Noções básicas do analisador de protocolo de rede Wireshark no Linux

Noções básicas do analisador de protocolo de rede Wireshark no Linux

Wireshark é apenas uma das ferramentas valiosas fornecidas pelo Kali Linux. Como os outros, ele pode ser usado para fins positivos ou negativos. Obviamente, este guia cobrirá o monitoramento seu próprio Tráfego de rede para detectar qualquer atividade potencialmente indesejada.

O Wireshark é incrivelmente poderoso e pode parecer assustador no começo, mas serve ao objetivo único de monitorar o tráfego da rede, e todas essas muitas opções que ele disponibilizam apenas servem para aprimorar sua capacidade de monitoramento.

Instalação

Kali envia com Wireshark. No entanto, o Wireshark-GTK O pacote fornece uma interface melhor que torna o trabalho com o Wireshark uma experiência muito mais amigável. Então, o primeiro passo no uso do Wireshark é instalar o Wireshark-GTK pacote.

# APT Instale Wireshark-GTK

Não se preocupe se você estiver executando Kali em um meio vivo. Ainda vai funcionar.

Configuração básica

Antes de fazer qualquer outra coisa, provavelmente é melhor definir o Wireshark da maneira que você se sentirá mais confortável usando -o. Wireshark oferece vários layouts diferentes, bem como opções que configuram o comportamento do programa. Apesar de seus números, usá -los é bastante direto.

Comece abrindo o wireshark-gtk. Verifique se é a versão GTK. Eles são listados separadamente por Kali.

Layout

Por padrão, o Wireshark tem três seções empilhadas umas sobre as outras. A seção superior é a lista de pacotes. A seção do meio são os detalhes do pacote. A seção inferior contém os bytes de pacotes brutos. Para a maioria dos usos, os dois primeiros são muito mais úteis que os últimos, mas ainda podem ser ótimas informações para usuários mais avançados.

As seções podem ser expandidas e contratadas, mas esse layout empilhado não é para todos. Você pode alterá -lo no menu "Preferências" do Wireshark. Para chegar lá, clique em "Editar" e "Preferências ..." na parte inferior do suspenso. Isso abrirá uma nova janela com mais opções. Clique em "Layout" em "Interface do usuário" no menu lateral.

Agora você verá diferentes opções de layout disponíveis. As ilustrações do outro lado permitem que você selecione o posicionamento dos diferentes painéis, e os seletores de botões de rádio permitem selecionar os dados que irão em cada painel.

A guia abaixo, rotulada como “Colunas”, permite selecionar quais colunas serão exibidas pelo Wireshark na lista de pacotes. Selecione apenas aqueles com os dados que você precisa ou deixe todos os verificados.

Barras de ferramentas

Não há muita. Existem opções de barra de ferramentas diretamente abaixo das opções do painel que permitem alterar como as barras de ferramentas e os itens da barra de ferramentas são exibidos.

Você também pode personalizar quais barras de ferramentas são exibidas no menu "View", verificando e desmarcando -as.

Funcionalidade

A maioria dos controles para alterar como os pacotes de captura de Wireshark são coletados pode ser encontrada em "Capture" em "Opções.”

A seção superior de "captura" da janela permite selecionar quais interfaces de rede Wireshark deve monitorar. Isso pode diferir muito, dependendo do seu sistema e de como ele está configurado. Certifique -se de verificar as caixas certas para obter os dados certos. Máquinas virtuais e suas redes que o acompanham aparecerão nesta lista. Também haverá várias opções para várias placas de interface de rede.

Diretamente abaixo da lista de interfaces de rede, há duas opções. Um permite que você selecione todas as interfaces. O outro permite que você habilite ou desative o modo promíscuo. Isso permite que seu computador monitore o tráfego de todos os outros computadores na rede selecionada. Se você está tentando monitorar toda a sua rede, esta é a opção que você deseja.

AVISO: Usar o modo promíscuo em uma rede que você não possui ou tem permissão para monitorar é ilegal!

No canto inferior esquerdo da tela estão as seções "Opções de exibição" e "resolução de nomes". Para "opções de exibição", provavelmente é uma boa ideia deixar os três verificados. Se você deseja desmarcar -os, está tudo bem, mas "Atualizar a lista de pacotes em tempo real" provavelmente deve permanecer verificado o tempo todo.

Em "Resolução de nome", você pode escolher sua preferência. Ter mais opções verificadas criará mais solicitações e confundirá sua lista de pacotes. Verificar as resoluções de Mac é uma boa ideia para ver a marca do hardware de rede sendo usado. Ajuda a identificar quais máquinas e interfaces estão interagindo.

Capturar

A captura está no centro do Wireshark. Seu objetivo principal é o monitor e registrar o tráfego em uma rede especificada. Faz isso, em sua forma mais básica, muito simplesmente. Obviamente, mais configuração e opções podem ser usadas para utilizar mais energia do Wireshark. Esta seção de introdução, no entanto, estará mantendo a gravação mais básica.

Para iniciar uma nova captura, pressione o novo botão de captura ao vivo. Deve parecer uma barbatana de tubarão azul.

Ao capturar, o Wireshark reunirá todos os dados do pacote que pode e grave. Dependendo das suas configurações, você verá novos pacotes entrando no painel "Listagem de pacotes". Você pode clicar em cada um que achar interessante e investigar em tempo real, ou pode simplesmente ir embora e deixar o Wireshark executar.

Quando terminar, pressione o botão Red Square "Stop". Agora, você pode optar por salvar ou descartar sua captura. Para salvar, você pode clicar em "arquivo" e "salvar" ou "salvar como.”

Dados de leitura

Wireshark pretende fornecer todos os dados que você precisará. Ao fazer isso, ele coleta uma grande quantidade de dados relacionados aos pacotes de rede que estão monitorando. Ele tenta tornar esses dados menos assustadores, quebrando -os em guias dobráveis. Cada guia corresponde a uma parte dos dados de solicitação vinculados ao pacote.

As guias são empilhadas em ordem do nível mais baixo ao nível mais alto. A guia superior sempre conterá dados sobre os bytes contidos no pacote. A guia mais baixa varia. No caso de uma solicitação HTTP, ele conterá as informações HTTP. A maioria dos pacotes que você encontrar será dados TCP, e essa será a guia inferior.

Cada guia contém dados relevantes para essa parte do pacote. Um pacote HTTP conterá informações referentes ao tipo de solicitação, o navegador da web usado, endereço IP do servidor, idioma e dados de codificação. Um pacote TCP conterá informações sobre quais portas estão sendo usadas no cliente e no servidor, bem como sinalizadores que estão sendo usados ​​para o processo de handshake TCP.

Os outros campos superiores conterão menos informações que interessarão à maioria dos usuários. Há uma guia contendo informações sobre se o pacote foi ou não transferido via IPv4 ou IPv6, bem como os endereços IP do cliente e do servidor. Outra guia fornece as informações de endereço MAC para a máquina cliente e para o roteador ou gateway usado para acessar a Internet.

Pensamentos finais

Mesmo com apenas esse básico, você pode ver o quão poderoso de uma ferramenta Wireshark pode ser. O monitoramento do tráfego da sua rede pode ajudar a interromper ataques cibernéticos ou apenas melhorar as velocidades de conexão. Também pode ajudá -lo a perseguir aplicativos de problemas. O próximo guia Wireshark explorará as opções disponíveis para filtrar pacotes com Wireshark.

Tutoriais do Linux relacionados:

  • Como fazer bota dupla kali linux e windows 10
  • Lista das melhores ferramentas Kali Linux para testes de penetração e…
  • Como monitorar a atividade da rede em um sistema Linux
  • Coisas para instalar no Ubuntu 20.04
  • Como imprimir a árvore do diretório usando o Linux
  • Como instalar o Kali Linux no VMware
  • Como verificar o uso do disco por pasta no Linux
  • Uma introdução à automação, ferramentas e técnicas do Linux
  • Analisador Linux Apache Log
  • Como encontrar maiores diretórios no Linux