Przekształć swój przepływ pracy w Wireshark za pomocą Brim w systemie Linux
Opublikowany: 2022-01-29Wireshark jest de facto standardem analizy ruchu sieciowego. Niestety, w miarę wzrostu przechwytywania pakietów staje się coraz bardziej opóźniony. Brim tak dobrze rozwiązuje ten problem, że zmieni przepływ pracy w Wireshark.
Wireshark jest świetny, ale… . .
Wireshark to wspaniałe oprogramowanie o otwartym kodzie źródłowym. Jest używany przez amatorów i profesjonalistów na całym świecie do badania problemów z siecią. Przechwytuje pakiety danych, które podróżują przewodami lub przez eter Twojej sieci. Po przechwyceniu ruchu Wireshark umożliwia filtrowanie i przeszukiwanie danych, śledzenie rozmów między urządzeniami sieciowymi i wiele więcej.
Chociaż Wireshark jest świetny, ma jeden problem. Pliki przechwytywania danych sieciowych (nazywane śladami sieci lub przechwytywaniem pakietów) mogą bardzo szybko stać się bardzo duże. Jest to szczególnie ważne, jeśli problem, który próbujesz zbadać, jest złożony lub sporadyczny albo sieć jest duża i zajęta.
Im większy jest przechwytywany pakiet (lub PCAP), tym bardziej opóźniony staje się Wireshark. Samo otwarcie i wczytanie bardzo dużego (ponad 1 GB) śladu może zająć tak długo, że można by pomyśleć, że Wireshark przewrócił się i zrezygnował z ducha.
Praca z plikami tego rozmiaru to prawdziwy ból. Za każdym razem, gdy przeprowadzasz wyszukiwanie lub zmieniasz filtr, musisz poczekać, aż efekty zostaną zastosowane do danych i zaktualizowane na ekranie. Każde opóźnienie zaburza Twoją koncentrację, co może hamować Twoje postępy.
Brim jest lekarstwem na te nieszczęścia. Działa jako interaktywny preprocesor i front-end dla Wireshark. Kiedy chcesz zobaczyć, jaki poziom szczegółowości może zapewnić Wireshark, Brim natychmiast otwiera go dla Ciebie dokładnie na tych pakietach.
Jeśli wykonujesz dużo przechwytywania sieci i analizy pakietów, Brim zrewolucjonizuje Twój przepływ pracy.
POWIĄZANE: Jak korzystać z filtrów Wireshark w systemie Linux
Instalowanie Brim
Brim jest bardzo nowy, więc nie trafił jeszcze do repozytoriów oprogramowania dystrybucji Linuksa. Jednak na stronie pobierania Brim znajdziesz pliki pakietów DEB i RPM, więc instalacja na Ubuntu lub Fedorze jest dość prosta.
Jeśli korzystasz z innej dystrybucji, możesz pobrać kod źródłowy z GitHub i samodzielnie zbudować aplikację.
Brim używa zq
, narzędzia wiersza poleceń do dzienników Zeek, więc musisz również pobrać plik ZIP zawierający pliki binarne zq
.
Instalowanie Brima na Ubuntu
Jeśli używasz Ubuntu, musisz pobrać plik pakietu DEB i plik ZIP Linux zq
. Kliknij dwukrotnie pobrany plik pakietu DEB, a otworzy się aplikacja Ubuntu Software. Licencja Brim jest błędnie oznaczona jako „Zastrzeżona” — korzysta z 3-klauzulowej licencji BSD.
Kliknij „Zainstaluj”.
Po zakończeniu instalacji kliknij dwukrotnie plik ZIP zq
, aby uruchomić aplikację Archive Manager. Plik ZIP będzie zawierał pojedynczy katalog; przeciągnij i upuść go z „Menedżera archiwów” do lokalizacji na komputerze, na przykład do katalogu „Pobrane”.
Wpisujemy następujące polecenie, aby utworzyć lokalizację dla plików binarnych zq
:
sudo mkdir /opt/zeek
Musimy skopiować pliki binarne z wyodrębnionego katalogu do właśnie utworzonej lokalizacji. Zastąp ścieżkę i nazwę wyodrębnionego katalogu na swoim komputerze w następującym poleceniu:
sudo cp Downloads/zq-v0.20.0.linux-amd64/* /opt/Zeek
Musimy dodać tę lokalizację do ścieżki, więc edytujemy plik BASHRC:
sudo gedit .bashrc
Otworzy się edytor gedit. Przewiń w dół pliku, a następnie wpisz ten wiersz:
eksportuj PATH=$PATH:/opt/zeek
Zapisz zmiany i zamknij edytor.
Instalowanie Brima w Fedorze
Aby zainstalować Brim w Fedorze, pobierz plik pakietu RPM (zamiast DEB), a następnie wykonaj te same kroki, które omówiliśmy dla powyższej instalacji Ubuntu.
Co ciekawe, kiedy plik RPM otwiera się w Fedorze, jest on poprawnie identyfikowany jako posiadający licencję typu open source, a nie zastrzeżoną.
wodowanie po brzegi
Kliknij "Pokaż aplikacje" w doku lub naciśnij Super + A. Wpisz „brim” w polu wyszukiwania, a następnie kliknij „brim”, gdy się pojawi.
Brim uruchamia się i wyświetla swoje główne okno. Możesz kliknąć "Wybierz pliki", aby otworzyć przeglądarkę plików, lub przeciągnij i upuść plik PCAP w obszarze otoczonym czerwonym prostokątem.
Brim używa wyświetlacza z zakładkami i możesz mieć jednocześnie otwartych wiele zakładek. Aby otworzyć nową kartę, kliknij znak plus (+) u góry, a następnie wybierz inny PCAP.
Podstawy ronda
Brim ładuje i indeksuje wybrany plik. Indeks jest jednym z powodów, dla których Brim jest tak szybki. Główne okno zawiera histogram ilości pakietów w czasie oraz listę „przepływów” sieci.
Plik PCAP zawiera uporządkowany w czasie strumień pakietów sieciowych dla bardzo wielu połączeń sieciowych. Pakiety danych dla różnych połączeń są przemieszane, ponieważ niektóre z nich zostaną otwarte jednocześnie. Pakiety dla każdej „konwersacji” sieciowej są przeplatane pakietami innych konwersacji.
Wireshark wyświetla strumień sieciowy pakiet po pakiecie, podczas gdy Brim używa koncepcji zwanej „przepływami”. Przepływ to pełna wymiana sieci (lub konwersacja) między dwoma urządzeniami. Każdy typ przepływu jest skategoryzowany, oznaczony kolorami i oznaczony według typu przepływu. Zobaczysz przepływy oznaczone „dns”, „ssh”, „https”, „ssl” i wiele innych.
Jeśli przewiniesz ekran podsumowania przepływu w lewo lub w prawo, zostanie wyświetlonych znacznie więcej kolumn. Możesz także dostosować okres, aby wyświetlić podzbiór informacji, które chcesz zobaczyć. Poniżej znajduje się kilka sposobów przeglądania danych:
- Kliknij pasek na histogramie, aby powiększyć aktywność sieciową w jego obrębie.
- Kliknij i przeciągnij, aby podświetlić zakres wyświetlania histogramu i powiększyć. Brim wyświetli dane z podświetlonej sekcji.
- Możesz również określić dokładne okresy w polach „Data” i „Czas”.
Brim może wyświetlać dwie boczne szyby: jedną po lewej, a drugą po prawej stronie. Mogą być ukryte lub pozostać widoczne. Okienko po lewej stronie pokazuje historię wyszukiwania i listę otwartych PCAP, zwanych spacjami. Naciśnij Ctrl+[, aby włączyć lub wyłączyć lewy panel.
Okienko po prawej stronie zawiera szczegółowe informacje o podświetlonym przepływie. Naciśnij Ctrl+], aby włączyć lub wyłączyć prawy panel.
Kliknij „Conn” na liście „UID Correlation”, aby otworzyć schemat połączeń dla podświetlonego przepływu.
W głównym oknie możesz również podświetlić przepływ, a następnie kliknąć ikonę Wireshark. Spowoduje to uruchomienie Wireshark z wyświetlonymi pakietami dla podświetlonego przepływu.
Wireshark otwiera się, wyświetlając interesujące pakiety.
Filtrowanie w Brim
Wyszukiwanie i filtrowanie w Brim jest elastyczne i wszechstronne, ale nie musisz uczyć się nowego języka filtrowania, jeśli nie chcesz. Możesz zbudować filtr poprawny składniowo w Brim, klikając pola w oknie podsumowania, a następnie wybierając opcje z menu.
Na przykład na poniższym obrazku kliknęliśmy prawym przyciskiem myszy pole „dns”. Następnie wybierzemy „Filtr = Wartość” z menu kontekstowego.
Wtedy następują następujące rzeczy:
- Tekst
_path = "dns"
jest dodawany do paska wyszukiwania. - Ten filtr jest stosowany do pliku PCAP, więc wyświetla tylko przepływy, które są przepływami usługi nazw domen (DNS).
- Tekst filtra jest również dodawany do historii wyszukiwania w lewym okienku.
Za pomocą tej samej techniki możemy dodać kolejne klauzule do wyszukiwanego terminu. Klikamy prawym przyciskiem myszy pole adresu IP (zawierające „192.168.1.26”) w kolumnie „Id.orig_h”, a następnie z menu kontekstowego wybierzemy „Filtr = Wartość”.
Dodaje to dodatkową klauzulę jako klauzulę AND. Ekran jest teraz filtrowany, aby pokazać przepływy DNS pochodzące z tego adresu IP (192.168.1.26).
Nowy termin filtru zostanie dodany do historii wyszukiwania w lewym okienku. Możesz przeskakiwać między wyszukiwaniami, klikając pozycje na liście historii wyszukiwania.
Docelowy adres IP dla większości naszych filtrowanych danych to 81.139.56.100. Aby zobaczyć, które przepływy DNS zostały wysłane do różnych adresów IP, klikamy prawym przyciskiem myszy „81.139.56.100” w kolumnie „Id_resp_h”, a następnie wybieramy „Filtr != Wartość” z menu kontekstowego.
Tylko jeden przepływ DNS, który pochodził z 192.168.1.26 nie został wysłany do 81.139.56.100 i znaleźliśmy go bez konieczności wpisywania czegokolwiek, aby utworzyć nasz filtr.
Przypinanie klauzul filtrów
Kiedy klikniemy prawym przyciskiem myszy przepływ „HTTP” i wybierzemy „Filtr = Wartość” z menu kontekstowego, panel podsumowania wyświetli tylko przepływy HTTP. Możemy wtedy kliknąć ikonę Pin obok klauzuli filtru HTTP.
Klauzula HTTP jest teraz przypięta, a wszelkie inne używane przez nas filtry lub wyszukiwane hasła zostaną wykonane z dołączoną do nich klauzulą HTTP.
Jeśli wpiszemy „GET” w pasku wyszukiwania, wyszukiwanie zostanie ograniczone do przepływów, które zostały już przefiltrowane przez przypiętą klauzulę. Możesz przypiąć tyle klauzul filtrujących, ile potrzeba.
Aby wyszukać pakiety POST w przepływach HTTP, po prostu czyścimy pasek wyszukiwania, wpisujemy „POST”, a następnie naciskamy Enter.
Przewijanie w bok ujawnia identyfikator zdalnego hosta.
Wszystkie terminy wyszukiwania i filtrowania są dodawane do listy „Historia”. Aby ponownie zastosować dowolny filtr, po prostu go kliknij.
Możesz także wyszukać hosta zdalnego według nazwy.
Edycja wyszukiwanych haseł
Jeśli chcesz coś wyszukać, ale nie widzisz przepływu tego typu, możesz kliknąć dowolny przepływ i edytować wpis na pasku wyszukiwania.
Na przykład wiemy, że w pliku PCAP musi istnieć co najmniej jeden przepływ SSH, ponieważ użyliśmy rsync
do wysłania niektórych plików na inny komputer, ale nie możemy go zobaczyć.
Tak więc klikniemy prawym przyciskiem myszy inny przepływ, wybierzemy „Filtr = Wartość” z menu kontekstowego, a następnie zmodyfikujemy pasek wyszukiwania, aby powiedzieć „ssh” zamiast „dns”.
Naciskamy Enter, aby wyszukać przepływy SSH i znaleźć tylko jeden.
Naciśnięcie Ctrl+] otwiera prawe okienko, które pokazuje szczegóły tego przepływu. Jeśli plik został przesłany podczas przepływu, pojawią się skróty MD5, SHA1 i SHA256.
Kliknij dowolne z nich prawym przyciskiem myszy, a następnie wybierz „Wyszukiwanie VirusTotal” z menu kontekstowego, aby otworzyć przeglądarkę na stronie VirusTotal i przekazać hash do sprawdzenia.
VirusTotal przechowuje skróty znanego złośliwego oprogramowania i innych złośliwych plików. Jeśli nie masz pewności, czy plik jest bezpieczny, jest to łatwy sposób sprawdzenia, nawet jeśli nie masz już do niego dostępu.
Jeśli plik jest łagodny, zobaczysz ekran pokazany na poniższym obrazku.
Idealne uzupełnienie Wireshark
Brim sprawia, że praca z Wireshark jest jeszcze szybsza i łatwiejsza, umożliwiając pracę z bardzo dużymi plikami przechwytywania pakietów. Przetestuj go już dziś!