Linux'ta Brim ile Wireshark İş Akışınızı Dönüştürün

Yayınlanan: 2022-01-29
Renkli Ethernet kabloları.
piksel yuvası/Shutterstock

Wireshark, ağ trafiğini analiz etmek için fiili standarttır. Ne yazık ki, paket yakalama büyüdükçe giderek gecikmeli hale geliyor. Brim bu sorunu o kadar iyi çözüyor ki Wireshark iş akışınızı değiştirecek.

Wireshark Harika, Ama . . .

Wireshark harika bir açık kaynaklı yazılım parçasıdır. Ağ sorunlarını araştırmak için dünya çapında amatörler ve profesyoneller tarafından kullanılır. Kablolarda veya ağınızın etheri üzerinden geçen veri paketlerini yakalar. Trafiğinizi yakaladıktan sonra Wireshark, verileri filtrelemenize ve aramanıza, ağ cihazları arasındaki konuşmaları izlemenize ve çok daha fazlasına olanak tanır.

Wireshark kadar harika olsa da, bir sorunu var. Ağ veri yakalama dosyaları (ağ izleri veya paket yakalamaları olarak adlandırılır), çok hızlı bir şekilde çok büyük olabilir. Bu, özellikle araştırmaya çalıştığınız sorun karmaşık veya düzensizse ya da ağ büyük ve meşgulse geçerlidir.

Paket yakalama (veya PCAP) ne kadar büyük olursa, Wireshark o kadar gecikmeli olur. Sadece çok büyük (1 GB'nin üzerindeki herhangi bir şey) izini açıp yüklemek çok uzun sürebilir, Wireshark'ın devrildiğini ve hayaletten vazgeçtiğini düşünürdünüz.

Bu boyuttaki dosyalarla çalışmak gerçek bir acıdır. Her arama yaptığınızda veya filtre değiştirdiğinizde, efektlerin verilere uygulanmasını ve ekranda güncellenmesini beklemeniz gerekir. Her gecikme konsantrasyonunuzu bozar ve bu da ilerlemenizi engelleyebilir.

Reklamcılık

Brim bu sıkıntıların ilacıdır. Wireshark için etkileşimli bir ön işlemci ve ön uç görevi görür. Wireshark'ın sağlayabileceği ayrıntılı düzeyi görmek istediğinizde, Brim tam olarak bu paketlerde sizin için anında açar.

Çok fazla ağ yakalama ve paket analizi yaparsanız, Brim iş akışınızda devrim yaratacaktır.

İLGİLİ: Linux'ta Wireshark Filtreleri Nasıl Kullanılır

Brim Kurulumu

Brim çok yeni, dolayısıyla Linux dağıtımlarının yazılım havuzlarına henüz girmedi. Ancak, Brim indirme sayfasında DEB ve RPM paket dosyalarını bulacaksınız, bu yüzden Ubuntu veya Fedora'ya yüklemek yeterince basittir.

Başka bir dağıtım kullanıyorsanız, kaynak kodunu GitHub'dan indirebilir ve uygulamayı kendiniz oluşturabilirsiniz.

Brim, zq günlükleri için bir komut satırı aracı olan zq kullanır, bu nedenle zq ikili dosyalarını içeren bir ZIP dosyası da indirmeniz gerekir.

Brim'i Ubuntu'ya Yükleme

Ubuntu kullanıyorsanız, DEB paket dosyasını ve zq Linux ZIP dosyasını indirmeniz gerekir. İndirilen DEB paket dosyasına çift tıklayın, Ubuntu Yazılım uygulaması açılacaktır. Brim lisansı yanlışlıkla "Tescilli" olarak listelenmiştir; BSD 3-Clause Lisansını kullanır.

"Yükle" yi tıklayın.

"Yükle" yi tıklayın.

Reklamcılık

Kurulum tamamlandığında, Arşiv Yöneticisi uygulamasını başlatmak için zq ZIP dosyasına çift tıklayın. ZIP dosyası tek bir dizin içerecektir; "Arşiv Yöneticisi"nden bilgisayarınızdaki "İndirilenler" dizini gibi bir konuma sürükleyip bırakın.

zq ikili dosyaları için bir konum oluşturmak için aşağıdakileri yazıyoruz:

 sudo mkdir /opt/zeek

Çıkarılan dizinden ikili dosyaları az önce oluşturduğumuz konuma kopyalamamız gerekiyor. Aşağıdaki komutta makinenizdeki ayıklanan dizinin yolunu ve adını değiştirin:

 sudo cp İndirmeleri/zq-v0.20.0.linux-amd64/* /opt/Zeek

Bu konumu yola eklememiz gerekiyor, bu nedenle BASHRC dosyasını düzenleyeceğiz:

 sudo gedit .bashrc

gedit editörü açılacaktır. Dosyanın en altına gidin ve ardından şu satırı yazın:

 dışa aktar YOL=$YOL:/opt/zeek

Export PATH=$PATH:/opt/zeek satırına sahip gedit düzenleyicisindeki BASHRC dosyası.

Değişikliklerinizi kaydedin ve düzenleyiciyi kapatın.

Brim'i Fedora'ya Yükleme

Brim'i Fedora'ya kurmak için, RPM paket dosyasını (DEB yerine) indirin ve ardından yukarıda Ubuntu kurulumu için ele aldığımız adımları izleyin.

Reklamcılık

İlginç bir şekilde, RPM dosyası Fedora'da açıldığında, tescilli bir lisans yerine açık kaynaklı bir lisansa sahip olduğu doğru bir şekilde tanımlanır.

Brim'i Başlatma

Dock'ta "Uygulamaları Göster"e tıklayın veya Super+A'ya basın. Arama kutusuna “brim” yazın ve görüntülendiğinde “Brim”e tıklayın.

Arama kutusuna "ağız" yazın.

Brim başlatır ve ana penceresini görüntüler. Bir dosya tarayıcısı açmak için “Dosya Seç”e tıklayabilir veya kırmızı dikdörtgenle çevrili alana bir PCAP dosyasını sürükleyip bırakabilirsiniz.

Başlattıktan sonra Brim ana penceresi.

Brim sekmeli bir ekran kullanır ve aynı anda birden fazla sekmeyi açabilirsiniz. Yeni bir sekme açmak için üst kısımdaki artı işaretine (+) tıklayın ve ardından başka bir PCAP seçin.

Brim Temelleri

Brim, seçilen dosyayı yükler ve indeksler. Endeks, Brim'in bu kadar hızlı olmasının nedenlerinden biridir. Ana pencere, zaman içindeki paket hacimlerinin bir histogramını ve ağ "akışlarının" bir listesini içerir.

Bir PCAP dosyasının yüklendiği Brim ana penceresi.

Bir PCAP dosyası, çok sayıda ağ bağlantısı için zamana göre sıralanmış ağ paketleri akışını tutar. Çeşitli bağlantılar için veri paketleri iç içe geçmiş durumda çünkü bazıları aynı anda açılmış olacak. Her ağ "konuşması" için paketler, diğer konuşmaların paketleri ile serpiştirilir.

Reklamcılık

Wireshark, ağ akış paketini paketler halinde görüntülerken Brim, "akışlar" adlı bir kavram kullanır. Akış, iki cihaz arasında tam bir ağ alışverişidir (veya görüşmesidir). Her akış türü kategorilere ayrılır, renk kodludur ve akış türüne göre etiketlenir. "dns", "ssh", "https", "ssl" ve daha pek çok etiketli akış göreceksiniz.

Akış özeti ekranını sola veya sağa kaydırırsanız, daha birçok sütun görüntülenecektir. Ayrıca, görmek istediğiniz bilgi alt kümesini görüntülemek için zaman dilimini de ayarlayabilirsiniz. Aşağıda, verileri görüntülemenin birkaç yolu bulunmaktadır:

  • İçindeki ağ etkinliğini yakınlaştırmak için histogramdaki bir çubuğa tıklayın.
  • Histogram görüntüsünün bir aralığını vurgulamak ve yakınlaştırmak için tıklayın ve sürükleyin. Ardından Brim, vurgulanan bölümdeki verileri görüntüler.
  • “Tarih” ve “Saat” alanlarında da kesin dönemler belirleyebilirsiniz.

Brim iki yan bölme görüntüleyebilir: biri solda, diğeri sağda. Bunlar gizlenebilir veya görünür durumda kalabilir. Soldaki bölme, bir arama geçmişi ve boşluk adı verilen açık PCAP'lerin listesini gösterir. Sol bölmeyi açıp kapatmak için Ctrl+[ tuşlarına basın.

Brim'deki "Boşluklar" bölmesi.

Sağdaki bölme, vurgulanan akış hakkında ayrıntılı bilgiler içerir. Sağ bölmeyi açmak veya kapatmak için Ctrl+] tuşlarına basın.

Brim'de vurgulanmış bir "Alanlar" bölmesi.

Vurgulanan akış için bir bağlantı şeması açmak için "UID Korelasyonu" listesindeki "Bağlan"a tıklayın.

"Bağla" yı tıklayın.

Ana pencerede ayrıca bir akışı vurgulayabilir ve ardından Wireshark simgesine tıklayabilirsiniz. Bu, görüntülenen vurgulanan akış için paketlerle Wireshark'ı başlatır.

Wireshark açılır ve ilgilenilen paketleri görüntüler.

Wireshark'ta görüntülenen Brim'den seçilen paketler.

Brim'de Filtreleme

Brim'de arama ve filtreleme esnek ve kapsamlıdır, ancak istemiyorsanız yeni bir filtreleme dili öğrenmek zorunda değilsiniz. Özet penceresindeki alanları tıklatarak ve ardından bir menüden seçenekleri seçerek Brim'de sözdizimsel olarak doğru bir filtre oluşturabilirsiniz.

Reklamcılık

Örneğin aşağıdaki resimde bir “dns” alanına sağ tıkladık. Ardından içerik menüsünden “Filtre = Değer”i seçeceğiz.

Özet penceresinde bir bağlam menüsü.

Daha sonra aşağıdaki şeyler gerçekleşir:

  • Arama çubuğuna _path = "dns" metni eklenir.
  • Bu filtre PCAP dosyasına uygulanır, bu nedenle yalnızca Etki Alanı Adı Hizmeti (DNS) akışları olan akışları görüntüler.
  • Filtre metni ayrıca sol bölmedeki arama geçmişine eklenir.

DNS tarafından filtrelenen bir özet ekranı.

Aynı tekniği kullanarak arama terimine başka maddeler de ekleyebiliriz. “Id.orig_h” sütunundaki (“192.168.1.26” içeren) IP adresi alanına sağ tıklayıp içerik menüsünden “Filtre = Değer”i seçeceğiz.

Bu, ek yan tümceyi bir AND yan tümcesi olarak ekler. Görüntü artık bu IP adresinden (192.168.1.26) kaynaklanan DNS akışlarını gösterecek şekilde filtrelenmiştir.

Akış türü ve IP adresine göre filtrelenmiş bir özet ekranı.

Yeni filtre terimi, sol bölmedeki arama geçmişine eklenir. Arama geçmişi listesindeki öğelere tıklayarak aramalar arasında geçiş yapabilirsiniz.

Filtrelenmiş verilerimizin çoğu için hedef IP adresi 81.139.56.100'dür. Hangi DNS akışlarının farklı IP adreslerine gönderildiğini görmek için “Id_resp_h” sütununda “81.139.56.100”e sağ tıklayıp içerik menüsünden “Filter != Value” seçeneğini seçiyoruz.

Bir "!=" yan tümcesi içeren bir arama filtresi içeren özet ekranı.

Reklamcılık

192.168.1.26'dan kaynaklanan yalnızca bir DNS akışı 81.139.56.100'e gönderilmedi ve filtremizi oluşturmak için hiçbir şey yazmadan onu bulduk.

Sabitleme Filtre Cümleleri

Bir “HTTP” akışına sağ tıklayıp içerik menüsünden “Filtre = Değer”i seçtiğimizde, özet bölmesi sadece HTTP akışlarını gösterecektir. Ardından, HTTP filtre maddesinin yanındaki Sabitle simgesine tıklayabiliriz.

HTTP yan tümcesi artık yerine sabitlenmiştir ve kullandığımız diğer tüm filtreler veya arama terimleri, önlerine HTTP yan tümcesi eklenerek yürütülecektir.

Arama çubuğuna “GET” yazarsak, arama, sabitlenmiş yan tümce tarafından filtrelenmiş akışlarla sınırlandırılacaktır. Gerektiği kadar çok filtre cümlesi sabitleyebilirsiniz.

Arama kutusunda "GET".

HTTP akışlarında POST paketlerini aramak için arama çubuğunu temizleyip “POST” yazıp Enter'a basmamız yeterlidir.

Sabitlenmiş "HTTP" yan tümcesi ile yürütülen Arama kutusundaki "POST".

Yanlara doğru kaydırmak, uzaktaki ana bilgisayarın kimliğini ortaya çıkarır.

Brim özet ekranındaki uzak "Ana Bilgisayar" sütunu.

Tüm arama ve filtre terimleri “Geçmiş” listesine eklenir. Herhangi bir filtreyi yeniden uygulamak için tıklamanız yeterlidir.

Otomatik doldurulmuş "Geçmiş" listesi.

Reklamcılık

Uzak bir ana bilgisayarı ada göre de arayabilirsiniz.

Brim'de "trustwave.com" aranıyor.

Arama Terimlerini Düzenleme

Bir şey aramak istiyor ancak bu tür bir akış görmüyorsanız, herhangi bir akışa tıklayıp arama çubuğundaki girişi düzenleyebilirsiniz.

Örneğin, bazı dosyaları başka bir bilgisayara göndermek için rsync kullandığımız için PCAP dosyasında en az bir SSH akışı olması gerektiğini biliyoruz, ancak göremiyoruz.

Bu nedenle, başka bir akışa sağ tıklayıp bağlam menüsünden “Filtre = Değer”i seçeceğiz ve ardından arama çubuğunu “dns” yerine “ssh” diyecek şekilde düzenleyeceğiz.

SSH akışlarını aramak ve sadece bir tane olduğunu bulmak için Enter'a basıyoruz.

Özet penceresinde bir SSH akışı.

Ctrl+]'ye basmak, bu akışın ayrıntılarını gösteren sağ bölmeyi açar. Akış sırasında bir dosya aktarıldıysa, MD5, SHA1 ve SHA256 karmaları görünür.

Reklamcılık

Bunlardan herhangi birine sağ tıklayın ve ardından tarayıcınızı VirusTotal web sitesinde açmak ve kontrol için hash'i iletmek için içerik menüsünden “VirusTotal Lookup” öğesini seçin.

VirusTotal, bilinen kötü amaçlı yazılımların ve diğer kötü amaçlı dosyaların karmalarını depolar. Bir dosyanın güvenli olup olmadığından emin değilseniz, bu, dosyaya artık erişiminiz olmasa bile kontrol etmenin kolay bir yoludur.

Karma bağlam menüsü seçenekleri.

Dosya iyi huyluysa, aşağıdaki resimde gösterilen ekranı göreceksiniz.

VirusTotal sitesinden "Eşleşme Bulunamadı" yanıtı.

Wireshark'ın Mükemmel Tamamlayıcısı

Brim, çok büyük paket yakalama dosyalarıyla çalışmanıza izin vererek Wireshark ile çalışmayı daha da hızlı ve kolay hale getirir. Bugün bir test çalıştırması yapın!