Wireshark je de facto standardem pro analýzu síťového provozu. Bohužel se stále více zpožďuje, jak roste zachycení paketů. Okraj řeší tento problém tak dobře, že změní váš pracovní postup Wireshark.
Table of Contents
Wireshark je skvělý, ale . . .
Wireshark je skvělý kus open-source softwaru. Používají jej amatéři i profesionálové po celém světě ke zkoumání problémů se sítí. Zachycuje datové pakety, které putují po drátech nebo přes ether vaší sítě. Jakmile zachytíte svůj provoz, Wireshark vám umožní filtrovat a prohledávat data, sledovat konverzace mezi síťovými zařízeními a mnoho dalšího.
I když je Wireshark skvělý, má jeden problém. Soubory pro zachycení síťových dat (nazývané trasování sítě nebo zachycení paketů) mohou být velmi velké a velmi rychle. To platí zejména v případě, že problém, který se pokoušíte prozkoumat, je složitý nebo sporadický nebo je síť velká a zaneprázdněná.
Čím větší je zachycení paketů (nebo PCAP), tím se Wireshark zpožďuje. Pouhé otevření a načtení velmi velkého (cokoli nad 1 GB) trasování může trvat tak dlouho, že byste si mysleli, že Wireshark přeskočil a vzdal ducha.
Práce se soubory takové velikosti je opravdová bolest. Pokaždé, když provádíte vyhledávání nebo měníte filtr, musíte počkat, než se efekty aplikují na data a aktualizují se na obrazovce. Každé zpoždění narušuje vaši koncentraci, což může bránit vašemu pokroku.
Okraj je lékem na tyto strasti. Funguje jako interaktivní preprocesor a front-end pro Wireshark. Když chcete vidět granulární úroveň, kterou Wireshark může poskytnout, Brim vám ji okamžitě otevře přesně na těchto paketech.
Pokud hodně zachytáváte sítě a analyzujete pakety, Brim změní váš pracovní postup.
Instalace Brim
Brim je velmi nový, takže se ještě nedostal do softwarových úložišť linuxových distribucí. Nicméně, na Stránka ke stažení Brim, najdete soubory balíčků DEB a RPM, takže instalace na Ubuntu nebo Fedoru je dostatečně jednoduchá.
Pokud používáte jinou distribuci, můžete stáhněte si zdrojový kód z GitHubu a sestavte si aplikaci sami.
Brim používá zq, nástroj příkazového řádku Zeek logs, takže si také budete muset stáhnout soubor ZIP obsahující binární soubory zq.
Instalace Brim na Ubuntu
Pokud používáte Ubuntu, budete si muset stáhnout soubor balíčku DEB a soubor ZIP zq Linux. Poklepejte na stažený soubor balíčku DEB a otevře se aplikace Ubuntu Software. Licence Brim je mylně uvedena jako „Proprietární“ – používá Licence BSD 3-Clause.
Klikněte na „Instalovat“.
Po dokončení instalace poklepejte na soubor zq ZIP a spusťte aplikaci Archive Manager. Soubor ZIP bude obsahovat jeden adresář; přetáhněte jej ze „Správce archivu“ do umístění ve vašem počítači, například do adresáře „Downloads“.
K vytvoření umístění pro binární soubory zq zadáme následující:
sudo mkdir /opt/zeek
Potřebujeme zkopírovat binární soubory z extrahovaného adresáře do umístění, které jsme právě vytvořili. Nahraďte cestu a název extrahovaného adresáře na vašem počítači v následujícím příkazu:
sudo cp Downloads/zq-v0.20.0.linux-amd64/* /opt/Zeek
Potřebujeme přidat toto umístění do cesty, takže upravíme soubor BASHRC:
sudo gedit .bashrc
Otevře se editor gedit. Přejděte na konec souboru a zadejte tento řádek:
export PATH=$PATH:/opt/zeek
Uložte změny a zavřete editor.
Instalace Brim na Fedoru
Chcete-li nainstalovat Brim na Fedoru, stáhněte si soubor balíčku RPM (místo DEB) a poté postupujte podle stejných kroků, které jsme popsali pro instalaci Ubuntu výše.
Je zajímavé, že když se soubor RPM otevře ve Fedoře, je správně identifikován jako licence s otevřeným zdrojovým kódem, nikoli proprietární.
Spuštění Brim
Klikněte na „Zobrazit aplikace“ v doku nebo stiskněte Super+A. Do vyhledávacího pole zadejte „brim“ a jakmile se objeví, klikněte na „Brim“.
Brim se spustí a zobrazí své hlavní okno. Kliknutím na „Vybrat soubory“ otevřete prohlížeč souborů nebo přetáhněte soubor PCAP do oblasti ohraničené červeným obdélníkem.
Brim používá displej s kartami a můžete mít otevřeno více karet současně. Chcete-li otevřít novou kartu, klikněte na znaménko plus (+) nahoře a poté vyberte jiný PCAP.
Základy Brim
Brim načte a indexuje vybraný soubor. Index je jedním z důvodů, proč je Brim tak rychlý. Hlavní okno obsahuje histogram objemů paketů v průběhu času a seznam síťových „toků“.
Soubor PCAP obsahuje časově uspořádaný proud síťových paketů pro velké množství síťových připojení. Datové pakety pro různá spojení se prolínají, protože některé z nich budou otevřeny současně. Pakety pro každou síťovou „konverzaci“ jsou proloženy pakety jiných konverzací.
Wireshark zobrazuje síťový stream paket po paketu, zatímco Brim používá koncept zvaný „toky“. Tok je kompletní síťová výměna (nebo konverzace) mezi dvěma zařízeními. Každý typ toku je kategorizován, barevně označen a označen podle typu toku. Uvidíte toky označené „dns“, „ssh“, „https“, „ssl“ a mnoho dalších.
Pokud posouváte zobrazení souhrnu toku doleva nebo doprava, zobrazí se mnohem více sloupců. Můžete také upravit časové období pro zobrazení podmnožiny informací, které chcete vidět. Níže uvádíme několik způsobů, jak zobrazit data:
Klepnutím na pruh v histogramu přiblížíte síťovou aktivitu v něm.
Kliknutím a tažením zvýrazníte rozsah zobrazení histogramu a přiblížíte. Brim poté zobrazí data ze zvýrazněné části.
Můžete také zadat přesné období v polích „Datum“ a „Čas“.
Brim může zobrazit dva boční panely: jeden nalevo a jeden napravo. Ty mohou být skryty nebo zůstat viditelné. Podokno vlevo zobrazuje historii vyhledávání a seznam otevřených PCAP, nazývaných mezery. Stiskněte Ctrl+[ to toggle the left pane on or off.
The pane on the right contains detailed information about the highlighted flow. Press Ctrl+] pro zapnutí nebo vypnutí pravého panelu.
Kliknutím na „Conn“ v seznamu „UID Correlation“ otevřete schéma připojení pro zvýrazněný tok.
V hlavním okně můžete také zvýraznit tok a poté kliknout na ikonu Wireshark. Tím se spustí Wireshark se zobrazenými pakety pro zvýrazněný tok.
Otevře se Wireshark a zobrazí se zajímavé pakety.
Filtrování v Brim
Vyhledávání a filtrování v Brim jsou flexibilní a komplexní, ale pokud nechcete, nemusíte se učit nový jazyk filtrování. Syntakticky správný filtr v Brim můžete vytvořit kliknutím na pole v okně souhrnu a poté výběrem možností z nabídky.
Například na obrázku níže jsme klikli pravým tlačítkem na pole „dns“. Poté z kontextové nabídky vybereme „Filtr = Hodnota“.
Poté nastanou následující věci:
Do vyhledávacího pole se přidá text _path = „dns“.
Tento filtr je aplikován na soubor PCAP, takže zobrazí pouze toky, které jsou toky DNS (Domain Name Service).
Text filtru je také přidán do historie vyhledávání v levém podokně.
Stejnou technikou můžeme k hledanému výrazu přidat další věty. Klikneme pravým tlačítkem na pole IP adresy (obsahující „192.168.1.26“) ve sloupci „Id.orig_h“ a poté z kontextové nabídky vybereme „Filtr = Hodnota“.
Tím se přidá další klauzule jako klauzule AND. Displej je nyní filtrován a zobrazuje toky DNS, které pocházejí z této adresy IP (192.168.1.26).
Nový výraz filtru se přidá do historie vyhledávání v levém podokně. Mezi vyhledáváními můžete přeskakovat kliknutím na položky v seznamu historie vyhledávání.
Cílová IP adresa většiny našich filtrovaných dat je 81.139.56.100. Chcete-li zjistit, které toky DNS byly odeslány na různé IP adresy, klikněte pravým tlačítkem na „81.139.56.100“ ve sloupci „Id_resp_h“ a poté z kontextové nabídky vyberte „Filtr != Hodnota“.
Pouze jeden tok DNS, který pocházel z 192.168.1.26, nebyl odeslán na číslo 81.139.56.100 a my jsme jej našli, aniž bychom museli cokoli zadávat, abychom vytvořili náš filtr.
Připínací filtrační klauzule
Když klikneme pravým tlačítkem na tok „HTTP“ a z kontextové nabídky vybereme „Filtr = hodnota“, v podokně souhrnu se zobrazí pouze toky HTTP. Poté můžeme kliknout na ikonu Pin vedle klauzule HTTP filtru.
Klauzule HTTP je nyní připojena na místo a jakékoli další filtry nebo vyhledávací termíny, které použijeme, budou provedeny s klauzulí HTTP, která k nim bude připojena.
Pokud do vyhledávacího pole napíšeme „GET“, bude hledání omezeno na toky, které již byly filtrovány připnutou klauzulí. Můžete připnout tolik filtračních klauzulí, kolik je potřeba.
Chcete-li vyhledat pakety POST v tocích HTTP, jednoduše vymažeme vyhledávací panel, napíšeme „POST“ a stiskneme Enter.
Posouváním do strany odhalíte ID vzdáleného hostitele.
Všechny vyhledávací a filtrované výrazy jsou přidány do seznamu „Historie“. Chcete-li znovu použít jakýkoli filtr, stačí na něj kliknout.
Vzdáleného hostitele můžete také vyhledat podle názvu.
Úprava hledaných výrazů
Pokud chcete něco vyhledat, ale nevidíte tok tohoto typu, můžete kliknout na libovolný tok a upravit záznam ve vyhledávacím poli.
Například víme, že v souboru PCAP musí být alespoň jeden tok SSH, protože jsme použili rsync odeslat nějaké soubory do jiného počítače, ale my to nevidíme.
Klikneme tedy pravým tlačítkem na jiný tok, z kontextové nabídky vybereme „Filtr = Hodnota“ a poté upravíme vyhledávací panel tak, aby místo „dns“ řekl „ssh“.
Stisknutím klávesy Enter vyhledáme toky SSH a zjistíme, že existuje pouze jeden.
Stisknutím Ctrl+]se otevře pravé podokno, které zobrazuje podrobnosti o tomto postupu. Pokud byl soubor přenesen během toku, MD5, SHA1, a SHA256 objeví se hash.
Klepněte pravým tlačítkem myši na kteroukoli z nich a poté z kontextové nabídky vyberte možnost „VirusTotal Lookup“, čímž otevřete prohlížeč na adrese VirusTotal webové stránky a předat hash ke kontrole.
VirusTotal ukládá hash známého malwaru a dalších škodlivých souborů. Pokud si nejste jisti, zda je soubor bezpečný, je to snadný způsob kontroly, i když k souboru již nemáte přístup.
Pokud je soubor neškodný, uvidíte obrazovku zobrazenou na obrázku níže.
Perfektní doplněk k Wireshark
Brim ještě více zrychluje a usnadňuje práci s Wireshark tím, že vám umožňuje pracovat s velmi velkými soubory pro zachycení paketů. Vyzkoušejte to ještě dnes!