10 savjeta o tome kako koristiti Wireshark za analizu mrežnih paketa

U bilo kojoj mreži sa komutacijom paketa, paketi predstavljaju jedinice podataka koji se prenose između računara. Odgovornost je mrežnih inženjera i administratora sistema da nadgledaju i pregledaju pakete u svrhu sigurnosti i rješavanja problema.

Da bi to učinili, oslanjaju se na softverske programe koji se nazivaju analizatori mrežnih paketa, pri čemu je Wreshark možda najpopularniji i korišten zbog svoje svestranosti i lakoće korištenja. Povrh svega, Wreshark vam omogućava ne samo praćenje saobraćaja u realnom vremenu već i da ga sačuvate u fajlu za kasniju inspekciju.

Povezano čitanje: Najbolji Linux alati za praćenje propusnog opsega za analizu korištenja mreže

U ovom članku ćemo podijeliti 10 savjeta o tome kako koristiti Wireshark za analizu paketa u vašoj mreži i nadamo se da ćete, kada dođete do odjeljka Sažetak, biti skloni da ga dodate u svoje oznake.

Instaliranje Wiresharka u Linux

Da instalirate Wireshark, odaberite odgovarajući instalater za vaš operativni sistem/arhitekturu sa https://www.wireshark.org/download.html.

Konkretno, ako koristite Linux, Wireshark mora biti dostupan direktno iz spremišta vaše distribucije za lakšu instalaciju kada vam odgovara. Iako se verzije mogu razlikovati, opcije i meniji bi trebali biti slični – ako ne i identični u svakoj od njih.

------------ On Debian/Ubuntu based Distros ------------ 
sudo apt-get install wireshark

------------ On CentOS/RHEL based Distros ------------
sudo yum install wireshark

------------ On Fedora 22+ Releases ------------
sudo dnf install wireshark

Postoji poznata greška u Debianu i derivatima koja može spriječiti navođenje mrežnih sučelja osim ako ne koristite sudo za pokretanje Wiresharka. Da biste to popravili, pratite prihvaćeni odgovor u ovom postu.

Kada se Wireshark pokrene, možete odabrati mrežni interfejs koji želite pratiti pod Snimi:

U ovom članku ćemo koristiti eth0, ali možete odabrati drugi ako želite. Nemojte još kliknuti na sučelje – to ćemo učiniti kasnije nakon što pregledamo nekoliko opcija snimanja.

Postavljanje opcija snimanja

Najkorisnije opcije snimanja koje ćemo razmotriti su:

  1. Mrežni interfejs – Kao što smo ranije objasnili, analiziraćemo samo pakete koji dolaze preko eth0, bilo dolazne ili odlazne.
  2. Filter za snimanje – Ova opcija nam omogućava da naznačimo kakvu vrstu prometa želimo pratiti prema portu, protokolu ili tipu.

Prije nego što nastavimo sa savjetima, važno je napomenuti da neke organizacije zabranjuju korištenje Wiresharka u svojim mrežama. Uz to, ako ne koristite Wireshark u lične svrhe, uvjerite se da vaša organizacija dozvoljava njegovu upotrebu.

Za sada, samo odaberite eth0 sa padajuće liste i kliknite Start na dugmetu. Počećete da vidite sav saobraćaj koji prolazi kroz taj interfejs. Nije baš korisno za potrebe praćenja zbog velike količine pregledanih paketa, ali je početak.

Na gornjoj slici također možemo vidjeti ikone za popis dostupnih interfejsa, za zaustavljanje trenutnog snimanja i za ponovno pokretanje (crveno polje lijevo), te da konfigurirate i uredite filter (crveni okvir na desnoj). Kada zadržite pokazivač miša iznad jedne od ovih ikona, prikazat će se opis alata koji pokazuje šta radi.

Počet ćemo s ilustrovanjem opcija snimanja, dok će savjeti od #7 do #10 raspravljati o tome kako zaista učiniti nešto korisno sa snimanjem.

SAVJET #1 – Pregledajte HTTP promet

Upišite http u polje filtera i kliknite na Primijeni. Pokrenite pretraživač i idite na bilo koju web lokaciju koju želite:

Da započnete svaki sljedeći savjet, zaustavite snimanje uživo i uredite filter snimanja.

SAVJET #2 – Pregledajte HTTP promet sa date IP adrese

U ovom konkretnom savjetu ćemo dodati ip==192.168.0.10&& strofi filtera da nadgledamo HTTP promet između lokalnog računara i 192.168.0.10:

SAVJET #3 – Pregledajte HTTP promet do date IP adrese

Usko povezano sa #2, u ovom slučaju ćemo koristiti ip.dst kao dio filtera za snimanje kako slijedi:

ip.dst==192.168.0.10&&http

Za kombiniranje savjeta #2 i #3, možete koristiti ip.addr u pravilu filtera umjesto ip.src ili ip.dst.

SAVJET #4 – Nadgledajte Apache i MySQL mrežni promet

Ponekad ćete biti zainteresirani za inspekciju saobraćaja koji odgovara bilo kojem (ili oba) uvjetima. Na primjer, za praćenje prometa na TCP portovima 80 (web server) i 3306 (MySQL/MariaDB server baze podataka), možete koristiti OR uslov u filteru za snimanje:

tcp.port==80||tcp.port==3306

U savjetima #2 i #3, || i riječ ili daju iste rezultate. Isto sa && i riječju i.

SAVJET #5 – Odbijte pakete na datu IP adresu

Da biste isključili pakete koji se ne podudaraju sa pravilom filtera, koristite ! i stavite pravilo unutar zagrada. Na primjer, da izuzmete pakete koji potiču sa ili su usmjereni na datu IP adresu, možete koristiti:

!(ip.addr == 192.168.0.10)

SAVJET #6 – Nadgledajte promet na lokalnoj mreži (192.168.0.0/24)

Sljedeće pravilo filtera će prikazati samo lokalni promet i isključiti pakete koji idu i dolaze s Interneta:

ip.src==192.168.0.0/24 and ip.dst==192.168.0.0/24

SAVJET #7 – Nadgledajte sadržaj TCP razgovora

Da biste pregledali sadržaj TCP razgovora (razmjena podataka), kliknite desnim tasterom miša na dati paket i odaberite Prati TCP tok. Pojavit će se prozor sa sadržajem razgovora.

Ovo će uključivati HTTP zaglavlja ako provjeravamo web promet, kao i sve vjerodajnice za običan tekst prenesene tokom procesa ako ih ima.

SAVJET #8 – Uredite pravila bojanja

Siguran sam da ste do sada već primijetili da je svaki red u prozoru za snimanje obojen. Prema zadanim postavkama, HTTP promet se prikazuje u zelenoj pozadini sa crnim tekstom, dok su greške kontrolnog zbroja prikazane u crvenom tekstu sa crnom pozadinom.

Ako želite promijeniti ove postavke, kliknite na ikonu pravila bojanja Uredi, odaberite dati filter i kliknite Uredi.

SAVJET #9 – Snimite snimak u datoteku

Čuvanje sadržaja snimanja omogućit će nam da ga detaljnije pregledamo. Da biste to učinili, idite na Datoteka → Izvoz i odaberite format izvoza sa liste:

SAVJET #10 – Vježbajte sa hvatanjem uzoraka

Ako mislite da je vaša mreža “dosadna”, Wireshark pruža niz uzoraka datoteka za snimanje koje možete koristiti za vježbanje i učenje. Možete preuzeti ove SampleCaptures i uvesti ih putem File → Import menija.

Sažetak

Wreshark je besplatan softver otvorenog koda, kao što možete vidjeti u odjeljku FAQ na službenoj web stranici. Filter za hvatanje možete konfigurirati prije ili nakon početka inspekcije.

U slučaju da niste primijetili, filter ima funkciju automatskog dovršavanja koja vam omogućava da lako pretražite najčešće korištene opcije koje kasnije možete prilagoditi. Uz to, nebo je granica!

Kao i uvijek, ne ustručavajte se da nam se javite putem obrasca za komentare ispod ako imate bilo kakvih pitanja ili zapažanja o ovom članku.