0 знаков
14. Захват и анализ сетевого трафика (Wireshark, tcpdump)
Инструменты- Wireshark
- tcpdump
Кратко- Wireshark - инструмент для захвата и анализа сетевого трафика, используется в образовательных целях и для устранения неполадок в сети.
- В этом уроке применяется Wireshark для пассивного поиска хостов в сети.
- Статья поверхностная и ориентирована на знакомство с Wireshark в контексте прохождения лабораторного стенда GOAD.
- Wireshark имеет следующие основные окна: фильтр, панель пакетов, панель уровней и панель метаданных.
- Знание базовых протоколов модели OSI может быть полезным при анализе сетевого трафика.
- Wireshark позволяет фильтровать пакеты по IP-адресу источника и анализировать "общение хостов" (conversations).
- tcpdump - еще один инструмент для захвата сетевого трафика, который может быть мощным и полезным в умелых руках.
- В реальной сети захват трафика осуществляется намного сложнее, чем в лабораторном стенде GOAD. Обсудим это позднее.
В предыдущем уроке научились перебирать DNS-имена при помощи aiodnsbrute и создавать словари утилитой Crunch. В разделе по разведке нельзя не сказать про Wireshark - инструмент для захвата и анализа сетевого трафика. Он используется как в образовательных целях, так и с целью устранения неполадок в сети. Мы в этом уроке применим Wireshark для пассивного поиска хостов в сети. Есть нюанс, который стоит понимать при захвате трафика, о котором будет сказано в конце статьи. Дополнительно о захвате сетевого трафика (сниффинг) поговорим в следующих уроках.
Также познакомимся со встроенной во многие дистрибутивы Linux утилитой tcpdump, предназначенной для захвата трафика.
Сразу скажу, статья очень поверхностная и ориентирована на знакомство с Wireshark в контексте прохождения лабораторного стенда GOAD. Более детальную информацию ищите на просторах интернета, так как в одной статье невозможно описать все возможности программы. Статья даст вам начальную точку, от которой нужно двигаться в изучении Wireshark и его возможностей.
Как использовать программу Wireshark?
Откроем Kali Linux и найдем в ней предустановленный Wireshark:
Для доступа необходимо авторизоваться на сайте Codebra.
Откроется главное окно:
Для доступа необходимо авторизоваться на сайте Codebra.
Лаборатория GOAD находится в подсети 192.168.56.0/24
(интерфейс eth1
):
Для доступа необходимо авторизоваться на сайте Codebra.
На стартовом окне Wireshark мы видим множество сетевых интерфейсов, трафик которых можем захватить. Нам достаточно выбрать eth1
. После увидим следующее:
Для доступа необходимо авторизоваться на сайте Codebra.
Рассмотрим основные части окна подробнее:
1. Фильтр. Для поиска и вывода нужной информации.
2. Панель пакетов. Основное окно, на котором отображаются перехваченные пакеты в реальном времени.
3. Панель уровней. Разбиение по модели OSI выбранного пакета.
4. Панель метаданных. Представление данных в шестнадцатеричном коде и символах.
Анализ сетевого трафика в Wireshark
Знание базовых протоколов модели OSI не помешает при анализе сетевого трафика. Для примера выберем пакет протокола Kerberos:
Для доступа необходимо авторизоваться на сайте Codebra.
Как видите, в панели уровней можно найти множество полезной информации, например: DNS-имя хоста 192.168.56.22
и его обращение к хосту 192.168.56.11
.
Поиск необходимых пакетов
Запустив буквально на пару минут Wireshark в такой небольшой сети, было собрано огромное количество пакетов, в которых что-то найти довольно сложно. Попробуем отфильтровать по IP-адресу источника:
ip.src==192.168.56.22
В панели пакетов отображаются все пакеты, источник которых хост с IP-адресом 192.168.56.22
.
Для доступа необходимо авторизоваться на сайте Codebra.
Статистика "общения хостов" (conversations)
Сейчас мы используем Wireshark с целью разведки, поэтому полезно узнать какие хосты засветились в трафике и кто с кем "общается". Нажимаем Statistics -> Conversations
:
Для доступа необходимо авторизоваться на сайте Codebra.
Откроется окно. Для удобства переименуем номера портов на названия соответствующих протоколов:
Для доступа необходимо авторизоваться на сайте Codebra.
Переходим на вкладку IPv4
и сортируем по Address A
, например:
Для доступа необходимо авторизоваться на сайте Codebra.
Видим, что в сети 5 хостов. Можем добавить их в заметки для последующего изучения. Ранее мы их уже обнаруживали при помощи CrackMapExec и Nmap. Далее можем изучить порты (протоколы), которые используются при взаимодействии между хостами и сделать выводы (предположения) о ролях каждого хоста в сети.
Откроем вкладку TCP
и поищем хосты, на которых открыт порт 88 (протокол аутентификации Kerberos):
Для доступа необходимо авторизоваться на сайте Codebra.
Или откроем вкладку UDP
и выясним, какие хосты являются DNS-серверами (порт 53):
Для доступа необходимо авторизоваться на сайте Codebra.
Накопив информацию, можно сделать предположение, какие хосты являются контроллерами домена, клиентскими машинами, сервером с веб-ресурсом и так далее.
На этом закончим знакомство с Wireshark в рамках разведки лабораторного стенда GOAD.
Рекомендую почитать дополнительно- [ссылка доступна авторизованным пользователям]
Захват сетевого трафика с помощью tcpdump
Кратко пробежались по Wireshark, теперь попробуем перехватить пакеты с помощью tcpdump:
sudo tcpdump -i eth1
Флаг -i
указывает название интерфейса, с которого будет захватываться трафик. Конечно, tcpdump не обладает визуализацией и удобством как Wireshark, но в умелых руках он очень мощный и полезный инструмент.
Для доступа необходимо авторизоваться на сайте Codebra.
Мы можем сохранять захваченные пакеты в файл .pcap
для последующего анализа через Wireshark:
sudo tcpdump -i eth1 -w 1.pcap
Для доступа необходимо авторизоваться на сайте Codebra.
Для доступа необходимо авторизоваться на сайте Codebra.
Для доступа необходимо авторизоваться на сайте Codebra.
Возможности tcpdump огромные. Рекомендую ознакомиться со статьей: [ссылка доступна авторизованным пользователям]
Нюанс про захват трафика
В начале статьи я заикнулся про какой-то нюанс захвата трафика, с которым вы столкнетесь в реальной сети, а не в лабораторном стенде (GOAD).
Не будем углубляться в историю сетей и сетевого оборудования, когда все устройства были подключены к общей передающей среде, в которой использовалась технология CSMA/CD. В такой случае каждый в сети видит все гуляющие в ней пакеты, включая устройство захвата трафика.
В нашем стенде GOAD все устройства подключены к, можно сказать, концентратору, поэтому мы захватываем весь трафик.
Заключение
Это ещё не всё, что хочется сказать про захват сетевого трафика. В следующем уроке обсудим в каком режиме должна работать сетевая карта и что означают понятия SPAN и TAP.
В этом уроке познакомились с инструментами Wireshark и tcpdump, научились перехватывать трафик в локальной сети для его последующего изучения.
Источники и похожее- [ссылка доступна авторизованным пользователям]
- [ссылка доступна авторизованным пользователям]
- [ссылка доступна авторизованным пользователям]
- [ссылка доступна авторизованным пользователям]
- [ссылка доступна авторизованным пользователям]
Тест
Похожие уроки Codebra
Подписывайся на наш Telegram-канал!
Новости, полезный материал,
программирование и ИБ
Подписывайся на наш Telegram-канал!
Новости, полезный материал,
программирование и ИБ