Vidokezo 10 vya Jinsi ya Kutumia Wireshark Kuchambua Pakiti za Mtandao
Katika mtandao wowote unaobadilisha pakiti, pakiti huwakilisha vitengo vya data vinavyopitishwa kati ya kompyuta. Ni wajibu wa wahandisi wa mtandao na wasimamizi wa mfumo sawa kufuatilia na kukagua pakiti kwa madhumuni ya usalama na utatuzi.
Ili kufanya hivyo, wanategemea programu zinazoitwa kufuatilia trafiki katika muda halisi lakini pia kuihifadhi kwenye faili ili ikaguliwe baadaye.
Soma Husika: Zana Bora za Ufuatiliaji Bandwidth ya Linux ili Kuchanganua Matumizi ya Mtandao
Katika makala haya, tutashiriki vidokezo 10 juu ya jinsi ya kutumia Wireshark kuchambua pakiti kwenye mtandao wako na tunatumai kuwa ukifikia sehemu ya Muhtasari utajisikia kuiongeza kwenye alamisho zako.
Kufunga Wireshark kwenye Linux
Ili kusakinisha Wireshark, chagua kisakinishi sahihi cha mfumo/usanifu wako wa uendeshaji kutoka https://www.wireshark.org/download.html.
Hasa, ikiwa unatumia Linux, Wireshark lazima ipatikane moja kwa moja kutoka kwa hazina za usambazaji wako kwa usakinishaji rahisi kwa urahisi wako. Ingawa matoleo yanaweza kutofautiana, chaguo na menyu zinapaswa kuwa sawa - ikiwa hazifanani katika kila moja.
------------ On Debian/Ubuntu based Distros ------------ $ sudo apt-get install wireshark ------------ On CentOS/RHEL based Distros ------------ $ sudo yum install wireshark ------------ On Fedora 22+ Releases ------------ $ sudo dnf install wireshark
Kuna hitilafu inayojulikana katika Debian na derivatives ambayo inaweza kuzuia kuorodhesha violesura vya mtandao isipokuwa wewe chapisho hili.
Mara tu Wireshark inapofanya kazi, unaweza kuchagua kiolesura cha mtandao ambacho ungependa kufuatilia chini ya Capture:
Katika makala haya, tutatumia eth0, lakini unaweza kuchagua nyingine ukipenda. Usibofye kiolesura bado - tutafanya hivyo baadaye baada ya kukagua chaguo chache za kunasa.
Chaguzi muhimu zaidi za kukamata tutazingatia ni:
- Kiolesura cha mtandao - Kama tulivyoeleza hapo awali, tutachanganua pakiti zinazokuja kupitia eth0 pekee, zinazoingia au zinazotoka.
- Nasa kichujio - Chaguo hili huturuhusu kuashiria ni aina gani ya trafiki tunataka kufuatilia kwa lango, itifaki au aina.
Kabla ya kuendelea na vidokezo, ni muhimu kutambua kwamba baadhi ya mashirika yanakataza matumizi ya Wireshark katika mitandao yao. Hiyo ilisema, ikiwa hutumii Wireshark kwa madhumuni ya kibinafsi hakikisha shirika lako linaruhusu matumizi yake.
Kwa sasa, chagua tu eth0 kutoka kwenye orodha kunjuzi na ubofye Anza kwenye kitufe. Utaanza kuona trafiki yote inayopitia kiolesura hicho. Sio muhimu sana kwa madhumuni ya ufuatiliaji kwa sababu ya idadi kubwa ya pakiti zilizokaguliwa, lakini ni mwanzo.
Katika picha iliyo hapo juu, tunaweza pia kuona icons kuorodhesha violesura vinavyopatikana, kuacha kukamata kwa sasa, na kuanzisha upya (kisanduku nyekundu upande wa kushoto), na kusanidi na kuhariri kichujio (sanduku nyekundu upande wa kulia). Unapoelea juu ya mojawapo ya aikoni hizi, kidokezo cha zana kitaonyeshwa ili kuonyesha kile kinachofanya.
Tutaanza kwa kuonyesha chaguo za kunasa, ilhali vidokezo #7 hadi #10 vitajadili jinsi ya kufanya jambo muhimu kwa kunasa.
KIDOKEZO #1 - Kagua Trafiki ya HTTP
Andika http kwenye kisanduku cha kichujio na ubofye Tekeleza. Zindua kivinjari chako na uende kwenye tovuti yoyote unayotaka:
Ili kuanza kila kidokezo kinachofuata, simamisha upigaji picha wa moja kwa moja na uhariri kichujio cha kunasa.
Kidokezo #2 - Kagua Trafiki ya HTTP kutoka kwa Anwani Iliyotolewa ya IP
Katika kidokezo hiki mahususi, tutatanguliza ip==192.168.0.10&& kwa mstari wa kichujio ili kufuatilia trafiki ya HTTP kati ya kompyuta ya ndani na 192.168.0.10:
KIDOKEZO #3 - Kagua Trafiki ya HTTP kwa Anwani Iliyotolewa ya IP
Inahusiana kwa karibu na #2, katika kesi hii, tutatumia ip.dst kama sehemu ya kichujio cha kunasa kama ifuatavyo:
ip.dst==192.168.0.10&&http
Ili kuchanganya vidokezo #2 na #3, unaweza kutumia ip.addr katika sheria ya kichujio badala ya ip.src au ip.dst.
TIP #4 - Fuatilia Apache na Trafiki ya Mtandao wa MySQL
Wakati mwingine utakuwa na nia ya kukagua trafiki inayolingana na hali yoyote (au zote mbili). Kwa mfano, ili kufuatilia trafiki kwenye bandari za TCP 80 (seva ya wavuti) na 3306 (seva ya hifadhidata ya MySQL/MariaDB), unaweza kutumia AU hali katika kichujio cha kunasa:
tcp.port==80||tcp.port==3306
Katika vidokezo #2 na #3, || na neno au toa matokeo sawa. Sawa na && na neno na.
Kidokezo # 5 - Kataa Pakiti kwa Anwani ya IP iliyotolewa
Ili kutenga pakiti zisizolingana na sheria ya kichujio, tumia ! na uambatanishe sheria hiyo ndani ya mabano. Kwa mfano, kuwatenga vifurushi vinavyotoka au kuelekezwa kwa anwani fulani ya IP, unaweza kutumia:
!(ip.addr == 192.168.0.10)
KIDOKEZO #6 - Fuatilia Trafiki ya Mtandao wa Ndani (192.168.0.0/24)
Sheria ifuatayo ya kichujio itaonyesha trafiki ya ndani pekee na kutenganisha pakiti zinazoingia na kutoka kwenye Mtandao:
ip.src==192.168.0.0/24 and ip.dst==192.168.0.0/24
Kidokezo #7 - Fuatilia Yaliyomo kwenye Mazungumzo ya TCP
Ili kukagua yaliyomo kwenye mazungumzo ya TCP (kubadilishana data), bofya kulia kwenye pakiti fulani na uchague Fuata mtiririko wa TCP. Dirisha litaonekana na yaliyomo kwenye mazungumzo.
Hii itajumuisha vichwa vya HTTP ikiwa tunakagua trafiki ya wavuti, na pia vitambulisho vyovyote vya maandishi wazi vinavyotumwa wakati wa mchakato ikiwa vipo.
TIP #8 - Badilisha Sheria za Kuchorea
Kufikia sasa nina hakika tayari umegundua kuwa kila safu kwenye kidirisha cha kunasa imepakwa rangi. Kwa chaguomsingi, trafiki ya HTTP inaonekana katika mandharinyuma ya kijani kibichi yenye maandishi meusi, ilhali hitilafu za checksum zinaonyeshwa katika maandishi mekundu yenye mandharinyuma nyeusi.
Ikiwa ungependa kubadilisha mipangilio hii, bofya aikoni ya sheria za Kuhariri, chagua kichujio fulani, na ubofye Hariri.
Kidokezo #9 - Hifadhi Kinasa kwenye Faili
Kuhifadhi maudhui ya kunasa kutaturuhusu kuweza kuikagua kwa undani zaidi. Ili kufanya hivyo, nenda kwa Faili → Hamisha na uchague umbizo la usafirishaji kutoka kwenye orodha:
KIDOKEZO #10 - Fanya mazoezi na Sampuli za kunasa
Ikiwa unafikiri mtandao wako \unachosha, Wireshark hutoa mfululizo wa faili za kunasa sampuli ambazo unaweza kutumia kufanya mazoezi na kujifunza. Unaweza kupakua Sampuli hizi na kuziagiza kupitia Faili → Leta menyu.
Wireshark ni programu huria na huria, kama unavyoweza kuona katika sehemu ya Maswali Yanayoulizwa Mara kwa Mara ya tovuti rasmi. Unaweza kusanidi kichujio cha kunasa ama kabla au baada ya kuanza ukaguzi.
Iwapo hukutambua, kichujio kina kipengele cha kukamilisha kiotomatiki ambacho hukuruhusu kutafuta kwa urahisi chaguo zinazotumiwa zaidi ambazo unaweza kubinafsisha baadaye. Pamoja na hayo, anga ni kikomo!
Kama kawaida, usisite kutupa mstari kwa kutumia fomu ya maoni hapa chini ikiwa una maswali au uchunguzi kuhusu nakala hii.