Transformoni rrjedhën tuaj të punës Wireshark me Brim në Linux
Wireshark është standardi de fakto për analizimin e trafikut të rrjetit. Fatkeqësisht, ajo bëhet gjithnjë e më e vonuar ndërsa kapja e paketave rritet. Brim e zgjidh kaq mirë këtë problem, saqë do të ndryshojë rrjedhën tuaj të punës Wireshark.
Wireshark është i shkëlqyeshëm, por . . .
Wireshark është një pjesë e mrekullueshme e softuerit me burim të hapur. Përdoret nga amatorë dhe profesionistë në mbarë botën për të hetuar çështjet e rrjetit. Ai kap paketat e të dhënave që udhëtojnë nëpër tela ose përmes eterit të rrjetit tuaj. Pasi të keni kapur trafikun tuaj, Wireshark ju lejon të filtroni dhe kërkoni përmes të dhënave, të gjurmoni bisedat midis pajisjeve të rrjetit dhe shumë më tepër.
Sado i madh që është Wireshark, megjithatë, ai ka një problem. Skedarët e kapjes së të dhënave të rrjetit (të quajtura gjurmë rrjeti ose kapje paketash), mund të bëhen shumë të mëdha, shumë shpejt. Kjo është veçanërisht e vërtetë nëse çështja që po përpiqeni të hetoni është komplekse ose sporadike, ose nëse rrjeti është i madh dhe i zënë.
Sa më i madh të jetë kapja e paketave (ose PCAP), aq më i vonuar bëhet Wireshark. Thjesht hapja dhe ngarkimi i një gjurme shumë të madhe (çdo gjë mbi 1 GB) mund të zgjasë kaq shumë, do të mendonit se Wireshark kishte ngelur dhe kishte hequr dorë nga fantazma.
Të punosh me skedarë të asaj madhësie është një dhimbje e vërtetë. Sa herë që kryeni një kërkim ose ndryshoni një filtër, duhet të prisni që efektet të aplikohen në të dhënat dhe të përditësohen në ekran. Çdo vonesë prish përqendrimin tuaj, gjë që mund të pengojë përparimin tuaj.
Gryka është ilaçi për këto halle. Ai vepron si një paraprocesor interaktiv dhe pjesë e përparme për Wireshark. Kur dëshironi të shihni nivelin e grimcuar që Wireshark mund të sigurojë, Brim e hap atë menjëherë për ju pikërisht në ato pako.
Nëse bëni shumë analiza të kapjes së rrjetit dhe paketave, Brim do të revolucionarizojë rrjedhën tuaj të punës.
Instalimi i Brim
Brim është shumë i ri, kështu që nuk ka hyrë ende në depot e softuerit të shpërndarjeve Linux. Sidoqoftë, në faqen e shkarkimit të Brim, do të gjeni skedarë të paketave DEB dhe RPM, kështu që instalimi i tij në Ubuntu ose Fedora është mjaft i thjeshtë.
Nëse përdorni një shpërndarje tjetër, mund ta shkarkoni kodin burim nga GitHub dhe ta ndërtoni vetë aplikacionin.
Brim përdor zq
, një mjet i linjës komande për regjistrat Zeek, kështu që do t'ju duhet gjithashtu të shkarkoni një skedar ZIP që përmban binarët zq
.
Instalimi i Brim në Ubuntu
Nëse jeni duke përdorur Ubuntu, do t'ju duhet të shkarkoni skedarin e paketës DEB dhe skedarin zq
Linux ZIP. Klikoni dy herë në skedarin e shkarkuar të paketës DEB dhe do të hapet aplikacioni Ubuntu Software. Licenca Brim është renditur gabimisht si Pronësi—ajo përdor licencën BSD me 3 klauzola.
Klikoni Instalo.
Kur instalimi të ketë përfunduar, klikoni dy herë mbi skedarin zq
ZIP për të hapur aplikacionin Menaxheri i arkivit. Skedari ZIP do të përmbajë një direktori të vetme; tërhiqeni dhe lëshojeni nga Menaxheri i Arkivit në një vendndodhje në kompjuterin tuaj, si direktoria Shkarkime.
Ne shtypim sa vijon për të krijuar një vendndodhje për binarët zq
:
sudo mkdir /opt/zeek
Ne duhet të kopjojmë binaret nga drejtoria e nxjerrë në vendndodhjen që sapo krijuam. Zëvendësoni shtegun dhe emrin e drejtorisë së nxjerrë në kompjuterin tuaj në komandën e mëposhtme:
sudo cp Downloads/zq-v0.20.0.linux-amd64/* /opt/Zeek
Ne duhet të shtojmë atë vendndodhje në shtegun, kështu që ne do të modifikojmë skedarin BASHRC:
sudo gedit .bashrc
Redaktori gedit do të hapet. Lëvizni në fund të skedarit dhe më pas shkruani këtë rresht:
export PATH=$PATH:/opt/zeek
Ruani ndryshimet tuaja dhe mbyllni redaktorin.
Instalimi i Brim në Fedora
Për të instaluar Brim në Fedora, shkarkoni skedarin e paketës RPM (në vend të DEB) dhe më pas ndiqni të njëjtat hapa që mbuluam për instalimin e Ubuntu më sipër.
Është interesante se kur skedari RPM hapet në Fedora, ai identifikohet saktë se ka një licencë me burim të hapur, në vend të një të pronarit.
Nisja e Brim
Klikoni Shfaq aplikacionet në dok ose shtypni Super+A. Shkruani brim në kutinë e kërkimit dhe më pas klikoni Brim kur të shfaqet.
Brim hapet dhe shfaq dritaren e saj kryesore. Mund të klikoni Zgjidh skedarët për të hapur një shfletues skedari ose tërhiqni dhe lëshoni një skedar PCAP në zonën e rrethuar nga drejtkëndëshi i kuq.
Brim përdor një ekran me skeda, dhe ju mund të hapni disa skeda në të njëjtën kohë. Për të hapur një skedë të re, klikoni shenjën plus (+) në krye dhe më pas zgjidhni një PCAP tjetër.
Bazat e buzës
Brim ngarkon dhe indekson skedarin e zgjedhur. Indeksi është një nga arsyet pse Brim është kaq i shpejtë. Dritarja kryesore përmban një histogram të vëllimeve të paketave me kalimin e kohës dhe një listë të rrjedhjeve të rrjetit.
Një skedar PCAP mban një rrjedhë të paketave të rrjetit të renditura sipas kohës për një numër të madh lidhjesh rrjeti. Paketat e të dhënave për lidhjet e ndryshme janë të përziera sepse disa prej tyre do të jenë hapur njëkohësisht. Paketat për çdo bisedë në rrjet ndërthuren me paketat e bisedave të tjera.
Wireshark shfaq rrymën e rrjetit pako për paketë, ndërsa Brim përdor një koncept të quajtur fluks. Një rrjedhë është një shkëmbim i plotë i rrjetit (ose bisedë) midis dy pajisjeve. Çdo lloj rrjedhje kategorizohet, kodohet me ngjyra dhe etiketohet sipas llojit të rrjedhës. Do të shihni flukse të etiketuara dns, ssh, https, ssl dhe shumë të tjera.
Nëse lëvizni në ekranin e përmbledhjes së rrjedhës majtas ose djathtas, do të shfaqen shumë kolona të tjera. Ju gjithashtu mund të rregulloni periudhën kohore për të shfaqur nëngrupin e informacionit që dëshironi të shihni. Më poshtë janë disa mënyra se si mund të shikoni të dhënat:
- Kliko një shirit në histogram për të zmadhuar aktivitetin e rrjetit brenda tij.
- Klikoni dhe tërhiqeni për të nënvizuar një gamë të ekranit të histogramit dhe zmadhoni. Më pas Brim do të shfaqë të dhënat nga seksioni i theksuar.
- Mund të specifikoni gjithashtu periudha të sakta në fushat Data dhe Ora.
Brim mund të shfaqë dy panele anësore: një në të majtë dhe një në të djathtë. Këto mund të fshihen ose të mbeten të dukshme. Paneli në të majtë tregon një histori kërkimi dhe listë të PCAP-ve të hapura, të quajtura hapësira. Shtypni Ctrl+[ për të aktivizuar ose çaktivizuar panelin e majtë.
Paneli në të djathtë përmban informacion të detajuar rreth rrjedhës së theksuar. Shtypni Ctrl+] për të aktivizuar ose çaktivizuar panelin e djathtë.
Klikoni Conn në listën UID Correlation për të hapur një diagram lidhjeje për rrjedhën e theksuar.
Në dritaren kryesore, mund të nënvizoni gjithashtu një rrjedhë dhe më pas të klikoni ikonën Wireshark. Kjo nis Wireshark me paketat për rrjedhën e theksuar të shfaqur.
Wireshark hapet, duke shfaqur paketat me interes.
Filtrim në buzë
Kërkimi dhe filtrimi në Brim janë fleksibël dhe gjithëpërfshirës, por nuk keni pse të mësoni një gjuhë të re filtrimi nëse nuk dëshironi. Mund të ndërtoni një filtër të saktë sintaksor në Brim duke klikuar fushat në dritaren e përmbledhjes dhe më pas duke zgjedhur opsionet nga një meny.
Për shembull, në imazhin më poshtë, ne klikuam me të djathtën në një fushë dns. Më pas do të zgjedhim Filter=Vlera nga menyja e kontekstit.
Më pas ndodhin gjërat e mëposhtme:
- Teksti
_path=\dns\
është shtuar në shiritin e kërkimit. - Ai filtër aplikohet në skedarin PCAP, kështu që do të shfaqë vetëm flukset që janë flukse të Shërbimit të Emrit të Domenit (DNS).
- Teksti i filtrit shtohet gjithashtu në historikun e kërkimit në panelin e majtë.
Ne mund të shtojmë klauzola të tjera në termin e kërkimit duke përdorur të njëjtën teknikë. Do të klikojmë me të djathtën në fushën e adresës IP (që përmban 192.168.1.26) në kolonën Id.orig_h dhe më pas zgjedhim Filter=Vlera nga menyja e kontekstit.
Kjo shton klauzolën shtesë si një klauzolë DHE. Ekrani tani është filtruar për të shfaqur flukset DNS që kanë origjinën nga ajo adresë IP (192.168.1.26).
Termi i ri i filtrit shtohet në historikun e kërkimit në panelin e majtë. Ju mund të kaloni midis kërkimeve duke klikuar artikujt në listën e historisë së kërkimit.
Adresa IP e destinacionit për shumicën e të dhënave tona të filtruara është 81.139.56.100. Për të parë se cilat flukse DNS janë dërguar në adresa të ndryshme IP, ne klikojmë me të djathtën 81.139.56.100 në kolonën Id_resp_h dhe më pas zgjedhim Filter != Value nga menyja e kontekstit.
Vetëm një fluks DNS që filloi nga 192.168.1.26 nuk u dërgua te 81.139.56.100 dhe ne e kemi gjetur atë pa pasur nevojë të shkruajmë asgjë për të krijuar filtrin tonë.
Gozhdimi i klauzolave të filtrit
Kur klikojmë me të djathtën mbi një rrjedhë HTTP dhe zgjedhim Filter=Vlera nga menyja e kontekstit, paneli përmbledhës do të shfaqë vetëm rrjedhat HTTP. Më pas mund të klikojmë ikonën Pin pranë klauzolës së filtrit HTTP.
Klauzola HTTP tani është e fiksuar në vend dhe çdo filtër tjetër ose term kërkimi që përdorim do të ekzekutohet me klauzolën HTTP që u është vendosur atyre.
Nëse shkruajmë GET në shiritin e kërkimit, kërkimi do të kufizohet në rrjedhat që tashmë janë filtruar nga klauzola e fiksuar. Ju mund të vendosni sa më shumë klauzola filtri sa të jetë e nevojshme.
Për të kërkuar paketa POST në rrjedhat HTTP, thjesht pastrojmë shiritin e kërkimit, shkruajmë POST dhe më pas shtypim Enter.
Lëvizja anash zbulon ID-në e hostit në distancë.
Të gjitha termat e kërkimit dhe të filtrit shtohen në listën Historia. Për të riaplikuar çdo filtër, thjesht klikoni mbi të.
Ju gjithashtu mund të kërkoni për një host të largët me emër.
Redaktimi i kushteve të kërkimit
Nëse dëshironi të kërkoni për diçka, por nuk shihni një rrjedhë të atij lloji, mund të klikoni çdo rrjedhë dhe të modifikoni hyrjen në shiritin e kërkimit.
Për shembull, ne e dimë se duhet të ketë të paktën një rrjedhë SSH në skedarin PCAP sepse kemi përdorur rsync
për të dërguar disa skedarë në një kompjuter tjetër, por nuk mund ta shohim atë.
Pra, ne do të klikojmë me të djathtën në një rrjedhë tjetër, do të zgjedhim Filter=Vlera nga menyja e kontekstit dhe më pas do të modifikojmë shiritin e kërkimit për të thënë ssh në vend të dns.
Ne shtypim Enter për të kërkuar për rrjedhat SSH dhe për të gjetur se ka vetëm një.
Shtypja e Ctrl+] hap panelin e djathtë, i cili tregon detajet për këtë rrjedhë. Nëse një skedar është transferuar gjatë një rrjedhe, shfaqen hash-et MD5, SHA1 dhe SHA256.
Klikoni me të djathtën në ndonjë nga këto dhe më pas zgjidhni VirusTotal Lookup nga menyja e kontekstit për të hapur shfletuesin tuaj në faqen e internetit të VirusTotal dhe kaloni në hash për kontroll.
VirusTotal ruan hash-et e malware-ve të njohur dhe skedarëve të tjerë me qëllim të keq. Nëse nuk jeni të sigurt nëse një skedar është i sigurt, kjo është një mënyrë e thjeshtë për të kontrolluar, edhe nëse nuk keni më akses në skedar.
Nëse skedari është i mirë, do të shihni ekranin e treguar në imazhin më poshtë.
Plotësuesi i përsosur për Wireshark
Brim e bën punën me Wireshark edhe më të shpejtë dhe më të lehtë duke ju lejuar të punoni me skedarë shumë të mëdhenj të kapjes së paketave. Jepini një provë sot!