A Wireshark a de facto szabvány a hálózati forgalom elemzésére. Sajnos a csomagrögzítés növekedésével egyre késedelmesebbé válik. Karima olyan jól megoldja ezt a problémát, hogy megváltoztatja a Wireshark munkafolyamatát.
Tartalomjegyzék
A Wireshark nagyszerű, de . . .
A Wireshark egy csodálatos nyílt forráskódú szoftver. Amatőrök és profik egyaránt használják világszerte a hálózati problémák kivizsgálására. Rögzíti azokat az adatcsomagokat, amelyek a vezetékeken vagy a hálózat éterén keresztül haladnak. Miután rögzítette a forgalmat, a Wireshark lehetővé teszi az adatok szűrését és keresését, a hálózati eszközök közötti beszélgetések nyomon követését és még sok mást.
Bármilyen nagyszerű is a Wireshark, van egy problémája. A hálózati adatrögzítési fájlok (az úgynevezett hálózati nyomkövetések vagy csomagrögzítések) nagyon gyorsan és nagyon nagyokká válhatnak. Ez különösen igaz, ha a vizsgálni kívánt probléma összetett vagy szórványos, vagy ha a hálózat nagy és elfoglalt.
Minél nagyobb a csomagrögzítés (vagy PCAP), annál késleltetettebb lesz a Wireshark. Egy nagyon nagy (1 GB-nál nagyobb) nyomvonal megnyitása és betöltése olyan sokáig tarthat, hogy azt hinné, hogy a Wireshark felborult és feladta a szellemet.
Ilyen méretű fájlokkal dolgozni igazi fájdalom. Minden alkalommal, amikor keresést végez vagy szűrőt módosít, meg kell várnia, amíg az effektusok alkalmazásra kerülnek az adatokra, és frissítésre kerülnek a képernyőn. Minden késés megzavarja a koncentrációt, ami akadályozhatja a fejlődést.
Karima az orvosság ezekre a bajokra. Interaktív előfeldolgozóként és front-endként működik a Wireshark számára. Ha látni szeretné, hogy a Wireshark milyen szemcsésségi szintet tud nyújtani, a Brim azonnal megnyitja azt pontosan azokon a csomagokon.
Ha sok hálózati rögzítést és csomagelemzést végez, a Brim forradalmasítja munkafolyamatát.
A Brim felszerelése
A Brim nagyon új, ezért még nem került be a Linux disztribúciók szoftvertáraiba. Azonban a Brim letöltési oldal, megtalálja a DEB és RPM csomagfájlokat, így a telepítés Ubuntura vagy Fedorára elég egyszerű.
Ha másik disztribúciót használ, megteheti töltse le a forráskódot a GitHubból, és saját maga készítse el az alkalmazást.
A Brim a zq parancssori eszközt használja Zeek naplókat, ezért le kell töltened a zq binárisokat tartalmazó ZIP-fájlt is.
A Brim telepítése Ubuntura
Ha Ubuntut használ, le kell töltenie a DEB csomagfájlt és a zq Linux ZIP fájlt. Kattintson duplán a letöltött DEB csomagfájlra, és megnyílik az Ubuntu Software alkalmazás. A Brim licenc tévedésből „Tulajdonjogosult” néven szerepel – az a BSD 3-clause licenc.
Kattintson a „Telepítés” gombra.
Amikor a telepítés befejeződött, kattintson duplán a zq ZIP fájlra az Archívumkezelő alkalmazás elindításához. A ZIP fájl egyetlen könyvtárat fog tartalmazni; húzza át az „Archívumkezelőből” a számítógép egy helyére, például a „Letöltések” könyvtárba.
A következőket írjuk be a zq binárisok helyének létrehozásához:
sudo mkdir /opt/zeek
Másolnunk kell a bináris fájlokat a kibontott könyvtárból az imént létrehozott helyre. A következő paranccsal helyettesítse be a kibontott könyvtár elérési útját és nevét a gépen:
sudo cp Downloads/zq-v0.20.0.linux-amd64/* /opt/Zeek
Hozzá kell adnunk ezt a helyet az elérési úthoz, így szerkeszteni fogjuk a BASHRC fájlt:
sudo gedit .bashrc
Megnyílik a gedit szerkesztő. Görgessen le a fájl aljára, és írja be ezt a sort:
export PATH=$PATH:/opt/zeek
Mentse el a változtatásokat, és zárja be a szerkesztőt.
A Brim telepítése Fedorára
A Brim Fedorára való telepítéséhez töltse le az RPM-csomagfájlt (a DEB helyett), majd kövesse ugyanazokat a lépéseket, amelyeket az Ubuntu telepítésénél leírtunk.
Érdekes módon, amikor az RPM fájl megnyílik a Fedorában, a rendszer helyesen azonosítja, hogy nyílt forráskódú licenccel rendelkezik, nem pedig szabadalmaztatott.
A Brim elindítása
Kattintson az „Alkalmazások megjelenítése” elemre a dokkban, vagy nyomja meg a Super+A billentyűt. Írja be a „brim” szót a keresőmezőbe, majd kattintson a „Brim” gombra, amikor megjelenik.
A Brim elindítja és megjeleníti a főablakát. Kattintson a „Fájlok kiválasztása” gombra a fájlböngésző megnyitásához, vagy húzza át a PCAP-fájlt a piros téglalappal körülvett területre.
A Brim füles kijelzőt használ, és egyszerre több fül is nyitva lehet. Új lap megnyitásához kattintson a felül található pluszjelre (+), majd válasszon egy másik PCAP-t.
Brim Basics
A Brim betölti és indexeli a kiválasztott fájlt. Az index az egyik oka annak, hogy a Brim olyan gyors. A főablak tartalmazza a csomagok mennyiségének hisztogramját az idő függvényében, valamint a hálózati „folyamatok” listáját.
A PCAP-fájl időben rendezett hálózati csomagokat tartalmaz számos hálózati kapcsolathoz. A különböző kapcsolatok adatcsomagjai összekeverednek, mert néhányuk egyidejűleg megnyílik. Az egyes hálózati „beszélgetések” csomagjait más beszélgetések csomagjai tarkítják.
A Wireshark a hálózati adatfolyamot csomagonként jeleníti meg, míg a Brim az úgynevezett „folyamatok” fogalmát használja. Az áramlás egy teljes hálózati csere (vagy beszélgetés) két eszköz között. Az egyes áramlási típusok kategorizálva, színkóddal és áramlási típus szerint vannak címkézve. Látni fogja a „dns”, „ssh”, „https”, „ssl” és még sok más feliratú folyamatokat.
Ha balra vagy jobbra görgeti a folyamatösszefoglaló képernyőt, sokkal több oszlop jelenik meg. Beállíthatja az időtartamot is a megtekinteni kívánt információk részhalmazának megjelenítéséhez. Az alábbiakban bemutatunk néhány módot az adatok megtekintéséhez:
Kattintson egy sávra a hisztogramban, hogy kinagyítsa a rajta belüli hálózati tevékenységet.
Kattintson és húzza a hisztogram megjelenítési tartományának kijelöléséhez és nagyítson. A Brim ezután megjeleníti a kiemelt szakasz adatait.
A „Dátum” és „Idő” mezőben pontos időszakokat is megadhat.
A Brim két oldalsó ablaktáblát tud megjeleníteni: egyet a bal oldalon és egyet a jobb oldalon. Ezek elrejthetők vagy láthatóak maradhatnak. A bal oldali ablaktábla a keresési előzményeket és a nyitott PCAP-ok listáját jeleníti meg, amelyeket szóközöknek nevezünk. Nyomja meg a Ctrl+[ to toggle the left pane on or off.
The pane on the right contains detailed information about the highlighted flow. Press Ctrl+] a jobb oldali ablaktábla be- vagy kikapcsolásához.
Kattintson a „Conn” elemre az „UID Correlation” listában a kiemelt folyam csatlakozási diagramjának megnyitásához.
A főablakban ki is jelölhet egy folyamatot, majd kattintson a Wireshark ikonra. Ezzel elindítja a Wiresharkot a kiemelt folyamhoz tartozó csomagokkal.
Megnyílik a Wireshark, és megjeleníti az érdeklődésre számot tartó csomagokat.
Szűrés peremben
A Brimben végzett keresés és szűrés rugalmas és átfogó, de nem kell új szűrési nyelvet tanulnia, ha nem akarja. A Brimben szintaktikailag helyes szűrőt hozhat létre, ha az összegző ablak mezőire kattint, majd a menüből kiválasztja a lehetőségeket.
Például az alábbi képen jobb gombbal kattintottunk egy „dns” mezőre. Ezután a helyi menüben a „Szűrő = Érték” lehetőséget választjuk.
Ekkor a következő dolgok történnek:
A _path = „dns” szöveg hozzáadásra kerül a keresősávhoz.
Ez a szűrő a PCAP-fájlra vonatkozik, így csak azokat a folyamatokat jeleníti meg, amelyek tartománynév-szolgáltatás (DNS) folyamok.
A szűrőszöveg a keresési előzményekhez is hozzáadódik a bal oldali ablaktáblában.
Ugyanezen technikával további tagmondatokat is hozzáadhatunk a keresett kifejezéshez. Kattintson a jobb gombbal az IP-cím mezőre (amely „192.168.1.26”-ot tartalmaz) az „Id.orig_h” oszlopban, majd a helyi menüből válassza a „Filter = Value” lehetőséget.
Ez hozzáadja a kiegészítő záradékot ÉS záradékként. A képernyő most ki van szűrve, hogy megjelenítse az adott IP-címről (192.168.1.26) származó DNS-folyamokat.
Az új szűrőkifejezés hozzáadódik a keresési előzményekhez a bal oldali ablaktáblában. A keresések között a keresési előzmények listájában szereplő elemekre kattintva válthat.
A legtöbb szűrt adatunk cél IP-címe 81.139.56.100. A különböző IP-címekre küldött DNS-folyamatok megtekintéséhez kattintson a jobb gombbal a „81.139.56.100” elemre az „Id_resp_h” oszlopban, majd válassza ki a „Filter != Value” lehetőséget a helyi menüből.
Csak egy DNS-folyamat, amely a 192.168.1.26-ból származik, nem lett elküldve a 81.139.56.100-as számra, és úgy találtuk meg, hogy nem kellett semmit begépelni a szűrő létrehozásához.
Szűrőzáradékok rögzítése
Ha jobb gombbal kattintunk egy „HTTP” folyamatra, és kiválasztjuk a „Szűrő = Érték” lehetőséget a helyi menüből, az összefoglaló panelen csak a HTTP-folyamatok jelennek meg. Ezután kattinthatunk a HTTP-szűrő záradék melletti Pin ikonra.
A HTTP záradék most a helyére került, és minden más általunk használt szűrő vagy keresőkifejezés a hozzájuk fűzött HTTP záradékkal kerül végrehajtásra.
Ha beírjuk a „GET” szót a keresősávba, a keresés azokra a folyamatokra korlátozódik, amelyeket a rögzített záradék már kiszűrt. Annyi szűrőzáradékot rögzíthet, amennyi szükséges.
Ha POST-csomagokat szeretne keresni a HTTP-folyamatokban, egyszerűen törölje a keresősávot, írja be a „POST” szót, majd nyomja meg az Enter billentyűt.
Ha oldalra görget, megjelenik a távoli gazdagép azonosítója.
Az összes keresési és szűrési kifejezés hozzáadódik az „Előzmények” listához. Bármely szűrő újbóli alkalmazásához kattintson rá.
Név alapján is kereshet távoli gazdagépet.
Keresési kifejezések szerkesztése
Ha keresni szeretne valamit, de nem látja az ilyen típusú folyamatot, kattintson bármelyik folyamatra, és szerkesztheti a bejegyzést a keresősávban.
Például tudjuk, hogy legalább egy SSH-folyamatnak kell lennie a PCAP-fájlban, mert használtuk rsync néhány fájlt egy másik számítógépre küldeni, de nem látjuk.
Ezért jobb gombbal kattintunk egy másik folyamatra, a helyi menüből kiválasztjuk a „Szűrő = Érték” lehetőséget, majd módosítjuk a keresősávot úgy, hogy „ssh” legyen a „dns” helyett.
Az Enter billentyűt lenyomva keresünk SSH-folyamatokat, és csak egyet találunk.
A Ctrl+]megnyomásával megnyílik a jobb oldali ablaktábla, amely a folyamat részleteit jeleníti meg. Ha egy fájl átvitele folyamat közben történt, a MD5, SHA1, és SHA256 kivonatok jelennek meg.
Kattintson jobb gombbal ezek bármelyikére, majd válassza ki a helyi menü „VirusTotal Lookup” elemét a böngésző megnyitásához a VirusTotal webhelyet, és adja meg a hash-t ellenőrzésre.
A VirusTotal tárolja az ismert rosszindulatú programok és más rosszindulatú fájlok kivonatait. Ha nem biztos abban, hogy egy fájl biztonságos-e, ez egy egyszerű módja annak, hogy ellenőrizze, még akkor is, ha már nem fér hozzá a fájlhoz.
Ha a fájl jóindulatú, az alábbi képen látható képernyő jelenik meg.
A Wireshark tökéletes kiegészítője
A Brim még gyorsabbá és egyszerűbbé teszi a Wiresharkkal való munkát, mivel lehetővé teszi a nagyon nagy csomagrögzítési fájlokkal való munkát. Tegye meg még ma!