Снимите и анализирајте мрежни саобраћај помоћу Виресхарка

Виресхарк, алат за анализу мреже у реалном времену, снима пакете и протоколе у ​​реалном времену и приказује их у графичком и наведеном формату.
Виресхарк је анализатор пакета који циркулишу на мрежи, овај софтвер се може покренути на Линук -у, Виндовс -у, ОС Кс -у, Соларис -у.
Софтвер можемо преузети са званичне странице Виресхарк, ако желимо да га инсталирамо на Линук, он већ долази у спремишта.

Пошто је Виндовс инсталиран као и сваки програм, у овом водичу ћемо инсталирати за Линук, из прозора терминала ћемо написати следеће команде:
 судо апт-гет инсталл виресхарк
Ако желите да га инсталирате на сервер и управљате софтвером у текстуалном облику, имамо могућност да га инсталирамо у текстуалном режиму, а софтвер се зове Тсхарк. Да бисмо га инсталирали из прозора терминала, пишемо следеће команде:
 судо апт-гет инсталл тсхарк
Затим ћемо морати да извршимо Виресхарк са администраторским привилегијама јер ће морати да има дозволе за приступ мрежи и да може да надгледа пакете које означимо. У нашем случају, за покретање из менија или са терминала користићемо следећу команду:
 гксудо виресхарк
Ово ће од нас тражити корисничко име и лозинку за приступ у администраторском или роот режиму.

Када почнемо, можемо видети листу интерфејса који су доступне мреже, у примеру имамо вифи мрежу влан0 и етхернет етх0, тамо можемо изабрати коју мрежу или интерфејсе желимо да анализирамо.

Испод листе интерфејса имамо опције снимања или опције снимања. Опције укључују анализу у промискуитетном режиму и режиму снимања итд.
У оквиру опција снимања можемо конфигурирати које протоколе и услуге ћемо надзирати како бисмо видјели који процеси и платформе примају и шаљу податке унутар мреже.

Направите филтер за праћење


На траци са филтерима можемо да конфигуришемо врсту надзора који желимо да спроведемо, на пример, на листи интерфејса изаберемо етх0 и притиснемо Старт, отвориће се прозор и видећемо како софтвер хвата све пакете, за корисника постоји много. Софтвер снима многе протоколе, укључујући системске, односно интерне поруке са уређаја и оперативних система.
На пример, притиснемо Филтер, а затим изаберемо ХТТП, па филтрирамо саобраћај само из хттп протокола, односно упита веб страница преко порта 80.
Отварамо прегледач и Гоогле веб локацију Солветиц.цом, Виресхарк ће нам показати хттп и тцп податке који се производе за успостављање везе док видимо да се тцп и хттп протоколи користе за претраживање, а затим приказују веб.

Овде можемо видети постављене захтеве. У оквиру хттп филтера можемо видети различите опције протокола, као што су захтеви, одговори итд. Применом хттп.рекуест филтера могуће је добити све захтеве и одговоре примљене помоћу ГЕТ -а и ПОСТ -а који се извршавају у прегледачу или на свим рачунарима на мрежи, анализирајући захтеве које можемо открити могуће злонамерне активности.
Затим ћемо анализирати снимљене податке, када кликнемо на сваку снимљену ставку, видећемо податке о пакету података, поље Фраме које идентификује величину снимљеног пакета, време које је требало, када је послато и кроз које интерфејси.
Поље Етхернет ИИ припада подацима који се генеришу у слоју везе за пренос података ако видимо ОСИ модел, овде имамо порекло и одредиште, ИП адресе, мац адресе и врсту протокола који се користи.
Поље Интернет Протоцол ће нам показати ИП датаграм са ИП адресама, поље Трансмиссион Цонтрол Протоцол или ТПЦ је оно које довршава ТЦП / ИП протокол преноса. Затим имамо ХТТП заглавља где примамо рендериране податке из веб комуникације.
Видећемо пример где конфигуришемо снимање свих мрежа и веза, када приказујемо листу коју филтрирамо и тражимо поп везе, односно долазну пошту.

Видимо да су све ПОП везе повезане са ИП -ом, односно са ВПС -ом где се налазе налози поште, тако да тамо комуницира.
Ако пошаљемо неке е -поруке, а затим филтрирамо према смтп протоколу, видећемо све поруке послате са сервера или сваког рачунара на мрежи са одговарајућим ИП -ом одакле је послата и одакле је послата, увек можемо користити веб хттп: //ввв.тцпипутилс. цом, за одређивање података одређене ИП адресе.
Још један филтер који можемо применити је ДНС филтер да бисмо могли да видимо који ДНС се консултује и који генерише промет.

У овом случају извршили смо неколико претраживања и можемо видети Гоогле -ов ДНС, оне Гоогле мапа, Гоогле фонтове, аддонс.мозилла и ДНС Фацебоок ћаскања, проверићемо ИП.

Откривамо да је рачунар на нашој мрежи повезан са Фацебоок цхатом и знамо тачно у које време је повезан.
Затим ћемо пратити упите до Мискл сервера. Мрежни администратори обично немају евиденцију упита који се упућују у базу података, али помоћу Виресхарк -а можете пратити све упите и сачувати овај дневник и приказати листу као дневник упита. За филтрирање мискл пакета морамо користити Мискл филтер или мискл.куери ако желимо само да видимо СЕЛЕЦТс или неку посебну наредбу.
Покушаћемо да поставимо неке упите локалном серверу базе података и користећи Сакила тестну базу података која је бесплатна и отвореног кода, базу података коју смо користили у комбинацијама водича МиСКЛ са Иннер Јоин.
Извршимо СКЛ упит и Виресхарк ће снимити сваки упит, изворни ИП упита, одредишни ИП, скл упит, корисника који се пријавио.

Такође, ако видимо један од пакета, то нам говори да му је приступљено помоћу софтвера који се зове Хеидискл.еке и то је небезбедан или сумњив програм.
Иако је са овим софтвером могуће управљати удаљеним базама података, то није најпрепоручљивије јер би било потребно омогућити спољне везе са сервером.

Филтери Виресхарк Има их много и покривају све протоколе мреже, а такође и најпопуларније протоколе веб локација.
Како се пакети пресрећу, можемо анализирати шта се дешава са мрежним прометом, само морамо да кликнемо на пакет који желимо да анализирамо да би нам показали податке.
Ако применимо ХТТП филтер на ПОСТ пакет и кликнемо десни тастер на наведеном пакету, а затим у падајућем менију изаберемо опцију Прати ТЦП ток или Прати проток ТЦП, то значи да видимо све што се производи приликом прављења веба захтев серверу.
Као резултат, добијамо све трансакције кода и хтмл -а које се извршавају у захтеву, ако корисник унесе лозинку за приступ веб локацији, путем ове методе можемо видети лозинку и корисника које користим.

Узимајући у обзир да Виресхарк надзире велики број протокола и услуга у мрежи и све пакете који улазе и излазе, ризик од грешке у коду анализатора могао би довести у опасност безбедност мреже ако не знамо шта је дешава са сваким пакетом, па је важно знати како правилно протумачити информације које нам Виресхарк даје.Да ли вам се допао и помогао овај водич?Можете наградити аутора притиском на ово дугме да бисте му дали позитиван поен
wave wave wave wave wave