Tutorial Wireshark

Sig. Valdo Marchetti
Tutorial Wireshark

Hai mai immaginato o hai delle curiosità su come piace il traffico di rete ? Se lo facevi, non sei solo, l'ho fatto anche io. In quel momento non sapevo molto sul networking. Per quanto ne sapevo, quando mi collegavo a una rete Wi-Fi, prima ho consegnato il servizio Wi-Fi sul mio computer per scansionare la connessione disponibile intorno a me. E poi, ho provato a connettermi al punto di accesso Wi-Fi di destinazione, se richiede la password, quindi inserisci la password. Una volta connesso, ora potrei navigare in Internet. Ma, poi mi chiedo, qual è lo scenario dietro tutto questo? Come può il mio computer sapere se ci sono molti punti di accesso attorno ad esso? Anche non mi sono reso conto di dove sono posizionati i router. E una volta che il mio computer è collegato al punto router / accesso quello che stanno facendo quando ho sfogliato Internet? Come comunicano questi dispositivi (il mio computer e il punto di accesso)?

È successo quando ho installato per la prima volta il mio Kali Linux. Il mio obiettivo installando Kali Linux era quello di risolvere eventuali problemi e le mie curiosità relative a "alcune cose complesse di tecnologia o scenario dei metodi di hacking e presto". Adoro il processo, adoro la sequenza dei passaggi di rompere il puzzle. Conoscevo i termini proxy, VPN e altre cose di connettività. Ma devo sapere l'idea di base di come funzionano queste cose (server e client) e comunicare soprattutto sulla mia rete locale.

Le domande sopra mi portano sull'argomento, analisi della rete. È generalmente, sniffere e analizzare il traffico di rete. Fortunatamente, Kali Linux e altri Distri Linux offrono lo strumento di analizzatore di rete più potente, chiamato Wireshark. È considerato un pacchetto standard sui sistemi Linux. Wireshark ha una ricca funzionalità. L'idea principale di questo tutorial è quella di effettuare l'acquisizione in diretta della rete, salvare i dati in un file per un ulteriore processo di analisi (offline).

Passaggio 1: Open Wireshark

Una volta che ci siamo collegati alla rete, iniziamo aprendo l'interfaccia Wireshark GUI. Per eseguire questo, semplicemente inserisci nel terminale:

~# Wireshark

Vedrai la pagina di benvenuto della finestra Wireshark, dovrebbe assomigliare a questa:

Passaggio 2: scegli l'interfaccia di acquisizione di rete

In questo caso ci siamo collegati a un punto di accesso tramite la nostra interfaccia della scheda wireless. Andiamo una testa e sceglia WLAN0. Per iniziare a catturare, fare clic su Pulsante Start (Icona blu-shark-pinna) situata nell'angolo a sinistra.

Passaggio 3: catturare il traffico di rete

Ora portiamo nella finestra di cattura dal vivo. Potresti sentirti sopraffatto per la prima volta a vedere un sacco di dati su questa finestra. Non preoccuparti, lo spiegherò uno per uno. In questa finestra, principalmente diviso in tre vetri, dall'alto verso il basso, è: Elenco dei pacchetti, dettagli sui pacchetti e byte di pacchetti.

    1. Riquadro della lista dei pacchetti
      Il primo riquadro visualizza un elenco contenente pacchetti nel file di acquisizione corrente. Viene visualizzato come tabella e le colonne contengono: il numero del pacchetto, il tempo catturato, l'origine e la destinazione del pacchetto, il protocollo del pacchetto e alcune informazioni generali trovate nel pacchetto.
    2. Riquadro dei dettagli del pacchetto
      Il secondo riquadro contiene una visualizzazione gerarchica di informazioni su un singolo pacchetto. Fai clic sul "crollata e ampliata" per mostrare tutte le informazioni raccolte su un singolo pacchetto.
    3. Riquadro byte pacchetti
      Il terzo riquadro contengono dati sui pacchetti codificati, visualizza un pacchetto nella sua forma grezza e non trasformata.

Passaggio 4: smetti di catturare e salva su un .File PCAP

Quando sei pronto per interrompere l'acquisizione e visualizzare i dati acquisiti, fai clic su Pulsante di arresto "Icona del quadrato rosso" (situato proprio accanto al pulsante di avvio). È necessario salvare il file per ulteriori processi di analisi o condividere i pacchetti acquisiti. Una volta fermato, salva semplicemente a .Formato file PCAP colpendo File> Salva come> nome file.PCAP.

Comprensione dei filtri di acquisizione di Wireshark e dei filtri di visualizzazione

Conosci già l'uso di base di Wireshark, in generale, il processo è concluso con la spiegazione di cui sopra. Per ordinare e acquisire determinate informazioni, Wireshark ha una funzione di filtro. Esistono due tipi di filtri che hanno ciascuno la propria funzionalità: Filtro di acquisizione e filtro di visualizzazione.

1. Filtro di acquisizione

Il filtro di acquisizione viene utilizzato per acquisire dati o pacchetti specifici, viene utilizzato nella "sessione di acquisizione dal vivo", ad esempio è necessario acquisire traffico host singolo su 192.168.1.23 . Quindi, inserisci la query al modulo del filtro di acquisizione:

Ospite 192.168.1.23

Il principale vantaggio dell'utilizzo del filtro di acquisizione è che possiamo ridurre la quantità di dati nel file acquisito, perché invece di catturare qualsiasi pacchetto o traffico, specifichiamo o limitiamo a un determinato traffico. Acquisizione del filtro Controlla quale tipo di dati nel traffico verrà acquisito, se non è impostato alcun filtro, significa acquisire tutto. Per configurare il filtro di acquisizione, fare clic su Opzioni di acquisizione pulsante, che si trova come mostrato dall'immagine in cursore rivolto sotto.

Noterai la casella Filtro di acquisizione in basso, fai clic sull'icona verde accanto alla casella e seleziona il filtro desiderato.

2. Visualizza filtro

Il filtro di visualizzazione, in altre parti, viene utilizzato nell'analisi offline ". Il filtro di visualizzazione è più simile a una funzione di ricerca di alcuni pacchetti che si desidera vedere nella finestra principale. Visualizza i controlli del filtro ciò che viene visto da un'acquisizione di pacchetti esistente, ma non influenza ciò che il traffico viene effettivamente catturato. È possibile impostare il filtro di visualizzazione durante l'acquisizione o l'analisi. Noterai la casella del filtro del display nella parte superiore della finestra principale. In realtà ci sono così tanti filtri che puoi applicare, ma non essere sopraffatto. Per applicare un filtro puoi semplicemente digitare un'espressione del filtro all'interno della casella o selezionare dall'elenco esistente dei filtri disponibili, come mostrato nell'immagine seguente. Clic Espressioni ... pulsante Oltre alla casella del filtro del display.

Quindi selezionare l'argomento del filtro di visualizzazione disponibile in un elenco. E colpito OK pulsante.

Ora, hai l'idea di qual è la differenza tra filtro di acquisizione e filtro di visualizzazione e conosci le caratteristiche di base e le funzionalità di Wireshark.

c affilato
Come convertire un decimale in un doppio in C#
Per convertire un valore decimale in un doppio in C#, usiamo il decimale.Metodo ToDouble (). Ci vuol...
Cristyn De Santis
C ++
Cosa sono gli identificatori in C++?
In un programma, gli identificatori C ++ vengono utilizzati per fare riferimento ai nomi di variabil...
Sarita Negri
c affilato
Quali sono le sequenze di fuga in C#
La sequenza di fuga in C# è una sequenza di caratteri che rappresenta un significato speciale se usa...
Dante Palumbo
AWS
Quali strumenti AWS e DevOps sono necessari per sviluppare un'app Web?
Artemide Ricci
AWS
Cos'è la torre di controllo AWS e come usarla?
Sarita Negri
AWS
Come utilizzare il ciclo di vita delle istanze in AWS?
Cristyn De Santis
Golang
Cosa è eredità nel golang
Dr. Folco Leone
Oracle Database
Qual è lo scopo di Oracle Cerner?
Dr. Ursula Marini
Oracle Linux
Quali dovrebbero essere le specifiche minime del sistema per Oracle Linux?
Dante Palumbo
C ++
Differenza tra privato e protetto in C ++
Sig. Valdo Marchetti
c affilato
Come usare l'eredità in C#
Dr. Folco Leone
PHP
Come utilizzare la funzione Addslashes in PHP
Sarita Negri
Programmazione C
Come stampare un indirizzo di una variabile nella programmazione C?
Nick Marini