Как да използвате Wireshark за улавяне на информация в мрежата и прихващане на трафика

Wireshark е един от най-известните инструменти за анализ на мрежи в света, както защото е безплатен, така и защото работи добре и не е твърде труден за използване.
Славата му обаче произтича от факта, че с тази програма е възможно да се филтрират, улавят и шпионират пакети и информация, които преминават в компютърна мрежа .
Шпиониране на пакетите, както се вижда в общо ръководство (Влизане в защитена wifi мрежа за улавяне на пакети и шпиониране на това, което правите в интернет) ви позволява да четете всякакъв вид информация, която става ясна при комуникацията между компютъра и интернет.
Това означава, че ако двама души са в един офис или дом и се свържат към една и съща мрежа (или един и същ рутер), за да отидат в интернет, тогава двата компютъра могат да се видят и от един е възможно, като се използва Wireshark, да се заснеме информацията от други, включително уебсайтовете, които посещавате, пароли в открит текст (на сайтове, които не са https), имейли, чатове и т.н.
Wireshark обаче е преди всичко много мощна програма за мрежов анализ, използвана и от професионални техници, и тогава нека да видим как да го използваме сериозно.
Можете да изтеглите Wireshark за Windows или Mac OS X от официалния му уебсайт.
Ако използвате Linux или друга подобна на UNIX система, Wireshark трябва да бъде в хранилището на софтуера за разпространение.
След като изтеглите и инсталирате Wireshark, можете да го стартирате и трябва незабавно да изберете правилния мрежов интерфейс, който да анализирате .
Например, ако искате да придобиете трафик в безжичната мрежа, щракнете върху мрежовата карта на wifi в противен случай, ако използваната мрежа е кабелна, трябва да изберете LAN връзката и така нататък.
Щом изберете интерфейс, веднага ще видите, че всяка информация, която преминава през мрежата, се вижда в списък с непрекъснато превъртане.
Ако активирате контрол в мрежа, споделена от множество компютри (например wifi), и сте активирали събирането на данни в безразборен режим, ще видите и пакетите на други компютри, свързани към същата мрежа .
Придобиването в промишлен режим е възможно от компютър с Windows само чрез инсталиране на драйвери на WinPCap, които са включени в инсталационния пакет на Wireshark.
В горния ляв ъгъл можете да спрете процеса на заснемане в реално време и да спрете придобиването на трафик.
Wireshark показва различно оцветени прихванати данни, за да помогне за по-лесното идентифициране на типовете трафик.
По подразбиране TCP трафикът е зелен, DNS трафикът е тъмно син, вместо UDP трафикът е светло син; черните са TCP пакети с проблеми.
За да започнете и да видите дали работи, трябва да сте сигурни, че докато сърфирате в интернет, като отворите няколко уебсайта, данните и информацията се заснемат от Wireshark.
HTTP обажданията са тези, свързани с интернет трафика, които могат да бъдат най-интересни, ако възнамерявате да намерите информация за сърфиране, като например посетените сайтове.
Можете също да изтеглите примерен файл за анализ в Wireshark за
Важно да не се губите в морето от генерирани данни е да използвате правила за филтриране на пакети.
Най-лесният начин да приложите филтър е да въведете ключ за търсене в полето за филтриране в горната част на прозореца и да натиснете Приложи.
Например, като напишете „ http “, ще видите само връзките, направени през браузъра в интернет.
Всеки пакет може да бъде проверен и просто щракнете върху него с десния бутон, за да видите повече подробности и TCP потока или историята на направените стъпки (например, ако търсите в Google за още неща, можете да прегледате целия поток).
По-конкретни филтри могат да бъдат приложени от менюто Анализ .
При получаване на пакети може да е неудобно и трудно да се разбере потока на износени данни и информация в мрежата, защото се показват само IP адреси.
Възможно е обаче да преобразувате IP адреси в имена на домейни (за http трафик това означава да видите имената на уебсайтовете), като активирате функционалността от менюто Редактиране -> Предпочитания -> Разделителна способност на имената и активирайте " Активиране на разрешаването на мрежово име ".
Когато активирате тази опция, ще видите имена на домейни вместо IP адреси, но тъй като Wireshark ще трябва да търси всяко име на домейн, DNS заявките се увеличават чрез увеличаване на потока от данни.
Ако искате да настроите автоматично заснемане на пакети на вашия компютър, можете да създадете пряк път за работния плот, за да стартирате Wireshark бързо.
След като създадете връзката, щракнете с десния бутон на мишката, въведете свойствата и, където е написано " Дестинация ", добавете интервал към реда след окончателните кавички и след това -i # -k .
вместо # трябва да поставите номера на мрежовата карта, която ще се проверява, в съответствие с реда, който Wireshark дава по време на фазата на избор.
Улавянето на трафик от други компютри, свързани към същата мрежа, е може би най-смешното му предназначение, което ни прави малко хакер по свой малък начин (обаче не е толкова лесно).
Ако искате да запишете мрежов трафик и да шпионирате информация, преминаваща през рутер, сървър или друг компютър, трябва да използвате дистанционното заснемане на Wireshark, което в Windows използва драйвера на WinPcap.
След като е инсталиран, трябва да отворите прозореца с услуги на Windows (щракнете върху Старт и напишете командата Services.msc в полето Търсене или Изпълнение).
В списъка с услуги намерете и активирайте това, което се нарича Протокол за отдалечено захващане на пакети .
Тази услуга е деактивирана по подразбиране.
Щракнете върху Options Capture в първоначалния прозорец на Wireshark и изберете Remote от полето Interface .
След това въведете адреса на отдалечената система (например 192.168.2.3 ) и като порт 2002 .
За да работите, трябва да имате достъп до порт 2002 на отдалечената система, така че ще трябва да отворите този порт на защитната стена или рутера на вашия компютър.
След свързването можете да изберете интерфейс на отдалечената система от полето, в което са изброени мрежовите карти, и щракнете върху Старт, за да започнете да записвате връзките, направени от този компютър.
В това видео можете да видите уводен урок, направен много добре, за да научите как да използвате Wireshark.

Wireshark е изключително мощен инструмент, дори ако само най-опитният може да го разбере задълбочено и да го използва за извършване на всякакъв тип операции в мрежа.
Този урок е просто въвеждащ във всичко, което можете да направите (тук е цялото ръководство на английски език); просто знайте, че професионалистите го използват за отстраняване на грешки в инсталациите на мрежови протоколи, за анализ на проблеми със сигурността и контрол на трафика в компаниите.
И накрая, една последна препоръка: много организации не позволяват Wireshark или подобни инструменти да действат в техните мрежи (проблем с поверителността), така че не трябва да рискувате да го използвате в офиса, освен ако нямате разрешение.
Ако искате да опитате с по-прости програми, препоръчвам да изтеглите инструментите на Nirsoft, за да подушите PC мрежата и да видите посетените сайтове, интернет търсенията и паролите .

Оставете Коментар

Please enter your comment!
Please enter your name here