Wireshark ist das de-facto-Anlaufwerk für verschiedene Netzwerkprobleme, die sich von der Fehlerbehebung der Netzwerke, der Prüfung von Sicherheitsproblemen, dem Inspektion von Netzwerkverkehr einer verdächtigen Anwendung, Debugging-Protokollimplementierungen sowie dem Netzwerkprotokolllernen usw. unterscheiden, usw.
Das Wireshark -Projekt wurde 1998 initiiert. Dank des freiwilligen Beitrags des globalen Networking -Expertens wird weiterhin aktualisiert, um neue Technologien und Verschlüsselungsstandards zu erhalten. Daher ist es bei weitem eines der besten Paketanalysator-Tools und wird von verschiedenen Regierungsbehörden, Bildungseinrichtungen und gemeinnützigen Organisationen als Standard-kommerzielles Instrument verwendet.
Das Wireshark -Tool setzt sich aus einer Vielzahl von Funktionen zusammen. Einige von ihnen sind die folgenden:
Wireshark wird Sie jedoch nicht vor böswilligen Aktivitäten warnen. Es wird Ihnen nur helfen, zu prüfen und zu ermitteln, was in Ihrem Netzwerk passiert. Darüber hinaus werden nur das Netzwerkprotokoll/die Aktivitäten analysiert und keine andere Aktivitäten wie das Senden/Abfangen von Paketen durchführen.
Dieser Artikel enthält ein eingehendes Tutorial, das mit den Grundlagen beginnt (i.e., Filterung, Wireshark -Netzwerkschichten usw.) und nimmt Sie in die Tiefe der Verkehrsanalyse ein.
Wireshark Filter
Wireshark wird mit leistungsstarken Filtermotoren, Erfassungsfiltern und Anzeigefiltern geliefert, um Geräusche aus dem Netzwerk zu entfernen oder den bereits erfassten Verkehr zu erfassen. Diese Filter eingrenzen den unerwünschten Verkehr ein und zeigen nur die Pakete an, die Sie sehen möchten. Diese Funktion hilft Netzwerkadministratoren, die jeweiligen Probleme zu beheben.
Bevor Sie auf die Details der Filter gehen. Wenn Sie sich fragen, wie Sie den Netzwerkverkehr ohne Filter erfassen, können Sie entweder Strg+E drücken oder zur Erfassung der Option der Wireshark -Schnittstelle wechseln und auf Start klicken.
Lassen Sie uns nun tief in die verfügbaren Filter eintauchen.
Erfassungsfilter
Wireshark bietet Unterstützung bei der Reduzierung der Größe einer Rohpaket -Erfassung, indem Sie einen Erfassungsfilter verwenden können. Aber es erfasst nur den Paketverkehr, der dem Filter entspricht, und ignoriert den Rest davon. Diese Funktion hilft Ihnen, den Datenverkehr einer bestimmten Anwendung mit dem Netzwerk zu überwachen und zu analysieren.
Verwechseln Sie diesen Filter nicht mit Anzeigefiltern. Es ist kein Anzeigefilter. Dieser Filter wird am Hauptfenster angezeigt, das vor dem Starten der Paketaufnahme eingestellt werden muss. Darüber hinaus können Sie diesen Filter während der Erfassung nicht ändern.
Du kannst zu dem ... gehen Ergreifen Option der Schnittstelle und auswählen Erfassungsfilter.
Sie werden mit einem Fenster aufgefordert, wie im Snapshot gezeigt. Sie können einen Filter aus der Liste der Filter auswählen oder einen neuen Filter hinzufügen/erstellen, indem Sie auf die Klicken auf die + Taste.
Beispiele für die Liste der hilfreichen Erfassungsfilter:
Filter anzeigen
Anzeigenfilter ermöglichen es Ihnen, einige Pakete vor dem bereits erfassten Netzwerkverkehr auszublenden. Diese Filter können über der erfassten Liste hinzugefügt und im laufenden Fliegen geändert werden. Sie können jetzt die Pakete steuern und eingrenzen, auf die Sie sich konzentrieren möchten, während Sie die unnötigen Pakete verstecken.
Sie können Filter in der Anzeigefilter -Symbolleiste direkt über dem ersten Bereich enthalten, der Paketinformationen enthält. Dieser Filter kann verwendet werden, um Pakete basierend auf Protokoll, Quell -IP -Adresse, Ziel -IP -Adresse, Ports, Wert und Informationen von Feldern, Vergleich zwischen Feldern und vielem mehr anzuzeigen.
Das ist richtig! Sie können eine Kombination von Filtern mit logischen Operatoren wie == erstellen.!=, ||, && usw.
Einige Beispiele für Anzeigefilter eines einzelnen TCP -Protokolls und eines Kombinationsfilters sind unten angezeigt:
Netzwerkschichten in Wireshark
Abgesehen von der Paketinspektion präsentiert Wireshark OSI -Ebenen, die beim Fehlerbehebungsprozess helfen. Wireshark zeigt die Schichten in umgekehrter Reihenfolge, wie z. B.:
Beachten Sie, dass Wireshark die physische Schicht nicht immer anzeigt. Wir werden nun in jeder Schicht graben.
Physische Schicht
Die physische Schicht zeigt, wie in der folgenden Snapshot gezeigt. Als Netzwerkadministrator extrahieren Sie im Allgemeinen keine Informationen aus dieser Ebene.
Datenübertragungsebene
Die nächste Datenverbindungsschicht enthält die Quell- und Zielnetzwerkkartenadresse. Es ist relativ einfach, da es den Rahmen nur vom Laptop zum Router oder den nächsten benachbarten Rahmen im physischen Medium liefert.
Netzwerkschicht
Die Netzwerkschicht präsentiert die Quell- und Ziel -IP -Adressen, die IP -Version, die Headerlänge, die Gesamtpaketlänge und die Anzahl anderer Informationen.
Transportschicht
In dieser Ebene zeigt Wireshark Informationen über die Transportschicht an, die aus dem SRC -Anschluss, dem DST -Port, der Headerlänge und der Sequenznummer besteht, die sich für jedes Paket ändert.
Anwendungsschicht
In der letzten Ebene können Sie sehen, welche Art von Daten über das Medium gesendet wird und welche Anwendung verwendet wird, wie FTP, HTTP, SSH usw.
Verkehrsanalyse
ICMP -Verkehrsanalyse
ICMP wird zur Fehlerberichterstattung und -prüfung verwendet, indem festgestellt wird, ob die Daten das beabsichtigte Ziel rechtzeitig erreichen oder nicht. Das Ping -Dienstprogramm verwendet ICMP -Nachrichten, um die Geschwindigkeit der Verbindung zwischen Geräten zu testen und zu berichten, wie lange das Paket dauert, um sein Ziel zu erreichen und dann zurück zu kommen.
Der Ping verwendet die Nachricht im Gerät im Netzwerk ICMP_ECHO_REQUEST. Um Pakete auf dem Wireshark zu erfassen, starten Sie die Erfassungsfunktion des Wiresharks, öffnen Sie das Terminal und führen Sie den folgenden Befehl aus:
Ubuntu $ Ubuntu: ~ $ Ping Google.com
Verwenden Strg+c Um den Paketerfassungsprozess in Wireshark zu beenden. Im folgenden Schnappschuss können Sie die bemerken ICMP -Paket gesendet = ICMP -Paket empfangen mit 0% Paketverlust.
Wählen Sie im WireShark Capture -Bereich das erste Paket ICMP_ECHO_REQUEST aus und beobachten Sie die Details, indem Sie das mittlere Wireshark -Bereich öffnen.
In der Netzwerkebene können Sie die Quelle bemerken Src Als mein ip_address, während das Ziel Dst IP_ADDRESS ist von Google Server, während die IP -Ebene das Protokoll erwähnt, um ICMP zu sein.
Jetzt vergrößern wir die ICMP -Paketdetails, indem wir das Protokoll für das Internet -Steuerungsnachricht erweitern und die hervorgehobenen Felder im folgenden Snapshot entschlüsseln:
Die Kennung und die Sequenznummern werden mit der Identifizierung der Antworten auf Echo -Anfragen abgestimmt. In ähnlicher Weise wird die Prüfsumme vor der Paketübertragung berechnet und zum Feld hinzugefügt, um mit der Prüfsumme im empfangenen Datenpaket zu vergleichen.
Beachten Sie nun im ICMP -Antwortpaket die IPv4 -Ebene. Die Quell- und Zieladressen haben getauscht.
Überprüfen und vergleichen Sie in der ICMP -Ebene die folgenden wichtigen Felder:
Sie können feststellen, dass die ICMP -Antwort dieselbe Anforderungsprüfuhr, Bezeichner und Sequenznummer widerspiegelt.
HTTP -Verkehrsanalyse
HTTP ist ein Hypertext -Transfer -Anwendungsschichtprotokoll. Es wird vom World Wide Web verwendet und definiert Regeln, wenn der HTTP -Client/Server HTTP -Befehle überträgt/empfängt. Die am häufigsten verwendeten HTTP -Methoden ae Post und erhalten:
POST: Diese Methode wird verwendet, um vertrauliche Informationen sicher an den Server zu senden, der in der URL nicht angezeigt wird.
ERHALTEN: Diese Methode wird normalerweise verwendet, um Daten aus der Adressleiste von einem Webserver abzurufen.
Bevor wir tiefer in die HTTP-Paketanalyse eintauchen, werden wir zunächst kurz den TCP-Drei-Wege.
TCP Drei-Wege-Handshake
In einem Drei-Wege. Wir werden den Befehl nmap TCP Connect -Scan verwenden, um den TCP -Handshake zwischen Client und Server zu veranschaulichen.
Ubuntu $ Ubuntu: ~ $ nmap -st Google.com
Scrollen Sie im WireShark Packet Capture-Bereich nach oben im Fenster, um verschiedene Drei-Wege.
Benutze die TCP.Port == 80 Filter, um festzustellen, ob die Verbindung über Port 80 hergestellt wird. Sie können den kompletten Drei-Wege-Handshake bemerken, ich.e., Syn, Synchronisation, Und Ack, Hervorhebt oben im Snapshot und veranschaulicht eine zuverlässige Verbindung.
HTTP -Paketanalyse
Für die HTTP -Paketanalyse gehen Sie zu Ihrem Browser und fügen Sie die WireShark -Dokumentation URL: http: // www ein.Waffeleisen.com und laden Sie das Benutzerhandbuch PDF herunter. In der Zwischenzeit muss Wireshark alle Pakete erfassen.
Wenden Sie einen HTTP -Filter an und suchen Sie nach dem Http bekommen Anfrage vom Client an den Server gesendet. Um ein HTTP -Paket anzuzeigen, wählen Sie es aus und erweitern Sie die Anwendungsschicht im mittleren Bereich. In einer Anfrage kann je nach Website und Browser auch viele Header angewendet werden. Wir werden die in unserer Anfrage vorhandenen Header im folgenden Snapshot analysieren.
Im Http ok Paket vom Server zu Client und Beobachtung der Informationen in der Hypertext -Transfer -Protokollschicht zeigt “200 OK“. Diese Informationen zeigen eine normale erfolgreiche Übertragung an. Im HTTP OK -Paket können Sie im Vergleich zum Paket verschiedene Header beobachten Http bekommen Paket. Diese Header enthalten Informationen über den angeforderten Inhalt.
In diesem Abschnitt haben Sie erfahren, wie HTTP funktioniert und was passiert, wenn wir Inhalte im Web anfordern.
Abschluss
Wireshark ist das beliebteste und leistungsstärkste Netzwerk -Sniffer- und Analyse -Tool. Es wird häufig bei täglichen Paketanalyseaufgaben in verschiedenen Organisationen und Instituten verwendet. In diesem Artikel haben wir einige Themen der Anfänger bis mittelstufe des Wireshark in Ubuntu untersucht. Wir haben die Art der von Wireshark für die Paketanalyse angebotenen Filter erfahren. Wir haben das Netzwerkschichtmodell in Wireshark behandelt und eine detaillierte ICMP- und HTTP-Paketanalyse durchgeführt.
Das Lernen und Verständnis verschiedener Aspekte dieses Tools ist jedoch eine lange harte Reise. Daher stehen viele andere Online -Vorträge und Tutorials zur Verfügung, die Ihnen bei bestimmten Themen von Wireshark helfen. Sie können dem offiziellen Benutzerhandbuch folgen, der auf der Wireshark -Website verfügbar ist. Sobald Sie das grundlegende Verständnis der Protokollanalyse aufgebaut haben, wird außerdem empfohlen, ein Tool wie Varonis zu verwenden, das Sie auf die potenzielle Bedrohung hinweist, und dann Wireshark zu verwenden, um ein besseres Verständnis zu untersuchen.