Возможности инструмента для захвата и анализа сетевого трафика Wireshark

Опубликовано от

    Что такое Wireshark? Wireshark - сетевой инструмент для захвата и анализа сетевого трафика, который широко используемый как стандарт для образования и для формы решения проблем, часто применяемых к ремонту неработающих устройств или процессов.

    Примеры использования:

Поиск и устранение неполадок сети

  • Наглядно видны потери пакетов.
  • Анализ ретрансляции TCP.
  • Анализ пакетов с большой задержкой.

Анализ сессии прикладного уровня:

  • Просмотр HTTP-сессий.
  • Просмотр сеансов, паролей, команд, ответов.

Извлечение файлов из сессий:

  • Экспорт объектов, изображений, исполняемых файлов.

Обнаружение и проверка вредоносных программ:

  • Выявление аномального поведения.
  • Поиск нестандартных доменов.
  • Извлечение аномалий, которые могут быть вредоносным ПО.

Фильтры

    Названия фильтров указываются в строку фильтра или в командную строку. Отсеять лишний шум, т.е. трафик, фильтровать трафик по MAC, IP-адресам, подсетям, протоколам можно также через фильтры. 
    Рассмотрим самый простой фильтр - http, чтобы получить отображения только по трафику HTTP (порт tcp 80).

Примеры фильтров по протоколу 

  • tcp
  • udp
  • tcp.port == 80 || udp.port == 80
  • http
  • not arp and not (udp.port == 53)
Примеры фильтров по IP-адресам
  • ip.addr == 192.168.0.5
  • !(ip.addr == 192.168.0.0/24)
    Во время захвата сессии HTTP можно использовать настройки и фильтры Analyze | Follow | HTTP Stream. Программа откроет полную сессию HTTP и можно увидеть HTTP-запрос браузера и HTTP-ответ сервера.


Изображение 1 - Данные сессии HTTP.

Составление правил файервола

   Необходимо выбрать подходящее правило и указать их в Tools | Firewall ACL Rules. Поддерживаются различные файерволы, такие как Cisco IOS, ipfilter, ipfw, iptables, pf и даже файрвол Windows через netsh.


Изображение 2 - Составление правил для файервола.

Работа с географической базой GeoIP
    
    В программу Wireshark может быть скомпилирована поддержка GeoIP и тогда программа сможет определять местоположения устройств по IP-адресам и, при необходимости отключать трафик из конкретного местоположения. Нижеуказанная команда исключает пакеты от сетевого блока ASN 63949 (Linode).
ip and not ip.geoip.asnum == 63949
    Этот фильтр можно применять не только к отдельным странам, но и к городам.


Изображение 3 - Фильтрация трафика по местоположению.

Способы просмотра сеанса

    После перехода на сайт HTTPS лог-файл начнёт увеличиваться в размере, поскольку записывает симметричные ключи сессии.
    Если обратить внимание на ранее запущенную сессию Wireshark, то можно увидеть увидеть что-то похожее на изображение 4 внизу с расшифрованными сессиями. Расшифрованные пакеты — на вкладке в нижней панели.


Изображение 4 - Расшифрованные пакеты сессии

    Посторонний человек не должен получить данные лог-файла, поскольку легко можно увидеть введенные пароли и куки аутентификации. 

Вывод

    Всех плюсов данной программы не перечесть. Wireshark настолько огромный, незаменимый и совершенный инструмент, который многие используют, но мало кто владеет им в совершенстве, поскольку изучить абсолютно все функции невозможно. Тут можно углубляться все дальше и дальше.

Список литературы

  1. Habr [Электронный ресурс]. – Режим доступа: https://habr.com/ru/post/436226/. – Дата доступа: 08.05.2022.
  2. Wireshark wiki [Электронный ресурс]. – Режим доступа: https://wiki.wireshark.org/. – Дата доступа: 08.05.2022.
  3. PacketLife [Электронный ресурс]. – Режим доступа: https://packetlife.net/. – Дата доступа: 08.05.2022.
  4. How-To Geek [Электронный ресурс]. – Режим доступа: https://www.howtogeek.com/104278/. – Дата доступа: 08.05.2022.