Phenquestions
Už jste si někdy představovali nebo vás zajímalo, jak vypadá síťový provoz ? Pokud ano, nejste sami, já taky. V té době jsem toho o síti moc nevěděl. Pokud jsem věděl, když jsem se připojoval k síti Wi-Fi, nejprve jsem na svém počítači zapnul službu Wi-Fi, abych skenoval dostupné připojení kolem sebe. A pak jsem se pokusil připojit k cílovému přístupovému bodu Wi-Fi, pokud požádá o heslo, zadejte heslo. Jakmile je připojen, mohl jsem surfovat na internetu. Ale pak se divím, jaký je scénář za tím vším? Jak mohl můj počítač vědět, jestli je kolem něj mnoho přístupových bodů? Ani já jsem si neuvědomil, kde jsou směrovače umístěny. A jakmile se můj počítač připojí k routeru / přístupovému bodu, co dělají, když jsem procházel internet? Jak tato zařízení (můj počítač a přístupový bod) vzájemně komunikují?
Stalo se to, když jsem poprvé nainstaloval svůj Kali Linux. Mým cílem při instalaci Kali Linuxu bylo vyřešit jakékoli problémy a mé kuriozity týkající se „scénáře některých složitých technologií nebo scénářů hackerských metod a brzy“. Líbí se mi postup, miluju postupnost kroků při vylamování hádanky. Znal jsem pojmy proxy, VPN a další věci připojení. Potřebuji ale znát základní představu o tom, jak tyto věci (server a klient) fungují a komunikují zejména v mé místní síti.
Výše uvedené otázky mě přivádějí k tématu, síťová analýza. Obecně jde o sledování a analýzu síťového provozu. Naštěstí Kali Linux a další linuxové distribuce nabízejí nejvýkonnější nástroj pro síťovou analýzu s názvem Wireshark. Je považován za standardní balíček v systémech Linux. Wireshark má bohatou funkčnost. Hlavní myšlenkou tohoto tutoriálu je živé zachycení sítě, uložení dat do souboru pro další (offline) proces analýzy.
KROK 1: OTEVŘETE WIRESHARK
Jakmile se připojíme k síti, začněme otevřením rozhraní GUI wirehark. Chcete-li to spustit, jednoduše zadejte do terminálu:
~ # wireshark
Zobrazí se uvítací stránka okna Wireshark, měla by vypadat takto:
KROK 2: VYBERTE SI ROZHRANÍ ZACHYCENÍ SÍTĚ
V tomto případě jsme se připojili k přístupovému bodu prostřednictvím našeho rozhraní bezdrátové karty. Pojďme si vybrat a zvolit WLAN0. Chcete-li začít snímat, klikněte na ikonu Tlačítko Start (Ikona Blue-Shark-Fin) umístěná v levém horním rohu.
KROK 3: ZACHYCENÍ SÍŤOVÉ DOPRAVY
Nyní přinášíme Live Capture WIndow. Při prvním zobrazení velkého množství dat v tomto okně se možná budete cítit ohromeni. Nebojte se, vysvětlím to jeden po druhém. V tomto okně, rozděleném hlavně na tři podokna, shora dolů, je: Seznam paketů, podrobnosti paketů a bajty paketů.
-
- Podokno Seznam paketů
V prvním podokně se zobrazí seznam obsahující pakety v aktuálním souboru zachycení. Zobrazuje se jako tabulka a sloupce obsahují: číslo paketu, zachycený čas, zdroj a cíl paketu, protokol paketu a některé obecné informace nalezené v paketu. - Podokno podrobností paketu
Druhý panel obsahuje hierarchické zobrazení informací o jednom paketu. Kliknutím na „sbaleno a rozbaleno“ zobrazíte všechny informace shromážděné o jednotlivém paketu. - Podokno bajtů paketů
Třetí podokno obsahuje zakódovaná data paketu, zobrazí paket v jeho nezpracované podobě.
- Podokno Seznam paketů
KROK 4: ZASTAVTE ZACHÁZENÍ A ULOŽTE DO A .SOUBOR PCAP
Až budete připraveni zastavit snímání a zobrazit zachycená data, klikněte na Tlačítko Stop „Ikona Rudého náměstí“ (umístěná přímo vedle tlačítka Start). Je nutné uložit soubor pro další proces analýzy nebo sdílet zachycené pakety. Po zastavení jednoduše uložte do .formát souboru pcap zasažením Soubor> Uložit jako> název souboru.pcap.
POROZUMĚNÍ FILTRŮ ZACHYCENÍ WIRESHARK A ZOBRAZENÍ FILTRŮ
Základní použití Wiresharku již znáte, obecně je proces ukončen výše uvedeným vysvětlením. Aby bylo možné třídit a zachytit určité informace, má Wireshark funkci filtrování. Existují dva druhy filtrů, z nichž každý má své vlastní funkce: Zachyťte filtr a filtr zobrazení.
1. Zachyťte filtr
Filtr Capture se používá k zachycení konkrétních dat nebo paketů, používá se v „Live Capture Session“, například stačí zachytit provoz jednoho hostitele na 192.168.1.23 . Zadejte tedy dotaz do formuláře filtru Zachytit:
hostitel 192.168.1.23
Hlavní výhodou použití filtru Capture je to, že můžeme snížit množství dat v zachyceném souboru, protože místo zachycení jakéhokoli paketu nebo provozu specifikujeme nebo omezíme na určitý provoz. Filtr zachycení určuje, jaký typ dat v provozu bude zachycen, pokud není nastaven žádný filtr, znamená to zachytit všechna. Chcete-li nakonfigurovat filtr zachycení, klikněte na Možnosti snímání tlačítko, které je umístěno, jak ukazuje obrázek, kurzorem směřujícím níže.
V dolní části si všimnete pole Zachytit filtr, klikněte na zelenou ikonu vedle pole a vyberte požadovaný filtr.
2. ZOBRAZIT FILTR
Filtr displeje se naproti tomu používá při „offline analýze“. Filtr zobrazení je spíš jako vyhledávací funkce určitých paketů, které chcete vidět v hlavním okně. Filtr zobrazení řídí to, co je vidět ze stávajícího zachycení paketu, ale nemá vliv na to, jaký provoz je ve skutečnosti zachycen. Filtr zobrazení můžete nastavit během snímání nebo analýzy. V horní části hlavního okna si všimnete pole Filtr zobrazení. Ve skutečnosti existuje tolik filtrů, které můžete použít, ale nenechte se ohromit. Chcete-li použít filtr, můžete do pole buď zadat výraz filtru, nebo vybrat ze stávajícího seznamu dostupných filtrů, jak je znázorněno na obrázku níže. Klepněte na Tlačítko Výrazy .. vedle pole Filtr displeje.
Poté vyberte dostupný argument Zobrazit filtr v seznamu. A zasáhnout OK knoflík.
Nyní máte představu, jaký je rozdíl mezi filtrem pro zachycení a filtrem pro zobrazení, a víte, jak se orientovat v základních funkcích a funkcích Wireshark.
