10 savjeta o tome kako koristiti Wireshark za analizu mrežnih paketa

U bilo kojoj mreži s komutacijom paketa paketi predstavljaju jedinice podataka koje se prenose između računala. Odgovornost je mrežnih inženjera i administratora sustava da prate i pregledavaju pakete u svrhu sigurnosti i rješavanja problema.

Da bi to učinili, oslanjaju se na softverske programe koji se nazivaju analizatori mrežnih paketa, a Wireshark je možda najpopularniji i korišten zbog svoje svestranosti i jednostavnosti upotrebe. Povrh svega, Wireshark vam omogućuje ne samo praćenje prometa u stvarnom vremenu već i njegovo spremanje u datoteku za kasniju inspekciju.

Povezano čitanje: Najbolji alati za praćenje propusnosti Linuxa za analizu korištenja mreže

U ovom ćemo članku podijeliti 10 savjeta o tome kako koristiti Wireshark za analizu paketa u vašoj mreži i nadamo se da ćete, kada dođete do odjeljka Sažetak, imati želju dodati ga u svoje oznake.

Instaliranje Wiresharka u Linuxu

Da biste instalirali Wireshark, odaberite pravi instalacijski program za svoj operativni sustav/arhitekturu s https://www.wireshark.org/download.html.

Osobito, ako koristite Linux, Wireshark mora biti dostupan izravno iz repozitorija vaše distribucije za lakšu instalaciju kada vama odgovara. Iako se verzije mogu razlikovati, opcije i izbornici trebali bi biti slični – ako ne i identični u svakoj.

------------ On Debian/Ubuntu based Distros ------------ 
sudo apt-get install wireshark

------------ On CentOS/RHEL based Distros ------------
sudo yum install wireshark

------------ On Fedora 22+ Releases ------------
sudo dnf install wireshark

Postoji poznata pogreška u Debianu i izvedenicama koja može spriječiti ispisivanje mrežnih sučelja osim ako ne koristite sudo za pokretanje Wiresharka. Da biste to popravili, slijedite prihvaćeni odgovor u ovom postu.

Nakon što se Wireshark pokrene, možete odabrati mrežno sučelje koje želite nadzirati pod Snimanje:

U ovom članku koristit ćemo eth0, ali možete odabrati neki drugi ako želite. Nemojte još kliknuti na sučelje - učinit ćemo to kasnije nakon što pregledamo nekoliko opcija snimanja.

Postavljanje opcija snimanja

Najkorisnije opcije snimanja koje ćemo razmotriti su:

  1. Mrežno sučelje – Kao što smo prije objasnili, analizirat ćemo samo pakete koji dolaze kroz eth0, bilo dolazne ili odlazne.
  2. Filter za snimanje – Ova nam opcija omogućuje da naznačimo kakvu vrstu prometa želimo pratiti prema portu, protokolu ili vrsti.

Prije nego nastavimo sa savjetima, važno je napomenuti da neke organizacije zabranjuju korištenje Wiresharka u svojim mrežama. Ipak, ako ne koristite Wireshark u osobne svrhe, provjerite dopušta li vaša organizacija njegovu upotrebu.

Za sada samo odaberite eth0 s padajućeg popisa i kliknite Start na gumbu. Počet ćete vidjeti sav promet koji prolazi kroz to sučelje. Nije baš korisno za potrebe praćenja zbog velike količine pregledanih paketa, ali to je početak.

Na gornjoj slici također možemo vidjeti ikone za popis dostupnih sučelja, za zaustavljanje trenutnog snimanja i ponovno pokretanje (crveno okvir lijevo) i za konfiguriranje i uređivanje filtra (crveni okvir desno). Kada zadržite pokazivač iznad jedne od ovih ikona, prikazat će se opis alata koji pokazuje što radi.

Započet ćemo s ilustriranjem opcija snimanja, dok će savjeti #7 do #10 raspravljati o tome kako stvarno učiniti nešto korisno snimanjem.

SAVJET #1 – Provjerite HTTP promet

Upišite http u okvir filtra i kliknite Primijeni. Pokrenite preglednik i idite na bilo koje mjesto koje želite:

Za početak svakog sljedećeg savjeta zaustavite snimanje uživo i uredite filtar snimanja.

SAVJET #2 – Provjerite HTTP promet s dane IP adrese

U ovom posebnom savjetu, dodati ćemo ip==192.168.0.10&& strofi filtra kako bismo pratili HTTP promet između lokalnog računala i 192.168.0.10:

SAVJET #3 – Provjerite HTTP promet prema danoj IP adresi

Usko povezano s #2, u ovom slučaju ćemo koristiti ip.dst kao dio filtra za snimanje na sljedeći način:

ip.dst==192.168.0.10&&http

Za kombiniranje savjeta #2 i #3, možete koristiti ip.addr u pravilu filtra umjesto ip.src ili ip.dst.

SAVJET #4 – Pratite Apache i MySQL mrežni promet

Ponekad ćete biti zainteresirani za pregled prometa koji odgovara bilo kojem (ili oba) uvjeta. Na primjer, za praćenje prometa na TCP priključcima 80 (web-poslužitelj) i 3306 (MySQL/MariaDB poslužitelj baze podataka), možete koristiti uvjet OR u filteru za snimanje:

tcp.port==80||tcp.port==3306

U savjetima #2 i #3, || i riječ or daju iste rezultate. Isto s && i riječju i.

SAVJET #5 – Odbacite pakete na danu IP adresu

Da biste isključili pakete koji ne odgovaraju pravilu filtera, upotrijebite ! i stavite pravilo unutar zagrada. Na primjer, da biste isključili pakete koji potječu s ili su usmjereni na danu IP adresu, možete koristiti:

!(ip.addr == 192.168.0.10)

SAVJET #6 – Pratite promet lokalne mreže (192.168.0.0/24)

Sljedeće pravilo filtera prikazat će samo lokalni promet i isključiti pakete koji idu i dolaze s Interneta:

ip.src==192.168.0.0/24 and ip.dst==192.168.0.0/24

SAVJET #7 – Pratite sadržaj TCP razgovora

Za pregled sadržaja TCP razgovora (razmjene podataka), desnom tipkom miša kliknite određeni paket i odaberite Prati TCP stream. Pojavit će se prozor sa sadržajem razgovora.

Ovo će uključivati HTTP zaglavlja ako provjeravamo web promet, kao i sve vjerodajnice običnog teksta koje se prenose tijekom procesa ako postoje.

SAVJET #8 – Uredite pravila bojanja

Siguran sam da ste do sada već primijetili da je svaki red u prozoru za snimanje obojen. Prema zadanim postavkama, HTTP promet se prikazuje u zelenoj pozadini s crnim tekstom, dok su kontrolne pogreške prikazane u crvenom tekstu s crnom pozadinom.

Ako želite promijeniti ove postavke, kliknite ikonu pravila bojanja Uredi, odaberite dati filtar i kliknite Uredi.

SAVJET #9 – Spremite snimku u datoteku

Spremanje sadržaja snimanja omogućit će nam da ga možemo detaljnije pregledati. Da biste to učinili, idite na Datoteka → Izvoz i odaberite format izvoza s popisa:

SAVJET #10 – Vježbajte sa snimljenim uzorcima

Ako mislite da je vaša mreža “dosadna”, Wireshark nudi niz uzoraka snimljenih datoteka koje možete koristiti za vježbanje i učenje. Možete preuzeti ove SampleCaptures i uvesti ih putem izbornika File → Import.

Sažetak

Wireshark je besplatan softver otvorenog koda, kao što možete vidjeti u odjeljku s često postavljanim pitanjima na službenoj web stranici. Filtar za snimanje možete konfigurirati prije ili nakon pokretanja inspekcije.

U slučaju da niste primijetili, filtar ima značajku samodovršavanja koja vam omogućuje jednostavno pretraživanje najčešće korištenih opcija koje kasnije možete prilagoditi. Uz to, nebo je granica!

Kao i uvijek, ne ustručavajte se javiti nam se putem donjeg obrasca za komentare ako imate pitanja ili primjedbi o ovom članku.