GNU/Linux >> Belajar Linux >  >> Linux

Bagaimana menafsirkan informasi Wireshark yang diambil

Wireshark adalah penganalisis protokol jaringan GUI. Ini memungkinkan Anda menelusuri data paket secara interaktif dari jaringan langsung atau file tangkapan yang disimpan sebelumnya. Ini memungkinkan Anda untuk melihat apa yang terjadi di jaringan Anda pada tingkat mikroskopis.

TShark adalah versi Wireshark berorientasi terminal yang dirancang untuk menangkap dan menampilkan paket ketika antarmuka pengguna interaktif tidak diperlukan atau tidak tersedia. Ini mendukung opsi yang sama seperti Wireshark. Di situs webnya, Wireshark menjelaskan kumpulan fiturnya yang kaya termasuk berikut:

  • Pemeriksaan mendalam terhadap ratusan protokol, dengan lebih banyak lagi yang ditambahkan setiap saat
  • Pengambilan langsung dan analisis offline
  • Multi-platform:Berjalan di Windows, Linux, macOS, Solaris, FreeBSD, NetBSD, dan banyak lainnya
  • Filter tampilan paling kuat di industri
  • Analisis VoIP yang kaya
  • Baca/tulis berbagai format file pengambilan:tcpdump (libpcap), Pcap NG, Cisco Secure IDS iplog, Microsoft Network Monitor, dan banyak lainnya
  • Mengambil file yang dikompresi dengan gzip dapat didekompresi dengan cepat
  • Data langsung dapat dibaca dari Ethernet, IEEE 802.11, Bluetooth, USB, dan lainnya (tergantung platform Anda)
  • Dukungan dekripsi untuk banyak protokol, termasuk IPsec, ISAKMP, Kerberos, SNMPv3, SSL/TLS, WEP, dan WPA/WPA2
  • Aturan pewarnaan dapat diterapkan ke daftar paket untuk analisis intuitif yang cepat
  • Output dapat diekspor ke XML, PostScript, CSV, atau teks biasa

Pemasangan

Wireshark dapat diinstal dengan perintah sederhana standar.

Di Red Hat Enterprise Linux (RHEL) 7:

yum install wireshark 

Di Red Hat Enterprise Linux (RHEL) 8:

dnf install wireshark

Kasus penggunaan

Tanpa pengaturan opsi apa pun, TShark bekerja seperti tcpdump. Ia menggunakan pcap library untuk menangkap lalu lintas dari antarmuka jaringan pertama yang tersedia dan menampilkan garis ringkasan pada setiap keluaran standar paket yang diterima.

Sebelum memulai pengambilan apa pun, kita perlu menentukan antarmuka mana di server kita yang dapat digunakan TShark. Anda mungkin perlu menggunakan sudo atau akses root dalam kasus ini.

[ Anda mungkin juga menyukai: 5 alat sysadmin Linux favorit saya ]

Untuk mendapatkan informasi ini, Anda perlu menjalankan perintah di bawah ini:

# tshark –D

Contoh keluaran di bawah ini:

[root@server ~]# tshark -D
1. eth0
2. nflog
3. nfqueue
4. usbmon1
5. any
6. lo (Loopback)

Jika kami ingin menangkap lalu lintas di eth0 , kita bisa menyebutnya dengan perintah ini:

tshark -i eth0

Contoh keluaran:

[root@server ~]# tshark -i eth0
Running as user "root" and group "root". This could be dangerous.
Capturing on 'eth0'
  1 0.000000000 41.242.139.31 -> 207.180.200.5 TCP 60 61513 > tcoaddressbook [ACK] Seq=1 Ack=1 Win=508 Len=0
  2 0.103588364 41.242.139.31 -> 207.180.200.5 TCP 60 61513 > tcoaddressbook [ACK] Seq=1 Ack=81 Win=508 Len=0
  3 0.690499219 173.212.240.3 -> 255.255.255.255 DHCP 362 DHCP ACK      - Transaction ID 0x6b443d32
  4 0.819279418 207.180.200.5 -> 41.242.139.31 TCP 342 tcoaddressbook > 61513 [PSH, ACK] Seq=81 Ack=1 Win=283 Len=288
  5 0.987663435 45.77.145.115 -> 207.180.200.5 TCP 60 wso2esb-console > https [SYN] Seq=0 Win=5840 Len=0
  6 0.987758650 207.180.200.5 -> 45.77.145.115 TCP 54 [TCP ACKed unseen segment] https > wso2esb-console [ACK] Seq=1 Ack=316217230 Win=29200 Len=0
  7 1.001310441 207.180.200.5 -> 45.77.145.115 TCP 58 [TCP ACKed unseen segment] [TCP Retransmission] https > wso2esb-console [SYN, ACK] Seq=0 Ack=316217230 Win=29200 Len=0 MSS=1460
  8 1.002550877 41.242.139.31 -> 207.180.200.5 TCP 60 61513 > tcoaddressbook [ACK] Seq=1 Ack=369 Win=513 Len=0
  9 1.014391846 207.180.200.5 -> 80.237.128.149 NTP 90 NTP Version 4, client
 10 1.039819501 80.237.128.149 -> 207.180.200.5 NTP 90 NTP Version 4, server

Paket di atas dilambangkan dengan angka di awal baris.

Baris ini menyertakan dua alamat IP di kedua sisi panah—ini adalah host yang bertukar paket. Arah panah menunjukkan ke arah mana paket akan pergi. Oleh karena itu, 41.242.139.31 -> 207.180.200.5 berarti paket berasal dari host 41.242.139.31 , yang merupakan komputer saya, dan menuju tujuan 207.180.200.5 , yang merupakan server jarak jauh tempat TShark diinstal. Komputer saya mencoba untuk terhubung ke server ini, jadi melalui handshake TCP.

Berikut adalah penjelasan dasar tentang cara kerja TShark:Ini menangkap semua lalu lintas yang dimulai ke dan dari server tempat ia diinstal. Dengan kekuatan pemfilteran TShark, kami dapat menampilkan lalu lintas yang kami minati.

Kami juga dapat membatasi output tangkapan ke baris tertentu. Misalnya, jika kita ingin membatasi output menjadi 10 baris, kita akan menggunakan perintah di bawah ini:

# tshark -i eth0 -c 10

Tangkap lalu lintas ke dan dari satu host

Kami dapat menyaring lalu lintas yang datang dari host tertentu. Misalnya, untuk menemukan lalu lintas yang datang dari dan menuju 8.8.8.8 , kita menggunakan perintah:

# tshark -i eth0 -c 10 host 8.8.8.8

Untuk lalu lintas yang berasal dari 8.8.8.8 :

# tshark -i eth0 src host 8.8.8.8

Untuk lalu lintas menuju 8.8.8.8 :

# tshark -i eth0 dst host 8.8.8.8

Contoh keluaran:

[root@server2 ~]# tshark -i eth0 -c 10 host 8.8.8.8
Running as user "root" and group "root". This could be dangerous.
Capturing on 'eth0'
  1 0.000000000      8.8.8.8 -> 207.180.229.97 DNS 185 Standard query response 0x8d7a No such name
  2 0.004498954      8.8.8.8 -> 207.180.229.97 DNS 184 Standard query response 0x2302 No such name
  3 0.024649288      8.8.8.8 -> 207.180.229.97 DNS 146 Standard query response 0x24d2 No such name
  4 0.125434062      8.8.8.8 -> 207.180.229.97 DNS 125 Standard query response 0xf89a  NS ns1.mail.rhsblmail.com NS ns2.mail.rhsblmail.com
  5 0.138280488      8.8.8.8 -> 207.180.229.97 DNS 105 Standard query response 0x1d17  MX 10 mail.rhsblmail.com
  6 0.143231852      8.8.8.8 -> 207.180.229.97 DNS 134 Standard query response 0xc774  NS ns1.hongkongserver.net NS ns2.hongkongserver.net
  7 0.144433854      8.8.8.8 -> 207.180.229.97 DNS 99 Standard query response 0x4682  A 119.8.46.109
  8 0.201845674      8.8.8.8 -> 207.180.229.97 DNS 150 Standard query response 0xfb47 No such name
  9 0.205827278 207.180.229.97 -> 8.8.8.8      DNS 72 Standard query 0x74e3  MX dalcargo.net
 10 0.482611966      8.8.8.8 -> 207.180.229.97 DNS 102 Standard query response 0x74e3  MX 0 mx.sinanet.com

Pada keluaran di atas, kami melihat lalu lintas datang dari dan menuju 8.8.8.8 . Tuan rumah 8.8.8.8 memberikan tanggapan ke server 207.180.229.97 tentang kueri yang telah dimulai sebelumnya.

Tangkap lalu lintas ke dan dari jaringan

Kami juga dapat menangkap lalu lintas ke dan jaringan tertentu. Untuk melakukan ini, kami menggunakan perintah di bawah ini:

# tshark -i eth0 net 10.1.0.0 mask 255.255.255.0

atau

# tshark -i eth0 net 10.1.0.0/24

Kami juga dapat memfilter berdasarkan sumber atau tujuan.

Berdasarkan sumbernya (lalu lintas datang dari):

# tshark -i eth0 src net 10.1.0.0/24

Berdasarkan tujuan (lalu lintas menuju):

# tshark -i eth0 dst net 10.1.0.0/24

Mencatat lalu lintas ke dan dari nomor port

Berikut ini banyak variasi lainnya.

Tangkap hanya lalu lintas port DNS 53:

# tshark -i eth0 port 53

Untuk host tertentu:

# tshark -i eth0 host 8.8.8.8 and port 53

Tangkap hanya lalu lintas HTTPS:

# tshark -i eth0 -c 10 host www.google.com and port 443

Tangkap semua port kecuali port 80 dan 25:

tshark -i eth0 port not 53 and not 25

Menyimpan output ke file

Kita bisa menyimpan hasil capture kita ke sebuah file untuk dibaca nanti. Versi Wireshark yang lebih baru menyimpan output di pcapng secara default. Namun, kami juga dapat menyimpan dalam format lain. Untuk memeriksa format yang didukung, jalankan perintah di bawah ini:

# tshark -F

Untuk menyimpan output, kami menggunakan -w mengalihkan. Menggunakan -w switch menyediakan data paket mentah, bukan teks. Jika Anda menginginkan keluaran teks, Anda perlu mengarahkan ulang stdout (mis., menggunakan > ). Jangan gunakan -w pilihan untuk ini.

Untuk menyimpan tangkapan ke nama file http_capture.pcapng :

# tshark -i eth0 -c 10 port 80 -w http_capture.pcapng

Kita dapat menyimpan di pcap format, yang dapat dibaca oleh tcpdump dan versi Wireshark yang lebih lama:

# tshark -i eth0 -c 10 port 80 -w http.pcap -F libpcap

[ Ingin mempelajari lebih lanjut tentang keamanan? Lihat daftar periksa keamanan dan kepatuhan TI. ] 

Menutup

TShark adalah alat komprehensif yang perlu ditambahkan oleh sysadmin ke kumpulan alat mereka. Ini adalah bagian pertama dari seri dua bagian. Di bagian kedua, kita akan melihat filter yang lebih canggih dan bagaimana kita dapat membuat output lebih mudah dibaca.


Linux

  1. Cara Menginstal Wireshark di Fedora 35

  2. Cara Menginstal Wireshark di Ubuntu 18.04 LTS

  3. Cara Menginstal Wireshark di Ubuntu 20.04 LTS

  1. Bagaimana Cara Menjalankan Wireshark Di Ubuntu 17.10?

  2. CentOS / RHEL :Cara mengumpulkan sosreport

  3. Bagaimana menginterpretasikan output dari netstat -o / netstat --timers

  1. Cara Menginstal Wireshark di Debian 11

  2. Cara Instal Wireshark di Linux Mint 20

  3. Cara memeriksa informasi PHP Anda