Як користуватися Wireshark, найкращим аналізатором пакетів

Wireshark - це найкращий аналізатор мережевого трафіку та аналізатор пакетів. У цій статті ми розглянемо це детально.

Wireshark - це мережевий аналізатор, який дозволяє побачити, що відбувається у вашій мережі. Це дозволяє вам розтинати ваші мережеві пакети на мікроскопічному рівні, надаючи вам поглиблену інформацію про окремі пакети.

Вперше Wireshark був випущений в 1998 році (і тоді його називали Ethereal). Він може працювати на всіх основних операційних системах. Більшість підприємств та державних організацій зараз віддають перевагу Wireshark як своєму стандартному аналізатору мережі.

Wireshark також повністю відкритий, завдяки спільноті мережевих інженерів у всьому світі. Хоча більшість інструментів безпеки засновані на CLI, Wireshark має фантастичний користувальницький інтерфейс.

Модель OSI

Я припускаю, що ви новачок у роботі з мережами, тому ми розглянемо деякі основи моделі OSI. Це важливо для розуміння основних функцій Wireshark.

Модель взаємозв'язку відкритих систем (OSI) стандартизує спосіб з'єднання двох або більше пристроїв між собою. Модель OSI сегментує мережеву архітектуру на 7 рівнів: Application, Presentation, Session, Transport, Network, Datalink та Physical.

Ось що робить кожен шар:

  • Фізичний рівень - відповідає за фактичний фізичний зв’язок між пристроями. Дані передаються у вигляді бітів .
  • Шар передачі даних - гарантує, що дані не містять помилок. Дані передаються у кадрах .
  • Мережевий рівень - дбає про пошук найкращого (і найшвидшого) способу надсилання даних. IP-адреси відправника та одержувача додаються до заголовка на цьому рівні.
  • Транспортний рівень - діє як міст між мережевим та сесійним рівнем. Використовує протоколи, такі як TCP та UDP, для надсилання та отримання даних. Дані цього шару називаються сегментом .
  • Рівень сеансу - встановлює та підтримує сеанс між пристроями.
  • Презентаційний рівень - Дані із сегментів тут перетворюються у більш зручний для людей формат. Подбає про шифрування та розшифрування.
  • Шар додатків - Рівень, який взаємодіє з користувачем. Якщо ви використовуєте браузер, він знаходиться на рівні програми.

Наведена нижче схема повинна допомогти вам зрозуміти, як ці компоненти працюють разом.

Якщо вам цікаво дізнатись більше про модель OSI, ось вам докладна стаття.

Пакети

Тепер, коли ви добре зрозуміли модель OSI, давайте розглянемо мережеві пакети. Коли дані передаються з одного комп'ютера на інший, потік даних складається з менших одиниць, які називаються пакетами.

Коли ви завантажуєте файл з Інтернету, дані надсилаються з сервера у вигляді пакетів. Ці пакети заново збираються вашим комп’ютером, щоб отримати оригінальний файл.

Пакет може містити такі дані:

  • IP-адреси джерела та призначення
  • протокол
  • порти джерела та призначення
  • даних
  • довжина, прапори, TTL тощо

Кожен пакет містить цінну інформацію про пристрої, що беруть участь у передачі пакетів. Кожна передача даних включає тисячі або навіть мільйони цих пакетів даних, які передаються між джерелом та пристроями призначення.

Тепер ви можете зрозуміти важливість Wireshark. Wireshark дозволяє захопити кожен з цих пакетів та перевірити їх на наявність даних.

Wireshark, для інженера мережі, схожий на мікроскоп для біолога. Wireshark дозволяє вам "слухати" живу мережу (після встановлення з'єднання з нею), а також захоплювати та перевіряти пакети на льоту.

Як мережевий інженер або етичний хакер, ви можете використовувати Wireshark для налагодження та захисту своїх мереж. Як зловмисний хакер (що я не рекомендую), ви можете "нюхати" пакети в мережі та фіксувати таку інформацію, як транзакції з кредитними картками.

Ось чому нерозумно підключатися до такої загальнодоступної мережі, як Starbucks, і здійснювати фінансові операції або отримувати доступ до приватних даних. Незважаючи на те, що сайти з HTTPS можуть шифрувати ваші пакети, це все одно видно в мережі. Якщо хтось дійсно хоче це зламати, він може.

Основи Wireshark

А тепер давайте розглянемо, як ви можете грати з Wireshark. Завантажте та встановіть Wireshark звідси.

Wireshark має чудовий графічний інтерфейс, на відміну від більшості засобів тестування на проникнення. Ось як виглядає Wireshark під час завантаження.

Wireshark перераховує мережі, до яких ви підключені, і ви можете вибрати одну з них і почати слухати мережу.

У Wireshark є три панелі.

Панель списку пакетів

На цій панелі відображаються захоплені пакети. Кожен рядок представляє окремий пакет, який ви можете натиснути та детально проаналізувати, використовуючи дві інші панелі.

Панель деталей пакета

Ви можете вибрати пакет, а потім детальніше переглянути інформацію про пакет за допомогою панелі Деталі пакета. Він відображає таку інформацію, як IP-адреси, порти та іншу інформацію, що міститься в пакеті.

Панель байтів

Ця область надає необроблені дані вибраного пакета в байтах. Дані відображаються у вигляді шістнадцяткового дампа, який відображає двійкові дані у шістнадцятковій формі.

Фільтри

Wireshark має фільтри, які допомагають звузити тип даних, які ви шукаєте. Існує два основних типи фільтрів: фільтр захоплення та фільтр відображення.

Фільтр захоплення

Ви можете встановити фільтр захоплення перед початком аналізу мережі. Коли ви встановлюєте фільтр захоплення, він захоплює лише ті пакети, які відповідають фільтру захоплення.

Наприклад, якщо вам потрібно лише прослуховувати пакети, що надсилаються та отримуються з IP-адреси, ви можете встановити фільтр захоплення таким чином:

host 192.168.0.1

Після встановлення фільтра зйомки ви не зможете його змінити, поки не завершиться поточний сеанс зйомки.

Відображення фільтрів

Фільтри відображення застосовуються для захоплення пакетів. Наприклад, якщо ви хочете відобразити лише запити, що походять від певного ip, ви можете застосувати фільтр відображення наступним чином:

ip.src==192.168.0.1

Оскільки фільтри відображення застосовуються до захоплених даних, їх можна змінювати на льоту.

Коротше кажучи, фільтри захоплення дозволяють фільтрувати трафік, тоді як фільтри відображення застосовують ці фільтри до захоплених пакетів. Оскільки Wireshark може захоплювати сотні пакетів у зайнятій мережі, вони корисні під час налагодження.

Основні особливості Wireshark

Тепер, коли ви добре знаєте основи Wireshark, давайте розглянемо деякі основні функції. За допомогою Wireshark ви можете:

  • Визначте загрози безпеці та шкідливі дії в мережі
  • Спостерігайте за мережевим трафіком для налагодження складних мереж
  • Фільтруйте трафік на основі протоколів, портів та інших параметрів
  • Захопіть пакети та збережіть їх у файлі Pcap для автономного аналізу
  • Застосуйте правила забарвлення до списку пакетів для кращого аналізу
  • Експортуйте захоплені дані у XML, CSV або звичайний текстовий файл.

Висновок

Щороку Wireshark завжди входить до числа 10 найкращих інструментів мережевої безпеки. Завдяки своєму простому, але потужному користувальницькому інтерфейсу, Wireshark легко навчатись і працювати з ним. Це цінний актив у наборі інструментів кожного тестера проникнення.

Сподіваюся, ця стаття допомогла вам зрозуміти Wireshark. Нещодавно я написав статтю про 10 найкращих інструментів, які ви повинні знати як інженер з кібербезпеки. Перевірте це, якщо ви займаєтесь кібербезпекою.

Я регулярно пишу про машинне навчання, кібербезпеку та DevOps. Ви можете записатись на мій щотижневий бюлетень тут.