Wireshark Tutorial

Har du noen gang forestilt deg eller har noen nysgjerrigheter på hvordan nettverkstrafikk ser ut? ? Hvis du gjorde det, er du ikke alene, det gjorde jeg også. Jeg visste ikke mye om nettverk på den tiden. Så vidt jeg visste, da jeg koblet til et Wi-Fi-nettverk, slo jeg først på Wi-Fi-tjenesten på datamaskinen min for å skanne tilgjengelig tilkobling / er rundt meg. Og så prøvde jeg å koble meg til Wi-Fi-tilgangspunktet, hvis det ber om passord, skriv deretter inn passordet. Når den var koblet til, kunne jeg nå surfe på internett.  Men så lurer jeg på, hva er scenariet bak alt dette? Hvordan kunne datamaskinen min vite om det er mange tilgangspunkter rundt den? Selv skjønte jeg ikke hvor ruterne er plassert. Og når datamaskinen min var koblet til ruteren / tilgangspunktet, gjorde de det når jeg surfer på Internett? Hvordan kommuniserer disse enhetene (datamaskinen og tilgangspunktet) med hverandre?

Det skjedde da jeg først installerte Kali Linux. Målet mitt ved å installere Kali Linux var å løse eventuelle problemer og nysgjerrigheter knyttet til "noen kompliserte teknologisaker eller hackingsmetoder og snart". Jeg elsker prosessen, jeg elsker rekkefølgen av trinn for å bryte ut puslespillet. Jeg kjente ordene proxy, VPN og andre tilkoblingsmuligheter. Men jeg trenger å vite den grunnleggende ideen om hvordan disse tingene (server og klient) fungerer og kommuniserer spesielt på mitt lokale nettverk.

Spørsmålene ovenfor fører meg til temaet, nettverksanalyse. Det sniffer generelt og analyserer nettverkstrafikk. Heldigvis tilbyr Kali Linux og andre Linux-distribusjoner det kraftigste nettverksanalysatorverktøyet, kalt Wireshark. Det betraktes som en standardpakke på Linux-systemer. Wireshark har rik funksjonalitet. Hovedideen med denne opplæringen er å gjøre live fangst av nettverket, lagre dataene i en fil for videre (offline) analyseprosess.

TRINN 1: ÅPNE WIRESHARK

Når vi har koblet oss til nettverket, la oss begynne med å åpne wireshark GUI-grensesnittet. For å kjøre dette, bare skriv inn terminalen:

~ # wireshark

Du vil se velkomstsiden til Wireshark-vinduet, den skal se slik ut:

TRINN 2: VELG GRensesnitt for nettverksfangst

I dette tilfellet koblet vi til et tilgangspunkt via vårt trådløse kortgrensesnitt. La oss gå et hode og velge WLAN0. For å begynne å fange, klikk på Start knapp (Blue-Shark-Fin icon) plassert i øverste venstre hjørne.

TRINN 3: FANGING AV NETTVERK

Nå tar vi inn Live Capture WIndow. Du kan føle deg overveldet første gang du ser en haug med data i dette vinduet. Ikke bekymre deg, jeg vil forklare det en etter en. I dette vinduet, hovedsakelig delt inn i tre vinduer, fra topp til bunn, er det: Pakkeliste, pakkeopplysninger og pakkebytes.

1. 1. Pakkeliste-rute
      Den første ruten viser en liste som inneholder pakker i den gjeldende opptaksfilen. Den vises som en tabell og kolonnene inneholder: pakke nummer, tid fanget, pakke kilde og destinasjon, pakke protokoll, og litt generell informasjon funnet i pakken.
   2. Pakkeinformasjonsrute
      Den andre ruten inneholder en hierarkisk visning av informasjon om en enkelt pakke. Klikk på "kollapset og utvidet" for å vise all informasjonen som er samlet inn om en enkelt pakke.
   3. Packet Bytes-ruten
      Den tredje ruten inneholder kodede pakkedata, viser en pakke i sin rå, ubehandlede form.

TRINN 4: STOPP FANGEN OG LAGRE TIL A .PCAP-FIL

Når du er klar til å slutte å fange og vise dataene som er fanget, klikker du på Stopp-knapp “Ikon for rød firkant” (plassert rett ved siden av Start-knappen). Det er nødvendig å lagre filen for videre analyseprosess, eller for å dele de fangede pakkene. Når den er stoppet, er det bare å lagre til .pcap-filformat ved å trykke Fil> Lagre som> filnavn.pcap.

FORSTÅENDE WIRESHARK CAPTURE FILTER OG DISPLAY FILTER

Du vet allerede den grunnleggende bruken av Wireshark, generelt er prosessen avsluttet med forklaringen ovenfor. For å sortere og samle inn viss informasjon har Wireshark en filterfunksjon. Det er to typer filtre som hver har sin egen funksjonalitet: Capture filter og Display filter.

1. FANG FILTER

Capture filter brukes til å fange spesifikke data eller pakker, det brukes i "Live Capture Session", for eksempel trenger du bare å fange enkelt vertstrafikk på 192.168.1.23 . Så skriv inn spørringen til skjemaet Capture filter:

vert 192.168.1.23

Den viktigste fordelen med å bruke Capture filter er at vi kan redusere datamengden i den fangede filen, fordi vi spesifiserer eller begrenser til bestemt trafikk i stedet for å fange en hvilken som helst pakke eller trafikk. Capture filter styrer hvilken type data i trafikken som skal fanges. Hvis det ikke er satt noe filter, betyr det capture all. Klikk på for å konfigurere fangstfilteret Opptaksalternativer knappen, som er vist som vist av bildet i markøren som peker nedenfor.

Du vil merke Capture Filter Box i bunnen, klikk på det grønne ikonet ved siden av boksen og velg filteret du vil ha.

2. VIS FILTER

Displayfilter brukes derimot i “Offline Analyzing”. Displayfilter er mer som en søkefunksjon for bestemte pakker du vil se i hovedvinduet. Displayfilter styrer hva som sees fra en eksisterende pakkeopptak, men påvirker ikke hvilken trafikk som faktisk fanges opp. Du kan stille inn skjermfilter under opptak eller analyse. Du vil legge merke til Displayfilter-boksen øverst i hovedvinduet. Det er faktisk så mange filtre du kan bruke, men ikke bli overveldet. For å bruke et filter kan du enten bare skrive et filteruttrykk i boksen, eller velge fra den eksisterende listen over tilgjengelige filtre, som vist på bildet nedenfor. Klikk Uttrykk ... Knapp ved siden av Display Filter-boksen.

Velg deretter det tilgjengelige displayfilterargumentet på en liste. Og slå OK knapp.

Nå har du ideen om hva som er forskjellen mellom Capture Filter og Display Filter, og du kjenner deg rundt de grunnleggende funksjonene og funksjonaliteten til Wireshark.