Το Wireshark είναι το de facto πρότυπο για την ανάλυση της κυκλοφορίας του δικτύου. Δυστυχώς, καθίσταται ολοένα και πιο καθυστερημένο καθώς αυξάνεται η σύλληψη πακέτων. Χείλος λύνει αυτό το πρόβλημα τόσο καλά, που θα αλλάξει τη ροή εργασίας του Wireshark.
Πίνακας περιεχομένων
Το Wireshark είναι υπέροχο, αλλά . . .
Το Wireshark είναι ένα υπέροχο κομμάτι λογισμικού ανοιχτού κώδικα. Χρησιμοποιείται από ερασιτέχνες και επαγγελματίες σε όλο τον κόσμο για τη διερεύνηση ζητημάτων δικτύωσης. Καταγράφει τα πακέτα δεδομένων που ταξιδεύουν στα καλώδια ή μέσω του αιθέρα του δικτύου σας. Αφού καταγράψετε την επισκεψιμότητά σας, το Wireshark σάς επιτρέπει να φιλτράρετε και να αναζητάτε τα δεδομένα, να παρακολουθείτε συνομιλίες μεταξύ συσκευών δικτύου και πολλά άλλα.
Όσο υπέροχο και αν είναι το Wireshark, έχει ένα πρόβλημα. Τα αρχεία καταγραφής δεδομένων δικτύου (που ονομάζονται ίχνη δικτύου ή συλλήψεις πακέτων), μπορούν να γίνουν πολύ μεγάλα, πολύ γρήγορα. Αυτό ισχύει ιδιαίτερα εάν το ζήτημα που προσπαθείτε να διερευνήσετε είναι περίπλοκο ή σποραδικό ή εάν το δίκτυο είναι μεγάλο και απασχολημένο.
Όσο μεγαλύτερη είναι η σύλληψη πακέτων (ή PCAP), τόσο πιο αργό γίνεται το Wireshark. Απλώς το άνοιγμα και η φόρτωση ενός πολύ μεγάλου ίχνους (οτιδήποτε άνω του 1 GB) μπορεί να διαρκέσει τόσο πολύ, θα νόμιζες ότι ο Wireshark είχε κουραστεί και εγκατέλειψε το φάντασμα.
Η εργασία με αρχεία αυτού του μεγέθους είναι πραγματικός πόνος. Κάθε φορά που εκτελείτε μια αναζήτηση ή αλλάζετε ένα φίλτρο, πρέπει να περιμένετε να εφαρμοστούν τα εφέ στα δεδομένα και να ενημερωθούν στην οθόνη. Κάθε καθυστέρηση διαταράσσει τη συγκέντρωσή σας, κάτι που μπορεί να εμποδίσει την πρόοδό σας.
Χείλος είναι η θεραπεία για αυτά τα δεινά. Λειτουργεί ως διαδραστικός προεπεξεργαστής και front-end για το Wireshark. Όταν θέλετε να δείτε το κοκκώδες επίπεδο που μπορεί να παρέχει το Wireshark, το Brim το ανοίγει αμέσως για εσάς ακριβώς σε αυτά τα πακέτα.
Εάν κάνετε πολλή σύλληψη δικτύου και ανάλυση πακέτων, το Brim θα φέρει επανάσταση στη ροή εργασίας σας.
Εγκατάσταση Brim
Το Brim είναι πολύ νέο, επομένως δεν έχει μπει ακόμα στα αποθετήρια λογισμικού των διανομών Linux. Ωστόσο, στο Σελίδα λήψης Brim, θα βρείτε αρχεία πακέτων DEB και RPM, επομένως η εγκατάσταση του στο Ubuntu ή στο Fedora είναι αρκετά απλή.
Εάν χρησιμοποιείτε άλλη διανομή, μπορείτε κατεβάστε τον πηγαίο κώδικα από το GitHub και δημιουργήστε την εφαρμογή μόνοι σας.
Το Brim χρησιμοποιεί zq, ένα εργαλείο γραμμής εντολών για Ζικ αρχεία καταγραφής, επομένως θα χρειαστεί επίσης να κατεβάσετε ένα αρχείο ZIP που περιέχει τα δυαδικά αρχεία zq.
Εγκατάσταση του Brim στο Ubuntu
Εάν χρησιμοποιείτε το Ubuntu, θα χρειαστεί να κάνετε λήψη του αρχείου πακέτου DEB και του αρχείου ZIP Linux zq. Κάντε διπλό κλικ στο ληφθέν αρχείο πακέτου DEB και θα ανοίξει η εφαρμογή Λογισμικού Ubuntu. Η άδεια Brim αναφέρεται κατά λάθος ως “Ιδιόκτητη”—χρησιμοποιεί το Άδεια BSD 3-Clause.
Κάντε κλικ στο “Εγκατάσταση”.
Όταν ολοκληρωθεί η εγκατάσταση, κάντε διπλό κλικ στο αρχείο ZIP zq για να εκκινήσετε την εφαρμογή Archive Manager. Το αρχείο ZIP θα περιέχει έναν ενιαίο κατάλογο. σύρετε και αποθέστε το από το “Διαχείριση αρχείων” σε μια τοποθεσία στον υπολογιστή σας, όπως στον κατάλογο “Λήψεις”.
Πληκτρολογούμε τα εξής για να δημιουργήσουμε μια θέση για τα δυαδικά αρχεία zq:
sudo mkdir /opt/zeek
Πρέπει να αντιγράψουμε τα δυαδικά αρχεία από τον εξαγόμενο κατάλογο στην τοποθεσία που μόλις δημιουργήσαμε. Αντικαταστήστε τη διαδρομή και το όνομα του εξαγόμενου καταλόγου στον υπολογιστή σας στην ακόλουθη εντολή:
sudo cp Downloads/zq-v0.20.0.linux-amd64/* /opt/Zeek
Πρέπει να προσθέσουμε αυτήν τη θέση στη διαδρομή, οπότε θα επεξεργαστούμε το αρχείο BASHRC:
sudo gedit .bashrc
Θα ανοίξει το πρόγραμμα επεξεργασίας gedit. Κάντε κύλιση στο κάτω μέρος του αρχείου και, στη συνέχεια, πληκτρολογήστε αυτήν τη γραμμή:
export PATH=$PATH:/opt/zeek
Αποθηκεύστε τις αλλαγές σας και κλείστε το πρόγραμμα επεξεργασίας.
Εγκατάσταση του Brim στο Fedora
Για να εγκαταστήσετε το Brim στο Fedora, κάντε λήψη του αρχείου πακέτου RPM (αντί του DEB) και, στη συνέχεια, ακολουθήστε τα ίδια βήματα που καλύψαμε για την εγκατάσταση του Ubuntu παραπάνω.
Είναι ενδιαφέρον ότι όταν το αρχείο RPM ανοίγει στο Fedora, προσδιορίζεται σωστά ότι έχει άδεια ανοιχτού κώδικα και όχι ιδιόκτητη.
Εκτόξευση Brim
Κάντε κλικ στην «Εμφάνιση εφαρμογών» στο dock ή πατήστε Super+A. Πληκτρολογήστε “brim” στο πλαίσιο Αναζήτηση και, στη συνέχεια, κάντε κλικ στο “Brim” όταν εμφανιστεί.
Το Brim εκκινεί και εμφανίζει το κύριο παράθυρο του. Μπορείτε να κάνετε κλικ στο «Επιλογή αρχείων» για να ανοίξετε ένα πρόγραμμα περιήγησης αρχείων ή να σύρετε και να αποθέσετε ένα αρχείο PCAP στην περιοχή που περιβάλλεται από το κόκκινο ορθογώνιο.
Το Brim χρησιμοποιεί οθόνη με καρτέλες και μπορείτε να ανοίξετε πολλές καρτέλες ταυτόχρονα. Για να ανοίξετε μια νέα καρτέλα, κάντε κλικ στο σύμβολο συν (+) στην κορυφή και, στη συνέχεια, επιλέξτε ένα άλλο PCAP.
Brim Basics
Το Brim φορτώνει και ευρετηριάζει το επιλεγμένο αρχείο. Ο δείκτης είναι ένας από τους λόγους που το Brim είναι τόσο γρήγορο. Το κύριο παράθυρο περιέχει ένα ιστόγραμμα όγκων πακέτων με την πάροδο του χρόνου και μια λίστα με τις «ροές» του δικτύου.
Ένα αρχείο PCAP περιέχει μια χρονικά διατεταγμένη ροή πακέτων δικτύου για πάρα πολλές συνδέσεις δικτύου. Τα πακέτα δεδομένων για τις διάφορες συνδέσεις αναμειγνύονται επειδή ορισμένα από αυτά θα έχουν ανοιχτεί ταυτόχρονα. Τα πακέτα για κάθε «συνομιλία» δικτύου παρεμβάλλονται με τα πακέτα άλλων συνομιλιών.
Το Wireshark εμφανίζει τη ροή δικτύου πακέτο προς πακέτο, ενώ το Brim χρησιμοποιεί μια έννοια που ονομάζεται “ροές”. Μια ροή είναι μια πλήρης ανταλλαγή δικτύου (ή συνομιλία) μεταξύ δύο συσκευών. Κάθε τύπος ροής κατηγοριοποιείται, κωδικοποιείται με χρώμα και επισημαίνεται ανά τύπο ροής. Θα δείτε ροές με την ένδειξη “dns”, “ssh”, “https”, “ssl” και πολλά άλλα.
Εάν κάνετε κύλιση στην οθόνη σύνοψης ροής αριστερά ή δεξιά, θα εμφανιστούν πολλές περισσότερες στήλες. Μπορείτε επίσης να προσαρμόσετε τη χρονική περίοδο για να εμφανίσετε το υποσύνολο πληροφοριών που θέλετε να δείτε. Ακολουθούν μερικοί τρόποι με τους οποίους μπορείτε να προβάλετε δεδομένα:
Κάντε κλικ σε μια γραμμή στο ιστόγραμμα για να μεγεθύνετε τη δραστηριότητα του δικτύου μέσα σε αυτό.
Κάντε κλικ και σύρετε για να επισημάνετε ένα εύρος της οθόνης του ιστογράμματος και να κάνετε μεγέθυνση. Στη συνέχεια, το Brim θα εμφανίσει τα δεδομένα από την επισημασμένη ενότητα.
Μπορείτε επίσης να καθορίσετε ακριβείς περιόδους στα πεδία «Ημερομηνία» και «Ώρα».
Το γείσο μπορεί να εμφανίσει δύο πλαϊνά τζάμια: ένα στα αριστερά και ένα στα δεξιά. Αυτά μπορούν να κρυφτούν ή να παραμείνουν ορατά. Το παράθυρο στα αριστερά δείχνει ένα ιστορικό αναζήτησης και μια λίστα ανοιχτών PCAP, που ονομάζονται διαστήματα. Πατήστε Ctrl+[ to toggle the left pane on or off.
The pane on the right contains detailed information about the highlighted flow. Press Ctrl+] για να ενεργοποιήσετε ή να απενεργοποιήσετε το δεξιό παράθυρο.
Κάντε κλικ στο “Conn” στη λίστα “UID Correlation” για να ανοίξετε ένα διάγραμμα σύνδεσης για την επισημασμένη ροή.
Στο κύριο παράθυρο, μπορείτε επίσης να επισημάνετε μια ροή και, στη συνέχεια, να κάνετε κλικ στο εικονίδιο Wireshark. Αυτό εκκινεί το Wireshark με τα πακέτα για την επισημασμένη ροή να εμφανίζονται.
Ανοίγει το Wireshark, εμφανίζοντας τα πακέτα που σας ενδιαφέρουν.
Φιλτράρισμα στο χείλος
Η αναζήτηση και το φιλτράρισμα στο Brim είναι ευέλικτα και περιεκτικά, αλλά δεν χρειάζεται να μάθετε μια νέα γλώσσα φιλτραρίσματος αν δεν το θέλετε. Μπορείτε να δημιουργήσετε ένα συντακτικά σωστό φίλτρο στο Brim κάνοντας κλικ στα πεδία στο παράθυρο σύνοψης και, στη συνέχεια, επιλέγοντας επιλογές από ένα μενού.
Για παράδειγμα, στην παρακάτω εικόνα, κάναμε δεξί κλικ σε ένα πεδίο “dns”. Στη συνέχεια, θα επιλέξουμε “Φίλτρο = Τιμή” από το μενού περιβάλλοντος.
Τότε συμβαίνουν τα εξής:
Το κείμενο _path = “dns” προστίθεται στη γραμμή αναζήτησης.
Αυτό το φίλτρο εφαρμόζεται στο αρχείο PCAP, επομένως θα εμφανίζει μόνο ροές που είναι ροές υπηρεσίας ονομάτων τομέα (DNS).
Το κείμενο φίλτρου προστίθεται επίσης στο ιστορικό αναζήτησης στο αριστερό παράθυρο.
Μπορούμε να προσθέσουμε περαιτέρω προτάσεις στον όρο αναζήτησης χρησιμοποιώντας την ίδια τεχνική. Θα κάνουμε δεξί κλικ στο πεδίο διεύθυνσης IP (που περιέχει το “192.168.1.26”) στη στήλη “Id.orig_h” και, στη συνέχεια, θα επιλέξουμε “Φίλτρο = Τιμή” από το μενού περιβάλλοντος.
Αυτό προσθέτει την πρόσθετη ρήτρα ως ρήτρα ΚΑΙ. Η οθόνη φιλτράρεται τώρα για να εμφανίζει ροές DNS που προέρχονται από αυτήν τη διεύθυνση IP (192.168.1.26).
Ο νέος όρος φίλτρου προστίθεται στο ιστορικό αναζήτησης στο αριστερό παράθυρο. Μπορείτε να μεταπηδήσετε μεταξύ των αναζητήσεων κάνοντας κλικ στα στοιχεία στη λίστα ιστορικού αναζήτησης.
Η διεύθυνση IP προορισμού για τα περισσότερα από τα φιλτραρισμένα δεδομένα μας είναι 81.139.56.100. Για να δούμε ποιες ροές DNS στάλθηκαν σε διαφορετικές διευθύνσεις IP, κάνουμε δεξί κλικ στο “81.139.56.100” στη στήλη “Id_resp_h” και, στη συνέχεια, επιλέγουμε “Filter != Value” από το μενού περιβάλλοντος.
Μόνο μία ροή DNS που προήλθε από το 192.168.1.26 δεν στάλθηκε στο 81.139.56.100 και το εντοπίσαμε χωρίς να χρειάζεται να πληκτρολογήσουμε τίποτα για να δημιουργήσουμε το φίλτρο μας.
Καρφίτσωμα ρητρών φίλτρου
Όταν κάνουμε δεξί κλικ σε μια ροή “HTTP” και επιλέγουμε “Φίλτρο = Τιμή” από το μενού περιβάλλοντος, το παράθυρο σύνοψης θα εμφανίζει μόνο ροές HTTP. Στη συνέχεια, μπορούμε να κάνουμε κλικ στο εικονίδιο Καρφίτσωμα δίπλα στον όρο φίλτρου HTTP.
Ο όρος HTTP είναι πλέον καρφιτσωμένος στη θέση του και τυχόν άλλα φίλτρα ή όροι αναζήτησης που χρησιμοποιούμε θα εκτελούνται με την ρήτρα HTTP που έχει προσαρτηθεί σε αυτά.
Αν πληκτρολογήσουμε “GET” στη γραμμή αναζήτησης, η αναζήτηση θα περιοριστεί σε ροές που έχουν ήδη φιλτραριστεί από την καρφιτσωμένη ρήτρα. Μπορείτε να καρφιτσώσετε όσες ρήτρες φίλτρου είναι απαραίτητο.
Για να αναζητήσουμε πακέτα POST στις ροές HTTP, απλώς διαγράφουμε τη γραμμή αναζήτησης, πληκτρολογούμε “POST” και μετά πατάμε Enter.
Η πλάγια κύλιση αποκαλύπτει το αναγνωριστικό του απομακρυσμένου κεντρικού υπολογιστή.
Όλοι οι όροι αναζήτησης και φίλτρου προστίθενται στη λίστα “Ιστορικό”. Για να εφαρμόσετε ξανά οποιοδήποτε φίλτρο, απλώς κάντε κλικ σε αυτό.
Μπορείτε επίσης να αναζητήσετε έναν απομακρυσμένο κεντρικό υπολογιστή με το όνομα.
Επεξεργασία όρων αναζήτησης
Εάν θέλετε να αναζητήσετε κάτι, αλλά δεν βλέπετε ροή αυτού του τύπου, μπορείτε να κάνετε κλικ σε οποιαδήποτε ροή και να επεξεργαστείτε την καταχώριση στη γραμμή αναζήτησης.
Για παράδειγμα, γνωρίζουμε ότι πρέπει να υπάρχει τουλάχιστον μία ροή SSH στο αρχείο PCAP επειδή χρησιμοποιήσαμε rsync για να στείλουμε ορισμένα αρχεία σε άλλον υπολογιστή, αλλά δεν μπορούμε να το δούμε.
Έτσι, θα κάνουμε δεξί κλικ σε άλλη ροή, θα επιλέξουμε “Φίλτρο = Τιμή” από το μενού περιβάλλοντος και, στη συνέχεια, θα επεξεργαστούμε τη γραμμή αναζήτησης για να πούμε “ssh” αντί για “dns”.
Πατάμε Enter για να αναζητήσουμε ροές SSH και να βρούμε ότι υπάρχει μόνο μία.
Πατώντας Ctrl+]ανοίγει το δεξιό παράθυρο, το οποίο δείχνει τις λεπτομέρειες για αυτήν τη ροή. Εάν ένα αρχείο μεταφέρθηκε κατά τη διάρκεια μιας ροής, το MD5, SHA1, και SHA256 εμφανίζονται χασίς.
Κάντε δεξί κλικ σε οποιοδήποτε από αυτά και, στη συνέχεια, επιλέξτε “VirusTotal Lookup” από το μενού περιβάλλοντος για να ανοίξετε το πρόγραμμα περιήγησής σας στο VirusTotal ιστοσελίδα και περάστε στο hash για έλεγχο.
Το VirusTotal αποθηκεύει τους κατακερματισμούς γνωστού κακόβουλου λογισμικού και άλλων κακόβουλων αρχείων. Εάν δεν είστε βέβαιοι εάν ένα αρχείο είναι ασφαλές, αυτός είναι ένας εύκολος τρόπος να ελέγξετε, ακόμα κι αν δεν έχετε πλέον πρόσβαση στο αρχείο.
Εάν το αρχείο είναι καλοήθη, θα δείτε την οθόνη που φαίνεται στην παρακάτω εικόνα.
Το τέλειο συμπλήρωμα του Wireshark
Το Brim κάνει την εργασία με το Wireshark ακόμα πιο γρήγορη και ευκολότερη, επιτρέποντάς σας να εργάζεστε με πολύ μεγάλα αρχεία καταγραφής πακέτων. Δώστε του μια δοκιμή σήμερα!