Wireshark eingehender Tutorial

Lars Daub
Wireshark eingehender Tutorial
Wireshark ist ein Open-Source- und KOSTENLOSE Tool zur Verkehrsinspektion von Netzwerkverkehr. Es erfasst und zeigt Pakete in Echtzeit für die Offline-Analyse in einem menschlich-lesbaren Format mit mikroskopischen Details. Es erfordert ein gewisses Kenntnis der grundlegenden Netzwerke und wird als wesentliches Instrument für Systemadministratoren und Netzwerksicherheitsexperten angesehen.

Wireshark ist das de-facto-Anlaufwerk für verschiedene Netzwerkprobleme, die sich von der Fehlerbehebung der Netzwerke, der Prüfung von Sicherheitsproblemen, dem Inspektion von Netzwerkverkehr einer verdächtigen Anwendung, Debugging-Protokollimplementierungen sowie dem Netzwerkprotokolllernen usw. unterscheiden, usw.

Das Wireshark -Projekt wurde 1998 initiiert. Dank des freiwilligen Beitrags des globalen Networking -Expertens wird weiterhin aktualisiert, um neue Technologien und Verschlüsselungsstandards zu erhalten. Daher ist es bei weitem eines der besten Paketanalysator-Tools und wird von verschiedenen Regierungsbehörden, Bildungseinrichtungen und gemeinnützigen Organisationen als Standard-kommerzielles Instrument verwendet.

Das Wireshark -Tool setzt sich aus einer Vielzahl von Funktionen zusammen. Einige von ihnen sind die folgenden:

  • Multiplattform: Es ist für Unix-, MAC- und Fenstersysteme verfügbar.
  • Es erfasst Pakete aus verschiedenen Netzwerkmedien, ich.e., WLAN, Ethernet, USB, Bluetooth usw.
  • Es öffnet Paketdateien, die von anderen Programmen erfasst werden.
  • Es speichert und exportiert erfasste Paketdaten in verschiedenen Formaten (CSV, XML, Klartext usw.).
  • Es bietet eine Beschreibungsunterstützung für Protokolle wie SSL, WPA/WPA2, IPSec und viele andere.
  • Es enthält Erfassungs- und Anzeigefilter.

Wireshark wird Sie jedoch nicht vor böswilligen Aktivitäten warnen. Es wird Ihnen nur helfen, zu prüfen und zu ermitteln, was in Ihrem Netzwerk passiert. Darüber hinaus werden nur das Netzwerkprotokoll/die Aktivitäten analysiert und keine andere Aktivitäten wie das Senden/Abfangen von Paketen durchführen.

Dieser Artikel enthält ein eingehendes Tutorial, das mit den Grundlagen beginnt (i.e., Filterung, Wireshark -Netzwerkschichten usw.) und nimmt Sie in die Tiefe der Verkehrsanalyse ein.

Wireshark Filter

Wireshark wird mit leistungsstarken Filtermotoren, Erfassungsfiltern und Anzeigefiltern geliefert, um Geräusche aus dem Netzwerk zu entfernen oder den bereits erfassten Verkehr zu erfassen. Diese Filter eingrenzen den unerwünschten Verkehr ein und zeigen nur die Pakete an, die Sie sehen möchten. Diese Funktion hilft Netzwerkadministratoren, die jeweiligen Probleme zu beheben.

Bevor Sie auf die Details der Filter gehen. Wenn Sie sich fragen, wie Sie den Netzwerkverkehr ohne Filter erfassen, können Sie entweder Strg+E drücken oder zur Erfassung der Option der Wireshark -Schnittstelle wechseln und auf Start klicken.

Lassen Sie uns nun tief in die verfügbaren Filter eintauchen.

Erfassungsfilter

Wireshark bietet Unterstützung bei der Reduzierung der Größe einer Rohpaket -Erfassung, indem Sie einen Erfassungsfilter verwenden können. Aber es erfasst nur den Paketverkehr, der dem Filter entspricht, und ignoriert den Rest davon. Diese Funktion hilft Ihnen, den Datenverkehr einer bestimmten Anwendung mit dem Netzwerk zu überwachen und zu analysieren.

Verwechseln Sie diesen Filter nicht mit Anzeigefiltern. Es ist kein Anzeigefilter. Dieser Filter wird am Hauptfenster angezeigt, das vor dem Starten der Paketaufnahme eingestellt werden muss. Darüber hinaus können Sie diesen Filter während der Erfassung nicht ändern.

Du kannst zu dem ... gehen Ergreifen Option der Schnittstelle und auswählen Erfassungsfilter.

Sie werden mit einem Fenster aufgefordert, wie im Snapshot gezeigt. Sie können einen Filter aus der Liste der Filter auswählen oder einen neuen Filter hinzufügen/erstellen, indem Sie auf die Klicken auf die + Taste.

Beispiele für die Liste der hilfreichen Erfassungsfilter:

  • Host ip_address - erfasst den Verkehr nur zwischen der spezifischen Kommunikations -IP -Adresse
  • Net 192.168.0.0/24 - erfasst den Verkehr zwischen IP -Adressbereichen/CIDRs
  • Port 53 - erfasst den DNS -Verkehr
  • TCP-Darstellung 2051-3502 - erfasst den TCP-Verkehr vom Portbereich 2051-3502
  • Port nicht 22 und nicht 21 - Erfassen Sie den gesamten Verkehr außer SSH und FTP

Filter anzeigen

Anzeigenfilter ermöglichen es Ihnen, einige Pakete vor dem bereits erfassten Netzwerkverkehr auszublenden. Diese Filter können über der erfassten Liste hinzugefügt und im laufenden Fliegen geändert werden. Sie können jetzt die Pakete steuern und eingrenzen, auf die Sie sich konzentrieren möchten, während Sie die unnötigen Pakete verstecken.

Sie können Filter in der Anzeigefilter -Symbolleiste direkt über dem ersten Bereich enthalten, der Paketinformationen enthält. Dieser Filter kann verwendet werden, um Pakete basierend auf Protokoll, Quell -IP -Adresse, Ziel -IP -Adresse, Ports, Wert und Informationen von Feldern, Vergleich zwischen Feldern und vielem mehr anzuzeigen.

Das ist richtig! Sie können eine Kombination von Filtern mit logischen Operatoren wie == erstellen.!=, ||, && usw.

Einige Beispiele für Anzeigefilter eines einzelnen TCP -Protokolls und eines Kombinationsfilters sind unten angezeigt:

Netzwerkschichten in Wireshark

Abgesehen von der Paketinspektion präsentiert Wireshark OSI -Ebenen, die beim Fehlerbehebungsprozess helfen. Wireshark zeigt die Schichten in umgekehrter Reihenfolge, wie z. B.:

  1. Physische Schicht
  2. Datenübertragungsebene
  3. Netzwerkschicht
  4. Transportschicht
  5. Anwendungsschicht

Beachten Sie, dass Wireshark die physische Schicht nicht immer anzeigt. Wir werden nun in jeder Schicht graben.

Physische Schicht

Die physische Schicht zeigt, wie in der folgenden Snapshot gezeigt. Als Netzwerkadministrator extrahieren Sie im Allgemeinen keine Informationen aus dieser Ebene.

Datenübertragungsebene

Die nächste Datenverbindungsschicht enthält die Quell- und Zielnetzwerkkartenadresse. Es ist relativ einfach, da es den Rahmen nur vom Laptop zum Router oder den nächsten benachbarten Rahmen im physischen Medium liefert.

Netzwerkschicht

Die Netzwerkschicht präsentiert die Quell- und Ziel -IP -Adressen, die IP -Version, die Headerlänge, die Gesamtpaketlänge und die Anzahl anderer Informationen.

Transportschicht

In dieser Ebene zeigt Wireshark Informationen über die Transportschicht an, die aus dem SRC -Anschluss, dem DST -Port, der Headerlänge und der Sequenznummer besteht, die sich für jedes Paket ändert.

Anwendungsschicht

In der letzten Ebene können Sie sehen, welche Art von Daten über das Medium gesendet wird und welche Anwendung verwendet wird, wie FTP, HTTP, SSH usw.

Verkehrsanalyse

ICMP -Verkehrsanalyse

ICMP wird zur Fehlerberichterstattung und -prüfung verwendet, indem festgestellt wird, ob die Daten das beabsichtigte Ziel rechtzeitig erreichen oder nicht. Das Ping -Dienstprogramm verwendet ICMP -Nachrichten, um die Geschwindigkeit der Verbindung zwischen Geräten zu testen und zu berichten, wie lange das Paket dauert, um sein Ziel zu erreichen und dann zurück zu kommen.

Der Ping verwendet die Nachricht im Gerät im Netzwerk ICMP_ECHO_REQUEST. Um Pakete auf dem Wireshark zu erfassen, starten Sie die Erfassungsfunktion des Wiresharks, öffnen Sie das Terminal und führen Sie den folgenden Befehl aus:

Ubuntu $ Ubuntu: ~ $ Ping Google.com

Verwenden Strg+c Um den Paketerfassungsprozess in Wireshark zu beenden. Im folgenden Schnappschuss können Sie die bemerken ICMP -Paket gesendet = ICMP -Paket empfangen mit 0% Paketverlust.

Wählen Sie im WireShark Capture -Bereich das erste Paket ICMP_ECHO_REQUEST aus und beobachten Sie die Details, indem Sie das mittlere Wireshark -Bereich öffnen.

In der Netzwerkebene können Sie die Quelle bemerken Src Als mein ip_address, während das Ziel Dst IP_ADDRESS ist von Google Server, während die IP -Ebene das Protokoll erwähnt, um ICMP zu sein.

Jetzt vergrößern wir die ICMP -Paketdetails, indem wir das Protokoll für das Internet -Steuerungsnachricht erweitern und die hervorgehobenen Felder im folgenden Snapshot entschlüsseln:

  • Typ: 08-Bit-Feld auf 8 bedeutet Echo-Anforderungsnachricht
  • Code: Immer Null für ICMP -Pakete
  • Prüfsumme: 0x46c8
  • Identifiernummer (BE): 19797
  • ID -Nummer (LE): 21837
  • Sequenznummer (BE): 1
  • Sequenznummer (LE): 256

Die Kennung und die Sequenznummern werden mit der Identifizierung der Antworten auf Echo -Anfragen abgestimmt. In ähnlicher Weise wird die Prüfsumme vor der Paketübertragung berechnet und zum Feld hinzugefügt, um mit der Prüfsumme im empfangenen Datenpaket zu vergleichen.

Beachten Sie nun im ICMP -Antwortpaket die IPv4 -Ebene. Die Quell- und Zieladressen haben getauscht.

Überprüfen und vergleichen Sie in der ICMP -Ebene die folgenden wichtigen Felder:

  • Typ: 08-Bit-Feld auf 0 bedeutet Echo-Antwortnachricht
  • Code: Immer 0 für ICMP -Pakete
  • Prüfsumme: 0x46c8
  • Identifiernummer (BE): 19797
  • ID -Nummer (LE): 21837
  • Sequenznummer (BE): 1
  • Sequenznummer (LE): 256

Sie können feststellen, dass die ICMP -Antwort dieselbe Anforderungsprüfuhr, Bezeichner und Sequenznummer widerspiegelt.

HTTP -Verkehrsanalyse

HTTP ist ein Hypertext -Transfer -Anwendungsschichtprotokoll. Es wird vom World Wide Web verwendet und definiert Regeln, wenn der HTTP -Client/Server HTTP -Befehle überträgt/empfängt. Die am häufigsten verwendeten HTTP -Methoden ae Post und erhalten:

POST: Diese Methode wird verwendet, um vertrauliche Informationen sicher an den Server zu senden, der in der URL nicht angezeigt wird.

ERHALTEN: Diese Methode wird normalerweise verwendet, um Daten aus der Adressleiste von einem Webserver abzurufen.

Bevor wir tiefer in die HTTP-Paketanalyse eintauchen, werden wir zunächst kurz den TCP-Drei-Wege.

TCP Drei-Wege-Handshake

In einem Drei-Wege. Wir werden den Befehl nmap TCP Connect -Scan verwenden, um den TCP -Handshake zwischen Client und Server zu veranschaulichen.

Ubuntu $ Ubuntu: ~ $ nmap -st Google.com

Scrollen Sie im WireShark Packet Capture-Bereich nach oben im Fenster, um verschiedene Drei-Wege.

Benutze die TCP.Port == 80 Filter, um festzustellen, ob die Verbindung über Port 80 hergestellt wird. Sie können den kompletten Drei-Wege-Handshake bemerken, ich.e., Syn, Synchronisation, Und Ack, Hervorhebt oben im Snapshot und veranschaulicht eine zuverlässige Verbindung.

HTTP -Paketanalyse

Für die HTTP -Paketanalyse gehen Sie zu Ihrem Browser und fügen Sie die WireShark -Dokumentation URL: http: // www ein.Waffeleisen.com und laden Sie das Benutzerhandbuch PDF herunter. In der Zwischenzeit muss Wireshark alle Pakete erfassen.

Wenden Sie einen HTTP -Filter an und suchen Sie nach dem Http bekommen Anfrage vom Client an den Server gesendet. Um ein HTTP -Paket anzuzeigen, wählen Sie es aus und erweitern Sie die Anwendungsschicht im mittleren Bereich. In einer Anfrage kann je nach Website und Browser auch viele Header angewendet werden. Wir werden die in unserer Anfrage vorhandenen Header im folgenden Snapshot analysieren.

  • Anforderungsmethode: Die HTTP -Anforderungsmethode ist GET
  • Gastgeber: identifiziert den Namen des Servers
  • User-Agent: Informiert über den kundenseitigen Browsertyp
  • Akzeptieren, Akzeptieren, Akzeptieren Sie Sprache: informiert den Server über den Dateityp, akzeptierte Codierung am clientseitig, i.e., gzip usw., und die akzeptierte Sprache
  • Cache-Kontroll: zeigt, wie die angeforderten Informationen zwischengespeichert werden
  • Pragma: Zeigt den Namen des Cookies an und schätzt, den der Browser für die Website hält
  • Verbindung: Header, der steuert, ob die Verbindung nach der Transaktion geöffnet bleibt

Im Http ok Paket vom Server zu Client und Beobachtung der Informationen in der Hypertext -Transfer -Protokollschicht zeigt “200 OK“. Diese Informationen zeigen eine normale erfolgreiche Übertragung an. Im HTTP OK -Paket können Sie im Vergleich zum Paket verschiedene Header beobachten Http bekommen Paket. Diese Header enthalten Informationen über den angeforderten Inhalt.

  • Antwortversion: Informiert über die HTTP -Version
  • Statuscode, Antwortausdruck: vom Server gesendet
  • Datum: Die Zeit, in der der Server das HTTP -Paket erhielt
  • Server: Serverdetails (Nginx, Apache usw.)
  • Inhaltstyp: Art des Inhalts (JSON, TXT/HTML usw.)
  • Inhaltslänge: Gesamtlänge des Inhalts; Unsere Datei ist 39696 Bytes

In diesem Abschnitt haben Sie erfahren, wie HTTP funktioniert und was passiert, wenn wir Inhalte im Web anfordern.

Abschluss

Wireshark ist das beliebteste und leistungsstärkste Netzwerk -Sniffer- und Analyse -Tool. Es wird häufig bei täglichen Paketanalyseaufgaben in verschiedenen Organisationen und Instituten verwendet. In diesem Artikel haben wir einige Themen der Anfänger bis mittelstufe des Wireshark in Ubuntu untersucht. Wir haben die Art der von Wireshark für die Paketanalyse angebotenen Filter erfahren. Wir haben das Netzwerkschichtmodell in Wireshark behandelt und eine detaillierte ICMP- und HTTP-Paketanalyse durchgeführt.

Das Lernen und Verständnis verschiedener Aspekte dieses Tools ist jedoch eine lange harte Reise. Daher stehen viele andere Online -Vorträge und Tutorials zur Verfügung, die Ihnen bei bestimmten Themen von Wireshark helfen. Sie können dem offiziellen Benutzerhandbuch folgen, der auf der Wireshark -Website verfügbar ist. Sobald Sie das grundlegende Verständnis der Protokollanalyse aufgebaut haben, wird außerdem empfohlen, ein Tool wie Varonis zu verwenden, das Sie auf die potenzielle Bedrohung hinweist, und dann Wireshark zu verwenden, um ein besseres Verständnis zu untersuchen.

Zwangsversteigerung
Salesforce Apex - Auslöser
Praktisches Tutorial für Salesforce Apex Trigger und die verschiedenen Exmaples, um den Auslöser bei...
Lars Daub
Java
Beispiele für Java -Methoden
Tutorial über Java -Methoden, die Verwendung der Zugriffsmodifikatoren, um den Umfang der Methoden i...
Hussein Burkhard
C ++
Wie man Argumente an Funktionen in C ++ nach Wert vs übergibt. Durch Bezugnahme?
Eine Kopie der Variablen wird an die Funktion gemacht, wenn Argumente mit Wert übergeben werden. Die...
Gian Eisenlauer
Oracle Linux
So installieren und verwenden Sie das Oracle VirtualBox -Erweiterungspaket?
Ansgar Radtke
Python
Seeborn Horizontal Bar -Diagramm
Kaya Wyludda
Python
Python Count Charaktere in String
Jessica Schimmer
Python
Python Count Ereignisse in der Liste
Fr. Chris Frisch
Docker
Was ist der Zweck eines Docker-Composes?.YML -Datei in Docker?
Jessica Schimmer
AWS
Was ist Subnetz auf AWS VPC und wie man es benutzt??
Jean Dengler
Docker
Wie unterscheidet sich Docker vom Docker -Desktop??
Lars Daub
Docker
So melden Sie sich über die Eingabeaufforderung bei Docker an?
Hussein Burkhard
Golang
So verwenden Sie das Defer -Schlüsselwort in Golang
Ansgar Radtke
c scharf
Wie man eine Dezimalzahl in ein Doppel in C# umwandelt
Jessica Schimmer