Met ‘n afstandopname met Wireshark en tcpdump

Wireshark tcpdump-opname op afstand


Wireshark is ‘n kragtige instrument, maar dit het sy beperkings. Tensy u professionele netwerktoerusting het, is dit moeilik om die verkeer te ontleed wat nie u rekenaar behels nie. Soms is die maklikste oplossing om tcpdump te gebruik om verkeer op die eksterne bediener vas te lê, en dan Wireshark te hardloop om daarna te kyk.

Wat is Wireshark en tcpdump?

Wireshark is ‘n protokolanaliseerder, ‘n stuk sagteware wat die data wat op u netwerk vloei op ‘n leesbare manier vasvang en aanbied. Met behulp van Wireshark kan u die insette en uitsette van netwerksdienste en webtoepassings analiseer.

Alhoewel Wireshark ‘n goeie taak is om elke pakkie wat verby dit vloei vas te lê, sal u in sommige gevalle ‘n sessie van ‘n eksterne bediener moet ontleed. Tensy u spesiale netwerktoerusting het, kan dit moeilik wees. Soms is dit makliker om verkeer op die afstandbediener vas te lê en dit dan op u tafel te ontleed.

tcpdump is ‘n opdragreëlpakketanaliseerder. Dit is nie so maklik om te gebruik soos Wireshark nie, maar is net so in staat om verkeer vas te lê. Aangesien tcpdump in ‘n terminale modus loop, is dit moontlik om dit via ‘n SSH-sessie te begin. Met die regte opdragreëlopsies, kan u ‘n tcpdump-sessie uitvoer wat versoenbaar is met Wireshark.

SolarWinds neem Wireshark na die volgende vlak

Wireshark en tcpdump is kragtige hulpmiddels, maar hulle het ‘n paar swak kolle. Dit is veral moeilik om probleme met vertraging in u netwerk op te spoor deur Wireshark buite die kassie te gebruik. Byvoorbeeld, u ly moontlik aan hoë pingtye op u LAN, en daar is nie veel wat Wireshark kan doen om te help nie.

SolarWinds-reaksietyd-kyker vir Wireshark (GRATIS GEREEDSKAP)

In die geval beveel ek aan SolarWinds-reaksietyd-kyker vir Wireshark. Hierdie inprop brei Wireshark uit, waardeur u die oorsaak van ping-spikes en algehele stadige netwerksnelheid kan diagnoseer.

SolarWinds-reaksietyd-kyker vir Wireshark

SolarWinds-reaksietyd-kyker vir WiresharkDownload 100% GRATIS hulpmiddel

SolarWinds Network Performance Monitor (GRATIS PROEF)

SolarWinds maak ook ‘n uitstekende alles-in-een-oplossing vir u netwerk. Dit word die Netwerkprestasiemonitor (NPM), en dit maak die bestuur van ‘n netwerk baie makliker. Byvoorbeeld, u gebruik van SolarWinds Network Performance Monitor, u kan u draadlose LAN monitor en bestuur, ‘n basislyn vir prestasies genereer en intydse sekuriteitswaarskuwings kry..

SolarWinds Network Performance Monitor-beeld

SolarWinds Netwerk Prestasiemonitor is beskikbaar om 30 dae lank sonder risiko te probeer. Meld hier gratis aan.

SolarWinds Network Performance Monitor Laai 30 dae GRATIS proef af

Voor jy begin

Om die aanwysings in hierdie gids te volg, benodig u die volgende:

  • ‘N Afstand rekenaar met ‘n SSH-bediener en tcpdump geïnstalleer
  • Worteltoegang
  • Dienste wat netwerkverkeer genereer, soos Apache of node.js, wat op die afgeleë rekenaar werk
  • ‘N Plaaslike rekenaar met ‘n SSH-kliënt en Wireshark geïnstalleer

Die doel is om tcpdump op die afgeleë rekenaar via SSH te gebruik om netwerkverkeer vas te lê. Dan kan die vasgelope verkeer na die plaaslike rekenaar gekopieër word om met Wireshark te ontleed.

Dit is nuttig as u nie fisieke toegang tot die afgeleë rekenaar het nie, of dit ‘koploos’ bedryf, dit wil sê sonder ‘n sleutelbord en monitor.

Pak pakkies met tcpdump vas

Om die verkeer met tcpdump op te vang, moet u via SSH aan die afgeleë rekenaar koppel. U sal ook worteltoegang benodig, anders sal die tcpdump nie die verkeer kan vasvang nie en u sal ‘n fout sien met die vermelding U het nie toestemming om op daardie toestel vas te lê nie.

tcpdump - Vang 1

Sodra u gekoppel is, voer die volgende opdrag uit om verkeer met tcpdump te begin vasvang:

sudo tcpdump -s 0 -i eth0 -w tcpdump.pcap

Die opdragreëlopsies wat ek gebruik het om hierdie sessie vas te lê, word hieronder uiteengesit. Kortom, die bostaande opdrag sal alle verkeer op die Ethernet-toestel vaslê en dit na ‘n lêer met die naam tcpdump.pcap skryf in ‘n formaat wat versoenbaar is met Wireshark..

tcpdump - Vang 2

As u klaar is met die opneem van verkeer, moet u die tcpdump-sessie beëindig met Ctrl + C. U sal ‘n kort voorlesing sien met inligting oor die opnamesessie.

tcpdump - Vang 3

Voordat u die verkeer vanaf u afgeleë rekenaar na die plaaslike een kan kopieer om met Wireshark te ontleed, sal u die regte moet verander. Standaard kan tcpdump-sessies wat deur die gebruikte wortel vasgelê is, nie gekopieër word nie. Gebruik hierdie opdrag:

sudo chmod 644 tcpdump.pcap

Dit sal u toelaat om die lêer na u plaaslike rekenaar te kopieer met behulp van scp, soos in die volgende stap uiteengesit.

Kopie van ‘n tcpdump-sessie vir ontleding

Sodra u die opnamesessie met tcpdump voltooi het, het u ‘n probleem. Hoe kan u dit na die masjien met Wireshark kopieër vir ontleding? Daar is baie maniere, maar ek dink die maklikste is met scp. Aangesien u al pakkies op ‘n koplose masjien met SSH vasgelê het, is alles wat u nodig het om scp te gebruik, reeds geïnstalleer en uitgevoer.

tcpdump - Vang 4

Windows-gebruikers sal pscp moet aflaai en dan die lêer na C: \ Windows \ System32 kopieër. Die meeste Mac- en Linux-gebruikers het reeds alles wat hulle benodig.

tcpdump - Vang 5

Open in Mac of Linux ‘n terminale venster en voer die volgende opdrag uit om die sessie-opname-lêer te kopieer:

scp [email protected]: / path / to / file ./

Of in Windows, maak PowerShell oop en voer hierdie opdrag uit:

pscp.exe [email protected]: / path / to / file. \

Vervang waar toepaslik met u inligting. U sal gevra word om u wagwoord in te voer. Die opdragte wat ek gebruik het, is in die skermkiekie hierbo vir verwysing.

tcpdump - Vang 6

Kyk of die lêer gekopieër is soos verwag is, en u is gereed om die tcpdump-sessie met Wireshark te ontleed..

Ontleed ‘n vasgevangde tcpdump-sessie met Wireshark

Analise werk dieselfde as by enige tradisionele Wireshark-opname; die enigste ding wat u moet weet, is hoe u die lêer moet invoer.

tcpdump - Vang 7

Begin Wireshark, en voer dan die gevange tcpdump-sessie in met behulp van lêer -> oop en soek na u lêer. Jy kan ook dubbel kliek die vanglêer om dit in Wireshark oop te maak, solank dit die * .pcap-lêeruitbreiding het. As u die -w opsie wanneer u tcpdump hardloop, sal die lêer normaalweg gelaai word en die verkeer vertoon word.

tcpdump - Vang 7

In my geval bestuur ek ‘n Apache-bediener op die afgeleë gasheer en wil ek kyk na HTTP-data. Ek stel die toepaslike Wireshark-aansigfilter in, en ek kan soos gewoonlik deur die vasgeloste rame blaai.

As ‘n toets het ek ‘n element ingebed in die HTML-kode wat nie op die bladsy verskyn nie. Ek sal dit in die datastroom kan opspoor en dit met Wireshark kan besigtig.

tcpdump - Vang 8

Soos u kan sien, kan Wireshark elke raam ontleed en die data net so goed vertoon. Die element wat ek versteek het, verskyn in die voorbeeld hierbo. Die vasleggingproses is ‘n bietjie meer betrokke as u tcpdump gebruik, maar alles in Wireshark werk soos gewoonlik.

Gebruik die opdragreëlopsies vir tcpdump

As u die meeste van die tyd begin met tcpdump, wil u ‘n bietjie beheer hê oor hoe u die pakkies vaslê en waar u die sessie stoor. U kan sulke dinge beheer deur opdragreëlopsies te gebruik. Dit is ‘n paar van die nuttigste opdragreëlopsies vir tcpdump.

tcpdump -w

Die -w Opdraglynopsie stel Wireshark-versoenbare uitvoer moontlik. Dit neem ‘n enkele veranderlike, wat die uitvoernaam is. Logboeke wat met hierdie opsie gestoor is, kan nie buite Wireshark gelees word nie, aangesien dit in binêr eerder as ASCII geberg word.

tcpdump -C

Die -C Met die opdragreëlopsie kan u ‘n maksimum lêergrootte in grepe instel. Hierdie opsie werk slegs langsaan -w. Byvoorbeeld, die opdrag tcpdump -C 1048576 -w capture.pcap spesifiseer ‘n maksimum opnamegrootte van 1 MB (1.048.576 bytes) wat na die lêer uitgereik word capture.pcap.

As die sessie ‘n groter hoeveelheid uitvoer genereer, sal dit nuwe lêers skep om dit in te stoor. Dus sou ‘n 3MB-opname genereer capture.pcap, capture1.pcap, en capture2.pcap elk met ‘n lêergrootte van 1 MB.

tcpdump -s

Die -s Opdragreëlopsie stel ‘n maksimum lengte vir elke pakkie in grepe in en verkort die pakkie wanneer die maksimum bereik word. Die opdrag tcpdump -s 0 stel ‘n onbeperkte lengte in om te verseker dat die hele pakket vasgelê word.

tcpdump -i

Die -i opdragreëlopsie spesifiseer watter netwerktoestel u wil hê dat tcpdump moet monitor. As geen koppelvlak gespesifiseer word nie, is dit standaard die laagste genomineerde koppelvlak wat tans loop.

tcpdump-lys-koppelvlakke

Die opdragreëlopsie tcpdump-lys-koppelvlakke sal ‘n lys druk van alle koppelvlakke waarvoor tcpdump beskikbaar is om aan te heg. Let daarop dat dit nie ‘n opnamesessie begin nie, maar dit sal u ‘n lys gee van koppelvlakke om mee te gebruik -i opsie hierbo.

tcpdump -c

Die -c opdragreëlopsie sê tcpdump om die sessie te verlaat nadat u ‘n spesifieke aantal pakkies vasgelê het.

tcpdump -n

Die -N opdragreëlopsie gee tcpdump opdrag nie om IP-adresse na gasheername op te los. Dit is nuttig as u webwerwe agter ‘n bedieningsbalansbediener oplos, en in ‘n handjievol ander gevalle sou u dubbele resultate gebruik.

tcpdump -v | -vv | -vvv

Die drie opdragreëlopsies, -v, -verse, en -VVV laat u toe om die woordelikheid van u opnamesessie te verhoog. -v sal TTL-waardes vir elke pakket saam met ToS-inligting stoor. -verse sal TTL en ToS saam met addisionele inligting in NFS-pakkette lewer. en -VVV sal alles aanteken wat die eerste twee opsies doen, sowel as addisionele inligting van telnet-sessies.

tcpdump -F

Die -F Opdragreëlopsie gee tcpdump opdrag om opnamefilters van die gespesifiseerde lêer te gebruik. Meer inligting oor die skryf van ‘n lêer kan in die volgende afdeling gevind word.

Gebruik vangfilters vir tcpdump

Met opnamefilters kan u die data wat tcpdump in ‘n sessie stoor, verklein. Dit is ‘n nuttige manier om analise ‘n bietjie makliker te maak en om lêers klein te hou. Hier is ‘n paar van die nuttigste opnamefilters vir tcpdump.

gasheer

Hierdie filter spesifiseer dat slegs verkeer na en van die teikengasheer moet vasgelê word. Dit neem ‘n IP-adres of gasheernaam as argument.

netto

Die netfilter sê vir u rekenaar om slegs verkeer op ‘n gegewe subnet vas te lê en neem ‘n IP-adres as argument. Byvoorbeeld, 192.168.1.0/24 spesifiseer dat verkeer na of van alle gashere op die subnet vasgelê sal word. Let daarop dat ‘n subnetmasker in ‘n streepnotasie benodig word.

dst gasheer

Soortgelyk aan gasheer, hierdie opnamefilter spesifiseer dat slegs verkeer met ‘n bestemming van die gegewe gasheer vasgelê sal word. Dit kan ook saam gebruik word netto.

src gasheer

Soos hierbo, maar hierdie filter bevat slegs verkeer wat afkomstig is van die gespesifiseerde gasheer of IP-adres. Dit kan ook saam gebruik word netto.

hawe

Hierdie filter sê vir tcpdump om verkeer na en van ‘n gegewe poortnommer vas te lê. Byvoorbeeld, hawe 443 sal TLS-verkeer vaslê.

portrange

Soortgelyk aan die hawe-filter, stel portrange ‘n reeks hawens waarop verkeer vasgelê kan word. Om die portrange-filter te gebruik, spesifiseer die beginpoort en eindpoort, geskei deur ‘n streep. Byvoorbeeld, portrange 21-23.

gateway

Die gateway-filter spesifiseer dat u rekenaar slegs verkeer moet vaslê wat ‘n gegewe gasheernaam as ‘n poort gebruik. Die gasheernaam moet gevind word in / Etc / hosts.

uitsending

Die uitsaaifilter spesifiseer dat tcpdump slegs verkeer moet vaslê wat na alle gashere op ‘n subnet uitgesaai word.

IP-multicast

Hierdie filter sê dat tcpdump slegs multicast-verkeer op die subnet van die gasheermasjien sal opneem.

en / of / nie operateurs nie

Filters kan aan mekaar vasgeketting word met behulp van die en, of, of nie operateurs. Byvoorbeeld, om alle webverkeer op ‘n gegewe gasheer vas te lê, kan u die filter gebruik hawe 80 of hawe 443. Of u kan alle verkeer op ‘n gegewe subnet opneem, behalwe uitsendingspakkette deur die filter te gebruik netto 192.168.1.0/24 en nie uitgesaai nie.

Dit is baie gereeld om filteroperateurs in die praktyk te gebruik, aangesien dit ‘n ekstra laag korrelheid aan u opnames bied. U kan presies die verkeer wat u benodig, vaslê sonder om baie ekstra netwerkbabbel te doen.

Komplekse uitdrukkings met verskeie operatore

Selfs meer ingewikkelde uitdrukkings kan gebou word deur veelvuldige bewerkings in enkele apostrofes en hakies te omring. Byvoorbeeld, u kan alle e-posverkeer, insluitend SMTP, IMAP, IMAP via TLS, POP3 en POP3 oor TLS, oor verskeie leërskare en subnette monitor, met behulp van ‘n opdrag soos hierdie:

tcpdump ‘(gasheer 10.0.0.1 en netto 192.168.1.0/24) en ((poort 25 of poort 143 of poort 443 of poort 993 of poort 995))’

Komplekse uitdrukkings met verskeie operateurs kan baie nuttig wees, maar dit word gewoonlik in ‘n filterlêer gestoor vir hergebruik, aangesien ‘n enkele tikfout die opname sal laat misluk. Dikwels sal hulle vooraf voorbereid moet wees en ontfout kan word.

Die gebruik van filterlêers vir tcpdump

Die filters hierbo kan op die opdragreël uitgevoer word wanneer tcpdump gelanseer word, maar dit is dikwels nuttig om ‘n filterlêer te bou. ‘N Filterlêer maak dit makliker om filterinstellings tussen opnames weer te gee, aangesien dit herbruikbaar is. Hier is die stappe om ‘n filterlêer te skryf en te gebruik.

Skryf die filterlêer

Filterlêers gebruik presies dieselfde notasie as die opdragreël. Hulle benodig geen spesiale karakters of towerkuns bo-aan die lêer nie.

tcpdump - Vang 9

Hier is byvoorbeeld ‘n filterlêer wat ek geskryf het wat alle webverkeer vanaf my Apache-bediener na ‘n gegewe gasheer sal vaslê. In hierdie geval, die Chromebook waarop ek skryf.

Solank die lêer leesbaar is deur die gebruiker wat tcpdump gebruik, sal die program probeer om alles in die filterlêer te ontleed en as ‘n geldige filter te gebruik. Wanneer ‘n filterlêer word gebruik saam met opdragreëlfiltrering, al die opdragreëlfiltrering sal geïgnoreer word.

tcpdump - vaslegging 10

Opdrag tcpdump om enige gegewe filterlêer met behulp van die -F opdragreëlopsie, gevolg deur die pad na die lêer. In die voorbeeld hierbo, is die filterlêer geleë in dieselfde gids waarin ek tcpdump uitvoer.

tcpdump - vaslegging 11

Hier is die rou afvoer van die gefiltreerde sessie. U kan sien dat die enigste pakkies wat aangeteken word, afkomstig is hawe 80 of 443, en word na die gasheer op 192.168.1.181 uitgeplaas.

tcpdump - vaslegging 12

Sodra u gesien het dat u filter soos bedoel werk, moet u ‘n sessie opneem om met Wireshark te ontleed met behulp van ‘n soortgelyke opdrag:

sudo tcpdump -i eth0 -s 0 -w wireshark.pcap -F filterlêer

Draadhaai en tcpdump

Tensy u ‘n bestuurde skakelaar met ‘n administrasiepoort bestuur, sal u vroeër of later die verkeer op ‘n afstandbediener moet opneem. As Wireshark alleen nie die werk doen nie, is Wireshark met tcpdump ‘n gewilde keuse. Die twee werk baie goed saam en met ‘n paar eenvoudige opdragreëlopsies sal tcpdump vangsessies uitvoer wat maklik in Wireshark ontleed kan word..

Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map