Список инструментов для тестирования на проникновение и их описание
Wireshark
Описание Wireshark
Wireshark — это самый первостепенный во всём мире анализатор сетевых протоколов. Он позволяет вам видеть на микроскопическом уровне что происходит в вашей сети. Де-факто (и часто де-юре) он стал стандартом во многих индустриях и образовательных учреждениях.
Развитие Wireshark процветает благодаря вкладу сетевых экспертов по всему миру. Он является продолжением проекта, который начался в 1998.
Wireshark обладает большим набором возможностей, которые включают в том числе следующие:
- Глубокая проверка сотен протоколов, которые постоянно добавляются
- Есть как живой захват, так и оффлайн анализ
- Стандартный трёхпанельный браузер пакетов
- Мультиплатформенность: Запускается на Windows, Linux, OS X, Solaris, FreeBSD, NetBSD и многих других
- Захватываемые сетевые данные можно просматривать через графический интерфейс или в консольном режиме через утилиту TShark
- Самые мощные в индустрии фильтры отображения
- Богатый анализ VoIP
- Чтение/запись многих разных форматов файлов захвата: tcpdump (libpcap), Pcap NG, Catapult DCT2000, Cisco Secure IDS iplog, Microsoft Network Monitor, Network General Sniffer® (сжатый и несжатый), Sniffer® Pro, and NetXray®, Network Instruments Observer, NetScreen snoop, Novell LANalyzer, RADCOM WAN/LAN Analyzer, Shomiti/Finisar Surveyor, Tektronix K12xx, Visual Networks Visual UpTime, WildPackets EtherPeek/TokenPeek/AiroPeek и многие другие
- Захваченные сжатые gzip файлы могут быть разархивированы на лету
- Живые данные могут быть прочитаны с Ethernet, IEEE 802.11, PPP/HDLC, ATM, Bluetooth, USB, Token Ring, Frame Relay, FDDI и других (зависят от вашей платформы)
- Поддержка расшифровки многих протоколов, влкючая IPsec, ISAKMP, Kerberos, SNMPv3, SSL/TLS, WEP и WPA/WPA2
- Правила раскраски могут быть применены к списку пакетов для быстрого, интуитивного анализа
- Вывод можно экспортировать в XML, PostScript®, CSV или в обычный текст
Справка по Wireshark
Как пользоваться Wireshark? Анализ трафика и расшифровка пакетов
wireshark [опции] . [ ]
Интерфейс захвата: -i имя или idx интерфейса (по умолчанию: первый не петлевой) -f фильтр пакета в синтаксисе фильтров libpcap -s длина снимка пакета (по умолчанию: 65535) -p не захватывать в неразборчивом режиме -k начать захват немедленно (по умолчанию: ничего не делать) -S обновить отображение пакета при захвате новых пакетов -l включить автоматическую прокрутку при использовании -S -I захватывать в режиме монитора, если доступен -B размер буфера ядра (по умолчанию: 2MB) -y тип канального уровня (по умолчанию: первый подходящий) -D напечатать список интерфейсов и выйти -L напечатать список типов канального уровня интерфейсов и выйти Условия остановки захвата: -c остановить после n пакетов (по умолчанию: бесконечность) -a . duration:ЧИСЛО — остановиться после ЧИСЛА секунд filesize:ЧИСЛО — остановить этот файл после ЧИСЛА KB files:ЧИСЛО — остановить после ЧИСЛА файлов Текущий захват: -b . duration:ЧИСЛО — переключиться на следующий файл после ЧИСЛА секунду filesize:ЧИСЛО — переключиться на следующий файл после ЧИСЛА KB files:ЧИСЛО — кольцевой буфер: заменить после ЧИСЛА файлов Файл ввода: -r установить файл из которого читать (без труб (|) или стандартного вывода (stdin)!) Обработка: -R пакетный фильтр в формате синтаксиса фильтров отображения Wireshark -n отключить все преобразования (по умолчанию: всё включено) -N включить указанное преобразование(я) по имени: «mnNtCd» —disable-protocol отключить рассечение имя_протокола —enable-heuristic включить рассечение эвристического протокола —disable-heuristic отключить рассечение эвристического протокола Пользовательский интерфейс: -C запустить с особым профилем конфигурации -Y запустить с заданным фильтром отображения -g перейти к указанному номеру пакета после «-r» -J перейти к первому пакету, соответствующему фильтру (отображения) -j поиск в обратном направлении для совпадающего пакета после «-J» -m установить имя шрифта для использования в большинстве текста -t a|ad|d|dd|e|r|u|ud формат вывода времени во временной метки (по умолчанию: r: rel. к первому) -u s|hms формат вывода секунд (по умолчанию: s: секунды) -X : опции расширения, смотрите руководство для подробностей -z показать различную статистику, смотрите руководство для подробностей Вывод: -w установить файл вывода (или ‘-‘ для stdout (стандартного вывода)) Прочее: -h показать справку и выйти -v показать информацию о версии и выйти -P : persconf:путь — персональный конфигурационные файлы persdata:путь — персональный файлы с данными -o : . переписать настройки или текущие установки -K файл keytab для использования в расшифровывании kerberos —display=DISPLAY дисплей X для использования
Руководство по Wireshark
[МАТЕРИАЛ В ПРОЦЕССЕ ПОДГОТОВКИ]
Источник: kali.tools
Захват, фильтрация и анализ пакетов в Wireshark
ittech
Автор Михаил Граблевский На чтение 4 мин Просмотров 500 Опубликовано 24.11.2014
Wireshark, сетевой аналитический инструмент, ранее известный как Ethereal, захватывает пакеты в режиме реального времени и выводит их на экран в «человекочитаемом» формате. Wireshark содержит фильтры, цветовое кодирование и другие функции, которые позволяют Вам внедриться глубоко в сетевой трафик и осмотреть отдельные пакеты.
Это учебное руководство научит Вас быстрым основам захвата пакетов, фильтрации их, их анализа с помощью программы Wireshark. Вы сможете анализировать с помощью программы Wireshark сетевой трафик подозрительных программ, анализировать трафик в Вашей сети или решать сетевые проблемы.
Скачиваем Wireshark
Вы можете скачать Wireshark для Windows или Mac OS X с официального сайта. Если вы используете Linux или другую Unix-подобную систему, скорее всего Wireshark уже присутствует в репозитории Вашего дистрибутива. К примеру, если Вы используете Ubuntu, вы найдете Wireshark в Ubuntu Software Center.
Небольшое предупреждение: многие организации запрещают использовать программу Wireshark и подобные ей программы сканирования сети в своей сети. Не используйте систему на работе, если не обладаете достаточными полномочиями.
Захват пакетов программой Wireshark
После скачивания и установки Wireshark, вы можете запустить его и кликнуть на сетевом устройстве которое Вас интересует, выбрав его из перечня сетевых интерфейсов. Например, если Вы хотите захватить сетевой трафик беспроводной сети программой Wireshark? кликните на своем беспроводном интерфейсе. Вы можете так же перейти в продвинутые настройки захвата сетевого трафика, но этот пункт будет рассмотрен в другой статье.
После того, как Вы кликните на имени сетевого интерфейса, вы увидите пакеты, передаваемые по нему, в реальном времени. Wireshark захватывает каждый сетевой пакет отправляемый системой или системе. Если вы захватываете трафик беспроводной сети и включили мод «promiscuous» (мод неразборчивого режима), вы так же увидите и другие пакеты сети.
Нажмите на кнопку остановки захвата в верхнем левом углу окна когда заходите остановить захват сетевого трафика в Wireshark.
Цветное кодирование трафика в программе Wireshark
Вы скорее всего видите пакеты подсвеченными в зеленый, синий, черный цвет. Wireshark использует цвета, для упрощения идентификации типов трафика в списке. По-умолчанию трафик TCP — зеленый, темно-синый — DNS-трафик, светло-голубой — трафик UDP, а черным выделен TCP трафик с проблемными пакетами, например такой, который отправлен с ошибочным получателем.
Примеры захватов трафика из Wiki Wireshark
Если в вашей сети нет ничего интересного для сканирования, Wireshark Wiki вас спасет. Wiki содержит файлы с примерами захвата сетевого трафика, которые вы можете загрузить и проинспектировать.
Открыть файл захвата в программе Wireshark просто, для этого нажмите «Открыть» в окне главного меню и выбрать файл. Вы можете сохранить и открыть позже и собственные файлы захвата трафика.
Фильтрация пакетов в программе Wireshark
Если вы когда либо попробуете проанализировать сетевой трафик, такой как трафик программы, звонящей домой, фильтрация пакетов поможет вам выделить трафик только этой программы из этого массива. Наконец всегда, когда у вас будет большое количество пакетов в списке — фильтры Wireshark придут вам на помощь.
Простейший способ применения фильтра — ввод его в текстовое поле вверху и применение по нажатию на Enter. К примеру — наберите «dns» и вы выделите со списка все DNS пакеты. Кстати, когда вы начнете набирать фильтр — Wireshark поможет Вам с автозавершением названия фильтра, что очень удобно.
Вы так же можете кликнуть на меню анализа и выбрать «Display Filters» для создания нового фильтра.
Другой интересной возможностью Wireshark является возможность просмотреть содержимое пакета, кликнув правой кнопкой мыши и выбрав «Follow TCP Stream».
Так вы увидите весь «разговор» между сервером и клиентом по выбранному протоколу.
Закройте окно и вы увидите, что ваш фильтр принят автоматически — Wireshark покажет все пакеты, участвующие в этом общении сервера и клиента.
Анализ сетевых пакетов с помощью Wireshark
По клику на пакете из списка вы увидите снизу описание пакета и его содержимое.
С этого места так же можно создать фильтр — выделите какую-то деталь и нажмите применить в качестве фильтра для создания фильтра и применения его.
Wireshark — экстремально мощная программа, и эта статья просто камешек в горе возможностей этой программы. Профессионалы используют эту программу для наладки сетевого стека своих программ, анализа сетевой безопасности и прочего…
Источник: pcask.ru
Wireshark в Linux. Консольный анализатор сетевого трафика Tshark
Добро пожаловать на официальный сайт русской локализации сниффера Wireshark. Что же такое сниффер? Сниффер сети — это программа для анализа и перехвата трафика сети другого узла компьютерной сети. Только те данные, которые проходят через сетевую карту самого сниффера могут быть перехвачены и анализированы.
Таким образом, это делает ее нужной для моделирования, диагностики и перехвата личных паролей. Прослушивающий режим является базой для сетевых карт в снифферах, поэтому доступной является вся нужная информация.
Использование аппарата, являющегося определяющим для соединения нескольких узлов сети компьютера и передающего информацию непосредственно самому потребителю, таковым является коммутатор, именно он и служит непосредственной защитой от прослушивания. В настоящее время, на рынке снифферы представлены в огромных количествах, все являются различными по индивидуальным характеристикам.
Одним из них является Wireshark. Снифферы бывают двух видов, один из них Win-снифферы, их также еще называют Linux-снифферы, характеризующиеся тем же перехватом сетевого трафика по сети WiFi, использующие Windows-конфигурации, а также другой тип – online-снифферы, которые извлекают данные, в основном из сети Ethernet. Снифферы сети используются лишь с одной целью, чтобы изъять информацию о пользователе в максимальном объеме, такой информацией может быть как данные о местонахождении личности, так и чужой ip-адрес. Все это возможно при помощи данного приложения.
Основные возможности Wireshark
Перед тем, как переходить к рассмотрению способов анализа трафика, нужно рассмотреть, какие возможности поддерживает программа более подробно, с какими протоколами она может работать и что делать. Вот основные возможности программы:
- Захват пакетов в реальном времени из проводного или любого другого типа сетевых интерфейсов, а также чтение из файла;
- Поддерживаются такие интерфейсы захвата: Ethernet, IEEE 802.11, PPP и локальные виртуальные интерфейсы;
- Пакеты можно отсеивать по множеству параметров с помощью фильтров;
- Все известные протоколы подсвечиваются в списке разными цветами, например TCP, HTTP, FTP, DNS, ICMP и так далее;
- Поддержка захвата трафика VoIP-звонков;
- Поддерживается расшифровка HTTPS-трафика при наличии сертификата;
- Расшифровка WEP-, WPA-трафика беспроводных сетей при наличии ключа и handshake;
- Отображение статистики нагрузки на сеть;
- Просмотр содержимого пакетов для всех сетевых уровней;
- Отображение времени отправки и получения пакетов.
Программа имеет множество других функций, но это были те основные, которые могут вас заинтересовать.
Преимущества и недостатки Wireshark
- захват и анализ данных в режиме онлайн + цветовые подсказки;
- поддержка множества существующих протоколов;
- работа с захваченными файлами других программ (импорт, экспорт) + распаковка;
- кроссплатформенность (функционирует на базе Windows, Linux, Android, MacOS, Solaris и т.д.), имеется Portable версия без инсталляции;
- вывод на экран статистических данных и отчетности (с возможностью их дальнейшего сохранения);
- опция восстановления TCP сессий;
- графический и лаконичный интерфейс + простая установка;
- отсутствует русский язык.
Сегодня мы обсуждали мощный сниффер, обладающий высокими стандартами надежности. О нем написано много обзоров и подробных статей с инструкциями, с ним легко работать (несмотря на англоязычное меню и сетевые «тонкости», а его расширяемая функциональность позволяет достигнуть отличного результата в сфере сетевого мониторинга. Поверьте, у приложения масса незаменимых достоинств и по сути отсутствуют значительные недостатки.
Рекомендуем скачать Wireshark на нашем сайте – это абсолютно бесплатно. Обязательно тестируйте, пробуйте и оставляйте свои отзывы – нам будет очень интересно.
Как пользоваться Wireshark
Я предполагаю, что программа у вас уже установлена, но если нет, то вы можете ее установить из официальных репозиториев. Для этого наберите команду в Ubuntu:
sudo apt install wireshark
После установки вы сможете найти программу в главном меню дистрибутива. Запускать Wireshark нужно с правами суперпользователя, потому что иначе она не сможет анализировать сетевые пакеты. Это можно сделать из главного меню или через терминал с помощью команды для KDE:
А для Gnome / Unity:
Главное окно программы разделено на три части: первая колонка содержит список доступных для анализа сетевых интерфейсов, вторая — опции для открытия файлов, а третья — помощь.
Анализ сетевого трафика
Для начала анализа выберите сетевой интерфейс, например eth0, и нажмите кнопку Start.
После этого откроется следующее окно, уже с потоком пакетов, которые проходят через интерфейс. Это окно тоже разделено на несколько частей:
- Верхняя часть — это меню и панели с различными кнопками;
- Список пакетов — дальше отображается поток сетевых пакетов, которые вы будете анализировать;
- Содержимое пакета — чуть ниже расположено содержимое выбранного пакета, оно разбито по категориям в зависимости от транспортного уровня;
- Реальное представление — в самом низу отображается содержимое пакета в реальном виде, а также в виде HEX.
Вы можете кликнуть по любому пакету, чтобы проанализировать его содержимое:
Здесь мы видим пакет запроса к DNS, чтобы получить IP-адрес сайта, в самом запросе отправляется домен, а в пакете ответа мы получаем наш вопрос, а также ответ.
Для более удобного просмотра можно открыть пакет в новом окне, выполнив двойной клик по записи:
Фильтры Wireshark
Перебирать пакеты вручную, чтобы найти нужные, очень неудобно, особенно при активном потоке. Поэтому для такой задачи лучше использовать фильтры. Для ввода фильтров под меню есть специальная строка. Вы можете нажать Expression, чтобы открыть конструктор фильтров, но там их очень много, поэтому мы рассмотрим самые основные:
- ip.dst — целевой IP-адрес;
- ip.src — IP-адрес отправителя;
- ip.addr — IP отправителя или получателя;
- ip.proto — протокол;
- tcp.dstport — порт назначения;
- tcp.srcport — порт отправителя;
- ip.ttl — фильтр по ttl, определяет сетевое расстояние;
- http.request_uri — запрашиваемый адрес сайта.
Для указания отношения между полем и значением в фильтре можно использовать такие операторы:
Для объединения нескольких выражений можно применять:
- — оба выражения должны быть верными для пакета;
- || — может быть верным одно из выражений.
Теперь рассмотрим подробнее на примерах несколько фильтров и попытаемся понять все знаки отношений.
Сначала отфильтруем все пакеты, отправленные на 194.67.215.125 (losst.ru). Наберите строку в поле фильтра и нажмите Apply. Для удобства фильтры Wireshark можно сохранять с помощью кнопки Save:
А чтобы получить не только отправленные пакеты, но и полученные в ответ от этого узла, можно объединить два условия:
ip.dst == 194.67.215.125 || ip.src == 194.67.215.125
Дальше отберём пакеты с ttl меньше 10:
Также мы можем отобрать переданные большие файлы:
Источник: mycomp.su