Wireshark est la norme de facto pour l'analyse du trafic réseau. Malheureusement, devient de plus en plus lent à mesure que la capture de paquets augmente. Devrait résout si bien ce problème qu'il changera votre flux de travail Wireshark.
Wireshark est génial, mais. . .
Wireshark est un merveilleux logiciel open source. Il est utilisé par les amateurs et les professionnels du monde entier pour enquêter sur les problèmes de réseau. Capturez les paquets de données circulant sur les câbles ou l'éther de votre réseau. Une fois que vous avez capturé votre trafic, Wireshark vous permet de filtrer et de rechercher des données, suivre les conversations entre les périphériques réseau et bien plus encore.
Malgré cela, aussi bon que Wireshark est, a un obstacle. Fichiers de capture de données réseau (appelées traces réseau ou captures de paquets) ils peuvent devenir très gros, très rapidement. Cela est particulièrement vrai si le problème que vous essayez d'étudier est complexe ou sporadique., ou si le réseau est grand et occupé.
Plus la capture de paquets est élevée (o PCAP), Wireshark devient plus lent. Il suffit d'ouvrir et de charger une très grande trace (plus rien 1 FR) cela peut prendre tellement de temps que vous penseriez que Wireshark s'est effondré et a abandonné le fantôme.
Travailler avec des fichiers de cette taille est un vrai casse-tête. Chaque fois que vous recherchez ou modifiez un filtre, vous devez attendre que les effets soient appliqués aux données et mis à jour à l'écran. Chaque retard interrompt votre concentration, ce qui peut entraver votre progression.
Devrait est le remède à ces maux. Agit comme préprocesseur frontal et interactif pour Wireshark. Lorsque vous voulez voir le niveau granulaire que Wireshark peut fournir, Brim l'ouvre instantanément exactement dans ces emballages.
Si vous effectuez beaucoup de captures réseau et d'analyses de paquets, Brim va révolutionner votre flux de travail.
EN RELATION: Comment utiliser les filtres Wireshark sous Linux
Installation du bord
Le bord est très nouveau, il n'a donc pas encore atteint les référentiels logiciels des distributions Linux. Malgré cela, dans le Page de téléchargement de Brim, rechercher les fichiers de package DEB et RPM, donc l'installer sur Ubuntu ou Fedora est assez simple.
Si vous utilisez une autre distribution, il peut télécharger le code source depuis GitHub et compilez l'application vous-même.
Edge utilise zq, un outil en ligne de commande pour Zeek enregistrements, vous devez donc également télécharger un fichier ZIP qui contient zq binaires.
Installation du bord sur Ubuntu
Si vous utilisez Ubuntu, vous devrez télécharger le fichier de package DEB et zq Archive Linux ZIP. Double-cliquez sur le fichier de package DEB téléchargé et l'application logicielle Ubuntu s'ouvrira. La licence de Brim est répertoriée par erreur comme “Propriétaire”: Utilisez le Licence BSD de 3 clauses.
Cliquez sur “Installer”.
Lorsque l'installation est terminée, double-cliquez sur le zq Fichier ZIP pour démarrer l'application Archive Manager. Le fichier ZIP contiendra un seul répertoire; faites-le glisser et déposez-le à partir du “Gestionnaire de fichiers” à un emplacement sur votre ordinateur, comme répertoire “téléchargements”.
Nous avons écrit ce qui suit pour créer un emplacement pour le zq binaires:
sudo mkdir /opt/zeek
Nous devons copier les fichiers binaires du répertoire extrait vers l’emplacement que nous venons de créer. remplacez le chemin d’accès et le nom du répertoire extrait sur votre ordinateur dans la commande suivante:
sudo cp Téléchargements/zq-v0.20.0.linux-amd64/* /opt/Zeek
Nous devons ajouter cet emplacement à l’itinéraire, nous allons donc éditer le fichier BASHRC:
sudo gedit .bashrc
L’éditeur gedit s’ouvre. Faites défiler vers le bas du fichier, puis tapez cette ligne:
export CHEMIN=$CHEMIN:/opt/zeek
Enregistrez vos modifications et fermez l'éditeur.
Installation du bord sur Fedora
Pour installer Brim sur Fedora, télécharger le fichier du package RPM (au lieu de DEB) puis suivez les mêmes étapes que nous avons couvertes pour l'installation d'Ubuntu ci-dessus.
avec curiosité, lorsque le fichier RPM est ouvert dans Fedora, est correctement identifié comme une licence open source, au lieu d'un propriétaire.
Lancement du bord
Cliquez sur “Afficher les applications” dans le dock ou appuyez sur Super + UNE. Scribe “devrait” dans la zone de recherche, puis cliquez sur “devrait” quand il apparaît.
Brim démarre et affiche sa fenêtre principale. Vous pouvez cliquer sur “Sélectionner des fichiers” pour ouvrir un explorateur de fichiers, ou faites glisser et déposez un fichier PCAP dans la zone entourée par le rectangle rouge.
Brim utilise un affichage à onglets et peut avoir plusieurs onglets ouverts simultanément. Pour ouvrir un nouvel onglet, cliquez sur le signe plus (+) en haut, puis sélectionnez un autre PCAP.
Notions de base sur les bords
Brim charge et indexe le fichier sélectionné. L'index est l'une des raisons pour lesquelles Brim est si rapide. La fenêtre principale contient un histogramme des volumes de paquets au fil du temps et une liste des “Flux” réseau.
Un fichier PCAP contient un flux de paquets réseau classés par heure pour un grand nombre de connexions réseau. Les paquets de données pour les différentes connexions sont entremêlés car certains d'entre eux auront été ouverts en même temps. Les forfaits de chaque “conversation” du réseau sont entrecoupés de paquets provenant d’autres conversations.
Wireshark affiche le flux réseau paquet par paquet, tandis que Brim utilise un concept appelé “Flux”. Un flux est un échange réseau complet (ou conversation) entrer les appareils. Chaque type de flux est catégorisé, code couleur et étiqueté par type de flux. Vous verrez des flux étiquetés comme “DNS”, “ssh”, “https”, “ssl” et beaucoup plus.
Si vous faites défiler l'écran de résumé du flux vers la gauche ou la droite, beaucoup plus de colonnes seront affichées. De plus, vous pouvez ajuster la période de temps pour afficher le sous-ensemble d'informations que vous souhaitez voir. Ensuite, certaines façons dont vous pouvez afficher les données sont affichées:
- Cliquez sur une barre d'histogramme pour zoomer sur l'activité du réseau en son sein.
- Cliquez et faites glisser pour mettre en surbrillance une plage sur l'affichage de l'histogramme et effectuer un zoom avant. Brim affichera les données de la section en surbrillance.
- Vous pouvez également spécifier des périodes exactes dans les champs “Date” et “Heure”.
Le bord peut montrer deux panneaux latéraux: un à gauche et un à droite. Ceux-ci peuvent être cachés ou rester visibles. Le panneau de gauche affiche un historique de recherche et une liste des PCAP ouverts, appelés espaces. Présion Ctrl +[ pour activer ou désactiver le volet gauche.
Le volet de droite contient des informations détaillées sur le flux mis en évidence. Appuyez sur Ctrl+] pour activer ou désactiver le volet de droite.
Cliquez sur “Relier” dans la liste “Corrélation UID” pour ouvrir un diagramme de connexion pour le flux mis en surbrillance.
Dans la fenêtre principale, vous pouvez également mettre en surbrillance un flux, puis cliquer sur l'icône Wireshark. Cela lance Wireshark avec les paquets du flux en surbrillance affichés.
Wireshark s'ouvre et affiche les packages d'intérêt.
Filtré dans Brim
La recherche et le filtrage dans Brim sont flexibles et complets, mais vous n'avez pas besoin d'apprendre une nouvelle langue de filtrage si vous ne voulez pas. Vous pouvez créer un filtre syntaxiquement correct dans Brim en cliquant sur les champs de la fenêtre de résumé, puis en sélectionnant des options dans un menu.
Par exemple, dans l'image ci-dessous, nous avons cliqué avec le bouton droit de la souris sur un champ “DNS”. Plus tard, nous sélectionnerons “Filtre = Valeur” dans le menu contextuel.
Ensuite, les choses suivantes se produisent:
- Le texte
_path = "dns"est ajouté à la barre de recherche. - Ce filtre est appliqué au fichier PCAP, il n'affichera donc que les flux qui sont des flux de service de nom de domaine (DNS).
- De plus, le texte du filtre est ajouté à l'historique de recherche dans le volet de gauche.
Nous pouvons ajouter plus de clauses au terme de recherche en utilisant la même technique. Nous allons faire un clic droit sur le champ d'adresse IP (contenant "192.168.1.26") dans la colonne "Id.orig_h", et plus tard nous sélectionnerons "Filter = Value" dans le menu contextuel.
Cela ajoute la clause supplémentaire en tant que clause AND. L'écran est maintenant filtré pour afficher les flux DNS provenant de cette adresse IP (192.168.1.26).
Le nouveau terme de filtre est ajouté à l'historique de recherche dans le volet de gauche. Vous pouvez passer d'une recherche à une autre en cliquant sur les éléments de la liste de l'historique des recherches.
L'adresse IP de destination pour la plupart de nos données divulguées est 81.139.56.100. Pour voir quels flux DNS ont été envoyés aux différentes adresses IP, on fait un clic droit sur « 81.139.56.100 » dans la colonne « Id_resp_h » puis on sélectionne « Filtrer! = Valeur » dans le menu contextuel.
Juste un flux DNS qui provient de 192.168.1.26 n'a pas été envoyé à 81.139.56.100, et nous l'avons localisé sans avoir à écrire quoi que ce soit pour créer notre filtre.
Définition des clauses de filtre
Lorsque nous faisons un clic droit sur un flux “HTTP” et sélectionnez “Filtre = Valeur” dans le menu contextuel, le panneau récapitulatif n'affichera que les flux HTTP. Plus tard, nous pouvons cliquer sur l'icône Pin à côté de la clause de filtre HTTP.
La clause HTTP est maintenant fixée en place, et tout autre filtre ou terme de recherche que nous utilisons sera exécuté avec la clause HTTP préfixée.
Si nous écrivons “AVOIR” dans la barre de recherche, la recherche sera restreinte aux flux déjà filtrés par le jeu de clauses. Vous pouvez définir autant de clauses de filtrage que vous le souhaitez.
Pour rechercher des paquets POST dans les flux HTTP, nous supprimons simplement la barre de recherche, on a écrit “PUBLIER” puis appuyez sur Entrée.
Le défilement latéral révèle l'ID de l'hôte distant.
Tous les termes de recherche et de filtrage sont ajoutés à la liste “Enregistrer”. Pour réappliquer n'importe quel filtre, il suffit de cliquer dessus.
Vous pouvez également rechercher un hôte distant par son nom.
Modifier les termes de recherche
Si vous voulez rechercher quelque chose, mais il ne voit pas un tel flux, vous pouvez un clic sur n'importe quel flux et modifier l'entrée dans la barre de recherche.
Par exemple, nous savons qu'il doit y avoir au moins un flux SSH dans le fichier PCAP car nous utilisons rsync envoyer des fichiers vers un autre ordinateur, mais on ne les voit pas.
Ensuite, nous ferons un clic droit sur un autre flux, nous sélectionnerons “Filtre = Valeur” dans le menu contextuel, puis nous modifierons la barre de recherche pour dire “ssh” au lieu de “DNS”.
Nous appuyons sur Entrée pour rechercher des flux SSH et nous constatons qu'il n'y en a qu'un.
Appuyer sur Ctrl +]le volet de droite s'ouvre, montrant les détails de ce flux. Si un fichier a été transféré lors d'un flux, les MD5, SHA1, et SHA256 des hachages apparaissent.
Cliquez avec le bouton droit sur l’un de ces éléments, puis sélectionnez “Rechercher VirusTotal” dans le menu contextuel pour ouvrir votre navigateur dans le VirusTotal portail Web et passez le hachage pour vérification.
VirusTotal stocke les hachages des logiciels malveillants connus et d'autres fichiers malveillants. Si vous n'êtes pas sûr qu'un fichier est sûr, c'est un moyen facile de vérifier, même si vous n'avez plus accès au fichier.
Si le fichier est bénin, vous verrez l'écran montré dans l'image ci-dessous.
Le complément parfait à Wireshark
Brim rend le travail avec Wireshark encore plus rapide et plus facile en vous permettant de travailler avec de très gros fichiers de capture de paquets. Essayez-le aujourd'hui!
