Wireshark è un analizzatore di protocollo di rete GUI. Ti consente di sfogliare in modo interattivo i dati dei pacchetti da una rete live o da un file di acquisizione salvato in precedenza. Ti consente di vedere cosa sta succedendo sulla tua rete a livello microscopico.
TShark è una versione di Wireshark orientata al terminale progettata per acquisire e visualizzare pacchetti quando un'interfaccia utente interattiva non è necessaria o disponibile. Supporta le stesse opzioni di Wireshark. Sul suo sito Web, Wireshark descrive il suo ricco set di funzionalità includendo le seguenti:
- Ispezione approfondita di centinaia di protocolli, con l'aggiunta continua di altri
- Acquisizione dal vivo e analisi offline
- Multipiattaforma:funziona su Windows, Linux, macOS, Solaris, FreeBSD, NetBSD e molti altri
- I filtri di visualizzazione più potenti del settore
- Ricca analisi VoIP
- Lettura/scrittura di diversi formati di file di acquisizione:tcpdump (libpcap), Pcap NG, Cisco Secure IDS iplog, Microsoft Network Monitor e molti altri
- I file di acquisizione compressi con gzip possono essere decompressi al volo
- I dati in tempo reale possono essere letti da Ethernet, IEEE 802.11, Bluetooth, USB e altri (a seconda della piattaforma)
- Supporto per la decrittografia per molti protocolli, inclusi IPsec, ISAKMP, Kerberos, SNMPv3, SSL/TLS, WEP e WPA/WPA2
- Le regole di colorazione possono essere applicate all'elenco dei pacchetti per un'analisi rapida e intuitiva
- L'output può essere esportato in XML, PostScript, CSV o testo normale
Installazione
Wireshark può essere installato con i comandi semplici standard.
Su Red Hat Enterprise Linux (RHEL) 7:
yum install wireshark Su Red Hat Enterprise Linux (RHEL) 8:
dnf install wireshark Usa casi
Senza alcuna opzione impostata, TShark funziona in modo molto simile a tcpdump. Utilizza il pcap libreria per acquisire il traffico dalla prima interfaccia di rete disponibile e visualizza una riga di riepilogo sull'output standard di ciascun pacchetto ricevuto.
Prima di iniziare qualsiasi acquisizione, dobbiamo definire a quali interfacce sul nostro server TShark può utilizzare. Potrebbe essere necessario utilizzare sudo o accesso root in questo caso.
[ Potrebbe piacerti anche: I miei 5 strumenti di amministrazione di sistema Linux preferiti ]
Per ottenere queste informazioni, dovrai eseguire il comando seguente:
# tshark –D Di seguito è riportato un esempio di output:
[root@server ~]# tshark -D
1. eth0
2. nflog
3. nfqueue
4. usbmon1
5. any
6. lo (Loopback) Se volessimo acquisire traffico su eth0 , potremmo chiamarlo con questo comando:
tshark -i eth0 Esempio di output:
[root@server ~]# tshark -i eth0
Running as user "root" and group "root". This could be dangerous.
Capturing on 'eth0'
1 0.000000000 41.242.139.31 -> 207.180.200.5 TCP 60 61513 > tcoaddressbook [ACK] Seq=1 Ack=1 Win=508 Len=0
2 0.103588364 41.242.139.31 -> 207.180.200.5 TCP 60 61513 > tcoaddressbook [ACK] Seq=1 Ack=81 Win=508 Len=0
3 0.690499219 173.212.240.3 -> 255.255.255.255 DHCP 362 DHCP ACK - Transaction ID 0x6b443d32
4 0.819279418 207.180.200.5 -> 41.242.139.31 TCP 342 tcoaddressbook > 61513 [PSH, ACK] Seq=81 Ack=1 Win=283 Len=288
5 0.987663435 45.77.145.115 -> 207.180.200.5 TCP 60 wso2esb-console > https [SYN] Seq=0 Win=5840 Len=0
6 0.987758650 207.180.200.5 -> 45.77.145.115 TCP 54 [TCP ACKed unseen segment] https > wso2esb-console [ACK] Seq=1 Ack=316217230 Win=29200 Len=0
7 1.001310441 207.180.200.5 -> 45.77.145.115 TCP 58 [TCP ACKed unseen segment] [TCP Retransmission] https > wso2esb-console [SYN, ACK] Seq=0 Ack=316217230 Win=29200 Len=0 MSS=1460
8 1.002550877 41.242.139.31 -> 207.180.200.5 TCP 60 61513 > tcoaddressbook [ACK] Seq=1 Ack=369 Win=513 Len=0
9 1.014391846 207.180.200.5 -> 80.237.128.149 NTP 90 NTP Version 4, client
10 1.039819501 80.237.128.149 -> 207.180.200.5 NTP 90 NTP Version 4, server I pacchetti sopra sono indicati da numeri all'inizio della riga.
Queste righe includono due indirizzi IP su entrambi i lati di una freccia:questi sono gli host che stanno scambiando il pacchetto. La direzione della freccia indica in quale direzione sta andando il pacchetto. Pertanto, 41.242.139.31 -> 207.180.200.5 significa che il pacchetto ha avuto origine nell'host 41.242.139.31 , che è il mio computer, ed è diretto alla destinazione 207.180.200.5 , che è il server remoto in cui è installato TShark. Il mio computer sta tentando di connettersi a questo server, quindi sta attraversando l'handshake TCP.
Ecco una spiegazione di base di come funziona TShark:Cattura tutto il traffico che viene avviato da e verso il server in cui è installato. Con la potenza del filtraggio di TShark, possiamo visualizzare il traffico che ci interessa.
Possiamo anche limitare l'output dell'acquisizione a linee specifiche. Ad esempio, se vogliamo limitare l'output a 10 righe, utilizzeremo il comando seguente:
# tshark -i eth0 -c 10 Cattura il traffico da e verso un host
Possiamo filtrare il traffico proveniente da un host specifico. Ad esempio, per trovare il traffico proveniente e diretto da 8.8.8.8 , utilizziamo il comando:
# tshark -i eth0 -c 10 host 8.8.8.8 Per il traffico proveniente da 8.8.8.8 :
# tshark -i eth0 src host 8.8.8.8 Per il traffico diretto a 8.8.8.8 :
# tshark -i eth0 dst host 8.8.8.8 Esempio di output:
[root@server2 ~]# tshark -i eth0 -c 10 host 8.8.8.8
Running as user "root" and group "root". This could be dangerous.
Capturing on 'eth0'
1 0.000000000 8.8.8.8 -> 207.180.229.97 DNS 185 Standard query response 0x8d7a No such name
2 0.004498954 8.8.8.8 -> 207.180.229.97 DNS 184 Standard query response 0x2302 No such name
3 0.024649288 8.8.8.8 -> 207.180.229.97 DNS 146 Standard query response 0x24d2 No such name
4 0.125434062 8.8.8.8 -> 207.180.229.97 DNS 125 Standard query response 0xf89a NS ns1.mail.rhsblmail.com NS ns2.mail.rhsblmail.com
5 0.138280488 8.8.8.8 -> 207.180.229.97 DNS 105 Standard query response 0x1d17 MX 10 mail.rhsblmail.com
6 0.143231852 8.8.8.8 -> 207.180.229.97 DNS 134 Standard query response 0xc774 NS ns1.hongkongserver.net NS ns2.hongkongserver.net
7 0.144433854 8.8.8.8 -> 207.180.229.97 DNS 99 Standard query response 0x4682 A 119.8.46.109
8 0.201845674 8.8.8.8 -> 207.180.229.97 DNS 150 Standard query response 0xfb47 No such name
9 0.205827278 207.180.229.97 -> 8.8.8.8 DNS 72 Standard query 0x74e3 MX dalcargo.net
10 0.482611966 8.8.8.8 -> 207.180.229.97 DNS 102 Standard query response 0x74e3 MX 0 mx.sinanet.com Nell'output sopra, vediamo il traffico proveniente e diretto a 8.8.8.8 . L'host 8.8.8.8 sta dando risposte al server 207.180.229.97 sulle query che ha avviato in precedenza.
Cattura il traffico da e verso una rete
Possiamo anche acquisire il traffico verso e una rete specifica. Per fare ciò, utilizziamo il comando seguente:
# tshark -i eth0 net 10.1.0.0 mask 255.255.255.0 o
# tshark -i eth0 net 10.1.0.0/24 Possiamo anche filtrare in base alla fonte o alla destinazione.
In base alla fonte (traffico proveniente da):
# tshark -i eth0 src net 10.1.0.0/24 In base alla destinazione (traffico verso):
# tshark -i eth0 dst net 10.1.0.0/24 Cattura il traffico da e verso i numeri di porta
Ecco tante altre varianti.
Acquisisci solo il traffico della porta DNS 53:
# tshark -i eth0 port 53 Per un host specifico:
# tshark -i eth0 host 8.8.8.8 and port 53 Acquisisci solo traffico HTTPS:
# tshark -i eth0 -c 10 host www.google.com and port 443 Acquisisci tutte le porte tranne le porte 80 e 25:
tshark -i eth0 port not 53 and not 25 Salvataggio dell'output in un file
Possiamo salvare l'output della nostra acquisizione in un file da leggere in seguito. Le versioni successive di Wireshark salvano l'output nel pcapng per impostazione predefinita. Tuttavia, possiamo salvare anche in altri formati. Per verificare il formato supportato, esegui il comando seguente:
# tshark -F
Per salvare l'output, utilizziamo il -w interruttore. Usando il -w switch fornisce dati a pacchetto grezzi, non testo. Se si desidera l'output di testo, è necessario reindirizzare stdout (ad esempio, utilizzando > ). Non utilizzare il -w opzione per questo.
Per salvare un'acquisizione in un nome file http_capture.pcapng :
# tshark -i eth0 -c 10 port 80 -w http_capture.pcapng Possiamo risparmiare in pcap format, che può essere letto da tcpdump e versioni precedenti di Wireshark:
# tshark -i eth0 -c 10 port 80 -w http.pcap -F libpcap [ Vuoi saperne di più sulla sicurezza? Consulta la checklist di sicurezza e conformità IT. ]
Concludi
TShark è uno strumento completo che gli amministratori di sistema devono aggiungere al proprio set di strumenti. Questa è la prima parte di una serie in due parti. Nella seconda parte, esamineremo filtri più avanzati e come possiamo rendere l'output più leggibile.