10 tipů, jak používat Wireshark k analýze paketů v síti

V každé síti s přepínáním paketů představují pakety jednotky dat, které jsou přenášeny mezi počítači. Povinností síťových inženýrů i správců systémů je tyto pakety monitorovat a kontrolovat pro účely zabezpečení a řešení problémů.

Pro tyto účely se spoléhají na softwarové programy zvané analyzátory síťových paketů, přičemž Wireshark je díky své univerzálnosti a snadnému použití asi nejoblíbenější a nejpoužívanější. Navíc Wireshark umožňuje nejen sledovat provoz v reálném čase, ale také jej ukládat do souboru pro pozdější kontrolu.

Související článek: Nejlepší nástroje pro sledování šířky pásma v Linuxu pro analýzu využití sítě

V tomto článku se s vámi podělíme o 10 tipů, jak používat Wireshark k analýze paketů v síti, a doufáme, že až se dostanete k části Shrnutí, budete mít chuť přidat si ji do záložek.

Instalace programu Wireshark v Linuxu

Pro instalaci programu Wireshark vyberte správný instalační program pro váš operační systém/architekturu z nabídky https://www.wireshark.org/download.html.

Zejména pokud používáte Linux, musí být Wireshark dostupný přímo z repozitářů vaší distribuce, abyste si mohli instalaci usnadnit podle svého uvážení. I když se verze mohou lišit, volby a nabídky by měly být v každé z nich podobné – ne-li totožné.

------------ On Debian/Ubuntu based Distros ------------ $ sudo apt-get install wireshark------------ On CentOS/RHEL based Distros ------------$ sudo yum install wireshark------------ On Fedora 22+ Releases ------------$ sudo dnf install wireshark

V Debianu a derivátech je známá chyba, která může znemožnit výpis síťových rozhraní, pokud ke spuštění Wiresharku nepoužijete sudo. Chcete-li to opravit, postupujte podle přijaté odpovědi v tomto příspěvku.

Jakmile je Wireshark spuštěn, můžete v části Capture vybrat síťové rozhraní, které chcete sledovat:

Wireshark Network Analyzer

V tomto článku budeme používat eth0, ale pokud chcete, můžete si vybrat jiné. Na rozhraní zatím neklikejte – uděláme to později, až si projdeme několik možností zachycení.

Nastavení možností zachycení

Nejužitečnější možnosti zachycení, které budeme zvažovat, jsou:

  1. Síťové rozhraní – Jak jsme si již vysvětlili, budeme analyzovat pouze pakety přicházející přes eth0, a to buď příchozí, nebo odchozí.
  2. Filtr zachycení – Tato volba nám umožňuje určit, jaký provoz chceme sledovat podle portu, protokolu nebo typu.

Než budeme pokračovat v tipech, je důležité upozornit, že některé organizace zakazují používání programu Wireshark ve svých sítích. To znamená, že pokud nepoužíváte Wireshark pro osobní účely, ujistěte se, že vaše organizace jeho použití povoluje.

Prozatím stačí vybrat eth0 z rozevíracího seznamu a klepnout na tlačítko Spustit u tlačítka. Začne se zobrazovat veškerý provoz procházející tímto rozhraním. Pro účely monitorování to není příliš užitečné vzhledem k velkému množství kontrolovaných paketů, ale pro začátek to stačí.

Monitorování provozu síťového rozhraní

Na výše uvedeném obrázku vidíme také ikony pro zobrazení seznamu dostupných rozhraní, zastavení aktuálního zachytávání a jeho opětovné spuštění (červené pole vlevo) a konfiguraci a úpravu filtru (červené pole vpravo). Po najetí na některou z těchto ikon se zobrazí nápověda, která informuje o tom, co daná ikona dělá.

Začneme tím, že si ukážeme možnosti zachycení, zatímco tipy č. 7 až 10 budou pojednávat o tom, jak se zachycením skutečně něco užitečného udělat.

TIP č. 1 – Kontrola provozu HTTP

Zadejte do pole filtru http a klepněte na tlačítko Použít. Spusťte prohlížeč a přejděte na libovolnou stránku:

Inspect HTTP Network Traffic

Pro zahájení každého dalšího tipu zastavte živé zachytávání a upravte filtr zachytávání.

TIP #2 – Inspect HTTP Traffic from a Given IP Address

V tomto konkrétním tipu předepíšeme ip==192.168.0.10&& do řádku filtru, abychom mohli sledovat provoz HTTP mezi místním počítačem a adresou 192.168.0.

TIP #2 – Inspect HTTP Traffic from a Given IP Address

.10:

Inspekce HTTP provozu na IP adrese

TIP č. 3 – Inspekce HTTP provozu na dané IP adrese

Také úzce souvisí s tipem č. 2, v tomto případě použijeme ip.dst jako součást filtru pro zachycení následujícím způsobem:

ip.dst==192.168.0.10&&http
Kontrola síťového provozu HTTP na IP adresu

Chcete-li zkombinovat tipy #2 a #3, můžete v pravidle filtru místo ip.src nebo ip.dst použít ip.addr.

TIP č. 4 – Sledování síťového provozu Apache a MySQL

Někdy budete mít zájem kontrolovat provoz, který vůbec odpovídá jedné z podmínek (nebo oběma). Chcete-li například sledovat provoz na portech TCP 80 (webový server) a 3306 (databázový server MySQL / MariaDB), můžete ve filtru zachycení použít podmínku OR:

tcp.port==80||tcp.port==3306
Sledovat provoz Apache a MySQL

V tipech č. 2 a 3 dávají || a slovo nebo stejné výsledky. Totéž platí pro && a slovo a.

TIP č. 5 – Odmítnutí paketů na danou IP adresu

Chcete-li vyloučit pakety neodpovídající pravidlu filtru, použijte ! a uzavřete pravidlo do závorek. Chcete-li například vyloučit balíčky pocházející z dané IP adresy nebo směřující na ni, můžete použít:

!(ip.addr == 192.168.0.10)

TIP #6 – Sledovat provoz v místní síti (192.168.0.0/24)

Následující pravidlo filtru zobrazí pouze místní provoz a vyloučí pakety směřující a přicházející z Internetu:

ip.src==192.168.0.0/24 and ip.dst==192.168.0.0/24
Sledovat provoz v místní síti

TIP #7 – Sledovat obsah konverzace TCP

Chcete-li zkontrolovat obsah konverzace TCP (výměnu dat), klikněte pravým tlačítkem myši na daný paket a vyberte možnost Sledovat tok TCP. Zobrazí se okno s obsahem konverzace.

Tento obsah bude zahrnovat hlavičky HTTP, pokud kontrolujeme webový provoz, a také případná textová pověření přenášená během procesu.

Monitorování konverzace TCP

TIP #8 – Úprava pravidel pro obarvení

Jistě jste si již všimli, že každý řádek v okně zachycení je barevný. Ve výchozím nastavení se provoz HTTP zobrazuje na zeleném pozadí s černým textem, zatímco chyby kontrolního součtu jsou zobrazeny červeným textem s černým pozadím.

Pokud chcete tato nastavení změnit, klikněte na ikonu Upravit pravidla obarvení, vyberte daný filtr a klikněte na tlačítko Upravit.

Přizpůsobení barev výstupu Wiresharku

TIP č. 9 – Uložení zachycení do souboru

Uložení obsahu zachycení nám umožní, abychom jej mohli podrobněji prozkoumat. Za tímto účelem přejděte na Soubor → Exportovat a ze seznamu vyberte formát exportu:

Uložit zachycení Wiresharku do souboru

TIP č. 10 – Procvičování s ukázkami zachycení

Pokud si myslíte, že je vaše síť „nudná“, Wireshark poskytuje řadu ukázkových souborů zachycení, které můžete použít k procvičování a učení. Tyto ukázkové snímky si můžete stáhnout a importovat je prostřednictvím nabídky Soubor → Importovat.

Shrnutí

Wireshark je bezplatný software s otevřeným zdrojovým kódem, jak se můžete přesvědčit v sekci FAQ na oficiálních webových stránkách. Filtr zachycení můžete nakonfigurovat buď před zahájením kontroly, nebo po ní.

Pokud jste si nevšimli, filtr má funkci automatického dokončování, která vám umožní snadno vyhledat nejpoužívanější možnosti, které můžete později přizpůsobit. Díky tomu se vám otevírají nekonečné možnosti!

Napsat komentář

Vaše e-mailová adresa nebude zveřejněna.