Wireshark Tutorial

Har du nogensinde forestillet dig eller har nogle nysgerrigheder om, hvordan netværkstrafik ser ud ? Hvis du gjorde det, er du ikke alene, det gjorde jeg også. Jeg vidste ikke meget om netværk på det tidspunkt. Så vidt jeg vidste, tænkte jeg først Wi-Fi-tjenesten på min computer, da jeg oprettede forbindelse til et Wi-Fi-netværk, for at scanne tilgængelig forbindelse / r omkring mig. Og så forsøgte jeg at oprette forbindelse til Wi-Fi-adgangspunktet, hvis det bede om adgangskode, så indtast adgangskoden. Når det først var tilsluttet, kunne jeg nu surfe på internettet.  Men så spekulerer jeg på, hvad er scenariet bag alt dette? Hvordan kunne min computer vide, om der er mange adgangspunkter omkring den? Selv jeg var ikke klar over, hvor routerne er placeret. Og når min computer først var tilsluttet routeren / adgangspunktet, hvad de laver, når jeg surfer på Internettet? Hvordan kommunikerer disse enheder (min computer og adgangspunkt) med hinanden?

Det skete, da jeg først installerede min Kali Linux. Mit mål ved at installere Kali Linux var at løse eventuelle problemer og mine nysgerrigheder relateret til "nogle komplekse teknologier eller hackingsmetoder og snart". Jeg elsker processen, jeg elsker rækkefølgen af ​​trin til at bryde puslespillet ud. Jeg kendte ordene proxy, VPN og andre forbindelsesmuligheder. Men jeg har brug for at kende den grundlæggende idé om, hvordan disse ting (server og klient) fungerer og kommunikerer især på mit lokale netværk.

Spørgsmålene ovenfor bringer mig til emnet netværksanalyse. Det sniffer generelt og analyserer netværkstrafik. Heldigvis tilbyder Kali Linux og andre Linux-distroer det mest kraftfulde netværksanalysatorværktøj, kaldet Wireshark. Det betragtes som en standardpakke på Linux-systemer. Wireshark har rig funktionalitet. Hovedidéen med denne tutorial er at foretage live-capture af netværket, gemme dataene i en fil til yderligere (offline) analyseproces.

TRIN 1: ÅBEN WIRESHARK

Når vi først har oprettet forbindelse til netværket, skal vi begynde med at åbne GUI-grænsefladen til wireshark. For at køre dette skal du blot indtaste terminalen:

~ # wireshark

Du vil se velkomstsiden i Wireshark-vinduet, det skal se sådan ud:

TRIN 2: VÆLG INTERFACE FOR NETVÆRKSOPTAGELSE

I dette tilfælde oprettede vi forbindelse til et adgangspunkt via vores trådløse kortinterface. Lad os gå over hovedet og vælge WLAN0. For at starte optagelsen skal du klikke på Start-knap (Ikon for Blue-Shark-Fin) i øverste venstre hjørne.

TRIN 3: INDTAGNING AF NETVÆRKTRAFIK

Nu bringer vi ind i Live Capture WIndow. Du kan føle dig overvældet første gang du ser en masse data i dette vindue. Bare rolig, jeg vil forklare det en efter en. I dette vindue, hovedsageligt opdelt i tre ruder, fra top til bund, er det: Pakkeliste, pakkeoplysninger og pakkebytes.

1. 1. Rude til pakkeliste
      Den første rude viser en liste, der indeholder pakker i den aktuelle capture-fil. Dens vises som en tabel, og kolonnerne indeholder: pakkenummer, den fangede tid, pakkekilde og destination, pakkens protokol og nogle generelle oplysninger, der findes i pakken.
   2. Pakke med detaljer om pakken
      Den anden rude indeholder en hierarkisk visning af oplysninger om en enkelt pakke. Klik på "skjult og udvidet" for at vise alle de indsamlede oplysninger om en individuel pakke.
   3. Pakkebytesrude
      Den tredje rude indeholder kodede pakkedata, viser en pakke i sin rå, ubehandlede form.

TRIN 4: STOP OVERFANG OG GEM TIL A .PCAP-FIL

Når du er klar til at stoppe med at fange og se de fangede data, skal du klikke Stop-knap "Ikon for rød firkant" (placeret lige ved siden af ​​Start-knappen). Det er nødvendigt at gemme filen til yderligere analyseproces eller at dele de fangede pakker. Når det er stoppet, skal du blot gemme til .pcap-filformat ved at trykke Fil> Gem som> filnavn.pcap.

FORSTÅELSE AF WIRESHARK CAPTURE FILTER OG DISPLAY FILTER

Du kender allerede den grundlæggende brug af Wireshark, generelt afsluttes processen med ovenstående forklaring. For at sortere og fange visse oplysninger har Wireshark en filterfunktion. Der er to slags filtre, som hver har sin egen funktionalitet: Capture filter og Display filter.

1. FANG FILTER

Capture filter bruges til at fange specifikke data eller pakker, det bruges i "Live Capture Session", for eksempel behøver du kun at fange enkelt værtstrafik på 192.168.1.23 . Så indtast forespørgslen til formularen Capture filter:

vært 192.168.1.23

Den største fordel ved at bruge Capture-filter er, at vi kan reducere mængden af ​​data i den fangede fil, for i stedet for at opfange en hvilken som helst pakke eller trafik, specificerer eller begrænser vi til bestemt trafik. Capture filter styrer, hvilken type data i trafikken der skal fanges, hvis der ikke er angivet et filter, betyder det capture all. Klik på for at konfigurere opsamlingsfilteret Optagelsesmuligheder knap, som er placeret som vist af billedet i markøren, der peger nedenunder.

Du vil bemærke Capture Filter Box i bunden, klik på det grønne ikon ved siden af ​​feltet og vælg det ønskede filter.

2. VIS FILTER

Displayfilter bruges derimod i "Offline-analyse". Displayfilter ligner mere en søgefunktion på bestemte pakker, du vil se i hovedvinduet. Displayfilter styrer, hvad der ses fra en eksisterende pakkeopsamling, men påvirker ikke, hvilken trafik der faktisk fanges. Du kan indstille displayfilter under optagelse eller analyse. Du vil bemærke feltet Displayfilter øverst i hovedvinduet. Der er faktisk så mange filtre, du kan anvende, men bliv ikke overvældet. For at anvende et filter kan du enten bare skrive et filterudtryk inde i feltet eller vælge fra den eksisterende liste over tilgængelige filtre, som vist på billedet nedenfor. Klik på Udtryk ... Knap ved siden af ​​Display Filter-boksen.

Vælg derefter det tilgængelige displayfilterargument på en liste. Og hit Okay knap.

Nu har du ideen om, hvad der er forskellen mellem Capture Filter og Display Filter, og du kender din vej rundt om de grundlæggende funktioner og funktioner i Wireshark.