Inhoudsopgave
Wireshark, een realtime netwerkanalysetool, legt pakketten en protocollen in realtime vast en geeft ze weer in grafische en beursgenoteerde indeling.Wireshark is een analyser van pakketten die op een netwerk circuleren, deze software kan worden uitgevoerd op Linux, Windows, OS X, Solaris.
We kunnen de software downloaden van de officiële Wireshark-pagina, als we het op Linux willen installeren, staat het al in de repositories.
sudo apt-get install wiresharkAls je het op een server wilt installeren en de software in tekstvorm wilt beheren, hebben we de mogelijkheid om het in tekstmodus te installeren en de software heet Tshark. Om het vanuit een terminalvenster te installeren, schrijven we de volgende opdrachten:
sudo apt-get install tsharkVervolgens zullen we Wireshark met beheerdersrechten moeten uitvoeren, omdat het machtigingen moet hebben om toegang te krijgen tot het netwerk en om de door ons aangegeven pakketten te kunnen controleren. In ons geval gebruiken we de volgende opdracht om vanuit het menu of vanuit de terminal te starten:
gksudo wiresharkDit zal ons om de gebruikersnaam en het wachtwoord vragen om toegang te krijgen in de beheerders- of rootmodus.
Wanneer we beginnen, kunnen we een lijst met interfaces zien die de beschikbare netwerken zijn, in het voorbeeld hebben we een wifi-netwerk wlan0 en een ethernet eth0, daar kunnen we selecteren welk netwerk of welke interfaces we willen analyseren.
Onder de lijst met interfaces hebben we Capture-opties of Capture-opties. Opties omvatten analyse in promiscue modus en opnamemodus, enz.Binnen de capture-opties kunnen we configureren welke protocollen en services moeten worden gecontroleerd om te zien welke processen en platforms gegevens ontvangen en verzenden binnen het netwerk.
Een trackingfilter maken
In de Filters-balk kunnen we het type monitoring configureren dat we willen uitvoeren, we selecteren bijvoorbeeld eth0 in de lijst met interfaces en drukken op Start, er wordt een venster geopend en we zullen zien hoe de software alle pakketten vastlegt, voor een gebruiker zijn er veel. De software legt veel protocollen vast, waaronder systeemprotocollen, dat wil zeggen interne berichten van apparaten en besturingssystemen.
We drukken bijvoorbeeld op Filter en selecteren vervolgens HTTP, dus we filteren het verkeer alleen van het http-protocol, dat wil zeggen dat webpagina's opvragen via poort 80.
We openen de browser en Google de Solvetic.com-website, Wireshark zal ons de http- en tcp-gegevens laten zien die zijn geproduceerd om de verbinding tot stand te brengen, aangezien we zien dat de tcp- en http-protocollen worden gebruikt voor de zoekopdracht en vervolgens het web tonen.
Vervolgens gaan we de vastgelegde gegevens analyseren, wanneer we op elk vastgelegd item klikken, zien we informatie over het datapakket, het Frame-veld dat de grootte van het vastgelegde pakket identificeert, de tijd die het kostte, wanneer het werd verzonden en via welke interfaces.
Het veld Ethernet II behoort tot de gegevens die worden gegenereerd in de datalinklaag als we de OSI-model, hier hebben we de oorsprong en bestemming, de IP's, de mac-adressen en het type protocol dat wordt gebruikt.
Het veld Internet Protocol toont ons het IP-datagram met de IP-adressen, het Transmission Control Protocol of TPC-veld is degene die het TCP / IP-transmissieprotocol voltooit. Dan hebben we de HTTP-headers waar we de weergegeven gegevens van de webcommunicatie ontvangen.
We zullen een voorbeeld zien waarin we configureren om alle netwerken en verbindingen vast te leggen, bij het weergeven van de lijst filteren we en zoeken we naar pop-verbindingen, dat wil zeggen inkomende e-mail.
Als we enkele e-mails verzenden en vervolgens filteren op smtp-protocol, zullen we alle berichten zien die zijn verzonden vanaf de server of elke computer op het netwerk met het bijbehorende IP-adres van waar het is verzonden en waar het is verzonden, we kunnen altijd de web-http gebruiken: //www.tcpiputils.com, om de gegevens van een specifiek IP-adres te bepalen.
Een ander filter dat we kunnen toepassen is het DNS-filter om te kunnen zien welke DNS worden geraadpleegd die verkeer genereren.
Vervolgens gaan we query's naar een Mysql-server bijhouden. Netwerkbeheerders hebben normaal gesproken geen logboek van query's die naar een database zijn gemaakt, maar met Wireshark kunt u alle query's bijhouden en dit logboek opslaan en een lijst weergeven als een querylogboek. Om mysql-pakketten te filteren, moeten we het Mysql-filter of mysql.query gebruiken als we alleen de SELECT's of een bepaalde instructie willen zien.
We gaan proberen om wat vragen te stellen aan de lokale databaseserver, en met behulp van de Sakila-testdatabase die gratis en open source is, een database die we gebruikten in de MySQL-zelfstudiecombinaties met Inner Join.
We voeren een SQL-query uit en Wireshark registreert elke query, het bron-IP van de query, het bestemmings-IP, de sql-query, de gebruiker die zich heeft aangemeld.
Hoewel het mogelijk is om externe databases met deze software te beheren, wordt dit niet het meest aanbevolen omdat het nodig zou zijn om externe verbindingen met de server toe te staan.
Omdat pakketten worden onderschept, kunnen we analyseren wat er met het netwerkverkeer gebeurt, we hoeven alleen maar op het pakket te klikken dat we willen analyseren om ons de gegevens te tonen.
Als we een HTTP-filter toepassen op een POST-pakket en op dat pakket op de rechterknop klikken en vervolgens in het vervolgkeuzemenu de optie Follow TCP Stream of Follow TCP Flow selecteren, betekent dit dat u alles ziet wat wordt geproduceerd bij het maken van een web verzoek aan de server.
Als gevolg hiervan verkrijgen we alle code- en html-transacties die in het verzoek worden uitgevoerd, als de gebruiker een wachtwoord invoert om toegang te krijgen tot een website, kunnen we via deze methode het wachtwoord en de gebruiker zien die ik gebruik.