Jump to content
¯\_( ツ)_/¯
  • TAD GROUP are currently hiring penetration testers. Please read the topic in Career Central subforum.
  • Sponsored Ad
ТУК НЕ СЕ ПРЕДЛАГАТ ХАКЕРСКИ УСЛУГИ ! ×
Sign in to follow this  
Guest

WireShark

Recommended Posts

Guest

Какво е WIRESHARK ?

 

Wireshark, мрежов аналитичен инструмент, известен преди като Ethereal, улавя пакети в реално време и ги показва в човешки четиваем формат. Wireshark включва филтри, цветово кодиране и други функции, които ви позволяват да копаете дълбоко в мрежовия трафик и да инспектирате отделни пакети.

Този урок ще ви ускори с основите на улавянето на пакети, филтрирането им и инспектирането им. Можете да използвате Wireshark, за да инспектирате мрежовия трафик на подозрителната програма, да анализирате потока на трафика в мрежата си или да отстранявате проблеми с мрежата.

 

 

  • Получаване на Wireshark

 

Можете да изтеглите Wireshark за Windows или MacOS от официалния си уебсайт  https://www.wireshark.org/ .  Ако използвате Linux или друга UNIX-подобна система, вероятно ще намерите Wireshark в пакетите си за съхранение на пакети. Например, ако използвате Ubuntu, ще намерите Wireshark в софтуера на Ubuntu.

Само едно бързо предупреждение: Много организации не позволяват Wireshark и подобни инструменти в своите мрежи. Не използвайте този инструмент на работа, освен ако нямате разрешение.

 

  • Записване на пакети

След като изтеглите и инсталирате Wireshark, можете да го стартирате и да щракнете двукратно върху името на мрежовия интерфейс под Capture, за да започнете да записвате пакети на този интерфейс. Ако например искате да заснемете трафик във вашата безжична мрежа, щракнете върху вашия безжичен интерфейс. Можете да конфигурирате разширени функции, като кликнете върху Заснемане> Опции, но това не е необходимо за момента.

 

apm19KL.png

 

     

Щом кликнете върху името на интерфейса, ще видите, че пакетите започват да се показват в реално време. Wireshark улавя всеки пакет, изпратен до или от вашата система.

Ако имате променлив режим активиран - той е активиран по подразбиране - ще видите и всички останали пакети в мрежата, вместо само пакети, адресирани до вашия мрежов адаптер. За да проверите дали е активиран нежелан режим, кликнете върху Capture> Options и потвърдете, че в долната част на този прозорец е активирана квадратчето "Enable promiscuous mode on all interfaces".

 

pflLDvE.png

 

 

 Кликнете върху червения бутон "Stop" в горния ляв ъгъл на прозореца, когато искате да спрете заснемането на трафика.

 

 

8t6oaom.png

 

 

  • Цветово кодиране

Вероятно ще видите пакети, подчертани в различни цветове. Wireshark използва цветове, за да ви помогне да установите типовете трафик с един поглед. По подразбиране светло лилаво е TCP трафик, светло синьо е UDP трафик и черно идентифицира пакети с грешки - например, те биха могли да бъдат освободени от ред.

За да видите точно какви са цветните кодове, кликнете върху  View >  Coloring Rules. Също така можете да персонализирате и промените правилата за оцветяване оттук, ако желаете.

 

hC98yHk.png

 

 

Ако няма нищо интересно в собствената ви мрежа да проверявате, уикита на Wireshark ви покрива. Wiki  съдържа https://wiki.wireshark.org/SampleCaptures, който можете да заредите и проверите. Кликнете върху File > Open in Wireshark (Отвори в Wireshark) и прегледайте изтегления файл, за да го отворите.

Също така можете да запишете собствените си снимки в Wireshark и да ги отворите по-късно. Кликнете върху File  > Save , за да запазите вашите заловени пакети.

 

 

PFNIzKm.png

 

 

  • Филтриращи пакети

Ако се опитвате да проверите нещо конкретно, като например трафика, който програмата изпраща, когато позвънявате у дома, тя ви помага да затворите всички останали приложения, като използвате мрежата, за да стесните трафика. Все пак вероятно ще имате много пакети, за да пресетите. Точно там влизат филтрите на Wireshark.

Най-основният начин да приложите филтър е да го въведете в полето за филтриране в горната част на прозореца и да кликнете върху "Apply" (или натискането на "Enter"). Например, напишете "dns" и ще видите само DNS пакети. Когато започнете да пишете, Wireshark ще ви помогне да завършите автоматично филтъра си.

 

aoyJbq3.png

 

Също така можете да кликнете върху Analyze >  Display Filters , за да изберете филтър от филтрите по подразбиране, включени в Wireshark. Оттук можете да добавите свои собствени филтри и да ги запазите, за да имате лесен достъп до тях в бъдеще.

За повече информация относно езика за филтриране на дисплея на Wireshark прочетете страницата:  https://www.wireshark.org/docs/wsug_html_chunked/ChWorkBuildDisplayFilterSection.html

 

U6Bz2gh.png

 

 

Друго интересно нещо, което можете да направите, е да кликнете с десния бутон върху пакета и да изберете Follow> TCP Stream.

Ще видите пълния TCP разговор между клиента и сървъра. Можете също така да кликнете върху други протоколи в Follow menu, за да видите пълните разговори за други протоколи, ако има такива.

 

eayBKKA.png

 

 

  • Проверка на пакети

Кликнете върху packet to select, за да го изберете, и можете да го копаете, за да видите подробностите му.

 

 

jUrCiGA.png

 

 

Можете също така да създавате филтри оттук - просто кликнете с десния бутон на мишката върху една от детайлите и използвайте подменюто "Apply as Filter ", за да създадете филтър, базиран на него.

 

Rj8QlwY.png

 

 

Wireshark е изключително мощен инструмент, а този урок е само надраскване на повърхността на това, което можете да направите с него. Специалистите го използват за отстраняване на грешки при внедряването на мрежови протоколи, проучване на проблеми със сигурността и проверка на вътрешните мрежови протоколи.

По-подробна информация можете да намерите в длъжностното лице   https://www.wireshark.org/docs/wsug_html_chunked/   другите страници на документацията на уеб сайта на Wireshark. https://www.wireshark.org/docs/

 

 

Share this post


Link to post
Share on other sites
На 22.06.2017 г. at 15:59, DarkSteps написа:

Какво е WIRESHARK ?

 

Wireshark, мрежов аналитичен инструмент, известен преди като Ethereal, улавя пакети в реално време и ги показва в човешки четиваем формат. Wireshark включва филтри, цветово кодиране и други функции, които ви позволяват да копаете дълбоко в мрежовия трафик и да инспектирате отделни пакети.

Този урок ще ви ускори с основите на улавянето на пакети, филтрирането им и инспектирането им. Можете да използвате Wireshark, за да инспектирате мрежовия трафик на подозрителната програма, да анализирате потока на трафика в мрежата си или да отстранявате проблеми с мрежата.

 

 

  • Получаване на Wireshark

 

Можете да изтеглите Wireshark за Windows или MacOS от официалния си уебсайт  https://www.wireshark.org/ .  Ако използвате Linux или друга UNIX-подобна система, вероятно ще намерите Wireshark в пакетите си за съхранение на пакети. Например, ако използвате Ubuntu, ще намерите Wireshark в софтуера на Ubuntu.

Само едно бързо предупреждение: Много организации не позволяват Wireshark и подобни инструменти в своите мрежи. Не използвайте този инструмент на работа, освен ако нямате разрешение.

 

  • Записване на пакети

След като изтеглите и инсталирате Wireshark, можете да го стартирате и да щракнете двукратно върху името на мрежовия интерфейс под Capture, за да започнете да записвате пакети на този интерфейс. Ако например искате да заснемете трафик във вашата безжична мрежа, щракнете върху вашия безжичен интерфейс. Можете да конфигурирате разширени функции, като кликнете върху Заснемане> Опции, но това не е необходимо за момента.

 

apm19KL.png

 

     

Щом кликнете върху името на интерфейса, ще видите, че пакетите започват да се показват в реално време. Wireshark улавя всеки пакет, изпратен до или от вашата система.

Ако имате променлив режим активиран - той е активиран по подразбиране - ще видите и всички останали пакети в мрежата, вместо само пакети, адресирани до вашия мрежов адаптер. За да проверите дали е активиран нежелан режим, кликнете върху Capture> Options и потвърдете, че в долната част на този прозорец е активирана квадратчето "Enable promiscuous mode on all interfaces".

 

pflLDvE.png

 

 

 Кликнете върху червения бутон "Stop" в горния ляв ъгъл на прозореца, когато искате да спрете заснемането на трафика.

 

 

8t6oaom.png

 

 

  • Цветово кодиране

Вероятно ще видите пакети, подчертани в различни цветове. Wireshark използва цветове, за да ви помогне да установите типовете трафик с един поглед. По подразбиране светло лилаво е TCP трафик, светло синьо е UDP трафик и черно идентифицира пакети с грешки - например, те биха могли да бъдат освободени от ред.

За да видите точно какви са цветните кодове, кликнете върху  View >  Coloring Rules. Също така можете да персонализирате и промените правилата за оцветяване оттук, ако желаете.

 

hC98yHk.png

 

 

Ако няма нищо интересно в собствената ви мрежа да проверявате, уикита на Wireshark ви покрива. Wiki  съдържа https://wiki.wireshark.org/SampleCaptures, който можете да заредите и проверите. Кликнете върху File > Open in Wireshark (Отвори в Wireshark) и прегледайте изтегления файл, за да го отворите.

Също така можете да запишете собствените си снимки в Wireshark и да ги отворите по-късно. Кликнете върху File  > Save , за да запазите вашите заловени пакети.

 

 

PFNIzKm.png

 

 

  • Филтриращи пакети

Ако се опитвате да проверите нещо конкретно, като например трафика, който програмата изпраща, когато позвънявате у дома, тя ви помага да затворите всички останали приложения, като използвате мрежата, за да стесните трафика. Все пак вероятно ще имате много пакети, за да пресетите. Точно там влизат филтрите на Wireshark.

Най-основният начин да приложите филтър е да го въведете в полето за филтриране в горната част на прозореца и да кликнете върху "Apply" (или натискането на "Enter"). Например, напишете "dns" и ще видите само DNS пакети. Когато започнете да пишете, Wireshark ще ви помогне да завършите автоматично филтъра си.

 

aoyJbq3.png

 

Също така можете да кликнете върху Analyze >  Display Filters , за да изберете филтър от филтрите по подразбиране, включени в Wireshark. Оттук можете да добавите свои собствени филтри и да ги запазите, за да имате лесен достъп до тях в бъдеще.

За повече информация относно езика за филтриране на дисплея на Wireshark прочетете страницата:  https://www.wireshark.org/docs/wsug_html_chunked/ChWorkBuildDisplayFilterSection.html

 

U6Bz2gh.png

 

 

Друго интересно нещо, което можете да направите, е да кликнете с десния бутон върху пакета и да изберете Follow> TCP Stream.

Ще видите пълния TCP разговор между клиента и сървъра. Можете също така да кликнете върху други протоколи в Follow menu, за да видите пълните разговори за други протоколи, ако има такива.

 

eayBKKA.png

 

 

  • Проверка на пакети

Кликнете върху packet to select, за да го изберете, и можете да го копаете, за да видите подробностите му.

 

 

jUrCiGA.png

 

 

Можете също така да създавате филтри оттук - просто кликнете с десния бутон на мишката върху една от детайлите и използвайте подменюто "Apply as Filter ", за да създадете филтър, базиран на него.

 

Rj8QlwY.png

 

 

Wireshark е изключително мощен инструмент, а този урок е само надраскване на повърхността на това, което можете да направите с него. Специалистите го използват за отстраняване на грешки при внедряването на мрежови протоколи, проучване на проблеми със сигурността и проверка на вътрешните мрежови протоколи.

По-подробна информация можете да намерите в длъжностното лице   https://www.wireshark.org/docs/wsug_html_chunked/   другите страници на документацията на уеб сайта на Wireshark. https://www.wireshark.org/docs/

 

 

 

Share this post


Link to post
Share on other sites

Супер. А как може да се настрои да лови пакети и от други устройства в дадена локална мрежа? Примерно ако искам да видя какво се изпраща към телефона ми докато е вързан към рутера с който също е свързан компютъра от който използвам програмата. За момента виждам само пакети от машината на която съм инсталирал wireshark.

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

  • Recently Browsing   0 members

    No registered users viewing this page.

×
×
  • Create New...

Important Information

By using this site, you agree to our Terms of Use. We have placed cookies on your device to help make this website better. You can adjust your cookie settings, otherwise we'll assume you're okay to continue.