10 Mga Tip Kon Unsaon Paggamit ang Wireshark sa Pag-analisar sa Mga Pakete sa Network
Sa bisan unsang packet-switched network, ang mga packet nagrepresentar sa mga yunit sa datos nga gipasa taliwala sa mga kompyuter. Responsibilidad sa mga network engineer ug system administrator ang pagmonitor ug pag-inspeksyon sa mga packet para sa seguridad ug troubleshooting nga mga katuyoan.
Aron mahimo kini, nagsalig sila sa mga software program nga gitawag ug monitor sa trapiko sa tinuod nga panahon apan aron i-save kini sa file para sa inspeksyon sa ulahi.
May Kalabutan nga Pagbasa: Labing Maayo nga Linux Bandwidth Monitoring Tools sa Pag-analisar sa Paggamit sa Network
Niini nga artikulo, ipaambit namon ang 10 nga mga tip kung giunsa ang paggamit sa Wireshark sa pag-analisar sa mga pakete sa imong network ug nanghinaut nga kung maabot nimo ang seksyon sa Summary mobati ka nga gusto nga idugang kini sa imong mga bookmark.
Pag-instalar sa Wireshark sa Linux
Aron ma-install ang Wireshark, pilia ang husto nga installer para sa imong operating system/architecture gikan sa https://www.wireshark.org/download.html.
Ilabi na, kung naggamit ka sa Linux, ang Wireshark kinahanglan nga magamit direkta gikan sa mga repositoryo sa imong pag-apod-apod alang sa usa ka dali nga pag-install sa imong kasayon. Bisan tuod ang mga bersyon mahimong magkalahi, ang mga kapilian ug mga menu kinahanglan nga managsama - kung dili parehas sa matag usa.
------------ On Debian/Ubuntu based Distros ------------ $ sudo apt-get install wireshark ------------ On CentOS/RHEL based Distros ------------ $ sudo yum install wireshark ------------ On Fedora 22+ Releases ------------ $ sudo dnf install wireshark
Adunay usa ka nahibal-an nga bug sa Debian ug mga derivatives nga mahimong makapugong sa paglista sa mga interface sa network gawas kung kini nga post.
Kung nagdagan na ang Wireshark, mahimo nimong pilion ang interface sa network nga gusto nimong bantayan ubos sa Capture:
Niining artikuloha, among gamiton ang eth0, pero makapili ka og lain kon gusto nimo. Ayaw pag-klik sa interface pa - buhaton namon kini sa ulahi sa higayon nga among girepaso ang pipila nga mga kapilian sa pagkuha.
Ang labing mapuslanon nga mga kapilian sa pagkuha nga atong hisgotan mao ang:
- Network interface – Sama sa among gipasabot kaniadto, among analisahon lang ang mga packet nga moabot pinaagi sa eth0, ma-incoming man o outcoming.
- Pagsala sa pagdakop – Kini nga opsyon nagtugot kanamo sa pagpakita kon unsa nga matang sa trapiko ang gusto namo nga bantayan pinaagi sa pantalan, protocol, o tipo.
Sa wala pa kita magpadayon sa mga tip, hinungdanon nga matikdan nga ang pipila nga mga organisasyon nagdili sa paggamit sa Wireshark sa ilang mga network. Ingon niana, kung wala nimo gigamit ang Wireshark alang sa personal nga katuyoan siguruha nga gitugotan sa imong organisasyon ang paggamit niini.
Sa pagkakaron, pilia lang ang eth0 gikan sa dropdown list ug i-klik ang Start sa buton. Magsugod ka nga makita ang tanan nga trapiko nga moagi sa kana nga interface. Dili kaayo mapuslanon alang sa mga katuyoan sa pag-monitor tungod sa taas nga kantidad sa mga pakete nga gisusi, apan kini usa ka pagsugod.
Sa hulagway sa ibabaw, makita usab nato ang mga icon aron ilista ang anaa nga mga interface, aron mahunong ang kasamtangan nga pagdakop, ug i-restart kini (pula nga kahon sa wala), ug i-configure ug i-edit ang usa ka filter (pula nga kahon sa tuo). Kung mag-hover ka sa usa niini nga mga icon, usa ka tooltip ang ipakita aron ipakita kung unsa ang gibuhat niini.
Magsugod kami pinaagi sa pag-ilustrar sa mga kapilian sa pagkuha, samtang ang mga tip #7 hangtod sa #10 maghisgot kung giunsa pagbuhat ang usa ka butang nga mapuslanon sa pagkuha.
TIP #1 - Susiha ang Trapiko sa HTTP
I-type ang http sa filter box ug i-klik ang Apply. Ilunsad ang imong browser ug adto sa bisan unsang site nga imong gusto:
Aron masugdan ang matag sunod nga tip, ihunong ang live capture ug i-edit ang capture filter.
TIP #2 - Susihon ang Trapiko sa HTTP gikan sa Gihatag nga IP Address
Niining partikular nga tip, among i-prepend ang ip==192.168.0.10&& sa filter stanza aron mamonitor ang trapiko sa HTTP tali sa lokal nga kompyuter ug 192.168.0.10:
TIP #3 - Susihon ang Trapiko sa HTTP sa Gihatag nga IP Address
Suod nga may kalabutan sa #2, niining kasoha, among gamiton ang ip.dst isip kabahin sa capture filter sama sa mosunod:
ip.dst==192.168.0.10&&http
Aron makombinar ang mga tip #2 ug #3, mahimo nimong gamiton ang ip.addr sa filter rule imbes nga ip.src o ip.dst.
TIP #4 - Pag-monitor sa Apache ug MySQL Network Traffic
Usahay mainteresado ka sa pag-inspeksyon sa trapiko nga mohaum sa bisan asa (o pareho) nga mga kondisyon bisan unsa. Pananglitan, aron mamonitor ang trapiko sa TCP ports 80 (webserver) ug 3306 (MySQL/MariaDB database server), mahimo nimong gamiton ang OR nga kondisyon sa capture filter:
tcp.port==80||tcp.port==3306
Sa mga tip #2 ug #3, || ug ang pulong o nagpatunghag parehas nga mga resulta. Parehas sa && ug sa pulong ug.
TIP #5 - Isalikway ang mga Packet sa Gihatag nga IP Address
Aron dili iapil ang mga packet nga dili motakdo sa filter nga lagda, gamita ang ! ug ilakip ang lagda sulod sa parentesis. Pananglitan, aron dili iapil ang mga pakete nga naggikan o gitumong sa gihatag nga IP address, mahimo nimong gamiton ang:
!(ip.addr == 192.168.0.10)
TIP #6 – Pag-monitor sa Trapiko sa Lokal nga Network (192.168.0.0/24)
Ang mosunud nga lagda sa pagsala magpakita lamang sa lokal nga trapiko ug dili iapil ang mga pakete nga moadto ug gikan sa Internet:
ip.src==192.168.0.0/24 and ip.dst==192.168.0.0/24
TIP #7 - Pag-monitor sa mga sulud sa usa ka panag-istoryahanay sa TCP
Aron masusi ang mga sulod sa usa ka TCP nga panag-istoryahanay (pagbinayloay sa datos), pag-right-click sa gihatag nga pakete ug pilia ang Sunda ang TCP stream. Ang usa ka bintana mo-pop-up sa sulod sa panag-istoryahanay.
Maglakip kini sa mga header sa HTTP kung nag-inspeksyon kami sa trapiko sa web, ug bisan unsang yano nga mga kredensyal sa teksto nga gipasa sa proseso kung naa.
TIP #8 - I-edit ang Mga Lagda sa Pagkolor
Sa pagkakaron sigurado ko nga namatikdan na nimo nga ang matag laray sa window sa pagkuha adunay kolor. Sa kasagaran, ang trapiko sa HTTP makita sa berde nga background nga adunay itom nga teksto, samtang ang mga sayup sa checksum gipakita sa pula nga teksto nga adunay itom nga background.
Kung gusto nimong usbon kini nga mga setting, i-klik ang icon sa I-edit ang mga lagda sa pagkolor, pilia ang gihatag nga filter, ug i-klik ang Edit.
TIP #9 - I-save ang Pagkuha sa usa ka File
Ang pag-save sa mga sulud sa pagdakop magtugot kanamo nga masusi kini sa mas daghang detalye. Aron mahimo kini, adto sa File → Export ug pagpili og usa ka export format gikan sa listahan:
TIP #10 – Pagpraktis gamit ang mga Sample sa Pagkuha
Kung sa imong hunahuna ang imong network \kalaay, ang Wireshark naghatag usa ka serye sa mga sample nga pagkuha sa mga file nga magamit nimo sa pagpraktis ug pagkat-on. Mahimo nimong i-download kini nga mga SampleCaptures ug i-import kini pinaagi sa File → Import nga menu.
Ang Wireshark libre ug open-source nga software, sama sa imong makita sa FAQs section sa opisyal nga website. Mahimo nimong i-configure ang usa ka filter sa pagkuha sa wala pa o pagkahuman sa pagsugod sa usa ka inspeksyon.
Kung wala ka makamatikod, ang filter adunay usa ka autocomplete nga bahin nga nagtugot kanimo nga dali nga makapangita sa labing gigamit nga mga kapilian nga mahimo nimong ipasibo sa ulahi. Uban niana, ang langit mao ang limitasyon!
Sama sa kanunay, ayaw pagpanuko sa paghulog kanamo sa usa ka linya gamit ang porma sa komento sa ubos kung adunay ka mga pangutana o obserbasyon bahin sa kini nga artikulo.