций Wireshark и расширенные правила фильтрации делают анализ пакетов продуктивным и простым. Вы можете использовать его для поиска всевозможной информации о вашей сети. Попробуйте его основные функции, чтобы узнать, как использовать Wireshark для анализа пакетов.
Wireshark доступен для загрузки на устройства под управлением Windows, macOS и Linux.