Искать
Вы превысили запрос на
0 знаков

14. Захват и анализ сетевого трафика (Wireshark, tcpdump)

Не пройден
0
0
Автор статьи никого не призывает к правонарушениям и отказывается нести ответственность за ваши действия. Вся информация предоставлена исключительно в ознакомительных целях. Все действия происходят на виртуальных машинах и внутри локальной сети автора. Спасибо!

Инструменты

- Wireshark

- tcpdump

Кратко

- Wireshark - инструмент для захвата и анализа сетевого трафика, используется в образовательных целях и для устранения неполадок в сети.

- В этом уроке применяется Wireshark для пассивного поиска хостов в сети.

- Статья поверхностная и ориентирована на знакомство с Wireshark в контексте прохождения лабораторного стенда GOAD.

- Wireshark имеет следующие основные окна: фильтр, панель пакетов, панель уровней и панель метаданных.

- Знание базовых протоколов модели OSI может быть полезным при анализе сетевого трафика.

- Wireshark позволяет фильтровать пакеты по IP-адресу источника и анализировать "общение хостов" (conversations).

- tcpdump - еще один инструмент для захвата сетевого трафика, который может быть мощным и полезным в умелых руках.

- В реальной сети захват трафика осуществляется намного сложнее, чем в лабораторном стенде GOAD. Обсудим это позднее.

В предыдущем уроке научились перебирать DNS-имена при помощи aiodnsbrute и создавать словари утилитой Crunch. В разделе по разведке нельзя не сказать про Wireshark - инструмент для захвата и анализа сетевого трафика. Он используется как в образовательных целях, так и с целью устранения неполадок в сети. Мы в этом уроке применим Wireshark для пассивного поиска хостов в сети. Есть нюанс, который стоит понимать при захвате трафика, о котором будет сказано в конце статьи. Дополнительно о захвате сетевого трафика (сниффинг) поговорим в следующих уроках.

Также познакомимся со встроенной во многие дистрибутивы Linux утилитой tcpdump, предназначенной для захвата трафика.

Сразу скажу, статья очень поверхностная и ориентирована на знакомство с Wireshark в контексте прохождения лабораторного стенда GOAD. Более детальную информацию ищите на просторах интернета, так как в одной статье невозможно описать все возможности программы. Статья даст вам начальную точку, от которой нужно двигаться в изучении Wireshark и его возможностей.

Как использовать программу Wireshark?

Откроем Kali Linux и найдем в ней предустановленный Wireshark:

Здесь изображение или скриншот.
Для доступа необходимо авторизоваться на сайте Codebra.

Откроется главное окно:

Здесь изображение или скриншот.
Для доступа необходимо авторизоваться на сайте Codebra.

Лаборатория GOAD находится в подсети 192.168.56.0/24 (интерфейс eth1):

Здесь изображение или скриншот.
Для доступа необходимо авторизоваться на сайте Codebra.

На стартовом окне Wireshark мы видим множество сетевых интерфейсов, трафик которых можем захватить. Нам достаточно выбрать eth1. После увидим следующее:

Здесь изображение или скриншот.
Для доступа необходимо авторизоваться на сайте Codebra.

Рассмотрим основные части окна подробнее:

1. Фильтр. Для поиска и вывода нужной информации.

2. Панель пакетов. Основное окно, на котором отображаются перехваченные пакеты в реальном времени.

3. Панель уровней. Разбиение по модели OSI выбранного пакета.

4. Панель метаданных. Представление данных в шестнадцатеричном коде и символах.

Анализ сетевого трафика в Wireshark

Знание базовых протоколов модели OSI не помешает при анализе сетевого трафика. Для примера выберем пакет протокола Kerberos:

Здесь изображение или скриншот.
Для доступа необходимо авторизоваться на сайте Codebra.

Как видите, в панели уровней можно найти множество полезной информации, например: DNS-имя хоста 192.168.56.22 и его обращение к хосту 192.168.56.11.

Поиск необходимых пакетов

Запустив буквально на пару минут Wireshark в такой небольшой сети, было собрано огромное количество пакетов, в которых что-то найти довольно сложно. Попробуем отфильтровать по IP-адресу источника:

Пример (wireshark)
ip.src==192.168.56.22 

В панели пакетов отображаются все пакеты, источник которых хост с IP-адресом 192.168.56.22.

Здесь изображение или скриншот.
Для доступа необходимо авторизоваться на сайте Codebra.

Статистика "общения хостов" (conversations)

Сейчас мы используем Wireshark с целью разведки, поэтому полезно узнать какие хосты засветились в трафике и кто с кем "общается". Нажимаем Statistics -> Conversations:

Здесь изображение или скриншот.
Для доступа необходимо авторизоваться на сайте Codebra.

Откроется окно. Для удобства переименуем номера портов на названия соответствующих протоколов:

Здесь изображение или скриншот.
Для доступа необходимо авторизоваться на сайте Codebra.

Переходим на вкладку IPv4 и сортируем по Address A, например:

Здесь изображение или скриншот.
Для доступа необходимо авторизоваться на сайте Codebra.

Видим, что в сети 5 хостов. Можем добавить их в заметки для последующего изучения. Ранее мы их уже обнаруживали при помощи CrackMapExec и Nmap. Далее можем изучить порты (протоколы), которые используются при взаимодействии между хостами и сделать выводы (предположения) о ролях каждого хоста в сети.

Откроем вкладку TCP и поищем хосты, на которых открыт порт 88 (протокол аутентификации Kerberos):

Здесь изображение или скриншот.
Для доступа необходимо авторизоваться на сайте Codebra.

Или откроем вкладку UDP и выясним, какие хосты являются DNS-серверами (порт 53):

Здесь изображение или скриншот.
Для доступа необходимо авторизоваться на сайте Codebra.

Накопив информацию, можно сделать предположение, какие хосты являются контроллерами домена, клиентскими машинами, сервером с веб-ресурсом и так далее.

На этом закончим знакомство с Wireshark в рамках разведки лабораторного стенда GOAD.

Захват сетевого трафика с помощью tcpdump

Кратко пробежались по Wireshark, теперь попробуем перехватить пакеты с помощью tcpdump:

Пример (bash)
sudo tcpdump -i eth1 

Флаг -i указывает название интерфейса, с которого будет захватываться трафик. Конечно, tcpdump не обладает визуализацией и удобством как Wireshark, но в умелых руках он очень мощный и полезный инструмент.

Здесь изображение или скриншот.
Для доступа необходимо авторизоваться на сайте Codebra.

Мы можем сохранять захваченные пакеты в файл .pcap для последующего анализа через Wireshark:

Пример (bash)
sudo tcpdump -i eth1 -w 1.pcap 

Здесь изображение или скриншот.
Для доступа необходимо авторизоваться на сайте Codebra.

Здесь изображение или скриншот.
Для доступа необходимо авторизоваться на сайте Codebra.

Здесь изображение или скриншот.
Для доступа необходимо авторизоваться на сайте Codebra.

Возможности tcpdump огромные. Рекомендую ознакомиться со статьей: [ссылка доступна авторизованным пользователям]

Нюанс про захват трафика

В начале статьи я заикнулся про какой-то нюанс захвата трафика, с которым вы столкнетесь в реальной сети, а не в лабораторном стенде (GOAD).

Не будем углубляться в историю сетей и сетевого оборудования, когда все устройства были подключены к общей передающей среде, в которой использовалась технология CSMA/CD. В такой случае каждый в сети видит все гуляющие в ней пакеты, включая устройство захвата трафика.

В нашем стенде GOAD все устройства подключены к, можно сказать, концентратору, поэтому мы захватываем весь трафик.

Заключение

Это ещё не всё, что хочется сказать про захват сетевого трафика. В следующем уроке обсудим в каком режиме должна работать сетевая карта и что означают понятия SPAN и TAP.

В этом уроке познакомились с инструментами Wireshark и tcpdump, научились перехватывать трафик в локальной сети для его последующего изучения.

Тест

Две секундочки...

Похожие уроки Codebra

@codebra_official
Подписывайся на наш Telegram-канал!
Новости, полезный материал,
программирование и ИБ
Поиск хостов с помощью NmapРазведка и сканирование
Поиск сетевых уязвимостей с помощью Metasploit Framework (MSF)Разведка и сканирование
Обнаружение сетевых служб с помощью NmapРазведка и сканирование
Поиск общих папок с помощью CrackMapExec, SMBMap, smbclientРазведка и сканирование
Первое знакомство с PythonЗнакомство с Python
Итоги поиска и обнаружения хостовРазведка и сканирование
Поиск информации в общих папках с помощью manspiderРазведка и сканирование
Поиск хостов с помощью CrackMapExecРазведка и сканирование
Перебор DNS-имен (aiodnsbrute) и генерация словарей (Crunch)Разведка и сканирование
Впервые на сайте Codebra?

Извините за это всплывающее окно, меня они тоже раздражают.

Образовательный ресурс codebra.ru полностью посвящен программированию и компьютерной безопасности. Все курсы и уроки находятся на главной странице. Ради интереса можете посмотреть на содержимое курсов по Пентесту Active Directory, Python, HTML и CSS, JavaScript, C++ и другие, размещенные на главной странице.

Если что-то не нашли, то воспользуйтесь поиском по сайту, который находится на главной странице в самом верху.

Удачи в обучении!

Закрыть окно