Hai mai immaginato o hai delle curiosità su come piace il traffico di rete ? Se lo facevi, non sei solo, l'ho fatto anche io. In quel momento non sapevo molto sul networking. Per quanto ne sapevo, quando mi collegavo a una rete Wi-Fi, prima ho consegnato il servizio Wi-Fi sul mio computer per scansionare la connessione disponibile intorno a me. E poi, ho provato a connettermi al punto di accesso Wi-Fi di destinazione, se richiede la password, quindi inserisci la password. Una volta connesso, ora potrei navigare in Internet. Ma, poi mi chiedo, qual è lo scenario dietro tutto questo? Come può il mio computer sapere se ci sono molti punti di accesso attorno ad esso? Anche non mi sono reso conto di dove sono posizionati i router. E una volta che il mio computer è collegato al punto router / accesso quello che stanno facendo quando ho sfogliato Internet? Come comunicano questi dispositivi (il mio computer e il punto di accesso)?
È successo quando ho installato per la prima volta il mio Kali Linux. Il mio obiettivo installando Kali Linux era quello di risolvere eventuali problemi e le mie curiosità relative a "alcune cose complesse di tecnologia o scenario dei metodi di hacking e presto". Adoro il processo, adoro la sequenza dei passaggi di rompere il puzzle. Conoscevo i termini proxy, VPN e altre cose di connettività. Ma devo sapere l'idea di base di come funzionano queste cose (server e client) e comunicare soprattutto sulla mia rete locale.
Le domande sopra mi portano sull'argomento, analisi della rete. È generalmente, sniffere e analizzare il traffico di rete. Fortunatamente, Kali Linux e altri Distri Linux offrono lo strumento di analizzatore di rete più potente, chiamato Wireshark. È considerato un pacchetto standard sui sistemi Linux. Wireshark ha una ricca funzionalità. L'idea principale di questo tutorial è quella di effettuare l'acquisizione in diretta della rete, salvare i dati in un file per un ulteriore processo di analisi (offline).
Una volta che ci siamo collegati alla rete, iniziamo aprendo l'interfaccia Wireshark GUI. Per eseguire questo, semplicemente inserisci nel terminale:
~ # Wireshark |
Vedrai la pagina di benvenuto della finestra Wireshark, dovrebbe assomigliare a questa:
In questo caso ci siamo collegati a un punto di accesso tramite la nostra interfaccia della scheda wireless. Andiamo una testa e sceglia WLAN0. Per iniziare a catturare, fare clic su Pulsante Start (Icona blu-shark-pinna) situata nell'angolo a sinistra.
Ora portiamo nella finestra di cattura dal vivo. Potresti sentirti sopraffatto per la prima volta a vedere un sacco di dati su questa finestra. Non preoccuparti, lo spiegherò uno per uno. In questa finestra, principalmente diviso in tre vetri, dall'alto verso il basso, è: Elenco dei pacchetti, dettagli sui pacchetti e byte di pacchetti.
Quando sei pronto per interrompere l'acquisizione e visualizzare i dati acquisiti, fai clic su Pulsante di arresto "Icona del quadrato rosso" (situato proprio accanto al pulsante di avvio). È necessario salvare il file per ulteriori processi di analisi o condividere i pacchetti acquisiti. Una volta fermato, salva semplicemente a .Formato file PCAP colpendo File> Salva come> nome file.PCAP.
Comprensione dei filtri di acquisizione di Wireshark e dei filtri di visualizzazione
Conosci già l'uso di base di Wireshark, in generale, il processo è concluso con la spiegazione di cui sopra. Per ordinare e acquisire determinate informazioni, Wireshark ha una funzione di filtro. Esistono due tipi di filtri che hanno ciascuno la propria funzionalità: Filtro di acquisizione e filtro di visualizzazione.
1. Filtro di acquisizione
Il filtro di acquisizione viene utilizzato per acquisire dati o pacchetti specifici, viene utilizzato nella "sessione di acquisizione dal vivo", ad esempio è necessario acquisire traffico host singolo su 192.168.1.23 . Quindi, inserisci la query al modulo del filtro di acquisizione:
Ospite 192.168.1.23
Il principale vantaggio dell'utilizzo del filtro di acquisizione è che possiamo ridurre la quantità di dati nel file acquisito, perché invece di catturare qualsiasi pacchetto o traffico, specifichiamo o limitiamo a un determinato traffico. Acquisizione del filtro Controlla quale tipo di dati nel traffico verrà acquisito, se non è impostato alcun filtro, significa acquisire tutto. Per configurare il filtro di acquisizione, fare clic su Opzioni di acquisizione pulsante, che si trova come mostrato dall'immagine in cursore rivolto sotto.
Noterai la casella Filtro di acquisizione in basso, fai clic sull'icona verde accanto alla casella e seleziona il filtro desiderato.
2. Visualizza filtro
Il filtro di visualizzazione, in altre parti, viene utilizzato nell'analisi offline ". Il filtro di visualizzazione è più simile a una funzione di ricerca di alcuni pacchetti che si desidera vedere nella finestra principale. Visualizza i controlli del filtro ciò che viene visto da un'acquisizione di pacchetti esistente, ma non influenza ciò che il traffico viene effettivamente catturato. È possibile impostare il filtro di visualizzazione durante l'acquisizione o l'analisi. Noterai la casella del filtro del display nella parte superiore della finestra principale. In realtà ci sono così tanti filtri che puoi applicare, ma non essere sopraffatto. Per applicare un filtro puoi semplicemente digitare un'espressione del filtro all'interno della casella o selezionare dall'elenco esistente dei filtri disponibili, come mostrato nell'immagine seguente. Clic Espressioni ... pulsante Oltre alla casella del filtro del display.
Quindi selezionare l'argomento del filtro di visualizzazione disponibile in un elenco. E colpito OK pulsante.
Ora, hai l'idea di qual è la differenza tra filtro di acquisizione e filtro di visualizzazione e conosci le caratteristiche di base e le funzionalità di Wireshark.