Linux'ta Brim ile Wireshark İş Akışınızı Dönüştürün
Yayınlanan: 2022-01-29Wireshark, ağ trafiğini analiz etmek için fiili standarttır. Ne yazık ki, paket yakalama büyüdükçe giderek gecikmeli hale geliyor. Brim bu sorunu o kadar iyi çözüyor ki Wireshark iş akışınızı değiştirecek.
Wireshark Harika, Ama . . .
Wireshark harika bir açık kaynaklı yazılım parçasıdır. Ağ sorunlarını araştırmak için dünya çapında amatörler ve profesyoneller tarafından kullanılır. Kablolarda veya ağınızın etheri üzerinden geçen veri paketlerini yakalar. Trafiğinizi yakaladıktan sonra Wireshark, verileri filtrelemenize ve aramanıza, ağ cihazları arasındaki konuşmaları izlemenize ve çok daha fazlasına olanak tanır.
Wireshark kadar harika olsa da, bir sorunu var. Ağ veri yakalama dosyaları (ağ izleri veya paket yakalamaları olarak adlandırılır), çok hızlı bir şekilde çok büyük olabilir. Bu, özellikle araştırmaya çalıştığınız sorun karmaşık veya düzensizse ya da ağ büyük ve meşgulse geçerlidir.
Paket yakalama (veya PCAP) ne kadar büyük olursa, Wireshark o kadar gecikmeli olur. Sadece çok büyük (1 GB'nin üzerindeki herhangi bir şey) izini açıp yüklemek çok uzun sürebilir, Wireshark'ın devrildiğini ve hayaletten vazgeçtiğini düşünürdünüz.
Bu boyuttaki dosyalarla çalışmak gerçek bir acıdır. Her arama yaptığınızda veya filtre değiştirdiğinizde, efektlerin verilere uygulanmasını ve ekranda güncellenmesini beklemeniz gerekir. Her gecikme konsantrasyonunuzu bozar ve bu da ilerlemenizi engelleyebilir.
Brim bu sıkıntıların ilacıdır. Wireshark için etkileşimli bir ön işlemci ve ön uç görevi görür. Wireshark'ın sağlayabileceği ayrıntılı düzeyi görmek istediğinizde, Brim tam olarak bu paketlerde sizin için anında açar.
Çok fazla ağ yakalama ve paket analizi yaparsanız, Brim iş akışınızda devrim yaratacaktır.
İLGİLİ: Linux'ta Wireshark Filtreleri Nasıl Kullanılır
Brim Kurulumu
Brim çok yeni, dolayısıyla Linux dağıtımlarının yazılım havuzlarına henüz girmedi. Ancak, Brim indirme sayfasında DEB ve RPM paket dosyalarını bulacaksınız, bu yüzden Ubuntu veya Fedora'ya yüklemek yeterince basittir.
Başka bir dağıtım kullanıyorsanız, kaynak kodunu GitHub'dan indirebilir ve uygulamayı kendiniz oluşturabilirsiniz.
Brim, zq
günlükleri için bir komut satırı aracı olan zq kullanır, bu nedenle zq
ikili dosyalarını içeren bir ZIP dosyası da indirmeniz gerekir.
Brim'i Ubuntu'ya Yükleme
Ubuntu kullanıyorsanız, DEB paket dosyasını ve zq
Linux ZIP dosyasını indirmeniz gerekir. İndirilen DEB paket dosyasına çift tıklayın, Ubuntu Yazılım uygulaması açılacaktır. Brim lisansı yanlışlıkla "Tescilli" olarak listelenmiştir; BSD 3-Clause Lisansını kullanır.
"Yükle" yi tıklayın.
Kurulum tamamlandığında, Arşiv Yöneticisi uygulamasını başlatmak için zq
ZIP dosyasına çift tıklayın. ZIP dosyası tek bir dizin içerecektir; "Arşiv Yöneticisi"nden bilgisayarınızdaki "İndirilenler" dizini gibi bir konuma sürükleyip bırakın.
zq
ikili dosyaları için bir konum oluşturmak için aşağıdakileri yazıyoruz:
sudo mkdir /opt/zeek
Çıkarılan dizinden ikili dosyaları az önce oluşturduğumuz konuma kopyalamamız gerekiyor. Aşağıdaki komutta makinenizdeki ayıklanan dizinin yolunu ve adını değiştirin:
sudo cp İndirmeleri/zq-v0.20.0.linux-amd64/* /opt/Zeek
Bu konumu yola eklememiz gerekiyor, bu nedenle BASHRC dosyasını düzenleyeceğiz:
sudo gedit .bashrc
gedit editörü açılacaktır. Dosyanın en altına gidin ve ardından şu satırı yazın:
dışa aktar YOL=$YOL:/opt/zeek
Değişikliklerinizi kaydedin ve düzenleyiciyi kapatın.
Brim'i Fedora'ya Yükleme
Brim'i Fedora'ya kurmak için, RPM paket dosyasını (DEB yerine) indirin ve ardından yukarıda Ubuntu kurulumu için ele aldığımız adımları izleyin.
İlginç bir şekilde, RPM dosyası Fedora'da açıldığında, tescilli bir lisans yerine açık kaynaklı bir lisansa sahip olduğu doğru bir şekilde tanımlanır.
Brim'i Başlatma
Dock'ta "Uygulamaları Göster"e tıklayın veya Super+A'ya basın. Arama kutusuna “brim” yazın ve görüntülendiğinde “Brim”e tıklayın.
Brim başlatır ve ana penceresini görüntüler. Bir dosya tarayıcısı açmak için “Dosya Seç”e tıklayabilir veya kırmızı dikdörtgenle çevrili alana bir PCAP dosyasını sürükleyip bırakabilirsiniz.
Brim sekmeli bir ekran kullanır ve aynı anda birden fazla sekmeyi açabilirsiniz. Yeni bir sekme açmak için üst kısımdaki artı işaretine (+) tıklayın ve ardından başka bir PCAP seçin.
Brim Temelleri
Brim, seçilen dosyayı yükler ve indeksler. Endeks, Brim'in bu kadar hızlı olmasının nedenlerinden biridir. Ana pencere, zaman içindeki paket hacimlerinin bir histogramını ve ağ "akışlarının" bir listesini içerir.
Bir PCAP dosyası, çok sayıda ağ bağlantısı için zamana göre sıralanmış ağ paketleri akışını tutar. Çeşitli bağlantılar için veri paketleri iç içe geçmiş durumda çünkü bazıları aynı anda açılmış olacak. Her ağ "konuşması" için paketler, diğer konuşmaların paketleri ile serpiştirilir.
Wireshark, ağ akış paketini paketler halinde görüntülerken Brim, "akışlar" adlı bir kavram kullanır. Akış, iki cihaz arasında tam bir ağ alışverişidir (veya görüşmesidir). Her akış türü kategorilere ayrılır, renk kodludur ve akış türüne göre etiketlenir. "dns", "ssh", "https", "ssl" ve daha pek çok etiketli akış göreceksiniz.
Akış özeti ekranını sola veya sağa kaydırırsanız, daha birçok sütun görüntülenecektir. Ayrıca, görmek istediğiniz bilgi alt kümesini görüntülemek için zaman dilimini de ayarlayabilirsiniz. Aşağıda, verileri görüntülemenin birkaç yolu bulunmaktadır:
- İçindeki ağ etkinliğini yakınlaştırmak için histogramdaki bir çubuğa tıklayın.
- Histogram görüntüsünün bir aralığını vurgulamak ve yakınlaştırmak için tıklayın ve sürükleyin. Ardından Brim, vurgulanan bölümdeki verileri görüntüler.
- “Tarih” ve “Saat” alanlarında da kesin dönemler belirleyebilirsiniz.
Brim iki yan bölme görüntüleyebilir: biri solda, diğeri sağda. Bunlar gizlenebilir veya görünür durumda kalabilir. Soldaki bölme, bir arama geçmişi ve boşluk adı verilen açık PCAP'lerin listesini gösterir. Sol bölmeyi açıp kapatmak için Ctrl+[ tuşlarına basın.
Sağdaki bölme, vurgulanan akış hakkında ayrıntılı bilgiler içerir. Sağ bölmeyi açmak veya kapatmak için Ctrl+] tuşlarına basın.
Vurgulanan akış için bir bağlantı şeması açmak için "UID Korelasyonu" listesindeki "Bağlan"a tıklayın.
Ana pencerede ayrıca bir akışı vurgulayabilir ve ardından Wireshark simgesine tıklayabilirsiniz. Bu, görüntülenen vurgulanan akış için paketlerle Wireshark'ı başlatır.
Wireshark açılır ve ilgilenilen paketleri görüntüler.
Brim'de Filtreleme
Brim'de arama ve filtreleme esnek ve kapsamlıdır, ancak istemiyorsanız yeni bir filtreleme dili öğrenmek zorunda değilsiniz. Özet penceresindeki alanları tıklatarak ve ardından bir menüden seçenekleri seçerek Brim'de sözdizimsel olarak doğru bir filtre oluşturabilirsiniz.
Örneğin aşağıdaki resimde bir “dns” alanına sağ tıkladık. Ardından içerik menüsünden “Filtre = Değer”i seçeceğiz.
Daha sonra aşağıdaki şeyler gerçekleşir:
- Arama çubuğuna
_path = "dns"
metni eklenir. - Bu filtre PCAP dosyasına uygulanır, bu nedenle yalnızca Etki Alanı Adı Hizmeti (DNS) akışları olan akışları görüntüler.
- Filtre metni ayrıca sol bölmedeki arama geçmişine eklenir.
Aynı tekniği kullanarak arama terimine başka maddeler de ekleyebiliriz. “Id.orig_h” sütunundaki (“192.168.1.26” içeren) IP adresi alanına sağ tıklayıp içerik menüsünden “Filtre = Değer”i seçeceğiz.
Bu, ek yan tümceyi bir AND yan tümcesi olarak ekler. Görüntü artık bu IP adresinden (192.168.1.26) kaynaklanan DNS akışlarını gösterecek şekilde filtrelenmiştir.
Yeni filtre terimi, sol bölmedeki arama geçmişine eklenir. Arama geçmişi listesindeki öğelere tıklayarak aramalar arasında geçiş yapabilirsiniz.
Filtrelenmiş verilerimizin çoğu için hedef IP adresi 81.139.56.100'dür. Hangi DNS akışlarının farklı IP adreslerine gönderildiğini görmek için “Id_resp_h” sütununda “81.139.56.100”e sağ tıklayıp içerik menüsünden “Filter != Value” seçeneğini seçiyoruz.
192.168.1.26'dan kaynaklanan yalnızca bir DNS akışı 81.139.56.100'e gönderilmedi ve filtremizi oluşturmak için hiçbir şey yazmadan onu bulduk.
Sabitleme Filtre Cümleleri
Bir “HTTP” akışına sağ tıklayıp içerik menüsünden “Filtre = Değer”i seçtiğimizde, özet bölmesi sadece HTTP akışlarını gösterecektir. Ardından, HTTP filtre maddesinin yanındaki Sabitle simgesine tıklayabiliriz.
HTTP yan tümcesi artık yerine sabitlenmiştir ve kullandığımız diğer tüm filtreler veya arama terimleri, önlerine HTTP yan tümcesi eklenerek yürütülecektir.
Arama çubuğuna “GET” yazarsak, arama, sabitlenmiş yan tümce tarafından filtrelenmiş akışlarla sınırlandırılacaktır. Gerektiği kadar çok filtre cümlesi sabitleyebilirsiniz.
HTTP akışlarında POST paketlerini aramak için arama çubuğunu temizleyip “POST” yazıp Enter'a basmamız yeterlidir.
Yanlara doğru kaydırmak, uzaktaki ana bilgisayarın kimliğini ortaya çıkarır.
Tüm arama ve filtre terimleri “Geçmiş” listesine eklenir. Herhangi bir filtreyi yeniden uygulamak için tıklamanız yeterlidir.
Uzak bir ana bilgisayarı ada göre de arayabilirsiniz.
Arama Terimlerini Düzenleme
Bir şey aramak istiyor ancak bu tür bir akış görmüyorsanız, herhangi bir akışa tıklayıp arama çubuğundaki girişi düzenleyebilirsiniz.
Örneğin, bazı dosyaları başka bir bilgisayara göndermek için rsync
kullandığımız için PCAP dosyasında en az bir SSH akışı olması gerektiğini biliyoruz, ancak göremiyoruz.
Bu nedenle, başka bir akışa sağ tıklayıp bağlam menüsünden “Filtre = Değer”i seçeceğiz ve ardından arama çubuğunu “dns” yerine “ssh” diyecek şekilde düzenleyeceğiz.
SSH akışlarını aramak ve sadece bir tane olduğunu bulmak için Enter'a basıyoruz.
Ctrl+]'ye basmak, bu akışın ayrıntılarını gösteren sağ bölmeyi açar. Akış sırasında bir dosya aktarıldıysa, MD5, SHA1 ve SHA256 karmaları görünür.
Bunlardan herhangi birine sağ tıklayın ve ardından tarayıcınızı VirusTotal web sitesinde açmak ve kontrol için hash'i iletmek için içerik menüsünden “VirusTotal Lookup” öğesini seçin.
VirusTotal, bilinen kötü amaçlı yazılımların ve diğer kötü amaçlı dosyaların karmalarını depolar. Bir dosyanın güvenli olup olmadığından emin değilseniz, bu, dosyaya artık erişiminiz olmasa bile kontrol etmenin kolay bir yoludur.
Dosya iyi huyluysa, aşağıdaki resimde gösterilen ekranı göreceksiniz.
Wireshark'ın Mükemmel Tamamlayıcısı
Brim, çok büyük paket yakalama dosyalarıyla çalışmanıza izin vererek Wireshark ile çalışmayı daha da hızlı ve kolay hale getirir. Bugün bir test çalıştırması yapın!