Przekształć swój przepływ pracy w Wireshark za pomocą Brim w systemie Linux

Opublikowany: 2022-01-29
Kolorowe kable Ethernet.
pixelnest/Shutterstock

Wireshark jest de facto standardem analizy ruchu sieciowego. Niestety, w miarę wzrostu przechwytywania pakietów staje się coraz bardziej opóźniony. Brim tak dobrze rozwiązuje ten problem, że zmieni przepływ pracy w Wireshark.

Wireshark jest świetny, ale… . .

Wireshark to wspaniałe oprogramowanie o otwartym kodzie źródłowym. Jest używany przez amatorów i profesjonalistów na całym świecie do badania problemów z siecią. Przechwytuje pakiety danych, które podróżują przewodami lub przez eter Twojej sieci. Po przechwyceniu ruchu Wireshark umożliwia filtrowanie i przeszukiwanie danych, śledzenie rozmów między urządzeniami sieciowymi i wiele więcej.

Chociaż Wireshark jest świetny, ma jeden problem. Pliki przechwytywania danych sieciowych (nazywane śladami sieci lub przechwytywaniem pakietów) mogą bardzo szybko stać się bardzo duże. Jest to szczególnie ważne, jeśli problem, który próbujesz zbadać, jest złożony lub sporadyczny albo sieć jest duża i zajęta.

Im większy jest przechwytywany pakiet (lub PCAP), tym bardziej opóźniony staje się Wireshark. Samo otwarcie i wczytanie bardzo dużego (ponad 1 GB) śladu może zająć tak długo, że można by pomyśleć, że Wireshark przewrócił się i zrezygnował z ducha.

Praca z plikami tego rozmiaru to prawdziwy ból. Za każdym razem, gdy przeprowadzasz wyszukiwanie lub zmieniasz filtr, musisz poczekać, aż efekty zostaną zastosowane do danych i zaktualizowane na ekranie. Każde opóźnienie zaburza Twoją koncentrację, co może hamować Twoje postępy.

Reklama

Brim jest lekarstwem na te nieszczęścia. Działa jako interaktywny preprocesor i front-end dla Wireshark. Kiedy chcesz zobaczyć, jaki poziom szczegółowości może zapewnić Wireshark, Brim natychmiast otwiera go dla Ciebie dokładnie na tych pakietach.

Jeśli wykonujesz dużo przechwytywania sieci i analizy pakietów, Brim zrewolucjonizuje Twój przepływ pracy.

POWIĄZANE: Jak korzystać z filtrów Wireshark w systemie Linux

Instalowanie Brim

Brim jest bardzo nowy, więc nie trafił jeszcze do repozytoriów oprogramowania dystrybucji Linuksa. Jednak na stronie pobierania Brim znajdziesz pliki pakietów DEB i RPM, więc instalacja na Ubuntu lub Fedorze jest dość prosta.

Jeśli korzystasz z innej dystrybucji, możesz pobrać kod źródłowy z GitHub i samodzielnie zbudować aplikację.

Brim używa zq , narzędzia wiersza poleceń do dzienników Zeek, więc musisz również pobrać plik ZIP zawierający pliki binarne zq .

Instalowanie Brima na Ubuntu

Jeśli używasz Ubuntu, musisz pobrać plik pakietu DEB i plik ZIP Linux zq . Kliknij dwukrotnie pobrany plik pakietu DEB, a otworzy się aplikacja Ubuntu Software. Licencja Brim jest błędnie oznaczona jako „Zastrzeżona” — korzysta z 3-klauzulowej licencji BSD.

Kliknij „Zainstaluj”.

Kliknij „Zainstaluj”.

Reklama

Po zakończeniu instalacji kliknij dwukrotnie plik ZIP zq , aby uruchomić aplikację Archive Manager. Plik ZIP będzie zawierał pojedynczy katalog; przeciągnij i upuść go z „Menedżera archiwów” do lokalizacji na komputerze, na przykład do katalogu „Pobrane”.

Wpisujemy następujące polecenie, aby utworzyć lokalizację dla plików binarnych zq :

 sudo mkdir /opt/zeek 

Musimy skopiować pliki binarne z wyodrębnionego katalogu do właśnie utworzonej lokalizacji. Zastąp ścieżkę i nazwę wyodrębnionego katalogu na swoim komputerze w następującym poleceniu:

 sudo cp Downloads/zq-v0.20.0.linux-amd64/* /opt/Zeek 

Musimy dodać tę lokalizację do ścieżki, więc edytujemy plik BASHRC:

 sudo gedit .bashrc 

Otworzy się edytor gedit. Przewiń w dół pliku, a następnie wpisz ten wiersz:

 eksportuj PATH=$PATH:/opt/zeek 

Plik BASHRC w edytorze gedit z linią export PATH=$PATH:/opt/zeek.

Zapisz zmiany i zamknij edytor.

Instalowanie Brima w Fedorze

Aby zainstalować Brim w Fedorze, pobierz plik pakietu RPM (zamiast DEB), a następnie wykonaj te same kroki, które omówiliśmy dla powyższej instalacji Ubuntu.

Reklama

Co ciekawe, kiedy plik RPM otwiera się w Fedorze, jest on poprawnie identyfikowany jako posiadający licencję typu open source, a nie zastrzeżoną.

wodowanie po brzegi

Kliknij "Pokaż aplikacje" w doku lub naciśnij Super + A. Wpisz „brim” w polu wyszukiwania, a następnie kliknij „brim”, gdy się pojawi.

Wpisz „rondo” w polu wyszukiwania.

Brim uruchamia się i wyświetla swoje główne okno. Możesz kliknąć "Wybierz pliki", aby otworzyć przeglądarkę plików, lub przeciągnij i upuść plik PCAP w obszarze otoczonym czerwonym prostokątem.

Okno główne Brim po uruchomieniu.

Brim używa wyświetlacza z zakładkami i możesz mieć jednocześnie otwartych wiele zakładek. Aby otworzyć nową kartę, kliknij znak plus (+) u góry, a następnie wybierz inny PCAP.

Podstawy ronda

Brim ładuje i indeksuje wybrany plik. Indeks jest jednym z powodów, dla których Brim jest tak szybki. Główne okno zawiera histogram ilości pakietów w czasie oraz listę „przepływów” sieci.

Główne okno Brim z załadowanym plikiem PCAP.

Plik PCAP zawiera uporządkowany w czasie strumień pakietów sieciowych dla bardzo wielu połączeń sieciowych. Pakiety danych dla różnych połączeń są przemieszane, ponieważ niektóre z nich zostaną otwarte jednocześnie. Pakiety dla każdej „konwersacji” sieciowej są przeplatane pakietami innych konwersacji.

Reklama

Wireshark wyświetla strumień sieciowy pakiet po pakiecie, podczas gdy Brim używa koncepcji zwanej „przepływami”. Przepływ to pełna wymiana sieci (lub konwersacja) między dwoma urządzeniami. Każdy typ przepływu jest skategoryzowany, oznaczony kolorami i oznaczony według typu przepływu. Zobaczysz przepływy oznaczone „dns”, „ssh”, „https”, „ssl” i wiele innych.

Jeśli przewiniesz ekran podsumowania przepływu w lewo lub w prawo, zostanie wyświetlonych znacznie więcej kolumn. Możesz także dostosować okres, aby wyświetlić podzbiór informacji, które chcesz zobaczyć. Poniżej znajduje się kilka sposobów przeglądania danych:

  • Kliknij pasek na histogramie, aby powiększyć aktywność sieciową w jego obrębie.
  • Kliknij i przeciągnij, aby podświetlić zakres wyświetlania histogramu i powiększyć. Brim wyświetli dane z podświetlonej sekcji.
  • Możesz również określić dokładne okresy w polach „Data” i „Czas”.

Brim może wyświetlać dwie boczne szyby: jedną po lewej, a drugą po prawej stronie. Mogą być ukryte lub pozostać widoczne. Okienko po lewej stronie pokazuje historię wyszukiwania i listę otwartych PCAP, zwanych spacjami. Naciśnij Ctrl+[, aby włączyć lub wyłączyć lewy panel.

Okienko „Spaces” w Brim.

Okienko po prawej stronie zawiera szczegółowe informacje o podświetlonym przepływie. Naciśnij Ctrl+], aby włączyć lub wyłączyć prawy panel.

Podświetlone okienko „Pola” na Brim.

Kliknij „Conn” na liście „UID Correlation”, aby otworzyć schemat połączeń dla podświetlonego przepływu.

Kliknij „Połącz.”

W głównym oknie możesz również podświetlić przepływ, a następnie kliknąć ikonę Wireshark. Spowoduje to uruchomienie Wireshark z wyświetlonymi pakietami dla podświetlonego przepływu.

Wireshark otwiera się, wyświetlając interesujące pakiety.

Pakiety wybrane z Brim wyświetlane w Wireshark.

Filtrowanie w Brim

Wyszukiwanie i filtrowanie w Brim jest elastyczne i wszechstronne, ale nie musisz uczyć się nowego języka filtrowania, jeśli nie chcesz. Możesz zbudować filtr poprawny składniowo w Brim, klikając pola w oknie podsumowania, a następnie wybierając opcje z menu.

Reklama

Na przykład na poniższym obrazku kliknęliśmy prawym przyciskiem myszy pole „dns”. Następnie wybierzemy „Filtr = Wartość” z menu kontekstowego.

Menu kontekstowe w oknie podsumowania.

Wtedy następują następujące rzeczy:

  • Tekst _path = "dns" jest dodawany do paska wyszukiwania.
  • Ten filtr jest stosowany do pliku PCAP, więc wyświetla tylko przepływy, które są przepływami usługi nazw domen (DNS).
  • Tekst filtra jest również dodawany do historii wyszukiwania w lewym okienku.

Ekran podsumowania filtrowany według DNS.

Za pomocą tej samej techniki możemy dodać kolejne klauzule do wyszukiwanego terminu. Klikamy prawym przyciskiem myszy pole adresu IP (zawierające „192.168.1.26”) w kolumnie „Id.orig_h”, a następnie z menu kontekstowego wybierzemy „Filtr = Wartość”.

Dodaje to dodatkową klauzulę jako klauzulę AND. Ekran jest teraz filtrowany, aby pokazać przepływy DNS pochodzące z tego adresu IP (192.168.1.26).

Ekran podsumowania filtrowany według typu przepływu i adresu IP.

Nowy termin filtru zostanie dodany do historii wyszukiwania w lewym okienku. Możesz przeskakiwać między wyszukiwaniami, klikając pozycje na liście historii wyszukiwania.

Docelowy adres IP dla większości naszych filtrowanych danych to 81.139.56.100. Aby zobaczyć, które przepływy DNS zostały wysłane do różnych adresów IP, klikamy prawym przyciskiem myszy „81.139.56.100” w kolumnie „Id_resp_h”, a następnie wybieramy „Filtr != Wartość” z menu kontekstowego.

Ekran podsumowania z filtrem wyszukiwania zawierającym klauzulę "!=".

Reklama

Tylko jeden przepływ DNS, który pochodził z 192.168.1.26 nie został wysłany do 81.139.56.100 i znaleźliśmy go bez konieczności wpisywania czegokolwiek, aby utworzyć nasz filtr.

Przypinanie klauzul filtrów

Kiedy klikniemy prawym przyciskiem myszy przepływ „HTTP” i wybierzemy „Filtr = Wartość” z menu kontekstowego, panel podsumowania wyświetli tylko przepływy HTTP. Możemy wtedy kliknąć ikonę Pin obok klauzuli filtru HTTP.

Klauzula HTTP jest teraz przypięta, a wszelkie inne używane przez nas filtry lub wyszukiwane hasła zostaną wykonane z dołączoną do nich klauzulą ​​HTTP.

Jeśli wpiszemy „GET” w pasku wyszukiwania, wyszukiwanie zostanie ograniczone do przepływów, które zostały już przefiltrowane przez przypiętą klauzulę. Możesz przypiąć tyle klauzul filtrujących, ile potrzeba.

„GET” w polu wyszukiwania.

Aby wyszukać pakiety POST w przepływach HTTP, po prostu czyścimy pasek wyszukiwania, wpisujemy „POST”, a następnie naciskamy Enter.

"POST" w polu wyszukiwania wykonany z przypiętą klauzulą ​​"HTTP".

Przewijanie w bok ujawnia identyfikator zdalnego hosta.

Zdalna kolumna „Host” na ekranie podsumowania Brim.

Wszystkie terminy wyszukiwania i filtrowania są dodawane do listy „Historia”. Aby ponownie zastosować dowolny filtr, po prostu go kliknij.

Automatycznie wypełniana lista „Historia”.

Reklama

Możesz także wyszukać hosta zdalnego według nazwy.

Wyszukiwanie „trustwave.com” w Brim.

Edycja wyszukiwanych haseł

Jeśli chcesz coś wyszukać, ale nie widzisz przepływu tego typu, możesz kliknąć dowolny przepływ i edytować wpis na pasku wyszukiwania.

Na przykład wiemy, że w pliku PCAP musi istnieć co najmniej jeden przepływ SSH, ponieważ użyliśmy rsync do wysłania niektórych plików na inny komputer, ale nie możemy go zobaczyć.

Tak więc klikniemy prawym przyciskiem myszy inny przepływ, wybierzemy „Filtr = Wartość” z menu kontekstowego, a następnie zmodyfikujemy pasek wyszukiwania, aby powiedzieć „ssh” zamiast „dns”.

Naciskamy Enter, aby wyszukać przepływy SSH i znaleźć tylko jeden.

Przepływ SSH w oknie podsumowania.

Naciśnięcie Ctrl+] otwiera prawe okienko, które pokazuje szczegóły tego przepływu. Jeśli plik został przesłany podczas przepływu, pojawią się skróty MD5, SHA1 i SHA256.

Reklama

Kliknij dowolne z nich prawym przyciskiem myszy, a następnie wybierz „Wyszukiwanie VirusTotal” z menu kontekstowego, aby otworzyć przeglądarkę na stronie VirusTotal i przekazać hash do sprawdzenia.

VirusTotal przechowuje skróty znanego złośliwego oprogramowania i innych złośliwych plików. Jeśli nie masz pewności, czy plik jest bezpieczny, jest to łatwy sposób sprawdzenia, nawet jeśli nie masz już do niego dostępu.

Opcje menu kontekstowego skrótu.

Jeśli plik jest łagodny, zobaczysz ekran pokazany na poniższym obrazku.

Odpowiedź „Nie znaleziono dopasowań” z witryny VirusTotal.

Idealne uzupełnienie Wireshark

Brim sprawia, że ​​praca z Wireshark jest jeszcze szybsza i łatwiejsza, umożliwiając pracę z bardzo dużymi plikami przechwytywania pakietów. Przetestuj go już dziś!