Wireshark é o padrão de fato para analisar o tráfego de rede. Infelizmente, fica cada vez mais lento conforme a captura de pacotes cresce. Deve resolve este problema tão bem que mudará seu fluxo de trabalho Wireshark.
Wireshark é ótimo, mas. . .
Wireshark é um excelente software de código aberto. É usado por amadores e profissionais em todo o mundo para investigar problemas de rede. Capture pacotes de dados viajando pelos cabos ou éter de sua rede. Depois de capturar seu tráfego, O Wireshark permite que você filtre e pesquise dados, rastreie conversas entre dispositivos de rede e muito mais.
Apesar disto, tão bom quanto o Wireshark é, tem um obstáculo. Arquivos de captura de dados de rede (chamados de traços de rede ou capturas de pacotes) eles podem ficar muito grandes, muito rapidamente. Isso é especialmente verdadeiro se o problema que você está tentando investigar for complexo ou esporádico., ou se a rede for grande e ocupada.
Quanto maior for a captura de pacotes (o PCAP), mais lento o Wireshark se torna. Basta abrir e carregar um rastreamento muito grande (tudo acabado 1 GB) pode demorar tanto que você pensaria que o Wireshark entrou em colapso e abandonou o fantasma.
Trabalhar com arquivos desse tamanho é uma verdadeira dor de cabeça. Cada vez que você pesquisa ou altera um filtro, você deve esperar que os efeitos sejam aplicados aos dados e atualizados na tela. Cada atraso interrompe sua concentração, o que pode atrapalhar seu progresso.
Deve é o remédio para esses males. Atua como pré-processador front-end e interativo para Wireshark. Quando você deseja ver o nível granular que o Wireshark pode fornecer, Brim abre instantaneamente exatamente nesses pacotes.
Se você fizer muitas capturas de rede e análise de pacotes, Brim vai revolucionar seu fluxo de trabalho.
RELACIONADO: Como usar filtros Wireshark no Linux
Instalação da borda
Brim é muito novo, então ainda não atingiu os repositórios de software das distribuições Linux. Apesar disto, no Página de download da Brim, encontrar arquivos de pacote DEB e RPM, então instalá-lo no Ubuntu ou Fedora é muito simples.
Se você usar outra distribuição, poderia baixar código fonte do GitHub e compilar o aplicativo você mesmo.
Edge usa zq, uma ferramenta de linha de comando para Zeek registros, então você também deve baixar um arquivo ZIP que contém zq binários.
Instalação do Brim no Ubuntu
Si está usando Ubuntu, você precisará baixar o arquivo do pacote DEB e zq Arquivo ZIP Linux. Clique duas vezes no arquivo do pacote DEB baixado e o aplicativo de software Ubuntu abrirá. A licença de Brim está erroneamente listada como “Proprietário”: use o Licença BSD de 3 cláusulas.
Clique em “Instalar”.
Quando a instalação estiver completa, clique duas vezes no zq Arquivo ZIP para iniciar o aplicativo Archive Manager. O arquivo ZIP conterá um único diretório; arrastá-lo e soltá-lo a partir do “Gerenciador de arquivos” para um local em seu computador, como o diretório “Baixar”.
Escrevemos o seguinte para criar um local para o zq binários:
sudo mkdir / opt / zeek
Precisamos copiar os binários do diretório extraído para o local que acabamos de criar. Substitua o caminho e o nome do diretório extraído em sua máquina no seguinte comando:
sudo cp Downloads / zq-v0.20.0.linux-amd64 / * / opt / Zeek
Precisamos adicionar esse local à rota, então vamos editar o arquivo BASHRC:
sudo gedit .bashrc
O editor gedit irá abrir. Role até o final do arquivo e digite esta linha:
exportar PATH = $ PATH:/opt / zeek
Salve suas alterações e feche o editor.
Instalação do Brim no Fedora
Para instalar o Brim no Fedora, baixe o arquivo do pacote RPM (em vez de DEB) e siga as mesmas etapas que cobrimos para a instalação do Ubuntu acima.
curiosamente, quando o arquivo RPM é aberto no Fedora, está corretamente identificado como uma licença de código aberto, em vez de um dono.
Lançamento de borda
Clique em “Mostrar aplicativos” no dock ou pressionar Super + UMA. Escriba “deve” na caixa de pesquisa e, em seguida, clique “deve” quando aparece.
Brim inicia e exibe sua janela principal. Baixe Zappy gratuitamente “Selecione arquivos” para abrir um explorador de arquivos, ou arraste e solte um arquivo PCAP na área cercada pelo retângulo vermelho.
Brim usa uma tela com guias e pode ter várias guias abertas simultaneamente. Para abrir uma nova guia, clique no sinal de mais (+) na parte superior e selecione outro PCAP.
Noções básicas de borda
Brim carrega e indexa o arquivo selecionado. O índice é uma das razões pelas quais a Brim é tão rápida. A janela principal contém um histograma de volumes de pacotes ao longo do tempo e uma lista de “Fluxos” rede.
Um arquivo PCAP contém um fluxo de pacotes de rede ordenados por tempo para um grande número de conexões de rede. Os pacotes de dados para as várias conexões são misturados porque alguns deles terão sido abertos ao mesmo tempo. Os pacotes de cada “conversação” da rede são intercalados com pacotes de outras conversas.
O Wireshark mostra o fluxo de rede pacote por pacote, enquanto Brim usa um conceito chamado “Fluxos”. Um fluxo é uma troca de rede completa (ou conversa) entre dos dispositivos. Cada tipo de fluxo é categorizado, codificado por cores e rotulado por tipo de fluxo. Você verá fluxos rotulados como “DNS”, “ssh”, “https”, “ssl” e muitos mais.
Se você rolar a tela de resumo de fluxo para a esquerda ou direita, muito mais colunas serão exibidas. Além disso, você pode ajustar o período de tempo para exibir o subconjunto de informações que deseja ver. A seguir, algumas maneiras de ver os dados são mostrados:
- Clique em uma barra de histograma para ampliar a atividade de rede dentro dela.
- Clique e arraste para destacar um intervalo na exibição do histograma e aumentar o zoom. Brim exibirá os dados para a seção destacada.
- Você também pode especificar períodos exatos nos campos “Encontro” e “Hora”.
A borda pode mostrar dois painéis laterais: um à esquerda e um à direita. Eles podem estar ocultos ou permanecer visíveis. O painel esquerdo mostra um histórico de pesquisa e uma lista de PCAPs abertos, chamados espaços. Presione Ctrl +[ para ativar ou desativar o painel esquerdo.
O painel à direita contém informações detalhadas sobre o fluxo destacado. Pressione Ctrl +] para ativar ou desativar o painel direito.
Clique em “Ligar” na lista “Correlação UID” para abrir um diagrama de conexão para o fluxo destacado.
Na janela principal, você também pode destacar um stream e clicar no ícone do Wireshark. Isso inicia o Wireshark com os pacotes do fluxo destacado exibidos.
O Wireshark abre e mostra os pacotes de interesse.
Filtrado em Brim
A pesquisa e a filtragem no Brim são flexíveis e abrangentes, mas você não precisa aprender uma nova linguagem de filtragem se não quiser. Você pode criar um filtro sintaticamente correto no Brim clicando nos campos na janela de resumo e selecionando opções de um menu.
Como um exemplo, na imagem abaixo, nós clicamos com o direito em um campo “DNS”. Subseqüentemente, Selecionar “Filtro = Valor” no menu de contexto.
Então as seguintes coisas acontecem:
- O texto
_path = "dns"é adicionado à barra de pesquisa. - Esse filtro é aplicado ao arquivo PCAP, portanto, ele mostrará apenas os fluxos que são fluxos de serviço de nomes de domínio (DNS).
- Além disso, o texto do filtro é adicionado ao histórico de pesquisa no painel esquerdo.
Podemos adicionar mais cláusulas ao termo de pesquisa usando a mesma técnica. Vamos clicar com o botão direito no campo de endereço IP (contendo "192.168.1.26") na coluna "Id.orig_h", e depois selecionaremos "Filtro = Valor" no menu contextual.
Isso adiciona a cláusula adicional como uma cláusula AND. A tela agora está filtrada para mostrar os fluxos de DNS originados desse endereço IP (192.168.1.26).
O novo termo de filtro é adicionado ao histórico de pesquisa no painel esquerdo. Você pode pular de uma pesquisa para outra clicando nos itens da lista de histórico de pesquisa.
O endereço IP de destino para a maioria dos nossos dados vazados é 81.139.56.100. Para ver quais fluxos de DNS foram enviados para diferentes endereços IP, clicamos com o botão direito em “81.139.56.100” na coluna “Id_resp_h” e depois selecionamos “Filtro! = Valor ”no menu de contexto.
Apenas um fluxo de DNS originado de 192.168.1.26 não foi enviado para 81.139.56.100, e nós o localizamos sem ter que escrever nada para criar nosso filtro.
Definir cláusulas de filtro
Quando clicamos com o botão direito do mouse em um fluxo “HTTP” e selecionar “Filtro = Valor” no menu de contexto, o painel de resumo mostrará apenas streams HTTP. Mais tarde, podemos clicar no ícone Pin ao lado da cláusula de filtro HTTP.
A cláusula HTTP agora está fixada no lugar, e qualquer outro filtro ou termo de pesquisa que usarmos será executado com a cláusula HTTP prefixada.
Se escrevermos “PEGUE” na barra de pesquisa, a pesquisa será restrita aos fluxos que já foram filtrados pelo conjunto de cláusulas. Você pode definir quantas cláusulas de filtro forem necessárias.
Para pesquisar pacotes POST em fluxos HTTP, nós simplesmente apagamos a barra de pesquisa, nós escrevemos “PUBLICAR” Digitamos o seguinte para criar um diretório chamado.
A rolagem lateral revela o ID do host remoto.
Todos os termos de pesquisa e filtragem são adicionados à lista “Registro”. Para reaplicar qualquer filtro, apenas clique nele.
Você também pode pesquisar um host remoto por nome.
Editar termos de pesquisa
Se você quiser pesquisar por algo, mas ele não vê tal fluxo, você pode clicar em qualquer fluxo e editar a entrada na barra de pesquisa.
Como um exemplo, sabemos que deve haver pelo menos um fluxo SSH no arquivo PCAP porque usamos rsync para enviar alguns arquivos para outro computador, mas não podemos vê-los.
Então, vamos clicar com o botão direito em outro fluxo, Selecionar “Filtro = Valor” no menu de contexto e, em seguida, vamos editar a barra de pesquisa para dizer “ssh” ao invés de “DNS”.
Pressionamos Enter para pesquisar fluxos SSH e descobrimos que há apenas um.
Pressionando Ctrl +]o painel direito abre, mostrando os detalhes deste fluxo. Se um arquivo foi transferido durante um fluxo, a MD5, SHA1, e SHA256 hashes aparecem.
Clique com o botão direito do mouse em qualquer um desses e, em seguida, selecione “Busca por VirusTotal” no menu de contexto para abrir seu navegador no VirusTotal portal da web e passar o hash para verificação.
O VirusTotal armazena os hashes de malware conhecido e outros arquivos maliciosos. Se você não tem certeza se um arquivo é seguro, esta é uma maneira fácil de verificar, mesmo se você não tiver mais acesso ao arquivo.
Se o arquivo for benigno, você verá a tela mostrada na imagem abaixo.
O complemento perfeito para Wireshark
O Brim torna o trabalho com o Wireshark ainda mais rápido e fácil, permitindo que você trabalhe com arquivos de captura de pacotes muito grandes. Experimente hoje!
