Trasforma il tuo flusso di lavoro Wireshark con Brim su Linux

Contenuti

Cavi Ethernet a colori.

Wireshark è lo standard de facto per l'analisi del traffico di rete. Sfortunatamente, diventa sempre più lento man mano che l'acquisizione dei pacchetti cresce. Dovrebbe risolve questo problema così bene che cambierà il tuo flusso di lavoro Wireshark.

Wireshark è fantastico, ma. . .

Wireshark è un meraviglioso software open source. Viene utilizzato da hobbisti e professionisti di tutto il mondo per indagare sui problemi di rete. Cattura i pacchetti di dati che viaggiano sui cavi o sull'etere della tua rete. Una volta che hai catturato il tuo traffico, Wireshark ti consente di filtrare e cercare i dati, tenere traccia delle conversazioni tra dispositivi di rete e molto altro.

Nonostante questo, buono quanto Wireshark, ha un ostacolo. File di acquisizione dati di rete (chiamate tracce di rete o acquisizioni di pacchetti) possono diventare molto grandi, molto velocemente. Ciò è particolarmente vero se il problema che stai cercando di indagare è complesso o sporadico., o se la rete è grande e occupata.

Maggiore è la cattura dei pacchetti (o PCAP), Wireshark diventa più lento. Basta aprire e caricare una traccia molto grande (niente di più 1 GB) potrebbe volerci così tanto tempo da pensare che Wireshark sia crollato e abbia abbandonato il fantasma.

Lavorare con file di quelle dimensioni è un vero grattacapo. Ogni volta che cerchi o cambi un filtro, devi attendere che gli effetti vengano applicati ai dati e aggiornati sullo schermo. Ogni ritardo interrompe la tua concentrazione, cosa può ostacolare i tuoi progressi?.

Dovrebbe è il rimedio a questi mali. Agisce come preprocessore front-end e interattivo per Wireshark. Quando vuoi vedere il livello granulare che Wireshark può fornire, Brim lo apre istantaneamente esattamente in quei pacchetti.

Se esegui molte acquisizioni di rete e analisi dei pacchetti, Brim rivoluzionerà il tuo flusso di lavoro.

IMPARENTATO: Come usare i filtri Wireshark su Linux

Installazione del bordo

Il bordo è molto nuovo, quindi non ha ancora raggiunto i repository software delle distribuzioni Linux. Nonostante questo, a Pagina di download del bordo, trova i file del pacchetto DEB e RPM, quindi installarlo su Ubuntu o Fedora è piuttosto semplice.

Se usi un'altra distribuzione, Maggio scarica il codice sorgente da GitHub e compila tu stesso l'app.

Usi di bordo zq, uno strumento da riga di comando per Zeek record, quindi devi anche scaricare un file ZIP che contenga zq binari.

Installazione Brim su Ubuntu

Se stai usando Ubuntu, dovrai scaricare il file del pacchetto DEB e zq Archivio ZIP Linux. Fare doppio clic sul file del pacchetto DEB scaricato e si aprirà l'applicazione software Ubuntu. La licencia de Brim aparece erróneamente comoPropietaria”: utilizzare il Licenza BSD di 3 clausole.

Clicca su “Installare”.

Clicca su "Installare".

Al termine dell'installazione, fare doppio clic su zq File ZIP per avviare l'applicazione Archive Manager. Il file ZIP conterrà una singola directory; arrástrelo y suéltelo desde el “File manager” a una ubicación en su computadora, como el directorio “download”.

Escribimos lo siguiente para crear una ubicación para el zq binari:

sudo mkdir /opt/zeek

Necesitamos copiar los binarios del directorio extraído a la ubicación que acabamos de crear. Sustituya la ruta y el nombre del directorio extraído en su máquina en el siguiente comando:

sudo cp Downloads/zq-v0.20.0.linux-amd64/* /opt/Zeek

Necesitamos agregar esa ubicación a la ruta, por lo que editaremos el archivo BASHRC:

sudo gedit .bashrc

Se abrirá el editor gedit. Scorri fino alla fine del file e poi digita questa riga:

esporta PERCORSO=$PERCORSO:/opt/zeek

Il file BASHRC nell'editor gedit con la riga export PATH = $ IL PERCORSO: / optare / zeek.

Salva le modifiche e chiudi l'editor.

Installazione Brim su Fedora

Per installare Brim su Fedora, scarica il file del pacchetto RPM (invece di DEB) e quindi segui gli stessi passaggi che abbiamo coperto per l'installazione di Ubuntu sopra.

curiosamente, quando il file RPM viene aperto in Fedora, è correttamente identificato come una licenza open source, invece di un proprietario.

Lancio dell'orlo

Clicca su “Mostra app” en el dock o presione Super + UN. Scriba “dovrebbe” en el cuadro de búsqueda y posteriormente haga clic en “dovrebbe” quando appare.

scrive

Brim si avvia e visualizza la sua finestra principale. Puoi cliccare su “Seleccionar archivospara abrir un explorador de archivos, oppure trascina e rilascia un file PCAP nell'area circondata dal rettangolo rosso.

La finestra principale di Brim dopo l'avvio.

Brim utilizza un display a schede e può avere più schede aperte contemporaneamente. Per aprire una nuova scheda, fai clic sul segno più (+) in alto e poi seleziona un altro PCAP.

Nozioni di base sui bordi

Brim carica e indicizza il file selezionato. L'indice è uno dei motivi per cui Brim è così veloce. La ventana principal contiene un histograma de volúmenes de paquetes a lo largo del tiempo y una lista deflujosde red.

La finestra principale di Brim con un file PCAP caricato.

Un file PCAP contiene un flusso di pacchetti di rete ordinati in base al tempo per un gran numero di connessioni di rete. I pacchetti dati per le varie connessioni sono mischiati perché alcuni di essi saranno stati aperti contemporaneamente. Los paquetes de cadaconversaciónde la red se intercalan con los paquetes de otras conversaciones.

Wireshark mostra il flusso di rete pacchetto per pacchetto, mientras que Brim utiliza un concepto llamadoflujos”. Un flusso è uno scambio di rete completo (o conversazione) inserisci i dispositivi. Ogni tipo di flusso è classificato, codificati a colori ed etichettati per tipo di flusso. Verá flujos etiquetados comodns”, “ssh”, “https”, “ssly muchos más.

Se scorri la schermata di riepilogo del flusso verso sinistra o verso destra, verranno visualizzate molte più colonne. Inoltre è possibile regolare il periodo di tempo per visualizzare il sottoinsieme di informazioni che si desidera vedere. Prossimo, vengono mostrati alcuni modi in cui è possibile visualizzare i dati:

  • Fare clic su una barra dell'istogramma per ingrandire l'attività di rete al suo interno.
  • Fare clic e trascinare per evidenziare un intervallo sulla visualizzazione dell'istogramma e ingrandire. Brim visualizzerà i dati per la sezione evidenziata.
  • Además puede especificar períodos exactos en los campos “Data” e “Ora”.

L'orlo può mostrare due pannelli laterali: uno a sinistra e uno a destra. Questi possono essere nascosti o rimanere visibili. Il pannello di sinistra mostra una cronologia di ricerca e un elenco di PCAP aperti, chiamati spazi. Ctrl pressione +[ per attivare o disattivare il riquadro sinistro.

Il

Il riquadro a destra contiene informazioni dettagliate sul flusso evidenziato. Premi Ctrl+] per attivare o disattivare il riquadro di destra.

Un pannello di

Clicca su “Collegare” nell'elenco “Correlación de UIDpara abrir un diagrama de conexión para el flujo resaltado.

Clicca su

Nella finestra principale, puoi anche evidenziare uno stream e quindi fare clic sull'icona Wireshark. Questo avvia Wireshark con i pacchetti dal flusso evidenziato visualizzati.

Wireshark apre e mostra i pacchetti di interesse.

I pacchetti Brim selezionati vengono visualizzati in Wireshark.

Filtrato in Brim

La ricerca e il filtraggio in Brim sono flessibili e completi, ma non hai bisogno di imparare un nuovo linguaggio di filtraggio se non vuoi. Puoi creare un filtro sintatticamente corretto in Brim facendo clic sui campi nella finestra di riepilogo e quindi selezionando le opzioni da un menu.

Come esempio, nell'immagine qui sotto, hicimos clic con el botón derecho en un campodns”. Successivamente, seleccionaremosFiltro = Valor” nel menu contestuale.

Un menu contestuale nella finestra di riepilogo.

Quindi accadono le seguenti cose:

  • Il testo _path = "dns" viene aggiunto alla barra di ricerca.
  • Quel filtro viene applicato al file PCAP, quindi mostrerà solo i flussi che sono flussi di Domain Name Service (DNS).
  • Inoltre, il testo del filtro viene aggiunto alla cronologia delle ricerche nel riquadro di sinistra.

Una schermata di riepilogo filtrata per DNS.

Possiamo aggiungere più clausole al termine di ricerca usando la stessa tecnica. Faremo clic con il pulsante destro del mouse sul campo dell'indirizzo IP (contenente "192.168.1.26") nella colonna "Id.orig_h", e successivamente selezioneremo "Filtro = Valore" nel menu contestuale.

Questo aggiunge la clausola aggiuntiva come clausola AND. La schermata è ora filtrata per mostrare i flussi DNS originati da quell'indirizzo IP (192.168.1.26).

Una schermata di riepilogo filtrata per tipo di flusso e indirizzo IP.

Il nuovo termine del filtro viene aggiunto alla cronologia delle ricerche nel riquadro di sinistra. Puoi passare da una ricerca all'altra facendo clic sugli elementi nell'elenco della cronologia delle ricerche.

L'indirizzo IP di destinazione per la maggior parte dei nostri dati trapelati è 81.139.56.100. Per vedere quali flussi DNS sono stati inviati a diversi indirizzi IP, facciamo clic destro su “81.139.56.100” nella colonna “Id_resp_h” e poi selezioniamo “Filtro! = Valore ”nel menu contestuale.

Schermata di riepilogo con un filtro di ricerca contenente una clausola

Solo un flusso DNS che ha avuto origine da 192.168.1.26 non è stato inviato a 81.139.56.100, e lo abbiamo localizzato senza dover scrivere nulla per creare il nostro filtro.

Impostazione delle clausole di filtro

Cuando hacemos clic con el botón derecho en un flujo “HTTP” Fare clic sulla mappa per scegliere il fuso orario e la posizione “Filtro = Valor” nel menu contestuale, il pannello di riepilogo mostrerà solo i flussi HTTP. Successivamente possiamo fare clic sull'icona Pin accanto alla clausola del filtro HTTP.

La clausola HTTP è ora fissata sul posto, e qualsiasi altro filtro o termine di ricerca che utilizziamo verrà eseguito con la clausola HTTP anteposta.

Se scriviamo “OTTENERE” nella barra di ricerca, la ricerca sarà limitata ai flussi che sono già stati filtrati dal set di clausole. Puoi impostare tutte le clausole di filtro di cui hai bisogno.

Per cercare i pacchetti POST nei flussi HTTP, cancelliamo semplicemente la barra di ricerca, abbiamo scritto “INVIARE” e quindi premere INVIO.

Lo scorrimento laterale rivela l'ID host remoto.

La spina

Todos los términos de búsqueda y filtrado se agregan a la lista “Disco”. Per riapplicare qualsiasi filtro, basta fare clic su di esso.

La lista

Puoi anche cercare un host remoto per nome.

ricerca

Modifica i termini di ricerca

Se vuoi cercare qualcosa, ma non vede un tale flusso, puoi fare clic su qualsiasi stream e modificare la voce nella barra di ricerca.

Come esempio, sappiamo che deve esserci almeno un flusso SSH nel file PCAP perché usiamo rsync per inviare alcuni file a un altro computer, ma non possiamo vederli.

Quindi, faremo clic con il tasto destro su un altro flusso, seleccionaremosFiltro = Valoren el menú contextual y posteriormente editaremos la barra de búsqueda para que diga “ssh” invece di “dns”.

Premiamo Invio per cercare i flussi SSH e scopriamo che ce n'è solo uno.

Un flusso SSH nella finestra di riepilogo.

Premendo Ctrl +]si apre il riquadro di destra, mostrando i dettagli di questo flusso. Se un file è stato trasferito durante un flusso, il MD5, SHA1, e SHA256 gli hash appaiono.

Haga clic con el botón derecho en cualquiera de estos y posteriormente seleccioneBúsqueda de VirusTotalen el menú contextual para abrir su navegador en la VirusTotale portale web e passa l'hash per la verifica.

VirusTotal memorizza gli hash di malware noti e altri file dannosi. Se non sei sicuro che un file sia sicuro, questo è un modo semplice per verificare, anche se non hai più accesso al file.

Le opzioni del menu contestuale hash.

Se il file è benigno, vedrai la schermata mostrata nell'immagine qui sotto.

Una domanda

Il complemento perfetto per Wireshark

Brim rende il lavoro con Wireshark ancora più semplice e veloce consentendo di lavorare con file di acquisizione di pacchetti molto grandi. Provalo oggi!

Iscriviti alla nostra Newsletter

Non ti invieremo posta SPAM. Lo odiamo quanto te.