Trasforma il tuo flusso di lavoro Wireshark con Brim su Linux

Wireshark è lo standard de facto per l'analisi del traffico di rete. Sfortunatamente, diventa sempre più lento con l'aumentare dell'acquisizione dei pacchetti. Brim risolve questo problema così bene che cambierà il tuo flusso di lavoro Wireshark.

Wireshark è fantastico, ma . . .

Wireshark è un meraviglioso pezzo di software open source. È utilizzato da dilettanti e professionisti in tutto il mondo per indagare sui problemi di rete. Cattura i pacchetti di dati che viaggiano lungo i cavi o attraverso l'etere della rete. Una volta catturato il traffico, Wireshark ti consente di filtrare e cercare i dati, tracciare le conversazioni tra dispositivi di rete e molto altro.

Per quanto eccezionale sia Wireshark, tuttavia, ha un problema. I file di acquisizione dati di rete (chiamati tracce di rete o acquisizioni di pacchetti) possono diventare molto grandi, molto rapidamente. Ciò è particolarmente vero se il problema che stai cercando di indagare è complesso o sporadico o se la rete è grande e occupata.

Più grande è l'acquisizione del pacchetto (o PCAP), più Wireshark diventa lento. Solo l'apertura e il caricamento di una traccia molto grande (qualsiasi cosa superiore a 1 GB) può richiedere così tanto tempo che penseresti che Wireshark si sia ritirato e abbia rinunciato al fantasma.

Lavorare con file di quelle dimensioni è una vera seccatura. Ogni volta che esegui una ricerca o modifichi un filtro, devi attendere che gli effetti vengano applicati ai dati e aggiornati sullo schermo. Ogni ritardo interrompe la tua concentrazione, il che può ostacolare i tuoi progressi.

Brim è il rimedio a questi guai. Funge da preprocessore interattivo e front-end per Wireshark. Quando vuoi vedere il livello granulare che Wireshark può fornire, Brim lo apre istantaneamente per te esattamente su quei pacchetti.

Se esegui molte acquisizioni di rete e analisi dei pacchetti, Brim rivoluzionerà il tuo flusso di lavoro.

CORRELATI: Come utilizzare i filtri Wireshark su Linux

Installazione di Brim

Brim è molto nuovo, quindi non è ancora entrato nei repository software delle distribuzioni Linux. Tuttavia, nella pagina di download di Brim, troverai i file del pacchetto DEB e RPM, quindi installarlo su Ubuntu o Fedora è abbastanza semplice.

Se utilizzi un'altra distribuzione, puoi scaricare il codice sorgente da GitHub e creare tu stesso l'applicazione.

Brim utilizza zq , uno strumento da riga di comando per i registri Zeek, quindi dovrai anche scaricare un file ZIP contenente i binari zq .

Installazione di Brim su Ubuntu

Se stai usando Ubuntu, dovrai scaricare il file del pacchetto DEB e il file ZIP di zq Linux. Fare doppio clic sul file del pacchetto DEB scaricato e si aprirà l'applicazione software Ubuntu. La licenza Brim è erroneamente indicata come "Proprietà": utilizza la licenza BSD 3-Clause.

Fai clic su "Installa".

Al termine dell'installazione, fare doppio clic sul file ZIP zq per avviare l'applicazione Archive Manager. Il file ZIP conterrà una singola directory; trascinalo e rilascialo da "Gestione archivi" in una posizione sul tuo computer, come la directory "Download".

Digitiamo quanto segue per creare una posizione per i binari zq :

 sudo mkdir /opt/zeek 

Abbiamo bisogno di copiare i binari dalla directory estratta nella posizione che abbiamo appena creato. Sostituisci il percorso e il nome della directory estratta sulla tua macchina con il seguente comando:

 sudo cp Download/zq-v0.20.0.linux-amd64/* /opt/Zeek 

Dobbiamo aggiungere quella posizione al percorso, quindi modificheremo il file BASHRC:

 sudo gedit .bashrc 

Si aprirà l'editor di gedit. Scorri fino alla fine del file, quindi digita questa riga:

 export PATH=$PATH:/opt/zeek 

Salva le modifiche e chiudi l'editor.

Installazione di Brim su Fedora

Per installare Brim su Fedora, scarica il file del pacchetto RPM (invece del DEB), quindi segui gli stessi passaggi che abbiamo trattato per l'installazione di Ubuntu sopra.

È interessante notare che quando il file RPM si apre in Fedora, viene correttamente identificato come dotato di una licenza open source, piuttosto che proprietaria.

Brim di lancio

Fai clic su "Mostra applicazioni" nel dock o premi Super+A. Digita "brim" nella casella di ricerca, quindi fai clic su "Brim" quando viene visualizzato.

Brim si avvia e visualizza la sua finestra principale. Puoi fare clic su "Scegli file" per aprire un browser di file o trascinare e rilasciare un file PCAP nell'area circondata dal rettangolo rosso.

Brim utilizza un display a schede e puoi avere più schede aperte contemporaneamente. Per aprire una nuova scheda, fai clic sul segno più (+) in alto, quindi seleziona un altro PCAP.

Nozioni di base sul bordo

Brim carica e indicizza il file selezionato. L'indice è uno dei motivi per cui Brim è così veloce. La finestra principale contiene un istogramma dei volumi di pacchetti nel tempo e un elenco di "flussi" di rete.

Un file PCAP contiene un flusso ordinato di pacchetti di rete per un gran numero di connessioni di rete. I pacchetti di dati per le varie connessioni sono mescolati perché alcuni di essi saranno stati aperti contemporaneamente. I pacchetti per ogni “conversazione” di rete sono inframmezzati con i pacchetti di altre conversazioni.

Wireshark mostra il flusso di rete pacchetto per pacchetto, mentre Brim utilizza un concetto chiamato "flussi". Un flusso è un completo scambio di rete (o conversazione) tra due dispositivi. Ciascun tipo di flusso è classificato, codificato a colori ed etichettato in base al tipo di flusso. Vedrai flussi etichettati "dns", "ssh", "https", "ssl" e molti altri.

Se scorri la visualizzazione del riepilogo del flusso verso sinistra o verso destra, verranno visualizzate molte più colonne. Puoi anche regolare il periodo di tempo per visualizzare il sottoinsieme di informazioni che desideri visualizzare. Di seguito sono riportati alcuni modi per visualizzare i dati:

• Fare clic su una barra nell'istogramma per ingrandire l'attività di rete al suo interno.
• Fare clic e trascinare per evidenziare un intervallo di visualizzazione dell'istogramma e ingrandire. Brim visualizzerà quindi i dati dalla sezione evidenziata.
• Puoi anche specificare periodi esatti nei campi "Data" e "Ora".

Brim può visualizzare due riquadri laterali: uno a sinistra e uno a destra. Questi possono essere nascosti o rimanere visibili. Il riquadro a sinistra mostra una cronologia delle ricerche e un elenco di PCAP aperti, chiamati spazi. Premi Ctrl+[ per attivare o disattivare il riquadro sinistro.

Il riquadro a destra contiene informazioni dettagliate sul flusso evidenziato. Premere Ctrl+] per attivare o disattivare il riquadro di destra.

Fare clic su "Conn" nell'elenco "Correlazione UID" per aprire uno schema di connessione per il flusso evidenziato.

Nella finestra principale, puoi anche evidenziare un flusso, quindi fare clic sull'icona Wireshark. Questo avvia Wireshark con i pacchetti per il flusso evidenziato visualizzati.

Wireshark si apre, visualizzando i pacchetti di interesse.

Filtraggio in Brim

La ricerca e il filtraggio in Brim sono flessibili e completi, ma non devi imparare un nuovo linguaggio di filtraggio se non lo desideri. Puoi creare un filtro sintatticamente corretto in Brim facendo clic sui campi nella finestra di riepilogo e quindi selezionando le opzioni da un menu.

Ad esempio, nell'immagine seguente, abbiamo fatto clic con il pulsante destro del mouse su un campo "dns". Quindi selezioniamo "Filtro = Valore" dal menu di scelta rapida.

Quindi si verificano le seguenti cose:

• Il testo _path = "dns" viene aggiunto alla barra di ricerca.
• Tale filtro viene applicato al file PCAP, quindi visualizzerà solo i flussi DNS (Domain Name Service).
• Il testo del filtro viene aggiunto anche alla cronologia delle ricerche nel riquadro di sinistra.

Possiamo aggiungere ulteriori clausole al termine di ricerca utilizzando la stessa tecnica. Faremo clic con il pulsante destro del mouse sul campo dell'indirizzo IP (contenente "192.168.1.26") nella colonna "Id.orig_h", quindi selezionare "Filtro = Valore" dal menu di scelta rapida.

Ciò aggiunge la clausola aggiuntiva come clausola AND. Il display è ora filtrato per mostrare i flussi DNS originati da quell'indirizzo IP (192.168.1.26).

Il nuovo termine del filtro viene aggiunto alla cronologia delle ricerche nel riquadro di sinistra. Puoi passare da una ricerca all'altra facendo clic sugli elementi nell'elenco della cronologia delle ricerche.

L'indirizzo IP di destinazione per la maggior parte dei nostri dati filtrati è 81.139.56.100. Per vedere quali flussi DNS sono stati inviati a diversi indirizzi IP, facciamo clic con il pulsante destro del mouse su "81.139.56.100" nella colonna "Id_resp_h", quindi selezioniamo "Filtra != Valore" dal menu contestuale.

Solo un flusso DNS originato da 192.168.1.26 non è stato inviato a 81.139.56.100 e lo abbiamo individuato senza dover digitare nulla per creare il nostro filtro.

Bloccare le clausole di filtro

Quando facciamo clic con il pulsante destro del mouse su un flusso "HTTP" e selezioniamo "Filtro = Valore" dal menu di scelta rapida, il riquadro di riepilogo visualizzerà solo i flussi HTTP. Possiamo quindi fare clic sull'icona Pin accanto alla clausola di filtro HTTP.

La clausola HTTP è ora bloccata e tutti gli altri filtri o termini di ricerca che utilizziamo verranno eseguiti con la clausola HTTP anteposta.

Se digitiamo "GET" nella barra di ricerca, la ricerca sarà limitata ai flussi che sono già stati filtrati dalla clausola bloccata. Puoi bloccare tutte le clausole di filtro necessarie.

Per cercare i pacchetti POST nei flussi HTTP, è sufficiente cancellare la barra di ricerca, digitare "POST" e quindi premere Invio.

Lo scorrimento laterale rivela l'ID dell'host remoto.

Tutti i termini di ricerca e filtro vengono aggiunti all'elenco "Cronologia". Per riapplicare qualsiasi filtro, fai clic su di esso.

Puoi anche cercare un host remoto per nome.

Modifica dei termini di ricerca

Se vuoi cercare qualcosa, ma non vedi un flusso di quel tipo, puoi fare clic su qualsiasi flusso e modificare la voce nella barra di ricerca.

Ad esempio, sappiamo che deve esserci almeno un flusso SSH nel file PCAP perché abbiamo usato rsync per inviare alcuni file a un altro computer, ma non possiamo vederlo.

Quindi, faremo clic con il pulsante destro del mouse su un altro flusso, selezionare "Filtro = Valore" dal menu di scelta rapida, quindi modificare la barra di ricerca per dire "ssh" anziché "dns".

Premiamo Invio per cercare i flussi SSH e troviamo che ce n'è solo uno.

Premendo Ctrl+] si apre il riquadro di destra, che mostra i dettagli per questo flusso. Se un file è stato trasferito durante un flusso, vengono visualizzati gli hash MD5, SHA1 e SHA256.

Fare clic con il pulsante destro del mouse su uno di questi, quindi selezionare "Ricerca VirusTotal" dal menu di scelta rapida per aprire il browser sul sito Web VirusTotal e passare l'hash per il controllo.

VirusTotal archivia gli hash di malware noto e altri file dannosi. Se non sei sicuro che un file sia sicuro, questo è un modo semplice per verificarlo, anche se non hai più accesso al file.

Se il file è benigno, vedrai la schermata mostrata nell'immagine qui sotto.

Il complemento perfetto per Wireshark

Brim rende il lavoro con Wireshark ancora più veloce e semplice consentendo di lavorare con file di acquisizione di pacchetti molto grandi. Fai una prova oggi!