Wireshark è lo standard de facto per l'analisi del traffico di rete. Sfortunatamente, diventa sempre più lento man mano che l'acquisizione dei pacchetti cresce. Dovrebbe risolve questo problema così bene che cambierà il tuo flusso di lavoro Wireshark.
Wireshark è fantastico, ma. . .
Wireshark è un meraviglioso software open source. Viene utilizzato da hobbisti e professionisti di tutto il mondo per indagare sui problemi di rete. Cattura i pacchetti di dati che viaggiano sui cavi o sull'etere della tua rete. Una volta che hai catturato il tuo traffico, Wireshark ti consente di filtrare e cercare i dati, tenere traccia delle conversazioni tra dispositivi di rete e molto altro.
Nonostante questo, buono quanto Wireshark, ha un ostacolo. File di acquisizione dati di rete (chiamate tracce di rete o acquisizioni di pacchetti) possono diventare molto grandi, molto velocemente. Ciò è particolarmente vero se il problema che stai cercando di indagare è complesso o sporadico., o se la rete è grande e occupata.
Maggiore è la cattura dei pacchetti (o PCAP), Wireshark diventa più lento. Basta aprire e caricare una traccia molto grande (niente di più 1 GB) potrebbe volerci così tanto tempo da pensare che Wireshark sia crollato e abbia abbandonato il fantasma.
Lavorare con file di quelle dimensioni è un vero grattacapo. Ogni volta che cerchi o cambi un filtro, devi attendere che gli effetti vengano applicati ai dati e aggiornati sullo schermo. Ogni ritardo interrompe la tua concentrazione, cosa può ostacolare i tuoi progressi?.
Dovrebbe è il rimedio a questi mali. Agisce come preprocessore front-end e interattivo per Wireshark. Quando vuoi vedere il livello granulare che Wireshark può fornire, Brim lo apre istantaneamente esattamente in quei pacchetti.
Se esegui molte acquisizioni di rete e analisi dei pacchetti, Brim rivoluzionerà il tuo flusso di lavoro.
IMPARENTATO: Come usare i filtri Wireshark su Linux
Installazione del bordo
Il bordo è molto nuovo, quindi non ha ancora raggiunto i repository software delle distribuzioni Linux. Nonostante questo, a Pagina di download del bordo, trova i file del pacchetto DEB e RPM, quindi installarlo su Ubuntu o Fedora è piuttosto semplice.
Se usi un'altra distribuzione, Maggio scarica il codice sorgente da GitHub e compila tu stesso l'app.
Usi di bordo zq
, uno strumento da riga di comando per Zeek record, quindi devi anche scaricare un file ZIP che contenga zq
binari.
Installazione Brim su Ubuntu
Se stai usando Ubuntu, dovrai scaricare il file del pacchetto DEB e zq
Archivio ZIP Linux. Fare doppio clic sul file del pacchetto DEB scaricato e si aprirà l'applicazione software Ubuntu. La licencia de Brim aparece erróneamente como “Propietaria”: utilizzare il Licenza BSD di 3 clausole.
Clicca su “Installare”.
Al termine dell'installazione, fare doppio clic su zq
File ZIP per avviare l'applicazione Archive Manager. Il file ZIP conterrà una singola directory; arrástrelo y suéltelo desde el “File manager” a una ubicación en su computadora, como el directorio “download”.
Escribimos lo siguiente para crear una ubicación para el zq
binari:
sudo mkdir /opt/zeek
Necesitamos copiar los binarios del directorio extraído a la ubicación que acabamos de crear. Sustituya la ruta y el nombre del directorio extraído en su máquina en el siguiente comando:
sudo cp Downloads/zq-v0.20.0.linux-amd64/* /opt/Zeek
Necesitamos agregar esa ubicación a la ruta, por lo que editaremos el archivo BASHRC:
sudo gedit .bashrc
Se abrirá el editor gedit. Scorri fino alla fine del file e poi digita questa riga:
esporta PERCORSO=$PERCORSO:/opt/zeek
Salva le modifiche e chiudi l'editor.
Installazione Brim su Fedora
Per installare Brim su Fedora, scarica il file del pacchetto RPM (invece di DEB) e quindi segui gli stessi passaggi che abbiamo coperto per l'installazione di Ubuntu sopra.
curiosamente, quando il file RPM viene aperto in Fedora, è correttamente identificato come una licenza open source, invece di un proprietario.
Lancio dell'orlo
Clicca su “Mostra app” en el dock o presione Super + UN. Scriba “dovrebbe” en el cuadro de búsqueda y posteriormente haga clic en “dovrebbe” quando appare.
Brim si avvia e visualizza la sua finestra principale. Puoi cliccare su “Seleccionar archivos” para abrir un explorador de archivos, oppure trascina e rilascia un file PCAP nell'area circondata dal rettangolo rosso.
Brim utilizza un display a schede e può avere più schede aperte contemporaneamente. Per aprire una nuova scheda, fai clic sul segno più (+) in alto e poi seleziona un altro PCAP.
Nozioni di base sui bordi
Brim carica e indicizza il file selezionato. L'indice è uno dei motivi per cui Brim è così veloce. La ventana principal contiene un histograma de volúmenes de paquetes a lo largo del tiempo y una lista de “flujos” de red.
Un file PCAP contiene un flusso di pacchetti di rete ordinati in base al tempo per un gran numero di connessioni di rete. I pacchetti dati per le varie connessioni sono mischiati perché alcuni di essi saranno stati aperti contemporaneamente. Los paquetes de cada “conversación” de la red se intercalan con los paquetes de otras conversaciones.
Wireshark mostra il flusso di rete pacchetto per pacchetto, mientras que Brim utiliza un concepto llamado “flujos”. Un flusso è uno scambio di rete completo (o conversazione) inserisci i dispositivi. Ogni tipo di flusso è classificato, codificati a colori ed etichettati per tipo di flusso. Verá flujos etiquetados como “dns”, “ssh”, “https”, “ssl” y muchos más.
Se scorri la schermata di riepilogo del flusso verso sinistra o verso destra, verranno visualizzate molte più colonne. Inoltre è possibile regolare il periodo di tempo per visualizzare il sottoinsieme di informazioni che si desidera vedere. Prossimo, vengono mostrati alcuni modi in cui è possibile visualizzare i dati:
- Fare clic su una barra dell'istogramma per ingrandire l'attività di rete al suo interno.
- Fare clic e trascinare per evidenziare un intervallo sulla visualizzazione dell'istogramma e ingrandire. Brim visualizzerà i dati per la sezione evidenziata.
- Además puede especificar períodos exactos en los campos “Data” e “Ora”.
L'orlo può mostrare due pannelli laterali: uno a sinistra e uno a destra. Questi possono essere nascosti o rimanere visibili. Il pannello di sinistra mostra una cronologia di ricerca e un elenco di PCAP aperti, chiamati spazi. Ctrl pressione +[ per attivare o disattivare il riquadro sinistro.
Il riquadro a destra contiene informazioni dettagliate sul flusso evidenziato. Premi Ctrl+] per attivare o disattivare il riquadro di destra.
Clicca su “Collegare” nell'elenco “Correlación de UID” para abrir un diagrama de conexión para el flujo resaltado.
Nella finestra principale, puoi anche evidenziare uno stream e quindi fare clic sull'icona Wireshark. Questo avvia Wireshark con i pacchetti dal flusso evidenziato visualizzati.
Wireshark apre e mostra i pacchetti di interesse.
Filtrato in Brim
La ricerca e il filtraggio in Brim sono flessibili e completi, ma non hai bisogno di imparare un nuovo linguaggio di filtraggio se non vuoi. Puoi creare un filtro sintatticamente corretto in Brim facendo clic sui campi nella finestra di riepilogo e quindi selezionando le opzioni da un menu.
Come esempio, nell'immagine qui sotto, hicimos clic con el botón derecho en un campo “dns”. Successivamente, seleccionaremos “Filtro = Valor” nel menu contestuale.
Quindi accadono le seguenti cose:
- Il testo
_path = "dns"
viene aggiunto alla barra di ricerca. - Quel filtro viene applicato al file PCAP, quindi mostrerà solo i flussi che sono flussi di Domain Name Service (DNS).
- Inoltre, il testo del filtro viene aggiunto alla cronologia delle ricerche nel riquadro di sinistra.
Possiamo aggiungere più clausole al termine di ricerca usando la stessa tecnica. Faremo clic con il pulsante destro del mouse sul campo dell'indirizzo IP (contenente "192.168.1.26") nella colonna "Id.orig_h", e successivamente selezioneremo "Filtro = Valore" nel menu contestuale.
Questo aggiunge la clausola aggiuntiva come clausola AND. La schermata è ora filtrata per mostrare i flussi DNS originati da quell'indirizzo IP (192.168.1.26).
Il nuovo termine del filtro viene aggiunto alla cronologia delle ricerche nel riquadro di sinistra. Puoi passare da una ricerca all'altra facendo clic sugli elementi nell'elenco della cronologia delle ricerche.
L'indirizzo IP di destinazione per la maggior parte dei nostri dati trapelati è 81.139.56.100. Per vedere quali flussi DNS sono stati inviati a diversi indirizzi IP, facciamo clic destro su “81.139.56.100” nella colonna “Id_resp_h” e poi selezioniamo “Filtro! = Valore ”nel menu contestuale.
Solo un flusso DNS che ha avuto origine da 192.168.1.26 non è stato inviato a 81.139.56.100, e lo abbiamo localizzato senza dover scrivere nulla per creare il nostro filtro.
Impostazione delle clausole di filtro
Cuando hacemos clic con el botón derecho en un flujo “HTTP” Fare clic sulla mappa per scegliere il fuso orario e la posizione “Filtro = Valor” nel menu contestuale, il pannello di riepilogo mostrerà solo i flussi HTTP. Successivamente possiamo fare clic sull'icona Pin accanto alla clausola del filtro HTTP.
La clausola HTTP è ora fissata sul posto, e qualsiasi altro filtro o termine di ricerca che utilizziamo verrà eseguito con la clausola HTTP anteposta.
Se scriviamo “OTTENERE” nella barra di ricerca, la ricerca sarà limitata ai flussi che sono già stati filtrati dal set di clausole. Puoi impostare tutte le clausole di filtro di cui hai bisogno.
Per cercare i pacchetti POST nei flussi HTTP, cancelliamo semplicemente la barra di ricerca, abbiamo scritto “INVIARE” e quindi premere INVIO.
Lo scorrimento laterale rivela l'ID host remoto.
Todos los términos de búsqueda y filtrado se agregan a la lista “Disco”. Per riapplicare qualsiasi filtro, basta fare clic su di esso.
Puoi anche cercare un host remoto per nome.
Modifica i termini di ricerca
Se vuoi cercare qualcosa, ma non vede un tale flusso, puoi fare clic su qualsiasi stream e modificare la voce nella barra di ricerca.
Come esempio, sappiamo che deve esserci almeno un flusso SSH nel file PCAP perché usiamo rsync
per inviare alcuni file a un altro computer, ma non possiamo vederli.
Quindi, faremo clic con il tasto destro su un altro flusso, seleccionaremos “Filtro = Valor” en el menú contextual y posteriormente editaremos la barra de búsqueda para que diga “ssh” invece di “dns”.
Premiamo Invio per cercare i flussi SSH e scopriamo che ce n'è solo uno.
Premendo Ctrl +]si apre il riquadro di destra, mostrando i dettagli di questo flusso. Se un file è stato trasferito durante un flusso, il MD5, SHA1, e SHA256 gli hash appaiono.
Haga clic con el botón derecho en cualquiera de estos y posteriormente seleccione “Búsqueda de VirusTotal” en el menú contextual para abrir su navegador en la VirusTotale portale web e passa l'hash per la verifica.
VirusTotal memorizza gli hash di malware noti e altri file dannosi. Se non sei sicuro che un file sia sicuro, questo è un modo semplice per verificare, anche se non hai più accesso al file.
Se il file è benigno, vedrai la schermata mostrata nell'immagine qui sotto.
Il complemento perfetto per Wireshark
Brim rende il lavoro con Wireshark ancora più semplice e veloce consentendo di lavorare con file di acquisizione di pacchetti molto grandi. Provalo oggi!