วิธีจับภาพทราฟฟิกด้วย Wireshark และวิเคราะห์เพื่อความผิดปกติ

คุณสมบัติหลักของ Wireshark

โปรแกรมนี้ฟรีอย่างสมบูรณ์ช่วยให้เราสามารถทำการตรวจสอบโปรโตคอลหลายร้อยโพรโทคอลได้อย่างละเอียดเนื่องจากมันรองรับโปรโตคอลของฟิสิคัลเลเยอร์, ​​ลิงค์, โปรโตคอลเครือข่าย, เลเยอร์การขนส่งและแอปพลิเคชันเลเยอร์ มันจะช่วยให้เราสามารถจับภาพตามเวลาจริงและเมื่อเราเสร็จสิ้นการจับแพ็คเก็ตทั้งหมดที่เข้าและออกจากการ์ดเครือข่ายแบบมีสายหรือไร้สายของเราเราสามารถทำการวิเคราะห์เชิงลึกแบบออฟไลน์นั่นคือบนคอมพิวเตอร์เครื่องอื่น เหมือนกัน) และทุกเวลา

Wireshark อนุญาตให้ดูปริมาณการใช้ข้อมูลทั้งหมดที่จับผ่าน GUI ด้วยตัวโปรแกรมเองอย่างไรก็ตามเราสามารถดูข้อมูลทั้งหมดที่ถูกบันทึกด้วยโปรแกรม TShark ซึ่งเป็นเครื่องมือที่ทำงานผ่านคอนโซลและจะช่วยให้เราอ่านทุกอย่างผ่านบรรทัดคำสั่ง CLI เพื่อดูทุกอย่างผ่าน SSH ตัวอย่างเช่น คุณลักษณะพื้นฐานของตัววิเคราะห์แพ็คเก็ตคือตัวกรองเพื่อแสดงให้เราเห็นเฉพาะสิ่งที่เราต้องการให้แสดงเท่านั้นและไม่มีข้อมูลเพิ่มเติมที่จะสร้างงานพิเศษให้เรา

Wireshark มีความสามารถในการอ่านและเขียนในรูปแบบการจับภาพที่แตกต่างกันเช่น tcpdump (libpcap), pcap ng และส่วนขยายอื่น ๆ อีกมากมายเพื่อปรับให้เข้ากับโปรแกรมที่แตกต่างกันสำหรับการวิเคราะห์ต่อไป อีกแง่มุมที่สำคัญคือการจับภาพที่ถูกบีบอัดสามารถบีบอัดด้วย GZIP ได้ทันทีและแน่นอนลดขนาดลงในทันทีในกรณีที่เรากำลังอ่านการจับภาพ แน่นอนว่ามันสามารถอ่านข้อมูลจากเทคโนโลยีเครือข่ายที่แตกต่างกันเช่น Ethernet, IEEE 802.11, PPP / HDLC, ATM, Bluetooth, USB, Token Ring, Frame Relay, FDDI และอื่น ๆ วันนี้เรามีโปรโตคอลจำนวนมากที่มีข้อมูลที่เข้ารหัสด้วยคีย์ส่วนตัวที่เหมาะสม Wireshark สามารถถอดรหัสการรับส่งข้อมูลของโปรโตคอลที่แตกต่างกันเช่น IPsec, ISAKMP, Kerberos, SNMPv3, SSL / TLS, WEP และ WPA / WPA / WPA2

เมื่อเราเห็นคุณสมบัติหลักแล้วเราจะดาวน์โหลดและติดตั้ง

ดาวน์โหลดและติดตั้ง

โปรแกรมนี้ฟรีอย่างสมบูรณ์เราสามารถเข้าถึงโดยตรง เว็บไซต์ Wireshark อย่างเป็นทางการ ที่ซึ่งคุณสามารถค้นหาลิงค์สำหรับดาวน์โหลด การติดตั้งโปรแกรมนี้ง่ายมากเราเพียงแค่ทำตามขั้นตอนในตัวช่วยสร้างการติดตั้งและเริ่มต้นคอมพิวเตอร์ใหม่เมื่อเสร็จสิ้น Wireshark เป็นโปรแกรมที่ได้รับการปรับปรุงอย่างต่อเนื่องดังนั้นจึงขอแนะนำให้ติดตั้งเวอร์ชั่นล่าสุดบนคอมพิวเตอร์ของเราเสมอเพื่อรับข่าวสารล่าสุด

หากคุณมีระบบปฏิบัติการบน Linux เป็นไปได้มากว่าในตัวจัดการแพ็คเกจของคุณคุณมี Wireshark และคุณต้องเรียกใช้คำสั่งเช่นนี้:

sudo apt install wireshark

เมื่อเราได้เห็นวิธีการดาวน์โหลดและติดตั้ง Wireshark เราจะใช้มันเพื่อเก็บข้อมูล

ถ่ายภาพทราฟฟิกด้วย Wireshark ใน Windows 10

เราใช้ระบบปฏิบัติการ Windows 10 ในการดักจับทราฟฟิก แต่ในระบบ Linux หรือ macOS นั้นเหมือนกันทุกประการเนื่องจากเรามีอินเทอร์เฟซผู้ใช้แบบกราฟิกเหมือนกันทุกประการ สิ่งแรกที่เราจะเห็นเมื่อเริ่มโปรแกรมนี้คือการ์ดเครือข่ายและอินเทอร์เฟซเครือข่ายทั้งหมดของคอมพิวเตอร์ของเราในกรณีของเราเรามีการ์ดเครือข่ายแบบใช้สายทั้งหมดสามการ์ด (อัสซุส XG-C100C, เรียลเทค 25G และ อินเทล 1G), เครือข่าย Wi-Fi การ์ดเดียว (อินเตอร์เน็ตไร้สาย 2) นอกจากนี้เรายังมีอินเทอร์เฟซเครือข่ายเสมือนที่แตกต่างกันซึ่งสอดคล้องกับอินเทอร์เฟซ VMware และ Virtual Box

Wireshark ช่วยให้เราสามารถจับภาพทราฟฟิกของการ์ดเครือข่ายใด ๆ ไม่ว่าจะเป็นแบบฟิสิคัลหรือแบบเสมือนเราก็ต้องมีความชัดเจนเกี่ยวกับการ์ดเครือข่ายที่ใช้งานอยู่ในปัจจุบันและเราต้องการจับภาพทราฟฟิกเครือข่าย ในกรณีของเรามันคือ ASUS XG-C100C ดังนั้นเราเพียงแค่ดับเบิลคลิกที่การ์ดนี้

การคลิกสองครั้งจะเริ่มการจับภาพทราฟฟิกเครือข่ายทั้งหมดโดยอัตโนมัติทั้งขาเข้าและขาออก คำแนะนำบางอย่างก่อนที่จะทำการจับภาพการจราจรมีดังต่อไปนี้:

• ปิดโปรแกรมทั้งหมดที่สร้างทราฟฟิกเครือข่ายซึ่งเราไม่ต้องการจับภาพ
• ตรวจสอบให้แน่ใจว่าไฟร์วอลล์ถูกปิดใช้งานเนื่องจากสามารถบล็อกการรับส่งข้อมูลบางอย่างและจะไม่ปรากฏใน Wireshark มิฉะนั้นจะมีเพียงส่วนหนึ่งของการรับส่งข้อมูลที่สร้างขึ้นเท่านั้นที่จะปรากฏขึ้น
• หากเราต้องการบันทึกปริมาณข้อมูลบางอย่างที่สร้างโดยแอปพลิเคชันขอแนะนำให้รอ 1 วินาทีก่อนที่จะเริ่มต้นและเพื่อจับการรับส่งข้อมูลเครือข่ายจากคอมพิวเตอร์จากนั้นเราเรียกใช้แอปพลิเคชันนั้นและสุดท้ายเราปิดแอปพลิเคชันและรอ 1 วินาทีก่อน หยุดการรับส่งข้อมูล

ด้วยคำแนะนำเหล่านี้เรามั่นใจว่าการดึงดูดปริมาณการเข้าชมที่คุณทำจะประสบความสำเร็จ

ในการรับส่งข้อมูลนี้คุณสามารถดูทราฟฟิกจากโพรโทคอลที่ต่างกันทั้งทราฟฟิกจาก Spanning-Tree Protocol ของเครือข่ายรวมถึงทราฟฟิก TCP และทราฟฟิก TLSv1.2 จากแอปพลิเคชันต่างๆ

ด้วยการป้อนข้อมูลแต่ละครั้งเราจะสามารถแสดงและดูรายละเอียดของแพคเกจข้อมูลทั้งหมดได้ทั้งในระดับแอปพลิเคชันการขนส่งในระดับเครือข่ายลิงก์และในระดับกายภาพนั่นคือ Wireshark จะให้ข้อมูลกับเรา ตามเลเยอร์เพื่อค้นหาข้อมูลที่เราจำเป็นต้องรู้ได้ง่ายขึ้น

แน่นอนมันจะบอกเราด้วยว่าแหล่งที่มาและพอร์ตปลายทางคืออะไรถ้าเราใช้ TCP หรือ UDP และเรายังสามารถดูหมายเลขลำดับล่วงหน้าได้และหากมี RST ในการเชื่อมต่อหรือถ้าเซ็กเมนต์ต้องเป็น ส่งต่อเนื่องจากปัญหา

ในภาพหน้าจอต่อไปนี้คุณจะเห็นผลลัพธ์ของการรันคำสั่ง« nslookup www.redeszone.net »ผ่านคอนโซล DNS ร้องขอไปยังเซิร์ฟเวอร์ DNS ของเราและจะตอบกลับโดยอัตโนมัติด้วยการแก้ปัญหา DNS ที่สร้างจากโดเมนก่อนหน้า แน่นอนว่าการรับส่งข้อมูลนี้“ ผสม” กับการรับส่งข้อมูลอื่น ๆ ที่เรามีในคอมพิวเตอร์จากแอปพลิเคชันต่างๆด้วยเหตุนี้การปิดแอปพลิเคชันทั้งหมดที่ใช้การเชื่อมต่ออินเทอร์เน็ตจึงเป็นเรื่องสำคัญมากก่อนที่จะเริ่มจับการเข้าชม

ที่นี่คุณสามารถเห็นการตอบสนองของเซิร์ฟเวอร์ DNS ต่อคำขอ DNS ก่อนหน้า:

หากเราทำ ping ทั่วไปโดยใช้โปรโตคอล ICMP มันจะแสดงให้เราเห็นอย่างสมบูรณ์มันจะแสดงให้เราเห็นทั้ง« Echo request »และ« Echo reply »

อย่างที่คุณเห็นมันง่ายมากในการจับข้อมูลกับ Wireshark เพื่อวิเคราะห์ปริมาณการใช้เครือข่ายทั้งหมด หากเราต้องการบันทึกการจับภาพนี้เราเพียงคลิกที่ปุ่ม "หยุด" สีแดงเพื่อหยุดการบันทึกข้อมูลจากนั้นคลิกที่ "ไฟล์ / บันทึก" เพื่อบันทึก

การจับภาพนี้สามารถบันทึกไว้ในคอมพิวเตอร์ของเราหรือสื่อภายนอกสำหรับการวิเคราะห์ในภายหลังหรือส่งไปยังผู้เชี่ยวชาญที่สามารถตรวจจับปัญหาได้แม้ว่าคุณควรจำไว้ว่ามันจะสามารถเข้าถึงทราฟฟิกที่จับได้ทั้งหมดดังนั้นคุณต้อง ส่งการจับภาพนี้ให้คนที่คุณไว้วางใจ หากเราจับภาพทราฟฟิกด้วย TLS หรือ IPsec คุณจะต้องใช้คีย์ถอดรหัสที่สอดคล้องกันดังนั้นคุณจะไม่สามารถ "อ่าน" โดยไม่มีข้อมูลนี้เช่นเดียวกันกับการรับส่งข้อมูล WPA / WPA2 โดยไม่ใช้คีย์คุณไม่สามารถอ่านทราฟฟิกภายใน

เราหวังว่าบทช่วยสอนนี้จะช่วยให้คุณสามารถจับภาพทราฟฟิกข้อมูลด้วยโปรแกรมที่ยอดเยี่ยมนี้และคุณจะสามารถตรวจพบปัญหาในเครือข่าย