Wireshark הוא מנתח פרוטוקולי הרשת המוביל המשמש אנשי מקצוע בתחום האבטחה בכל רחבי העולם. זה מאפשר לך לזהות חריגות ברשתות מחשבים ולמצוא את הסיבות הבסיסיות. נדגים כיצד להשתמש ב- Wireshark בחלקים הבאים.
אז איך זה עובד? ואיך בעצם משתמשים ב- Wireshark כדי ללכוד חבילות נתונים?
איך Wireshark עובד?
מערכת התכונות החזקה של Wireshark הפכה אותה לאחת מה- הכלים הטובים ביותר לפתרון בעיות ברשת. אנשים רבים משתמשים ב- Wireshark, כולל מנהלי רשת, מבקרי אבטחה, אנליסטים זדוניים ואפילו תוקפים.
האם יש לך בעיה ברשת? או סתם רוצה לדעת יותר על הרשת הביתית שלך? שבעת הכלים הללו יכולים לעזור לך לנתח ולפתור את הרשת שלך.
זה מאפשר לך לבצע בדיקות עמוקות של חבילות רשת חיות או מאוחסנות. כשתתחיל להשתמש ב- Wireshark, אתה תהיה מוקסם מכמות המידע שהיא יכולה להציע. עם זאת, מידע רב מדי מקשה על הישארות על המסלול.
למרבה המזל, אנו יכולים למתן זאת באמצעות יכולות הסינון המתקדמות של Wireshark. נדון בהם בפירוט בהמשך. זרימת העבודה מורכבת מלכידת מנות רשת וסינון המידע הנדרש.
כיצד להשתמש ב- Wireshark לצורך לכידת מנות
לאחר שתפעיל את Wireshark, הוא יציג את ממשקי הרשת המחוברים למערכת שלך. עליך לשים לב לעקומות המייצגות תקשורת רשת לצד כל ממשק.
כעת עליך לבחור ממשק ספציפי לפני שתוכל להתחיל ללכוד חבילות. לשם כך בחר את שם הממשק ולחץ על הכחול סנפיר כריש סמל. אתה יכול גם לעשות זאת על ידי לחיצה כפולה על שם הממשק.
Wireshark יתחיל לצלם את החבילות הנכנסות והיוצאות לממשק שנבחר. לחץ על האדום הַפסָקָה כדי לעצור את הלכידה. אתה אמור לראות רשימה של חבילות רשת שנלקחו במהלך תהליך זה.
Wireshark יציג את המקור והיעד של כל חבילה לצד הפרוטוקול. עם זאת, לרוב, תתעניין בתוכן שדה המידע.
אתה יכול לבדוק מנות בודדות על ידי לחיצה עליהן. בדרך זו תוכל להציג את כל נתוני החבילה.
כיצד לשמור חבילות שנתפסו ב- Wireshark
מכיוון ש- Wireshark לוכדת תנועה רבה, לפעמים כדאי לשמור אותם לבדיקה מאוחרת יותר. למרבה המזל, שמירת חבילות שנתפסו באמצעות Wireshark אינה מתאמנת.
כדי לשמור חבילות, עצור את ההפעלה הפעילה. לאחר מכן לחץ על קוֹבֶץ סמל הממוקם בתפריט העליון. אתה יכול גם להשתמש Ctrl + S כדי לעשות זאת.
Wireshark יכול לשמור חבילות בכמה פורמטים, כולל pcapng, pcap ו- dmp. אתה יכול גם לשמור חבילות שנתפסו בפורמט אחר כלי ניתוח רשת יכול להשתמש בהמשך.
כיצד לנתח מנות שנתפסו
אתה יכול לנתח מנות שנתפסו בעבר על ידי פתיחת קובץ הלכידה. פעם בחלון הראשי, לחץ קובץ> פתח ואז בחר את הקובץ השמור הרלוונטי.
אתה יכול גם להשתמש Ctrl + O לעשות זאת במהירות. לאחר שניתחת את החבילות, צא מחלון הבדיקה על ידי מעבר אל קובץ> סגור.
כיצד להשתמש במסנני Wireshark
Wireshark מציע שפע של יכולות סינון חזקות. מסננים הם משני סוגים - מסנני תצוגה ומסנני לכידה.
שימוש במסנני תצוגה של Wireshark
מסנני תצוגה משמשים לצפייה בחבילות ספציפיות מכל החבילות שנתפסו. לדוגמה, אנו יכולים להשתמש במסנן התצוגה icmp כדי להציג את כל חבילות הנתונים של ICMP.
אתה יכול לבחור מתוך מספר רב של פילטרים. יתר על כן, תוכלו גם להגדיר כללי סינון מותאמים אישית למשימות סתמיות. כדי להוסיף פילטרים מותאמים אישית, עבור אל ניתוח> מסנני תצוגה. הקלק על ה + סמל להוספת מסנן חדש.
שימוש במסנני לכידת Wireshark
מסנני לכידה משמשים לציון החבילות שיש ללכוד במהלך הפעלת Wireshark. זה מייצר פחות חבילות באופן משמעותי מאשר לכידות סטנדרטיות. אתה יכול להשתמש בהם במצבים שבהם אתה זקוק למידע ספציפי על חבילות מסוימות.
הזן את מסנן הלכידה שלך בשדה שמעל לרשימת הממשקים בחלון הראשי. בחר את שם הממשק מהרשימה והקלד את שם המסנן בשדה לעיל.
לחץ על הכחול סנפיר כריש כדי להתחיל ללכוד חבילות. הדוגמה הבאה משתמשת ב ארפ לסנן כדי ללכוד רק עסקאות ARP.
שימוש בכללי צביעה של Wireshark
Wireshark מספק כמה כללי צביעה, שכונו בעבר כמסנני צבע. זו תכונה נהדרת שיש לנתח תעבורת רשת נרחבת. אתה יכול גם להתאים אישית אותם על פי העדפה.
כדי להציג את כללי הצביעה הנוכחיים, עבור אל צפה> כללי צביעה. כאן תוכל למצוא את כללי הצבע המוגדרים כברירת מחדל להתקנה שלך.
אתה יכול לשנות אותם בכל דרך שתרצה. בנוסף, תוכל גם להשתמש בכללי הצביעה של אנשים אחרים על ידי ייבוא קובץ התצורה.
הורד את הקובץ המכיל את הכללים המותאמים אישית ולאחר מכן ייבא אותו על ידי בחירה תצוגה> כללי צביעה> יבוא. אתה יכול לייצא כללים באופן דומה.
Wireshark בפעולה
עד כה דנו בכמה מתכונות הליבה של Wireshark. בואו לבצע כמה פעולות מעשיות כדי להדגים כיצד אלה משתלבים.
יצרנו שרת Go בסיסי להפגנה זו. הוא מחזיר הודעת טקסט פשוטה לכל בקשה. לאחר שהשרת פועל, נבצע כמה בקשות HTTP ונתפוס את התעבורה החיה. שים לב שאנחנו מריצים את השרת ב- localhost.
ראשית, אנו יוזמים את לכידת המנות על ידי לחיצה כפולה על ממשק Loopback (localhost). השלב הבא הוא להפעיל את השרת המקומי שלנו ולשלוח בקשת GET. אנו משתמשים בתלתל לעשות זאת.
Wireshark יתפוס את כל החבילות הנכנסות והיוצאות במהלך שיחה זו. אנו רוצים להציג את הנתונים שנשלחו על ידי השרת שלנו, לכן נשתמש ב- http. תגובה מסנן תצוגה לצפייה בחבילות התגובה.
כעת, Wireshark יסתיר את כל שאר החבילות שנתפסו ויציג את חבילות התגובה בלבד. אם אתה מסתכל מקרוב על פרטי החבילה, עליך לשים לב לנתוני טקסט רגיל שנשלח על ידי השרת שלנו.
פקודות Wireshark שימושיות
אתה יכול גם להשתמש בפקודות Wireshark שונות כדי לשלוט בתוכנה ממסוף לינוקס שלך. להלן מספר פקודות Wireshark בסיסיות:
- wireshark מפעיל את Wireshark במצב גרפי.
- wireshark -h מציג את אפשרויות שורת הפקודה הזמינות.
- wireshark -i ממשק בוחר INTERFACE כממשק הלכידה.
טשארק היא חלופת שורת הפקודה עבור Wireshark. הוא תומך בכל התכונות החיוניות והוא יעיל ביותר.
ניתוח אבטחת רשת באמצעות Wireshark
ערכת התכונות העשירה של Wireshark וכללי הסינון המתקדמים הופכים את ניתוח המנות לפורה ופשוט. אתה יכול להשתמש בו כדי למצוא כל מיני מידע על הרשת שלך. נסה את הפונקציות הבסיסיות ביותר שלה כדי ללמוד כיצד להשתמש ב- Wireshark לניתוח מנות.
Wireshark זמין להורדה במכשירים שמריצים Windows, macOS ו- Linux.
רוצה לעקוב אחר הרשת או ההתקנים המרוחקים שלך? כך תוכל להפוך את ה- Raspberry Pi שלך לכלי ניטור רשת באמצעות Nagios.
- לינוקס
- מק
- חלונות
- בִּטָחוֹן
- אבטחה מקוונת
Rubaiat הוא תואר ראשון במדעי המחשב עם תשוקה עזה למקור פתוח. מלבד היותו ותיק של יוניקס, הוא עוסק גם באבטחת רשת, קריפטוגרפיה ותכנות פונקציונלי. הוא אספן מושבע של ספרים יד שנייה ויש לו הערצה בלתי פוסקת לרוק הקלאסי.
הירשם לניוזלטר שלנו
הצטרף לניוזלטר שלנו לקבלת טיפים טכניים, ביקורות, ספרים אלקטרוניים בחינם ומבצעים בלעדיים!
צעד אחד נוסף !!!
אנא אשר את כתובת הדוא"ל שלך בדוא"ל ששלחנו לך זה עתה.