Trčanje na daljinsko snimanje pomoću Wireshark i tcpdump

Wireshark tcpdump daljinsko snimanje

Wireshark je moćan alat, ali ima svoja ograničenja. Ako nemate profesionalnu mrežnu opremu, teško je analizirati promet koji ne uključuje vaše računalo. Ponekad je najjednostavnije rješenje koristiti tcpdump za hvatanje prometa na udaljenom poslužitelju, a zatim pokrenuti Wireshark da ga pogleda..

Što su Wireshark i tcpdump?

Wireshark je analizator protokola, dio softvera koji bilježi i prikazuje podatke koji teku kroz vašu mrežu na čitljiv način. Koristeći Wireshark, možete analizirati ulaz i izlaz iz mrežnih usluga i web aplikacija.

Iako Wireshark obavlja sjajan posao hvatanja svakog paketa koji prolazi pored njega, u nekim ćete slučajevima morati analizirati sesiju s udaljenog poslužitelja. Ako nemate posebnu mrežnu opremu, to može biti teško. Ponekad je lakše uhvatiti promet na udaljenom poslužitelju, a zatim ga analizirati na radnoj površini.

tcpdump je analizator paketa naredbenog retka. Nije ga jednostavno koristiti kao Wireshark, ali jednako je sposoban zarobiti promet. Budući da tcpdump radi u terminalnom načinu, moguće ga je pokrenuti putem SSH sesije. Pomoću ispravnih opcija naredbenog retka možete izvesti sesiju tcpdump-a koja je kompatibilna s Wiresharkom.

SolarWinds vodi Wireshark na sljedeću razinu

Wireshark i tcpdump snažne su usluge, ali imaju neke slabe točke. Konkretno, vrlo je teško utvrditi probleme s kašnjenjem na mreži koristeći Wireshark izvan okvira. Na primjer, možda patite od velikih ping-ova na vašem LAN-u, a Wireshark ne može učiniti mnogo da vam pomogne.

Preglednik vremena odziva SolarWinds za Wireshark (BESPLATNI ALAT)

U tom slučaju, preporučujem Preglednik vremena reakcije SolarWinds za Wireshark. Ovaj dodatak proširuje Wireshark, omogućujući vam dijagnosticiranje uzroka pingova i ukupne male mrežne brzine.

Preglednik vremena odziva SolarWinds za Wireshark

Preglednik vremena reakcije SolarWinds za WiresharkDownload 100% BESPLATNI alat

Monitor performansi SolarWinds (BESPLATNO ISPRED)

SolarWinds također čini izvrsno rješenje sve u jednom za vašu mrežu. Zove se Monitor performansi mreže (NPM), a to znatno olakšava upravljanje mrežom. Na primjer, pomoću nadzornika performansi SolarWinds Network možete nadzirati i upravljati bežičnim LAN-om, generirati početnu vrijednost performansi i primati sigurnosna upozorenja u stvarnom vremenu..

Slika monitora performansi mreže SolarWinds

Monitor performansi mreže SolarWinds je na raspolaganju za isprobavanje bez rizika 30 dana. Prijavite se ovdje besplatno.

SolarWinds Network Performance MonitorDownload 30-dnevna BESPLATNA probna verzija

Prije nego što počneš

Da biste slijedili upute u ovom vodiču, trebat će vam sljedeće:

  • Udaljeno računalo s instaliranim SSH poslužiteljem i tcpdump
  • Korijenski pristup
  • Usluge koje generiraju mrežni promet, poput Apache ili node.js, rade na udaljenom računalu
  • Lokalno računalo s instaliranim SSH klijentom i Wireshark

Cilj je koristiti tcpdump na udaljenom računalu, putem SSH-a, za hvatanje mrežnog prometa. Tada se zarobljeni promet može kopirati u lokalno računalo radi analize s Wiresharkom.

Ovo je korisno ako nemate fizički pristup udaljenom računalu ili ga radite bez glave, tj. Bez tipkovnice i monitora.

Snimanje paketa pomoću tcpdump-a

Da biste uhvatili promet pomoću tcpdump, morat ćete se povezati s udaljenim računalom putem SSH-a. Trebat će vam i korijenski pristup, jer u suprotnom tcpdump neće moći zabilježiti promet i vidjet ćete grešku koja navodi Nemate dozvolu za snimanje na tom uređaju.

tcpdump - Snimanje 1

Nakon što se povežete, pokrenite sljedeću naredbu za početak hvatanja prometa pomoću tcpdump:

sudo tcpdump -s 0 -i eth0 -w tcpdump.pcap

Opcije naredbenog retka koje sam koristio za snimanje ove sesije bit će objašnjene u nastavku. Ukratko, gornja naredba privući će sav promet na Ethernet uređaju i upisati ga u datoteku pod nazivom tcpdump.pcap u formatu kompatibilnom s Wiresharkom.

tcpdump - Snimanje 2

Kada završite snimanje prometa, završite sesiju tcpdump Ctrl + C. Vidjet ćete kratko očitavanje koje prikazuje neke podatke o sesiji hvatanja.

tcpdump - Snimanje 3

Prije nego što kopirate promet s udaljenog računala na lokalno radi analize s Wiresharkom, morat ćete promijeniti dopuštenja. Tcpdump sesije snimljene korijenom prema zadanim postavkama ne mogu se kopirati. Upotrijebite ovu naredbu:

sudo chmod 644 tcpdump.pcap

To će vam omogućiti kopiranje datoteke na lokalno računalo pomoću scp-a, kao što je opisano u sljedećem koraku.

Kopiranje tcpdump sesije za analizu

Nakon što završite sesiju hvatanja pomoću tcpdump-a, preostaje vam problem. Kako to kopirate na uređaj koji pokreće Wireshark radi analize? Postoji puno načina, ali mislim da je najlakše s scp-om. Budući da ste već snimili pakete na uređaju bez glave koristeći SSH, sve što trebate za korištenje scp-a je već instalirano i pokrenuto.

tcpdump - Snimanje 4

Korisnici sustava Windows morat će preuzeti pscp, a zatim kopirati datoteku u C: \ Windows \ System32. Većina korisnika Mac-a i Linuxa već ima sve što im treba.

tcpdump - Snimanje 5

U sustavu Mac ili Linux otvorite terminal terminala i pokrenite sljedeću naredbu za kopiranje datoteke za snimanje sesije:

scp [email protected]: / put / do / file ./

Ili u Windows-u otvorite PowerShell i pokrenite ovu naredbu:

pscp.exe korisničko [email protected]: / put / do / file. \

Zamijenite svoje podatke gdje je to prikladno. Od vas će se tražiti da unesete zaporku. Naredbe koje sam koristio nalaze se na gornjoj snimci zaslona za referencu.

tcpdump - Snimanje 6

Provjerite je li datoteka kopirana kako ste očekivali i jeste li spremni analizirati tcpdump sesiju pomoću Wiresharka.

Analiza snimljenog tcpdump sesije s Wiresharkom

Analiza djeluje isto kao i kod bilo kojeg tradicionalnog hvatanja Wiresharka; jedino što trebate znati je kako uvesti datoteku.

tcpdump - Snimanje 7

Pokrenite Wireshark, a zatim uvežite snimljenu sesiju tcpdump koristeći Datoteka -> Otvoren i potražite svoju datoteku. Također možete dvostruki klik datoteku za snimanje da biste je otvorili u Wiresharku, sve dok ima proširenje datoteke * .pcap. Ako ste koristili -w Kada pokrenete tcpdump, datoteka će se normalno učitati i prikazati promet.

tcpdump - Snimanje 7

U mom slučaju pokreću Apache server na udaljenom hostu i zanima me HTTP podaci. Postavljam odgovarajući filtar Wireshark pogleda i mogu pregledavati snimljene okvire kao i obično.

Kao test, ugradio sam element u HTML kod koji se ne prikazuje na stranici. Morao bih ga moći locirati u podatkovnom toku i pogledati ga pomoću Wiresharka.

tcpdump - Snimanje 8

Kao što vidite, Wireshark je u mogućnosti analizirati svaki okvir i prikazati podatke u redu. Element koji sam sakrio prikazuje se u gornjem primjeru. Proces hvatanja malo je više uključen kada koristite tcpdump, ali sve u Wiresharku funkcionira kao i obično.

Korištenje opcija naredbenog retka za tcpdump

Većinu vremena prilikom pokretanja tcpdump-a tražit ćete određenu kontrolu nad načinom hvatanja paketa i gdje pohranjujete sesiju. Takve stvari možete kontrolirati pomoću opcija naredbenog retka. Ovo su neke od najkorisnijih opcija naredbenog retka za tcpdump.

tcpdump -w

-w opcija naredbenog retka omogućuje Wireshark kompatibilan izlaz. Potrebna je jedna varijabla, što je naziv izlazne datoteke. Dnevnici snimanja spremljeni pomoću ove opcije neće biti razumljivi ljudima izvan Wiresharka, jer su pohranjeni u binarnom formatu, a ne u ASCII.

tcpdump -C

-C opcija naredbenog retka omogućuje vam postavljanje maksimalne veličine datoteke u bajtovima. Ova opcija djeluje samo uporedo -w. Na primjer, naredba tcpdump -C 1048576 -w hvatanje.pcap određuje maksimalnu veličinu snimanja od 1MB (1,048,576 bajta) na izlaz u datoteku capture.pcap.

Ako sesija generira veću količinu izlaznog materijala, stvorit će nove datoteke za pohranjivanje. Dakle, snimanje od 3MB stvorilo bi capture.pcap, capture1.pcap, i capture2.pcap svaki s veličinom datoteke od 1 MB.

tcpdump -s

-a opcija naredbenog retka postavlja maksimalnu duljinu za svaki paket u bajtovima i skraćuje paket kad je dosegnut maksimum. Naredba tcpdump -s 0 postavlja neograničenu duljinu kako bi se osiguralo hvatanje čitavog paketa.

tcpdump -i

-ja opcija naredbenog retka određuje koji mrežni uređaj želite tcpdump za nadzor. Ako nije određeno sučelje, ona se postavlja na sučelje s najmanjim brojem koje trenutno radi.

tcpdump -list-sučelja

Opcija naredbenog retka tcpdump -list-sučelja ispisat će popis svih sučelja na koja se može priključiti tcpdump. Imajte na umu da ovo ne započinje sesiju hvatanja, ali će vam dati popis sučelja za upotrebu s -ja opcija iznad.

tcpdump -c

-c opcija naredbenog retka govori tcpdump da napusti sesiju nakon snimanja određenog broja paketa.

tcpdump -n

-n opcija naredbenog retka upućuje tcpdump ne riješiti IP adrese na imena hosta. Ovo je korisno kada rješavate probleme s web lokacija koje se nalaze iza poslužitelja za uravnoteženje opterećenja, a u nekolicini drugih slučajeva kada bi ime hosta dalo nejasne rezultate.

tcpdump -v | -vv | -vvv

Tri opcije naredbenog retka, -v, -vv, i -VVV omogućuju vam da povećate verbositet sesije hvatanja. -v spremit će TTL vrijednosti za svaki paket, zajedno s ToS informacijama. -vv ispisat će TTL i ToS zajedno s dodatnim informacijama u NFS paketima. I -VVV zabilježit će sve što rade prve dvije opcije, zajedno s dodatnim informacijama iz telnet sesija.

tcpdump -F

-F opcija naredbenog retka upućuje tcpdump da koristi filtre za hvatanje iz određene datoteke. Više informacija o pisanju datoteke za hvatanje možete pronaći u sljedećem odjeljku.

Korištenje filtera za hvatanje za tcpdump

Filteri za snimanje omogućuju vam sužavanje podataka koje tcpdump pohranjuje u sesiju. Oni su koristan način da analizu malo olakšaju i sačuvaju datoteke za snimanje malim. Evo nekoliko najkorisnijih filtera za hvatanje za tcpdump.

domaćin

Ovaj filtar određuje da se treba hvatati samo promet do ciljanog domaćina i od njega. Kao argument uzima IP adresu ili ime računala.

neto

Neto filtar će reći vašem računalu da hvata promet samo u određenoj podmreži, a kao argument uzima IP adresu. Na primjer, 192.168.1.0/24 određuje da će se promet do svih hostova u podmreži snimiti. Imajte na umu da je potrebna podmrežna maska ​​u kosoj notaciji.

dst domaćin

Slično domaćin, ovaj filtar hvatanja određuje da će se zarobiti samo promet s odredištem određenog računala. Može se koristiti i sa neto.

src domaćin

Kao i gore, ali ovaj filter bilježi samo promet koji potječe od navedenog hosta ili IP adrese. Može se koristiti i sa neto.

luka

Ovaj filtar govori tcpdump da prikupi promet do određenog broja porta i od njega. Na primjer, luka 443 privući će TLS promet.

portrange

Slično filtru porta, portrange uspostavlja niz portova na kojima se bilježi promet. Da biste koristili filtar portrange, navedite početni i završni port odvojen crticom. Na primjer, portrange 21-23.

prolaz

Ulazni filtar određuje da bi vaše računalo trebalo hvatati samo promet koji je kao gateway koristio određeno ime hosta. Ime domaćina mora biti pronađeno u / etc / hosts.

emitiranje

Filter emitiranja određuje da tcpdump treba hvatati samo promet koji se emitira svim domaćinima na podmreži.

IP multicast

Ovaj filtar govori tcpdump da prikupi samo višestruki promet u podmreži glavnog računala.

i / ili / ne operateri

Filtri se mogu povezati zajedno pomoću i, ili, ili ne operatori. Na primjer, za snimanje cjelokupnog web prometa na danoj host možete koristiti filtar port 80 ili luka 443. Ili možete snimiti sav promet na određenoj podmreži, osim emitiranih paketa pomoću filtra neto 192.168.1.0/24 i ne emitiraju se.

U praksi se vrlo često koriste operateri filtera jer daju dodatni sloj zrnatosti vašim snimanjima. Možete snimiti upravo potreban promet, bez puno dodatnih mrežnih razgovora.

Složeni izrazi s više operatora

Još složeniji izrazi mogu se graditi okruženjem više operacija u jednom apostrofi i zagradama. Na primjer, možete nadzirati sav promet pošte, uključujući SMTP, IMAP, IMAP preko TLS-a, POP3-a i POP3 preko TLS-a, preko višestrukih hostova i podmreža, koristeći naredbu poput ove:

tcpdump '(host 10.0.0.1 i neto 192.168.1.0/24) i ((port 25 ili port 143 ili port 443 ili port 993 ili port 995))'

Složeni izrazi s više operatora mogu biti vrlo korisni, ali oni se obično spremaju u filtrijsku datoteku radi ponovne upotrebe jer jedna pogreška pri pogrešnoj snimci uzrokuje neuspjeh snimanja. Često ih treba pripremiti unaprijed i ispraviti pogrešku.

Korištenje datoteka filtra za tcpdump

Gornji filtri mogu se pokrenuti u naredbenom retku kada se pokrene tcpdump, ali često je korisno izgraditi datoteku filtra. Filtarska datoteka olakšava reprodukciju postavki filtra između snimaka, jer je ponovo upotrebljiva. Evo koraka za pisanje i korištenje filtrirajuće datoteke.

Zapišite datoteku filtra

Filtriranje datoteka koristi potpuno istu oznaku kao i naredbeni redak. Ne zahtijevaju nikakve posebne znakove ili magične brojeve na vrhu datoteke.

tcpdump - Snimanje 9

Na primjer, evo datoteke za filtriranje koju sam napisao koja će zabilježiti sav izlaz web prometa s mog Apache poslužitelja na zadani domaćin. U ovom slučaju, Chromebook o kojem pišem.

Sve dok je datoteka čitljiva od strane korisnika koji izvodi tcpdump, program će pokušati raščlaniti sve u datoteci filtra i upotrijebiti ga kao valjani filtar. Kad upotrebljava se filtrirana datoteka zajedno s filtriranjem naredbenog retka, zanemarit će se sve filtriranje naredbenog retka.

tcpdump - Snimanje 10

Uputite tcpdump da koristi bilo koju datoteku filtra koristeći -F opcija naredbenog retka, nakon čega slijedi put do datoteke. U gornjem primjeru, datoteka filtra nalazi se u istoj mapi u kojoj izvršim tcpdump.

tcpdump - Snimanje 11

Evo neobrađenog rezultata iz filtrirane sesije. Možete vidjeti da potječu samo paketi koji su zabilježeni port 80 ili 443, i odlaze domaćinu u 192.168.1.181.

tcpdump - Snimanje 12

Jednom kada vidite da vaš filtar radi kako je namijenjeno, snimite sesiju koja će se analizirati pomoću Wiresharka pomoću naredbe slične ovoj:

sudo tcpdump -i eth0 -s 0 -w wireshark.pcap -F filter-file

Wireshark i tcpdump

Ako ne pokrećete upravljani prekidač s administracijskim priključkom, prije ili kasnije morat ćete zabilježiti promet na udaljenom poslužitelju. Kad Wireshark sam neće raditi posao, Wireshark s tcpdumpom je popularan izbor. Njih dvoje stvarno dobro rade zajedno, i uz nekoliko jednostavnih opcija naredbenog retka, tcpdump će izvesti sesije hvatanja koje se lako mogu analizirati u Wiresharku.

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me

About the author

Leave a Reply

Your email address will not be published. Required fields are marked *

27 − = 19

Adblock
detector