Представљање и инсталирање Нетсниффа
А. њушкало је алат који се користи за хватање пакета промета са мреже и анализу пакета уживо док се користи једна или више мрежа, декодира их према спецификацијама протокола који могу бити ТЦП, ИЦМП или други. Софтвер Нетснифф-нг је скуп алата, бесплатан је и ради под Линуком.
Његове перформансе су веома високе јер ради из командне линије, тако да се пријем и пренос пакета врши директно у меморији рачунара или сервера. Нетснифф-нг је креиран као мрежни њушкач бити уграђен у језгро Линука за мрежне пакете.
Нетснифф-нг, снимите сав саобраћај у реалном времену и генерише датотеке у пцап формату које се затим могу анализирати помоћу софтвера Виресхарк. Алатка нетснифф-нг доступна је за све дистрибуције оперативних система као што су Линук Убунту, Дебиан, Федора и њихови деривати. Можемо га пронаћи и у посебним дистрибуцијама за форензичке задатке.
Претпоставићемо да Убутну дистро тестирамо у овом водичу и видећемо два начина инсталације, један из спремишта:
судо апт-гет инсталл нетснифф-нг
Други начин инсталације је преузимање апликације са званичне веб локације хттп: //пуб.нетснифф-… рг / нетснифф-нг / и распакирање, а затим приступ фасцикли и покретање следећих команди:
сх./конфигурирати маке судо маке инсталлЗатим ћемо видети како да ухватимо саобраћај, за то морамо да доделимо мрежни интерфејс који желимо да анализирамо, на пример етх0 за кабловску везу влан0 за вифи, стога ћемо користити следеће команде:
судо нетснифф-нг -и етх0 --оут /хоме/миусер/цаптуре-етх0.пцап
Користимо -тит да сачувате све снимке у пцап датотеци коју затим можемо отворити помоћу Виресхарк -а. Идемо на мени Датотека> Отвори и увозимо пцап датотеку коју смо генерисали.
Затим можемо почети са анализом, на пример, тражићемо промет остварен на страници Солветиц.
Можемо видети да је из мрежног интерфејса етх0 који је прегледавао путем хттп -а, на страници са упутствима Солветиц, такође могуће видети да је то учињено из Цхроме -а и са ког ИП -а је преиспитан.
Алат омогућава хватање пакета са уређаја повезаног на мрежу и креирање датотека са свим ПЦАП -ом, ова датотека са хватањем се такође може користити за снимање само једног протокола који нас занима, на пример ТЦП, односно хватамо само промет који улази преко интерфејса етх0 и шаље га у датотеку.
нетснифф -нг -ин етх0 -оут трапс -тцп -етх0.пцап -с тцп
Видимо да у овом случају хватамо све пакете који користе ТЦП и ХТТП протоколе који се преносе преко мрежног интерфејса етх0. Помоћу параметра указујемо да ће заробљени саобраћај бити сачуван у пцап датотеци, такође можемо навести и други мрежни интерфејс за преусмеравање саобраћаја са једне мреже на другу.
ПретходнаСтраница 1 од 3Следећи