Šareni Ethernet kabeli.

pixelnest / Shutterstock

Wireshark je de facto standard za analizu mrežnog prometa. Nažalost, sve više kasni kako hvatanje paketa raste. Obod tako dobro rješava ovaj problem da će promijeniti vaš Wireshark radni tijek.



Wireshark je sjajan, ali . . .

Wireshark je prekrasan dio softvera otvorenog koda. Koriste ga i amateri i profesionalci diljem svijeta za istraživanje problema umrežavanja. On hvata podatkovne pakete koji putuju niz žice ili kroz eter vaše mreže. Nakon što uhvatite svoj promet, Wireshark vam omogućuje filtriranje i pretraživanje podataka, praćenje razgovora između mrežnih uređaja i još mnogo toga.

traka zadataka neće se automatski sakriti

Iako je Wireshark sjajan, ima jedan problem. Datoteke za hvatanje mrežnih podataka (zvane mrežni tragovi ili hvatanje paketa) mogu postati vrlo velike, vrlo brzo. To je osobito istinito ako je problem koji pokušavate istražiti složen ili sporadičan, ili je mreža velika i zauzeta.

Što je veći hvatanje paketa (ili PCAP), Wireshark postaje sve zaostaliji. Samo otvaranje i učitavanje vrlo velikog (sve preko 1 GB) traga može potrajati toliko dugo da biste pomislili da je Wireshark prestao i odustao od duha.

Rad s datotekama te veličine prava je muka. Svaki put kada izvršite pretragu ili promijenite filtar, morate pričekati da se učinci primjene na podatke i ažuriraju na zaslonu. Svako kašnjenje remeti vašu koncentraciju, što može ometati vaš napredak.

Oglas

Obod je lijek za ove nevolje. Djeluje kao interaktivni predprocesor i prednji kraj za Wireshark. Kada želite vidjeti granularnu razinu koju Wireshark može pružiti, Brim vam je odmah otvara točno na tim paketima.

Ako radite puno mrežnog hvatanja i analize paketa, Brim će revolucionirati vaš tijek rada.

POVEZANO: Kako koristiti Wireshark filtere na Linuxu

Instaliranje Brim

Brim je vrlo nov, tako da još nije ušao u softverska spremišta Linux distribucija. Međutim, na Stranica za preuzimanje Brim , pronaći ćete datoteke paketa DEB i RPM, tako da je instaliranje na Ubuntu ili Fedora dovoljno jednostavno.

Ako koristite drugu distribuciju, možete preuzmite izvorni kod s GitHuba i sami izradite aplikaciju.

Brim koristi |_+_|, alat naredbenog retka za Zeek zapisnika, tako da ćete također morati preuzeti ZIP datoteku koja sadrži |_+_| binarne datoteke.

Instalacija Brim na Ubuntu

Ako koristite Ubuntu, morat ćete preuzeti datoteku DEB paketa i |_+_| ZIP datoteka za Linux. Dvaput kliknite na preuzetu datoteku DEB paketa i otvorit će se Ubuntu Software aplikacija. Licenca Brim pogrešno je navedena kao vlasnička - koristi se BSD licenca s 3 klauzule .

Kliknite Instaliraj.

Klik

Oglas

Kada je instalacija dovršena, dvaput kliknite na |_+_| ZIP datoteku za pokretanje aplikacije Archive Manager. ZIP datoteka će sadržavati jedan direktorij; povucite i ispustite iz Upravitelja arhive na mjesto na vašem računalu, kao što je direktorij preuzimanja.

Upisujemo sljedeće kako bismo stvorili lokaciju za |_+_| binarne datoteke:

zq

Moramo kopirati binarne datoteke iz ekstrahiranog direktorija na mjesto koje smo upravo stvorili. Zamijenite stazu i naziv ekstrahiranog direktorija na vašem računalu sljedećom naredbom:

zq

Moramo dodati tu lokaciju stazi, tako da ćemo urediti BASHRC datoteku:

zq

Otvorit će se uređivač gedit. Pomaknite se do dna datoteke, a zatim upišite ovaj redak:

zq

Datoteka BASHRC u uređivaču gedit s eksport retka PATH=$PATH:/opt/zeek.

Spremite promjene i zatvorite uređivač.

Instalacija Brima na Fedora

Da biste instalirali Brim na Fedoru, preuzmite datoteku RPM paketa (umjesto DEB), a zatim slijedite iste korake koje smo pokrili za instalaciju Ubuntua iznad.

Oglas

Zanimljivo je da kada se RPM datoteka otvori u Fedori, ispravno je identificirana kao da ima licencu otvorenog koda, a ne vlasničku.

Lansiranje Brim

Kliknite Prikaži aplikacije u docku ili pritisnite Super+A. Upišite rub u okvir za pretraživanje, a zatim kliknite Brim kada se pojavi.

Tip

Brim pokreće i prikazuje svoj glavni prozor. Možete kliknuti Odaberi datoteke da otvorite preglednik datoteka ili povucite i ispustite PCAP datoteku u područje okruženo crvenim pravokutnikom.

Glavni prozor Brim nakon pokretanja.

Brim koristi zaslon s karticama i možete otvoriti više kartica istovremeno. Da biste otvorili novu karticu, kliknite znak plus (+) na vrhu, a zatim odaberite drugi PCAP.

Osnove oboda

Brim učitava i indeksira odabranu datoteku. Indeks je jedan od razloga zašto je Brim tako brz. Glavni prozor sadrži histogram volumena paketa tijekom vremena i popis mrežnih tokova.

Glavni prozor Brima s učitanom PCAP datotekom.

PCAP datoteka sadrži vremenski poredani tok mrežnih paketa za veliki broj mrežnih veza. Paketi podataka za različite veze su izmiješani jer će neki od njih biti otvoreni istovremeno. Paketi za svaki mrežni razgovor isprepleteni su s paketima drugih razgovora.

Oglas

Wireshark prikazuje mrežni tok paket po paket, dok Brim koristi koncept koji se zove tokovi. Tijek je potpuna mrežna razmjena (ili razgovor) između dva uređaja. Svaka vrsta protoka je kategorizirana, označena bojom i označena prema vrsti protoka. Vidjet ćete tokove označene dns, ssh, https, ssl i još mnogo toga.

Ako pomičete prikaz sažetka toka lijevo ili desno, prikazat će se mnogo više stupaca. Također možete prilagoditi vremensko razdoblje za prikaz podskupa informacija koje želite vidjeti. U nastavku je nekoliko načina na koje možete pregledati podatke:

  • Kliknite traku na histogramu da biste povećali mrežnu aktivnost unutar nje.
  • Kliknite i povucite za označavanje raspona prikaza histograma i povećanje. Brim će zatim prikazati podatke iz označenog odjeljka.
  • Također možete odrediti točna razdoblja u poljima Datum i Vrijeme.

Obod može prikazati dva bočna okna: jedno na lijevoj strani i jedno na desnoj strani. Oni mogu biti skriveni ili ostati vidljivi. Okno s lijeve strane prikazuje povijest pretraživanja i popis otvorenih PCAP-ova, zvanih razmaci. Pritisnite Ctrl+[ da biste uključili ili isključili lijevo okno.

The

Okno s desne strane sadrži detaljne informacije o istaknutom toku. Pritisnite Ctrl+] da biste uključili ili isključili desno okno.

A istaknuto

Kliknite Conn na popisu UID korelacije da biste otvorili dijagram povezivanja za označeni tok.

Klik

U glavnom prozoru također možete istaknuti tijek, a zatim kliknuti ikonu Wireshark. Ovo pokreće Wireshark s prikazanim paketima za označeni tijek.

Otvara se Wireshark i prikazuje pakete od interesa.

Paketi odabrani iz Brima prikazani u Wiresharku.

Filtriranje u Brim

Pretraživanje i filtriranje u Brimu su fleksibilni i sveobuhvatni, ali ne morate učiti novi jezik za filtriranje ako to ne želite. Možete izgraditi sintaktički ispravan filtar u Brimu klikom na polja u prozoru sažetka, a zatim odabirom opcija s izbornika.

Oglas

Na primjer, na donjoj slici desnom tipkom smo kliknuli dns polje. Zatim ćemo iz kontekstnog izbornika odabrati Filter = Vrijednost.

Kontekstni izbornik u prozoru sažetka.

Zatim se događaju sljedeće stvari:

  • Tekst |_+_| se dodaje u traku za pretraživanje.
  • Taj se filtar primjenjuje na PCAP datoteku, tako da će prikazati samo tokove koji su tokovi usluge naziva domene (DNS).
  • Tekst filtra također se dodaje u povijest pretraživanja u lijevom oknu.

Zaslon sažetka filtriran od strane DNS-a.

Pojamu za pretraživanje možemo dodati daljnje klauzule koristeći istu tehniku. Desnom tipkom miša ćemo kliknuti polje IP adrese (koje sadrži 192.168.1.26) u stupcu Id.orig_h, a zatim odabrati Filter = Value iz kontekstnog izbornika.

Ovo dodaje dodatnu klauzulu kao AND klauzulu. Zaslon je sada filtriran da prikaže DNS tokove koji potječu s te IP adrese (192.168.1.26).

Zaslon sažetka filtriran prema vrsti toka i IP adresi.

Novi pojam filtra dodaje se povijesti pretraživanja u lijevom oknu. Možete skakati između pretraživanja klikom na stavke na popisu povijesti pretraživanja.

Odredišna IP adresa za većinu naših filtriranih podataka je 81.139.56.100. Da bismo vidjeli koji su tokovi DNS-a poslani na različite IP adrese, desnom tipkom miša kliknemo 81.139.56.100 u stupcu Id_resp_h, a zatim iz kontekstnog izbornika odaberemo Filter != Value.

Zaslon sažetka s filtrom za pretraživanje koji sadrži

Oglas

Samo jedan DNS tok koji potječe s 192.168.1.26 nije poslan na 81.139.56.100, a mi smo ga locirali bez potrebe da ništa upisujemo da bismo stvorili naš filtar.

Pričvršćivanje klauzula filtera

Kada desnom tipkom miša kliknemo HTTP tijek i iz kontekstnog izbornika odaberemo Filter = Value, okno sažetka prikazat će samo HTTP tokove. Zatim možemo kliknuti ikonu Pin pored klauzule HTTP filtera.

HTTP klauzula je sada pričvršćena na svoje mjesto, a svi drugi filtri ili pojmovi za pretraživanje koje koristimo bit će izvršeni s HTTP klauzulom koja im je dodana.

Ako u traku za pretraživanje upišemo GET, pretraživanje će biti ograničeno na tokove koji su već filtrirani prikvačenom klauzulom. Možete prikvačiti onoliko klauzula filtera koliko je potrebno.

Da bismo tražili POST pakete u HTTP tokovima, jednostavno obrišemo traku za pretraživanje, upišemo POST, a zatim pritisnemo Enter.

Pomicanje u stranu otkriva ID udaljenog hosta.

Daljinski

Svi pojmovi za pretraživanje i filtriranje dodani su na popis Povijest. Da biste ponovno primijenili bilo koji filtar, samo ga kliknite.

Auto-popune

Oglas

Također možete tražiti udaljeni host po imenu.

U potrazi za

Uređivanje pojmova za pretraživanje

Ako želite nešto tražiti, ali ne vidite tijek te vrste, možete kliknuti bilo koji tijek i urediti unos u traci za pretraživanje.

Na primjer, znamo da mora postojati barem jedan SSH tok u PCAP datoteci jer smo koristili zq poslati neke datoteke na drugo računalo, ali to ne možemo vidjeti.

Dakle, desnom tipkom miša ćemo kliknuti drugi tok, odabrati Filter = Value iz kontekstnog izbornika, a zatim urediti traku za pretraživanje tako da kaže ssh umjesto dns.

Pritisnemo Enter da bismo pretražili SSH tokove i pronašli da postoji samo jedan.

SSH tok u prozoru sažetka.

zaustavi iskačući prozor Windows 10

Pritiskom na Ctrl+] otvara se desno okno koje prikazuje pojedinosti za ovaj tijek. Ako je datoteka prenesena tijekom tijeka, MD5 , SHA1 , i SHA256 pojavljuju se hashovi.

Oglas

Desnom tipkom miša kliknite bilo koji od njih, a zatim odaberite VirusTotal Lookup iz kontekstnog izbornika da otvorite preglednik na VirusTotal web stranicu i proslijedite hash na provjeru.

VirusTotal pohranjuje hasheve poznatih zlonamjernih programa i drugih zlonamjernih datoteka. Ako niste sigurni je li datoteka sigurna, ovo je jednostavan način za provjeru, čak i ako više nemate pristup datoteci.

Opcije kontekstnog izbornika hash.

Ako je datoteka benigna, vidjet ćete zaslon prikazan na donjoj slici.

DO

Savršena nadopuna Wiresharku

Brim čini rad s Wiresharkom još bržim i lakšim dopuštajući vam rad s vrlo velikim datotekama za snimanje paketa. Probajte ga danas!

PROČITAJTE SLJEDEĆE
  • › Kako pronaći svoj Spotify omotan 2021
  • › Mapa računala je 40: Kako je Xerox Star stvorio radnu površinu
  • Cyber ​​ponedjeljak 2021.: Najbolje tehničke ponude
  • › 5 web stranica koje svaki korisnik Linuxa treba označiti
  • › Što je MIL-SPEC zaštita od pada?
  • › Funkcije u odnosu na formule u Microsoft Excelu: u čemu je razlika?