Pakettikytkentäisessä verkossa paketit edustavat tietokoneiden välillä siirrettäviä datayksiköitä. Sekä verkkoinsinöörien että järjestelmänvalvojien vastuulla on seurata ja tarkastaa paketteja tietoturva- ja vianmääritystarkoituksiin.
Tässä he tukeutuvat ohjelmiin, joita kutsutaan verkkopakettianalysaattoreiksi, joista Wireshark on ehkä suosituin ja käytetyin monipuolisuutensa ja helppokäyttöisyytensä vuoksi. Tämän lisäksi Wireshark mahdollistaa liikenteen reaaliaikaisen seurannan lisäksi myös sen tallentamisen tiedostoon myöhempää tarkastelua varten.
Related Read: Best Linux Bandwidth Monitoring Tools to Analyze Network Usage
Tässä artikkelissa jaamme 10 vinkkiä siitä, miten Wiresharkia voi käyttää verkon pakettien analysointiin, ja toivomme, että yhteenveto-osioon päästyäsi tunnet halukkuutta lisätä sen kirjanmerkkeihisi.
- Wiresharkin asentaminen Linuxissa
- Kaappausvaihtoehtojen asettaminen
- VINKKI #1 – Tarkastele HTTP-liikennettä
- VINKKI #2 – Tarkasta HTTP-liikennettä tietystä IP-osoitteesta
- VINKKI #3 – Tarkasta HTTP-liikennettä tiettyyn IP-osoitteeseen
- VINKKI #4 – Seuraa Apache- ja MySQL-verkkoliikennettä
- VINKKI #5 – Hylkää paketit annettuun IP-osoitteeseen
- TIP #6 – Paikallisverkon liikenteen valvonta (192.168.0.0/24)
- TIP #7 – Seuraa TCP-keskustelun sisältöä
- VINKKI #8 – Muokkaa värjäyssääntöjä
- TIP #9 – Tallenna kaappaus tiedostoon
- VINKKI #10 – Harjoittele kaappausnäytteiden avulla
- Yhteenveto
Wiresharkin asentaminen Linuxissa
Voidaksesi asentaa Wiresharkin, valitse käyttöjärjestelmällesi/arkkitehtuurillesi sopiva asennusohjelma kohdasta https://www.wireshark.org/download.html.
Erityisesti, jos käytät Linuxia, Wiresharkin on oltava saatavilla suoraan jakelusi repositorysta, jotta sen asentaminen on helpompaa, kun se sopii sinulle. Vaikka versiot voivat erota toisistaan, vaihtoehtojen ja valikoiden pitäisi olla samanlaisia – ellei jopa identtisiä jokaisessa.
------------ On Debian/Ubuntu based Distros ------------ $ sudo apt-get install wireshark------------ On CentOS/RHEL based Distros ------------$ sudo yum install wireshark------------ On Fedora 22+ Releases ------------$ sudo dnf install wireshark
Debianissa ja sen johdannaisissa on tunnettu bugi, joka saattaa estää verkkoliitäntöjen listaamisen, ellet käytä sudoa Wiresharkin käynnistämiseen. Voit korjata tämän noudattamalla tämän viestin hyväksyttyä vastausta.
Kun Wireshark on käynnissä, voit valita verkkoliitännän, jota haluat tarkkailla Capture-kohdassa:
Tässä artikkelissa käytämme eth0, mutta voit halutessasi valita jonkin muun. Älä napsauta käyttöliittymää vielä – teemme niin myöhemmin, kun olemme käyneet läpi muutamia kaappausvaihtoehtoja.
Kaappausvaihtoehtojen asettaminen
Hyödyllisimmät kaappausvaihtoehdot, joita tulemme tarkastelemaan, ovat:
- Verkkoliittymä – Kuten aiemmin selitimme, aiomme analysoida vain eth0:n kautta tulevia paketteja, joko saapuvia tai lähteviä.
- Kaappaussuodatin – Tämän vaihtoehdon avulla voimme ilmoittaa, millaista liikennettä haluamme seurata portin, protokollan tai tyypin mukaan.
Ennen kuin jatkamme vinkkien kanssa, on tärkeää huomata, että jotkut organisaatiot kieltävät Wiresharkin käytön verkoissaan. Tästä huolimatta, jos et hyödynnä Wiresharkia henkilökohtaisiin tarkoituksiin, varmista, että organisaatiosi sallii sen käytön.
Valitse toistaiseksi vain eth0 pudotusvalikosta ja napsauta Käynnistä-painiketta. Alat nähdä kaiken kyseisen rajapinnan kautta kulkevan liikenteen. Se ei ole kovin hyödyllinen valvontatarkoituksiin tarkastettavien pakettien suuren määrän vuoksi, mutta se on alku.
Yllä olevassa kuvassa näkyvät myös kuvakkeet, joilla voidaan luetella käytettävissä olevat liitännät, pysäyttää nykyinen kaappaus ja käynnistää se uudelleen (punainen laatikko vasemmalla) sekä määrittää ja muokata suodatin (punainen laatikko oikealla). Kun viet hiiren hiiren jommankumman kuvakkeen päälle, työkaluvihje ilmaisee, mitä se tekee.
Aloitamme havainnollistamalla kaappausvaihtoehtoja, kun taas vinkit #7 – #10 käsittelevät sitä, miten kaappauksella voi oikeasti tehdä jotain hyödyllistä.
VINKKI #1 – Tarkastele HTTP-liikennettä
Kirjoita suodatinlaatikkoon http ja napsauta Käytä. Käynnistä selaimesi ja siirry haluamallesi sivustolle:
Aloittaaksesi jokaisen seuraavan vinkin, pysäytä suorakaappaus ja muokkaa kaappaussuodatinta.
VINKKI #2 – Tarkasta HTTP-liikennettä tietystä IP-osoitteesta
Tässä nimenomaisessa vinkissä suodatinstansanaan kirjoitetaan etuliitteeksi ip==192.168.0.10&&, jotta voidaan tarkkailla paikallisen tietokoneen ja osoitteiden 192.168.0 ja 192.168.0 välistä HTTP-tietokonetta.10:
VINKKI #3 – Tarkasta HTTP-liikennettä tiettyyn IP-osoitteeseen
Liittyy läheisesti vinkkiin #2, mutta tässä tapauksessa käytämme ip.dst:a osana kaappaussuodatinta seuraavasti:
ip.dst==192.168.0.10&&http
Yhdistääksesi vinkit #2 ja #3 voit käyttää ip.addr suodatussäännössä ip.src tai ip.dst sijasta.
VINKKI #4 – Seuraa Apache- ja MySQL-verkkoliikennettä
Joskus olet kiinnostunut tarkastamaan liikennettä, joka vastaa jompaakumpaa (tai molempia) ehtoja lainkaan. Esimerkiksi TCP-porttien 80 (verkkopalvelin) ja 3306 (MySQL/MariaDB-tietokantapalvelin) liikenteen valvomiseksi voit käyttää OR-ehtoa kaappaussuodattimessa:
tcp.port==80||tcp.port==3306
Vinkeissä nro 2 ja 3 || ja sana tai tuottavat samat tulokset. Samoin && ja sana and.
VINKKI #5 – Hylkää paketit annettuun IP-osoitteeseen
Kun haluat sulkea pois paketit, jotka eivät vastaa suodatussääntöä, käytä ! ja sulje sääntö sulkujen sisään. Jos haluat esimerkiksi sulkea pois paketit, jotka ovat peräisin tietystä IP-osoitteesta tai jotka on ohjattu tiettyyn IP-osoitteeseen, voit käyttää:
!(ip.addr == 192.168.0.10)
TIP #6 – Paikallisverkon liikenteen valvonta (192.168.0.0/24)
Seuraava suodatussääntö näyttää vain paikallisen verkon liikenteen ja sulkee pois Internetiin menevät ja sieltä tulevat paketit:
ip.src==192.168.0.0/24 and ip.dst==192.168.0.0/24
TIP #7 – Seuraa TCP-keskustelun sisältöä
Voidaksesi tarkastaa TCP-keskustelun sisällön (datanvaihto) napsauta hiiren kakkospainikkeella tiettyä pakettia ja valitse Seuraa TCP-virtaa. Avautuu ikkuna, jossa näkyy keskustelun sisältö.
Tämä sisältää HTTP-otsikot, jos tarkastelemme verkkoliikennettä, ja myös mahdolliset prosessin aikana lähetetyt tavallisen tekstin tunnistetiedot, jos sellaisia on.
VINKKI #8 – Muokkaa värjäyssääntöjä
Tässä vaiheessa huomasit varmaan jo sen, että kaappausikkunan kukin rivi on värillinen. Oletusarvoisesti HTTP-liikenne näkyy vihreällä pohjalla mustalla tekstillä, kun taas tarkistussummavirheet näkyvät punaisella tekstillä mustalla pohjalla.
Jos haluat muuttaa näitä asetuksia, napsauta Muokkaa värityssääntöjä -kuvaketta, valitse kyseinen suodatin ja napsauta Muokkaa.
TIP #9 – Tallenna kaappaus tiedostoon
Tallentamalla kaappauksen sisällön voimme tutkia sitä tarkemmin. Voit tehdä tämän valitsemalla File → Export (Tiedosto → Vie) ja valitsemalla luettelosta vientimuodon:
VINKKI #10 – Harjoittele kaappausnäytteiden avulla
Jos verkko on mielestäsi ”tylsä”, Wireshark tarjoaa sarjan kaappausnäytetiedostojen esimerkkitiedostoja, joita voit käyttää harjoitteluun ja opiskeluun. Voit ladata nämä esimerkkikaappaukset ja tuoda ne Tiedosto → Tuo -valikon kautta.
Yhteenveto
Wireshark on ilmainen ja avoimen lähdekoodin ohjelmisto, kuten näet virallisen verkkosivuston UKK-osiosta. Voit määrittää kaappaussuodattimen joko ennen tarkastuksen aloittamista tai sen jälkeen.
Siltä varalta, ettet ole huomannut, suodattimessa on automaattinen täydennysominaisuus, jonka avulla voit helposti etsiä eniten käytettyjä vaihtoehtoja, joita voit muokata myöhemmin. Sen avulla taivas on rajana!