WireShark ausführliches Tutorial

Wireshark ist ein quelloffenes und kostenloses Tool zur Überprüfung des Netzwerkverkehrs. Es erfasst und zeigt Pakete in Echtzeit für die Offline-Analyse in einem für Menschen lesbaren Format mit mikroskopischen Details an. Es erfordert fundierte Kenntnisse der grundlegenden Netzwerktechnik und gilt als unverzichtbares Werkzeug für Systemadministratoren und Netzwerksicherheitsexperten.

Wireshark ist das De-facto-Go-to-Tool für verschiedene Netzwerkprobleme, die von der Fehlerbehebung im Netzwerk, der Untersuchung von Sicherheitsproblemen, der Überprüfung des Netzwerkverkehrs einer verdächtigen Anwendung, dem Debuggen von Protokollimplementierungen sowie dem Lernen von Netzwerkprotokollen usw.

Das Wireshark-Projekt wurde 1998 initiiert. Dank des freiwilligen Beitrags des globalen Netzwerkexperten aktualisiert er weiterhin neue Technologien und Verschlüsselungsstandards. Daher ist es bei weitem eines der besten Paketanalysetools und wird von verschiedenen Regierungsbehörden, Bildungsinstituten und gemeinnützigen Organisationen als kommerzielles Standardtool verwendet.

Das Wireshark-Tool besteht aus einer Vielzahl von Funktionen. Einige von ihnen sind die folgenden:

• Multiplattform: Es ist für Unix-, Mac- und Windows-Systeme verfügbar.
• Es erfasst Pakete von verschiedenen Netzwerkmedien, d.h.e., WLAN, Ethernet, USB, Bluetooth usw.
• Es öffnet Paketdateien, die von anderen Programmen wie Oracle snoop und atmsnoop, Nmap, tcpdump, Microsoft Network Monitor, SNORT und vielen anderen erfasst wurden.
• Es speichert und exportiert erfasste Paketdaten in verschiedenen Formaten (CSV, XML, Klartext usw.).).
• Es bietet Beschreibungsunterstützung für Protokolle wie SSL, WPA/WPA2, IPsec und viele andere.
• Es enthält Erfassungs- und Anzeigefilter.

Wireshark warnt Sie jedoch nicht vor böswilligen Aktivitäten. Es hilft Ihnen nur bei der Inspektion und Identifizierung der Vorgänge in Ihrem Netzwerk your. Darüber hinaus analysiert es nur Netzwerkprotokolle / -aktivitäten und führt keine anderen Aktivitäten wie das Senden / Abfangen von Paketen durch.

Dieser Artikel bietet ein ausführliches Tutorial, das mit den Grundlagen beginnt (i.e., Filterung, Wireshark-Netzwerkschichten usw.) und führt Sie in die Tiefe der Verkehrsanalyse.

Wireshark-Filter

Wireshark wird mit leistungsstarken Filter-Engines, Capture-Filtern und Display-Filtern geliefert, um Rauschen aus dem Netzwerk oder bereits erfassten Datenverkehr zu entfernen. Diese Filter grenzen den nicht benötigten Datenverkehr ein und zeigen nur die Pakete an, die Sie sehen möchten. Diese Funktion hilft Netzwerkadministratoren, die anstehenden Probleme zu beheben.

Bevor Sie auf die Details der Filter eingehen. Falls Sie sich fragen, wie Sie den Netzwerkverkehr ohne Filter erfassen können, können Sie entweder Strg+E drücken oder auf der Wireshark-Oberfläche zur Option Capture gehen und auf Start klicken.

Lassen Sie uns nun tief in die verfügbaren Filter eintauchen.

Aufnahmefilter

Wireshark bietet Unterstützung bei der Reduzierung der Größe einer Rohpaketerfassung, indem es Ihnen die Verwendung eines Erfassungsfilters ermöglicht allowing. Aber es erfasst nur den Paketverkehr, der dem Filter entspricht, und ignoriert den Rest davon. Diese Funktion hilft Ihnen, den Datenverkehr einer bestimmten Anwendung über das Netzwerk zu überwachen und zu analysieren.

Verwechseln Sie diesen Filter nicht mit Anzeigefiltern. Es ist kein Anzeigefilter. Dieser Filter erscheint im Hauptfenster, der eingestellt werden muss, bevor die Paketerfassung gestartet wird. Außerdem können Sie diesen Filter während der Aufnahme nicht ändern.

Du kannst zu dem ... gehen Erfassung Option der Schnittstelle und wählen Sie Capture-Filter.

Sie werden mit einem Fenster aufgefordert, wie im Schnappschuss gezeigt. Sie können einen beliebigen Filter aus der Filterliste auswählen oder einen neuen Filter hinzufügen/erstellen, indem Sie auf klicken + Taste.

Beispiele für die Liste hilfreicher Capture-Filter:

• Host-IP-Adresse - erfasst Verkehr, nur zwischen der spezifischen kommunizierenden IP-Adresse
• netto 192.168.0.0/24 - erfasst Datenverkehr zwischen IP-Adressbereichen/CIDRs
• Port 53 - erfasst DNS-Verkehr
• TCP-Portbereich 2051-3502 - erfasst TCP-Datenverkehr aus dem Portbereich 2051-3502
• Port nicht 22 und nicht 21 - Erfassen Sie den gesamten Datenverkehr außer SSH und FTP

Anzeigefilter

Mit Anzeigefiltern können Sie einige Pakete aus dem bereits erfassten Netzwerkverkehr ausblenden. Diese Filter können über der erfassten Liste hinzugefügt und im Handumdrehen geändert werden. Sie können jetzt die Pakete, auf die Sie sich konzentrieren möchten, kontrollieren und eingrenzen, während Sie die unnötigen Pakete ausblenden.

Sie können Filter in der Anzeigefilter-Symbolleiste direkt über dem ersten Fenster mit Paketinformationen hinzufügen. Dieser Filter kann verwendet werden, um Pakete basierend auf Protokoll, Quell-IP-Adresse, Ziel-IP-Adresse, Ports, Wert und Informationen von Feldern, Vergleich zwischen Feldern und vielem mehr anzuzeigen.

Das stimmt! Sie können eine Kombination von Filtern mit logischen Operatoren wie == . erstellen.!=,||,&&, usw.

Nachfolgend sind einige Beispiele für Anzeigefilter eines einzelnen TCP-Protokolls und eines Kombinationsfilters aufgeführt:

Netzwerkschichten in Wireshark

Abgesehen von der Paketprüfung präsentiert Wireshark OSI-Schichten, die bei der Fehlersuche helfen. Wireshark zeigt die Ebenen in umgekehrter Reihenfolge an, z. B.:

1. Physikalische Schicht
2. Datenübertragungsebene
3. Netzwerkschicht
4. Transportschicht
5. Anwendungsebene

Beachten Sie, dass Wireshark nicht immer die physikalische Schicht anzeigt. Wir werden jetzt in jede Schicht eintauchen, um den wichtigen Aspekt der Paketanalyse zu verstehen und was jede Schicht in Wireshark bietet.

Physikalische Schicht

Die physikalische Schicht, wie im folgenden Schnappschuss gezeigt, stellt die physische Zusammenfassung des Frames dar, z. B. Hardware-Informationen. Als Netzwerkadministrator extrahieren Sie im Allgemeinen keine Informationen aus dieser Schicht.

Datenübertragungsebene

Die nächste Sicherungsschicht enthält die Quell- und Ziel-Netzwerkkartenadresse. Es ist relativ einfach, da es nur den Frame vom Laptop zum Router oder den nächsten benachbarten Frame im physischen Medium liefert.

Netzwerkschicht

Die Netzwerkschicht präsentiert die Quell- und Ziel-IP-Adressen, die IP-Version, die Header-Länge, die Gesamtpaketlänge und viele andere Informationen.

Transportschicht

In dieser Schicht zeigt Wireshark Informationen über die Transportschicht an, die aus SRC-Port, DST-Port, Header-Länge und Sequenznummer besteht, die sich für jedes Paket ändert.

Anwendungsebene

In der letzten Schicht können Sie sehen, welche Art von Daten über das Medium gesendet und welche Anwendung verwendet wird, z. B. FTP, HTTP, SSH usw.

Verkehrsanalyse

ICMP-Verkehrsanalyse

ICMP wird zur Fehlerberichterstattung und zum Testen verwendet, indem festgestellt wird, ob die Daten das vorgesehene Ziel rechtzeitig erreichen oder nicht. Das Ping-Dienstprogramm verwendet ICMP-Nachrichten, um die Geschwindigkeit der Verbindung zwischen Geräten zu testen und zu melden, wie lange das Paket braucht, um sein Ziel zu erreichen und dann zurückzukommen.

Der Ping verwendet die Nachricht ICMP_echo_request an das Gerät im Netzwerk, und das Gerät antwortet mit der Nachricht ICMP_echo_reply. Um Pakete auf dem Wireshark zu erfassen, starten Sie die Capture-Funktion des Wireshark, öffnen Sie das Terminal und führen Sie den folgenden Befehl aus:

ubuntu$ubuntu:~$ ping google.com

Benutzen Strg+C um den Paketerfassungsprozess in Wireshark zu beenden. Im folgenden Schnappschuss können Sie die ICMP-Paket gesendet = ICMP-Paket empfangen mit 0% Paketverlust.

Wählen Sie im Wireshark-Aufnahmebereich das erste ICMP_echo_request-Paket aus und beobachten Sie die Details, indem Sie den mittleren Wireshark-Bereich öffnen.

In der Netzwerkschicht können Sie die Quelle erkennen Src als meine IP-Adresse, während das Ziel Dst ip_address ist vom Google-Server, während die IP-Schicht das Protokoll als ICMP angibt.

Jetzt zoomen wir in die ICMP-Paketdetails hinein, indem wir das Internet Control Message Protocol erweitern und die hervorgehobenen Kästchen im folgenden Schnappschuss decodieren:

• Typ: Ein auf 8 eingestelltes 08-Bit-Feld bedeutet eine Echoanforderungsnachricht
• Code: immer Null für ICMP-Pakete
• Prüfsumme: 0x46c8
• Identifikationsnummer (BE): 19797
• Identifikationsnummer (LE): 21837
• Sequenznummer (BE): 1
• Sequenznummer (LE): 256

Die Kennung und die Sequenznummern werden abgeglichen, um die Antworten auf Echo-Anfragen zu identifizieren. In ähnlicher Weise wird vor der Paketübertragung die Prüfsumme berechnet und dem Feld hinzugefügt, um mit der Prüfsumme im empfangenen Datenpaket verglichen zu werden.

Beachten Sie nun im ICMP-Antwortpaket die IPv4-Schicht. Quell- und Zieladresse sind vertauscht.

Überprüfen und vergleichen Sie in der ICMP-Schicht die folgenden wichtigen Felder:

• Typ: 08-Bit-Feld auf 0 gesetzt bedeutet Echo-Antwort-Nachricht
• Code: immer 0 für ICMP-Pakete
• Prüfsumme: 0x46c8
• Identifikationsnummer (BE): 19797
• Identifikationsnummer (LE): 21837
• Sequenznummer (BE): 1
• Sequenznummer (LE): 256

Sie können feststellen, dass die ICMP-Antwort dieselbe Anforderungsprüfsumme, Kennung und Sequenznummer wiedergibt.

HTTP-Traffic-Analyse

HTTP ist ein Anwendungsschichtprotokoll für Hypertext Transfer. Es wird vom World Wide Web verwendet und definiert Regeln, wenn der HTTP-Client/Server HTTP-Befehle sendet/empfängt. Die am häufigsten verwendeten HTTP-Methoden sind POST und GET:

POST: Diese Methode wird verwendet, um vertrauliche Informationen sicher an den Server zu senden, die nicht in der URL erscheinen.

ERHALTEN: Diese Methode wird normalerweise verwendet, um Daten aus der Adressleiste eines Webservers abzurufen.

Bevor wir tiefer in die HTTP-Paketanalyse einsteigen, demonstrieren wir zunächst kurz den TCP-Drei-Wege-Handshake in Wireshark.

TCP-Drei-Wege-Handshake

Bei einem Drei-Wege-Handshake initiiert der Client eine Verbindung, indem er ein SYN-Paket sendet und eine SYN-ACK-Antwort vom Server erhält, die vom Client bestätigt wird. Wir werden den Befehl Nmap TCP connect scan verwenden, um den TCP-Handshake zwischen Client und Server zu veranschaulichen.

ubuntu$ubuntu:~$ nmap -st google.com

Scrollen Sie im Bereich Wireshark-Paketerfassung zum oberen Rand des Fensters, um verschiedene Drei-Wege-Handshakes zu erkennen, die basierend auf bestimmten Ports eingerichtet wurden.

Verwenden Sie die tcp.Hafen == 80 filtern, um zu sehen, ob die Verbindung über Port 80 . hergestellt wird. Man merkt den kompletten Drei-Wege-Handshake, d.h.e., SYN, SYN-ACK, und ACK, am oberen Rand des Schnappschusses hervorgehoben, was eine zuverlässige Verbindung darstellt.

HTTP-Paketanalyse

Rufen Sie für die HTTP-Paketanalyse Ihren Browser auf und fügen Sie die Wireshark-Dokumentations-URL ein: http://www.Waffeleisen.com und laden Sie die Bedienungsanleitung als PDF herunter. In der Zwischenzeit muss Wireshark alle Pakete erfassen.

Wenden Sie einen HTTP-Filter an und suchen Sie nach dem HTTP-GET Anfrage vom Client an den Server gesendet. Um ein HTTP-Paket anzuzeigen, wählen Sie es aus und erweitern Sie die Anwendungsschicht im mittleren Bereich. Je nach Website und Browser kann eine Anfrage viele Header enthalten and. Wir werden die Header in unserer Anfrage im folgenden Snapshot analysieren analyze.

• Anfragemethode: die HTTP-Anfragemethode ist GET
• Gastgeber: identifiziert den Namen des Servers
• User-Agent: informiert über den clientseitigen Browsertyp
• Akzeptieren, Akzeptieren-Kodierung, Akzeptieren-Sprache: informiert den Server über den Dateityp, die akzeptierte Kodierung auf der Clientseite, d. h.e., gzip usw., und die akzeptierte Sprache
• Cache-Steuerung: zeigt an, wie die angeforderten Informationen zwischengespeichert werden
• Pragma: zeigt den Namen des Cookies und die Werte an, die der Browser für die Website hält
• Verbindung: Header, der steuert, ob die Verbindung nach der Transaktion geöffnet bleibt

In dem HTTP-OK Paket vom Server zum Client zeigt die Beobachtung der Informationen in der Hypertext Transfer Protocol-Schicht „200 OK“. Diese Informationen weisen auf eine normale erfolgreiche Übertragung hin. Im HTTP OK-Paket können Sie unterschiedliche Header im Vergleich zum observe HTTP-GET Paket. Diese Header enthalten Informationen zu den angeforderten Inhalten.

• Antwortversion: informiert über die HTTP-Version
• Statuscode, Antwortphrase: vom Server gesendet
• Datum: die Uhrzeit, zu der der Server das HTTP-GET-Paket empfangen hat
• Server: Serverdetails (Nginx, Apache usw.).)
• Inhaltstyp: Inhaltstyp (json, txt/html usw.).)
• Inhaltslänge: Gesamtlänge des Inhalts; Unsere Datei ist 39696 Byte groß

In diesem Abschnitt haben Sie erfahren, wie HTTP funktioniert und was passiert, wenn wir Inhalte im Web anfordern.

Fazit

Wireshark ist das beliebteste und leistungsstärkste Netzwerk-Sniffer- und Analyse-Tool. Es wird häufig bei täglichen Paketanalyseaufgaben in verschiedenen Organisationen und Instituten eingesetzt. In diesem Artikel haben wir einige Anfänger- bis mittlere Themen des Wireshark in Ubuntu studiert. Wir haben die von Wireshark angebotenen Filtertypen für die Paketanalyse kennengelernt. Wir haben das Netzwerkschichtmodell in Wireshark behandelt und eine eingehende ICMP- und HTTP-Paketanalyse durchgeführt.

Das Erlernen und Verstehen verschiedener Aspekte dieses Tools ist jedoch ein langer harter Weg. Daher gibt es viele andere Online-Vorträge und -Tutorials, die Ihnen zu bestimmten Themen von Wireshark helfen. Sie können dem offiziellen Benutzerhandbuch folgen, das auf der Wireshark-Website verfügbar ist. Sobald Sie das grundlegende Verständnis der Protokollanalyse aufgebaut haben, ist es außerdem ratsam, ein Tool wie Varonis zu verwenden, das Sie auf die potenzielle Bedrohung hinweist, und dann Wireshark zu verwenden, um ein besseres Verständnis zu erzielen.