Wireshark je analyzátor síťového protokolu GUI. Umožňuje interaktivně procházet paketová data z živé sítě nebo dříve uložený zachycený soubor. Umožňuje vám vidět, co se děje ve vaší síti, na mikroskopické úrovni.
TShark je terminálově orientovaná verze Wireshark navržená k zachycení a zobrazení paketů, když interaktivní uživatelské rozhraní není nutné nebo není k dispozici. Podporuje stejné možnosti jako Wireshark. Wireshark na svých webových stránkách popisuje svou bohatou sadu funkcí jako:
- Důkladná kontrola stovek protokolů, přičemž další se neustále přidávají
- Živý záznam a offline analýza
- Multiplatformní:běží na Windows, Linux, macOS, Solaris, FreeBSD, NetBSD a mnoha dalších
- Nejvýkonnější filtry zobrazení v oboru
- Rozsáhlá analýza VoIP
- Čtení/zápis mnoha různých formátů souborů pro zachycení:tcpdump (libpcap), Pcap NG, Cisco Secure IDS iplog, Microsoft Network Monitor a mnoho dalších
- Zachycené soubory komprimované pomocí gzip lze dekomprimovat za běhu
- Živá data lze číst z Ethernetu, IEEE 802.11, Bluetooth, USB a dalších (v závislosti na vaší platformě)
- Podpora dešifrování pro mnoho protokolů, včetně IPsec, ISAKMP, Kerberos, SNMPv3, SSL/TLS, WEP a WPA/WPA2
- Na seznam paketů lze použít pravidla barvení pro rychlou a intuitivní analýzu
- Výstup lze exportovat do formátu XML, PostScript, CSV nebo prostého textu
Instalace
Wireshark lze nainstalovat pomocí standardních jednoduchých příkazů.
V systému Red Hat Enterprise Linux (RHEL) 7:
yum install wireshark V systému Red Hat Enterprise Linux (RHEL) 8:
dnf install wireshark Případy použití
Bez nastavených možností funguje TShark podobně jako tcpdump. Používá pcap knihovna pro zachycení provozu z prvního dostupného síťového rozhraní a zobrazení souhrnného řádku na standardním výstupu každého přijatého paketu.
Než zahájíme jakékoli zachycení, musíme definovat, která rozhraní na našem serveru může TShark používat. Možná budete muset použít sudo nebo v tomto případě root přístup.
[ Také by se vám mohlo líbit: Mých 5 oblíbených nástrojů pro správu systému Linux ]
Chcete-li získat tyto informace, budete muset spustit následující příkaz:
# tshark –D Ukázkový výstup je níže:
[root@server ~]# tshark -D
1. eth0
2. nflog
3. nfqueue
4. usbmon1
5. any
6. lo (Loopback) Pokud bychom chtěli zachytit provoz na eth0 , mohli bychom to zavolat tímto příkazem:
tshark -i eth0 Ukázkový výstup:
[root@server ~]# tshark -i eth0
Running as user "root" and group "root". This could be dangerous.
Capturing on 'eth0'
1 0.000000000 41.242.139.31 -> 207.180.200.5 TCP 60 61513 > tcoaddressbook [ACK] Seq=1 Ack=1 Win=508 Len=0
2 0.103588364 41.242.139.31 -> 207.180.200.5 TCP 60 61513 > tcoaddressbook [ACK] Seq=1 Ack=81 Win=508 Len=0
3 0.690499219 173.212.240.3 -> 255.255.255.255 DHCP 362 DHCP ACK - Transaction ID 0x6b443d32
4 0.819279418 207.180.200.5 -> 41.242.139.31 TCP 342 tcoaddressbook > 61513 [PSH, ACK] Seq=81 Ack=1 Win=283 Len=288
5 0.987663435 45.77.145.115 -> 207.180.200.5 TCP 60 wso2esb-console > https [SYN] Seq=0 Win=5840 Len=0
6 0.987758650 207.180.200.5 -> 45.77.145.115 TCP 54 [TCP ACKed unseen segment] https > wso2esb-console [ACK] Seq=1 Ack=316217230 Win=29200 Len=0
7 1.001310441 207.180.200.5 -> 45.77.145.115 TCP 58 [TCP ACKed unseen segment] [TCP Retransmission] https > wso2esb-console [SYN, ACK] Seq=0 Ack=316217230 Win=29200 Len=0 MSS=1460
8 1.002550877 41.242.139.31 -> 207.180.200.5 TCP 60 61513 > tcoaddressbook [ACK] Seq=1 Ack=369 Win=513 Len=0
9 1.014391846 207.180.200.5 -> 80.237.128.149 NTP 90 NTP Version 4, client
10 1.039819501 80.237.128.149 -> 207.180.200.5 NTP 90 NTP Version 4, server Výše uvedené pakety jsou označeny čísly na začátku řádku.
Tyto řádky obsahují dvě adresy IP na každé straně šipky – to jsou hostitelé, kteří si vyměňují pakety. Směr šipky ukazuje, kterým směrem paket jde. Proto 41.242.139.31 -> 207.180.200.5 znamená paket pocházející z hostitele 41.242.139.31 , což je můj počítač a míří do cíle 207.180.200.5 , což je vzdálený server, kde je nainstalován TShark. Můj počítač se pokouší připojit k tomuto serveru, takže probíhá TCP handshake.
Zde je základní vysvětlení toho, jak TShark funguje:Zachycuje veškerý provoz, který je zahájen na a ze serveru, kde je nainstalován. Se silou filtrování TShark můžeme zobrazit provoz, který nás zajímá.
Můžeme také omezit výstup zachycení na konkrétní řádky. Chceme-li například omezit výstup na 10 řádků, použijeme příkaz níže:
# tshark -i eth0 -c 10 Zachyťte provoz do az jednoho hostitele
Můžeme odfiltrovat provoz přicházející z konkrétního hostitele. Chcete-li například najít provoz přicházející z a směřující do 8.8.8.8 , použijeme příkaz:
# tshark -i eth0 -c 10 host 8.8.8.8 Pro provoz přicházející z 8.8.8.8 :
# tshark -i eth0 src host 8.8.8.8 Pro provoz směřující na 8.8.8.8 :
# tshark -i eth0 dst host 8.8.8.8 Ukázkový výstup:
[root@server2 ~]# tshark -i eth0 -c 10 host 8.8.8.8
Running as user "root" and group "root". This could be dangerous.
Capturing on 'eth0'
1 0.000000000 8.8.8.8 -> 207.180.229.97 DNS 185 Standard query response 0x8d7a No such name
2 0.004498954 8.8.8.8 -> 207.180.229.97 DNS 184 Standard query response 0x2302 No such name
3 0.024649288 8.8.8.8 -> 207.180.229.97 DNS 146 Standard query response 0x24d2 No such name
4 0.125434062 8.8.8.8 -> 207.180.229.97 DNS 125 Standard query response 0xf89a NS ns1.mail.rhsblmail.com NS ns2.mail.rhsblmail.com
5 0.138280488 8.8.8.8 -> 207.180.229.97 DNS 105 Standard query response 0x1d17 MX 10 mail.rhsblmail.com
6 0.143231852 8.8.8.8 -> 207.180.229.97 DNS 134 Standard query response 0xc774 NS ns1.hongkongserver.net NS ns2.hongkongserver.net
7 0.144433854 8.8.8.8 -> 207.180.229.97 DNS 99 Standard query response 0x4682 A 119.8.46.109
8 0.201845674 8.8.8.8 -> 207.180.229.97 DNS 150 Standard query response 0xfb47 No such name
9 0.205827278 207.180.229.97 -> 8.8.8.8 DNS 72 Standard query 0x74e3 MX dalcargo.net
10 0.482611966 8.8.8.8 -> 207.180.229.97 DNS 102 Standard query response 0x74e3 MX 0 mx.sinanet.com Ve výše uvedeném výstupu vidíme provoz přicházející z a směřující do 8.8.8.8 . Hostitel 8.8.8.8 odesílá odpovědi serveru 207.180.229.97 o dotazech, které dříve inicioval.
Zachyťte provoz do a ze sítě
Můžeme také zachytit provoz do a konkrétní sítě. K tomu použijeme příkaz níže:
# tshark -i eth0 net 10.1.0.0 mask 255.255.255.0 nebo
# tshark -i eth0 net 10.1.0.0/24 Můžeme také filtrovat podle zdroje nebo cíle.
Na základě zdroje (provoz přicházející z):
# tshark -i eth0 src net 10.1.0.0/24 Na základě cíle (provoz směřující do):
# tshark -i eth0 dst net 10.1.0.0/24 Zachyťte provoz do az čísel portů
Zde je mnoho dalších variant.
Zachycovat pouze provoz DNS portu 53:
# tshark -i eth0 port 53 Pro konkrétního hostitele:
# tshark -i eth0 host 8.8.8.8 and port 53 Zachycovat pouze provoz HTTPS:
# tshark -i eth0 -c 10 host www.google.com and port 443 Zachyťte všechny porty kromě portů 80 a 25:
tshark -i eth0 port not 53 and not 25 Uložení výstupu do souboru
Můžeme uložit výstup našeho zachycení do souboru pro pozdější čtení. Novější verze Wiresharku ukládají výstup do pcapng ve výchozím stavu. Ukládat však můžeme i v jiných formátech. Chcete-li zkontrolovat podporovaný formát, spusťte níže uvedený příkaz:
# tshark -F
Pro uložení výstupu použijeme -w přepínač. Pomocí -w přepínač poskytuje nezpracovaná paketová data, nikoli text. Pokud chcete textový výstup, musíte přesměrovat stdout (např. pomocí > ). Nepoužívejte -w možnost pro toto.
Chcete-li uložit zachycení do souboru s názvem http_capture.pcapng :
# tshark -i eth0 -c 10 port 80 -w http_capture.pcapng Můžeme uložit do pcap formát, který lze číst pomocí tcpdump a starších verzí Wireshark:
# tshark -i eth0 -c 10 port 80 -w http.pcap -F libpcap [ Chcete se dozvědět více o zabezpečení? Podívejte se na kontrolní seznam zabezpečení IT a dodržování předpisů. ]
Sbalit
TShark je komplexní nástroj, který musí správci systému přidat do své sady nástrojů. Toto je první díl dvoudílné série. Ve druhé části se podíváme na pokročilejší filtry a na to, jak můžeme udělat výstup čitelnějším.