قم بتحويل مسار عمل Wireshark الخاص بك باستخدام Brim على نظام Linux

نشرت: 2022-01-29
كبلات إيثرنت ملونة.
pixelnest / شترستوك

Wireshark هو المعيار الفعلي لتحليل حركة مرور الشبكة. لسوء الحظ ، يصبح بطيئًا بشكل متزايد مع نمو التقاط الحزم. يحل Brim هذه المشكلة جيدًا ، وسوف يغير سير عمل Wireshark الخاص بك.

Wireshark عظيم ، لكن. . .

Wireshark هو برنامج رائع مفتوح المصدر. يتم استخدامه من قبل الهواة والمحترفين على حد سواء في جميع أنحاء العالم للتحقيق في مشكلات الشبكات. إنه يلتقط حزم البيانات التي تنتقل عبر الأسلاك أو عبر الأثير في شبكتك. بمجرد التقاط حركة المرور الخاصة بك ، يتيح لك Wireshark تصفية البيانات والبحث فيها ، وتتبع المحادثات بين أجهزة الشبكة ، وغير ذلك الكثير.

على الرغم من أن Wireshark رائعة ، إلا أنها تحتوي على مشكلة واحدة. يمكن أن تصبح ملفات التقاط بيانات الشبكة (تسمى تتبع الشبكة أو التقاط الحزمة) كبيرة جدًا وبسرعة كبيرة. هذا صحيح بشكل خاص إذا كانت المشكلة التي تحاول التحقيق فيها معقدة أو متقطعة ، أو إذا كانت الشبكة كبيرة ومشغولة.

كلما زاد التقاط الحزمة (أو PCAP) ، أصبح Wireshark أكثر تأخرًا. مجرد فتح وتحميل أثر كبير جدًا (أي شيء يزيد عن 1 غيغابايت) يمكن أن يستغرق وقتًا طويلاً ، قد تعتقد أن Wireshark قد انقلبت وتخلت عن الشبح.

العمل مع ملفات بهذا الحجم هو ألم حقيقي. في كل مرة تقوم فيها بإجراء بحث أو تغيير عامل تصفية ، عليك الانتظار حتى يتم تطبيق التأثيرات على البيانات وتحديثها على الشاشة. كل تأخير يعطل تركيزك ، مما قد يعيق تقدمك.

الإعلانات

بريم هو العلاج لهذه المشاكل. يعمل بمثابة معالج مسبق تفاعلي وواجهة أمامية لـ Wireshark. عندما تريد أن ترى المستوى الحبيبي الذي يمكن أن يوفره Wireshark ، يقوم Brim على الفور بفتحه لك بالضبط على تلك الحزم.

إذا قمت بالكثير من عمليات التقاط الشبكة وتحليل الحزم ، فإن Brim سيحدث ثورة في سير عملك.

ذات صلة: كيفية استخدام عوامل تصفية Wireshark على نظام Linux

تركيب بريم

يعد Brim جديدًا جدًا ، لذا فهو لم يشق طريقه بعد إلى مستودعات البرامج لتوزيعات Linux. ومع ذلك ، في صفحة تنزيل Brim ، ستجد ملفات حزم DEB و RPM ، لذا فإن تثبيتها على Ubuntu أو Fedora أمر بسيط بما فيه الكفاية.

إذا كنت تستخدم توزيعة أخرى ، فيمكنك تنزيل الكود المصدري من GitHub وإنشاء التطبيق بنفسك.

يستخدم zq أداة سطر الأوامر zq لسجلات Zeek ، لذلك ستحتاج أيضًا إلى تنزيل ملف ZIP يحتوي على ثنائيات zq .

تثبيت بريم على أوبونتو

إذا كنت تستخدم Ubuntu ، فستحتاج إلى تنزيل ملف حزمة DEB وملف zq Linux ZIP. انقر نقرًا مزدوجًا فوق ملف حزمة DEB الذي تم تنزيله ، وسيفتح تطبيق Ubuntu Software. تم إدراج ترخيص Brim عن طريق الخطأ على أنه "ملكية" —يستخدم ترخيص BSD 3-Clause.

انقر فوق "تثبيت".

انقر فوق "تثبيت".

الإعلانات

عند اكتمال التثبيت ، انقر نقرًا مزدوجًا فوق ملف zq ZIP لبدء تشغيل تطبيق Archive Manager. سيحتوي ملف ZIP على دليل واحد ؛ قم بسحبه وإفلاته من "مدير الأرشيف" إلى موقع على جهاز الكمبيوتر ، مثل دليل "التنزيلات".

نكتب ما يلي لإنشاء موقع لثنائيات zq :

 sudo mkdir / opt / zeek 

نحتاج إلى نسخ الثنائيات من الدليل المستخرج إلى الموقع الذي أنشأناه للتو. استبدل مسار واسم الدليل المستخرج على جهازك في الأمر التالي:

 تنزيلات sudo cp / zq-v0.20.0.linux-amd64 / * / opt / Zeek 

نحتاج إلى إضافة هذا الموقع إلى المسار ، لذلك سنقوم بتحرير ملف BASHRC:

 sudo gedit .bashrc 

سيتم فتح محرر gedit. قم بالتمرير إلى أسفل الملف ، ثم اكتب هذا السطر:

 تصدير PATH = $ PATH: / opt / zeek 

ملف BASHRC في محرر gedit مع سطر تصدير PATH = $ PATH: / opt / zeek.

احفظ التغييرات وأغلق المحرر.

تركيب بريم على فيدورا

لتثبيت Brim على Fedora ، قم بتنزيل ملف حزمة RPM (بدلاً من DEB) ، ثم اتبع نفس الخطوات التي غطيناها لتثبيت Ubuntu أعلاه.

الإعلانات

ومن المثير للاهتمام ، أنه عند فتح ملف RPM في Fedora ، يتم تحديده بشكل صحيح على أنه ترخيص مفتوح المصدر ، وليس ترخيصًا خاصًا.

إطلاق بريم

انقر فوق "إظهار التطبيقات" في قفص الاتهام أو اضغط Super + A. اكتب "بريم" في مربع البحث ، ثم انقر فوق "بريم" عند ظهوره.

اكتب "بريم" في مربع البحث.

تطلق بريم وتعرض نافذتها الرئيسية. يمكنك النقر فوق "اختيار الملفات" لفتح متصفح الملفات ، أو سحب ملف PCAP وإفلاته في المنطقة المحاطة بالمستطيل الأحمر.

نافذة بريم الرئيسية بعد بدء التشغيل.

يستخدم Brim شاشة مبوبة ، ويمكنك فتح العديد من علامات التبويب في وقت واحد. لفتح علامة تبويب جديدة ، انقر فوق علامة الجمع (+) في الجزء العلوي ، ثم حدد PCAP آخر.

أساسيات أسنانها

Brim يقوم بتحميل وفهرسة الملف المحدد. الفهرس هو أحد الأسباب التي تجعل Brim سريعًا جدًا. تحتوي النافذة الرئيسية على رسم بياني لوحدات تخزين الحزم بمرور الوقت ، وقائمة "تدفقات" الشبكة.

النافذة الرئيسية Brim مع تحميل ملف PCAP.

يحتوي ملف PCAP على دفق مرتب زمنيًا من حزم الشبكة لعدد كبير من اتصالات الشبكة. حزم البيانات للاتصالات المختلفة متداخلة لأن بعضها سيتم فتحه بشكل متزامن. تتخلل الحزم الخاصة بكل "محادثة" شبكة مع حزم المحادثات الأخرى.

الإعلانات

يعرض Wireshark حزمة تدفق الشبكة حسب الحزمة ، بينما يستخدم Brim مفهومًا يسمى "التدفقات". التدفق هو تبادل كامل للشبكة (أو محادثة) بين جهازين. يتم تصنيف كل نوع من أنواع التدفق ، وترميزها بالألوان ، وتسميتها حسب نوع التدفق. سترى تدفقات بعنوان "dns" و "ssh" و "https" و "ssl" وغيرها الكثير.

إذا قمت بالتمرير في عرض ملخص التدفق إلى اليسار أو اليمين ، فسيتم عرض العديد من الأعمدة. يمكنك أيضًا ضبط الفترة الزمنية لعرض مجموعة فرعية من المعلومات التي تريد رؤيتها. فيما يلي بعض الطرق لعرض البيانات:

  • انقر فوق شريط في الرسم البياني لتكبير نشاط الشبكة بداخله.
  • انقر واسحب لتمييز نطاق من عرض الرسم البياني والتكبير. سيعرض Brim بعد ذلك البيانات من القسم المميز.
  • يمكنك أيضًا تحديد فترات محددة في حقلي "التاريخ" و "الوقت".

يمكن لـ Brim عرض جزئين جانبيين: أحدهما على اليسار والآخر على اليمين. يمكن أن تكون مخفية أو تظل مرئية. يُظهر الجزء الموجود على اليسار محفوظات البحث وقائمة أجهزة الكمبيوتر الشخصية المفتوحة ، المسماة بالمسافات. اضغط على Ctrl + [للتبديل بين تشغيل الجزء الأيمن أو إيقاف تشغيله.

جزء "المسافات" في بريم.

يحتوي الجزء الموجود على اليمين على معلومات مفصلة حول التدفق المميز. اضغط على Ctrl +] للتبديل بين تشغيل الجزء الأيمن أو إيقاف تشغيله.

جزء "الحقول" المميز في بريم.

انقر فوق "اتصال" في قائمة "ارتباط معرف المستخدم" لفتح مخطط اتصال للتدفق المميز.

انقر فوق "اتصال".

في النافذة الرئيسية ، يمكنك أيضًا تمييز التدفق ، ثم النقر فوق رمز Wireshark. يؤدي هذا إلى تشغيل Wireshark مع عرض حزم التدفق المميز.

يفتح Wireshark ، ويعرض الحزم ذات الأهمية.

الحزم المحددة من Brim معروضة في Wireshark.

التصفية في بريم

يتسم البحث والتصفية في Brim بالمرونة والشمول ، ولكن لا يتعين عليك تعلم لغة ترشيح جديدة إذا كنت لا ترغب في ذلك. يمكنك إنشاء عامل تصفية صحيح نحويًا في Brim بالنقر فوق الحقول في نافذة الملخص ، ثم تحديد الخيارات من القائمة.

الإعلانات

على سبيل المثال ، في الصورة أدناه ، قمنا بالنقر بزر الماوس الأيمن فوق حقل "نظام أسماء النطاقات". سنقوم بعد ذلك بتحديد "عامل التصفية = القيمة" من قائمة السياق.

قائمة السياق في نافذة الملخص.

ثم تحدث الأشياء التالية:

  • النص _path = "dns" يضاف إلى شريط البحث.
  • يتم تطبيق هذا المرشح على ملف PCAP ، لذلك سيعرض فقط التدفقات التي هي تدفقات خدمة اسم المجال (DNS).
  • يُضاف نص المرشح أيضًا إلى محفوظات البحث في الجزء الأيمن.

شاشة ملخص تمت تصفيتها بواسطة DNS.

يمكننا إضافة المزيد من البنود لمصطلح البحث باستخدام نفس التقنية. سننقر بزر الماوس الأيمن فوق حقل عنوان IP (الذي يحتوي على "192.168.1.26") في عمود "Id.orig_h" ، ثم حدد "Filter = Value" من قائمة السياق.

يؤدي هذا إلى إضافة الجملة الإضافية باعتبارها جملة AND. تمت تصفية العرض الآن لإظهار تدفقات DNS التي نشأت من عنوان IP هذا (192.168.1.26).

شاشة ملخص تمت تصفيتها حسب نوع التدفق وعنوان IP.

يُضاف مصطلح التصفية الجديد إلى محفوظات البحث في الجزء الأيمن. يمكنك التنقل بين عمليات البحث بالنقر فوق العناصر الموجودة في قائمة محفوظات البحث.

عنوان IP الوجهة لمعظم البيانات التي تمت تصفيتها هو 81.139.56.100. لمعرفة أي تدفقات DNS تم إرسالها إلى عناوين IP مختلفة ، انقر بزر الماوس الأيمن فوق "81.139.56.100" في عمود "Id_resp_h" ، ثم حدد "تصفية! = القيمة" من قائمة السياق.

شاشة الملخص مع مرشح بحث يحتوي على عبارة "! =".

الإعلانات

لم يتم إرسال سوى تدفق DNS واحد نشأ من 192.168.1.26 إلى 81.139.56.100 ، وقمنا بتحديد موقعه دون الحاجة إلى كتابة أي شيء لإنشاء عامل التصفية الخاص بنا.

تثبيت بنود الفلتر

عندما نضغط بزر الماوس الأيمن على تدفق "HTTP" ونحدد "تصفية = القيمة" من قائمة السياق ، سيعرض جزء الملخص تدفقات HTTP فقط. يمكننا بعد ذلك النقر فوق رمز Pin بجوار عبارة مرشح HTTP.

تم الآن تثبيت عبارة HTTP في مكانها ، وسيتم تنفيذ أي عوامل تصفية أو مصطلحات بحث أخرى نستخدمها مع إضافة عبارة HTTP إليها.

إذا قمنا بكتابة "GET" في شريط البحث ، فسيتم تقييد البحث على التدفقات التي تمت تصفيتها بالفعل بواسطة العبارة المثبتة. يمكنك تثبيت العديد من عبارات التصفية حسب الضرورة.

"احصل" في مربع البحث.

للبحث عن حزم POST في تدفقات HTTP ، نقوم ببساطة بمسح شريط البحث ، واكتب POST ، ثم الضغط على Enter.

تم تنفيذ "POST" في مربع البحث باستخدام عبارة "HTTP" المثبتة.

يكشف التمرير الجانبي عن معرف المضيف البعيد.

عمود "المضيف" البعيد في شاشة ملخص Brim.

تتم إضافة جميع مصطلحات البحث والتصفية إلى قائمة "المحفوظات". لإعادة تطبيق أي مرشح ، فقط انقر فوقه.

قائمة "المحفوظات" التي يتم ملؤها تلقائيًا.

الإعلانات

يمكنك أيضًا البحث عن مضيف بعيد بالاسم.

البحث عن "trustwave.com" في بريم.

تحرير مصطلحات البحث

إذا كنت تريد البحث عن شيء ما ، ولكن لا ترى تدفقًا من هذا النوع ، يمكنك النقر فوق أي تدفق وتعديل الإدخال في شريط البحث.

على سبيل المثال ، نعلم أنه يجب أن يكون هناك تدفق SSH واحد على الأقل في ملف PCAP لأننا استخدمنا rsync لإرسال بعض الملفات إلى كمبيوتر آخر ، لكن لا يمكننا رؤيتها.

لذلك ، سننقر بزر الماوس الأيمن على تدفق آخر ، ونختار "Filter = Value" من قائمة السياق ، ثم نعدل شريط البحث ليقول "ssh" بدلاً من "dns".

نضغط على Enter للبحث عن تدفقات SSH والعثور على واحد فقط.

تدفق SSH في نافذة الملخص.

يؤدي الضغط على Ctrl +] إلى فتح الجزء الأيمن الذي يعرض تفاصيل هذا التدفق. إذا تم نقل ملف أثناء التدفق ، فستظهر تجزئات MD5 و SHA1 و SHA256.

الإعلانات

انقر بزر الماوس الأيمن فوق أي منها ، ثم حدد "VirusTotal Lookup" من قائمة السياق لفتح متصفحك على موقع VirusTotal وتمرير التجزئة للتحقق منه.

يخزن VirusTotal تجزئة البرامج الضارة المعروفة والملفات الضارة الأخرى. إذا لم تكن متأكدًا مما إذا كان الملف آمنًا ، فهذه طريقة سهلة للتحقق ، حتى إذا لم يعد بإمكانك الوصول إلى الملف.

خيارات قائمة سياق التجزئة.

إذا كان الملف حميدًا ، فسترى الشاشة الموضحة في الصورة أدناه.

استجابة "لم يتم العثور على تطابقات" من موقع VirusTotal.

التكملة المثالية لـ Wireshark

يجعل Brim العمل مع Wireshark أسرع وأسهل من خلال السماح لك بالعمل مع ملفات التقاط حزم كبيرة جدًا. جربها اليوم!