Phenquestions
Isegi kui graafilist kasutajaliidest on teoreetiliselt palju lihtsam kasutada, ei toeta seda kõik keskkonnad, eriti ainult käsurea suvanditega serverikeskkonnad. Seega peate teatud ajahetkel võrguadministraatori või turvainsenerina kasutama käsurea liidest. Oluline on märkida, et tsharki kasutatakse mõnikord tcpdumpi asendajana. Kuigi mõlemad tööriistad on liikluse püüdmise funktsionaalsuses peaaegu samaväärsed, on tshark palju võimsam.
Parim, mida saate teha, on kasutada tsharki oma serveris porti seadistamiseks, mis edastab teie süsteemile teabe, et saaksite GUI-ga analüüsimiseks liiklust hõivata. Kuid esialgu õpime, kuidas see töötab, millised on selle atribuudid ja kuidas saate seda kasutada oma võimaluste piires.
Tsharki installimiseks Ubuntu / Debianisse tippige apt-get abil järgmine käsk:
[meiliga kaitstud]: ~ $ sudo apt-get install tshark -yNüüd tippige tshark -abiline loetleda kõik võimalikud argumendid koos vastavate lippudega, mille saame käsklusele edastada tshark.
[meiliga kaitstud]: ~ $ tshark --help | pea -20TShark (traathark) 2.6.10 (Git v2.6.10 pakendatud kujul 2.6.10-1 ~ ubuntu18.04.0)
Dump ja analüüsige võrguliiklust.
Vaata https: // www.traadihai.org lisateabe saamiseks.
Kasutamine: tshark [valikud]…
Jäädvusta liides:
-i
-f
-s
-p ärge jäädvustage ebasoodsas režiimis
-Jäädvustan monitorirežiimis, kui see on saadaval
-B
-y lingikihi tüüp (def: esimene sobiv)
--ajatemplitüüp
-D printige liideste loend ja väljuge
-L trükitud iface'i ja exit-i lingikihtide tüüpide loend
--list-time-stamp-types printige iface'i ja exit'i ajatemplitüüpide loend
Jäädvustage peatumise tingimused:
Võite märgata kõigi saadaolevate valikute loendit. Selles artiklis käsitleme enamikku argumente üksikasjalikult ja saate aru selle terminalile orienteeritud Wiresharki versiooni võimsusest.
Võrguliidese valimine:
Selles utiliidis reaalajas jäädvustamise ja analüüsi läbiviimiseks peame kõigepealt välja selgitama oma tööliidese. Tüüp tshark -D ja tshark loetleb kõik saadaolevad liidesed.
[meiliga kaitstud]: ~ $ tshark -D1. enp0s3
2. ükskõik milline
3. lo (tagurpidi)
4. nflog
5. nfqueue
6. usbmon1
7. ciscodump (Cisco kaughõive)
8. randpkt (juhuslik pakettgeneraator)
9. sshdump (SSH kaughõive)
10. udpdump (UDP kuulaja kaughõive)
Pange tähele, et kõik loetletud liidesed ei tööta. Tüüp ifconfig oma süsteemis töötavate liideste leidmiseks. Minu puhul on see nii enp0s3.
Liikluse hõivamine:
Otseülekande protsessi alustamiseks kasutame tshark käsk-i”Valik, et alustada hõivamisprotsessi tööliideselt.
[meiliga kaitstud]: ~ $ tshark -i enp0s3Kasutage Ctrl + C reaalajas jäädvustamise peatamiseks. Ülalolevas käsus olen sidunud liikluse juhtinud Linuxi käsusse pea esimeste hõivatud pakettide kuvamiseks. Või võite kasutada ka “-c
Kui sisestate ainult tshark, vaikimisi ei hakka see liiklust hõivama kõigil saadaolevatel liidestel ega kuula teie töötavat liidest. Selle asemel haarab see paketid esimesele loetletud liidesele.
Mitme liidese kontrollimiseks võite kasutada ka järgmist käsku:
[meiliga kaitstud]: ~ $ tshark -i enp0s3 -i usbmon1 -i loVahepeal on veel üks võimalus hõivatud liikluse jaoks kasutada numbrit koos loetletud liidestega.
[meiliga kaitstud]: ~ $ tshark -i liidese numberMitme liidese olemasolul on aga raske nende loetletud numbreid jälgida.
Jäädvusta filter:
Jäädvustusfiltrid vähendavad jäädvustatud faili suurust märkimisväärselt. Tshark kasutab Berkeley pakettfiltri süntaksit -f "
Salvestatud liikluse salvestamine faili:
Peamine asi, mida ülaltoodud ekraanipildil tähele panna, on see, et kuvatavat teavet ei salvestata, mistõttu on see vähem kasulik. Kasutame argumenti “-w”Salvestatud võrguliikluse salvestamiseks test_capture.pcap aastal / tmp kausta.
[meiliga kaitstud]: ~ $ tshark -i enp0s3 -w / tmp / test_capture.pcapArvestades, et, .pcap on Wiresharki failitüübi laiendus. Faili salvestades saate hiljem Wireshark GUI abil masinas liiklust üle vaadata ja analüüsida.
Hea tava on faili salvestamine kataloogi /tmp kuna see kaust ei vaja täitmisõigusi. Kui salvestate selle teise kausta, isegi kui kasutate tsharki juurõigustega, keelab programm turvalisuse huvides loa.
Uurime kõiki võimalikke viise, kuidas saate:
- rakendada andmete kogumisele piiranguid, näiteks väljumist tshark või püüdmise automaatne peatamine ja
- väljastage oma failid.
Autostop-parameeter:
Võite kasutada-a”Parameeter, et lisada saadaolevad lipud, näiteks faili kestus ja failid. Järgmises käsus kasutame parameetrit autostop koos kestus lipuga protsessi peatamiseks 120 sekundi jooksul.
[meiliga kaitstud]: ~ $ tshark -i enp0s3 -a kestus: 120 -w / tmp / test_capture.pcapSamamoodi, kui te ei vaja, et teie failid oleksid eriti suured, faili suurus on ideaalne lipp protsessi peatamiseks pärast mõningaid KB piiranguid.
[meiliga kaitstud]: ~ $ tshark -i enp0s3 -a failisuurus: 50 -w / tmp / test_capture.pcapKõige tähtsam, faile lipp võimaldab teil pärast mitu faili hõivamise peatada. Kuid see saab olla võimalik ainult pärast mitme faili loomist, mis nõuab teise kasuliku parameetri, väljundi hõivamist.
Jäädvusta väljundparameeter:
Jäädvusta väljund, ehk ringbufferi argument “-b“, Tuleb koos samade lippudega nagu autostop. Kuid kasutus / väljund on natuke erinev, st.e., lipud kestus ja faili suurus, kuna see võimaldab vahetada või salvestada pakette teisele failile pärast määratud ajapiirangute saavutamist sekundites või faili suurust.
Allpool olev käsk näitab, et hõivame liikluse oma võrguliidese kaudu enp0s3, ja hõivake liiklust hõivefiltri abil “-f”Tcp ja dns jaoks. Kasutame a-ga ring-bufferi valikut “-b” faili suurus lipp suurusega failide salvestamiseks 15 Kb, ja kasutage ka faili arvu määramiseks autostopi argumenti faile see peatab püüdmisprotsessi pärast kolme faili genereerimist.
[meiliga kaitstud]: ~ $ tshark -i enp0s3 -f "port 53 või port 21" -b faili suurus: 15 -a faili: 2 -w / tmp / test_capture.pcapOlen jaganud oma terminali kaheks ekraaniks, et jälgida kolme loomist aktiivselt .failid.
Mine oma / tmp kausta ja kasutage järgmise terminali käsku värskenduste jälgimiseks iga sekundi järel.
[meiliga kaitstud]: ~ $ watch -n 1 "ls -lt"Nüüd ei pea te kõiki neid lippe pähe õppima. Selle asemel tippige käsk tshark -i enp0s3 -f “port 53 või port 21” -b faili suurus: 15 -a oma terminalis ja vajutage Tab. Kõigi saadaolevate lippude loend on teie ekraanil saadaval.
[meiliga kaitstud]: ~ $ tshark -i enp0s3 -f "port 53 või port 21" -b faili suurus: 15 -akestus: failid: faili suurus:
[meiliga kaitstud]: ~ $ tshark -i enp0s3 -f "port 53 või port 21" -b faili suurus: 15 -a
Lugemine .pcap Failid:
Mis kõige tähtsam, võite kasutada-r”Parameetri test_capture lugemiseks.failid ja tõsta see faili pea käsk.
[meiliga kaitstud]: ~ $ tshark -r / tmp / test_capture.pcap | peaVäljundfailis kuvatav teave võib olla natuke ülekaalukas. Vajalike üksikasjade vältimiseks ja mis tahes konkreetse sihtkoha IP-aadressi paremaks mõistmiseks kasutame -r võimalus lugeda pakettidega hõivatud faili ja kasutada ip.addr filter, et suunata väljund uuele failile-w”Valik. See võimaldab meil faili üle vaadata ja analüüsi täpsustada, rakendades täiendavaid filtreid.
[meiliga kaitstud]: ~ $ tshark -r / tmp / test_capture.pcap -w / tmp / redirected_file.pcap ip.dst == 216.58.209.142[meiliga kaitstud]: ~ $ tshark -r / tmp / redirected_file.pcap | pea
1 0.000000000 10.0.2.15 → 216.58.209.142 TLSv1.2 370 rakenduse andmed
2 0.000168147 10.0.2.15 → 216.58.209.142 TLSv1.2 669 Rakenduse andmed
3 0.011336222 10.0.2.15 → 216.58.209.142 TLSv1.2 5786 rakenduse andmed
4 0.016413181 10.0.2.15 → 216.58.209.142 TLSv1.2 1093 Rakenduse andmed
5 0.016571741 10.0.2.15 → 216.58.209.142 TLSv1.2 403 Rakenduse andmed
6 0.016658088 10.0.2.15 → 216.58.209.142 TCP 7354 [uuesti kokku pandud PDU TCP segment]
7 0.016738530 10.0.2.15 → 216.58.209.142 TLSv1.2 948 rakenduse andmed
8 0.023006863 10.0.2.15 → 216.58.209.142 TLSv1.2 233 Rakenduse andmed
9 0.023152548 10.0.2.15 → 216.58.209.142 TLSv1.2 669 Rakenduse andmed
10 0.023324835 10.0.2.15 → 216.58.209.142 TLSv1.2 3582 Rakenduse andmed
Väljundite valimine väljastamiseks:
Ülaltoodud käsud väljastavad iga paketi kokkuvõtte, mis sisaldab erinevaid päisevälju. Tshark võimaldab teil vaadata ka määratud välju. Välja määramiseks kasutame-T väli”Ja eraldage väljad vastavalt meie valikule.
Pärast "-T väli”Lüliti, kasutame määratud väljade / filtrite printimiseks valikut“ -e ”. Siin saame kasutada Wiresharki ekraanifiltreid.
[meiliga kaitstud]: ~ $ tshark -r / tmp / test_capture.pcap -T väljad -e raam.number -e ip.src -e ip.dst | pea1 10.0.2.15 216.58.209.142
2 10.0.2.15 216.58.209.142
3 216.58.209.142 10.0.2.15
4 216.58.209.142 10.0.2.15
5 10.0.2.15 216.58.209.142
6 216.58.209.142 10.0.2.15
7 216.58.209.142 10.0.2.15
8 216.58.209.142 10.0.2.15
9 216.58.209.142 10.0.2.15
10 10.0.2.15 115.186.188.3
Krüpteeritud käepigistuse andmete jäädvustamine:
Siiani oleme õppinud salvestama ja lugema väljundfaile erinevate parameetrite ja filtrite abil. Nüüd õpime, kuidas HTTPS seansi tsharki lähtestab. Veebisaidid, millele pääseb juurde HTTP asemel HTTPS-i kaudu, tagavad traadi kaudu turvalise või krüptitud andmeedastuse. Turvaliseks edastamiseks käivitab transpordikihi turvalisuse krüptimine käepigistuse, et käivitada side kliendi ja serveri vahel.
Püüame ja mõistame TLS-i käepigistust, kasutades tsharki. Jagage terminal kaheks ekraaniks ja kasutage a wget käsk HTML-faili toomiseks https: // www.traadihai.org.
[meiliga kaitstud]: ~ $ wget https: // www.traadihai.org--2021-01-09 18: 45: 14-- https: // www.traadihai.org /
Ühendamine veebisaidiga.traadihai.org (www.traadihai.org) | 104.26.10.240 |: 443 ... ühendatud.
HTTP päring on saadetud, ootab vastust ... 206 Osaline sisu
Pikkus: 46892 (46K), 33272 (32K) järelejäänud [tekst / html]
Salvestamine indeksisse: '.html '
indeks.HTML 100% [++++++++++++++ ================================== ==>] 45.79K 154KB / s 0-s.2s
2021-01-09 18:43:27 (154 KB / s) - indeks.HTML 'salvestatud [46892/46892]
Teisel ekraanil kasutame esimese 11 paketi hõivamiseks tsharki, kasutades-c”Parameeter. Analüüsi tegemisel on ajatemplid sündmuste rekonstrueerimiseks olulised, seetõttu kasutame-t reklaam”Viisil, et tshark lisab ajatempli iga hõivatud paketi kõrvale. Lõpuks kasutame host-käsku pakettide hõivamiseks jagatud hostist IP-aadress.
See käepigistus on üsna sarnane TCP käepigistusega. Niipea kui TCP kolmepoolne käepigistus esimeses kolmes paketis lõpule jõuab, järgivad neljas kuni üheksas paketid mõnevõrra sarnast käepigistuse rituaali ja sisaldavad TLS-stringe, et tagada mõlema osapoole krüptitud suhtlus.
[meiliga kaitstud]: ~ $ tshark -i enp0s3 -c 11 -t reklaami host 104.26.10.240Salvestamine 'enp0s3'
1 2021-01-09 18:45:14.174524575 10.0.2.15 → 104.26.10.240 TCP 74 48512 → 443 [SYN] Seq = 0 Win = 64240 Len = 0 MSS = 1460 SACK_PERM = 1 TSval = 2488996311 TSecr = 0 WS = 128
2 2021-01-09 18:45:14.279972105 104.26.10.240 → 10.0.2.15 TCP 60 443 → 48512 [SYN, ACK] Seq = 0 Ack = 1 Win = 65535 Len = 0 MSS = 1460
3 2021-01-09 18:45:14.280020681 10.0.2.15 → 104.26.10.240 TCP 54 48512 → 443 [ACK] Seq = 1 Ack = 1 Win = 64240 Len = 0
4 2021-01-09 18:45:14.280593287 10.0.2.15 → 104.26.10.240 TLSv1 373 klient Tere
5 2021-01-09 18:45:14.281007512 104.26.10.240 → 10.0.2.15 TCP 60 443 → 48512 [ACK] Seq = 1 Ack = 320 Win = 65535 Len = 0
6 2021-01-09 18:45:14.390272461 104.26.10.240 → 10.0.2.15 TLSv1.3 1466 Server Tere, muuda šifri spetsifikatsioon
7 2021-01-09 18:45:14.390303914 10.0.2.15 → 104.26.10.240 TCP 54 48512 → 443 [ACK] Seq = 320 Ack = 1413 Win = 63540 Len = 0
8 2021-01-09 18:45:14.392680614 104.26.10.240 → 10.0.2.15 TLSv1.3 1160 Rakenduse andmed
9 2021-01-09 18:45:14.392703439 10.0.2.15 → 104.26.10.240 TCP 54 48512 → 443 [ACK] Seq = 320 Ack = 2519 Win = 63540 Len = 0
10 2021-01-09 18:45:14.394218934 10.0.2.15 → 104.26.10.240 TLSv1.3 134 Muutke šifri spetsifikatsioone, rakenduse andmeid
11 2021-01-09 18:45:14.394614735 104.26.10.240 → 10.0.2.15 TCP 60 443 → 48512 [ACK] Seq = 2519 Ack = 400 Win = 65535 Len = 0
11 pakki püütud
Kogu paketi vaatamine:
Käsurea utiliidi ainus puudus on see, et sellel pole GUI-d, kuna see muutub väga käepäraseks, kui peate otsima palju Interneti-liiklust, ja pakub ka pakettpaneeli, mis kuvab kõik pakettide üksikasjad kohene. Siiski on endiselt võimalik paketti kontrollida ja kogu GUI pakettpaneelil kuvatud paketiinfo välja visata.
Terve paketi kontrollimiseks kasutame ühe paketi hõivamiseks ping-käsku valikuga “-c”.
[meiliga kaitstud]: ~ $ ping -c 1 104.26.10.240PING 104.26.10.240 (104.26.10.240) 56 (84) baiti andmeid.
64 baiti 104-st.26.10.240: icmp_seq = 1 ttl = 55 aeg = 105 ms
--- 104.26.10.240 pingi statistikat ---
1 paketti edastatud, 1 vastuvõetud, 0% pakettide kadu, aeg 0 ms
rtt min / keskm / max / mdev = 105.095/105.095/105.095/0.000 ms
Mõnes teises aknas kasutage kogu paketi üksikasjade kuvamiseks käsku tshark koos täiendava lipuga. Võite märgata erinevaid sektsioone, kuvades raame, Ethernet II, IPV ja ICMP üksikasju.
[meiliga kaitstud]: ~ $ tshark -i enp0s3 -c 1 -V host 104.26.10.240Kaader 1: 98 baiti traadil (784 bitti), 98 baiti hõivatud (784 bitti) liidesel 0
Liidese ID: 0 (enp0s3)
Liidese nimi: enp0s3
Kapseldamise tüüp: Ethernet (1)
Saabumisaeg: 9. jaanuar 2021 21:23:39.167581606 PKT
[Selle paketi ajanihe: 0.000000000 sekundit]
Ajastu aeg: 1610209419.167581606 sekundit
[Aja delta eelmisest jäädvustatud kaadrist: 0.000000000 sekundit]
[Aja delta eelmisest kuvatud kaadrist: 0.000000000 sekundit]
[Aeg viitest või esimesest kaadrist alates: 0.000000000 sekundit]
Raami number: 1
Raami pikkus: 98 baiti (784 bitti)
Võttepikkus: 98 baiti (784 bitti)
[Raam on märgitud: Vale]
[Raami ignoreeritakse: vale]
[Kaadris olevad protokollid: eth: ethertype: ip: icmp: andmed]
Ethernet II, Src: PcsCompu_17: fc: a6 (08: 00: 27: 17: fc: a6), Dst: RealtekU_12: 35: 02 (52: 54: 00: 12: 35: 02)
Sihtkoht: RealtekU_12: 35: 02 (52: 54: 00: 12: 35: 02)
Aadress: RealtekU_12: 35: 02 (52: 54: 00: 12: 35: 02)
… 1… = LG bitt: kohapeal hallatav aadress (see EI ole tehase vaikeseade)
… 0… = IG-bitt: isiklik aadress (unicast)
Allikas: PcsCompu_17: fc: a6 (08: 00: 27: 17: fc: a6)
Aadress: PcsCompu_17: fc: a6 (08: 00: 27: 17: fc: a6)
Liidese ID: 0 (enp0s3)
Liidese nimi: enp0s3
Kapseldamise tüüp: Ethernet (1)
Saabumisaeg: 9. jaanuar 2021 21:23:39.167581606 PKT
[Selle paketi ajanihe: 0.000000000 sekundit]
Ajastu aeg: 1610209419.167581606 sekundit
[Aja delta eelmisest jäädvustatud kaadrist: 0.000000000 sekundit]
[Aja delta eelmisest kuvatud kaadrist: 0.000000000 sekundit]
[Aeg viitest või esimesest kaadrist alates: 0.000000000 sekundit]
Raami number: 1
Raami pikkus: 98 baiti (784 bitti)
Võttepikkus: 98 baiti (784 bitti)
[Raam on märgitud: Vale]
[Raami ignoreeritakse: vale]
[Kaadris olevad protokollid: eth: ethertype: ip: icmp: andmed]
Ethernet II, Src: PcsCompu_17: fc: a6 (08: 00: 27: 17: fc: a6), Dst: RealtekU_12: 35: 02 (52: 54: 00: 12: 35: 02)
Sihtkoht: RealtekU_12: 35: 02 (52: 54: 00: 12: 35: 02)
Aadress: RealtekU_12: 35: 02 (52: 54: 00: 12: 35: 02)
… 1… = LG bitt: kohapeal hallatav aadress (see EI ole tehase vaikeseade)
… 0… = IG-bitt: isiklik aadress (unicast)
Allikas: PcsCompu_17: fc: a6 (08: 00: 27: 17: fc: a6)
Aadress: PcsCompu_17: fc: a6 (08: 00: 27: 17: fc: a6)
… 0… = LG bit: globaalselt ainulaadne aadress (tehase vaikeseade)
… 0… = IG-bitt: isiklik aadress (unicast)
Tüüp: IPv4 (0x0800)
Interneti-protokolli versioon 4, Src: 10.0.2.15, Dst: 104.26.10.240
0100… = Versioon: 4
… 0101 = päise pikkus: 20 baiti (5)
Diferentseeritud teenuste väli: 0x00 (DSCP: CS0, ECN: Not-ECT)
0000 00… = diferentseeritud teenuste koodpunkt: vaikimisi (0)
… 00 = selgesõnaline teatis ülekoormuse kohta: pole ECN-võimeline transport (0)
Kogupikkus: 84
Identifitseerimine: 0xcc96 (52374)
Lipud: 0x4000, ära killusta
0… = reserveeritud bitt: pole määratud
.1… = Ärge killustage: määrake
… 0… = Rohkem fragmente: pole määratud
… 0 0000 0000 0000 = fragmendi nihe: 0
Aeg elada: 64
Protokoll: ICMP (1)
Päise kontrollsumma: 0xeef9 [valideerimine keelatud]
[Päise kontrollsumma olek: kinnitamata]
Allikas: 10.0.2.15
Sihtkoht: 104.26.10.240
Interneti-kontrollsõnumi protokoll
Tüüp: 8 (kaja (ping) taotlus)
Kood: 0
Kontrollsumma: 0x0cb7 [õige]
[Kontrollsumma olek: hea]
Identifier (BE): 5038 (0x13ae)
Identifier (LE): 44563 (0xae13)
Järjestuse number (BE): 1 (0x0001)
Järjestuse number (LE): 256 (0x0100)
Ajatempel icmp-i andmetest: 9. jaanuar 2021 21:23:39.000000000 PKT
[Ajatempel icmp-i andmetest (suhteline): 0.167581606 sekundit]
Andmed (48 baiti)
0000 91 8e 02 00 00 00 00 00 10 11 12 13 14 15 16 17…
0010 18 19 1a 1b 1c 1d 1e 1f 20 21 22 23 24 25 26 27… !"# $% & '
0020 28 29 2a 2b 2c 2d 2e 2f 30 31 32 33 34 35 36 37 () *+,-./ 01234567
Andmed: 918e02000000000000101112131415161718191a1b1c1d1e1f…
[Pikkus: 48]
Järeldus:
Pakettanalüüsi kõige keerulisem aspekt on kõige asjakohasema teabe leidmine ja kasutute bitide ignoreerimine. Ehkki graafilised liidesed on lihtsad, ei saa need aidata kaasa võrgupakettide automatiseeritud analüüsile. Selles artiklis olete õppinud kõige kasulikumaid tsharki parameetreid võrguliiklusfailide hõivamiseks, kuvamiseks, salvestamiseks ja lugemiseks.
Tshark on väga mugav utiliit, mis loeb ja kirjutab Wiresharki toetatud hõivefaile. Ekraani- ja hõivefiltrite kombinatsioon aitab kõrgtasemel kasutusjuhtumitega töötades palju kaasa. Saame kasutada tsharki võimalust väljade printimiseks ja andmetega manipuleerimiseks vastavalt meie põhjaliku analüüsi nõuetele. Teisisõnu on see võimeline tegema praktiliselt kõike, mida Wireshark teeb. Kõige tähtsam on see, et see sobib ideaalselt pakettide nuuskimiseks ssh-i abil, mis on teise päeva teema.
