Ubah Alur Kerja Wireshark Anda dengan Brim di Linux

Diterbitkan: 2022-01-29

Kabel Ethernet berwarna-warni. — pixelnest/Shutterstock

Wireshark adalah standar de facto untuk menganalisis lalu lintas jaringan. Sayangnya, ini menjadi semakin lamban saat pengambilan paket bertambah. Brim memecahkan masalah ini dengan sangat baik, itu akan mengubah alur kerja Wireshark Anda.

Wireshark Hebat, Tapi . . .

Wireshark adalah perangkat lunak sumber terbuka yang luar biasa. Ini digunakan oleh amatir dan profesional di seluruh dunia untuk menyelidiki masalah jaringan. Ini menangkap paket data yang berjalan melalui kabel atau melalui eter jaringan Anda. Setelah Anda menangkap lalu lintas Anda, Wireshark memungkinkan Anda untuk memfilter dan menelusuri data, melacak percakapan antar perangkat jaringan, dan banyak lagi.

Sehebat Wireshark, ia memiliki satu masalah. File pengambilan data jaringan (disebut jejak jaringan atau tangkapan paket), bisa menjadi sangat besar, sangat cepat. Ini terutama benar jika masalah yang Anda coba selidiki rumit atau sporadis, atau jaringannya besar dan sibuk.

Semakin besar tangkapan paket (atau PCAP), semakin lambat Wireshark. Hanya membuka dan memuat jejak yang sangat besar (apa pun lebih dari 1 GB) bisa memakan waktu lama, Anda akan berpikir Wireshark telah jatuh dan menyerah.

Bekerja dengan file sebesar itu benar-benar menyebalkan. Setiap kali Anda melakukan pencarian atau mengubah filter, Anda harus menunggu efek diterapkan ke data dan diperbarui di layar. Setiap penundaan mengganggu konsentrasi Anda, yang dapat menghambat kemajuan Anda.

Brim adalah obat untuk kesengsaraan ini. Ini bertindak sebagai preprocessor interaktif dan front-end untuk Wireshark. Saat Anda ingin melihat tingkat granular yang dapat disediakan Wireshark, Brim langsung membukanya untuk Anda persis pada paket tersebut.

Jika Anda melakukan banyak pengambilan jaringan dan analisis paket, Brim akan merevolusi alur kerja Anda.

TERKAIT: Cara Menggunakan Filter Wireshark di Linux

Memasang Brim

Brim sangat baru, sehingga belum masuk ke repositori perangkat lunak distribusi Linux. Namun, pada halaman unduhan Brim, Anda akan menemukan file paket DEB dan RPM, jadi menginstalnya di Ubuntu atau Fedora cukup sederhana.

Jika Anda menggunakan distribusi lain, Anda dapat mengunduh kode sumber dari GitHub dan membuat aplikasi sendiri.

Brim menggunakan zq , alat baris perintah untuk log Zeek, jadi Anda juga perlu mengunduh file ZIP yang berisi binari zq .

Menginstal Brim di Ubuntu

Jika Anda menggunakan Ubuntu, Anda harus mengunduh file paket DEB dan file ZIP zq Linux. Klik dua kali file paket DEB yang diunduh, dan aplikasi Perangkat Lunak Ubuntu akan terbuka. Lisensi Brim secara keliru terdaftar sebagai "Kepemilikan"—menggunakan Lisensi 3-Klausul BSD.

Klik "Instal."

Ketika instalasi selesai, klik dua kali file ZIP zq untuk meluncurkan aplikasi Pengelola Arsip. File ZIP akan berisi satu direktori; seret dan lepas dari "Pengelola Arsip" ke lokasi di komputer Anda, seperti direktori "Unduhan".

Kami mengetik yang berikut ini untuk membuat lokasi untuk binari zq :

 sudo mkdir /opt/zeek

Kita perlu menyalin binari dari direktori yang diekstrak ke lokasi yang baru saja kita buat. Ganti jalur dan nama direktori yang diekstraksi pada mesin Anda dengan perintah berikut:

 sudo cp Unduhan/zq-v0.20.0.linux-amd64/* /opt/Zeek

Kita perlu menambahkan lokasi itu ke path, jadi kita akan mengedit file BASHRC:

 sudo gedit .bashrc

Editor gedit akan terbuka. Gulir ke bagian bawah file, lalu ketik baris ini:

 ekspor PATH=$PATH:/opt/zeek

File BASHRC di editor gedit dengan baris export PATH=$PATH:/opt/zeek.

Simpan perubahan Anda dan tutup editor.

Memasang Brim di Fedora

Untuk menginstal Brim di Fedora, unduh file paket RPM (bukan DEB), lalu ikuti langkah yang sama yang kami bahas untuk instalasi Ubuntu di atas.

Menariknya, ketika file RPM dibuka di Fedora, itu diidentifikasi dengan benar sebagai memiliki lisensi sumber terbuka, bukan milik.

Meluncurkan Brim

Klik "Tampilkan Aplikasi" di dok atau tekan Super+A. Ketik "brim" di kotak Pencarian, lalu klik "Brim" saat muncul.

Ketik "brim" di kotak Pencarian.

Brim meluncurkan dan menampilkan jendela utamanya. Anda dapat mengklik "Pilih File" untuk membuka browser file, atau drag dan drop file PCAP di area yang dikelilingi oleh persegi panjang merah.

Jendela utama Brim setelah startup.

Brim menggunakan tampilan tab, dan Anda dapat membuka banyak tab secara bersamaan. Untuk membuka tab baru, klik tanda plus (+) di bagian atas, lalu pilih PCAP lain.

Dasar-dasar Penuh

Penuh memuat dan mengindeks file yang dipilih. Indeks adalah salah satu alasan Brim begitu cepat. Jendela utama berisi histogram volume paket dari waktu ke waktu, dan daftar "aliran" jaringan.

Jendela utama Brim dengan file PCAP dimuat.

File PCAP menyimpan aliran paket jaringan yang diatur waktu untuk banyak koneksi jaringan. Paket data untuk berbagai koneksi bercampur karena beberapa di antaranya akan dibuka secara bersamaan. Paket untuk setiap "percakapan" jaringan diselingi dengan paket percakapan lainnya.

Wireshark menampilkan paket aliran jaringan per paket, sementara Brim menggunakan konsep yang disebut "aliran." Aliran adalah pertukaran jaringan lengkap (atau percakapan) antara dua perangkat. Setiap jenis aliran dikategorikan, diberi kode warna, dan diberi label berdasarkan jenis aliran. Anda akan melihat alur berlabel "dns", "ssh", "https", "ssl", dan banyak lagi.

Jika Anda menggulir tampilan ringkasan alur ke kiri atau ke kanan, lebih banyak kolom akan ditampilkan. Anda juga dapat menyesuaikan periode waktu untuk menampilkan subset informasi yang ingin Anda lihat. Berikut adalah beberapa cara Anda dapat melihat data:

Klik bilah di histogram untuk memperbesar aktivitas jaringan di dalamnya.
Klik dan seret untuk menyorot rentang tampilan histogram dan memperbesar. Brim kemudian akan menampilkan data dari bagian yang disorot.
Anda juga dapat menentukan periode yang tepat di bidang "Tanggal" dan "Waktu".

Brim dapat menampilkan dua panel samping: satu di kiri, dan satu di kanan. Ini dapat disembunyikan atau tetap terlihat. Panel di sebelah kiri menunjukkan riwayat pencarian dan daftar PCAP terbuka, yang disebut spasi. Tekan Ctrl+[ untuk mengaktifkan atau menonaktifkan panel kiri.

Panel "Spasi" di Brim.

Panel di sebelah kanan berisi informasi mendetail tentang alur yang disorot. Tekan Ctrl+] untuk mengaktifkan atau menonaktifkan panel kanan.

Panel "Fields" yang disorot di Brim.

Klik "Sambungan" di daftar "Korelasi UID" untuk membuka diagram koneksi untuk aliran yang disorot.

Klik "Sambungan".

Di jendela utama, Anda juga dapat menyorot aliran, lalu klik ikon Wireshark. Ini meluncurkan Wireshark dengan paket untuk aliran yang disorot ditampilkan.

Wireshark terbuka, menampilkan paket yang menarik.

Paket yang dipilih dari Brim ditampilkan di Wireshark.

Memfilter di Brim

Pencarian dan pemfilteran di Brim fleksibel dan komprehensif, tetapi Anda tidak perlu mempelajari bahasa pemfilteran baru jika tidak mau. Anda dapat membuat filter yang benar secara sintaksis di Brim dengan mengklik bidang di jendela ringkasan, lalu memilih opsi dari menu.

Misalnya, pada gambar di bawah, kami mengklik kanan bidang "dns". Kami kemudian akan memilih "Filter = Nilai" dari menu konteks.

Menu konteks di jendela ringkasan.

Hal-hal berikut kemudian terjadi:

Teks _path = "dns" ditambahkan ke bilah pencarian.
Filter tersebut diterapkan ke file PCAP, sehingga hanya akan menampilkan aliran yang merupakan aliran Domain Name Service (DNS).
Teks filter juga ditambahkan ke riwayat pencarian di panel kiri.

Layar ringkasan yang difilter oleh DNS.

Kami dapat menambahkan klausa lebih lanjut ke istilah pencarian menggunakan teknik yang sama. Kami akan klik kanan bidang alamat IP (berisi "192.168.1.26") di kolom "Id.orig_h", dan kemudian pilih "Filter = Nilai" dari menu konteks.

Ini menambahkan klausa tambahan sebagai klausa AND. Tampilan sekarang difilter untuk menunjukkan aliran DNS yang berasal dari alamat IP tersebut (192.168.1.26).

Layar ringkasan yang difilter menurut jenis aliran dan alamat IP.

Istilah filter baru ditambahkan ke riwayat pencarian di panel kiri. Anda dapat melompat di antara pencarian dengan mengklik item dalam daftar riwayat pencarian.

Alamat IP tujuan untuk sebagian besar data terfilter kami adalah 81.139.56.100. Untuk melihat aliran DNS mana yang dikirim ke alamat IP yang berbeda, kita klik kanan “81.139.56.100” di kolom “Id_resp_h”, lalu pilih “Filter != Nilai” dari menu konteks.

Layar ringkasan dengan filter pencarian yang berisi klausa "!=".

Hanya satu aliran DNS yang berasal dari 192.168.1.26 yang tidak dikirim ke 81.139.56.100, dan kami telah menemukannya tanpa harus mengetik apa pun untuk membuat filter.

Menyematkan Klausul Filter

Saat kita mengklik kanan aliran “HTTP” dan memilih “Filter = Nilai” dari menu konteks, panel ringkasan hanya akan menampilkan aliran HTTP. Kami kemudian dapat mengklik ikon Pin di sebelah klausa filter HTTP.

Klausa HTTP sekarang disematkan di tempatnya, dan filter atau istilah pencarian lain yang kami gunakan akan dieksekusi dengan klausa HTTP yang ditambahkan sebelumnya.

Jika kita mengetik "GET" di bilah pencarian, pencarian akan dibatasi untuk aliran yang telah difilter oleh klausa yang disematkan. Anda dapat menyematkan klausa filter sebanyak yang diperlukan.

"DAPATKAN" di kotak Pencarian.

Untuk mencari paket POST dalam aliran HTTP, kami cukup mengosongkan bilah pencarian, ketik “POST”, lalu tekan Enter.

"POST" di kotak Pencarian yang dieksekusi dengan klausa "HTTP" yang disematkan.

Menggulir ke samping mengungkapkan ID host jarak jauh.

Kolom "Host" jarak jauh di layar ringkasan Brim.

Semua istilah pencarian dan filter ditambahkan ke daftar "Riwayat". Untuk menerapkan kembali filter apa pun, cukup klik filter tersebut.

Daftar "Riwayat" yang terisi otomatis.

Anda juga dapat mencari host jarak jauh berdasarkan nama.

Mencari "trustwave.com" di Brim.

Mengedit Istilah Pencarian

Jika Anda ingin mencari sesuatu, tetapi tidak melihat aliran jenis itu, Anda dapat mengklik aliran apa saja dan mengedit entri di bilah pencarian.

Misalnya, kita tahu setidaknya harus ada satu aliran SSH dalam file PCAP karena kita menggunakan rsync untuk mengirim beberapa file ke komputer lain, tetapi kita tidak dapat melihatnya.

Jadi, kita akan klik kanan aliran lain, pilih "Filter = Nilai" dari menu konteks, lalu edit bilah pencarian untuk mengatakan "ssh" bukan "dns."

Kami menekan Enter untuk mencari aliran SSH dan menemukan hanya ada satu.

Aliran SSH di jendela ringkasan.

Menekan Ctrl+] membuka panel kanan, yang menunjukkan detail untuk aliran ini. Jika file ditransfer selama aliran, hash MD5, SHA1, dan SHA256 akan muncul.

Klik kanan salah satu dari ini, lalu pilih "VirusTotal Lookup" dari menu konteks untuk membuka browser Anda di situs web VirusTotal dan berikan hash untuk diperiksa.

VirusTotal menyimpan hash malware yang diketahui dan file berbahaya lainnya. Jika Anda tidak yakin apakah suatu file aman, ini adalah cara mudah untuk memeriksanya, bahkan jika Anda tidak lagi memiliki akses ke file tersebut.

Opsi menu konteks hash.

Jika file tersebut jinak, Anda akan melihat layar yang ditunjukkan pada gambar di bawah ini.

Tanggapan "Tidak Ada Kecocokan Ditemukan" dari situs VirusTotal.

Pelengkap Sempurna untuk Wireshark

Brim membuat bekerja dengan Wireshark lebih cepat dan lebih mudah dengan memungkinkan Anda bekerja dengan file pengambilan paket yang sangat besar. Berikan uji coba hari ini!