Wyszukiwanie w witrynie

10 wskazówek, jak używać Wireshark do analizy pakietów sieciowych

W dowolnej sieci z komutacją pakietów pakiety reprezentują jednostki danych przesyłane między komputerami. Zarówno inżynierowie sieci, jak i administratorzy systemów odpowiadają za monitorowanie i sprawdzanie pakietów w celach bezpieczeństwa i rozwiązywania problemów.

W tym celu korzystają z programów zwanych analizatorami pakietów sieciowych, przy czym Wireshark jest prawdopodobnie najpopularniejszym i najczęściej używanym ze względu na jego wszechstronność i łatwość użycia. Co więcej, Wireshark umożliwia nie tylko monitorowanie ruchu w czasie rzeczywistym, ale także zapisywanie go w pliku do późniejszej kontroli.

Powiązane lektury: Najlepsze narzędzia do monitorowania przepustowości Linuksa do analizy wykorzystania sieci

W tym artykule podzielimy się 10 wskazówkami, jak używać Wireshark do analizy pakietów w Twojej sieci i mamy nadzieję, że kiedy dojdziesz do sekcji Podsumowanie, zechcesz dodać go do swoich zakładek.

Instalowanie Wireshark w systemie Linux

Aby zainstalować Wireshark, wybierz instalator odpowiedni dla Twojego systemu operacyjnego/architektury ze strony https://www.wireshark.org/download.html.

W szczególności, jeśli używasz Linuksa, Wireshark musi być dostępny bezpośrednio z repozytoriów Twojej dystrybucji, aby ułatwić instalację w dogodnym dla Ciebie czasie. Choć wersje mogą się różnić, opcje i menu powinny być podobne – jeśli nie identyczne w każdym z nich.

------------ On Debian/Ubuntu based Distros ------------ 
sudo apt-get install wireshark

------------ On CentOS/RHEL based Distros ------------
sudo yum install wireshark

------------ On Fedora 22+ Releases ------------
sudo dnf install wireshark

W Debianie i jego pochodnych występuje znany błąd, który może uniemożliwiać wyświetlenie listy interfejsów sieciowych, chyba że użyjesz sudo do uruchomienia Wireshark. Aby to naprawić, postępuj zgodnie z zaakceptowaną odpowiedzią w tym poście.

Po uruchomieniu programu Wireshark możesz wybrać interfejs sieciowy, który chcesz monitorować, w obszarze Przechwytywanie:

W tym artykule użyjemy eth0, ale jeśli chcesz, możesz wybrać inny. Nie klikaj jeszcze interfejsu – zrobimy to później, gdy sprawdzimy kilka opcji przechwytywania.

Ustawianie opcji przechwytywania

Najbardziej przydatne opcje przechwytywania, które rozważymy, to:

  1. Interfejs sieciowy – jak wyjaśniliśmy wcześniej, będziemy analizować tylko pakiety przychodzące przez eth0, przychodzące lub wychodzące.
  2. Filtr przechwytywania – ta opcja pozwala nam wskazać, jaki rodzaj ruchu chcemy monitorować według portu, protokołu lub typu.

Zanim przejdziemy do wskazówek, warto zauważyć, że niektóre organizacje zabraniają używania Wireshark w swoich sieciach. To powiedziawszy, jeśli nie używasz Wireshark do celów osobistych, upewnij się, że Twoja organizacja pozwala na jego użycie.

Na razie wybierz eth0 z listy rozwijanej i kliknij Start na przycisku. Zaczniesz widzieć cały ruch przechodzący przez ten interfejs. Niezbyt przydatne do celów monitorowania ze względu na dużą liczbę sprawdzanych pakietów, ale od czegoś trzeba zacząć.

Na powyższym obrazku widzimy także ikony umożliwiające wyświetlenie listy dostępnych interfejsów, zatrzymanie bieżącego przechwytywania i uruchomienie go ponownie (czerwone pole po lewej) oraz skonfigurować i edytować filtr (czerwone pole po prawej). Po najechaniu kursorem na jedną z tych ikon zostanie wyświetlona podpowiedź informująca o jej działaniu.

Zaczniemy od zilustrowania opcji przechwytywania, natomiast wskazówki od #7 do #10 omówią, jak faktycznie zrobić coś pożytecznego z przechwytywaniem.

TIP #1 – Sprawdź ruch HTTP

Wpisz http w polu filtra i kliknij Zastosuj. Uruchom przeglądarkę i przejdź do dowolnej witryny:

Aby rozpocząć każdą kolejną wskazówkę, zatrzymaj przechwytywanie na żywo i edytuj filtr przechwytywania.

TIP #2 – Sprawdź ruch HTTP z podanego adresu IP

W tej konkretnej wskazówce dodamy ip==192.168.0.10&& do sekcji filtra, aby monitorować ruch HTTP między komputerem lokalnym a 192.168.0.10:

TIP #3 – Sprawdź ruch HTTP do podanego adresu IP

Ściśle powiązane z #2, w tym przypadku użyjemy ip.dst jako części filtra przechwytywania w następujący sposób:

ip.dst==192.168.0.10&&http

Aby połączyć wskazówki #2 i #3, możesz użyć ip.addr w regule filtra zamiast ip.src lub ip.dst.

TIP #4 – Monitoruj ruch sieciowy Apache i MySQL

Czasami będziesz zainteresowany sprawdzeniem ruchu spełniającego jeden (lub oba) warunki. Na przykład, aby monitorować ruch na portach TCP 80 (serwer WWW) i 3306 (serwer bazy danych MySQL/MariaDB), możesz użyć warunku OR w filtrze przechwytywania:

tcp.port==80||tcp.port==3306

We wskazówkach #2 i #3, || i słowo lub dają takie same wyniki. To samo dotyczy && i słowa i.

TIP #5 – Odrzucaj pakiety na podany adres IP

Aby wykluczyć pakiety nie pasujące do reguły filtru, użyj ! i ujmij regułę w nawiasy. Przykładowo, aby wykluczyć pakiety pochodzące lub kierowane na dany adres IP, możesz skorzystać z:

!(ip.addr == 192.168.0.10)

TIP #6 – Monitoruj ruch w sieci lokalnej (192.168.0.0/24)

Następująca reguła filtru wyświetli tylko ruch lokalny i wykluczy pakiety przychodzące i wychodzące z Internetu:

ip.src==192.168.0.0/24 and ip.dst==192.168.0.0/24

TIP #7 – Monitoruj zawartość konwersacji TCP

Aby sprawdzić zawartość konwersacji TCP (wymianę danych), kliknij dany pakiet prawym przyciskiem myszy i wybierz opcję Śledź strumień TCP. Pojawi się okno z treścią rozmowy.

Będzie to obejmować nagłówki HTTP, jeśli sprawdzamy ruch internetowy, a także wszelkie dane uwierzytelniające przesyłane w postaci zwykłego tekstu, jeśli takie istnieją.

WSKAZÓWKA #8 – Edytuj zasady kolorowania

Jestem pewien, że już zauważyłeś, że każdy wiersz w oknie przechwytywania jest kolorowy. Domyślnie ruch HTTP jest wyświetlany na zielonym tle z czarnym tekstem, natomiast błędy sumy kontrolnej są wyświetlane na czerwonym tekście z czarnym tłem.

Jeśli chcesz zmienić te ustawienia, kliknij ikonę Edytuj reguły kolorowania, wybierz odpowiedni filtr i kliknij Edytuj.

TIP #9 – Zapisz przechwycenie w pliku

Zapisanie zawartości przechwytywania umożliwi nam dokładniejsze jego sprawdzenie. Aby to zrobić, przejdź do Plik → Eksportuj i wybierz z listy format eksportu:

WSKAZÓWKA #10 – Poćwicz z pobieraniem próbek

Jeśli uważasz, że Twoja sieć jest „nudna”, Wireshark udostępnia serię przykładowych plików przechwytywania, których możesz używać do ćwiczeń i nauki. Możesz pobrać te próbki i zaimportować je za pomocą menu Plik → Importuj.

Streszczenie

Wireshark to bezpłatne oprogramowanie o otwartym kodzie źródłowym, jak widać w sekcji Często zadawane pytania na oficjalnej stronie internetowej. Filtr przechwytywania można skonfigurować przed lub po rozpoczęciu inspekcji.

Jeśli nie zauważyłeś, filtr posiada funkcję autouzupełniania, która pozwala łatwo wyszukać najczęściej używane opcje, które możesz później dostosować. Dzięki temu niebo jest granicą!

Jak zawsze, nie wahaj się napisać do nas, korzystając z poniższego formularza komentarza, jeśli masz jakieś pytania lub uwagi dotyczące tego artykułu.