Жарознижуючі засоби для дітей призначаються педіатром. Але бувають ситуації невідкладної допомоги при лихоманці, коли дитині потрібно дати ліки негайно. Тоді батьки беруть на себе відповідальність і застосовують жарознижуючі препарати. Що дозволено давати дітям грудного віку? Чим можна збити температуру у дітей старшого віку? Які ліки найбезпечніші?
Wireshark: як користуватися?
Привіт, друзі! У цій статті я спробую пояснити і розповісти про сам необхідний, що потрібно знати при використанні Wireshark на Linux, І покажу аналіз трьох типів мережевого трафіку. Даний мануал застосуємо і для роботи Wireshark під Windows.
Якщо ви новачок в інформаційної безпеки, І зовсім добре розумієте що таке сниффер (аналізатор трафіку), раджу почитати статтю, і тільки потім читати цю статтю про те як користуватися Wireshark.
Дуже популярний і надзвичайно вмілий аналізатор мережевого протоколу, Який розробив Джеральд Комбс, Wireshark з'явився в червні 2006 року, коли Комбс перейменував мережевий інструмент Ethereal, також створений ним, оскільки змінив роботу і не міг більше використовувати стару назву. Сьогодні більшість використовують Wireshark, a Ethereal став історією.
Wireshark: кращий сниффер
Ви, можливо, запитаєте, чому Wireshark відрізняється від інших мережевих аналізаторів - крім того, що він вільний - і чому б нам просто не почати пропагувати застосування tcpdump для захоплення пакетів?
Основна перевага Wireshark в тому, що це графічне додаток. Збір даних і перевірка мережевого трафіку в інтерфейсі - дуже зручна штука, так як дозволяє розібратися зі складними мережевими даними.
Як користуватися Wireshark?
Щоб новачок зміг розібратися з Wireshark, йому потрібно зрозуміти мережевий трафік. У такому випадку мета цієї статті полягає в роз'ясненні вам основ TCP / IP, щоб ви змогли зробити потрібні висновки з мережевого трафіку, який аналізуєте.
Формат пакета TCP і пакета IP. Якщо ви запускаєте Wireshark від імені звичайного користувача, ви не зможете використовувати мережеві інтерфейси для збору даних через наявні в мережеві інтерфейси дозволів файлу Unix за замовчуванням. Зручніше запускати Wireshark від імені root (sudo wireshark) при зборі даних і від імені звичайного користувача-для аналізу даних.
В якості альтернативи можете зібрати мережеві дані за допомогою утиліти командного рядка tcpdump від імені root і потім проаналізувати їх з допомогою Wireshark. Будь ласка, не забувайте, що збір даних за допомогою Wireshark в сильно завантаженої мережі може уповільнити роботу комп'ютера, або, що ще гірше, не дозволити зібрати потрібні дані, тому що Wireshark вимагає більше системних ресурсів, ніж програма командного рядка. У подібних випадках самим розумним рішенням для збору даних з мережевого трафіку буде використання tcpdump.
Захоплення мережевих даних за допомогою Wireshark
Найпростіший спосіб приступити до захоплення даних мережевих пакетів- вибрати після запуску Wireshark потрібний вам інтерфейс і натиснути на Start. Wireshark покаже дані про мережі на вашому екрані в залежності від трафіку вашої мережі. Зверніть увагу: можна вибрати більше одного інтерфейсу. Якщо ви нічого не знаєте про TCP, IP або інших протоколах, результат може здатися вам складним для читання і розуміння.
Щоб припинити процес захоплення даних, виберіть у меню Capture> Stop. В якості альтернативи, можете натиснути на четвертий значок зліва, з червоним квадратиком (це скорочення від «Припинити захоплення даних live») в панелі інструментів Main (врахуйте, його точне розташування залежить від наявної у вас версії Wireshark). На цю кнопку можна натискати тільки в процесі збору мережевих даних.
При використанні описаного методу захоплення даних ви не можете змінити налаштовані в Wireshark за замовчуванням Capture Options [Опції захоплення]. Ви можете побачити і змінити Capture Options, вибравши в меню Capture> Options. Тут можна вибрати інтерфейс (и) мережі, подивитися свій IP-адресу, застосувати фільтри збору даних, перевести свою мережеву карту в режим прийому всіх мережевих пакетів і зберегти зібрані дані в один або кілька файлів. Ви навіть можете веліти припиняти захоплення пакетів після досягнення певного числа мережевих пакетів, або певного часу, або певного обсягу даних (в байтах).
За замовчуванням Wireshark не зберігаються зібрані дані, але ви завжди можете зберегти їх пізніше. Вважається, що найкраще спочатку зберегти, а потім вивчати мережеві пакети, якщо тільки у вас немає якихось особливих причин зробити інакше.
Wireshark дозволяє читати і аналізувати вже зібрані мережеві дані з великого числа файлових форматів, В тому числі tcpdump, libpcap, snoop від Sun, nettl від HP, текстових файлів К12, і т.д. Коротше, за допомогою Wireshark можна читати практично будь-який формат зібраних мережевих даних. Подібним же чином Wireshark дозволяє зберігати зібрані дані в різних форматах. Можна навіть використовувати Wireshark для конверсії файлу з одного формату в інший.
Ви також можете експортувати існуючий файл у вигляді простого текстового файлуз меню File. Ця опція призначена в першу чергу для обробки мережевих даних вручну або їх введення в іншу програму.
Передбачена опція роздруківки ваших пакетів. В реальному житті я ніколи нею не користувався, проте в освітніх цілях буває дуже корисно роздрукувати пакети і їх повне вміст.
Фільтри відображення Wireshark
Якщо під час захоплення мережевих даних застосовуються фільтри захоплення, то Wireshark не враховує мережевий трафік, який не відповідає фільтру; тоді як фільтри відображення застосовуються після захоплення даних і «ховають» мережевий трафік, не видаляючи його. Ви завжди можете відключити Display filter і повернути свої приховані дані.
В принципі, фільтри відображення вважаються більш корисними і різнобічними, ніж фільтри збору даних, тому що ви навряд чи знаєте заздалегідь, яку інформацію ви зберете або вирішите вивчити. Однак використання фільтрів при захопленні даних економить ваш час і місце на диску, що і є головною причиною їх застосування.
Wireshark виділяє синтаксично правильний фільтр світло-зеленим фоном. Якщо синтаксис містить помилки, фон рожевіє.
Фільтри відображення підтримують оператори порівняння і логічні оператори. Фільтр відображення http.response.code
Три пакета (SYN, SYN + ACK і АСК) трехзтапной установки з'єднання TCP 404 && ip.addr == 192.168.1.1 показує трафік, який або йде з IP-адреси 192.168.1.1, або йде на IP-адресу 192.168.1.1, який також має в собі код відгуку 404 (Not Found) HTTP. Фільтр! Ьоо1р &&! Ip &&! Агр виключає з результату трафік BOOTP, IP і ARP. Фільтр eth.addr == 01: 23: 45: 67: 89: ab && tcp.port == 25 відображає трафік йде від або до інших мережних пристроїв з MAC-адресою 01: 23: 45: 67: 89: ав, яке використовує у вхідних і вихідних з'єднаннях порт TCP за номером 25.
Пам'ятайте, що фільтри відображення не вирішують проблеми чарівним чином. При правильному використанні це виключно корисні інструменти, але вам все одно доведеться інтерпретувати результати, знаходити проблему і самому обмірковувати відповідне рішення.
Продовження статті на наступній сторінці. Для переходу на наступну сторінку натисніть на кнопку 2 яка знаходиться під кнопками соціальних мереж.
Всім привіт! Продовжую знайомство з WireShark.
Вайршарк можна знайти на нашій файлопомойка, про всяк випадок ось посилання.
Сьогодні ми будемо вчитися відновлювати файли, передані по мережі маючи дамп трафіку.
Перш за все, відкриємо навчальний дамп із захопленим трафіком FTP. Відкриваємо файл стандартно, File -> Open.
Кліком правою кнопкою миші на першому пакеті ми отримаємо контекстне меню, в якому потрібно вибрати пункт Follow TCP Stream, тобто зібрати воєдино всю сесію:
Тут ми побачимо вікно, в якому відображені всі FTP-команди і відповіді, які передавалися в цій сесії. Звернемо увагу на виділені ділянки.
- Запитуємо розмір файлу "OS Fingerpringing with ICMP.zip". Сервер повідомляє: 610078 байт (пізніше ми це перевіримо);
- запитуємо передачу цього файлу.
Отже, нас цікавить цей файл (припустимо), тому очищаємо фільтр (якщо він не порожній) і дивимося дамп. Ось я виділив місце, де передавалася команда RETR (отримання файлу), а слідом - відкрилася нова сесія на порт FTP-DATA, тобто передача даних. Збираємо цю сесію за відомою схемою (див. Вище).
Тут вже малочітаемом варіант, якісь закарлючки замість тексту. Це нам і потрібно, будемо зберігати ці дані в RAW форматі в файл.
Як ім'я можемо дати все, що завгодно. Але пам'ятаємо з історії команд, що передавався ZIP-архів. Я назвав його 1.zip і помістив на робочий стіл. Ви можете зробити так само.
Тепер файл можна відкрити! Як бачите, це реальний ZIP-архів, у якому перебувають інші файли. Цілком можливо таким же чином відновлювати передачу зображень по HTTP-протоколу, HTML-код веб-сторінок і т.д.
Сподіваюся, ці знання будуть вами використовуватися на благо. А тепер, до речі, зверніть увагу на розмір отриманого архіву. У точності до байта збігається зі значеннями, відданими сервером.
Друзі! Вступайте в нашу групу Вконтакте , щоб не пропуститинові статті! хочете сказати спасибі ? Ставте Like, робіть репост! Це найкраща нагорода для мене від вас! Так я дізнаюся про те, що статті подібного роду вам цікаві й пишу частіше і з великим ентузіазмом!
Також, підписуйтесь на наш канал в YouTube! Відео викладаються досить регулярно і буде здорово побачити щось одним з перших!
Вам так само сподобається:
Квести адміна # 4: Перехоплення пароля через WireShark
До того як ми почнемо вчитися зламувати інші мережі то потрібно вміти контролювати свою мережу і розуміти що це мережевий трафік і як його фільтрувати. Wireshark ідеально підходить для цього оскільки могутніше його поки що ніщо не придумали, і як ви вже здогадуєтеся мова піде саме про нього. Wireshark є ідеальному зброєю для аналізу і захоплення мережевих пакетів в реальному часі. Але головне те що він показує їх в дуже зручному форматі для читання.
Wireshark оснащений безліччю фільтрів, колірним кодуванням і також безліч інших функції, які дозволяють поринути в мережевий трафік і перевіряти індивідуальні пакети.
Увімкніть уяву!
Даю приклад:
допустимо ви підключилися до чужої мережі і вам потрібно дізнатися чим вони користуються що і як проходить через мережу? Wireshark ідеальне рішення. Вивчивши пакети ви з легкістю дізнаєтеся всі потрібні дані. Але це був всього лише приклад кожен може його використовувати по свою нужду!
Applications >> Internet >> Wireshark
Як ви бачите у нього приємне меню і начебто все зрозуміло. Але насправді це дуже складний атрибут. Для початку пройдемося по базових функцій.
Вибираємо підключену мережу і натискаємо старт. Як ви бачите почалося загарбання пакетів і відображення всього трафіку з вашої мережі.
Для того щоб зупинити захоплення трафіку натискаємо на кнопку « Stop the running live capture «
Як ви вже помітили кольору трафіку різні і це дуже цікаво що вони позначають. Wireshark використовує різні кольори щоб допомогти нам дізнатися різні види трафіку.
Ми можемо вписати потрібний нам трафік для фільтрування в розділі « Filter:»І Wireshark сам даватиме нам підказки або можемо вибрати натиснувши на« Expression «
Ми також можемо створити свій власний фільтр натиснувши на Analyze >> Display filters
Якщо ви побачили потрібний пакет ви можете подивитися його вміст.
А також можна подивитися весь вміст пакету, а також всі дані про нього.
Як ви вже зрозуміли це дуже сильна штука для перегляду трафіку. Його дуже широко використовують багато професіоналів для вирішення проблем в мережі і розробці мереж.
Це всього лише початок, слідкуйте за оновленнями статей так як ми повністю зрозумілим є й розберемо по шматках цей атрибут.
Вступ
В роботі комп'ютерної мережіі мережевого стека вузлів іноді виникають проблеми, причини яких важко виявити загальновідомими утилітами збору статистики (такими наприклад, як netstat) і стандартними додаткамина основі протоколу ICMP (ping, traceroute / tracert і т.п.). У подібних випадках для діагностики неполадок часто доводиться використовувати більш специфічні засоби, які дозволяють відобразити (прослухати) мережевий трафік і проаналізувати його на рівні одиниць передачі окремих протоколів ( «Сніффінг», sniffing).
аналізатори мережевих протоколів або «Сніфери»є виключно корисними інструментами для дослідження поведінки мережевих вузлів і виявлення неполадок в роботі мережі. Зрозуміло, як і будь-яке засіб, наприклад гострий ніж, сниффер може бути як благом в руках системного адміністратораабо інженера з інформаційної безпеки, так і знаряддям злочину в руках комп'ютерного зловмисника.
Подібне спеціалізоване програмне забезпечення зазвичай використовує «Безладний» (promiscuos) режим роботи мережевого адаптера комп'ютера-монітора (зокрема, для перехоплення трафіку мережевого сегмента, порту комутатора або маршрутизатора). Як відомо, суть даного режиму зводиться до обробки всіх, хто приходить на інтерфейс фреймів, А не тільки призначених MAC-адресу мережевої карти і широкомовних, як це відбувається в звичайному режимі.
Розглянутий в даній статті продукт Wiresharkє широко відомим інструментом перехоплення і інтерактивного аналізу мережевого трафіку, фактично, стандартом в промисловості та освіті. До ключовими особливостями Wiresharkможна віднести: многоплатформенность (Windows, Linux, Mac OS, FreeBSD, Solaris і ін.); можливості аналізу сотень різних протоколів; підтримку як графічного режиму роботи, так і інтерфейсу командного рядка (утиліта tshark); потужну системуфільтрів трафіку; експорт результатів роботи в формати XML, PostScript, CSV і т. д.
Важливим фактом є також те, що Wireshark - це програмне забезпечення з відкритим вихідним кодом, яке розповсюджується під ліцензією GNU GPLv2, Т. Е. Ви можете вільно використовувати цей продукт на свій розсуд.
установка Wireshark
Останню версію Wireshark для операційних систем Windowsі OS X, а також вихідний кодможна, можливо скачати з сайту проекту. Для дистрибутивів Linux і BSD-систем, даний продукт зазвичай доступний в стандартних або додаткових репозиторіях. Опубліковані в даній статті знімки екранів зроблені з версії 1.6.2 Wireshark для Windows. Більш ранні версії програми, які можна знайти в репозиторіях Unix-подібних операційних систем, також можна успішно використовувати, так як Wireshark давно вже стабільний і функціональний продукт.
Робота Wireshark базується на бібліотеці Pcap (Packet Capture), Що надає собою прикладний інтерфейс програмування для реалізації низькорівневих функцій взаємодії з мережевими інтерфейсами(Зокрема перехоплення і генерації довільних одиниць передачі мережевих протоколів і протоколів локальних мереж). Бібліотека Pcap є також основою таких відомих мережевих засобів, як tcpdump, snort, nmap, kismet і т. Д. Для Unix-подібних систем Pcap зазвичай присутній в стандартних репозиторіях програмного забезпечення. Для сімейства операційних систем Windows існує версія Pcap, яка називається Winpcap. її можна скачати з сайту проекту. Втім, зазвичай в цьому немає необхідності, так як бібліотека Winpcap включена в пакет установки Wireshark для Windows.
Процес установки програми не складний для будь-якої операційної системи, З поправкою, зрозуміло, на специфіку використовуваної Вами платформи. Наприклад, Wireshark в Debian / Ubuntu встановлюється так, що непривілейованих користувачі за замовчуванням не мають права перехоплювати пакети, тому програму потрібно запускати з використанням механізму зміни ідентифікатора користувача sudo (або ж зробити необхідні маніпуляції згідно з документацією стандартного DEB-пакета).
Ази роботи c Wireshark
Інтерфейс Wireshark побудований на основі бібліотеки GTK +(GIMP Toolkit). Головне вікно програми включає наступні елементи: меню, панелі інструментів і фільтрів перегляду, список пакетів, детальний опис обраного пакета, відображення байтів пакета (в шістнадцятковій формі і у вигляді тексту) і рядок стану:
Слід зазначити, що призначений для користувача інтерфейс програми добре опрацьований, досить ергономічний і цілком інтуїтивний, що дозволяє користувачеві сконцентруватися на вивченні мережевих процесів, не відволікаючись на дрібниці. Крім того, всі можливості і подробиці використання Wireshark детально описані в керівництві користувача. Тому в цій статті основну увагу приділено функціональними можливостямирозглянутого продукту, його особливостям в порівнянні іншими сніффером, наприклад, з відомою консольної утилітою tcpdump.
Отже, ергономіка Wireshark відображає багаторівневий підхід до забезпечення мережевих взаємодій. Все зроблено таким чином, що, вибравши мережевий пакет зі списку, користувач отримує можливість переглянути всі заголовки (шари), а також значення полів кожного шару мережевого пакету, починаючи від обгортки - кадру Ethernet, безпосередньо IP-заголовка, заголовка транспортного рівня і даних прикладного протоколу, що містяться в пакеті.
Вихідні дані для обробки можуть бути отримані Wireshark в режимі реального часу або імпортовані з файлу дампа мережевого трафіку, причому кілька дампов для задач аналізу можна «на льоту» об'єднати в один.
Проблема пошуку необхідних пакетів у великих обсягах перехопленого трафіку вирішується двома типами фільтрів: збору трафіку (capture filters)і його відображення (display filters). Фільтри збору Wireshark засновані на мові фільтрів бібліотеки Pcap, тобто синтаксис в даному випадку аналогічний синтаксису утиліти tcpdump. Фільтр являє собою серію примітивів, об'єднаних, якщо це необхідно, логічними функціями (and, or, not). Часто використовувані фільтри можна зберігати в профілі для повторного використання.
На малюнку показаний профіль фільтрів збору Wireshark:
Аналізатор мережевих пакетів Wireshark також має свій простий, але багатофункціональний мова фільтрів відображення. Значення кожного поля в заголовку пакета може бути використано як критерій фільтрації(Наприклад, ip.src - IP-адреса джерела в мережевому пакеті, frame.len - довжина Ethernet-фрейми і т.д.). За допомогою операцій порівняння значення полів можна зіставляти заданим величинам(Наприклад, frame.len а кілька виразів об'єднувати логічними операторами (наприклад: ip.src == 10.0.0.5 and tcp.flags.fin). хорошим помічникомв процесі конструювання виразів є вікно настройки правил відображення (Filter Expression):
Засоби аналізу мережевих пакетів
Якщо протоколи без встановлення з'єднання можливо досліджувати простим переглядом окремих пакетів і розрахунком статистики, то вивчення роботи орієнтованих на з'єднання протоколів суттєво спрощується при наявності додаткових можливостейаналізу ходу мережевих взаємодій.
Одною з корисних функцій Wireshark є пункт «Follow TCP Stream»(Буквально, «Слідувати за TCP-потоком») підміню аналізу «Analyze», що дозволяє отримати дані прикладного протоколу з TCP-сегментів потоку, якому належить обраний пакет:
Ще один цікавий пункт підміню аналізу - «Expert Info Composite», Що викликає вікно вбудованої експертної системи Wireshark, яка спробує виявити помилки і зауваження у пакетах, автоматично виділити з дампа окремі сполуки і охарактеризувати їх. Даний модуль знаходиться в процесі розробки і вдосконалюється від версії до версії програми.
У підміню статистики «Statistics»зібрані опції, що дозволяють розрахувати всілякі статистичні характеристики досліджуваного трафіку, побудувати графіки інтенсивності мережевих потоків, проаналізувати час відгуку сервісів і т.д. Так, пункт «Protocol Hierarchy»відображає статистику у вигляді ієрархічного списку протоколів із зазначенням процентного відношення до загального трафіку, кількості пакетів і байт, переданих даним протоколом.
функція «Endpoint»дає багаторівневу статистику по вхідному / вихідного трафіку кожного вузла. пункт «Conversations»(Буквально, «розмови») дозволяє визначити обсяги трафіку різних протоколів (канального, мережевого і транспортного рівня моделі взаємодії відкритих систем), Переданого між взаємодіяти один з одним вузлами. функція «Packet Lengths»відображає розподіл пакетів по їх довжині.
пункт «Flow Graph ...»представляє потоки пакетів в графічному вигляді. При цьому, при виборі елемента на графіку стає активним відповідний пакет в списку в головному вікні програми:
Окреме підміню в останніх версіях Wireshark відведено IP-телефонії. У підміню «Tools» є пункт «Firewall ACL Rules», Для обраного пакета спробує створити правило брандмауера (в версії 1.6.х підтримуються формати Cisco IOS, IP Filter, IPFirewall, Netfilter, Packet Filter і Windows Firewall).
Програма також має вбудований інтерпретатор легковагого мови програмування Lua. Використовуючи Lua, Ви можете створювати власні «декодери» протоколів і обробники подій в Wireshark.
замість висновку
Аналізатор мережевих пакетів Wireshark є прикладом Opensource-продукту, успішного як в рамках платформи Unix / Linux, так популярного серед користувачів Windowsі Mac OS X. Звичайно, крім Wireshark, існують великовагові комплексні інтелектуальні рішенняв області дослідження мережевого трафіку, функціонал яких набагато ширше. Але вони, по-перше, коштують великих грошей, по-друге, складні в освоєнні і експлуатації; по-третє, потрібно розуміти, що не все можна автоматизувати і ніяка експертна система не замінить хорошого фахівця. Так що, якщо перед Вами стоять завдання, що вимагають аналізу мережевого трафіку, то Wireshark - це інструмент для Вас. А шанувальники командного рядка можуть користуватися утилітою tshark - консольної версією Wireshark.
