Barevné ethernetové kabely.

pixelnest / Shutterstock

Wireshark je de facto standardem pro analýzu síťového provozu. Bohužel se stále více zpožďuje, jak roste zachycení paketů. Okraj řeší tento problém tak dobře, že změní váš pracovní postup Wireshark.



Wireshark je skvělý, ale . . .

Wireshark je skvělý kus open-source softwaru. Používají ho amatéři i profesionálové po celém světě k prošetření problémů se sítí. Zachycuje datové pakety, které putují po drátech nebo přes ether vaší sítě. Jakmile zachytíte svůj provoz, Wireshark vám umožní filtrovat a prohledávat data, sledovat konverzace mezi síťovými zařízeními a mnoho dalšího.

I když je Wireshark skvělý, má jeden problém. Soubory pro zachycení síťových dat (nazývané trasování sítě nebo zachycení paketů) mohou být velmi velké a velmi rychle. To platí zejména v případě, že problém, který se snažíte prošetřit, je složitý nebo sporadický nebo je síť velká a vytížená.

Čím větší je zachycení paketů (nebo PCAP), tím se Wireshark zpožďuje. Pouhé otevření a načtení velmi velkého (cokoli nad 1 GB) trasování může trvat tak dlouho, že byste si mysleli, že Wireshark přeskočil a vzdal ducha.

Práce se soubory takové velikosti je opravdová bolest. Pokaždé, když provádíte vyhledávání nebo měníte filtr, musíte počkat, než se efekty aplikují na data a aktualizují se na obrazovce. Každé zpoždění narušuje vaši koncentraci, což může bránit vašemu pokroku.

reklama

Okraj je lékem na tyto strasti. Funguje jako interaktivní preprocesor a front-end pro Wireshark. Když chcete vidět granulární úroveň, kterou Wireshark může poskytnout, Brim vám ji okamžitě otevře přesně na těchto paketech.

Pokud hodně zachytáváte sítě a analyzujete pakety, Brim změní váš pracovní postup.

PŘÍBUZNÝ: Jak používat filtry Wireshark v systému Linux

Instalace Brim

Brim je velmi nový, takže se ještě nedostal do softwarových úložišť linuxových distribucí. Nicméně, na Stránka ke stažení Brim , najdete soubory balíčků DEB a RPM, takže instalace na Ubuntu nebo Fedoru je dostatečně jednoduchá.

Pokud používáte jinou distribuci, můžete stáhněte si zdrojový kód z GitHubu a sestavte si aplikaci sami.

Brim používá |_+_|, nástroj příkazového řádku pro Zeek logy, takže si také budete muset stáhnout soubor ZIP obsahující |_+_| dvojhvězdy.

Instalace Brim na Ubuntu

Pokud používáte Ubuntu, budete si muset stáhnout soubor balíčku DEB a |_+_| Linux soubor ZIP. Poklepejte na stažený soubor balíčku DEB a otevře se aplikace Ubuntu Software. Licence Brim je mylně uvedena jako Proprietární – používá Licence BSD 3-Clause .

Klikněte na Instalovat.

Klikněte

reklama

Po dokončení instalace poklepejte na |_+_| ZIP pro spuštění aplikace Správce archivů. Soubor ZIP bude obsahovat jeden adresář; přetáhněte jej ze Správce archivu do umístění v počítači, například do adresáře Stažené soubory.

Zadáme následující, abychom vytvořili umístění pro |_+_| binární soubory:

zq

Potřebujeme zkopírovat binární soubory z extrahovaného adresáře do umístění, které jsme právě vytvořili. Nahraďte cestu a název extrahovaného adresáře na vašem počítači v následujícím příkazu:

zq

Toto umístění musíme přidat do cesty, takže upravíme soubor BASHRC:

zq

Otevře se editor gedit. Přejděte na konec souboru a zadejte tento řádek:

zq

Soubor BASHRC v editoru gedit s exportem řádku PATH=$PATH:/opt/zeek.

Uložte změny a zavřete editor.

Instalace Brim na Fedoru

Chcete-li nainstalovat Brim na Fedoru, stáhněte si soubor balíčku RPM (místo DEB) a poté postupujte podle stejných kroků, které jsme popsali pro instalaci Ubuntu výše.

reklama

Je zajímavé, že když se soubor RPM otevře ve Fedoře, je správně identifikován jako licence s otevřeným zdrojovým kódem, nikoli proprietární.

Spuštění Brim

Klikněte na Zobrazit aplikace v doku nebo stiskněte Super+A. Do pole Hledat zadejte brim, a když se zobrazí, klikněte na Brim.

Typ

Brim se spustí a zobrazí své hlavní okno. Klepnutím na Vybrat soubory otevřete prohlížeč souborů nebo přetáhněte soubor PCAP do oblasti ohraničené červeným obdélníkem.

Hlavní okno Brim po spuštění.

Brim používá displej s kartami a můžete mít otevřeno více karet současně. Chcete-li otevřít novou kartu, klikněte na znaménko plus (+) nahoře a poté vyberte jiný PCAP.

Základy Brim

Brim načte a indexuje vybraný soubor. Index je jedním z důvodů, proč je Brim tak rychlý. Hlavní okno obsahuje histogram objemů paketů v průběhu času a seznam síťových toků.

Hlavní okno Brim s načteným souborem PCAP.

Soubor PCAP obsahuje časově uspořádaný proud síťových paketů pro velké množství síťových připojení. Datové pakety pro různá spojení se prolínají, protože některé z nich budou otevřeny současně. Pakety pro každou síťovou konverzaci jsou proloženy pakety jiných konverzací.

reklama

Wireshark zobrazuje síťový proud paket po paketu, zatímco Brim používá koncept zvaný toky. Tok je kompletní síťová výměna (nebo konverzace) mezi dvěma zařízeními. Každý typ toku je kategorizován, barevně označen a označen podle typu toku. Uvidíte toky označené dns, ssh, https, ssl a mnoho dalších.

Pokud posouváte zobrazení souhrnu toku doleva nebo doprava, zobrazí se mnohem více sloupců. Můžete také upravit časové období pro zobrazení podmnožiny informací, které chcete vidět. Níže uvádíme několik způsobů, jak zobrazit data:

  • Klepnutím na pruh v histogramu přiblížíte síťovou aktivitu v něm.
  • Kliknutím a tažením zvýrazníte rozsah zobrazení histogramu a přiblížíte. Brim poté zobrazí data ze zvýrazněné části.
  • V polích Datum a Čas můžete také zadat přesné období.

Brim může zobrazit dva boční panely: jeden nalevo a jeden napravo. Ty mohou být skryty nebo zůstat viditelné. Podokno vlevo zobrazuje historii vyhledávání a seznam otevřených PCAP, nazývaných mezery. Stisknutím Ctrl+[ zapněte nebo vypněte levý panel.

The

Podokno vpravo obsahuje podrobné informace o zvýrazněném toku. Stisknutím Ctrl+] zapněte nebo vypněte pravé podokno.

A zvýrazněno

Kliknutím na Conn v seznamu UID Correlation otevřete diagram připojení pro zvýrazněný tok.

Klikněte

V hlavním okně můžete také zvýraznit tok a poté kliknout na ikonu Wireshark. Tím se spustí Wireshark se zobrazenými pakety pro zvýrazněný tok.

Otevře se Wireshark a zobrazí se zajímavé pakety.

Pakety vybrané z Brim zobrazené ve Wiresharku.

Filtrování v Brim

Vyhledávání a filtrování v Brim je flexibilní a komplexní, ale pokud nechcete, nemusíte se učit nový jazyk filtrování. Syntakticky správný filtr v Brim můžete vytvořit kliknutím na pole v okně souhrnu a poté výběrem možností z nabídky.

reklama

Například na obrázku níže jsme klikli pravým tlačítkem na pole DNS. Poté z kontextové nabídky vybereme Filtr = Hodnota.

Kontextová nabídka v okně souhrnu.

Poté nastanou následující věci:

  • Text |_+_| se přidá do vyhledávacího pole.
  • Tento filtr je aplikován na soubor PCAP, takže zobrazí pouze toky, které jsou toky DNS (Domain Name Service).
  • Text filtru je také přidán do historie vyhledávání v levém podokně.

Souhrnná obrazovka filtrovaná DNS.

Stejnou technikou můžeme k hledanému výrazu přidat další věty. Klikneme pravým tlačítkem na pole IP adresy (obsahující 192.168.1.26) ve sloupci Id.orig_h a poté z kontextové nabídky vybereme Filtr = Hodnota.

Tím se přidá další klauzule jako klauzule AND. Displej je nyní filtrován a zobrazuje toky DNS, které pocházejí z této adresy IP (192.168.1.26).

Souhrnná obrazovka filtrovaná podle typu toku a IP adresy.

Nový výraz filtru se přidá do historie vyhledávání v levém podokně. Mezi vyhledáváními můžete přeskakovat kliknutím na položky v seznamu historie vyhledávání.

Cílová IP adresa většiny našich filtrovaných dat je 81.139.56.100. Chcete-li zjistit, které toky DNS byly odeslány na různé adresy IP, klepněte pravým tlačítkem myši na 81.139.56.100 ve sloupci Id_resp_h a z kontextové nabídky vyberte Filtr != Hodnota.

Souhrnná obrazovka s vyhledávacím filtrem obsahujícím

reklama

Pouze jeden tok DNS, který pocházel z 192.168.1.26, nebyl odeslán na 81.139.56.100 a my jsme jej našli, aniž bychom museli cokoli zadávat, abychom vytvořili náš filtr.

Připínací filtrační klauzule

Když klikneme pravým tlačítkem na tok HTTP a z kontextové nabídky vybereme Filtr = Hodnota, v podokně souhrnu se zobrazí pouze toky HTTP. Poté můžeme kliknout na ikonu Pin vedle klauzule HTTP filtru.

Klauzule HTTP je nyní připojena na místo a jakékoli další filtry nebo vyhledávací termíny, které použijeme, budou provedeny s klauzulí HTTP, která k nim bude připojena.

Pokud do vyhledávacího pole napíšeme GET, bude hledání omezeno na toky, které již byly filtrovány připnutou klauzulí. Můžete připnout tolik filtračních klauzulí, kolik je potřeba.

Chcete-li hledat pakety POST v tocích HTTP, jednoduše vymažeme vyhledávací panel, napíšeme POST a stiskneme Enter.

Posouváním do strany odhalíte ID vzdáleného hostitele.

Ovladač

Všechny vyhledávací a filtrované výrazy jsou přidány do seznamu Historie. Chcete-li znovu použít jakýkoli filtr, stačí na něj kliknout.

Automaticky vyplněné

reklama

Vzdáleného hostitele můžete také vyhledat podle názvu.

Hledám

Úprava hledaných výrazů

Pokud chcete něco vyhledat, ale nevidíte tok tohoto typu, můžete kliknout na libovolný tok a upravit záznam ve vyhledávacím poli.

Například víme, že v souboru PCAP musí být alespoň jeden tok SSH, protože jsme použili zq odeslat nějaké soubory do jiného počítače, ale my to nevidíme.

Klikneme tedy pravým tlačítkem na jiný tok, z kontextové nabídky vybereme Filtr = Hodnota a poté upravíme vyhledávací panel tak, aby místo dns řekl ssh.

Stisknutím klávesy Enter vyhledáme toky SSH a zjistíme, že existuje pouze jeden.

Tok SSH v okně souhrnu.

Stisknutím Ctrl+] se otevře pravé podokno, které zobrazuje podrobnosti o tomto postupu. Pokud byl soubor přenesen během toku, MD5 , SHA1 , a SHA256 objeví se hash.

reklama

Klepněte pravým tlačítkem myši na kteroukoli z nich a poté z kontextové nabídky vyberte možnost VirusTotal Lookup, čímž otevřete prohlížeč na adrese VirusTotal webové stránky a předat hash ke kontrole.

VirusTotal ukládá hash známého malwaru a dalších škodlivých souborů. Pokud si nejste jisti, zda je soubor bezpečný, je to snadný způsob kontroly, i když k souboru již nemáte přístup.

Možnosti místní nabídky hash.

Pokud je soubor neškodný, uvidíte obrazovku uvedenou na obrázku níže.

NA

Perfektní doplněk k Wireshark

Brim ještě více zrychluje a usnadňuje práci s Wireshark tím, že vám umožňuje pracovat s velmi velkými soubory pro zachycení paketů. Vyzkoušejte to ještě dnes!

ČTĚTE DALŠÍ
  • › Jak najít zabalené Spotify 2021
  • › Složka Počítač je 40: Jak Xerox Star vytvořil pracovní plochu
  • Kybernetické pondělí 2021: Nejlepší technologické nabídky
  • › 5 webových stránek, které by si měl každý uživatel Linuxu uložit do záložek
  • › Co je MIL-SPEC ochrana proti pádu?
  • › Funkce vs. vzorce v aplikaci Microsoft Excel: Jaký je rozdíl?