Wireshark: ტრაფიკის ანალიზი Linux-ისა და Windows-ისთვის. Wireshark-ის ნაცნობი, რა არის ამ პროგრამაში! პაკეტების ანალიზი wireshark-ით

ქსელის პაკეტის ანალიზატორები ხშირად გამოიყენება ქსელის აპლიკაციებისა და კვანძების ქცევის შესასწავლად, ასევე ქსელის პრობლემების დიაგნოსტირებისთვის. ასეთი პროგრამული უზრუნველყოფის ძირითადი მახასიათებლებია, პირველ რიგში, მრავალმხრივი ანალიტიკის შესაძლებლობები და მეორეც, მრავალფუნქციური პაკეტის ფილტრაცია, რომელიც საშუალებას გაძლევთ ამოიღოთ ინტერესის მარცვალი ქსელის ტრაფიკის გაუთავებელ ნაკადში. ეს არის ბოლო ასპექტი, რომელსაც ეს სტატია ეძღვნება.

შესავალი

კომპიუტერული ქსელების შესწავლის ყველა მეთოდს შორის, ტრაფიკის ანალიზი, ალბათ, ყველაზე შრომატევადი და შრომატევადია. თანამედროვე ქსელების ინტენსიური ნაკადები წარმოქმნის უამრავ "ნედლეულს", რომელშიც ძნელია იპოვოთ სასარგებლო ინფორმაციის მარცვალი. მისი არსებობის განმავლობაში, TCP / IP დასტა გადაიზარდა მრავალი აპლიკაციითა და დანამატებით, რომელთა რაოდენობა ასობით და ათასობით აღწევს. ეს არის აპლიკაციისა და სერვისის პროტოკოლები, ავთენტიფიკაციის პროტოკოლები, გვირაბი, ქსელში წვდომა და ა.შ. გარდა ქსელური ურთიერთქმედების საფუძვლების ცოდნისა, ტრაფიკის მკვლევარს (ანუ თქვენ) უნდა იყოს თავისუფალი ნავიგაცია პროტოკოლის მთელი ამ მრავალფეროვნებით და შეუძლია იმუშაოს კონკრეტულ პროგრამულ ინსტრუმენტებთან - სნაიფერებთან, ან, მეცნიერულად, ტრაფიკის ანალიზატორებთან (პროტოკოლებთან) .

Sniffer-ის ფუნქციონალობა არ ეხება მხოლოდ ქსელის ბარათის პრომისკუო რეჟიმის გამოყენებას ჩასაჭრელად. ასეთ პროგრამულ უზრუნველყოფას უნდა შეეძლოს ეფექტურად გაფილტროს ტრაფიკი როგორც შეგროვების ეტაპზე, ასევე ცალკეული გადამცემი ერთეულების (ჩარჩოები, პაკეტები, სეგმენტები, მონაცემთა გრამები, შეტყობინებები) შესწავლის დროს. უფრო მეტიც, რაც მეტი პროტოკოლი "იცნობს სნიფერმა", მით უკეთესი.

თანამედროვე პროტოკოლის ანალიზატორებს შეუძლიათ ბევრი რამის გაკეთება: ტრეფიკის სტატისტიკის წაკითხვა, ქსელის ურთიერთქმედების პროგრესის გრაფიკების დახატვა, აპლიკაციის პროტოკოლის მონაცემების ამოღება, სამუშაოს შედეგების ექსპორტი სხვადასხვა ფორმატში... ამიტომ, ქსელური ტრაფიკის ანალიზისთვის ხელსაწყოების შერჩევა არის თემა. ცალკე საუბრისთვის. თუ არ იცით რა აირჩიოთ, ან არ გსურთ ფულის დახარჯვა ფასიან პროგრამულ უზრუნველყოფაზე, გამოიყენეთ მარტივი რჩევა: დააინსტალირეთ Wireshark.

ფილტრების გაცნობა

Wireshark მხარს უჭერს ორი სახის ფილტრს:

სატრანსპორტო მოძრაობის ჩარევა (გადაღების ფილტრები);
ჩვენების ფილტრები.

პირველი ქვესისტემა Wireshark-მა მიიღო Pcap ბიბლიოთეკიდან, რომელიც უზრუნველყოფს დაბალი დონის API-ს ქსელის ინტერფეისებთან მუშაობისთვის. ფრენის დროს ტრაფიკის ნიმუშის აღება ზოგავს RAM-ს და ადგილს მყარ დისკზე. ფილტრი არის გამოხატულება, რომელიც შედგება პრიმიტივების ჯგუფისგან, სურვილისამებრ შერწყმული ლოგიკურ ფუნქციებთან (და, ან, არა). ეს გამოთქმა იწერება Capture Filter ველში Capture options დიალოგური ფანჯრის. ყველაზე ხშირად გამოყენებული ფილტრები შეიძლება შეინახოს პროფილში ხელახლა გამოყენებისთვის (ნახ. 1).

ბრინჯი. 1. თვალთვალის ფილტრების პროფილი

ჩარევის ფილტრის ენა სტანდარტია ღია კოდის სამყაროსთვის და გამოიყენება Pcap-ზე დაფუძნებული მრავალი პროდუქტის მიერ (მაგალითად, tcpdump უტილიტა ან Snort შეჭრის აღმოჩენის/პრევენციის სისტემა). აქედან გამომდინარე, აზრი არ აქვს სინტაქსის აქ აღწერას, რადგან თქვენ მას დიდი ალბათობით იცნობთ. და დეტალები შეგიძლიათ იხილოთ დოკუმენტაციაში, მაგალითად, Linux-ზე pcap-filter (7) man page.

დისპლეის ფილტრები მუშაობს უკვე გადაღებულ ტრაფიკთან და არის Wireshark-ის მშობლიური ნაწილი. განსხვავებები Pcap-ისგან - ჩაწერის ფორმატში (კერძოდ, წერტილი გამოიყენება ველის გამყოფად); ასევე დაემატა ინგლისური აღნიშვნა შედარების ოპერაციებისთვის და ქვესტრიქონების მხარდაჭერა.

თქვენ შეგიძლიათ შეიყვანოთ ეკრანის ფილტრი პირდაპირ პროგრამის ძირითადი ფანჯრის შესაბამის ველში (ყურადღება, ჩამოსაშლელი სია-მინიშნება მუშაობს) ღილაკის "ფილტრის" შემდეგ (სხვათა შორის, ამ ღილაკის ქვეშ იმალება ხშირად გამოყენებული გამონათქვამების პროფილი. ). და თუ დააწკაპუნებთ ღილაკზე "გამოხატვა ..." ახლოს, რომელიც მდებარეობს, გაიხსნება გამონათქვამების მრავალფუნქციური კონსტრუქტორი (ნახ. 2).

მარცხნივ (ველის სახელი) არის Wireshark-ისთვის ცნობილი პროტოკოლების შეტყობინების ველების ანბანური ხე. ამ ველისთვის შეგიძლიათ მიუთითოთ ლოგიკური ოპერატორი (Relation), შეიყვანოთ მნიშვნელობა (Value), მიუთითოთ დიაპაზონი (Range) ან აირჩიოთ მნიშვნელობა სიიდან (Predefined Value). ზოგადად, სრული ქსელის ენციკლოპედია ერთ ფანჯარაში.

აქ არის ლოგიკური ოპერატორები, რომლებიც გამოიყენება ჩვენების ფილტრებში:

და (&&) - "და";
ან (||) - "OR";
xor (^^) - ექსკლუზიური "OR";
არა (!) - უარყოფა;
[...] - ქვესტრიქონის შერჩევა. # თქვენი ქსელის ადაპტერის MAC მისამართის ფილტრით, ჩვენ გამოვრიცხავთ ყველა ადგილობრივ ტრაფიკს, არა (eth.addr eq aa: bb: cc: 22: 33: 44) # წაშალეთ მთელი "სერვისის ხმაური" კონცენტრირებისთვის ტრაფიკზე. ინტერესი! (Arp ან icmp ან dns)

რაც შეეხება ქვესტრიქონის არჩევას, ეს არ არის საკმაოდ ლოგიკური ოპერაცია, მაგრამ ძალიან სასარგებლო ვარიანტი. ეს საშუალებას გაძლევთ მიიღოთ თანმიმდევრობის გარკვეული ნაწილი. მაგალითად, ასე შეგიძლიათ გამოიყენოთ წყაროს MAC მისამართის ველის პირველი (პირველი რიცხვი კვადრატულ ფრჩხილებში არის ოფსეტური) სამი ბაიტი (წერტილის შემდეგ რიცხვი არის ქვემიმდევრობის სიგრძე):

Eth.src == 00: 19: 5b

ორწერტით შერჩევისას, ერთ-ერთი პარამეტრი შეიძლება გამოტოვდეს. თუ ოფსეტს გამოტოვებთ, ნიმუში დაიწყება ბაიტი ნულიდან. თუ სიგრძე - მაშინ ვიღებთ ყველა ბაიტს ოფსეტიდან ველის ბოლომდე.

სხვათა შორის, მოსახერხებელია გამოიყენოთ ქვესტრიქონული ამოღება მავნე პროგრამის გამოსავლენად, თუ ცნობილია ბაიტების თანმიმდევრობა სათაურის შემდეგ (მაგალითად, "0x90, 0x90, 0x90, 0x04" UDP პაკეტში):

Udp == 90: 90: 90: 04

ლოგიკური გამონათქვამებში გამოყენებული შედარების ოპერაციები:

eq (==) - ტოლი;
ne (! =) - არ არის თანაბარი;
gt (>) - მეტი;
ის (<) - меньше;
ge (> =) - მეტი ან თანაბარი;
ლე (<=) - меньше или равно.tcp.dstport ne 8080 && tcp.len gt 0 && data eq A0

სინამდვილეში, თეორია საკმარისია დასაწყისისთვის. შემდეგ გამოიყენეთ საღი აზრი და ფრჩხილები საჭიროებისამებრ და მის გარეშე. ასევე, არ უნდა დაგვავიწყდეს, რომ ფილტრი არსებითად არის ლოგიკური გამოხატულება: თუ ის მართალია, მაშინ პაკეტი გამოჩნდება ეკრანზე, თუ ის false - არა.

Pcap ფილტრი Netbios პორტის სკანირების გამოსავლენად

dst პორტი 135 ან dst პორტი 445 ან dst პორტი 1433 და tcp & (tcp-syn)! = 0 და tcp & (tcp-ack) = 0 და src net 192.168.56.0/24

ვეძებთ IP გამტაცებელს

ლოკალური ქსელის სეგმენტში არის (ამა თუ იმ მიზეზით) IP მისამართების დამთხვევა ორი ან მეტი კვანძისთვის. კარგად არის ცნობილი კონფლიქტური სისტემების „დაჭერის“ (MAC მისამართების განსაზღვრის) მეთოდი: ჩვენ ვხსნით სნიფერს მესამე კომპიუტერზე, ვასუფთავებთ ARP ქეშს და ვასტიმულირებთ მოთხოვნას სასურველი IP-ის MAC-ის გადასაჭრელად, მაგალითად, მისი პინგით. :

# arp -d 192.168.56.5 # ping -n -c 1 192.168.56.5

და შემდეგ ჩვენ ვუყურებთ ჩაკეტილ ტრაფიკს, საიდანაც MAC-ის პასუხები მოვიდა. თუ Wireshark-მა დაიჭირა ძალიან ბევრი პაკეტი, გამოიყენეთ კონსტრუქტორი ეკრანის ფილტრის შესაქმნელად. გამოთქმის პირველ ნაწილში ვირჩევთ ARP პასუხებს, მეორეში კი იმ შეტყობინებებს, რომლებშიც წყაროს IP მისამართი უდრის სასურველს. ჩვენ ვუთავსებთ პრიმიტივებს && ოპერატორს, რადგან აუცილებელია ორივე პირობა ერთდროულად შესრულდეს:

(arp.opcode == პასუხი) && (arp.src.proto_ipv4 == 192.168.56.5)

სხვათა შორის, არც ერთი კომპიუტერული ქსელი არ დაზიანებულა ამ სცენარში, რადგან გამოყენებული იყო ორი Oracle VirtualBox ვირტუალური მანქანა და ვირტუალური მასპინძლის ადაპტერი ქსელის კავშირი.

ჩვენ ვამოწმებთ ქსელის და ტრანსპორტირების ფენებს

ამ დრომდე, ICMP პროტოკოლი რჩება საკმაოდ ეფექტურ ინსტრუმენტად ქსელის სტეკის დიაგნოსტიკისთვის. ამ პროტოკოლიდან შეტყობინებებს შეუძლიათ მიაწოდონ მნიშვნელოვანი ინფორმაცია ქსელის პრობლემების შესახებ.

როგორც თქვენ ალბათ მიხვდით, ICMP-ის გაფილტვრა Wireshark-ში ძალიან მარტივია. საკმარისია პროგრამის მთავარ ფანჯარაში ფილტრაციის ხაზში ჩაწეროთ: icmp. icmp-ის გარდა, მუშაობს მრავალი სხვა საკვანძო სიტყვა, რომლებიც პროტოკოლის სახელებია, მაგალითად, arp, ip, tcp, udp, snmp, smb, http, ftp, ssh და სხვა.

თუ ბევრი ICMP ტრაფიკია, მაშინ რუკების დეტალური აღწერა შესაძლებელია, მაგალითად, ექო მოთხოვნების (ტიპი 0) და ექო პასუხის (ტიპი 8) გამორიცხვით:

Icmp და ((icmp.type ne 0) და (icmp.type ne 8))

ნახ. სურათი 4 გვიჩვენებს ICMP შეტყობინებების მცირე ნიმუშის მაგალითს, რომლებიც გენერირებულია ტესტის Linux როუტერის მიერ. შეტყობინება "პორტი მიუწვდომელია" ჩვეულებრივ ნაგულისხმევია. ის ასევე გენერირდება ქსელის სტეკის მიერ, როდესაც ის იღებს UDP დატაგრამას გამოუყენებელ პორტზე. იმისთვის, რომ Debian-ზე დაფუძნებულმა ვირტუალურმა როუტერმა დაიწყო შეტყობინებების გაგზავნა „ჰოსტი მიუწვდომელია“ და „კომუნიკაცია ადმინისტრაციულად გაფილტრულია“, მე მომიწია მისი დალაგება. Cisco აცნობებს ადმინისტრაციული ფილტრაციის შესახებ ჩვეულებრივ ნაგულისხმევად. შეტყობინება "ხანგრძლივობის გადაჭარბება" მიუთითებს ქსელის ზოგიერთ ნაწილზე მარყუჟის არსებობაზე (ასევე, ასეთი პაკეტები შეიძლება ასევე გამოჩნდეს მარშრუტის მიკვლევისას).

სხვათა შორის, firewalls-ის შესახებ. თქვენ შეგიძლიათ შექმნათ წესები პოპულარული ფეიერვოლებისთვის პირდაპირ Wireshark-ში, ინსტრუმენტების მენიუში Firewall ACL Rules პუნქტის გამოყენებით. პირველ რიგში, თქვენ უნდა აირჩიოთ პაკეტი სიიდან, რომლის ინფორმაციაც გამოყენებული იქნება. ხელმისაწვდომია Cisco-ს სტანდარტული და გაფართოებული ACL-ები, UNIX-ის მსგავსი წესები IP ფილტრისთვის, IPFirewall (ipfw), Netfilter (iptables), პაკეტის ფილტრი (pf) და Windows Firewall (netsh).

ახლა კი, მოკლედ ქსელის დონეზე ფილტრაციის საფუძვლების შესახებ, რომელიც დაფუძნებულია IP პაკეტის სათაურის ველებზე - გამგზავნის მისამართი (ip.src) და მიმღების მისამართი (ip.dst):

(ip.src == 192.168.56.6) || (ip.dst == 192.168.56.6)

ასე რომ, ჩვენ დავინახავთ ყველა პაკეტს, რომელიც მოცემულმა IP მისამართმა მიიღო ან გაგზავნა. თქვენ შეგიძლიათ გაფილტროთ მთელი ქვექსელები ნიღბის ჩანაწერისთვის CIDR ნოტაციის გამოყენებით. მაგალითად, მოდით დავადგინოთ ინფიცირებული ჰოსტი, რომელიც აგზავნის სპამს (აქ 192.168.56.251 არის ჩვენი SMTP სერვერის IP მისამართი):

Ip.src == 192.168.56.0/24 და tcp.dstport == 25 და! (Ip.dst == 192.168.56.251)

სხვათა შორის, პრიმიტივები eth.src, eth.dst და eth.addr უნდა იქნას გამოყენებული MAC მისამართების მისაღებად. ზოგჯერ ქსელის ფენის პრობლემები ბევრად უფრო მჭიდროდ არის დაკავშირებული Ethernet ფენასთან, ვიდრე თეორია გვთავაზობს. კერძოდ, მარშრუტიზაციის დაყენებისას, შეიძლება ძალიან სასარგებლო იყოს იმის დანახვა, თუ რომელ როუტერის MAC მისამართზე აგზავნის ჯიუტი კვანძი პაკეტებს. თუმცა, ასეთი მარტივი ამოცანისთვის საკმარისია tcpdump უტილიტა, რომელიც თითქმის სტანდარტულია UNIX-ის მსგავსი სისტემებისთვის.

Wireshark-ს ასევე არ აქვს შეკითხვები პორტის ფილტრაციის შესახებ. TCP-სთვის საკვანძო სიტყვები tcp.srcport, tcp.dstport და tcp.port მოგემსახურებათ, UDP-სთვის - udp.srcport, udp.dstport და udp.port. მართალია, ჩაშენებულ Wireshark ფილტრის ენას არ ჰქონდა Pcap-ში პორტის პრიმიტივის ანალოგი, რომელიც განსაზღვრავს როგორც UDP, ასევე TCP პორტებს. მაგრამ ეს შეიძლება ადვილად გამოსწორდეს ლოგიკური გამონათქვამით, მაგალითად:

Tcp.port == 53 || udp.port == 53

იმპროვიზაცია HTTP ტრაფიკით

აპლიკაციის პროტოკოლები, კერძოდ, HTTP, მარადიული თემაა ყნოსვის კონტექსტში. სამართლიანობისთვის, უნდა ითქვას, რომ მრავალი სპეციალიზებული პროგრამული ინსტრუმენტი შეიქმნა ვებ ტრაფიკის შესასწავლად. მაგრამ ისეთი მრავალმხრივი ინსტრუმენტიც კი, როგორიცაა Wireshark, თავისი მოქნილი ფილტრაციის სისტემით, საერთოდ არ არის ზედმეტი ამ სფეროში.

პირველ რიგში, მოდით შევაგროვოთ რამდენიმე ვებ ტრაფიკი პირველი საიტის მონახულებით, რომელიც მოგახსენდებათ. ახლა მოდით გადავხედოთ TCP პროტოკოლის შეტყობინებებს, რომელიც ემსახურება როგორც HTTP-ს ტრანსპორტს, ჩვენს საყვარელ ინტერნეტ რესურსზე მითითებებს:

Tcp შეიცავს "საიტს"

შეიცავს ოპერატორი ამოწმებს მოცემულ ველში ქვესტრინგის არსებობას. ასევე არის მატჩების ოპერატორი, რომელიც საშუალებას გაძლევთ გამოიყენოთ Perl-თან თავსებადი რეგულარული გამონათქვამები.

"ფილტრის გამონათქვამების" ფანჯარა, რა თქმა უნდა, კარგი დამხმარეა, მაგრამ ხანდახან საჭირო ველის საძიებლად გრძელი სიის გადაფურცვლა საკმაოდ დამღლელია. ჩვენების ფილტრების შესაქმნელად/შეცვლის უფრო მარტივი გზა არსებობს: პაკეტების ნახვისას კონტექსტური მენიუს გამოყენება. ამისათვის თქვენ უბრალოდ უნდა დააწკაპუნოთ მაუსის მარჯვენა ღილაკით ინტერესის ველზე და აირჩიოთ Apply As Filter ელემენტის ან Prepare a Filter ელემენტის ერთ-ერთი ქვეპუნქტი. პირველ შემთხვევაში ცვლილებები დაუყოვნებლივ შევა ძალაში, მეორეში კი გამონათქვამის გამოსწორება იქნება შესაძლებელი. "შერჩეული" ნიშნავს, რომ ველის მნიშვნელობა გახდება ახალი ფილტრი, "არ არის არჩეული" - იგივე, მხოლოდ უარყოფით. "..."-ით დაწყებული პუნქტები ამატებს ველის მნიშვნელობას არსებულ გამოსახულებას, ექვემდებარება ლოგიკურ ოპერატორებს.

Wireshark გრაფიკული ინტერფეისის სხვადასხვა ხელსაწყოების და HTTP პროტოკოლის მახასიათებლების ცოდნის კომბინაციით, თქვენ შეგიძლიათ მარტივად გადახვიდეთ პროგრამის მთავარ ფანჯარაში ტრაფიკის ჩვენების საჭირო დონემდე.

მაგალითად, იმის სანახავად, თუ რა სურათები ითხოვდა ბრაუზერმა ვებ სერვერს გვერდის გენერირებისას, იმუშავებს ფილტრი, რომელიც აანალიზებს სერვერზე გადაცემულ URI-ს შინაარსს:

(http.host eq "www..request.uri შეიცავს" .jpg # 26759185 ") ან (http.request.uri შეიცავს" .png # 26759185 "))

იგივე, მაგრამ მატჩების გამოყენებით:

(http.host eq "www..request.uri matches" .jpg | .png # 26759185 ")

რა თქმა უნდა, სხვადასხვა დონის პროტოკოლების შეტყობინების ველები შეიძლება უსაფრთხოდ იყოს შერეული ერთ გამოხატულებაში. მაგალითად, იმის გასარკვევად, თუ რომელი სურათები გადასცა მოცემულმა სერვერმა კლიენტს, ჩვენ ვიყენებთ წყაროს მისამართს IP პაკეტიდან და HTTP პასუხის "შინაარსის ტიპი" ველს:

(ip.src eq 178.248.232.27) და (http.content_type შეიცავს "სურათს")

და "Referer" HTTP მოთხოვნის ველის დახმარებით, შეგიძლიათ გაიგოთ, რომელი სხვა სერვერებიდან იღებს ბრაუზერი შინაარსს თქვენი საყვარელი საიტის გვერდის ფორმირებისას:

(http.referer eq "http: //www..dst eq 178.248.232.27))

მოდით შევხედოთ კიდევ რამდენიმე სასარგებლო ფილტრს. შემდეგი გამოხატულება შეიძლება გამოყენებულ იქნას GET მეთოდით გაკეთებული HTTP მოთხოვნების ტრაფიკიდან ამოსაღებად:

Http.request.method == GET

აპლიკაციის დონეზეა, რომ ჩვენების ფილტრები ვლინდება მთელი თავისი სილამაზითა და სიმარტივით. შედარებისთვის: იმისათვის, რომ, მაგალითად, ამ პრობლემის გადასაჭრელად Pcap-ის გამოყენებით, უნდა გამოვიყენოთ შემდეგი სამსართულიანი სტრუქტურა:

პორტი 80 და tcp [((tcp & 0xf0) >> 2): 4] = 0x47455420

იმის გასარკვევად, თუ რა კავშირებს ახორციელებდა 192.168.56.8 ჰოსტის მომხმარებელი გარკვეული დროის ინტერვალით (ვთქვათ, ლანჩის დროს), ვიყენებთ frame.time primitive:

Tcp.dstport == 80 && frame.time> = "იან 9, 2013 13:00:00" && frame.time< "Yan 9, 2013 14:00:00" && ip.src == 192.168.56.8

ასევე, მოთხოვნის URI-ების ჩვენება, რომლებიც შეიცავს სიტყვებს "შესვლა" და "მომხმარებელი", პლუს პაროლების "შეხსენება":

Http.request.uri ემთხვევა "login. * = მომხმარებელი" (http შეიცავს "პაროლს") || (პოპი შეიცავს "PASS")

SSL შინაარსის ჩარევა

ქსელური ტრაფიკის მკვლევარის ნამდვილი უბედურება არის დაშიფვრა. მაგრამ თუ თქვენ გაქვთ სასურველი ფაილი სერთიფიკატთან ერთად (სხვათა შორის, მასზე თვალის ჩინივით უნდა იზრუნოთ), მაშინ მარტივად შეგიძლიათ გაიგოთ, რას მალავენ ამ რესურსის მომხმარებლები SSL სესიებში. ამისათვის თქვენ უნდა მიუთითოთ სერვერის პარამეტრები და სერთიფიკატის ფაილი SSL პროტოკოლის პარამეტრებში (პუნქტი "Preferences" მენიუს "რედაქტირება", აირჩიეთ SSL პროტოკოლების სიაში მარცხნივ). მხარდაჭერილია PKCS12 და PEM ფორმატები. ამ უკანასკნელ შემთხვევაში, თქვენ უნდა ამოიღოთ პაროლი ფაილიდან ბრძანებებით:

Openssl pkcs12 -ექსპორტი -server.pem -out aa.pfx openssl pkcs12 -in aa.pfx -out serverNoPass.pem -კვანძები

ინფორმაცია

ქსელის ტრაფიკიდან მონიტორინგისა და გამართვის მიზნით ტრაფიკის ამოღება ხდება პაკეტის ფილტრის საშუალებით. პაკეტის ფილტრი არის ოპერაციული სისტემის ბირთვის ნაწილი და იღებს ქსელის პაკეტებს ქსელის ბარათის დრაივერიდან.

UNIX-ის მსგავსი ოპერაციული სისტემებისთვის პაკეტის ფილტრების მაგალითებია BPF (Berkeley Packet Filter) და LSF (Linux Socket Filter). BPF-ში ფილტრაცია ხორციელდება შემთხვევებზე ორიენტირებული პრიმიტიული მანქანის ენის საფუძველზე, რომლის თარჯიმანი არის BPF.

დისტანციური მასპინძლების ტრაფიკის ანალიზი

Windows-ის მომხმარებლებს შეუძლიათ იმუშაონ არა მხოლოდ იმ კომპიუტერის ინტერფეისებთან, რომელზედაც მუშაობს Wireshark, არამედ აიღოს ტრაფიკი დისტანციური მანქანებიდან. ამისათვის არის სპეციალური სერვისი (Remote Packet Capture Protocol) WinPcap ბიბლიოთეკის მიწოდებაში. ის ჯერ უნდა იყოს ჩართული სერვისის მართვის სნეპ-ინში (services.msc). ახლა, Wireshark დისტანციურ კომპიუტერზე გაშვების შემდეგ, შეგიძლიათ დაუკავშირდეთ კვანძს, სადაც მუშაობს დისტანციური ტრაფიკის თვალთვალის სერვისი (ნაგულისხმევად, ის იყენებს პორტს 2002), და მონაცემები მდინარესავით მიედინება თქვენთან RPCAP პროტოკოლის საშუალებით.

მე ასევე მივცემ სახლის * nix როუტერთან დაკავშირების ვარიანტებს "გარედან" დისტანციური ტრაფიკის ანალიზისთვის:

$ ssh [ელფოსტა დაცულია]"tshark -f" პორტი! 22 "-i any -w -" | wireshark -k -i - $ ssh [ელფოსტა დაცულია] tcpdump -U -s0 -w - "არა პორტი 22" | wireshark -k -i -

აუცილებელი ინსტრუმენტი

Wireshark არის ცნობილი ინსტრუმენტი ქსელის ტრაფიკის ჩასაჭრელად და ინტერაქტიული ანალიზისთვის, ფაქტობრივად ინდუსტრიისა და განათლების სტანდარტი. განაწილებულია GNU GPLv2 ლიცენზიით. Wireshark მუშაობს ყველაზე ცნობილ პროტოკოლებთან, აქვს GTK +-ზე დაფუძნებული გრაფიკული მომხმარებლის ინტერფეისი, ძლიერი ტრაფიკის ფილტრის სისტემა და ჩაშენებული Lua პროგრამირების ენის თარჯიმანი დეკოდერებისა და მოვლენების დამმუშავებლების შესაქმნელად.

ამოიღეთ ტვირთის დატვირთვა

გარკვეულ წრეებში ფართოდ არის ცნობილი სპეციალიზებული ხელსაწყოები, რომლებიც საშუალებას გაძლევთ "გამოიყვანოთ" საბოლოო ინფორმაციის ობიექტები ტრაფიკიდან: ფაილები, სურათები, ვიდეო და აუდიო კონტენტი და ა.შ. მძლავრი ანალიტიკური ქვესისტემის წყალობით, Wireshark უფრო მეტად ფარავს ამ ფუნქციას, ამიტომ მოძებნეთ ღილაკი "Save Payload..." შესაბამის საანალიზო ფანჯრებში.

დასკვნა

ქსელური აპლიკაციების უსაფრთხოებისთვის კომპიუტერის მიწისქვეშა გატაცების ფონზე, ქვედა დონეების მონუმენტური პრობლემები თანდათან ქრება უკანა პლანზე. ნათელია, რომ ქსელი და სატრანსპორტო ფენები შორს არის შესწავლილი და გამოკვლეული. მაგრამ უბედურება ის არის, რომ სპეციალისტები, რომლებიც გაიზარდნენ SQL ინექციით, ჯვარედინი საიტის სკრიპტირებით და ინკლუზიებით, არ იციან აისბერგის წვერის ქვეშ დამალული უზარმაზარი ფენის შესახებ და ხშირად ემორჩილებიან ერთი შეხედვით ელემენტარულ პრობლემებს.

სნაიფერი, გამართვისა და დემონტაჟის მსგავსად, დეტალურად აჩვენებს სისტემის ფუნქციონირების დეტალებს. Wireshark-ის დაყენებული და ცოტა მოხერხებული საშუალებით, თქვენ შეგიძლიათ იხილოთ ქსელის ურთიერთქმედება ისეთი, როგორიც არის - უდანაშაულო, ქალწული შიშველი. და ფილტრები დაგეხმარებათ!

სანამ სხვა ქსელების გატეხვის სწავლას დავიწყებთ, უნდა შეგვეძლოს ჩვენი ქსელის კონტროლი და გავიგოთ რა არის ქსელის ტრაფიკი და როგორ გავფილტროთ იგი. Wireshark იდეალურია ამისთვის, რადგან აქამდე არაფერია გამოგონილი მასზე ძლიერი და როგორც თქვენ ალბათ მიხვდებით, ეს იქნება ამის შესახებ. Wireshark არის იდეალური იარაღი ქსელის პაკეტების რეალურ დროში ანალიზისა და დაჭერისთვის. მაგრამ მთავარი ის არის, რომ ის აჩვენებს მათ ძალიან ადვილად წასაკითხ ფორმატში.

Wireshark აღჭურვილია მრავალი ფილტრით, ფერის კოდირებით და მრავალი სხვა ფუნქციით, რაც საშუალებას გაძლევთ ჩაძიროთ ქსელის ტრაფიკში და შეამოწმოთ ინდივიდუალური პაკეტები.

Გამოიყენე შენი წარმოსახვა!

მაგალითს ვაძლევ:

ვთქვათ, თქვენ ხართ დაკავშირებული სხვის ქსელში და უნდა გაარკვიოთ, რას იყენებენ ისინი, რა და როგორ გადის ქსელში? Wireshark არის იდეალური გადაწყვეტა. პაკეტების შემოწმების შემდეგ, თქვენ შეგიძლიათ მარტივად გაიგოთ ყველა საჭირო მონაცემი. მაგრამ ეს მხოლოდ მაგალითი იყო, ყველას თავისუფლად შეუძლია გამოიყენოს იგი თავისი საჭიროებების მიხედვით!

აპლიკაციები >> ინტერნეტი >> Wireshark

როგორც ხედავთ, მას აქვს ლამაზი მენიუ და ყველაფერი გასაგებია. მაგრამ ეს სინამდვილეში ძალიან რთული ატრიბუტია. პირველ რიგში, მოდით გავიაროთ ძირითადი ფუნქციები.

ვირჩევთ დაკავშირებულ ქსელს და ვაჭერთ დაწყებას. როგორც ხედავთ, მან დაიწყო პაკეტების აღება და მთელი ტრაფიკის ჩვენება თქვენი ქსელიდან.

ტრაფიკის აღების შესაჩერებლად დააჭირეთ ღილაკს " შეაჩერე გაშვებული ცოცხალი გადაღება"

როგორც ხედავთ, მოძრაობის ფერები განსხვავებულია და ძალიან საინტერესოა რას ნიშნავს ისინი. Wireshark იყენებს სხვადასხვა ფერს, რათა დაგვეხმაროს სხვადასხვა ტიპის ტრაფიკის ამოცნობაში.

ჩვენ შეგვიძლია შევიტანოთ ის ტრაფიკი, რომელიც გვჭირდება გასაფილტრად განყოფილებაში " ფილტრი:"და თავად Wireshark მოგვცემს მინიშნებებს ან ჩვენ შეგვიძლია ავირჩიოთ დაწკაპუნებით" გამოხატვა "

ჩვენ ასევე შეგვიძლია შევქმნათ ჩვენი საკუთარი ფილტრი დაწკაპუნებით ანალიზი >> ჩვენების ფილტრები

თუ ხედავთ სასურველ პაკეტს, შეგიძლიათ იხილოთ მისი შინაარსი.

თქვენ ასევე შეგიძლიათ ნახოთ პაკეტის მთელი შინაარსი, ისევე როგორც ყველა მონაცემი მის შესახებ.

როგორც უკვე მიხვდით, ეს არის ძალიან ძლიერი ტრაფიკის სანახავად. მას ფართოდ იყენებენ მრავალი პროფესიონალი ქსელის პრობლემების გადაჭრისა და ქსელის დიზაინისთვის.

ეს მხოლოდ დასაწყისია, თვალყური ადევნეთ განახლებებს, რადგან ჩვენ ავხსნით და ვანაწილებთ ამ ატრიბუტს სრულად.

Გამოიყენე შენი წარმოსახვა!

მაგალითს ვაძლევ:

აპლიკაციები >> ინტერნეტი >> Wireshark

თუ ხედავთ სასურველ პაკეტს, შეგიძლიათ იხილოთ მისი შინაარსი.

Wireshark არის ძლიერი ქსელის ანალიზატორი, რომელიც შეიძლება გამოყენებულ იქნას თქვენი კომპიუტერის ქსელური ინტერფეისის გავლით ტრაფიკის გასაანალიზებლად. ეს შეიძლება დაგჭირდეთ ქსელის პრობლემების აღმოსაჩენად და მოსაგვარებლად, თქვენი ვებ აპლიკაციების, ქსელური პროგრამების ან საიტების გამართვისთვის. Wireshark საშუალებას გაძლევთ სრულად დაათვალიეროთ პაკეტის შინაარსი ყველა დონეზე, რათა უკეთ გაიგოთ როგორ მუშაობს ქსელი დაბალ დონეზე.

ყველა პაკეტი აღებულია რეალურ დროში და მოწოდებულია ადვილად წასაკითხ ფორმატში. პროგრამა მხარს უჭერს ძალიან მძლავრ ფილტრაციის სისტემას, ფერის ხაზგასმას და სხვა ფუნქციებს, რომლებიც დაგეხმარებათ იპოვოთ თქვენთვის სასურველი პაკეტები. ამ გაკვეთილში ჩვენ გადავხედავთ, თუ როგორ გამოვიყენოთ Wireshark ტრაფიკის გასაანალიზებლად. ცოტა ხნის წინ, დეველოპერები გადავიდნენ Wireshark 2.0 პროგრამის მეორე ფილიალზე მუშაობაზე, რამაც მრავალი ცვლილება და გაუმჯობესება მოიტანა, განსაკუთრებით ინტერფეისისთვის. ეს არის ის, რასაც ჩვენ გამოვიყენებთ ამ სტატიაში.

Wireshark-ის ძირითადი მახასიათებლები

სანამ ტრაფიკის ანალიზის მეთოდების განხილვას აპირებთ, უნდა გაითვალისწინოთ, რა შესაძლებლობებს უჭერს პროგრამას უფრო დეტალურად, რა პროტოკოლებთან შეუძლია მუშაობა და რა უნდა გააკეთოს. აქ მოცემულია პროგრამის ძირითადი მახასიათებლები:

პაკეტების რეალურ დროში აღება სადენიანი ან სხვა ტიპის ქსელური ინტერფეისებიდან, ასევე ფაილიდან წაკითხვა;
მხარდაჭერილია შემდეგი გადაღების ინტერფეისები: Ethernet, IEEE 802.11, PPP და ადგილობრივი ვირტუალური ინტერფეისები;
პაკეტების გაცრა შესაძლებელია მრავალი პარამეტრით ფილტრების გამოყენებით;
ყველა ცნობილი პროტოკოლი მონიშნულია სიაში სხვადასხვა ფერებში, მაგალითად TCP, HTTP, FTP, DNS, ICMP და ასე შემდეგ;
VoIP ზარების ტრაფიკის აღრიცხვის მხარდაჭერა;
მხარს უჭერს HTTPS ტრაფიკის გაშიფვრას სერტიფიკატით;
უკაბელო ქსელების WEP, WPA ტრაფიკის გაშიფვრა გასაღების და ხელის ჩამორთმევის თანდასწრებით;
ქსელის დატვირთვის სტატისტიკის ჩვენება;
იხილეთ პაკეტის შინაარსი ყველა ქსელის ფენისთვის;
აჩვენებს პაკეტების გაგზავნისა და მიღების დროს.

პროგრამას აქვს მრავალი სხვა ფუნქცია, მაგრამ ეს იყო მთავარი, რაც შეიძლება დაგაინტერესოთ.

როგორ გამოვიყენოთ Wireshark

მე ვფიქრობ, რომ თქვენ უკვე გაქვთ პროგრამა დაინსტალირებული, მაგრამ თუ არა, მაშინ შეგიძლიათ დააინსტალიროთ ოფიციალური საცავებიდან. ამისათვის ჩაწერეთ ბრძანება Ubuntu-ში:

$ sudo apt install wireshark

ინსტალაციის შემდეგ შეგიძლიათ იპოვოთ პროგრამა განაწილების მთავარ მენიუში. თქვენ უნდა გაუშვათ Wireshark სუპერმომხმარებლის უფლებებით, რადგან წინააღმდეგ შემთხვევაში პროგრამა ვერ შეძლებს ქსელის პაკეტების ანალიზს. ეს შეიძლება გაკეთდეს მთავარი მენიუდან ან ტერმინალის მეშვეობით KDE ბრძანების გამოყენებით:

$ kdesu wireshark

და Gnome / Unity-სთვის:

$ gksu wireshark

პროგრამის მთავარი ფანჯარა დაყოფილია სამ ნაწილად, პირველი სვეტი შეიცავს ანალიზისთვის ხელმისაწვდომი ქსელის ინტერფეისების ჩამონათვალს, მეორე - ფაილების გახსნის ვარიანტებს, ხოლო მესამე - დახმარებას.

ქსელის ტრაფიკის ანალიზი

ანალიზის დასაწყებად აირჩიეთ ქსელის ინტერფეისი, მაგალითად eth0 და დააჭირეთ ღილაკს დაწყება.

ამის შემდეგ, შემდეგი ფანჯარა გაიხსნება, უკვე პაკეტების ნაკადი, რომელიც გადის ინტერფეისში. ეს ფანჯარა ასევე დაყოფილია რამდენიმე ნაწილად:

ზედა ნაწილი- ეს არის მენიუები და პანელები სხვადასხვა ღილაკებით;
პაკეტის სია- შემდეგ გამოჩნდება ქსელის პაკეტების ნაკადი, რომელსაც თქვენ გააანალიზებთ;
პაკეტის შინაარსი- არჩეული პაკეტის შიგთავსის ქვემოთ მდებარეობს, ის იყოფა კატეგორიებად სატრანსპორტო ფენის მიხედვით;
რეალური წარმომადგენლობა- ბოლოში, პაკეტის შინაარსი ნაჩვენებია როგორც რეალური სახით, ასევე HEX-ის სახით.

თქვენ შეგიძლიათ დააჭიროთ ნებისმიერ პაკეტს მისი შინაარსის გასაანალიზებლად:

აქ ჩვენ ვხედავთ მოთხოვნის პაკეტს DNS-ზე, რათა მივიღოთ საიტის ip მისამართი, დომენი იგზავნება თავად მოთხოვნაში და საპასუხო პაკეტში ვიღებთ ჩვენს შეკითხვას, ასევე პასუხს.

უფრო მოსახერხებელი სანახავად, შეგიძლიათ გახსნათ პაკეტი ახალ ფანჯარაში ჩანაწერზე ორჯერ დაწკაპუნებით:

Wireshark ფილტრები

ძალიან მოუხერხებელია პაკეტების ხელით გავლა თქვენთვის საჭირო პაკეტების მოსაძებნად, განსაკუთრებით აქტიური ნაკადით. ამიტომ, უმჯობესია გამოიყენოთ ფილტრები ასეთი ამოცანისთვის. მენიუს ქვეშ არის სპეციალური ხაზი ფილტრების შესაყვანად. თქვენ შეგიძლიათ დააწკაპუნოთ Expression-ზე ფილტრის კონსტრუქტორის გასახსნელად, მაგრამ ბევრი მათგანია, ამიტომ ჩვენ განვიხილეთ ყველაზე ძირითადი:

ip.dst- სამიზნე ip მისამართი;
ip.src- გამგზავნის IP მისამართი;
ip.addr- გამგზავნის ან მიმღების ip;
ip.proto- ოქმი;
tcp.dstport- დანიშნულების პორტი;
tcp.srcport- გამგზავნის პორტი;
ip.ttl- ფილტრი ttl-ით, განსაზღვრავს ქსელის მანძილს;
http.request_uri- მოთხოვნილი ვებგვერდის მისამართი.

თქვენ შეგიძლიათ გამოიყენოთ შემდეგი ოპერატორები ფილტრში ველსა და მნიშვნელობას შორის კავშირის დასაზუსტებლად:

== - უდრის;
!= - არ უდრის;
< - უფრო პატარა;
> - მეტი;
<= - ნაკლები ან ტოლი;
>= - მეტი ან თანაბარი;
მატჩები- რეგულარული გამოხატულება;
შეიცავს- შეიცავს.

მრავალი გამონათქვამის გაერთიანებისთვის შეგიძლიათ გამოიყენოთ:

&& - ორივე გამონათქვამი უნდა იყოს ჭეშმარიტი პაკეტისთვის;
|| - ერთ-ერთი გამოთქმა შეიძლება მართალი იყოს.

ახლა მოდით უფრო ახლოს გადავხედოთ რამდენიმე ფილტრს მაგალითების გამოყენებით და შევეცადოთ გავითვალისწინოთ ურთიერთობების ყველა ნიშანი.

პირველი, მოდით გავფილტროთ ყველა პაკეტი, რომელიც გაგზავნილია ნომერზე 194.67.215.125 (losst.ru). ჩაწერეთ ხაზი ფილტრის ველში და დააწკაპუნეთ მიმართეთ... მოხერხებულობისთვის, wireshark ფილტრების შენახვა შესაძლებელია ღილაკის გამოყენებით Შენახვა:

ip.dst == 194.67.215.125

და იმისათვის, რომ მიიღოთ არა მხოლოდ გაგზავნილი პაკეტები, არამედ მიღებული საპასუხოდ ამ კვანძიდან, შეგიძლიათ დააკავშიროთ ორი პირობა:

ip.dst == 194.67.215.125 || ip.src == 194.67.215.125

ჩვენ ასევე შეგვიძლია შევარჩიოთ გადატანილი დიდი ფაილები:

http.content_length> 5000

Content-Type-ის გაფილტვრის შემდეგ, ჩვენ შეგვიძლია შევარჩიოთ ყველა ატვირთული სურათი, გავაანალიზოთ wireshark ტრაფიკი, რომლის პაკეტები შეიცავს სიტყვას სურათს:

http.content_type შეიცავს სურათს

ფილტრის გასასუფთავებლად შეგიძლიათ დააჭიროთ ღილაკს წმინდა... ეს ხდება, რომ თქვენ ყოველთვის არ იცით გაფილტვრისთვის საჭირო ყველა ინფორმაცია, მაგრამ უბრალოდ გსურთ ქსელის შესწავლა. თქვენ შეგიძლიათ დაამატოთ პაკეტის ნებისმიერი ველი სვეტად და ნახოთ მისი შიგთავსი ზოგად ფანჯარაში თითოეული პაკეტისთვის.

მაგალითად, მე მინდა გამოვაჩინო პაკეტის ttl (სიცოცხლის ვადა) სვეტის სახით. ამისათვის გახსენით პაკეტის ინფორმაცია, იპოვეთ ეს ველი IP განყოფილებაში. შემდეგ გამოიძახეთ კონტექსტური მენიუ და აირჩიეთ ვარიანტი მიმართვა როგორც სვეტი:

თქვენ ასევე შეგიძლიათ შექმნათ ფილტრი თქვენთვის სასურველი ველის საფუძველზე. აირჩიეთ საჭირო ველი და გახსენით კონტექსტური მენიუ, შემდეგ დააჭირეთ წაისვით ფილტრადან მოამზადეთ როგორც ფილტრიშემდეგ აირჩიეთ შერჩეულიმხოლოდ არჩეული მნიშვნელობების ჩვენება, ან Არ არის მონიშნულიმათი ამოღება:

მითითებული ველი და მისი მნიშვნელობა გამოყენებული იქნება ან, მეორე შემთხვევაში, ჩანაცვლდება ფილტრის ველში:

ამ გზით თქვენ შეგიძლიათ დაამატოთ ნებისმიერი პაკეტის ველი ან სვეტი ფილტრში. ასევე არის ეს პარამეტრი კონტექსტური მენიუში. თქვენ ასევე შეგიძლიათ გამოიყენოთ უფრო მარტივი პირობები პროტოკოლების გასაფილტრად. მაგალითად, გავაანალიზოთ Wireshark ტრაფიკი HTTP და DNS პროტოკოლებისთვის:

პროგრამის კიდევ ერთი საინტერესო ფუნქციაა Wireshark-ის გამოყენება მომხმარებლის კომპიუტერსა და სერვერს შორის კონკრეტული სესიის თვალყურის დევნებისთვის. ამისათვის გახსენით პაკეტის კონტექსტური მენიუ და აირჩიეთ მიჰყევით TCP ნაკადს.

შემდეგ გაიხსნება ფანჯარა, რომელშიც ნახავთ სერვერსა და კლიენტს შორის გადაცემულ ყველა მონაცემს:

Wireshark-ის პრობლემების დიაგნოსტიკა

შეიძლება გაინტერესებთ, როგორ გამოიყენოთ Wireshark 2 ქსელის პრობლემების გამოსავლენად. ამისათვის ფანჯრის ქვედა მარცხენა კუთხეში არის მრგვალი ღილაკი, მასზე დაჭერისას იხსნება ფანჯარა. Expet Tools... მასში Wireshark აგროვებს ყველა შეცდომის შეტყობინებას და ქსელის პრობლემებს:

ფანჯარა დაყოფილია ჩანართებად, როგორიცაა შეცდომები, გაფრთხილებები, შენიშვნები, ჩეთები. პროგრამას შეუძლია გაფილტროს და აღმოაჩინოს მრავალი ქსელის პრობლემა და აქ თქვენ შეგიძლიათ ნახოთ ისინი ძალიან სწრაფად. Wireshark ფილტრები ასევე მხარდაჭერილია აქ.

Wireshark ტრაფიკის ანალიზი

თქვენ შეგიძლიათ ძალიან მარტივად გაიგოთ, კონკრეტულად რა გადმოწერეს მომხმარებლებმა და რა ფაილები ნახეს, თუ კავშირი არ იყო დაშიფრული. პროგრამა ძალიან კარგ საქმეს აკეთებს შინაარსის მოპოვებაში.

ამისათვის თქვენ ჯერ უნდა შეწყვიტოთ ტრაფიკის აღება პანელზე წითელი კვადრატის გამოყენებით. შემდეგ გახსენით მენიუ ფაილი -> ობიექტების ექსპორტი -> HTTP:

ეს არის ძალიან ძლიერი პროგრამა, რომელსაც აქვს მრავალი ფუნქცია. შეუძლებელია მთელი მისი ფუნქციონალობის ერთ სტატიაში მოთავსება, მაგრამ აქ მოწოდებული ძირითადი ინფორმაცია საკმარისი იქნება იმისათვის, რომ დაეუფლოთ ყველაფერს, რაც გჭირდებათ.