Deze keer zullen we het hebben over een van de netwerkanalysatoren meest voorkomende die er op dit moment zijn, Wireshark netwerkanalysator, dat meer dan 500.000 downloads per maand heeft en daarmee zijn effectiviteit, vertrouwen en ondersteuning toont bij het analyseren van een netwerkinfrastructuur.
Binnen de Wireshark-functies we kunnen het volgende benadrukken:
- Beschikbaar voor Windows- en Unix-systemen.
- We kunnen pakketten filteren volgens vastgestelde criteria.
- Het is mogelijk om snapshots van pakketten vast te leggen op een netwerkinterface.
- Het is mogelijk om pakketten in tekstformaat te importeren.
- We kunnen pakketten zoeken aan de hand van een reeks criteria.
- Hiermee kunt u onder andere statistieken maken.
Tot voer Wireshark uit in Windows-omgevingen we hebben de volgende vereisten nodig:
- 400 MB RAM
- Draait op elke versie van Windows op zowel server- als desktopniveau
- 300 MB ruimte op de harde schijf
Voor UNIX-omgevingen kan Wireshark op de volgende platforms werken:
- Debian
- Apple OS X
- GratisBSD
- Zon solaris
- Mandriva Linux, onder andere.
Voordat we beginnen met hoe Wireshark werkt, laten we enkele concepten over netwerken onthouden, aangezien dit allemaal ondergedompeld is in deze wereld. Laten we niet vergeten dat de belangrijkste functie van netwerken is om gegevensoverdracht tussen twee of meer apparaten mogelijk te maken en dit alles dankzij een gezamenlijk werk tussen hardware en software.
Het ontwerp van een netwerk kan op twee manieren worden gestructureerd:
- Client server
- Peer naar peer
Wireshark is ontworpen om uw informatie weer te geven tussen de lagen 2 tot en met 7 van het OSI-model. Met Wireshark zullen we in staat zijn om het netwerkverkeer van onze organisatie live te monitoren, waardoor we problemen kunnen vaststellen, analyses kunnen uitvoeren en nog een paar taken kunnen uitvoeren om de netwerkomgeving correct te laten functioneren. Als zodanig kunnen we concluderen dat: Wireshark is een pakketanalysator.
Voor dit onderzoek gaan we gebruik maken van een omgeving met Windows 7. Nadat we Wireshark hebben gedownload gaan we als volgt te werk met de installatie:
1. Download en installeer Wireshark
De Wireshark-software kan worden gedownload via de volgende link:
Daar vinden we de compatibele downloadbestanden voor de systemen:
- ramen
- MAC
- Linux
We voeren het bestand uit om het te installeren en het proces zal beginnen. We aanvaarden. We klikken op de knop Ik ben het eens Om de licentievoorwaarden te accepteren, moeten we, zodra dit is gebeurd, de componenten selecteren om Wireshark te installeren.
We klikken op Volgende en we kunnen kiezen of we de snelkoppelingspictogrammen al dan niet toevoegen en, overigens, de bestandsextensies bepalen die aan Wireshark zijn gekoppeld. Waar wordt Wireshark dan geïnstalleerd. Dan vertelt de tool ons of we wel of niet willen installeren WinPcap (dit is vereist voor live pakketopnames), we selecteren het vakje, dat is het standaard, en klikken op Volgende.
Dan kunnen we kiezen of we de tool wel of niet willen installeren USBPcap, is maakt het mogelijk om USB-verkeer vast te leggen, het meest aan te raden is om het te installeren, we markeren het vakje en klikken op Installeren om het installatieproces te starten.
Eenmaal klaar, we hebben onze Wireshark Network Analyzer-applicatie al geïnstalleerd klaar om te gaan. Nu leren we in lnos het gebruik en de lef van deze geweldige applicatie kennen.
2. Hoe gebruik je Wireshark?
We zullen zien dat de pakketopnames die we moeten maken gebaseerd zijn op een lokale verbinding, er kunnen andere soorten verbindingen verschijnen, zoals wifi, Bluetooth, enz. Door te dubbelklikken op onze interface zullen we zien dat al het huidige verkeer wordt weergegeven:
Door op het pictogram te klikken We kunnen alle opties van ons netwerk bewerken, laten we eens kijken welk venster ons toont wanneer we op dit pictogram drukken:
VERGROTEN
We kunnen zien dat we het huidige IP-adres van het systeem, de buffergrootte, enz. Op het tabblad Opties We hebben alternatieven die we kunnen selecteren, zoals het in realtime bijwerken van pakketten, het oplossen van netwerknamen, onder andere.
Zodra we de wijzigingen hebben aangebracht, drukken we op Begin. Opgemerkt moet worden dat we in deze optie bijvoorbeeld de belangrijkste kenmerken van Wireshark configureren: promiscue modus inschakelen (schakel alle pakketten in) of limiet pakketgrootte voor vastleggen. Laten we eens kijken naar de Wireshark-omgeving.
In de eerste rij, voordat we het menu een beetje leren kennen, zien we het volgende:
Deze lijn is als volgt samengesteld:
- Nr: Identificeer het interne nummer van het proces.
- Tijd: Verbindingstijd tussen herkomst en bestemming
- Bron: Bron IP
- Bestemming: Destination IP
- Protocol: Protocol gebruikt voor overdracht
- lengte: Pakket grootte
- Informatie: Aanvullende bestemmingsinformatie
Als we het huidige werk willen opslaan, kunnen we dit doen via het menu Bestand, Opslaan of Opslaan als.Om dit bestand te openen, gebruiken we de optie Openen van het menu Bestand.
Zoals we zien in de pakketanalysator we hebben veel informatie, bijvoorbeeld als we de Protocolkolom We zullen zien dat er onder andere ARP-, HTTP-, TCP-protocollen zijn, als we alleen de TCP-protocollen willen zien, zullen we het filter gebruiken, hiervoor voeren we de term TCP in het vak in "Een weergavefilter toepassen" bovenaan en we geven Enter of drukken op de knop Dit filter toepassen, we zullen zien dat er in de kolom Protocol alleen de TCP-protocollen.
VERGROTEN
VERGROTEN
We kunnen onze gegevens exporteren naar verschillende soorten formaten voor een betere analyse, deze kunnen worden geëxporteerd naar HTTP, SMB, TFTP, enz. Om de export uit te voeren, gaan we naar het menu Bestand en kiezen Objecten exporteren, zullen we de HTTP-optie kiezen.
Dit is het resultaat van onze export:
Laten we eens kijken naar de verschillende menubalkopties in Wireshark.
Bestand> Bestand
Binnen dit menu vinden we onder andere basisopties zoals openen, opslaan, exporteren, afdrukken. We hebben zojuist het proces gezien om een bestand te exporteren.
Bewerken> Bewerken
Vanuit dit menu kunnen we taken uitvoeren zoals kopiëren, pakketten zoeken, opmerkingen plaatsen, enz. We gaan enkele van deze opties in detail bekijken.
Als we bijvoorbeeld willen vind alle DNS-pakketten binnen het frame, we openen de Zoek optie en we zullen het woord DNS invoeren of we kunnen de combinatie gebruiken CTRL + F:
VERGROTEN
We kunnen zien dat alle DNS-pakketten zijn gemarkeerd. Om een opmerking toe te voegen, gebruiken we de Pakketopmerking optie.
We zullen het weerspiegeld zien in het hoofdmenu:
VERGROTEN
Bekijk> Bekijk
Met deze optie kunnen we de soorten weergave definiëren die onze Wireshark zal hebben, evenals het tijdformaat, de grootte van de kolommen, de kleurregels, enz.
We kunnen de Optie Regels inkleuren om te bepalen, en als we willen bewerken, de kleuren die zijn toegewezen voor de verschillende protocollen.
Als u een nieuw protocol wilt maken, klikt u op +, definieert u de naam en kleur en drukt u op OK.
Vastleggen> Vastleggen
Met deze optie kunnen we een pakketopname starten, stoppen of opnieuw starten
In de Optie voor opnamefilters we kunnen de parameters van de opname definiëren.
Analyseren> Analyse
Binnen dit menu kunnen we filters maken, filters bewerken, protocollen in- of uitschakelen, onder andere taken.
We kunnen de Optie Filters weergeven om de huidige filters te observeren en indien nodig aan te passen.
Als we meer filters willen toevoegen, drukken we op de knop +, als we een filter willen verwijderen, drukken we op de knop -. We kunnen de volledige lijst van alle ingeschakelde protocollen analyseren met behulp van de optie Ingeschakelde protocollen of met behulp van de toetsencombinatie:
Ctrl + Shift + E
VERGROTEN
Daar observeren we het protocol en de beschrijving ervan.
Statistieken> Statistieken
Het is misschien wel een van de meest complete menu's omdat we van daaruit rapporten, grafieken en andere hulpprogramma's kunnen maken om de status van de pakketten te zien.
Zoals we kunnen zien, hebben we verschillende alternatieven om de statistieken te bekijken, we gaan bijvoorbeeld een invoer- en uitvoergrafiek maken I / O-grafiek.
In de grafiek kunnen we instellingen maken zoals de kleur van de lijn, het frequentie-interval, specifieke dag, enz. Als we de optie selecteren: Eigenschappen van vastlegbestand We zullen de eigenschappen van de opnamebestanden zien, zoals hun grootte, het type codering, het eerste en het laatste pakket, naast andere details.
Als u de optie selecteert: IPv4-statistieken en wij kiezen Alle adressen We zullen het volgende gedetailleerde rapport zien:
Als we het gedrag van de TCP-streaming we kunnen de optie gebruiken TCP-stroomgrafieken en selecteer het type grafiek, dan zien we het volgende:
In de Typ sneltabblad we kunnen het type grafiek wijzigen. Met optie Protocol hiërarchie We kunnen in detail de verzonden pakketten, de grootte, enz.
Telefonie> Telefonie
In deze optie kunnen we alles analyseren met betrekking tot de protocollen die zijn gekoppeld aan de telefoonmiddelen (wanneer we dit middel gebruiken), kunnen we informatie zien zoals:
- UCP-berichten
- ISUP-berichten
- SIP-statistieken, enz.
We kunnen elk van deze opties openen, maar aangezien we niet met telefoonprotocollen werken, is het resultaat nul (0).
Draadloze
In dit menu vinden we informatie met betrekking tot de Draadloze apparaten gekoppeld met Wireshark (bijvoorbeeld als we werken met een laptop, mobiel etc.)
Omdat we in dit onderzoek meer met het LAN-netwerk werken (niet met WiFi) zullen alle opties in dit menu als nul of leeg verschijnen.
Gereedschap> Gereedschap
In dit menu vinden we alles wat te maken heeft met LUA-app, dit is een console waarmee ontwikkelaars scripts kunnen maken om applicaties te verbeteren of uit te breiden.
Help> Help
Vanuit dit menu hebben we toegang tot Wireshark-help, zien we schermen over hoe het te gebruiken, toegang tot onder andere de website van het bedrijf. Dat kunnen we realiseren met de optie Over Wireshark We kunnen de sneltoetsen zien die erin zijn opgenomen, dit kan ons helpen bepaalde processen te versnellen.
Als we bijvoorbeeld filters gebruiken, moeten we er rekening mee houden dat we enkele parameters kunnen gebruiken, zoals:
- Gelijk aan: eq of ==
- Niet hetzelfde: nee of! =
- Groter dan: gt of>
- Kleiner dan: het of <
- Groter dan of gelijk aan: ge of> =
- Minder dan of gelijk: hem of <=
We kunnen een zoekopdracht uitvoeren met behulp van de volgende syntaxis:
tcp bevat "solvetic.com"Met betrekking tot de protocollen kunnen we vermelden dat de volgende de meest voorkomende zijn en met enkele van hun toevoegingen:
- ssl > SSL-protocol (Socket Secure Layer).
- telnet > Telenet.
- dns >DNS. (Domeinnaam systeem)
- msnms > Instant Messaging (Messenger).
- ftp > FTP-protocol (we konden de gebruikersnaam en het wachtwoord zien).
- ftp-gegevens > Maakt het bekijken van de FTP-protocolgegevens mogelijk.
- ik p > IP-protocol.
- ip.src == 192.168.1.10 > Bron IP-adres.
- ip.dst == 192.168.1.30 > Bestemming IP-adres.
- tcp > TCP-protocol
- tcp.poort == 80 > We geven de pakketten aan met de gewenste poort.
- tcp.srcport == 80 > We geven de haven van herkomst aan.
- tcp.dstport == 80 > We geven de bestemmingspoort aan.
- http > HTTP-protocol
- http.host == ”www.solvetic.com” > We willen de pakketten zien die Solvetic als host hebben.
- http.date == "Wo, 25 mei 2016 17:08:35 GMT" > Pakketten met betrekking tot een date
- http.content_type == ”toepassing / json” > Het type toepassing kan variëren
- http.content_type == ”afbeelding / png” > PNG-afbeeldingen
- http.content_type == ”afbeelding / gif.webp” > GIF.webp-afbeeldingen
- http.content_type == ”afbeelding / jpeg.webp” > JPEG.webp-afbeeldingen
- http.content_type == ”tekst / html” > HTML-bestanden
- http.content_type == "tekst / css" > CSS-stijlbladen
- http.content_type == ”video / quicktime” > Video's
- http.content_type == ”applicatie / zip” > ZIP-bestanden
- http.request.method == ”GET” > KRIJG aanvraagtype
- http.request.method == ”POST” > POST-verzoektype
- http.user_agent bevat "Mozilla" > Mozilla-browser
- http.request.uri komt overeen met "[0-9]" > Gebruik van reguliere expressies.
We kunnen de grote reikwijdte zien die we hebben met Wireshark om ons pakketverkeer te controleren, een eenvoudig voorbeeld om af te ronden, we openen de Solvetic-website.
We kunnen in Wireshark (filteren op DNS) de query zien die we zojuist hebben gemaakt (open de Solvetic-webpagina).
VERGROTEN
Als we op die rij dubbelklikken, kunnen we meer gedetailleerde informatie over de route zien:
We zullen details kunnen zien zoals de interface-ID, de geschatte aankomsttijd van het verzoek, het type netwerkkaart van zowel herkomst als bestemming, enz.
We zien dat we een zeer waardevolle (en gratis) tool tot onze beschikking hebben waarmee we als beheerders kunnen werken constante monitoring van al het netwerkverkeer uitvoeren om de kwaliteit van de communicatie en de correcte en veilige aanlevering van alle informatie te garanderen.
DNS repareren op Windows, Linux en Mac