Phenquestions
Ar jūs kada nors įsivaizdavote ar turėjote kuriozų, kaip atrodo tinklo srautas ? Jei tu padarei, tu ne vienas, aš taip pat. Tuo metu nelabai žinojau apie tinklų kūrimą. Kiek žinojau, kai prisijungiau prie „Wi-Fi“ tinklo, pirmiausia savo kompiuteryje įjungiau „Wi-Fi“ paslaugą, kad galėčiau nuskaityti galimą (-us) ryšį (-ius) aplink save. Tada bandžiau prisijungti prie „Wi-Fi“ prieigos taško, jei jis paprašė slaptažodžio, tada įveskite slaptažodį. Kai jis bus prijungtas, dabar galėčiau naršyti internete. Bet tada man įdomu, koks yra viso to scenarijus? Iš kur mano kompiuteris galėtų žinoti, ar aplink jį yra daug prieigos taškų? Net nesupratau, kur yra maršrutizatoriai. Kai mano kompiuteris prisijungė prie maršrutizatoriaus / prieigos taško, ką jie daro, kai naršau internete? Kaip šie įrenginiai (mano kompiuteris ir prieigos taškas) bendrauja tarpusavyje?
Tai įvyko, kai pirmą kartą įdiegiau savo „Kali Linux“. Mano tikslas įdiegus „Kali Linux“ buvo išspręsti visas problemas ir įdomybes, susijusias su „sudėtingomis technologijomis ar įsilaužimo metodais ir netrukus“. Man patinka procesas, man patinka dėlionės išardymo žingsnių seka. Aš žinojau terminus tarpinis serveris, VPN ir kiti ryšiai. Bet aš turiu žinoti pagrindinę idėją, kaip šie dalykai (serveris ir klientas) veikia, ir bendrauti, ypač mano vietiniame tinkle.
Aukščiau pateikti klausimai mane nukreipia į temą, tinklo analizę. Paprastai tai yra tinklo srauto uostymas ir analizavimas. Laimei, „Kali Linux“ ir kiti „Linux“ distributoriai siūlo galingiausią tinklo analizatoriaus įrankį, vadinamą „Wireshark“. Tai laikoma standartiniu „Linux“ sistemų paketu. „Wireshark“ turi daug funkcionalumo. Pagrindinė šios pamokos idėja yra tiesioginis tinklo užfiksavimas, duomenų išsaugojimas faile tolesniam (neprisijungus) analizės procesui.
1 ŽINGSNIS: ATIDARYKITE LAIDŲ RYŠĮ
Prisijungę prie tinklo, pradėkime nuo „wireshark“ GUI sąsajos atidarymo. Norėdami tai paleisti, tiesiog įveskite terminalą:
~ # wireshark
Pamatysite „Wireshark“ lango sveikinimo puslapį, jis turėtų atrodyti taip:
2 ŽINGSNIS: PASIRINKITE TINKLO GAVYJIMO SĄSAJĄ
Šiuo atveju mes prisijungėme prie prieigos taško per savo belaidės kortelės sąsają. Leiskite eiti į galvą ir pasirinkti WLAN0. Norėdami pradėti fiksuoti, spustelėkite Pradžios mygtukas („Blue-Shark-Fin“ piktograma), esanti kairiajame viršutiniame kampe.
3 ŽINGSNIS: TINKLŲ EISMO GAVIMAS
Dabar mes įtraukiame į „Live Capture WIndow“. Pirmą kartą matydami daugybę duomenų šiame lange galite jaustis priblokšti. Nesijaudinkite, aš tai paaiškinsiu po vieną. Šiame lange, daugiausia suskirstytame į tris langus, nuo viršaus iki apačios, tai yra: Paketų sąrašas, informacija apie paketus ir paketų baitai.
-
- Paketų sąrašo sritis
Pirmojoje srityje rodomas sąrašas, kuriame yra paketai dabartiniame fiksavimo faile. Joje rodoma lentelė ir stulpeliai: paketo numeris, užfiksuotas laikas, paketo šaltinis ir paskirties vieta, paketo protokolas ir kai kuri pakete rasta bendra informacija. - Paketo informacijos langas
Antrojoje srityje yra hierarchinis informacijos apie vieną paketą rodymas. Spustelėkite „sutrauktas ir išplėstas“, kad būtų rodoma visa surinkta informacija apie atskirą paketą. - „Packet Bytes“ sritis
Trečioje srityje yra užkoduoti paketiniai duomenys, paketas rodomas neapdorota, neapdorota forma.
- Paketų sąrašo sritis
4 ŽINGSNIS: NUSTOKITE fotografuoti ir išsaugokite .PCAP failas
Kai būsite pasirengę nustoti fiksuoti ir peržiūrėti užfiksuotus duomenis, spustelėkite Stop mygtukas „Raudonos kvadrato piktograma“ (yra šalia mygtuko Pradėti). Būtina išsaugoti failą tolesniam analizės procesui arba dalytis užfiksuotais paketais. Kai jis bus sustabdytas, tiesiog išsaugokite .Pcap failo formatas paspaudus Failas> Išsaugoti kaip> failo vardas.pcap.
Supratimas WIRESHARK CAPTURE FILTRŲ IR EKRANO FILTRŲ
Jūs jau žinote pagrindinį „Wireshark“ naudojimą, apskritai procesas užbaigiamas aukščiau pateiktu paaiškinimu. Norint rūšiuoti ir užfiksuoti tam tikrą informaciją, „Wireshark“ turi filtro funkciją. Yra dviejų tipų filtrai, kurių kiekvienas turi savo funkcionalumą: Užfiksuokite filtrą ir ekrano filtrą.
1. CAPTURE FILTRAS
„Capture“ filtras naudojamas konkretiems duomenims ar paketams užfiksuoti, jis naudojamas „Live Capture Session“, pavyzdžiui, jums reikia užfiksuoti tik vieno kompiuterio srautą 192.168.1.23 . Taigi, įveskite užklausą į fiksavimo filtro formą:
priimančioji 192.168.1.23
Pagrindinis „Capture“ filtro naudojimo pranašumas yra tas, kad galime sumažinti užfiksuoto failo duomenų kiekį, nes užuot užfiksavę bet kokį paketą ar srautą, mes nurodome arba apribojame tam tikrą srautą. „Capture filter“ valdo, kokio tipo duomenys sraute bus užfiksuoti, jei nenustatytas filtras, tai reiškia fiksuoti visus. Norėdami sukonfigūruoti fiksavimo filtrą, spustelėkite Fotografavimo parinktys mygtukas, esantis taip, kaip parodyta paveikslėlyje žymikliu, nukreiptu žemiau.
Apačioje pastebėsite Capture Filter Box, spustelėkite šalia langelio esančią žalią piktogramą ir pasirinkite norimą filtrą.
2. EKRANO FILTRAS
Kita vertus, ekrano filtras naudojamas analizuojant neprisijungus. Ekrano filtras labiau panašus į tam tikrų paketų, kuriuos norite pamatyti pagrindiniame lange, paieškos funkciją. Ekrano filtras valdo tai, kas matoma iš esamo paketų surinkimo, tačiau neturi įtakos srautui, kuris iš tikrųjų yra užfiksuotas. Ekrano filtrą galite nustatyti fiksuodami ar analizuodami. Pagrindinio lango viršuje pastebėsite langelį Ekrano filtras. Tiesą sakant, yra tiek daug filtrų, kuriuos galite pritaikyti, tačiau nenusiminkite. Norėdami pritaikyti filtrą, galite tiesiog įvesti filtro išraišką laukelyje arba pasirinkti iš esamo galimų filtrų sąrašo, kaip parodyta paveikslėlyje žemiau. Spustelėkite Išraiškos ... mygtukas šalia langelio Ekrano filtras.
Tada sąraše pasirinkite galimą „Display Filter“ argumentą. Ir pataikė Gerai mygtuką.
Dabar jūs turite idėją, kuo skiriasi „Capture Filter“ ir „Display Filter“, ir jūs žinote savo pagrindines „Wireshark“ savybes ir funkcionalumą.
