قم بتحويل مسار عمل Wireshark الخاص بك باستخدام Brim على نظام Linux
نشرت: 2022-01-29Wireshark هو المعيار الفعلي لتحليل حركة مرور الشبكة. لسوء الحظ ، يصبح بطيئًا بشكل متزايد مع نمو التقاط الحزم. يحل Brim هذه المشكلة جيدًا ، وسوف يغير سير عمل Wireshark الخاص بك.
Wireshark عظيم ، لكن. . .
Wireshark هو برنامج رائع مفتوح المصدر. يتم استخدامه من قبل الهواة والمحترفين على حد سواء في جميع أنحاء العالم للتحقيق في مشكلات الشبكات. إنه يلتقط حزم البيانات التي تنتقل عبر الأسلاك أو عبر الأثير في شبكتك. بمجرد التقاط حركة المرور الخاصة بك ، يتيح لك Wireshark تصفية البيانات والبحث فيها ، وتتبع المحادثات بين أجهزة الشبكة ، وغير ذلك الكثير.
على الرغم من أن Wireshark رائعة ، إلا أنها تحتوي على مشكلة واحدة. يمكن أن تصبح ملفات التقاط بيانات الشبكة (تسمى تتبع الشبكة أو التقاط الحزمة) كبيرة جدًا وبسرعة كبيرة. هذا صحيح بشكل خاص إذا كانت المشكلة التي تحاول التحقيق فيها معقدة أو متقطعة ، أو إذا كانت الشبكة كبيرة ومشغولة.
كلما زاد التقاط الحزمة (أو PCAP) ، أصبح Wireshark أكثر تأخرًا. مجرد فتح وتحميل أثر كبير جدًا (أي شيء يزيد عن 1 غيغابايت) يمكن أن يستغرق وقتًا طويلاً ، قد تعتقد أن Wireshark قد انقلبت وتخلت عن الشبح.
العمل مع ملفات بهذا الحجم هو ألم حقيقي. في كل مرة تقوم فيها بإجراء بحث أو تغيير عامل تصفية ، عليك الانتظار حتى يتم تطبيق التأثيرات على البيانات وتحديثها على الشاشة. كل تأخير يعطل تركيزك ، مما قد يعيق تقدمك.
بريم هو العلاج لهذه المشاكل. يعمل بمثابة معالج مسبق تفاعلي وواجهة أمامية لـ Wireshark. عندما تريد أن ترى المستوى الحبيبي الذي يمكن أن يوفره Wireshark ، يقوم Brim على الفور بفتحه لك بالضبط على تلك الحزم.
إذا قمت بالكثير من عمليات التقاط الشبكة وتحليل الحزم ، فإن Brim سيحدث ثورة في سير عملك.
ذات صلة: كيفية استخدام عوامل تصفية Wireshark على نظام Linux
تركيب بريم
يعد Brim جديدًا جدًا ، لذا فهو لم يشق طريقه بعد إلى مستودعات البرامج لتوزيعات Linux. ومع ذلك ، في صفحة تنزيل Brim ، ستجد ملفات حزم DEB و RPM ، لذا فإن تثبيتها على Ubuntu أو Fedora أمر بسيط بما فيه الكفاية.
إذا كنت تستخدم توزيعة أخرى ، فيمكنك تنزيل الكود المصدري من GitHub وإنشاء التطبيق بنفسك.
يستخدم zq
أداة سطر الأوامر zq لسجلات Zeek ، لذلك ستحتاج أيضًا إلى تنزيل ملف ZIP يحتوي على ثنائيات zq
.
تثبيت بريم على أوبونتو
إذا كنت تستخدم Ubuntu ، فستحتاج إلى تنزيل ملف حزمة DEB وملف zq
Linux ZIP. انقر نقرًا مزدوجًا فوق ملف حزمة DEB الذي تم تنزيله ، وسيفتح تطبيق Ubuntu Software. تم إدراج ترخيص Brim عن طريق الخطأ على أنه "ملكية" —يستخدم ترخيص BSD 3-Clause.
انقر فوق "تثبيت".
عند اكتمال التثبيت ، انقر نقرًا مزدوجًا فوق ملف zq
ZIP لبدء تشغيل تطبيق Archive Manager. سيحتوي ملف ZIP على دليل واحد ؛ قم بسحبه وإفلاته من "مدير الأرشيف" إلى موقع على جهاز الكمبيوتر ، مثل دليل "التنزيلات".
نكتب ما يلي لإنشاء موقع لثنائيات zq
:
sudo mkdir / opt / zeek
نحتاج إلى نسخ الثنائيات من الدليل المستخرج إلى الموقع الذي أنشأناه للتو. استبدل مسار واسم الدليل المستخرج على جهازك في الأمر التالي:
تنزيلات sudo cp / zq-v0.20.0.linux-amd64 / * / opt / Zeek
نحتاج إلى إضافة هذا الموقع إلى المسار ، لذلك سنقوم بتحرير ملف BASHRC:
sudo gedit .bashrc
سيتم فتح محرر gedit. قم بالتمرير إلى أسفل الملف ، ثم اكتب هذا السطر:
تصدير PATH = $ PATH: / opt / zeek
احفظ التغييرات وأغلق المحرر.
تركيب بريم على فيدورا
لتثبيت Brim على Fedora ، قم بتنزيل ملف حزمة RPM (بدلاً من DEB) ، ثم اتبع نفس الخطوات التي غطيناها لتثبيت Ubuntu أعلاه.
ومن المثير للاهتمام ، أنه عند فتح ملف RPM في Fedora ، يتم تحديده بشكل صحيح على أنه ترخيص مفتوح المصدر ، وليس ترخيصًا خاصًا.
إطلاق بريم
انقر فوق "إظهار التطبيقات" في قفص الاتهام أو اضغط Super + A. اكتب "بريم" في مربع البحث ، ثم انقر فوق "بريم" عند ظهوره.
تطلق بريم وتعرض نافذتها الرئيسية. يمكنك النقر فوق "اختيار الملفات" لفتح متصفح الملفات ، أو سحب ملف PCAP وإفلاته في المنطقة المحاطة بالمستطيل الأحمر.
يستخدم Brim شاشة مبوبة ، ويمكنك فتح العديد من علامات التبويب في وقت واحد. لفتح علامة تبويب جديدة ، انقر فوق علامة الجمع (+) في الجزء العلوي ، ثم حدد PCAP آخر.
أساسيات أسنانها
Brim يقوم بتحميل وفهرسة الملف المحدد. الفهرس هو أحد الأسباب التي تجعل Brim سريعًا جدًا. تحتوي النافذة الرئيسية على رسم بياني لوحدات تخزين الحزم بمرور الوقت ، وقائمة "تدفقات" الشبكة.
يحتوي ملف PCAP على دفق مرتب زمنيًا من حزم الشبكة لعدد كبير من اتصالات الشبكة. حزم البيانات للاتصالات المختلفة متداخلة لأن بعضها سيتم فتحه بشكل متزامن. تتخلل الحزم الخاصة بكل "محادثة" شبكة مع حزم المحادثات الأخرى.
يعرض Wireshark حزمة تدفق الشبكة حسب الحزمة ، بينما يستخدم Brim مفهومًا يسمى "التدفقات". التدفق هو تبادل كامل للشبكة (أو محادثة) بين جهازين. يتم تصنيف كل نوع من أنواع التدفق ، وترميزها بالألوان ، وتسميتها حسب نوع التدفق. سترى تدفقات بعنوان "dns" و "ssh" و "https" و "ssl" وغيرها الكثير.
إذا قمت بالتمرير في عرض ملخص التدفق إلى اليسار أو اليمين ، فسيتم عرض العديد من الأعمدة. يمكنك أيضًا ضبط الفترة الزمنية لعرض مجموعة فرعية من المعلومات التي تريد رؤيتها. فيما يلي بعض الطرق لعرض البيانات:
- انقر فوق شريط في الرسم البياني لتكبير نشاط الشبكة بداخله.
- انقر واسحب لتمييز نطاق من عرض الرسم البياني والتكبير. سيعرض Brim بعد ذلك البيانات من القسم المميز.
- يمكنك أيضًا تحديد فترات محددة في حقلي "التاريخ" و "الوقت".
يمكن لـ Brim عرض جزئين جانبيين: أحدهما على اليسار والآخر على اليمين. يمكن أن تكون مخفية أو تظل مرئية. يُظهر الجزء الموجود على اليسار محفوظات البحث وقائمة أجهزة الكمبيوتر الشخصية المفتوحة ، المسماة بالمسافات. اضغط على Ctrl + [للتبديل بين تشغيل الجزء الأيمن أو إيقاف تشغيله.
يحتوي الجزء الموجود على اليمين على معلومات مفصلة حول التدفق المميز. اضغط على Ctrl +] للتبديل بين تشغيل الجزء الأيمن أو إيقاف تشغيله.
انقر فوق "اتصال" في قائمة "ارتباط معرف المستخدم" لفتح مخطط اتصال للتدفق المميز.
في النافذة الرئيسية ، يمكنك أيضًا تمييز التدفق ، ثم النقر فوق رمز Wireshark. يؤدي هذا إلى تشغيل Wireshark مع عرض حزم التدفق المميز.
يفتح Wireshark ، ويعرض الحزم ذات الأهمية.
التصفية في بريم
يتسم البحث والتصفية في Brim بالمرونة والشمول ، ولكن لا يتعين عليك تعلم لغة ترشيح جديدة إذا كنت لا ترغب في ذلك. يمكنك إنشاء عامل تصفية صحيح نحويًا في Brim بالنقر فوق الحقول في نافذة الملخص ، ثم تحديد الخيارات من القائمة.
على سبيل المثال ، في الصورة أدناه ، قمنا بالنقر بزر الماوس الأيمن فوق حقل "نظام أسماء النطاقات". سنقوم بعد ذلك بتحديد "عامل التصفية = القيمة" من قائمة السياق.
ثم تحدث الأشياء التالية:
- النص
_path = "dns"
يضاف إلى شريط البحث. - يتم تطبيق هذا المرشح على ملف PCAP ، لذلك سيعرض فقط التدفقات التي هي تدفقات خدمة اسم المجال (DNS).
- يُضاف نص المرشح أيضًا إلى محفوظات البحث في الجزء الأيمن.
يمكننا إضافة المزيد من البنود لمصطلح البحث باستخدام نفس التقنية. سننقر بزر الماوس الأيمن فوق حقل عنوان IP (الذي يحتوي على "192.168.1.26") في عمود "Id.orig_h" ، ثم حدد "Filter = Value" من قائمة السياق.
يؤدي هذا إلى إضافة الجملة الإضافية باعتبارها جملة AND. تمت تصفية العرض الآن لإظهار تدفقات DNS التي نشأت من عنوان IP هذا (192.168.1.26).
يُضاف مصطلح التصفية الجديد إلى محفوظات البحث في الجزء الأيمن. يمكنك التنقل بين عمليات البحث بالنقر فوق العناصر الموجودة في قائمة محفوظات البحث.
عنوان IP الوجهة لمعظم البيانات التي تمت تصفيتها هو 81.139.56.100. لمعرفة أي تدفقات DNS تم إرسالها إلى عناوين IP مختلفة ، انقر بزر الماوس الأيمن فوق "81.139.56.100" في عمود "Id_resp_h" ، ثم حدد "تصفية! = القيمة" من قائمة السياق.
لم يتم إرسال سوى تدفق DNS واحد نشأ من 192.168.1.26 إلى 81.139.56.100 ، وقمنا بتحديد موقعه دون الحاجة إلى كتابة أي شيء لإنشاء عامل التصفية الخاص بنا.
تثبيت بنود الفلتر
عندما نضغط بزر الماوس الأيمن على تدفق "HTTP" ونحدد "تصفية = القيمة" من قائمة السياق ، سيعرض جزء الملخص تدفقات HTTP فقط. يمكننا بعد ذلك النقر فوق رمز Pin بجوار عبارة مرشح HTTP.
تم الآن تثبيت عبارة HTTP في مكانها ، وسيتم تنفيذ أي عوامل تصفية أو مصطلحات بحث أخرى نستخدمها مع إضافة عبارة HTTP إليها.
إذا قمنا بكتابة "GET" في شريط البحث ، فسيتم تقييد البحث على التدفقات التي تمت تصفيتها بالفعل بواسطة العبارة المثبتة. يمكنك تثبيت العديد من عبارات التصفية حسب الضرورة.
للبحث عن حزم POST في تدفقات HTTP ، نقوم ببساطة بمسح شريط البحث ، واكتب POST ، ثم الضغط على Enter.
يكشف التمرير الجانبي عن معرف المضيف البعيد.
تتم إضافة جميع مصطلحات البحث والتصفية إلى قائمة "المحفوظات". لإعادة تطبيق أي مرشح ، فقط انقر فوقه.
يمكنك أيضًا البحث عن مضيف بعيد بالاسم.
تحرير مصطلحات البحث
إذا كنت تريد البحث عن شيء ما ، ولكن لا ترى تدفقًا من هذا النوع ، يمكنك النقر فوق أي تدفق وتعديل الإدخال في شريط البحث.
على سبيل المثال ، نعلم أنه يجب أن يكون هناك تدفق SSH واحد على الأقل في ملف PCAP لأننا استخدمنا rsync
لإرسال بعض الملفات إلى كمبيوتر آخر ، لكن لا يمكننا رؤيتها.
لذلك ، سننقر بزر الماوس الأيمن على تدفق آخر ، ونختار "Filter = Value" من قائمة السياق ، ثم نعدل شريط البحث ليقول "ssh" بدلاً من "dns".
نضغط على Enter للبحث عن تدفقات SSH والعثور على واحد فقط.
يؤدي الضغط على Ctrl +] إلى فتح الجزء الأيمن الذي يعرض تفاصيل هذا التدفق. إذا تم نقل ملف أثناء التدفق ، فستظهر تجزئات MD5 و SHA1 و SHA256.
انقر بزر الماوس الأيمن فوق أي منها ، ثم حدد "VirusTotal Lookup" من قائمة السياق لفتح متصفحك على موقع VirusTotal وتمرير التجزئة للتحقق منه.
يخزن VirusTotal تجزئة البرامج الضارة المعروفة والملفات الضارة الأخرى. إذا لم تكن متأكدًا مما إذا كان الملف آمنًا ، فهذه طريقة سهلة للتحقق ، حتى إذا لم يعد بإمكانك الوصول إلى الملف.
إذا كان الملف حميدًا ، فسترى الشاشة الموضحة في الصورة أدناه.
التكملة المثالية لـ Wireshark
يجعل Brim العمل مع Wireshark أسرع وأسهل من خلال السماح لك بالعمل مع ملفات التقاط حزم كبيرة جدًا. جربها اليوم!