Wireshark ile ağ trafiğini yakalayın ve analiz edin

Tel köpekbalığı, gerçek zamanlı bir ağ analiz aracı, paketleri ve protokolleri gerçek zamanlı olarak yakalar ve bunları grafiksel ve listelenmiş biçimde görüntüler.
Wireshark, bir ağ üzerinde dolaşan paketlerin bir analizcisidir, bu yazılım Linux, Windows, OS X, Solaris üzerinde çalıştırılabilir.
Yazılımı resmi Wireshark sayfasından indirebiliriz, eğer Linux'a kurmak istersek zaten depolarda gelir.

Windows herhangi bir program gibi kurulduğu için bu dersimizde Linux için kuracağız, terminal penceresinden aşağıdaki komutları yazacağız:
 sudo apt-get install wireshark
Bir sunucuya kurmak ve yazılımı text formatında yönetmek isterseniz, text modda kurma seçeneğimiz var ve yazılımın adı Tshark. Bir terminal penceresinden kurmak için aşağıdaki komutları yazıyoruz:
 sudo apt-get install tshark
Daha sonra Wireshark'ı yönetici ayrıcalıklarıyla çalıştırmamız gerekecek çünkü ağa erişmek ve belirttiğimiz paketleri izleyebilmek için izinlere sahip olması gerekecek. Bizim durumumuzda, menüden veya terminalden başlamak için aşağıdaki komutu kullanacağız:
 gksudo tel köpek balığı
Bu, yönetici veya kök modunda erişmek için kullanıcı adı ve şifreyi soracaktır.

Başladığımızda mevcut ağlar olan bir Arayüzler Listesi görebiliriz, örnekte bir wifi ağımız wlan0 ve bir ethernet eth0 var, orada hangi ağı veya arayüzleri analiz etmek istediğimizi seçebiliriz.

Arayüz listesinin altında Yakalama Seçenekleri veya Yakalama Seçenekleri bulunur. Seçenekler, karışık modda ve yakalama modunda vb. analizleri içerir.
Yakalama seçenekleri içinde, ağ içinde hangi süreçlerin ve platformların veri alıp gönderdiğini görmek için hangi protokollerin ve hizmetlerin izleneceğini yapılandırabiliriz.

Bir izleme filtresi oluşturun


Filtreler çubuğunda, gerçekleştirmek istediğimiz izleme türünü yapılandırabiliriz, örneğin, arayüzler listesinden eth0'ı seçip Başlat'a basıyoruz, bir pencere açılacak ve yazılımın tüm paketleri nasıl yakaladığını göreceğiz. kullanıcı çoktur. Yazılım, sistem protokolleri, yani cihazlardan ve işletim sistemlerinden gelen dahili mesajlar dahil olmak üzere birçok protokolü yakalar.
Örneğin, Filtre'ye basıyoruz ve ardından HTTP'yi seçiyoruz, böylece trafiği yalnızca http protokolünden, yani 80 numaralı bağlantı noktası üzerinden web sayfaları sorgularından filtreliyoruz.
Tarayıcıyı ve Google Solvetic.com web sitesini açıyoruz, Wireshark bize bağlantı yapmak için üretilen http ve tcp verilerini gösterecek ve arama için tcp ve http protokollerinin kullanıldığını gördükten sonra web'i gösterecek.

Burada yapılan istekleri görebiliriz. Http filtresi içinde istekler, yanıtlar vb. gibi farklı protokol seçeneklerini görebiliriz. Http.request filtresini uygulayarak, tarayıcıda veya ağ üzerindeki tüm bilgisayarlarda gerçekleştirilen GET ve POST ile gelen tüm istek ve yanıtları elde etmek mümkündür, istekleri analiz ederek olası kötü niyetli faaliyetleri tespit edebiliriz.
Daha sonra yakalanan verileri analiz edeceğiz, yakalanan her öğeye tıkladığımızda veri paketi, yakalanan paketin boyutunu tanımlayan Çerçeve alanı, ne kadar zaman aldığı, ne zaman gönderildiği ve hangi yolla gönderildiği hakkında bilgi göreceğiz. arayüzler.
Ethernet II alanı, aşağıdakileri görürsek, veri bağlantı katmanında oluşturulan verilere aittir. OSI modeli, burada kaynak ve hedef, IP'ler, mac adresleri ve kullanılan protokol türü var.
İnternet Protokolü alanı bize IP adresleriyle birlikte IP datagramını gösterecektir, İletim Kontrol Protokolü veya TPC alanı TCP/IP iletim protokolünü tamamlayandır. Ardından, web iletişiminden oluşturulan verileri aldığımız HTTP başlıklarına sahibiz.
Tüm ağları ve bağlantıları yakalayacak şekilde yapılandırdığımız, filtrelediğimiz ve pop bağlantılarını, yani gelen postaları aradığımız listeyi gösterirken bir örnek göreceğiz.

POP bağlantılarının hepsinin bir IP'ye, yani posta hesaplarının bulunduğu bir VPS'ye olduğunu görüyoruz, bu yüzden orada iletişim kuruyor.
Bazı e-postalar gönderir ve ardından smtp protokolüne göre filtrelersek, sunucudan veya ağdaki her bilgisayardan gönderilen tüm mesajları, gönderildiği ve gönderildiği IP'si ile görürüz, web'i her zaman kullanabiliriz http: //www.tcpiputils.com, belirli bir IP'nin verilerini belirlemek için.
Uygulayabileceğimiz bir diğer filtre ise, trafiği oluşturan hangi DNS'lere başvurulduğunu görebilmek için DNS filtresidir.

Bu durumda birkaç arama yaptık ve Google'ın DNS'sini, Google haritalarının DNS'sini, Google yazı tiplerini, addons.mozilla'yı ve bir Facebook sohbetinin DNS'sini görebiliriz, IP'yi doğrulayacağız.

Ağımızdaki bir bilgisayarın Facebook sohbetine bağlı olduğunu tespit ediyoruz ve tam olarak ne zaman bağlandığını biliyoruz.
Daha sonra bir Mysql sunucusuna yapılan sorguları takip edeceğiz. Ağ yöneticilerinin normalde bir veritabanına yapılan sorgu günlüğü yoktur, ancak Wireshark kullanarak tüm sorguları takip edebilir ve bu günlüğü kaydedebilir ve bir listeyi sorgu günlüğü olarak görüntüleyebilirsiniz. Yalnızca SELECT'leri veya belirli bir ifadeyi görmek istiyorsak, mysql paketlerini filtrelemek için Mysql filtresini veya mysql.query'yi kullanmalıyız.
Yerel veritabanı sunucusuna bazı sorgular yapmaya çalışacağız ve Inner Join ile MySQL öğretici kombinasyonlarında kullandığımız bir veritabanı olan ücretsiz ve açık kaynak olan Sakila test veritabanını kullanarak.
Bir SQL sorgusu yapıyoruz ve Wireshark her sorguyu, sorgunun kaynak IP'sini, hedef IP'yi, sql sorgusunu, oturum açan kullanıcıyı kaydedecek.

Ayrıca paketlerden birini görürsek, bize ' adlı bir yazılımla erişildiğini söyler. Heidisql.exe ve güvenli olmayan veya şüpheli bir programdır.
Bu yazılımla uzak veritabanlarını yönetmek mümkün olsa da, sunucuya harici bağlantılara izin verilmesi gerekeceğinden en çok tavsiye edilen yöntem değildir.

Filtreler Tel köpekbalığı Çokturlar ve bir ağın tüm protokollerini ve ayrıca en popüler web sitesi protokollerini kapsarlar.
Paketler yakalandığında, ağ trafiğinde neler olduğunu analiz edebiliriz, bize verileri göstermek için analiz etmek istediğimiz pakete tıklamamız yeterlidir.
Bir POST paketine bir HTTP filtresi uygularsak ve söz konusu paket üzerinde sağ tuşa tıklarsak ve ardından açılır menüden Follow TCP Stream veya Follow TCP Flow seçeneklerini seçersek, bu bir web yapılırken üretilen her şeyi görmek anlamına gelir. sunucuya istek.
Sonuç olarak, istekte gerçekleştirilen tüm kod ve html işlemlerini elde ediyoruz, kullanıcı bir web sitesine erişmek için bir şifre girerse, bu yöntemle şifreyi ve kullandığım kullanıcıyı görebiliriz.

Wireshark'ın bir ağdaki çok sayıda protokolü ve hizmeti ve giren ve çıkan tüm paketleri izlediğini hesaba katarsak, analizör kodundaki bir hata riski, ne olduğunu bilmiyorsak ağın güvenliğini riske atabilir. Bu nedenle Wireshark'ın bize verdiği bilgilerin nasıl doğru yorumlanacağını bilmek önemlidir.Bu Eğitimi beğendiniz ve yardım ettiniz mi?Yazara olumlu puan vermek için bu düğmeye basarak yazarı ödüllendirebilirsiniz.
wave wave wave wave wave