10 ຄຳ ແນະ ນຳ ກ່ຽວກັບວິທີໃຊ້ Wireshark ເພື່ອວິເຄາະຊຸດຕ່າງໆໃນເຄືອຂ່າຍຂອງທ່ານ
ໃນເຄືອຂ່າຍແພັກເກດໃດກໍ່ຕາມ, ແພັກເກັດເປັນຕົວແທນຂອງຂໍ້ມູນທີ່ຖືກສົ່ງຕໍ່ລະຫວ່າງຄອມພິວເຕີ້. ມັນແມ່ນຄວາມຮັບຜິດຊອບຂອງນັກວິສະວະກອນເຄືອຂ່າຍແລະຜູ້ບໍລິຫານລະບົບຄືກັນໃນການຕິດຕາມແລະກວດກາການຫຸ້ມຫໍ່ເພື່ອຈຸດປະສົງຄວາມປອດໄພແລະການແກ້ໄຂບັນຫາ.
ເພື່ອເຮັດສິ່ງນີ້, ພວກເຂົາອີງໃສ່ໂປແກຼມໂປຼແກຼມທີ່ມີຊື່ວ່າ network packet analyzers, ດ້ວຍ Wireshark ບາງທີອາດເປັນທີ່ນິຍົມທີ່ສຸດແລະຖືກ ນຳ ໃຊ້ຍ້ອນຄວາມຄ່ອງແຄ້ວແລະຄວາມສະດວກໃນການ ນຳ ໃຊ້. ນອກ ເໜືອ ຈາກນີ້, Wireshark ຊ່ວຍໃຫ້ທ່ານບໍ່ພຽງແຕ່ຕິດຕາມການຈະລາຈອນໃນເວລາຈິງເທົ່ານັ້ນ, ແຕ່ຍັງຊ່ວຍປະຢັດມັນໄວ້ໃນເອກະສານເພື່ອກວດກາພາຍຫຼັງ.
ອ່ານທີ່ກ່ຽວຂ້ອງ: ເຄື່ອງມືກວດສອບແບນວິດທີ່ດີທີ່ສຸດຂອງ Linux ເພື່ອວິເຄາະການ ນຳ ໃຊ້ເຄືອຂ່າຍ
ໃນບົດຂຽນນີ້, ພວກເຮົາຈະແບ່ງປັນ 10 ຄຳ ແນະ ນຳ ກ່ຽວກັບວິທີການໃຊ້ Wireshark ເພື່ອວິເຄາະແພກເກັດຕ່າງໆໃນເຄືອຂ່າຍຂອງທ່ານແລະຫວັງວ່າເມື່ອທ່ານໄປເຖິງພາກສະຫຼຸບທ່ານຈະຮູ້ສຶກຢາກຈະເພີ່ມມັນເຂົ້າໃນບັນທຶກຂອງທ່ານ.
ການຕິດຕັ້ງ Wireshark ໃນ Linux
ການຕິດຕັ້ງ Wireshark, ເລືອກຕົວຕິດຕັ້ງທີ່ຖືກຕ້ອງ ສຳ ລັບລະບົບປະຕິບັດການ/ສະຖາປັດຕະຍະ ກຳ ຂອງທ່ານຈາກ https://www.wireshark.org/download.html.
ໂດຍສະເພາະ, ຖ້າທ່ານ ກຳ ລັງໃຊ້ Linux, Wireshark ຕ້ອງມີໂດຍກົງຈາກຫໍສະ ໝຸດ ການແຈກຈ່າຍຂອງທ່ານເພື່ອຕິດຕັ້ງງ່າຍຂື້ນຕາມຄວາມສະດວກສະບາຍຂອງທ່ານ. ເຖິງແມ່ນວ່າຮຸ່ນຕ່າງໆອາດຈະແຕກຕ່າງກັນ, ແຕ່ຕົວເລືອກແລະເມນູຄວນຈະຄ້າຍຄືກັນ - ຖ້າບໍ່ຄືກັນໃນແຕ່ລະອັນ.
------------ On Debian/Ubuntu based Distros ------------ $ sudo apt-get install wireshark ------------ On CentOS/RHEL based Distros ------------ $ sudo yum install wireshark ------------ On Fedora 22+ Releases ------------ $ sudo dnf install wireshark
ມີຂໍ້ບົກພ່ອງທີ່ຮູ້ຈັກໃນ Debian ແລະອະນຸພັນທີ່ອາດຈະປ້ອງກັນບໍ່ໃຫ້ລາຍຊື່ເຄືອຂ່າຍອິນເຕີເນັດໂຕ້ຕອບເວັ້ນເສຍແຕ່ວ່າທ່ານໃຊ້ sudo ເພື່ອເປີດ Wireshark. ເພື່ອແກ້ໄຂສິ່ງນີ້, ໃຫ້ປະຕິບັດຕາມ ຄຳ ຕອບທີ່ຍອມຮັບໃນໂພສນີ້.
ເມື່ອ Wireshark ກຳ ລັງແລ່ນຢູ່, ທ່ານສາມາດເລືອກອິນເຕີເຟດເຄືອຂ່າຍທີ່ທ່ານຕ້ອງການຕິດຕາມພາຍໃຕ້ Capture:
ໃນບົດຂຽນນີ້, ພວກເຮົາຈະ ນຳ ໃຊ້ eth0 , ແຕ່ທ່ານສາມາດເລືອກແບບອື່ນໄດ້ຖ້າທ່ານຕ້ອງການ. ຢ່າກົດເຂົ້າໄປໃນອິນເຕີເຟດ - ພວກເຮົາຈະເຮັດຕໍ່ໄປຫຼັງຈາກທີ່ພວກເຮົາໄດ້ກວດເບິ່ງຕົວເລືອກການຈັບພາບສອງສາມຄັ້ງ.
ຕົວເລືອກການຈັບພາບທີ່ມີປະໂຫຍດສູງສຸດທີ່ພວກເຮົາຈະພິຈາລະນາແມ່ນ:
<
ກ່ອນທີ່ພວກເຮົາຈະ ດຳ ເນີນ ຄຳ ແນະ ນຳ, ມັນເປັນສິ່ງ ສຳ ຄັນທີ່ຈະຕ້ອງສັງເກດວ່າບາງອົງກອນຫ້າມການ ນຳ ໃຊ້ Wireshark ໃນເຄືອຂ່າຍຂອງພວກເຂົາ. ທີ່ເວົ້າວ່າ, ຖ້າທ່ານບໍ່ໃຊ້ Wireshark ເພື່ອຈຸດປະສົງສ່ວນຕົວ, ໃຫ້ແນ່ໃຈວ່າອົງກອນຂອງທ່ານອະນຸຍາດໃຫ້ ນຳ ໃຊ້ມັນ.
ສຳ ລັບຊ່ວງເວລາ, ພຽງແຕ່ເລືອກ eth0 ຈາກລາຍການເລື່ອນລົງແລະກົດທີ່ປຸ່ມເລີ່ມຕົ້ນ. ທ່ານຈະເລີ່ມເຫັນການຈະລາຈອນທັງ ໝົດ ທີ່ຜ່ານການໂຕ້ຕອບນັ້ນ. ບໍ່ມີປະໂຫຍດແທ້ໆ ສຳ ລັບຈຸດປະສົງໃນການຕິດຕາມກວດກາເນື່ອງຈາກມີ ຈຳ ນວນຊອງທີ່ຖືກກວດສອບສູງ, ແຕ່ມັນກໍ່ເປັນການເລີ່ມຕົ້ນ.
ໃນຮູບພາບຂ້າງເທິງນີ້, ພວກເຮົາຍັງສາມາດເຫັນຮູບສັນຍາລັກຕ່າງໆເພື່ອລາຍຊື່ອິນເຕີເຟດທີ່ມີຢູ່, ເພື່ອຢຸດການຈັບພາບໃນປະຈຸບັນແລະເລີ່ມຕົ້ນ ໃໝ່ (ກ່ອງສີແດງຢູ່ເບື້ອງຊ້າຍ) ແລະສາມາດ ກຳ ນົດແລະແກ້ໄຂຕົວກອງ (ກ່ອງສີແດງຢູ່ເບື້ອງຂວາມື). ເມື່ອທ່ານວາງປຸ່ມ ໜຶ່ງ ຂອງໄອຄອນເຫຼົ່ານີ້, ເຄື່ອງມືແນະ ນຳ ຈະຖືກສະແດງເພື່ອຊີ້ບອກວ່າມັນເຮັດຫຍັງ.
ພວກເຮົາຈະເລີ່ມຕົ້ນໂດຍການສະແດງຕົວເລືອກການຈັບພາບ, ໃນຂະນະທີ່ ຄຳ ແນະ ນຳ # 7 ເຖິງເລກ # 10 ຈະປຶກສາຫາລືກ່ຽວກັບວິທີການເຮັດສິ່ງທີ່ເປັນປະໂຫຍດແທ້ໆກັບການຈັບພາບ.
ເຄັດລັບ # 1 - ກວດກາການຈະລາຈອນ HTTP
ພິມ http ໃນກ່ອງກອງແລະກົດປຸ່ມ Apply. ເປີດຕົວທ່ອງເວັບຂອງທ່ານແລະໄປທີ່ເວັບໄຊທ໌ໃດຫນຶ່ງທີ່ທ່ານຕ້ອງການ:
ເພື່ອເລີ່ມຕົ້ນທຸກໆ ຄຳ ແນະ ນຳ ຕໍ່ໄປ, ຢຸດການຈັບພາບສົດແລະແກ້ໄຂຕົວກອງການຈັບພາບ.
ເຄັດລັບທີ 2 - ກວດກາການຈະລາຈອນ HTTP ຈາກທີ່ຢູ່ IP ທີ່ຢູ່
ໃນ ຄຳ ແນະ ນຳ ສະເພາະນີ້, ພວກເຮົາຈະ ນຳ ໃຊ້ ip == 192.168.0.10 && ໃສ່ແທັບກອງເພື່ອຕິດຕາມການຈະລາຈອນ HTTP ລະຫວ່າງຄອມພິວເຕີທ້ອງຖິ່ນແລະ 192.168.0.10:
ເຄັດລັບ # 3 - ກວດກາການຈະລາຈອນ HTTP ໄປຫາທີ່ຢູ່ IP
ກ່ຽວຂ້ອງກັບ # 2 ຢ່າງໃກ້ຊິດ, ໃນກໍລະນີນີ້, ພວກເຮົາຈະ ນຳ ໃຊ້ ip.dst ເປັນສ່ວນ ໜຶ່ງ ຂອງຕົວກອງຈັບດັ່ງຕໍ່ໄປນີ້:
ip.dst==192.168.0.10&&http
ເພື່ອປະສົມປະສານ ຄຳ ແນະ ນຳ ຂໍ້ທີ 2 ແລະຂໍ້ # 3, ທ່ານສາມາດໃຊ້ລະຫັດການກັ່ນຕອງ ip.addr ໃນກົດລະບຽບການກັ່ນຕອງແທນ ip.src ຫຼື ip.dst .
ເຄັດລັບ # 4 - ຕິດຕາມກວດກາ Apache ແລະ MySQL Network Traffic
ບາງຄັ້ງທ່ານຈະສົນໃຈໃນການກວດກາການຈະລາຈອນທີ່ກົງກັບເງື່ອນໄຂ (ຫລືທັງສອງຢ່າງ). ຍົກຕົວຢ່າງ, ເພື່ອຕິດຕາມການຈະລາຈອນໃນພອດ TCP 80 (webserver) ແລະ 3306 (ເຊີຟເວີຖານຂໍ້ມູນ MySQL/MariaDB), ທ່ານສາມາດໃຊ້ເງື່ອນໄຂ OR ໃນຕົວກອງເກັບ ກຳ:
tcp.port==80||tcp.port==3306
ໃນ ຄຳ ແນະ ນຳ ຂໍ້ທີ 2 ແລະ # 3, || ແລະ ຄຳ ຫລືຜະລິດຜົນດຽວກັນ. ດຽວກັນກັບ && ແລະ ຄຳ ແລະ.
ເຄັດລັບ # 5 - ປະຕິເສດຊຸດທີ່ຈະໃຫ້ທີ່ຢູ່ IP
ເພື່ອຍົກເວັ້ນບັນດາແພັກເກັດທີ່ບໍ່ກົງກັບກົດເກນການກັ່ນຕອງ, ໃຫ້ໃຊ້ລະຫັດ!! ຕົວຢ່າງ, ເພື່ອຍົກເວັ້ນການຫຸ້ມຫໍ່ທີ່ມາຈາກຫຼືຖືກມຸ້ງໄປຫາທີ່ຢູ່ IP, ທ່ານສາມາດໃຊ້:
!(ip.addr == 192.168.0.10)
ຄຳ ແນະ ນຳ ທີ 6 - ຕິດຕາມການເຂົ້າຊົມເຄືອຂ່າຍທ້ອງຖິ່ນ (192.168.0.0/24)
ກົດລະບຽບການກັ່ນຕອງຕໍ່ໄປນີ້ຈະສະແດງພຽງແຕ່ການຈະລາຈອນໃນທ້ອງຖິ່ນເທົ່ານັ້ນແລະບໍ່ລວມເອົາແພັກເກັດທີ່ຈະໄປແລະມາຈາກອິນເຕີເນັດ:
ip.src==192.168.0.0/24 and ip.dst==192.168.0.0/24
ຄຳ ແນະ ນຳ ທີ 7 - ຕິດຕາມກວດກາເນື້ອໃນຂອງການສົນທະນາ TCP
ເພື່ອກວດກາເນື້ອໃນຂອງການສົນທະນາກ່ຽວກັບ TCP (ການແລກປ່ຽນຂໍ້ມູນ), ກົດຂວາໃສ່ຊຸດທີ່ໃຫ້ແລະເລືອກຕິດຕາມ TCP stream. ປ່ອງຢ້ຽມຈະປາກົດມີເນື້ອໃນຂອງການສົນທະນາ.
ນີ້ຈະປະກອບມີຫົວຂໍ້ HTTP ຖ້າພວກເຮົາ ກຳ ລັງກວດກາການເຂົ້າຊົມເວັບໄຊທ໌້, ແລະຍັງມີຂໍ້ມູນປະ ຈຳ ຕົວ ທຳ ມະດາທີ່ຖືກສົ່ງຕໍ່ໃນລະຫວ່າງຂັ້ນຕອນຖ້າມີ.
ເຄັດລັບ # 8 - ແກ້ໄຂກົດລະບຽບການໃສ່ສີ
ໂດຍຕອນນີ້ຂ້ອຍແນ່ໃຈວ່າເຈົ້າໄດ້ສັງເກດເຫັນແລ້ວວ່າແຕ່ລະແຖວໃນ ໜ້າ ຕ່າງການຈັບພາບແມ່ນມີສີສັນ. ໂດຍຄ່າເລີ່ມຕົ້ນ, ການຈະລາຈອນ HTTP ຈະປາກົດຢູ່ໃນພື້ນຫລັງສີຂຽວກັບຂໍ້ຄວາມສີ ດຳ, ໃນຂະນະທີ່ຂໍ້ຜິດພາດຂອງເຊັກອິນແມ່ນສະແດງຢູ່ໃນຂໍ້ຄວາມສີແດງທີ່ມີພື້ນຫລັງສີ ດຳ.
ຖ້າທ່ານຕ້ອງການປ່ຽນແປງການຕັ້ງຄ່າເຫຼົ່ານີ້, ໃຫ້ກົດປຸ່ມຮູບສັນຍາລັກດັດແກ້ສີ, ເລືອກຕົວກອງທີ່ໃຫ້ໄວ້, ແລະກົດປຸ່ມ Edit.
ເຄັດລັບ # 9 - ບັນທຶກ Capture ໃສ່ໃນເອກະສານ
ການປະຫຍັດເນື້ອໃນຂອງການຈັບພາບຈະຊ່ວຍໃຫ້ພວກເຮົາສາມາດກວດສອບມັນໄດ້ຢ່າງລະອຽດກວ່າ. ເພື່ອເຮັດສິ່ງນີ້, ເຂົ້າໄປທີ່ File →ສົ່ງອອກແລະເລືອກຮູບແບບການສົ່ງອອກຈາກບັນຊີ:
ເຄັດລັບ # 10 - ປະຕິບັດກັບຕົວຢ່າງການຈັບຕົວ
ຖ້າທ່ານຄິດວ່າເຄືອຂ່າຍຂອງທ່ານ“ ໜ້າ ເບື່ອ”, Wireshark ສະ ໜອງ ຊຸດເອກະສານເກັບຕົວຢ່າງທີ່ທ່ານສາມາດໃຊ້ເພື່ອຝຶກແລະຮຽນຮູ້. ທ່ານສາມາດດາວໂຫລດ SampleCaptures ເຫຼົ່ານີ້ແລະ ນຳ ເຂົ້າຜ່ານເມນູ File File Import.
Wireshark ແມ່ນຊອບແວທີ່ບໍ່ເສຍຄ່າແລະເປີດ, ດັ່ງທີ່ທ່ານສາມາດເຫັນໃນສ່ວນ FAQ ຂອງເວັບໄຊທ໌ທາງການ. ທ່ານສາມາດ ກຳ ນົດຕົວກອງທີ່ ກຳ ນົດໄວ້ກ່ອນຫຼືຫຼັງຈາກເລີ່ມກວດກາ.
ໃນກໍລະນີທີ່ທ່ານບໍ່ໄດ້ສັງເກດເຫັນ, ຕົວກອງມີຄຸນສົມບັດທີ່ບໍ່ຄົບຖ້ວນເຊິ່ງຊ່ວຍໃຫ້ທ່ານສາມາດຄົ້ນຫາຕົວເລືອກທີ່ໃຊ້ຫຼາຍທີ່ສຸດເຊິ່ງທ່ານສາມາດປັບແຕ່ງຕາມພາຍຫຼັງ. ດ້ວຍວ່າ, ທ້ອງຟ້າແມ່ນຂອບເຂດ ຈຳ ກັດ!
ດັ່ງທີ່ເຄີຍເຮັດ, ຢ່າລັງເລທີ່ຈະລົງສາຍພວກເຮົາໂດຍໃຊ້ແບບຟອມ ຄຳ ເຫັນຂ້າງລຸ່ມນີ້ຖ້າທ່ານມີ ຄຳ ຖາມຫຼືຂໍ້ສັງເກດກ່ຽວກັບບົດຄວາມນີ້.