حتى المعرفة السطحية لـ
Wireshark وفلاترها ستوفر لك مقدارًا كبيرًا في استكشاف مشكلات الشبكة أو طبقة التطبيق. يُعد Wireshark مفيدًا للعديد من المهام في أعمال مهندس الشبكات أو أخصائي الأمان أو مسؤول النظام. فيما يلي بعض أمثلة الاستخدام:
شبكة الاتصال استكشاف الأخطاء وإصلاحها
- عرض مرئي لفقدان الحزمة
- تحليل ترحيل TCP
- حزمة طويلة مؤجلة الرسم البياني
استكشاف جلسات على مستوى التطبيق (حتى عند التشفير باستخدام SSL / TLS ، انظر أدناه)
- عرض كامل لجلسات HTTP ، بما في ذلك جميع الرؤوس والبيانات للطلبات والاستجابات
- عرض جلسات Telnet ، وعرض كلمات المرور ، والأوامر المدخلة والردود
- عرض SMTP و POP3 المرور ، وقراءة رسائل البريد الإلكتروني
استكشاف أخطاء DHCP مع بيانات مستوى الحزمة
- استكشاف البث الترجمات DHCP
- الخطوة الثانية من تبادل DHCP (عرض DHCP) مع العنوان والمعلمات
- طلب العميل على العنوان المقترح
- Ack من الخادم تؤكد الطلب
استخراج الملفات من جلسات HTTP
- تصدير الكائنات من HTTP ، مثل JavaScript أو الصور أو حتى الملفات التنفيذية
استخراج الملفات من جلسات SMB
- يشبه خيار تصدير HTTP ، ولكن استخراج الملفات المنقولة عبر SMB ، بروتوكول مشاركة الملفات في Windows
الكشف عن البرامج الضارة ومسحها
- الكشف عن السلوكيات غير الطبيعية التي قد تشير إلى وجود برامج ضارة
- ابحث عن مجالات غير عادية أو نهاية عناوين IP
- مخططات I / O للكشف عن الاتصالات المستمرة (المنارات) مع خوادم الإدارة
- تصفية البيانات "العادية" والكشف عن غير عادية
- استرجع استجابات DNS الكبيرة وغيرها من الحالات الشاذة التي قد تشير إلى وجود برامج ضارة
التحقق من عمليات فحص المنافذ وأنواع المسح الأخرى بحثًا عن الثغرات الأمنية
- فهم ما تأتيه حركة مرور الشبكة من الماسحات الضوئية
- تحليل إجراءات التحقق من الضعف للتمييز بين كاذبة إيجابية وسلبية كاذبة
هذه الأمثلة هي مجرد غيض من فيض. في الدليل ، سوف نخبرك بكيفية استخدام هذه الأداة القوية.
تثبيت Wireshark
يعمل Wireshark على أنظمة تشغيل مختلفة وسهل التثبيت. أذكر فقط Ubuntu Linux و Centos و Windows.
تثبيت على أوبونتو أو ديبيان
تثبيت على Fedora أو CentOS
تثبيت ويندوز
تحتوي
صفحة التنزيل على الملف القابل للتنفيذ للتثبيت. كما أن تثبيت برنامج تشغيل الحزم أمر بسيط للغاية ، حيث تدخل بطاقة الشبكة في الوضع "غير مسموع" (يسمح لك الوضع المختلط باستقبال جميع الحزم بغض النظر عمن يتم توجيهها إليه).
الشروع في العمل مع المرشحات
مع أول اعتراض ، سترى نموذجًا قياسيًا وتفاصيل الحزمة في واجهة Wireshark.
بمجرد التقاط جلسة HTTP ، توقف عن التسجيل واللعب باستخدام المرشحات والإعدادات الأساسية
لتحليل | اتبع | دفق HTTP .
أسماء المرشحات تتحدث عن نفسها. فقط أدخل التعبيرات المناسبة في سطر التصفية (أو في سطر الأوامر إذا كنت تستخدم tshark). الميزة الرئيسية للمرشحات هي إزالة الضوضاء (حركة المرور التي لا تهمنا). يمكنك تصفية حركة المرور حسب عنوان MAC أو عنوان IP أو الشبكة الفرعية أو البروتوكول. أسهل عامل تصفية هو إدخال
http ، لذلك سيتم عرض
حركة مرور HTTP فقط
(tcp port 80) .
أمثلة تصفية IP
ip.addr == 192.168.0.5 !(ip.addr == 192.168.0.0/24)
أمثلة تصفية البروتوكول
tcp udp tcp.port == 80 || udp.port == 80 http not arp and not (udp.port == 53)
جرب مجموعة من المرشحات التي تعرض كل حركة المرور الصادرة باستثناء HTTP و HTTPS ، والتي يتم توجيهها خارج
الشبكة المحلية . هذه طريقة جيدة للكشف عن البرامج (حتى البرامج الضارة) التي تتفاعل مع الإنترنت من خلال بروتوكولات غير عادية.
اتبع الدفق
بمجرد التقاط عدة حزم HTTP ، يمكنك استخدام عنصر القائمة
تحليل | على أحدها.
اتبع | دفق HTTP . وسوف تظهر جلسة HTTP كاملة. في هذا الإطار الجديد ، سترى طلب HTTP من المستعرض ورد HTTP من الخادم.
حل DNS في Wireshark
بشكل افتراضي ، لا يقوم Wireshark بحل عناوين الشبكة في وحدة التحكم. يمكن تغيير هذا في الإعدادات.
تحرير | التفضيلات | اسم القرار | تمكين تحليل اسم الشبكةكما هو الحال مع
tcpdump ، يؤدي إجراء الحل إلى إبطاء عرض الحزم. من المهم أيضًا فهم أنه عند التقاط الحزم عبر الإنترنت ، ستصبح استعلامات DNS من مضيفك حركة مرور إضافية يمكن اعتراضها.
تشاركك لسطر الأوامر
إذا لم تكن قد
tshark ، ألق نظرة على
دليلنا مع أمثلة المرشح . غالبًا ما يتم تجاهل هذا البرنامج ، على الرغم من أنه أمر رائع لالتقاط جلسات العمل على نظام بعيد. بخلاف
tcpdump ، فإنه يسمح لك بالتقاط وعرض جلسات مستوى التطبيق أثناء التنقل: تتوفر وحدات فك تشفير بروتوكول Wireshark أيضًا لـ tshark.
صنع قواعد جدار الحماية
إليك طريقة سريعة لإنشاء قواعد من سطر الأوامر حتى لا تبحث في الإنترنت عن بناء جملة محدد. حدد القاعدة المناسبة وانتقل إلى
أدوات | جدار حماية قواعد ACL . يتم دعم العديد من جدران الحماية ، مثل Cisco IOS و
ipfilter و
ipfw و
iptables و
pf وحتى جدار حماية Windows من خلال
netsh .
العمل مع Geo-base GeoIP
إذا تم تجميع Wireshark مع دعم GeoIP وكان لديك قواعد بيانات Maxmind مجانية ، يمكن للبرنامج تحديد موقع أجهزة الكمبيوتر عن طريق عناوين IP الخاصة بهم. تحقق في
حول | Wireshark ، أن يتم تصنيف البرنامج مع الإصدار الذي لديك. إذا كانت GeoIP في القائمة ، فتحقق من توفر قواعد بيانات GeoLite City و Country و ASNum على القرص. حدد موقع القواعد في
تحرير | التفضيلات | اسم القرار .
تحقق من النظام لتفريغ حركة المرور عن طريق تحديد
الإحصائيات | نقاط النهاية | IPv4 . يجب أن يظهر الموقع ومعلومات ASN لعنوان IP في الأعمدة على اليمين.
ميزة GeoIP أخرى هي تصفية حركة المرور حسب الموقع باستخدام مرشح
ip.geoip . على سبيل المثال ، بهذه الطريقة يمكنك استبعاد حركة المرور من ASN معين. يستثني الأمر أدناه الحزم من وحدة شبكة ASN 63949 (Linode).
ip and not ip.geoip.asnum == 63949
بالطبع ، يمكن تطبيق نفس المرشح
على المدن الفردية والبلدان . قم بإزالة الضوضاء واترك حركة المرور المثيرة حقًا.
فك تشفير جلسات SSL / TLS
تتمثل إحدى طرق فك تشفير جلسات SSL / TLS في استخدام المفتاح الخاص من الخادم الذي يتصل به العميل.
بالطبع ، لا يمكنك دائمًا الوصول إلى المفتاح الخاص. ولكن هناك خيار آخر لعرض حركة مرور SSL / TLS على النظام المحلي. إذا تم تحميل Firefox أو Chrome باستخدام متغير بيئة خاص ، تتم كتابة المفاتيح المتماثلة لجلسات SSL / TLS الفردية إلى ملف يمكن لـ Wireshark قراءته. باستخدام هذه المفاتيح ، سوف يعرض Wireshark جلسة تم فك تشفيرها بالكامل!
1. تحديد متغير البيئة
لينكس / ماك export SSLKEYLOGFILE=~/sslkeylogfile.log
نوافذعلى
خصائص النظام | متقدم ، انقر فوق الزر
متغيرات البيئة وإضافة اسم المتغير (SSLKEYLOGFILE) ، والمسار إلى الملف كقيمة.
2. Wireshark الإعداد
من القائمة المنبثقة ، حدد
تحرير | التفضيلات | البروتوكولات | SSL | (Pre) -Master-Secret Log Filename - تصفح عن طريق تحديد الملف الذي حددته في متغير البيئة.
ابدأ في التقاط حركة المرور على نظامك المحلي.
3. إعادة تشغيل Firefox أو Chrome
بعد الانتقال إلى موقع HTTPS الإلكتروني ، سيبدأ حجم ملف السجل في النمو ، حيث يكتب مفاتيح جلسة متماثلة.
ألق نظرة على جلسة Wireshark التي تم إطلاقها مسبقًا. يجب أن ترى شيئًا مشابهًا للشاشة أدناه مع جلسات فك تشفير. الحزم المشفرة - في علامة التبويب في اللوحة السفلية.
هناك طريقة أخرى لعرض الجلسة وهي من خلال
التحليل | اتبع | تيار | SSL إذا تم إلغاء تشفير الجلسة بنجاح ، فسترى خيار SSL.
بالطبع ، كن حذرا عند كتابة هذه المفاتيح والحزم. إذا تمكن شخص خارجي من الوصول إلى ملف السجل ، فسوف يجد بسهولة كلمات المرور وملفات تعريف الارتباط الخاصة بالمصادقة هناك.
هناك خيار آخر للوصول إلى حركة مرور HTTP الأساسية وهو استخدام أداة
Burp Suite مع تحميل شهادة المرجع المصدق (CA) في المستعرض. في هذه الحالة ، يقوم الخادم بفك تشفير الاتصال من جانب العميل ، ثم يقوم بتأسيس جلسة SSL / TLS جديدة على الخادم. هناك العديد من الطرق لتنفيذ مثل هذا الهجوم MiTM على نفسك ، وهما من الأسهل.
استخراج الملفات من الحزم باستخدام وظيفة التصدير (HTTP أو SMB)
يتم استخراج الملفات بسهولة عبر قائمة التصدير.
ملف | كائنات التصدير | HTTPسيتم عرض جميع الملفات الموجودة في نافذة جديدة. من هنا ، يمكنك حفظ الملفات الفردية أو كلها دفعة واحدة. يتم استخدام طريقة مشابهة لاستخراج الملفات من جلسات SMB. كما ذكرنا بالفعل ، هذا هو بروتوكول Microsoft Server Message Block ، والذي يستخدم لمشاركة الملفات تحت Windows.
شريط الحالة
يتيح لك شريط الحالة على الجانب الأيمن من النافذة الانتقال بسرعة إلى المكان المرغوب في تفريغ الشبكة بالنقر فوق مؤشر اللون. على سبيل المثال ، يتم تمييز الحزم التي تحتوي على أخطاء باللون الأحمر في شريط الحالة.
عينة PCAP
عندما تبدأ العمل مع Wireshark لأول مرة ، أريد أن أنظر إلى بعض المقالب المثيرة للاهتمام مع الحزم. يمكن العثور عليها في صفحة
عينات Wireshark . سيكون هناك أمثلة كافية مع بروتوكولات مختلفة لعدة أشهر من التحليل ، وهناك حتى عينات من حركة الديدان ويستغل.
بيئة الإعداد
مظهر وحدة التحكم بشكل افتراضي قابل للتخصيص بدرجة كبيرة. يمكنك إضافة أعمدة أو إزالتها ، حتى إضافة أشياء بسيطة مثل عمود وقت UTC ، مما يزيد على الفور محتوى المعلومات للسجلات إذا قمت بتحليل محفوظات الحزم.
يتم تكوين الأعمدة في
تحرير | التفضيلات | المظهر | الأعمدة يتم تغيير القالب العام والخط والألوان هناك أيضًا.
على الفيديو - نصائح مفيدة لإعداد البيئة ، بما في ذلك استكشاف الأخطاء وإصلاحها لأرقام تسلسل TCP.
capinfos
Wireshark يأتي مع
capinfos سطر الأوامر
capinfos يدوية. تولد هذه الأداة المساعدة إحصائيات تفريغ الدُفعات ، مع وقت تسجيل البدء / النهاية والتفاصيل الأخرى. باستخدام الخيار
-T ، ينتج النص المبوب - إنه مناسب للاستيراد إلى جداول البيانات أو التحليل في وحدة التحكم.
test@ubuntu:~$ capinfos test.pcap File name: test.pcap File type: Wireshark/tcpdump/... - pcap File encapsulation: Ethernet File timestamp precision: microseconds (6) Packet size limit: file hdr: 262144 bytes Number of packets: 341 k File size: 449 MB Data size: 444 MB Capture duration: 3673.413779 seconds First packet time: 2018-12-01 11:26:53.521929 Last packet time: 2018-12-01 12:28:06.935708 Data byte rate: 120 kBps Data bit rate: 967 kbps Average packet size: 1300.72 bytes Average packet rate: 93 packets/s SHA256: 989388128d676c329ccdbdec4ed221ab8ecffad81910a16f473ec2c2f54c5d6e RIPEMD160: 0742b6bbc79735e57904008d6064cce7eb95abc9 SHA1: d725b389bea044d6520470c8dab0de1598b01d89 Strict time order: True Number of interfaces in file: 1
الخاتمة
نُشرت هذه المقالة في الأصل عام 2011 ، ثم تم تحديثها بشكل جدي إذا كان لديك أي تعليقات أو تحسينات أو نصائح حول ورقة الغش ،
فاكتب لي . Wireshark هي واحدة من تلك الأدوات التي لا غنى عنها والتي يستخدمها الكثيرون ، ولكن القليل منها يجيدها. هنا يمكنك الذهاب أعمق وأعمق.