10 Συμβουλές σχετικά με τον τρόπο χρήσης του Wireshark για την ανάλυση πακέτων δικτύου


Σε οποιοδήποτε δίκτυο μεταγωγής πακέτων, τα πακέτα αντιπροσωπεύουν μονάδες δεδομένων που μεταδίδονται μεταξύ υπολογιστών. Είναι ευθύνη των μηχανικών δικτύου και των διαχειριστών συστημάτων να παρακολουθούν και να επιθεωρούν τα πακέτα για λόγους ασφάλειας και αντιμετώπισης προβλημάτων.

Για να γίνει αυτό, βασίζονται σε προγράμματα λογισμικού που ονομάζονται αναλυτές πακέτων δικτύου, με το Wireshark να είναι ίσως το πιο δημοφιλές και χρησιμοποιούμενο λόγω της ευελιξίας και της ευκολίας χρήσης του. Επιπλέον, το Wireshark σάς επιτρέπει όχι μόνο να παρακολουθείτε την κυκλοφορία σε πραγματικό χρόνο, αλλά και να την αποθηκεύετε σε ένα αρχείο για μετέπειτα έλεγχο.

Σχετική ανάγνωση: Τα καλύτερα εργαλεία παρακολούθησης εύρους ζώνης Linux για την ανάλυση της χρήσης δικτύου

Σε αυτό το άρθρο, θα μοιραστούμε 10 συμβουλές σχετικά με τον τρόπο χρήσης του Wireshark για την ανάλυση πακέτων στο δίκτυό σας και ελπίζουμε ότι όταν φτάσετε στην ενότητα "Σύνοψη" θα νιώσετε τη διάθεση να το προσθέσετε στους σελιδοδείκτες σας.

Εγκατάσταση του Wireshark στο Linux

Για να εγκαταστήσετε το Wireshark, επιλέξτε το κατάλληλο πρόγραμμα εγκατάστασης για το λειτουργικό σύστημα/αρχιτεκτονική σας από τη διεύθυνση https://www.wireshark.org/download.html.

Ειδικότερα, εάν χρησιμοποιείτε Linux, το Wireshark πρέπει να είναι διαθέσιμο απευθείας από τα αποθετήρια της διανομής σας για ευκολότερη εγκατάσταση με την άνεσή σας. Αν και οι εκδόσεις μπορεί να διαφέρουν, οι επιλογές και τα μενού θα πρέπει να είναι παρόμοια – αν όχι πανομοιότυπα σε κάθε ένα.

------------ On Debian/Ubuntu based Distros ------------ 
sudo apt-get install wireshark

------------ On CentOS/RHEL based Distros ------------
sudo yum install wireshark

------------ On Fedora 22+ Releases ------------
sudo dnf install wireshark

Υπάρχει ένα γνωστό σφάλμα στο Debian και τα παράγωγα που ενδέχεται να εμποδίσουν την καταχώριση των διεπαφών δικτύου, εκτός εάν χρησιμοποιείτε το sudo για την εκκίνηση του Wireshark. Για να το διορθώσετε, ακολουθήστε την αποδεκτή απάντηση σε αυτήν την ανάρτηση.

Μόλις εκτελεστεί το Wireshark, μπορείτε να επιλέξετε τη διεπαφή δικτύου που θέλετε να παρακολουθήσετε στην ενότητα Λήψη:

Σε αυτό το άρθρο, θα χρησιμοποιήσουμε το eth0, αλλά μπορείτε να επιλέξετε άλλο αν θέλετε. Μην κάνετε ακόμα κλικ στη διεπαφή – θα το κάνουμε αργότερα, αφού ελέγξουμε μερικές επιλογές λήψης.

Ρύθμιση επιλογών λήψης

Οι πιο χρήσιμες επιλογές λήψης που θα εξετάσουμε είναι:

  1. Διεπαφή δικτύου – Όπως εξηγήσαμε προηγουμένως, θα αναλύουμε μόνο πακέτα που προέρχονται από το eth0, είτε εισερχόμενα είτε εξερχόμενα.
  2. Φίλτρο λήψης – Αυτή η επιλογή μας επιτρέπει να υποδείξουμε το είδος της κίνησης που θέλουμε να παρακολουθούμε ανά θύρα, πρωτόκολλο ή τύπο.

Πριν προχωρήσουμε με τις συμβουλές, είναι σημαντικό να σημειώσουμε ότι ορισμένοι οργανισμοί απαγορεύουν τη χρήση του Wireshark στα δίκτυά τους. Τούτου λεχθέντος, εάν δεν χρησιμοποιείτε το Wireshark για προσωπικούς σκοπούς, βεβαιωθείτε ότι ο οργανισμός σας επιτρέπει τη χρήση του.

Προς το παρόν, απλώς επιλέξτε eth0 από την αναπτυσσόμενη λίστα και κάντε κλικ στην επιλογή Έναρξη στο κουμπί. Θα αρχίσετε να βλέπετε όλη την κίνηση που διέρχεται από αυτήν τη διεπαφή. Δεν είναι πραγματικά χρήσιμο για σκοπούς παρακολούθησης λόγω του μεγάλου αριθμού πακέτων που επιθεωρούνται, αλλά είναι μια αρχή.

Στην παραπάνω εικόνα, μπορούμε επίσης να δούμε τα εικονίδια για να παραθέσουμε τις διαθέσιμες διεπαφές, να διακόψουμε την τρέχουσα λήψη και να την επανεκκινήσουμε (κόκκινο πλαίσιο στα αριστερά) και για να διαμορφώσετε και να επεξεργαστείτε ένα φίλτρο (κόκκινο πλαίσιο στα δεξιά). Όταν τοποθετείτε το δείκτη του ποντικιού πάνω σε ένα από αυτά τα εικονίδια, θα εμφανιστεί μια επεξήγηση εργαλείου για να υποδείξει τι κάνει.

Θα ξεκινήσουμε παρουσιάζοντας τις επιλογές λήψης, ενώ οι συμβουλές #7 έως το #10 θα συζητήσουν πώς να κάνετε πραγματικά κάτι χρήσιμο με μια λήψη.

ΣΥΜΒΟΥΛΗ #1 – Επιθεωρήστε την επισκεψιμότητα HTTP

Πληκτρολογήστε http στο πλαίσιο φίλτρου και κάντε κλικ στην Εφαρμογή. Εκκινήστε το πρόγραμμα περιήγησής σας και μεταβείτε σε οποιονδήποτε ιστότοπο θέλετε:

Για να ξεκινήσετε κάθε επόμενη συμβουλή, σταματήστε τη ζωντανή λήψη και επεξεργαστείτε το φίλτρο λήψης.

ΣΥΜΒΟΥΛΗ #2 – Επιθεωρήστε την επισκεψιμότητα HTTP από μια δεδομένη διεύθυνση IP

Σε αυτήν τη συγκεκριμένη συμβουλή, θα προσαρτήσουμε το ip==192.168.0.10&& στη στροφή του φίλτρου για την παρακολούθηση της κυκλοφορίας HTTP μεταξύ του τοπικού υπολογιστή και του 192.168.0.10:

ΣΥΜΒΟΥΛΗ #3 – Επιθεωρήστε την επισκεψιμότητα HTTP σε μια δεδομένη διεύθυνση IP

Σχετικά στενά με το #2, σε αυτήν την περίπτωση, θα χρησιμοποιήσουμε το ip.dst ως μέρος του φίλτρου λήψης ως εξής:

ip.dst==192.168.0.10&&http

Για να συνδυάσετε τις συμβουλές #2 και #3, μπορείτε να χρησιμοποιήσετε ip.addr στον κανόνα φίλτρου αντί για ip.src ή ip.dst.

ΣΥΜΒΟΥΛΗ #4 – Παρακολούθηση της κυκλοφορίας δικτύου Apache και MySQL

Μερικές φορές θα σας ενδιαφέρει να επιθεωρήσετε την κυκλοφορία που αντιστοιχεί σε οποιαδήποτε (ή και στις δύο) συνθήκες. Για παράδειγμα, για την παρακολούθηση της κυκλοφορίας στις θύρες TCP 80 (διακομιστής ιστού) και 3306 (διακομιστής βάσης δεδομένων MySQL/MariaDB), μπορείτε να χρησιμοποιήσετε μια συνθήκη OR στο φίλτρο λήψης:

tcp.port==80||tcp.port==3306

Στις συμβουλές #2 και #3, το || και η λέξη ή παράγουν τα ίδια αποτελέσματα. Το ίδιο με το && και τη λέξη και.

ΣΥΜΒΟΥΛΗ #5 – Απόρριψη πακέτων σε δεδομένη διεύθυνση IP

Για να εξαιρέσετε πακέτα που δεν ταιριάζουν με τον κανόνα του φίλτρου, χρησιμοποιήστε ! και κλείστε τον κανόνα μέσα σε παρένθεση. Για παράδειγμα, για να εξαιρέσετε πακέτα που προέρχονται από ή κατευθύνονται σε μια δεδομένη διεύθυνση IP, μπορείτε να χρησιμοποιήσετε:

!(ip.addr == 192.168.0.10)

ΣΥΜΒΟΥΛΗ #6 – Παρακολούθηση κυκλοφορίας τοπικού δικτύου (192.168.0.0/24)

Ο ακόλουθος κανόνας φίλτρου θα εμφανίζει μόνο την τοπική κυκλοφορία και θα αποκλείει πακέτα που πηγαίνουν και προέρχονται από το Διαδίκτυο:

ip.src==192.168.0.0/24 and ip.dst==192.168.0.0/24

ΣΥΜΒΟΥΛΗ #7 – Παρακολουθήστε τα περιεχόμενα μιας συνομιλίας TCP

Για να επιθεωρήσετε τα περιεχόμενα μιας συνομιλίας TCP (ανταλλαγή δεδομένων), κάντε δεξί κλικ σε ένα δεδομένο πακέτο και επιλέξτε Ακολουθήστε τη ροή TCP. Θα εμφανιστεί ένα παράθυρο με το περιεχόμενο της συνομιλίας.

Αυτό θα περιλαμβάνει κεφαλίδες HTTP εάν επιθεωρούμε την κυκλοφορία ιστού, καθώς και τυχόν διαπιστευτήρια απλού κειμένου που μεταδίδονται κατά τη διάρκεια της διαδικασίας, εάν υπάρχουν.

ΣΥΜΒΟΥΛΗ #8 – Επεξεργαστείτε τους κανόνες χρωματισμού

Μέχρι τώρα είμαι βέβαιος ότι έχετε ήδη παρατηρήσει ότι κάθε σειρά στο παράθυρο λήψης είναι έγχρωμη. Από προεπιλογή, η κυκλοφορία HTTP εμφανίζεται στο πράσινο φόντο με μαύρο κείμενο, ενώ τα σφάλματα checksum εμφανίζονται σε κόκκινο κείμενο με μαύρο φόντο.

Εάν θέλετε να αλλάξετε αυτές τις ρυθμίσεις, κάντε κλικ στο εικονίδιο Επεξεργασία κανόνων χρωματισμού, επιλέξτε ένα δεδομένο φίλτρο και κάντε κλικ στην Επεξεργασία.

ΣΥΜΒΟΥΛΗ #9 – Αποθηκεύστε το Capture σε ένα αρχείο

Η αποθήκευση του περιεχομένου της λήψης θα μας επιτρέψει να το επιθεωρήσουμε με μεγαλύτερη λεπτομέρεια. Για να το κάνετε αυτό, μεταβείτε στο Αρχείο → Εξαγωγή και επιλέξτε μια μορφή εξαγωγής από τη λίστα:

ΣΥΜΒΟΥΛΗ #10 – Εξασκηθείτε με τη λήψη δειγμάτων

Εάν πιστεύετε ότι το δίκτυό σας είναι «βαρετό », το Wireshark παρέχει μια σειρά από δείγματα αρχείων λήψης που μπορείτε να χρησιμοποιήσετε για να εξασκηθείτε και να μάθετε. Μπορείτε να κάνετε λήψη αυτών των SampleCaptures και να τα εισαγάγετε μέσω του μενού Αρχείο → Εισαγωγή.

Περίληψη

Το Wireshark είναι δωρεάν λογισμικό ανοιχτού κώδικα, όπως μπορείτε να δείτε στην ενότητα Συχνές ερωτήσεις του επίσημου ιστότοπου. Μπορείτε να διαμορφώσετε ένα φίλτρο λήψης είτε πριν είτε μετά την έναρξη μιας επιθεώρησης.

Σε περίπτωση που δεν το προσέξατε, το φίλτρο έχει μια λειτουργία αυτόματης συμπλήρωσης που σας επιτρέπει να αναζητάτε εύκολα τις πιο χρησιμοποιούμενες επιλογές που μπορείτε να προσαρμόσετε αργότερα. Με αυτό, ο ουρανός είναι το όριο!

Όπως πάντα, μη διστάσετε να μας στείλετε μια γραμμή χρησιμοποιώντας την παρακάτω φόρμα σχολίων εάν έχετε οποιεσδήποτε ερωτήσεις ή παρατηρήσεις σχετικά με αυτό το άρθρο.