Используем Wireshark

Что такое Wireshark?

Wireshark - это программное обеспечение для анализа сетевых протоколов с открытым исходным кодом, запущенное Джеральдом Комбсом в 1998 году. Глобальная организация сетевых специалистов и разработчиков программного обеспечения поддерживает Wireshark и продолжает обновлять новые сетевые технологии и методы шифрования.

Wireshark абсолютно безопасен в использовании. Правительственные учреждения, корпорации, некоммерческие организации и образовательные учреждения используют Wireshark для устранения неполадок и также в учебных целях. Нет лучшего способа научиться работать в сети, чем смотреть на трафик под микроскопом Wireshark.

Есть вопросы к законности Wireshark, поскольку это мощный анализатор пакетов. Светлая сторона гласит, что вы должны использовать Wireshark только в сетях, где у вас есть разрешение на проверку сетевых пакетов.

Как работает Wireshark?

Wireshark - это инструмент для анализа пакетов. Он фиксирует сетевой трафик в локальной сети и сохраняет эти данные для анализа в автономном режиме. Wireshark захватывает сетевой трафик от Ethernet, Bluetooth, беспроводной связи (IEEE.802.11), кольца токенов, соединений с ретрансляцией кадров и многого другого.

Трафик локальной сети находится в режиме широковещательной передачи, это означает, что один компьютер с Wireshark может видеть трафик между двумя другими компьютерами. Если вы хотите видеть трафик на внешний сайт, вам необходимо перехватывать пакеты на локальном компьютере.

Он позволяет фильтровать журнал либо до начала захвата, либо во время анализа, чтобы вы могли сузить и свести к нулю то, что вы ищете в сетевой трассировке. Например, вы можете установить фильтр для просмотра TCP-трафика между двумя IP-адресами. Вы можете настроить его только для отображения пакетов, отправленных с одного компьютера. 

Фильтры в Wireshark являются одной из основных причин, по которой он стал стандартным инструментом для анализа пакетов.

Как скачать Wireshark

Загрузить и установить Wireshark очень просто. 

Шаг первый - проверить официальную страницу загрузки Wireshark для нужной вам операционной системы. Базовая версия Wireshark бесплатна.

Wireshark для Windows

Wireshark поставляется в двух вариантах для Windows, 32 - разрядной и 64-разрядной. Выберите правильную версию для вашей операционной системы. Текущая версия 3.6.1 на момент написания этой статьи. 

Установка проста и не должна вызывать никаких проблем.

Wireshark для Mac

Wireshark доступен на Mac в качестве Homebrew установки.

Чтобы установить Homebrew, вам необходимо выполнить эту команду в командной строке вашего терминала:

/usr/bin/ruby -e "$(curl -fsSL https://raw.githubusercontent.com/Homebrew/install/master/install)”

Как только у вас будет установлен Homebrew, вы сможете получить доступ к нескольким проектам с открытым исходным кодом для вашего Mac. 

Чтобы установить Wireshark, выполните эту команду из терминала:

brew install wireshark

Homebrew загрузит и установит Wireshark и любые зависимости, чтобы он работал правильно.

Wireshark для Linux

Установка Wireshark в Linux может немного отличаться в зависимости от дистрибутива Linux. Если вы не используете один из следующих дистрибутивов, пожалуйста, проверьте команды.

Ubuntu

Введите в терминал следующие команды:

1. sudo apt-get install wireshark
2. sudo dpkg-reconfigure wireshark-common
3. sudo adduser $USER wireshark

Эти команды загружают пакет, обновляют его и добавляют права root для запуска Wireshark.

Fedora

В командной строке терминала выполните следующие команды:

1. sudo dnf install wireshark-qt
2. sudo usermod -a -G wireshark username

Первая команда устанавливает версию Wireshark с графическим интерфейсом и интерфейсом командной строки, а вторая добавляет разрешения на использование Wireshark.

Kali Linux

Wireshark вероятно, уже установлен! Это часть базового пакета. Проверьте свое меню, чтобы убедиться в этом.

Пакеты данных на Wireshark

Теперь, когда у нас установлен Wireshark, теперь можно протестировать, как включить анализатор пакетов Wireshark, а затем проанализируем сетевой трафик.

Захват пакетов данных на Wireshark

Когда вы открываете Wireshark, вы видите экран, на котором отображается список всех сетевых подключений, которые вы можете отслеживать. У вас также есть поле фильтра захвата, поэтому вы фиксируете только тот сетевой трафик, который хотите видеть.

Вы можете выбрать один или несколько сетевых интерфейсов, используя “щелчок левой кнопкой мыши”. Как только вы выбрали сетевой интерфейс, вы можете начать захват, и для этого есть несколько способов.

Нажмите первую кнопку на панели инструментов под названием “Начать захват пакетов”.

Вы можете выбрать пункт меню Захват -> Пуск.

Или вы можете использовать элемент управления нажатием клавиши – E.

Во время захвата Wireshark покажет вам пакеты, которые он захватывает в режиме реального времени.

Как только вы захватили все необходимые пакеты, вы используете те же кнопки или параметры меню, чтобы остановить захват.

Лучшая практика гласит, что вам следует прекратить захват пакетов Wireshark до проведения анализа.

Анализ пакетов данных на Wireshark

Wireshark показывает вам три различные панели для проверки пакетных данных. Список пакетов, верхняя панель, представляет собой список всех пакетов в захвате. Когда вы нажимаете на пакет, две другие панели меняются, чтобы показать вам подробную информацию о выбранном пакете. Вот некоторые сведения о каждом столбце в верхней панели:

• Это порядок номеров захваченного пакета. Скобка указывает, что этот пакет является частью диалога.
• Время: в этом столбце показано, через какое время после начала захвата этот пакет был захвачен. Вы можете изменить это значение в меню «Настройки», если вам нужно отображать что-то другое.
• Источник: это адрес системы, отправившей пакет.
• Место назначения: Это адрес назначения этого пакета.
• Протокол: это тип пакета, например, TCP, DNS, DHCPv6 или ARP.
• Длина: в этом столбце указана длина пакета в байтах.
• Информация: в этом столбце отображается дополнительная информация о содержимом пакета, и она будет различаться в зависимости от типа пакета.

Фильтры Wireshark

Одной из лучших функций Wireshark являются фильтры захвата Wireshark и Фильтры отображения Wireshark. Фильтры позволяют просматривать снимок так, как вам нужно, чтобы вы могли устранить имеющиеся проблемы. Вот несколько фильтров, которые помогут вам начать работу.

Фильтры захвата Wireshark

Фильтры захвата ограничивают захваченные пакеты фильтром. Это означает, что если пакеты не соответствуют фильтру, Wireshark не сохранит их. Вот несколько примеров фильтров захвата:

host IP-address: этот фильтр ограничивает захват трафиком на IP-адрес и с него.

net 192.168.0.0/24:: этот фильтр фиксирует весь трафик в подсети.

dst host IP-address: захват пакетов, отправленных на указанный хост.

port 53: захват трафика только на порту 53.

port not 53 and not arp: захватывает весь трафик, кроме DNS и ARP-трафика

Фильтры отображения Wireshark

Фильтры отображения Wireshark изменяют вид записи во время анализа. После того как вы остановили захват пакетов, вы используете фильтры отображения, чтобы сузить список пакетов в списке пакетов, чтобы можно было устранить проблему.

Наиболее полезным (по моему опыту) фильтром отображения является:

ip.src==IP-address and ip.dst==IP-address

Этот фильтр показывает пакеты с одного компьютера (ip.src) на другой (ip.dst). Вы также можете использовать ip.addr для отображения пакетов на этот IP и с этого IP.

tcp.port eq 25: Этот фильтр покажет вам весь трафик на порт 25, который обычно является SMTP-трафиком.

icmp: Этот фильтр покажет вам только трафик ICMP при захвате. Скорее всего, это пинги.

ip.addr != ip_adres: Этот фильтр отображает весь трафик, кроме трафика на указанный компьютер или с указанного компьютера.

Аналитики даже создают фильтры для обнаружения конкретных атак, таких как этот фильтр для обнаружения червя Сассера:

ls_ads.opnum==0x09

Дополнительные функции Wireshark

Помимо захвата и фильтрации, в Wireshark есть несколько других функций.

Цветовые оформления Wireshark

Вы можете настроить Wireshark таким образом, чтобы он окрашивал ваши пакеты в списке пакетов, в соответствии с фильтром отображения, что позволяет выделить пакеты, которые вы хотите выделить. 

Ознакомьтесь с некоторыми примерами здесь

Командная строка 

Wireshark предоставляет интерфейс командной строки (CLI), если вы управляете системой без графического интерфейса. 

Лучшей практикой было бы использовать интерфейс командной строки для записи и сохранения журнала, чтобы вы могли просматривать журнал с помощью графического интерфейса.

Команды Wireshark

• wireshark : запуск Wireshark в режиме графического интерфейса
• wireshark –h : отображение доступных параметров командной строки для Wireshark
• wireshark –a duration:300 –i eth1 –w wireshark. : capture traffic on the Ethernet interface 1 for 5 minutes. –a means automatically stop the capture, -i specifics which interface to capture