Kako da otkrijete probleme na mreži pomoću Wiresharka? [how-to]

Wireshark je besplatan alat za analizu mreže, a može biti korisno oružje za sajber bezbednost.

Kako da otkrijete probleme na mreži pomoću Wiresharka? [how-to]

Wireshark je besplatan alat za analizu mreže za Windows, Mac i Linux. Koristi se za ispitivanje podataka koji prolaze kroz mrežu, bilo da se radi o Ethernetu, LAN-u, wirelessu.

Kako Wireshark funkcioniše?

Svi podaci koji prolaze kroz mrežu su u obliku paketa. Paketi se sastoje od različitih vrsta podataka, od browsing istorije do logova, a Wireshark hvata sve pakete koji se šalju ili primaju kroz mrežu i dekodira ih, što nam omogućava da ih analiziramo.

Fleksibilnost i dubina inspekcije je ono što ovaj alat čini nezamenljivim za ispitivanje sumnjivih programa koji prolaze kroz mrežu, za analizu protoka saobraćaja i za troubleshoot mrežnih uređaja za bezbednost.

Zašto je važno pratiti mrežni saobraćaj?

Prvo, u slučaju napada na mrežu, gledanjem detalja paketa dolazimo do izuzetno važnih informacija koje mogu da pomognu u kreiranju kontra mera. Na primer, ako dođe do DoS (denial od service) napada, Wireshark može da se koristi za otkrivanje izvora napada. Na osnovu dobijenih podataka možemo da kreiramo firewall pravilo kojim blokiramo neželjeni saobraćaj.

Drugo, Wireshark možemo da koristimo za troubleshoot uređaja za bezbednost, recimo za troubleshoot firewall pravila. Ako je sistem na kojem vam je Wireshark povezan sa firewallom, lako možemo da vidimo koji paketi uspešno zaobilaze uređaj i da utvrdimo da li je firewall uzrok problema.

Međutim, Wireshark koriste i dobri i loši momci. U rukama administratora mreže, Wireshark je vredan troubleshoot alat, ali u rukama sajber kriminalaca, postaje alat za prisluškivanje i krađu informacija. Zato treba biti oprezan pri korišćenih javnih otvorenih mreža.

Kako se Wireshark koristi?

Wireshark se jednostavno instalira. Za Windows ili Mac OS X, Wireshark možete da preuzmete na zvaničnom web sajtu wireshark.org. Ako koristite Linux ili neki drugi Unix sistem, trebalo bi da nađete Wireshark u standardnom sistemskom paketu na svojoj platformi. Takođe, na zvaničnom sajtu možete da nađete i Source code za instalaciju na druge operativne sisteme.

Kada preuzmete i instalirate Wireshark, pokrenite ga. Da biste počeli sa snimanjem saobraćaja, u meniju Capture kliknite na ime interfejsa u Interface Listi na kom želite da pratite saobraćaj. Ako recimo hoćete da pratite saobraćaj u wireless mreži, izaberite wireless interface.

Wireshark interface

Kad kliknete na ime interfejsa videćete da paketi počinju da se pojavljuju.

Wireshark

Kad budete želeli da prekinete snimanje saobraćaja i analizirate neki paket, kliknite na stop dugme u gornjem levom uglu.

Wireshark

Kako interpretirati rezultate?

Svaki red u Wireshark prozoru označava jedan paket. Možete da vidite vreme kad je paket poslat, IP adresu izvora i destinacije, protokol koji je korišćen i neke informacije o paketu.

Šta znače boje?

Primetićete odmah da su redovi, odnosno paketi različitih boja – zeleni, plavi i crni. Wireshark koristi boje da bi vam pomogao da već na prvi pogled identifikujete tip saobraćaja. Prema podrazumevanim podešavanjima, zelena je boja za TCP saobraćaj, tamno plava za DNS saobraćaj, svetlo plava za UDP, a crna označava TCP pakete koji imaju neke probleme. Šemu boja možete i sami da birate i prilagođavate.

Wireshark boje

Filtriranje paketa

Ako želite da ispitate nešto konkretno, možete da primenite filter kako bi vam se prikazali samo paketi koji ispunjavaju taj parametar. Na primer, želite da vidite samo DNS pakete, ukucajte „dns“ u filter box na vrhu prozora i kliknete na Apply ili stisnite Enter. Prikazaće vam se samo DNS paketi.

Wireshark filteri

Takođe, u meniju Analyze možete da kreirate i novi filter, izaberite Display Filters i kreirajte novi filter. Još interesantnih informacija možete da dobijete kada kliknete desnim klikom na neki od paketa i izaberete select Follow TCP Stream. Ova opcija omogućava vam da vidite celokupnu konverzaciju klijenta i servera.

Wireshark

Ispitivanje paketa

Ako kliknete na paket možete da vidite detaljnije informacije o paketu. Ove informacije prikazaće vam se u donjem prozoru.

Wireshark ispitivanj paketa

Ovo su osnove korišćenja Wiresharka snimanje i analiziranje mrežnog saobraćaja. Preporučujemo da ga i sami krenete da istražujete sve mogućnosti ovog alata.