Inhoudsopgave
Wireshark, een realtime netwerkanalysetool, legt pakketten en protocollen in realtime vast en geeft ze weer in grafische en beursgenoteerde indeling.Wireshark is een analyser van pakketten die op een netwerk circuleren, deze software kan worden uitgevoerd op Linux, Windows, OS X, Solaris.
We kunnen de software downloaden van de officiële Wireshark-pagina, als we het op Linux willen installeren, staat het al in de repositories.
Aangezien Windows is geïnstalleerd zoals elk programma, zullen we in deze tutorial voor Linux installeren, vanuit het terminalvenster zullen we de volgende opdrachten schrijven:
sudo apt-get install wiresharkAls je het op een server wilt installeren en de software in tekstvorm wilt beheren, hebben we de mogelijkheid om het in tekstmodus te installeren en de software heet Tshark. Om het vanuit een terminalvenster te installeren, schrijven we de volgende opdrachten:
sudo apt-get install tsharkVervolgens zullen we Wireshark met beheerdersrechten moeten uitvoeren, omdat het machtigingen moet hebben om toegang te krijgen tot het netwerk en om de door ons aangegeven pakketten te kunnen controleren. In ons geval gebruiken we de volgende opdracht om vanuit het menu of vanuit de terminal te starten:
gksudo wiresharkDit zal ons om de gebruikersnaam en het wachtwoord vragen om toegang te krijgen in de beheerders- of rootmodus.
Wanneer we beginnen, kunnen we een lijst met interfaces zien die de beschikbare netwerken zijn, in het voorbeeld hebben we een wifi-netwerk wlan0 en een ethernet eth0, daar kunnen we selecteren welk netwerk of welke interfaces we willen analyseren.
Onder de lijst met interfaces hebben we Capture-opties of Capture-opties. Opties omvatten analyse in promiscue modus en opnamemodus, enz.Binnen de capture-opties kunnen we configureren welke protocollen en services moeten worden gecontroleerd om te zien welke processen en platforms gegevens ontvangen en verzenden binnen het netwerk.
Een trackingfilter maken
In de Filters-balk kunnen we het type monitoring configureren dat we willen uitvoeren, we selecteren bijvoorbeeld eth0 in de lijst met interfaces en drukken op Start, er wordt een venster geopend en we zullen zien hoe de software alle pakketten vastlegt, voor een gebruiker zijn er veel. De software legt veel protocollen vast, waaronder systeemprotocollen, dat wil zeggen interne berichten van apparaten en besturingssystemen.
We drukken bijvoorbeeld op Filter en selecteren vervolgens HTTP, dus we filteren het verkeer alleen van het http-protocol, dat wil zeggen dat webpagina's opvragen via poort 80.
We openen de browser en Google de Solvetic.com-website, Wireshark zal ons de http- en tcp-gegevens laten zien die zijn geproduceerd om de verbinding tot stand te brengen, aangezien we zien dat de tcp- en http-protocollen worden gebruikt voor de zoekopdracht en vervolgens het web tonen.
Hier kunnen we zien welke verzoeken zijn gedaan. Binnen het http-filter kunnen we verschillende protocolopties zien, zoals verzoeken, antwoorden, enz. Door het http.request-filter toe te passen, is het mogelijk om alle verzoeken en antwoorden te verkrijgen die zijn ontvangen met de GET en POST die worden uitgevoerd in de browser of op alle computers op het netwerk, en door de verzoeken te analyseren, kunnen we mogelijke kwaadaardige activiteiten detecteren.
Vervolgens gaan we de vastgelegde gegevens analyseren, wanneer we op elk vastgelegd item klikken, zien we informatie over het datapakket, het Frame-veld dat de grootte van het vastgelegde pakket identificeert, de tijd die het kostte, wanneer het werd verzonden en via welke interfaces.
Het veld Ethernet II behoort tot de gegevens die worden gegenereerd in de datalinklaag als we de OSI-model, hier hebben we de oorsprong en bestemming, de IP's, de mac-adressen en het type protocol dat wordt gebruikt.
Het veld Internet Protocol toont ons het IP-datagram met de IP-adressen, het Transmission Control Protocol of TPC-veld is degene die het TCP / IP-transmissieprotocol voltooit. Dan hebben we de HTTP-headers waar we de weergegeven gegevens van de webcommunicatie ontvangen.
We zullen een voorbeeld zien waarin we configureren om alle netwerken en verbindingen vast te leggen, bij het weergeven van de lijst filteren we en zoeken we naar pop-verbindingen, dat wil zeggen inkomende e-mail.
We zien dat de POP-verbindingen allemaal naar een IP gaan die naar een VPS is waar de mailaccounts zijn, dus het communiceert daar.
Als we enkele e-mails verzenden en vervolgens filteren op smtp-protocol, zullen we alle berichten zien die zijn verzonden vanaf de server of elke computer op het netwerk met het bijbehorende IP-adres van waar het is verzonden en waar het is verzonden, we kunnen altijd de web-http gebruiken: //www.tcpiputils.com, om de gegevens van een specifiek IP-adres te bepalen.
Een ander filter dat we kunnen toepassen is het DNS-filter om te kunnen zien welke DNS worden geraadpleegd die verkeer genereren.
In dit geval hebben we verschillende zoekopdrachten uitgevoerd en we kunnen de DNS van Google, die van Google maps, Google-lettertypen, addons.mozilla en een DNS van een Facebook-chat zien, we gaan het IP verifiëren.
We detecteren dat een computer op ons netwerk is verbonden met de Facebook-chat en we weten precies hoe laat het was.
Vervolgens gaan we query's naar een Mysql-server bijhouden. Netwerkbeheerders hebben normaal gesproken geen logboek van query's die naar een database zijn gemaakt, maar met Wireshark kunt u alle query's bijhouden en dit logboek opslaan en een lijst weergeven als een querylogboek. Om mysql-pakketten te filteren, moeten we het Mysql-filter of mysql.query gebruiken als we alleen de SELECT's of een bepaalde instructie willen zien.
We gaan proberen om wat vragen te stellen aan de lokale databaseserver, en met behulp van de Sakila-testdatabase die gratis en open source is, een database die we gebruikten in de MySQL-zelfstudiecombinaties met Inner Join.
We voeren een SQL-query uit en Wireshark registreert elke query, het bron-IP van de query, het bestemmings-IP, de sql-query, de gebruiker die zich heeft aangemeld.
Ook als we een van de pakketten zien, vertelt het ons dat het is geopend met een software genaamd Heidisql.exe en het is een onveilig of verdacht programma.
Hoewel het mogelijk is om externe databases met deze software te beheren, wordt dit niet het meest aanbevolen omdat het nodig zou zijn om externe verbindingen met de server toe te staan.
Filters Wireshark Ze zijn talrijk en omvatten alle protocollen van een netwerk en ook de meest populaire websiteprotocollen.
Omdat pakketten worden onderschept, kunnen we analyseren wat er met het netwerkverkeer gebeurt, we hoeven alleen maar op het pakket te klikken dat we willen analyseren om ons de gegevens te tonen.
Als we een HTTP-filter toepassen op een POST-pakket en op dat pakket op de rechterknop klikken en vervolgens in het vervolgkeuzemenu de optie Follow TCP Stream of Follow TCP Flow selecteren, betekent dit dat u alles ziet wat wordt geproduceerd bij het maken van een web verzoek aan de server.
Als gevolg hiervan verkrijgen we alle code- en html-transacties die in het verzoek worden uitgevoerd, als de gebruiker een wachtwoord invoert om toegang te krijgen tot een website, kunnen we via deze methode het wachtwoord en de gebruiker zien die ik gebruik.
Rekening houdend met het feit dat Wireshark een groot aantal protocollen en services in een netwerk bewaakt en alle pakketten die binnenkomen en vertrekken, kan het risico van een fout in de analysercode de veiligheid van het netwerk in gevaar brengen als we niet weten wat gebeurt met elk pakket, dus het is belangrijk om te weten hoe u de informatie die Wireshark ons geeft correct moet interpreteren.Vond je deze Tutorial leuk en heb je eraan geholpen?Je kunt de auteur belonen door op deze knop te drukken om hem een positief punt te geven