Você já imaginou ou teve algumas curiosidades sobre como o tráfego de rede parece ? Se você fez, você não está sozinho, eu também fiz. Eu não sabia muito sobre networking naquela época. Até onde eu sabia, quando eu estava me conectando a uma rede Wi-Fi, primeiro liguei o serviço Wi-Fi no meu computador para digitalizar conexões/s disponíveis ao meu redor. E então, tentei conectar-me ao ponto de acesso Wi-Fi, se ele pedir senha, insira a senha. Uma vez conectado, agora eu poderia navegar na Internet. Mas então eu me pergunto, qual é o cenário por trás de tudo isso? Como meu computador poderia saber se há muitos pontos de acesso em torno disso? Mesmo eu não percebi onde estão os roteadores colocados. E uma vez que meu computador conectou ao roteador / ponto de acesso o que eles estão fazendo quando eu naveguei na Internet? Como esses dispositivos (meu computador e ponto de acesso) se comunicam?
Isso aconteceu quando eu instalei meu Kali Linux. Meu objetivo, instalando o Kali Linux, foi resolver quaisquer problemas e minhas curiosidades relacionadas a “algumas coisas de tecnologia complexa ou cenário de métodos de hackers e em breve”. Eu amo o processo, eu amo a sequência de etapas de quebrar o quebra -cabeça. Eu conhecia os termos proxy, vpn e outras coisas de conectividade. Mas preciso saber a idéia básica de como essas coisas (servidor e cliente) funcionam e se comunicarem especialmente na minha rede local.
As perguntas acima me trazem para o tópico, análise de rede. É geralmente, sniffering e analisando o tráfego de rede. Felizmente, Kali Linux e outras distritos Linux oferecem a ferramenta de analisador de rede mais poderosa, chamada Wireshark. É considerado um pacote padrão em sistemas Linux. Wireshark tem funcionalidade rica. A idéia principal deste tutorial é fazer a captura ao vivo da rede, salve os dados em um arquivo para um processo de análise (offline) (offline).
Uma vez nos conectamos à rede, vamos começar abrindo a interface GUI Wireshark. Para executar isso, basta entrar no terminal:
~ # wireshark |
Você verá a página de boas -vindas da janela Wireshark, é assim que se parecem:
Nesse caso, nos conectamos a um ponto de acesso através de nossa interface de cartão sem fio. Vamos dar uma cabeça e escolher wlan0. Para começar a capturar, clique no Botão de início (Ícone de barbatana-azul-azul) localizado no canto esquerdo.
Agora trazemos para a janela de captura ao vivo. Você pode se sentir sobrecarregado na primeira vez em ver um monte de dados nesta janela. Não se preocupe, vou explicar um por um. Nesta janela, dividida principalmente em três painéis, de cima para baixo, é: Lista de pacotes, detalhes de pacotes e bytes de pacotes.
Quando você estiver pronto para parar de capturar e ver os dados capturados, clique Botão de parada “Ícone vermelho-quadrado” (localizado ao lado do botão Iniciar). É necessário salvar o arquivo para um processo de análise posterior ou compartilhar os pacotes capturados. Uma vez parado, basta salvar para .Formato de arquivo pcAP pressionando Arquivo> Salvar como> nome do arquivo.PCAP.
Entendendo filtros de captura do Wireshark e filtros de exibição
Você já conhece o uso básico do Wireshark, em geral, o processo é concluído com a explicação acima. Para classificar e capturar certas informações, o Wireshark possui um recurso de filtro. Existem dois tipos de filtros que têm sua própria funcionalidade: Capture filtro e exibir filtro.
1. Capture filtro
O filtro de captura é usado para capturar dados ou pacotes específicos, é usado em "Live Capture Session", por exemplo, você só precisa capturar tráfego de host único em 192.168.1.23 . Então, insira a consulta no formulário de filtro de captura:
Host 192.168.1.23
O principal benefício do uso do filtro de captura é que podemos reduzir a quantidade de dados no arquivo capturado, porque, em vez de capturar qualquer pacote ou tráfego, especificamos ou limitamos a determinada tráfego. O filtro de captura controla que tipo de dados no tráfego será capturado, se nenhum filtro estiver definido, significa capturar tudo. Para configurar o filtro de captura, clique Opções de captura botão, que está localizado como mostrado pela imagem no cursor apontando abaixo.
Você notará a caixa de filtro de captura na parte inferior, clique no ícone verde ao lado da caixa e selecione o filtro que você deseja.
2. Exibir filtro
O filtro de exibição, por outro lado, é usado em "analisar offline". O filtro de exibição é mais como um recurso de pesquisa de determinados pacotes que você deseja ver na janela principal. O filtro de exibição controla o que é visto de uma captura de pacotes existente, mas não influencia o que o tráfego é realmente capturado. Você pode definir o filtro de exibição durante a captura ou análise. Você notará a caixa de filtro de exibição na parte superior da janela principal. Na verdade, existem tantos filtros que você pode aplicar, mas não fique sobrecarregado. Para aplicar um filtro, você pode apenas digitar uma expressão de filtro dentro da caixa ou selecionar na lista existente de filtros disponíveis, conforme mostrado na imagem abaixo. Clique Expressões… botão ao lado da caixa de filtro de exibição.
Em seguida, selecione o argumento do filtro de exibição disponível em uma lista. E acertar OK botão.
Agora, você tem a idéia de qual é a diferença entre o filtro de captura e o filtro de exibição e sabe o caminho dos recursos básicos e da funcionalidade do Wireshark.