10 نکته در مورد نحوه استفاده از Wireshark برای تجزیه و تحلیل بسته ها در شبکه شما

در هر شبکه بسته بندی شده ، بسته ها واحدی از داده ها را که بین رایانه ها منتقل می شوند را نشان می دهند. این وظیفه مهندسان شبکه و مدیران سیستم به طور یکسان است که بسته ها را برای اهداف امنیتی و عیب یابی نظارت و بازرسی کنند.

برای انجام این کار ، آنها به برنامه های نرم افزاری موسوم به آنالایزر شبکه بسته ای متکی هستند که Wireshark به دلیل تطبیق پذیری و سهولت استفاده ، شاید محبوب ترین و مورد استفاده قرار گیرد. علاوه بر این ، Wireshark به شما امکان می دهد نه تنها بر ترافیک در زمان واقعی نظارت داشته باشید ، بلکه می توانید آن را برای بازرسی بعدی در یک پرونده ذخیره کنید.

در این مقاله 10 نکته در مورد نحوه استفاده از Wireshark برای تحلیل بسته های موجود در شبکه خود را با شما به اشتراک می گذاریم و امیدوارم با رسیدن به بخش Summary تمایل به اضافه کردن آن به نشانک های خود داشته باشید.

نصب Wireshark در لینوکس

برای نصب Wireshark ، نصب صحیح سیستم عامل یا معماری خود را از https://www.wireshark.org/download.html انتخاب کنید.

به ویژه ، اگر از لینوکس استفاده می کنید ، Wireshark باید مستقیماً از مخازن توزیع شما برای نصب آسان تر در دسترس شما در دسترس باشد. اگرچه ممکن است نسخه ها متفاوت باشند ، گزینه ها و منوها باید مشابه باشند - اگر در هر یک از آنها یکسان نباشد.

------------ On Debian/Ubuntu based Distros ------------ 
$ sudo apt-get install wireshark

------------ On CentOS/RHEL based Distros ------------
$ sudo yum install wireshark

------------ On Fedora 22+ Releases ------------
$ sudo dnf install wireshark

یک اشکال شناخته شده در Debian و مشتقات وجود دارد که ممکن است از لیست رابط های شبکه جلوگیری کند مگر اینکه برای راه اندازی Wireshark از sudo استفاده کنید. برای رفع این مشکل ، پاسخ پذیرفته شده را در این پست دنبال کنید.

پس از اجرای Wireshark ، می توانید رابط شبکه ای را که می خواهید زیر Capture کنترل کنید ، انتخاب کنید:

در این مقاله از eth0 استفاده خواهیم کرد ، اما در صورت تمایل می توانید یکی دیگر را انتخاب کنید. هنوز روی رابط کلیک نکنید - بعداً چند گزینه Capture را بررسی خواهیم کرد.

تنظیم گزینه های Capture 

مفیدترین گزینه های Capture ما در نظر خواهیم گرفت:

رابط شبکه - همانطور که قبلاً توضیح دادیم ، فقط بسته هایی را که از طریق eth0 وارد می شوند ، از طریق ورودی یا خروجی ، آنالیز خواهیم کرد.

Capture filter - این گزینه به ما این امکان را می دهد تا نوع پستی را که می خواهیم از طریق پورت ، پروتکل یا نوع مانیتور کنیم ، نشان دهیم.

قبل از اینکه به نکاتی بپردازیم ، لازم به ذکر است که برخی سازمان ها استفاده از Wireshark را در شبکه های خود منع می کنند. گفته می شود ، اگر از Wireshark برای اهداف شخصی استفاده نمی کنید ، مطمئن شوید که سازمان شما اجازه استفاده از آن را می دهد.

 

در حال حاضر ، فقط از لیست کشویی eth0 را انتخاب کرده و دکمه Start را بزنید. شما شروع به دیدن همه ی ترافیک های عبور از آن رابط خواهید کرد. به دلیل زیاد بودن بسته های مورد بررسی ، برای اهداف نظارت واقعاً مفید نیست ، اما این یک شروع است

در تصویر بالا همچنین می توان آیکون هایی را مشاهده کرد که رابط های موجود را لیست کنند ، ضبط فعلی را متوقف کرده و مجدداً آن را راه اندازی کنید (جعبه قرمز در سمت چپ) و پیکربندی و ویرایش یک فیلتر (جعبه قرمز در سمت راست). هنگامی که روی یکی از این نمادها شناور هستید ، یک ابزار نشان داده می شود تا آنچه را انجام می دهد را نشان دهد.

ما با نشان دادن گزینه های ضبط شروع خواهیم کرد ، در حالیکه نکات شماره 7 تا 10 درباره نحوه انجام کار مفید با ضبط صحبت خواهیم کرد.

نکته شماره 1 - بررسی ترافیک HTTP

http را در کادر فیلتر تایپ کنید و بر روی Apply کلیک کنید. مرورگر خود را راه اندازی کنید و به هر سایتی که مایل باشید بروید:

برای شروع هر نکته بعدی ، ضبط زنده را متوقف کنید و فیلتر ضبط را ویرایش کنید.

نکته شماره 2 - بررسی ترافیک HTTP از آدرس IP داده شده

در این نکته خاص ، ما برای نظارت بر ترافیک HTTP بین رایانه محلی و 192.168.0.10 آیپی ip == 192.168.0.10&& را به stanza filter اضافه خواهیم کرد:

نکته شماره 3 - بررسی ترافیک HTTP به یک آدرس IP داده شده

از نزدیک با شماره 2 مرتبط است ، در این حالت از ip.dst بعنوان بخشی از فیلتر ضبط به شرح زیر استفاده خواهیم کرد:

ip.dst==192.168.0.10&&http

برای ترکیب نکات شماره 2 و # 3 ، می توانید به جای ip.src یا ip.dst از قوانین فیلتر از ip.addr استفاده کنید.

نکته شماره 4 - بر ترافیک شبکه Apache و MySQL نظارت کنید

گاهی علاقه مند خواهید شد که از ترافیکی که با هر یک از شرایط (یا هر دو) مطابقت دارد بازرسی کنید. به عنوان مثال ، برای نظارت بر ترافیک در پورت های TCP 80 (وب سرور) و 3306 (سرور پایگاه داده MySQL / MariaDB) ، می توانید از یک شرایط OR در فیلتر ضبط استفاده کنید:

tcp.port==80||tcp.port==3306

نکته شماره 5 - بسته ها را به آدرس IP داده شده رد کنید

برای حذف بسته های مطابق با قانون فیلتر ، از ! استفاده کنید و قانون را درون پرانتز محصور کنید. به عنوان مثال ، برای حذف بسته هایی که از آدرس IP مشخص شده یا از آنها هدایت می شوند ، می توانید استفاده کنید:

!(ip.addr == 192.168.0.10)

نکته شماره 6 - نظارت بر ترافیک شبکه محلی (192.168.0.0/24)

قانون فیلتر زیر فقط ترافیک محلی را نشان می دهد و بسته هایی را که از طریق اینترنت می آیند ، رد می کند:

ip.src==192.168.0.0/24 and ip.dst==192.168.0.0/24

نکته شماره 7 - بر محتوای مکالمه TCP نظارت کنید

برای بازرسی از محتویات مکالمه TCP (تبادل داده) ، روی یک بسته داده شده راست کلیک کنید و دنبال کنید جریان TCP. پنجره ای با محتوای گفتگو ظاهر می شود.

در صورت بازرسی از ترافیک وب ، هدرهای HTTP را نیز شامل می شود ، و همچنین هرگونه گواهی متنی ساده که در صورت وجود ، منتقل می شود

نکته شماره 8 - قوانین رنگ آمیزی را ویرایش کنید

اکنون مطمئن هستم که قبلاً متوجه شده اید که هر سطر در پنجره ضبط رنگی است. به طور پیش فرض ، ترافیک HTTP در زمینه سبز با متن سیاه ظاهر می شود ، در حالی که خطاهای چک با متن قرمز با پس زمینه سیاه نشان داده می شود.

اگر می خواهید این تنظیمات را تغییر دهید ، روی نماد Edit ویرایش رنگ آمیزی قوانین کلیک کنید ، یک فیلتر داده شده را انتخاب کرده و روی Edit ویرایش کلیک کنید.

نکته شماره 9 - ضبط را در یک پرونده ذخیره کنید

صرفه جویی در محتویات ضبط به ما این امکان را می دهد تا بتوانیم با جزئیات بیشتر از آن بازرسی کنیم. برای این کار ، به File → Export بروید و یک قالب صادراتی را از لیست انتخاب کنید:

نکته شماره 10 - با نمونه گیری های ضبط تمرین کنید

اگر فکر می کنید شبکه شما "boring" است ، Wireshark مجموعه ای از پرونده های نمونه برداری را ارائه می دهد که می توانید از آنها برای تمرین و یادگیری استفاده کنید. می توانید این نمونه های SampleCaptures را بارگیری کرده و از طریق منوی File → Import آنها را وارد کنید.

خلاصه

Wireshark نرم افزار رایگان و منبع باز است ، همانطور که در بخش سؤالات متداول وب سایت رسمی مشاهده می کنید. می توانید قبل از شروع بازرسی یا قبل از شروع بازرسی ، یک فیلتر ضبط را پیکربندی کنید.

 

از این پست لذت بردید؟ با پیوستن به خبرنامه ما مطلع شوید!

نظرات

برای ارسال نظر باید وارد شوید.

درباره نویسنده