Wireshark Tutorial

Wireshark Tutorial

Haben Sie sich jemals vorgestellt oder einige Kuriositäten darüber, wie der Netzwerkverkehr aussieht ? Wenn du das tust, bist du nicht allein, ich habe es auch getan. Ich wusste damals nicht viel über Networking. Soweit ich wusste, habe ich als ich mich mit einem Wi-Fi-Netzwerk verband, zuerst den Wi-Fi-Dienst auf meinem Computer, um die verfügbaren Verbindungen um mich herum zu scannen. Und dann habe ich versucht, eine Verbindung zum Ziel-Wi-Fi-Zugriffspunkt herzustellen. Sobald es verbunden ist, konnte ich jetzt im Internet surfen. Aber dann frage ich mich, was ist das Szenario hinter all dem? Wie könnte mein Computer wissen, ob es viele Zugriffspunkte darum gibt? Auch ich wusste nicht, wo die Router platziert sind. Und sobald mein Computer mit dem Router / Zugangspunkt angeschlossen ist? Wie kommunizieren diese Geräte (mein Computer und Zugriffspunkt) miteinander?

Das geschah, als ich meinen Kali Linux zum ersten Mal installierte. Mein Ziel durch die Installation von Kali Linux war es, Probleme und meine Kuriositäten im Zusammenhang mit „einigen komplexen Technologie-Dingen oder Hacking-Methoden-Szenarien und bald“ zu lösen. Ich liebe den Prozess, ich liebe die Abfolge der Schritte, um das Puzzle auszubrechen. Ich kannte die Begriffe Proxy, VPN und andere Konnektivitätsmaterial. Aber ich muss die Grundidee wissen, wie diese Dinge (Server und Client) funktionieren und kommunizieren, insbesondere in meinem lokalen Netzwerk.

Die obigen Fragen bringen mich zum Thema, Netzwerkanalyse. Es ist im Allgemeinen, den Netzwerkverkehr zu schnüffeln und zu analysieren. Glücklicherweise bieten Kali Linux und andere Linux -Distributionen das leistungsstärkste Netzwerkanalysator -Tool namens Wireshark. Es wird als Standardpaket für Linux -Systeme angesehen. Wireshark hat eine reichhaltige Funktionalität. Die Hauptidee dieses Tutorials besteht darin, die Live -Erfassung des Netzwerks durchzuführen und die Daten in eine Datei für einen weiteren (Offline-) Analyseprozess zu speichern.


Schritt 1: Offene Wireshark

Sobald wir uns mit dem Netzwerk verbunden haben, beginnen wir zunächst die Wireshark -GUI -Schnittstelle. Um dies auszuführen, geben Sie einfach in das Terminal ein:

~# Wireshark

Sie werden die Begrüßungsseite des Wireshark -Fensters sehen. Sie sollte so aussehen:

Schritt 2: Wählen Sie die Netzwerk -Erfassungsschnittstelle

In diesem Fall haben wir über unsere drahtlose Kartenschnittstelle mit einem Zugriffspunkt verbunden. Lass uns einen Kopf gehen und WLAN0 wählen. Klicken Sie auf die Start Knopf (Blue-Shark-Fin-Icon) an der linken Ecke.

Schritt 3: Netzwerkverkehr erfassen

Jetzt bringen wir in das Live -Capture -Fenster ein. Sie fühlen sich vielleicht überwältigt, wenn Sie zum ersten Mal eine Reihe von Daten in diesem Fenster sehen. Mach dir keine Sorgen, ich werde es nacheinander erklären. In diesem Fenster, das hauptsächlich in drei Scheiben von oben nach unten unterteilt ist, ist es: Paketliste, Paketdetails und Paketbytes.

    1. Paketlistenbereich
      Das erste Bereich zeigt eine Liste an, die Pakete in der aktuellen Erfassungsdatei enthält. Es wird als Tabelle angezeigt und die Spalten enthalten: die Paketnummer, die erfasste Zeit, die Paketquelle und das Ziel, das Paketprotokoll und einige allgemeine Informationen, die im Paket gefunden wurden.
    2. Paketdetailsbereiche
      Der zweite Bereich enthält eine hierarchische Anzeige von Informationen zu einem einzelnen Paket. Klicken Sie auf den „Zusammenbruch und erweitert“, um alle Informationen zu einem einzelnen Paket anzuzeigen.
    3. Paket -Bytes -Scheibe
      Der dritte Bereich enthält codierte Paketdaten, zeigt ein Paket in seiner rohen, unverarbeiteten Form an.

Schritt 4: Hör auf, aufzunehmen und auf a zu speichern .PCAP -Datei

Wenn Sie bereit sind, die erfassten Daten nicht mehr zu erfassen und anzusehen, klicken Sie auf Button anhalten "Rotquadratikon" (direkt neben der Startknopf). Es ist erforderlich, Datei für einen weiteren Analyseprozess zu speichern oder die erfassten Pakete zu teilen. Sobald es gestoppt ist, sparen Sie einfach auf .PCAP -Dateiformat durch Drücken Datei> speichern als> Dateiname.PCAP.


Verständnis von Wireshark -Erfassungsfiltern und Anzeigefilter

Sie kennen bereits die grundlegende Verwendung von Wireshark. Im Allgemeinen wird der Prozess mit der obigen Erklärung abgeschlossen. Um bestimmte Informationen zu sortieren und zu erfassen, verfügt Wireshark über eine Filterfunktion. Es gibt zwei Arten von Filtern, die jeweils eine eigene Funktionalität haben: Erfassungsfilter und Anzeigefilter.

1. Erfassungsfilter

Capture -Filter wird verwendet, um bestimmte Daten oder Pakete zu erfassen. Er wird in „Live -Capture.168.1.23 . Geben Sie also die Abfrage in das Erfassungsfilterformular ein:

Gastgeber 192.168.1.23

Der Hauptvorteil der Verwendung des Capture -Filter. Erfassungsfilter steuert steuert. Klicken Sie zum Konfigurieren des Erfassungsfilters, um den Erfassungsfilter zu konfigurieren Optionen erfassen Taste, die sich wie das Bild in Cursor befindet und unten angezeigt wird.

Sie werden im unteren Bereich das Erfassungsfilter -Feld feststellen, klicken Sie neben dem Feld auf das grüne Symbol und wählen Sie den gewünschten Filter aus.

2. Filter anzeigen

Der Anzeigefilter hingegen wird in "Offline -Analyse" verwendet. Anzeigefilter ähnelt eher eine Suchfunktion bestimmter Pakete, die Sie im Hauptfenster sehen möchten. Anzeigefilter steuert das, was aus einer vorhandenen Paketaufnahme hervorgeht, hat jedoch keinen Einfluss darauf, welcher Verkehr tatsächlich erfasst wird. Sie können den Anzeigfilter während des Erfassens oder Analyse festlegen. Sie werden das Anzeigfilterfeld oben im Hauptfenster feststellen. Eigentlich gibt es so viele Filter, die Sie bewerben können, aber lassen Sie sich nicht überfordert. So wenden Sie einen Filter an. Klicken Ausdrücke… Button Neben Anzeigefilterbox.

Wählen Sie dann das verfügbare Anzeigefilterargument in einer Liste aus. Und schlagen OK Taste.

Jetzt haben Sie die Idee, was der Unterschied zwischen dem Erfassungsfilter und dem Anzeigefilter ist, und Sie kennen sich um die grundlegenden Merkmale und Funktionen von Wireshark.