Pārveidojiet savu Wireshark darbplūsmu ar Brim operētājsistēmā Linux

pixelnest / Shutterstock

Wireshark ir de facto standarts tīkla trafika analīzei. Diemžēl, pieaugot pakešu uztveršanai, tas kļūst arvien kavētāks. Brim atrisina šo problēmu tik labi, ka tas mainīs jūsu Wireshark darbplūsmu.

Wireshark ir lielisks, bet . . .

Wireshark ir brīnišķīga atvērtā pirmkoda programmatūra. To izmanto gan amatieri, gan profesionāļi visā pasaulē, lai izmeklētu tīkla problēmas. Tas uztver datu paketes, kas pārvietojas pa vadiem vai caur jūsu tīkla ēteri. Kad esat fiksējis trafiku, Wireshark ļauj filtrēt un meklēt datus, izsekot sarunām starp tīkla ierīcēm un daudz ko citu.

Lai arī cik lieliska ir Wireshark, tai ir viena problēma. Tīkla datu uztveršanas faili (saukti par tīkla trasēšanu vai pakešu tveršanu) var kļūt ļoti lieli, ļoti ātri. Tas jo īpaši attiecas uz gadījumiem, kad problēma, kuru mēģināt izmeklēt, ir sarežģīta vai sporādiska, vai tīkls ir liels un aizņemts.

Jo lielāka ir pakešu uztveršana (vai PCAP), jo Wireshark kavējas. Ļoti lielas (jebkas, kas pārsniedz 1 GB) pēdas atvēršana un ielāde var aizņemt tik ilgu laiku, jūs domājat, ka Wireshark ir sasvēries un atteicies no spoka.

Darbs ar šāda izmēra failiem ir patiesas sāpes. Katru reizi, kad veicat meklēšanu vai maināt filtru, jums jāgaida, līdz efekti tiks lietoti datiem un atjaunināti ekrānā. Katra kavēšanās traucē jūsu koncentrēšanos, kas var kavēt jūsu progresu.

Brim ir līdzeklis pret šīm likstām. Tas darbojas kā Wireshark interaktīvs priekšprocesors un priekšgals. Ja vēlaties redzēt Wireshark sniegto granulēto līmeni, Brim uzreiz atver to tieši šajās paketēs.

Ja veicat daudz tīkla tveršanas un pakešu analīzes, Brim mainīs jūsu darbplūsmu.

SAISTĪTI: Kā lietot Wireshark filtrus operētājsistēmā Linux

Brim uzstādīšana

Brim ir ļoti jauns, tāpēc tas vēl nav nokļuvis Linux izplatījumu programmatūras krātuvēs. Tomēr uz Brim lejupielādes lapa , jūs atradīsit DEB un RPM pakotņu failus, tāpēc to instalēšana Ubuntu vai Fedora ir pietiekami vienkārša.

Ja izmantojat citu izplatīšanu, varat lejupielādējiet avota kodu no GitHub un izveidojiet lietojumprogrammu pats.

Brim izmanto |_+_|, komandrindas rīku Zeek žurnālus, tāpēc jums būs arī jālejupielādē ZIP fails, kas satur |_+_| binārie faili.

Brim instalēšana Ubuntu

Ja izmantojat Ubuntu, jums būs jālejupielādē DEB pakotnes fails un |_+_| Linux ZIP fails. Veiciet dubultklikšķi uz lejupielādētā DEB pakotnes faila, un tiks atvērta Ubuntu programmatūras lietojumprogramma. Brim licence ir kļūdaini norādīta kā Patentēta — tā izmanto BSD 3 klauzulu licence .

Noklikšķiniet uz Instalēt.

Kad instalēšana ir pabeigta, veiciet dubultklikšķi uz |_+_| ZIP failu, lai palaistu lietojumprogrammu Archive Manager. ZIP failā būs viens direktorijs; velciet un nometiet to no Arhīvu pārvaldnieka uz vietu datorā, piemēram, lejupielāžu direktoriju.

Mēs ierakstām šo, lai izveidotu atrašanās vietu |_+_| binārie faili:

Mums ir jākopē binārie faili no izvilktā direktorija uz tikko izveidoto vietu. Aizstājiet savā datorā izvilktā direktorija ceļu un nosaukumu ar šādu komandu:

Šī atrašanās vieta ir jāpievieno ceļam, tāpēc mēs rediģēsim BASHRC failu:

Tiks atvērts gedit redaktors. Ritiniet līdz faila apakšdaļai un pēc tam ierakstiet šo rindiņu:

Saglabājiet izmaiņas un aizveriet redaktoru.

Brim instalēšana uz Fedora

Lai instalētu Brim uz Fedora, lejupielādējiet RPM pakotnes failu (nevis DEB) un pēc tam veiciet tās pašas darbības, kas aprakstītas iepriekš Ubuntu instalēšanai.

Interesanti, ka, kad RPM fails tiek atvērts programmā Fedora, tas tiek pareizi identificēts kā atvērtā pirmkoda licence, nevis patentēta.

Brim palaišana

Dokā noklikšķiniet uz Show Applications vai nospiediet Super+A. Meklēšanas lodziņā ierakstiet mala un pēc tam noklikšķiniet uz Brim, kad tas tiek parādīts.

Brim palaiž un parāda galveno logu. Varat noklikšķināt uz Izvēlēties failus, lai atvērtu failu pārlūkprogrammu, vai vilkt un nomest PCAP failu apgabalā, ko ieskauj sarkanais taisnstūris.

Brim izmanto displeju ar cilnēm, un vienlaikus var atvērt vairākas cilnes. Lai atvērtu jaunu cilni, augšpusē noklikšķiniet uz pluszīmes (+) un pēc tam atlasiet citu PCAP.

Brim Basics

Brim ielādē un indeksē atlasīto failu. Indekss ir viens no iemesliem, kāpēc Brim ir tik ātrs. Galvenajā logā ir pakešu apjoma histogramma laika gaitā un tīkla plūsmu saraksts.

PCAP failā ir laika kārtībā sakārtota tīkla pakešu straume daudziem tīkla savienojumiem. Datu paketes dažādiem savienojumiem ir sajauktas, jo dažas no tām tiks atvērtas vienlaikus. Katras tīkla sarunas paketes ir mijas ar citu sarunu paketēm.

Wireshark parāda tīkla straumes pa paketi pa paketi, savukārt Brim izmanto koncepciju, ko sauc par plūsmām. Plūsma ir pilnīga tīkla apmaiņa (vai saruna) starp divām ierīcēm. Katrs plūsmas veids ir iedalīts kategorijās, apzīmēts ar krāsu un marķēts pēc plūsmas veida. Jūs redzēsit plūsmas ar apzīmējumiem dns, ssh, https, ssl un daudzas citas.

Ja ritināsit plūsmas kopsavilkuma displeju pa kreisi vai pa labi, tiks parādīts daudz vairāk kolonnu. Varat arī pielāgot laika periodu, lai parādītu informācijas apakškopu, kuru vēlaties redzēt. Tālāk ir norādīti daži veidi, kā varat skatīt datus.

• Noklikšķiniet uz joslas histogrammā, lai tuvinātu tajā tīkla darbību.
• Noklikšķiniet un velciet, lai iezīmētu histogrammas displeja diapazonu un tuvinātu. Pēc tam Brim parādīs datus no iezīmētās sadaļas.
• Laukos Datums un Laiks varat arī norādīt precīzus periodus.

Brim var attēlot divas sānu rūtis: vienu kreisajā un otru labajā pusē. Tie var būt paslēpti vai palikt redzami. Rūts kreisajā pusē parāda meklēšanas vēsturi un atvērto PCAP sarakstu, ko sauc par atstarpēm. Nospiediet Ctrl+[, lai ieslēgtu vai izslēgtu kreiso rūti.

Rūtī labajā pusē ir detalizēta informācija par iezīmēto plūsmu. Nospiediet Ctrl+], lai ieslēgtu vai izslēgtu labo rūti.

UID korelācijas sarakstā noklikšķiniet uz Conn, lai atvērtu iezīmētās plūsmas savienojuma diagrammu.

Galvenajā logā varat arī iezīmēt plūsmu un pēc tam noklikšķināt uz Wireshark ikonas. Tas palaiž programmu Wireshark, un tiek parādītas iezīmētās plūsmas paketes.

Tiek atvērts Wireshark, parādot interesējošās paketes.

Filtrēšana malās

Meklēšana un filtrēšana pakalpojumā Brim ir elastīga un visaptveroša, taču, ja nevēlaties, jums nav jāapgūst jauna filtrēšanas valoda. Varat izveidot sintaktiski pareizu filtru programmā Brim, noklikšķinot uz laukiem kopsavilkuma logā un pēc tam atlasot opcijas no izvēlnes.

Piemēram, zemāk esošajā attēlā mēs ar peles labo pogu noklikšķinājām uz DNS lauka. Pēc tam konteksta izvēlnē atlasīsim Filtrs = Vērtība.

Pēc tam notiek šādas lietas:

• Teksts |_+_| tiek pievienots meklēšanas joslai.
• Šis filtrs tiek lietots PCAP failam, tāpēc tas parādīs tikai tās plūsmas, kas ir domēna nosaukumu pakalpojuma (DNS) plūsmas.
• Filtra teksts tiek pievienots arī meklēšanas vēsturei kreisajā rūtī.

Mēs varam pievienot papildu teikumus meklēšanas vienumam, izmantojot to pašu paņēmienu. Ar peles labo pogu noklikšķināsim uz IP adreses lauka (kurā ir 192.168.1.26) kolonnā Id.orig_h un pēc tam konteksta izvēlnē atlasiet Filtrs = Vērtība.

Tādējādi papildu klauzula tiek pievienota kā klauzula UN. Displejs tagad ir filtrēts, lai parādītu DNS plūsmas, kas radušās no šīs IP adreses (192.168.1.26).

Jaunais filtra vienums tiek pievienots meklēšanas vēsturei kreisajā rūtī. Varat pāriet starp meklējumiem, noklikšķinot uz vienumiem meklēšanas vēstures sarakstā.

Lielākajai daļai mūsu filtrēto datu galamērķa IP adrese ir 81.139.56.100. Lai redzētu, kuras DNS plūsmas tika nosūtītas uz dažādām IP adresēm, ar peles labo pogu noklikšķiniet uz 81.139.56.100 kolonnā Id_resp_h un pēc tam konteksta izvēlnē atlasiet Filtrēt != Vērtība.

Tikai viena DNS plūsma, kas radusies no 192.168.1.26, netika nosūtīta uz 81.139.56.100, un mēs esam to atraduši, neko neievadot, lai izveidotu filtru.

Filtru klauzulu piespraušana

Ar peles labo pogu noklikšķinot uz HTTP plūsmas un konteksta izvēlnē atlasot Filtrs = Vērtība, kopsavilkuma rūtī tiks parādītas tikai HTTP plūsmas. Pēc tam mēs varam noklikšķināt uz ikonas Piespraust blakus HTTP filtra klauzulai.

HTTP klauzula tagad ir piesprausta vietā, un visi citi mūsu izmantotie filtri vai meklēšanas vienumi tiks izpildīti ar HTTP klauzulu.

Ja meklēšanas joslā ierakstām GET, meklēšana tiks ierobežota ar plūsmām, kuras jau ir filtrētas ar piesprausto klauzulu. Varat piespraust tik daudz filtra klauzulu, cik nepieciešams.

Lai meklētu POST paketes HTTP plūsmās, vienkārši notīriet meklēšanas joslu, ierakstiet POST un pēc tam nospiediet taustiņu Enter.

Ritinot uz sāniem, tiek atklāts attālā saimniekdatora ID.

Visi meklēšanas un filtra vienumi tiek pievienoti vēstures sarakstam. Lai atkārtoti lietotu jebkuru filtru, vienkārši noklikšķiniet uz tā.

Varat arī meklēt attālo saimniekdatoru pēc nosaukuma.

Meklēšanas nosacījumu rediģēšana

Ja vēlaties kaut ko meklēt, bet neredzat šāda veida plūsmu, varat noklikšķināt uz jebkuras plūsmas un rediģēt ierakstu meklēšanas joslā.

Piemēram, mēs zinām, ka PCAP failā ir jābūt vismaz vienai SSH plūsmai, jo mēs to izmantojām zq lai nosūtītu dažus failus uz citu datoru, bet mēs to nevaram redzēt.

Tātad, mēs ar peles labo pogu noklikšķināsim uz citas plūsmas, konteksta izvēlnē atlasiet Filtrs = Vērtība un pēc tam rediģēsim meklēšanas joslu, lai teiktu ssh, nevis dns.

Mēs nospiežam taustiņu Enter, lai meklētu SSH plūsmas un atrastu tikai vienu.

Nospiežot taustiņu kombināciju Ctrl+], tiek atvērta labā rūts, kurā tiek parādīta detalizēta informācija par šo plūsmu. Ja fails tika pārsūtīts plūsmas laikā, MD5 , SHA1 , un SHA256 parādās hash.

Ar peles labo pogu noklikšķiniet uz jebkura no tiem un pēc tam konteksta izvēlnē atlasiet VirusTotal Lookup, lai atvērtu pārlūkprogrammu VirusTotal vietni un nododiet jaucējkodu pārbaudei.

VirusTotal saglabā zināmās ļaunprogrammatūras un citu ļaunprātīgu failu jaucējkodus. Ja neesat pārliecināts, vai fails ir drošs, tas ir vienkāršs veids, kā pārbaudīt, pat ja jums vairs nav piekļuves failam.

Ja fails ir labdabīgs, jūs redzēsit tālāk esošajā attēlā redzamo ekrānu.

Lielisks Wireshark papildinājums

Brim padara darbu ar Wireshark vēl ātrāku un vienkāršāku, ļaujot strādāt ar ļoti lieliem pakešu uztveršanas failiem. Izmēģiniet to šodien!

• › Kā atrast savu Spotify iesaiņojumu 2021. gadam
• › Datora mape ir 40: kā Xerox Star izveidoja darbvirsmu
• & rsaquo; Kiberpirmdiena 2021: labākie tehnoloģiju piedāvājumi
• › 5 vietnes, kas katram Linux lietotājam ir jāiekļauj grāmatzīmēs
• › Kas ir MIL-SPEC aizsardzība pret kritienu?
• › Funkcijas un formulas programmā Microsoft Excel: kāda ir atšķirība?