Χρήση του Wireshark στο Ubuntu
Το Wireshark είναι ένας ισχυρός αναλυτής δικτύου ανοιχτού κώδικα, ο οποίος μπορεί να χρησιμοποιηθεί για την εμφάνιση των δεδομένων σε ένα δίκτυο, ως βοηθός στην ανίχνευση προβλημάτων δικτύου, αλλά εξίσου ως εκπαιδευτικό εργαλείο για την κατανόηση των αρχών των δικτύων και των πρωτοκόλλων επικοινωνίας.
Είναι άμεσα διαθέσιμο για σχεδόν οποιαδήποτε διανομή Linux και για το Ubuntu, μπορεί να εγκατασταθεί μέσω του λογισμικού του Ubuntu ή του τερματικού:
sudo apt-get εγκαταστήστε wireshark
Πριν χρησιμοποιήσετε το wireshark, το βοηθητικό πρόγραμμα dumpcap
πρέπει να λάβει άδεια εκτέλεσης ως root. Χωρίς αυτό, το Wireshark δεν θα μπορεί να καταγράψει την κυκλοφορία του δικτύου όταν είστε συνδεδεμένοι ως κανονικός χρήστης (ο οποίος είναι πάντα σε διανομές όπως το Ubuntu). Για να προσθέσετε το bit " setuid
" στο dumpcap
, χρησιμοποιήστε την ακόλουθη εντολή:
sudo chmod 4711 `που dumpcap`
Σημειώστε ότι τα αποσπάσματα σημειώνουν γύρω από το "ποιο dumpcap" δεν είναι κανονικά μεμονωμένα εισαγωγικά, αλλά ο χαρακτήρας σοβαρού τόνου. Σε συστήματα που μοιάζουν με το Unix, αυτό προκαλεί υποκατάσταση εντολής όπου η έξοδος από την which
εντολή γίνεται μια παράμετρος για την εντολή chmod
, δηλ. dumpcap
πλήρη διαδρομή του δυαδικού dumpcap
.
Ξεκινήστε το Wireshark και, στη συνέχεια, κάντε κλικ στη διεπαφή δικτύου που θέλετε να χρησιμοποιήσετε για να καταγράψετε τα δεδομένα. Σε ένα ενσύρματο δίκτυο, θα είναι πιθανότατα eth0
. Τώρα κάντε κλικ στο κουμπί Έναρξη.
Το Wireshark θα αρχίσει να καταγράφει την κυκλοφορία και θα εμφανίζεται ως λίστα χρωματισμένων στο κύριο παράθυρο. Η επισκεψιμότητα TCP είναι πράσινη, τα πακέτα UDP είναι ανοικτά μπλε, τα αιτήματα ARP είναι κίτρινα και η κυκλοφορία DNS εμφανίζεται με σκούρο μπλε χρώμα.
Ακριβώς κάτω από τη γραμμή εργαλείων βρίσκεται το πλαίσιο φίλτρου. Για να δείτε μόνο ορισμένους τύπους πακέτων δικτύου, καταχωρίστε το όνομα πρωτοκόλλου στο πλαίσιο επεξεργασίας και κάντε κλικ στην επιλογή Εφαρμογή. Για παράδειγμα, για να δείτε μόνο το μήνυμα ARP (Address Resolution Protocol), πληκτρολογήστε arp
στο πλαίσιο Filter και κάντε κλικ στο Apply. Η λίστα θα αλλάξει ώστε να εμφανίζει μόνο μηνύματα ARP. Το ARP χρησιμοποιείται σε ένα δίκτυο LAN για να ανακαλύψετε ποια μηχανή χρησιμοποιεί μια συγκεκριμένη διεύθυνση IP. Άλλα φίλτρα παραδείγματος είναι τα HTTP, ICMP, SMTP, SMB και ούτω καθεξής.
Το Wireshark μπορεί να φιλτράρει χρησιμοποιώντας πιο προηγμένα κριτήρια από ό, τι μόνο τον τύπο του πρωτοκόλλου. Για παράδειγμα, για να δείτε όλη την κίνηση DNS που προέρχεται από συγκεκριμένο κεντρικό υπολογιστή, χρησιμοποιήστε το φίλτρο ip.src==192.168.1.101 and dns
όπου το 192.168.1.101
είναι η διεύθυνση προέλευσης που θέλετε να φιλτράρετε.
Εάν εντοπίσετε μια ενδιαφέρουσα αλληλεπίδραση μεταξύ δύο κεντρικών υπολογιστών που θέλετε να δείτε στο σύνολό τους, τότε το Wireshark έχει μια επιλογή "follow stream". Κάντε δεξί κλικ σε οποιοδήποτε πακέτο στην ανταλλαγή και, στη συνέχεια, κάντε κλικ στο "Ακολουθήστε την ροή TCP" (ή ακολουθήστε το UDP Stream, ακολουθήστε το SSL Stream ανάλογα με τον τύπο του πρωτοκόλλου). Το Wireshark θα παρουσιάσει έπειτα ένα πλήρες αντίγραφο της συνομιλίας.
Δοκιμάστε αυτό
Χρησιμοποιώντας το Wireshark μπορεί να είναι τόσο περίπλοκο ή τόσο απλό όσο χρειάζεστε, υπάρχουν πολλά προηγμένα χαρακτηριστικά για τους ειδικούς του δικτύου, αλλά όσοι επιθυμούν να μάθουν για δίκτυα μπορούν επίσης να επωφεληθούν από τη χρήση του. Εδώ μπορείτε να δοκιμάσετε αν θέλετε να μάθετε περισσότερα για το Wireshark. Ξεκινήστε μια καταγραφή και ρυθμίστε το φίλτρο στο ICMP. Τώρα πατήστε το μηχάνημα του Linux χρησιμοποιώντας μια εντολή όπως αυτή από μια άλλη μηχανή Linux ή ακόμα και από ένα κέλυφος εντολών PC για Windows:
ping 192.168.1.10
Όπου 192.168.1.10
είναι η διεύθυνση IP της μηχανής Linux. Τώρα κοιτάξτε τη λίστα πακέτων και δείτε αν εντοπίζετε την κίνηση δικτύου για το ping.