🖧 10 نکته برای همکاری با Wireshark برای تجزیه و تحلیل بسته های موجود در شبکه – مجموعه امنیت اطلاعات

vpn جولای 16, 2020

در هر شبکه روشن ، بسته ها واحدهای داده ای هستند که بین رایانه ها منتقل می شوند.

مهندسان شبکه و سرپرست سیستم وظیفه نظارت و بررسی بسته ها را برای اهداف امنیتی و عیب یابی دارند.

آنها برای انجام این کار از برنامه ها استفاده می کنند. به عنوان آنالایزر بسته های شبکه نامیده می شود ، و Wireshark شاید به دلیل تطبیق پذیری و سادگی ، محبوب ترین و اغلب مورد استفاده قرار گیرد.

علاوه بر این ، Wireshark نه تنها به شما امکان می دهد تا ترافیک را در زمان واقعی کنترل کنید ، بلکه آن را نیز برای بازرسی بعدی در یک فایل ذخیره می کنید. [19659005] در این مقاله ، 10 نکته در مورد چگونگی استفاده از Wireshark برای تجزیه و تحلیل بسته ها در شبکه خود را به اشتراک خواهیم گذاشت.

نصب Wireshark در لینوکس

برای نصب Wireshark ، نصب صحیح را برای سیستم عامل / معماری خود در انتخاب کنید. https://www.wireshark.org/download.html.ociation19459012† موفق19659003-03 به ویژه ، در صورت استفاده اگر از لینوکس استفاده می کنید ، Wireshark باید مستقیماً از مخازن توزیع شما در دسترس باشد تا نصب آن ساده تر شود.

اگرچه نسخه ها ممکن است متفاوت باشند ، گزینه ها و منوها باید مشابه باشند – اگر در هر نسخه یکسان نیستند.

------ ------ در دبیان / اوبونتو ------------ $ sudo apt-get wireshark را نصب کنید ------------ در CentOS / RHEL ------------ $ sudo yum نصب wireshark ------------ در فدورا 22+ ------------ $ sudo dnf install wireshark

یک اشکال شناخته شده در Debian و مشتقات آن وجود دارد که اگر از sudo برای اجرای Wireshark استفاده نمی کنید ، می تواند با شمارش رابط های شبکه تداخل کند.

برای رفع این مشکل ، دستورالعمل های https: // osqa-ask را دنبال کنید. wireshark.org/questions/7523/ubuntu-machine-no-interfaces-listedociation19659013-03 وقتی Wireshark در حال اجراست ، می توانید رابط شبکه ای را که می خواهید در Capture کنترل کنید انتخاب کنید:

در این مقاله از eth0 استفاده خواهیم کرد ، اما اگر می خواهید رابط کاربری متفاوتی را انتخاب کنید.

هنوز روی رابط کلیک نکنید ، ما به زودی به محض اینکه چندین گزینه ضبط را در نظر می گیریم ، آن را انجام خواهیم داد.

تنظیم پارامترهای ضبط

مفیدترین گزینه های ضبط که ما در نظر خواهیم گرفت: [19659018] رابط شبکه – همانطور که قبلاً توضیح دادیم ، ما فقط بسته هایی را که از طریق گذرگاه eth0 عبور می کنند ، به صورت ورودی یا خروجی تجزیه خواهیم کرد.

فیلتر ضبط – این گزینه اجازه می دهد تا به ما بگویید چه نوع ترافیکی را می خواهیم از طریق پورت ، پروتکل یا نوع مانیتور کنیم.

قبل از راهنمایی ، لازم به ذکر است که برخی سازمان ها استفاده از Wireshark را در شبکه های خود ممنوع می کنند. اما اگر شما از Wireshark برای اهداف شخصی استفاده نمی کنید ، مطمئن شوید که سازمان شما اجازه می دهد با استفاده از آن.

فقط کافی است eth0 را از فهرست کشویی انتخاب کرده و روی دکمه Start کلیک کنید.

شما شروع به دیدن تمام ترافیک عبوری از طریق این رابط خواهید کرد.

این به دلیل تعداد زیادی از موارد برای نظارت نمی تواند مفید باشد. بسته های آزمایش شده ، اما این فقط آغاز است.

در تصویر فوق ، ما همچنین می بینیم آیکون هایی برای نمایش لیستی از رابط های موجود ، متوقف کردن ضبط فعلی و راه اندازی مجدد آن (جعبه قرمز در سمت چپ) ، و همچنین تنظیمات فیلتر و ویرایش (جعبه قرمز در سمت راست).

وقتی روی یکی از این آیکون ها شناور هستید ، یک ابزار نمایش داده می شود که نشان می دهد چه کاری انجام می دهد.

ما با نمایش گزینه ها شروع خواهیم کرد. ضبط ، در حالی که نکات شماره 7 تا شماره 10 نشان می دهد که چگونه می توان با گرفتن این بسته ها ، کاری مفید انجام داد.

TIP # 1 – بررسی ترافیک HTTP

http را در قسمت فیلتر وارد کرده و بر روی " Apply کلیک کنید."

مرورگر خود را راه اندازی کنید و به هر سایتی بروید:

برای شروع استفاده از هر نکته بعدی در عمل ، ضبط آنلاین را متوقف کنید و فیلتر را ویرایش کنید.

نکته شماره 2 – بررسی ترافیک HTTP از یک آدرس IP مشخص

در این نکته ، ما ip == 192.168 را اضافه می کنیم. .0.10 && در بخش فیلتر برای نظارت بر ترافیک HTTP بین رایانه محلی و 192.168.0.10:►19659068 024 [19459029،0

نکته شماره 3 – بررسی ترافیک HTTP به آدرس IP مشخص شده

که به نوک شماره 2 نزدیک است ، در این حالت از ip.dst به عنوان بخشی از فیلتر ضبط به شرح زیر استفاده خواهیم کرد:

 ip.dst == 192.168.0.10 && http

برای ترکیب نکات 2 و 3 ، می توانید به جای ip.src یا ip.dst از ip.addr در قانون فیلتر استفاده کنید.

نکته 4. ترافیک شبکه Apache و MySQL را ردیابی کنید

گاهی علاقه مند خواهید شد که ترافیکی را ملاقات کنید که یک یا چند شرط را برآورده سازد.

برای مثال ، نظارت بر ترافیک از طریق درگاه های TCP 80 (وب سرور) و 3306 (سرور پایگاه داده MySQL / MariaDB ) می توانید از شرایط OR در فیلتر ضبط استفاده کنید:

 tcp.port == 80 || tcp.port == 3306

TIP # 5 – بستگی به آدرس IP مشخص شده را رد کرد

برای حذف بسته هایی که مطابق با قانون فیلتر نیست ، از استفاده کنید و این قانون را در پرانتز محصور کنید.

برای مثال ، برای حذف بسته ها ، از طریق آدرس IP مشخص شده یا به آدرس IP هدایت شده ، می توانید از این موارد استفاده کنید:

! (ip.addr == 192.168.0.10)

نکته شماره 6 – نظارت بر ترافیک LAN (192.168.0.0/24)►19659017.06.2012 قانون فیلتر زیر فقط ترافیک محلی را نشان می دهد و بسته هایی را که به اینترنت و اینترنت میروند حذف می کند:

 ip.src == 192.168.0.0 / 24 و ip.dst == 192.168.0.0 / 24

نکته شماره 7 – نظارت بر محتویات ارتباط TCP

برای بررسی محتوای گفتگوی TCP (تبادل داده) ، روی بسته مشخص شده کلیک راست کرده و گزینه stream TCP را انتخاب کنید.

یک پنجره با محتوای این ها ظاهر می شود

در صورت بررسی ترافیک وب ، و همچنین هرگونه اعتبارنامه متنی که در طی فرآیند وجود دارد ، هدرهای HTTP را شامل می شود.

نکته شماره 8 – در حال ویرایش قوانین رنگ آمیزی

اکنون من مطمئن هستم که قبلاً متوجه شده اید که هر خط در پنجره ضبط رنگی است. چک با متن قرمز روی زمینه سیاه.

اگر می خواهید این تنظیمات را تغییر دهید ، روی نماد ویرایش قوانین ویرایش کلیک کنید ، فیلتر مورد نظر خود را انتخاب کرده و روی "ویرایش" کلیک کنید.

]

TIP No. 9 – ذخیره کردن ضبط بسته در پرونده

ذخیره کردن محتوای یک بسته ، به ما امکان می دهد تا آن را با جزئیات بیشتری مطالعه کنیم.

برای این کار ، به File → Export بروید و قالب صادرات را از لیست انتخاب کنید. :

نکته # 10 – با نمونه های ضبط بسته

اگر فکر می کنید شبکه شما کسل کننده است ، Wireshark مجموعه ای از پرونده های نمونه ضبط را فراهم می کند که می توانید از آنها برای آموزش استفاده کنید /

شما می توانید این نمونه Saptac را بارگیری كرده و از طریق منو File → Impor را وارد كنید.