यहां तक ​​कि विंडसर कार्यक्रम और इसके फिल्टर का एक सतही ज्ञान नेटवर्क या अनुप्रयोग स्तर की समस्याओं का निवारण करते समय परिमाण के एक क्रम को बचाएगा। Wireshark नेटवर्क इंजीनियर, सुरक्षा विशेषज्ञ या सिस्टम व्यवस्थापक के काम में कई कार्यों के लिए उपयोगी है। यहां कुछ उपयोग उदाहरण दिए गए हैं:

नेटवर्क कनेक्टिविटी समस्या निवारण

• पैकेट नुकसान का दृश्य प्रदर्शन
• टीसीपी रिले विश्लेषण
• लंबा विलंबित पैकेट ग्राफ़

एप्लिकेशन-स्तरीय सत्र (यहां तक ​​कि जब एसएसएल / टीएलएस के साथ एन्क्रिप्ट करते हुए, नीचे देखें)

• HTTP सत्रों का पूरा दृश्य, अनुरोधों और प्रतिक्रियाओं के लिए सभी हेडर और डेटा सहित
• टेलनेट सत्र देखें, पासवर्ड देखें, आदेशों और प्रतिक्रियाओं में प्रवेश किया
• SMTP और POP3 ट्रैफ़िक देखें, ईमेल पढ़ें

पैकेट स्तर डेटा के साथ DHCP का समस्या निवारण करें

• प्रसारण डीएचसीपी अनुवाद की खोज
• पता और मापदंडों के साथ डीएचसीपी एक्सचेंज (डीएचसीपी ऑफर) का दूसरा चरण
• प्रस्तावित पते पर ग्राहक का अनुरोध
• अनुरोध की पुष्टि करने वाले सर्वर से प्राप्त करें

HTTP सत्रों से फ़ाइलें निकालें

• HTTP से ऑब्जेक्ट निर्यात करना, जैसे जावास्क्रिप्ट, चित्र, या यहां तक ​​कि निष्पादनयोग्य

SMB सत्र से फ़ाइलें निकालें

• HTTP निर्यात विकल्प के समान, लेकिन SMB के माध्यम से हस्तांतरित फ़ाइलों को निकालना, विंडोज में फ़ाइल साझाकरण प्रोटोकॉल

मैलवेयर डिटेक्शन एंड स्कैन

• असामान्य व्यवहार का पता लगाना जो मैलवेयर का संकेत हो सकता है
• असामान्य डोमेन या अंतिम IP खोजें
• प्रबंधन सर्वर के साथ लगातार कनेक्शन (बीकन) का पता लगाने के लिए I / O चार्ट
• "सामान्य" डेटा को फ़िल्टर करना और असामान्य का पता लगाना
• बड़ी डीएनएस प्रतिक्रियाओं और अन्य विसंगतियों को पुनः प्राप्त करें जो मैलवेयर का संकेत दे सकते हैं

कमजोरियों के लिए पोर्ट स्कैन और अन्य स्कैन प्रकारों की जाँच करना

• नेटवर्क ट्रैफिक स्कैनर से क्या आता है यह समझना
• झूठी सकारात्मक और झूठी नकारात्मक के बीच अंतर करने के लिए भेद्यता सत्यापन प्रक्रियाओं का विश्लेषण

ये उदाहरण सिर्फ हिमशैल के टिप हैं। गाइड में, हम आपको बताएंगे कि इस तरह के एक शक्तिशाली उपकरण का उपयोग कैसे करें।

तारों को स्थापित करें

Wireshark विभिन्न ऑपरेटिंग सिस्टम पर चलती है और इंस्टॉल करना आसान है। केवल उबंटू लिनक्स, सेंटोस और विंडोज का उल्लेख करें।

उबंटू या डेबियन पर स्थापित करें

#apt-get update #apt-get install wireshark tshark 

फेडोरा या सेंटोस पर स्थापित करें

 #yum install wireshark-gnome 

विंडोज इंस्टॉलेशन

डाउनलोड पृष्ठ में स्थापना के लिए निष्पादन योग्य फ़ाइल है। पैकेट कैप्चर ड्राइवर भी स्थापित करने के लिए काफी सरल है, जिसकी मदद से नेटवर्क कार्ड "अश्रव्य" मोड में चला जाता है (प्रोमिसस मोड आपको सभी पैकेट प्राप्त करने की अनुमति देता है, भले ही वे किसको संबोधित हों)।

फिल्टर के साथ शुरू हो रही है

पहले इंटरसेप्शन के साथ, आपको Wireshark इंटरफ़ेस में एक मानक टेम्पलेट और पैकेज विवरण दिखाई देगा।

एक बार जब आप एक HTTP सत्र पर कब्जा कर लेते हैं, तो रिकॉर्डिंग को रोक दें और विश्लेषण के मूल फिल्टर और सेटिंग्स के साथ खेलें अनुसरण करें | HTTP स्ट्रीम ।

फ़िल्टर के नाम अपने लिए बोलते हैं। बस फ़िल्टर लाइन में उचित अभिव्यक्ति दर्ज करें (या कमांड लाइन में यदि tshark का उपयोग कर रहे हैं)। फिल्टर का मुख्य लाभ शोर निकालना है (ट्रैफ़िक जो हमारे लिए दिलचस्प नहीं है)। आप मैक एड्रेस, आईपी एड्रेस, सबनेट या प्रोटोकॉल द्वारा ट्रैफ़िक फ़िल्टर कर सकते हैं। सबसे आसान फ़िल्टर http दर्ज करना है, इसलिए केवल HTTP ट्रैफ़िक प्रदर्शित किया जाएगा (tcp port 80) ।

आईपी ​​फ़िल्टर उदाहरण

 ip.addr == 192.168.0.5 !(ip.addr == 192.168.0.0/24) 

प्रोटोकॉल फ़िल्टर उदाहरण

 tcp udp tcp.port == 80 || udp.port == 80 http not arp and not (udp.port == 53) 

HTTP और HTTPS को छोड़कर सभी आउटगोइंग ट्रैफ़िक को दर्शाने वाले फ़िल्टर के संयोजन का प्रयास करें, जो स्थानीय नेटवर्क के बाहर रूट किया गया हो। यह सॉफ्टवेयर (यहां तक ​​कि मैलवेयर) का पता लगाने का एक अच्छा तरीका है जो असामान्य प्रोटोकॉल के माध्यम से इंटरनेट के साथ बातचीत करता है।

धारा का पालन करें

एक बार जब आप कई HTTP पैकेट पर कब्जा कर लेते हैं, तो आप उनमें से किसी एक पर एनालाइज़ | मेनू आइटम का उपयोग कर सकते हैं। अनुसरण करें | HTTP स्ट्रीम । यह संपूर्ण HTTP सत्र दिखाएगा। इस नई विंडो में, आप ब्राउज़र से एक HTTP अनुरोध और सर्वर से एक HTTP प्रतिक्रिया देखेंगे।

DNS Wireshark में हल कर रहा है

डिफ़ॉल्ट रूप से, Wireshark कंसोल में नेटवर्क पते को हल नहीं करता है। इसे सेटिंग्स में बदला जा सकता है।

संपादित करें | प्राथमिकताएँ | नाम संकल्प | नेटवर्क नाम समाधान सक्षम करें

tcpdump , tcpdump प्रक्रिया पैकेट के प्रदर्शन को धीमा कर देगी। यह समझना भी महत्वपूर्ण है कि जब आप पैकेट को ऑनलाइन कैप्चर करते हैं, तो आपके मेजबान से DNS प्रश्न अतिरिक्त ट्रैफ़िक बनेंगे जो इंटरसेप्ट हो सकते हैं।

कमांड लाइन के लिए Tshark

यदि आपने tshark डब tshark , तो फ़िल्टर गाइड के साथ हमारे गाइड पर एक नज़र डालें। इस कार्यक्रम को अक्सर नजरअंदाज कर दिया जाता है, हालांकि यह रिमोट सिस्टम पर सत्र कैप्चर करने के लिए बहुत अच्छा है। tcpdump विपरीत, यह आपको मक्खी पर अनुप्रयोग-स्तरीय सत्रों को पकड़ने और देखने की अनुमति देता है: तारक के लिए Wireshark प्रोटोकॉल डिकोडर भी उपलब्ध हैं।

फ़ायरवॉल नियम बनाना

यहां कमांड लाइन से नियम बनाने का एक त्वरित तरीका है ताकि आप विशिष्ट सिंटैक्स के लिए इंटरनेट पर खोज न करें। उपयुक्त नियम का चयन करें और टूल्स पर जाएं | फ़ायरवॉल ACL नियम । विभिन्न फ़ायरवॉल का समर्थन किया जाता है, जैसे कि सिस्को IOS, ipfilter , ipfw , iptables , pf और यहाँ तक कि netsh माध्यम से Windows फ़ायरवॉल भी।

जियो-बेस जियोआईपी के साथ काम करें

यदि Wireshark जियोआईपी समर्थन के साथ संकलित किया गया है और आपके पास मुफ्त मैक्समाइंड डेटाबेस हैं, तो प्रोग्राम आपके आईपी पतों द्वारा कंप्यूटर का स्थान निर्धारित कर सकता है। के बारे में जाँच | Wireshark , कि प्रोग्राम आपके द्वारा उपलब्ध संस्करण के साथ संकलित है। यदि जियोआईपी सूची में है, तो डिस्क पर जियोलाइट सिटी, कंट्री और एएसएनम डेटाबेस की उपस्थिति की जांच करें। संपादित करें में ठिकानों का स्थान निर्दिष्ट करें | प्राथमिकताएँ | नाम का संकल्प ।

सांख्यिकी का चयन करके ट्रैफ़िक डंप के लिए सिस्टम की जाँच करें समापन बिंदु | IPv4 । IP पते के लिए स्थान और ASN जानकारी दाईं ओर कॉलम में दिखाई देनी चाहिए।



एक अन्य जियोआईपी फीचर ip.geoip फ़िल्टर का उपयोग करके ट्रैफ़िक को फ़िल्टर कर रहा है। उदाहरण के लिए, इस तरह आप एक विशिष्ट ASN से ट्रैफ़िक को बाहर कर सकते हैं। नीचे दी गई कमांड ASN 63949 नेटवर्क यूनिट (लिनोइड) से पैकेट को बाहर करती है।

 ip and not ip.geoip.asnum == 63949 

बेशक, एक ही फ़िल्टर व्यक्तिगत शहरों और देशों पर लागू किया जा सकता है। शोर निकालें और केवल वास्तव में दिलचस्प ट्रैफ़िक छोड़ दें।

एसएसएल / टीएलएस सत्र का डिक्रिप्शन

एसएसएल / टीएलएस सत्र को डिक्रिप्ट करने का एक तरीका सर्वर से निजी कुंजी का उपयोग करना है जिससे क्लाइंट जुड़ा हुआ है।

बेशक, आपके पास हमेशा निजी कुंजी तक पहुंच नहीं होती है। लेकिन स्थानीय प्रणाली पर एसएसएल / टीएलएस यातायात को देखने के लिए एक और विकल्प है। यदि फ़ायरफ़ॉक्स या क्रोम को एक विशेष पर्यावरण चर का उपयोग करके लोड किया जाता है, तो व्यक्तिगत एसएसएल / टीएलएस सत्रों की सममित कुंजी एक फ़ाइल में लिखी जाती है, जो कि विंडसर्क पढ़ सकती है। इन कुंजियों के साथ, Wireshark पूरी तरह से डिक्रिप्टेड सत्र दिखाएगा!

1. पर्यावरण चर सेट करना

लिनक्स / मैक

 export SSLKEYLOGFILE=~/sslkeylogfile.log 

विंडोज

सिस्टम के गुणों पर | उन्नत, पर्यावरण चर बटन पर क्लिक करें और चर नाम (SSLKEYLOGFILE), और मान के रूप में फ़ाइल का पथ जोड़ें।

2. Wireshark सेटअप

पॉप-अप मेनू से, संपादित करें का चयन करें प्राथमिकताएँ | प्रोटोकॉल | एसएसएल | (पूर्व) -मास्टर-सीक्रेट लॉग फाइलनाम - पर्यावरण चर में आपके द्वारा निर्दिष्ट फ़ाइल को निर्दिष्ट करके ब्राउज़ करें ।

अपने स्थानीय सिस्टम पर ट्रैफ़िक कैप्चर करना शुरू करें।

3. फ़ायरफ़ॉक्स या क्रोम को पुनरारंभ करना

HTTPS वेबसाइट पर जाने के बाद, लॉग फ़ाइल आकार में बढ़ने लगेगी, क्योंकि यह सममित सत्र कुंजियाँ लिखती है।

पहले लॉन्च किए गए Wireshark सत्र पर एक नज़र डालें। आपको डिक्रिप्टेड सत्रों के साथ स्क्रीनशॉट के समान कुछ देखना चाहिए। डिक्रिप्ट किए गए पैकेट - नीचे पैनल में टैब पर।



एक सत्र देखने का दूसरा तरीका विश्लेषण के माध्यम से है | अनुसरण करें | स्ट्रीम | एसएसएल। यदि सत्र सफलतापूर्वक डिक्रिप्ट किया गया है, तो आपको एसएसएल के लिए एक विकल्प दिखाई देगा।

बेशक, इन चाबियों और पैकेजों को लिखते समय सावधान रहें। यदि किसी बाहरी व्यक्ति को लॉग फ़ाइल तक पहुंच मिलती है, तो यह आसानी से आपके पासवर्ड और प्रमाणीकरण कुकीज़ को खोज लेगा।

मूल HTTP ट्रैफ़िक तक पहुँचने के लिए एक अन्य विकल्प ब्राउज़र में लोड CA प्रमाणपत्र के साथ Burp Suite टूल का उपयोग करना है। इस स्थिति में, प्रॉक्सी क्लाइंट साइड पर कनेक्शन को डिक्रिप्ट करता है, और फिर सर्वर पर एक नया एसएसएल / टीएलएस सत्र स्थापित करता है। अपने आप पर इस तरह के MiTM हमले को करने के कई तरीके हैं, ये दो सबसे आसान हैं।

निर्यात फ़ंक्शन (HTTP या SMB) का उपयोग करके संकुल से फ़ाइलें निकालें

फ़ाइलें आसानी से निर्यात मेनू के माध्यम से निकाली जाती हैं।

फ़ाइल | निर्यात वस्तुओं | HTTP

सभी मिली फाइलें एक नई विंडो में प्रदर्शित की जाएंगी। यहां से, आप व्यक्तिगत फ़ाइलों या सभी को एक साथ सहेज सकते हैं। SMB सत्रों से फ़ाइलों को निकालने के लिए एक समान विधि का उपयोग किया जाता है। जैसा कि हमने पहले ही उल्लेख किया है, यह माइक्रोसॉफ्ट सर्वर संदेश ब्लॉक प्रोटोकॉल है, जिसका उपयोग विंडोज के तहत फाइल शेयरिंग के लिए किया जाता है।

स्थिति पट्टी

विंडो के दाईं ओर स्थिति पट्टी आपको रंग संकेतक पर क्लिक करके नेटवर्क डंप में वांछित स्थान पर जाने की अनुमति देती है। उदाहरण के लिए, त्रुटियों वाले पैकेट को स्थिति पट्टी में लाल रंग में चिह्नित किया गया है।

PCAP नमूना

जब आप पहली बार विंडसर के साथ काम करना शुरू करते हैं, तो मैं पैकेज के साथ कुछ दिलचस्प डंप देखना चाहता हूं। वे विंडसर सैम्पल पेज पर देखे जा सकते हैं। कई महीनों के विश्लेषण के लिए अलग-अलग प्रोटोकॉल के साथ पर्याप्त उदाहरण होंगे, यहां तक ​​कि कीड़े और कारनामों के यातायात के नमूने भी हैं।

पर्यावरण की स्थापना

डिफ़ॉल्ट रूप से कंसोल की उपस्थिति अत्यधिक अनुकूलन योग्य है। आप स्तंभों को जोड़ सकते हैं या हटा सकते हैं, यहां तक ​​कि यूटीसी समय स्तंभ के रूप में ऐसी सरल चीजें जोड़ सकते हैं, जो तुरंत पैकेजों के इतिहास का विश्लेषण करने पर लॉग की सूचना सामग्री को बढ़ाता है।

कॉलम संपादित में कॉन्फ़िगर किए गए हैं | प्राथमिकताएँ | सूरत | कॉलम। सामान्य टेम्प्लेट, फ़ॉन्ट और रंग भी वहां बदल दिए जाते हैं।

वीडियो पर - टीसीपी अनुक्रम संख्या के लिए समस्या निवारण सहित पर्यावरण की स्थापना के लिए उपयोगी टिप्स।

capinfos

Wireshark एक आसान capinfos कमांड लाइन capinfos साथ आता है। यह उपयोगिता प्रारंभ और समाप्ति रिकॉर्डिंग समय और अन्य विवरणों के साथ बैच डंप आँकड़े उत्पन्न करती है। -T विकल्प के साथ, यह टैब्ड टेक्स्ट का उत्पादन करता है - यह स्प्रेडशीट में आयात या कंसोल में विश्लेषण के लिए उपयुक्त है।

 test@ubuntu:~$ capinfos test.pcap File name: test.pcap File type: Wireshark/tcpdump/... - pcap File encapsulation: Ethernet File timestamp precision: microseconds (6) Packet size limit: file hdr: 262144 bytes Number of packets: 341 k File size: 449 MB Data size: 444 MB Capture duration: 3673.413779 seconds First packet time: 2018-12-01 11:26:53.521929 Last packet time: 2018-12-01 12:28:06.935708 Data byte rate: 120 kBps Data bit rate: 967 kbps Average packet size: 1300.72 bytes Average packet rate: 93 packets/s SHA256: 989388128d676c329ccdbdec4ed221ab8ecffad81910a16f473ec2c2f54c5d6e RIPEMD160: 0742b6bbc79735e57904008d6064cce7eb95abc9 SHA1: d725b389bea044d6520470c8dab0de1598b01d89 Strict time order: True Number of interfaces in file: 1 

निष्कर्ष

यह लेख मूल रूप से 2011 में प्रकाशित हुआ था, फिर इसे गंभीरता से अपडेट किया गया। यदि आपके पास धोखा पत्र के लिए कोई टिप्पणी, सुधार या सुझाव हैं, तो मुझे लिखें । विंडसरक उन अपरिहार्य साधनों में से एक है जो बहुत से उपयोग करते हैं, लेकिन बहुत कम धाराप्रवाह हैं। यहां आप और अधिक गहराई तक जा सकते हैं।