Transformați-vă fluxul de lucru Wireshark cu Brim pe Linux

Cabluri Ethernet colorate.

pixelnest / Shutterstock



Wireshark este standardul de facto pentru analiza traficului de rețea. Din păcate, devine din ce în ce mai întârziat pe măsură ce captura pachetului crește. Margine rezolvă această problemă atât de bine, încât vă va schimba fluxul de lucru Wireshark.

Wireshark este grozav, dar. . .

Wireshark este o bucată minunată de software open-source. Este folosit de amatori și profesioniști din întreaga lume pentru a investiga problemele legate de rețele. Captează pachetele de date care călătoresc prin fire sau prin eterul rețelei tale. Odată ce v-ați capturat traficul, Wireshark vă permite să filtrați și să căutați prin date, să urmăriți conversațiile dintre dispozitivele din rețea și multe altele.





Pe cât de grozav este Wireshark, totuși, are o problemă. Fișierele de captare a datelor din rețea (numite urme de rețea sau capturi de pachete) pot deveni foarte mari, foarte repede. Acest lucru este valabil mai ales dacă problema pe care încercați să o investigați este complexă sau sporadică sau dacă rețeaua este mare și ocupată.

Cu cât captura de pachet (sau PCAP) este mai mare, cu atât Wireshark devine mai întârziat. Doar deschiderea și încărcarea unei urme foarte mari (orice peste 1 GB) poate dura atât de mult, ai crede că Wireshark s-a oprit și a renunțat la fantomă.



Lucrul cu fișiere de această dimensiune este o adevărată durere. De fiecare dată când efectuați o căutare sau schimbați un filtru, trebuie să așteptați ca efectele să fie aplicate datelor și actualizate pe ecran. Fiecare întârziere vă perturbă concentrarea, ceea ce vă poate împiedica progresul.

Publicitate

Margine este remediul pentru aceste necazuri. Acesta acționează ca un preprocesor interactiv și front-end pentru Wireshark. Când doriți să vedeți nivelul granular pe care Wireshark îl poate oferi, Brim îl deschide instantaneu pentru dvs. exact pe acele pachete.

Dacă faceți multe capturi de rețea și analize de pachete, Brim vă va revoluționa fluxul de lucru.



LEGATE DE: Cum să utilizați filtrele Wireshark pe Linux

Instalarea Brim

Brim este foarte nou, așa că încă nu și-a făcut loc în depozitele de software ale distribuțiilor Linux. Cu toate acestea, pe Pagina de descărcare Brim , veți găsi fișiere de pachete DEB și RPM, așa că instalarea pe Ubuntu sau Fedora este destul de simplă.

Dacă utilizați altă distribuție, puteți descărcați codul sursă din GitHub și construiți singur aplicația.

Brim folosește |_+_|, un instrument de linie de comandă pentru Zeek jurnalele, așa că va trebui, de asemenea, să descărcați un fișier ZIP care conține |_+_| binare.

Instalarea Brim pe Ubuntu

Dacă utilizați Ubuntu, va trebui să descărcați fișierul pachetului DEB și |_+_| Fișier Linux ZIP. Faceți dublu clic pe fișierul pachetului DEB descărcat și se va deschide aplicația Ubuntu Software. Licența Brim este listată în mod eronat drept Proprietar — folosește Licență BSD cu 3 clauze .

Faceți clic pe Instalare.

Clic

Publicitate

Când instalarea este finalizată, faceți dublu clic pe |_+_| ZIP pentru a lansa aplicația Archive Manager. Fișierul ZIP va conține un singur director; trageți și plasați-l din Managerul de arhive într-o locație de pe computer, cum ar fi directorul Descărcări.

Introducem următoarele pentru a crea o locație pentru |_+_| binare:

zq

Trebuie să copiem binarele din directorul extras în locația pe care tocmai am creat-o. Înlocuiți calea și numele directorului extras de pe mașina dvs. în următoarea comandă:

zq

Trebuie să adăugăm acea locație la cale, așa că vom edita fișierul BASHRC:

zq

Se va deschide editorul gedit. Derulați până în partea de jos a fișierului, apoi introduceți această linie:

zq

Fișierul BASHRC din editorul gedit cu linia export PATH=$PATH:/opt/zeek.

Salvați modificările și închideți editorul.

Instalarea Brim pe Fedora

Pentru a instala Brim pe Fedora, descărcați fișierul pachetului RPM (în loc de DEB), apoi urmați aceiași pași pe care i-am descris mai sus pentru instalarea Ubuntu.

Publicitate

Interesant este că atunci când fișierul RPM se deschide în Fedora, este identificat corect ca având o licență open-source, mai degrabă decât una proprietară.

Lansarea Brim

Faceți clic pe Afișare aplicații în dock sau apăsați Super+A. Introduceți brim în caseta de căutare, apoi faceți clic pe Brim când apare.

Tip

Brim se lansează și își afișează fereastra principală. Puteți face clic pe Alegeți fișiere pentru a deschide un browser de fișiere sau puteți trage și plasa un fișier PCAP în zona înconjurată de dreptunghi roșu.

Fereastra principală Brim după pornire.

Brim folosește un afișaj cu file și puteți avea mai multe file deschise simultan. Pentru a deschide o filă nouă, faceți clic pe semnul plus (+) din partea de sus, apoi selectați un alt PCAP.

Bazele Brim

Brim încarcă și indexează fișierul selectat. Indicele este unul dintre motivele pentru care Brim este atât de rapid. Fereastra principală conține o histogramă a volumelor de pachete de-a lungul timpului și o listă a fluxurilor de rețea.

Fereastra principală Brim cu un fișier PCAP încărcat.

Un fișier PCAP deține un flux ordonat în timp de pachete de rețea pentru multe conexiuni de rețea. Pachetele de date pentru diferitele conexiuni sunt amestecate deoarece unele dintre ele vor fi deschise concomitent. Pachetele pentru fiecare conversație în rețea sunt intercalate cu pachetele altor conversații.

Publicitate

Wireshark afișează fluxul de rețea pachet cu pachet, în timp ce Brim folosește un concept numit fluxuri. Un flux este un schimb complet de rețea (sau conversație) între două dispozitive. Fiecare tip de flux este clasificat, codificat cu culori și etichetat după tipul de flux. Veți vedea fluxuri etichetate dns, ssh, https, ssl și multe altele.

Dacă derulați afișarea rezumatului fluxului la stânga sau la dreapta, vor fi afișate multe alte coloane. De asemenea, puteți ajusta perioada de timp pentru a afișa subsetul de informații pe care doriți să-l vedeți. Mai jos sunt câteva moduri prin care puteți vizualiza datele:

  • Faceți clic pe o bară din histogramă pentru a mări activitatea de rețea din cadrul acesteia.
  • Faceți clic și trageți pentru a evidenția o gamă a afișajului histogramei și măriți. Brim va afișa apoi datele din secțiunea evidențiată.
  • De asemenea, puteți specifica perioade exacte în câmpurile Data și Ora.

Brim poate afișa două panouri laterale: unul în stânga și unul în dreapta. Acestea pot fi ascunse sau pot rămâne vizibile. Panoul din stânga arată un istoric de căutare și o listă de PCAP-uri deschise, numite spații. Apăsați Ctrl+[ pentru a activa sau dezactiva panoul din stânga.

The

Panoul din dreapta conține informații detaliate despre fluxul evidențiat. Apăsați Ctrl+] pentru a activa sau dezactiva panoul din dreapta.

Un evidențiat

Faceți clic pe Conn în lista UID Corelation pentru a deschide o diagramă de conexiune pentru fluxul evidențiat.

Clic

În fereastra principală, puteți, de asemenea, evidenția un flux, apoi faceți clic pe pictograma Wireshark. Aceasta lansează Wireshark cu pachetele pentru fluxul evidențiat afișate.

Wireshark se deschide, afișând pachetele de interes.

Pachete selectate din Brim afișate în Wireshark.

Filtrarea în Brim

Căutarea și filtrarea în Brim sunt flexibile și cuprinzătoare, dar nu trebuie să învățați o nouă limbă de filtrare dacă nu doriți. Puteți construi un filtru corect sintactic în Brim făcând clic pe câmpurile din fereastra de rezumat și apoi selectând opțiunile dintr-un meniu.

Publicitate

De exemplu, în imaginea de mai jos, am făcut clic dreapta pe un câmp dns. Apoi vom selecta Filtru = Valoare din meniul contextual.

Un meniu contextual în fereastra de rezumat.

Apoi apar următoarele lucruri:

  • Textul |_+_| este adăugat la bara de căutare.
  • Acest filtru este aplicat fișierului PCAP, așa că va afișa numai fluxuri care sunt fluxuri DNS (Domain Name Service).
  • Textul filtrului este adăugat și la istoricul căutărilor din panoul din stânga.

Un ecran rezumat filtrat de DNS.

Putem adăuga mai multe clauze la termenul de căutare folosind aceeași tehnică. Vom face clic dreapta pe câmpul de adresă IP (conținând 192.168.1.26) din coloana Id.orig_h, apoi vom selecta Filtru = Valoare din meniul contextual.

Aceasta adaugă clauza suplimentară ca clauză AND. Afișajul este acum filtrat pentru a afișa fluxurile DNS care au provenit de la acea adresă IP (192.168.1.26).

Un ecran rezumat filtrat după tipul fluxului și adresa IP.

Noul termen de filtru este adăugat la istoricul căutărilor din panoul din stânga. Puteți sări între căutări făcând clic pe elementele din lista istoricului căutărilor.

Adresa IP de destinație pentru majoritatea datelor noastre filtrate este 81.139.56.100. Pentru a vedea ce fluxuri DNS au fost trimise la diferite adrese IP, facem clic dreapta pe 81.139.56.100 în coloana Id_resp_h, apoi selectăm Filter != Value din meniul contextual.

Ecran de rezumat cu un filtru de căutare care conține un

Publicitate

Un singur flux DNS care a provenit de la 192.168.1.26 nu a fost trimis la 81.139.56.100 și l-am localizat fără a fi nevoie să tastați nimic pentru a ne crea filtrul.

Fixarea clauzelor de filtrare

Când facem clic dreapta pe un flux HTTP și selectăm Filtru = Valoare din meniul contextual, panoul de rezumat va afișa numai fluxuri HTTP. Apoi putem face clic pe pictograma Pin de lângă clauza de filtru HTTP.

Clauza HTTP este acum fixată, iar orice alte filtre sau termeni de căutare pe care le folosim vor fi executate cu clauza HTTP adăugată.

Dacă introducem GET în bara de căutare, căutarea va fi restricționată la fluxurile care au fost deja filtrate de clauza fixată. Puteți fixa câte clauze de filtrare este necesar.

Pentru a căuta pachete POST în fluxurile HTTP, pur și simplu ștergem bara de căutare, tastați POST și apoi apăsăm Enter.

Derularea laterală dezvăluie ID-ul gazdei de la distanță.

Telecomanda

Toți termenii de căutare și de filtrare sunt adăugați la lista Istoric. Pentru a reaplica orice filtru, faceți clic pe el.

Auto-populat

Publicitate

De asemenea, puteți căuta o gazdă la distanță după nume.

Căutare de

Editarea termenilor de căutare

Dacă doriți să căutați ceva, dar nu vedeți un flux de acest tip, puteți face clic pe orice flux și puteți edita intrarea în bara de căutare.

De exemplu, știm că trebuie să existe cel puțin un flux SSH în fișierul PCAP, deoarece am folosit zq pentru a trimite unele fișiere pe alt computer, dar nu le putem vedea.

Deci, vom face clic dreapta pe alt flux, vom selecta Filtru = Valoare din meniul contextual, apoi vom edita bara de căutare pentru a spune ssh în loc de dns.

Apăsăm Enter pentru a căuta fluxuri SSH și găsim că există doar unul.

Un flux SSH în fereastra de rezumat.

Apăsând Ctrl+] se deschide panoul din dreapta, care arată detaliile acestui flux. Dacă un fișier a fost transferat în timpul unui flux, fișierul MD5 , SHA1 , și SHA256 apar hashuri.

Publicitate

Faceți clic dreapta pe oricare dintre acestea, apoi selectați VirusTotal Lookup din meniul contextual pentru a deschide browserul la VirusTotal site-ul web și introduceți hash-ul pentru verificare.

VirusTotal stochează fișierele hash ale programelor malware cunoscute și ale altor fișiere rău intenționate. Dacă nu sunteți sigur dacă un fișier este sigur, aceasta este o modalitate ușoară de a verifica, chiar dacă nu mai aveți acces la fișier.

Opțiunile meniului contextual hash.

Dacă fișierul este benign, veți vedea ecranul afișat în imaginea de mai jos.

LA

Complementul perfect pentru Wireshark

Brim face lucrul cu Wireshark și mai rapid și mai ușor, permițându-vă să lucrați cu fișiere de captare a pachetelor foarte mari. Fă-i un test azi!

CITEȘTE URMĂTORUL
  • › Cum să-ți găsești Spotify Wrapped 2021
  • › Folderul computerului este 40: Cum a creat Xerox Star desktop-ul
  • & rsaquo; Cyber ​​Monday 2021: Cele mai bune oferte tehnice
  • › 5 site-uri web pe care fiecare utilizator Linux ar trebui să le marcheze
  • › Ce este protecția împotriva căderii MIL-SPEC?
  • › Funcții vs. Formule în Microsoft Excel: Care este diferența?
Fotografie de profil pentru Dave McKay Dave McKay
Dave McKay a folosit pentru prima dată computerele când banda de hârtie perforată era în vogă și de atunci programează. După peste 30 de ani în industria IT, acum este jurnalist de tehnologie cu normă întreagă. De-a lungul carierei sale, a lucrat ca programator independent, manager al unei echipe internaționale de dezvoltare de software, manager de proiect pentru servicii IT și, cel mai recent, responsabil cu protecția datelor. Scrisul său a fost publicat de howtogeek.com, cloudsavvyit.com, itenterpriser.com și opensource.com. Dave este un evanghelist Linux și un avocat open source.
Citiți biografia completă

Articole Interesante