Главная » Пентест » Wireshark: Анализ трафикa в Linux и Windows

Wireshark: Анализ трафикa в Linux и Windows

Wireshark Линукс

Наличие ответов позволяет Nmap понять, что хост включен и работает. Поскольку МАС-адрес заодно включает информацию о производителе сетевого устройства, Nmap сообщает вам также и эту информацию.

Nmap также рассчитывает задержку ответа (или период ожидания). Это позволяет довольно точно определить время, необходимое начальному пакету (отправленному Nmap) для достижения целевого устройства, и время, требуемое ответному пакету на возвращение к Nmap. Длительный период ожидания — это нехорошо, и необходимо озаботиться выяснением причины такой длительности.

Анализируем трафик DNS

Запросы DNS очень часты в сетях ТСР/IP. Запрос DNS создает небольшой трафик, и поэтому является отличным примером для целей обучения. Следующая команда используется для создания необходимого сетевого DNS-трафика, который будет изучаться:

$ host -1 ns spy-soft.net
spy-soft.net name server ns9.gudzonserver.com.
spy-soft.net name server ns10.gudzonserver.com.

Всего нужно два пакета: один для отправки и один для ответа на запрос DNS.

Настройка Wireshark Linux
Вот как Wireshark показывает трафик запроса DNS после применения фильтра отображения. Обратите внимание на зеленый цвет вокруг Вот как Wireshark показывает трафик запроса DNS после применения фильтра отображения. Обратите внимание на зеленый цвет вокруг DNS, который подтверждает его действенность., который подтверждает его действенность.

Первый пакет — номер 3, второй — номер 4. Фильтр отображения (DNS) используется, чтобы минимизировать отображаемые данные и показать полезную информацию. Был использован протокол UDP (User Datagram Protocol), и нужная информация без всяких ошибок была отправлена назад, как показано в поле Flags. Кроме того, по разнице во времени между запросом DNS (1.246055000) и ответом (1.255059000) вы можете судить о том, что сервис DNS работает отлично, поскольку время отклика вполне разумное.

Запрошенный сервер DNS  имеет IP-адрес 10.67.93.1 — как вы видите из IP-адреса назначения первого пакета. Тот же самый DNS сервер ответил на запрос DNS, как вы видите из исходящего IР-адреса второго пакета. Строка ‘Answer RRs: 2’ сообщает о том, что на запрос DNS будет два ответа. Со временем вы научитесь понимать это с одного взгляда.

Для передачи сообщений от одного компьютера к другому UDP использует протокол IP, и создает столь же ненадежную и бессвязную доставку пакетов, что и IP. Он не использует подтверждений доставки пакетов, не заказывает исходящих пакетов и не обеспечивает обратной связи для оценки скорости передачи информации между компьютерами. Таким образом, сообщения UDP могут быть потеряны, продублированы или прибыть в нарушенном порядке. Более того, пакеты могут прибыть быстрее, чем получатель сможет их обработать.

Порт назначения первого пакета — 53, это обычный номер порта для DNS сервиса. Часть UDP второго пакета показывает номера портов, используемых для ответа:

User Datagram Protocol, Scr Port: 53 (53), Dst Port: 53366
Source Port: 53 (53)
Destination Port: 53366 (53366)
Length: 90
Checksum: 0xb94b [validation disabled] [Stream Index: 0]

Как и с большинством инструментов, чем больше вы используете Wireshark, тем эффективнее становится ваша работа с ним, так что продолжайте практиковаться и изучать его!

Если вы интересуетесь информационной безопасностью, a в частности анализом трафика. Рекомендую, познакомится с приложением Shark лучшим сниффером для Android.

Автор: Михалис Цукалос
Linux Format

7 комментариев

  1. Аватар
    Интер

    За инструкцию Wireshark спасибо!
    Вопрос не по теме. Собираюсь переходить на Linux. Какой дистрибутив посоветуете? Что лучше Ubuntu или Debian ?

    • Аватар

      Debian – для профессионалов, а Ubuntu для новичков.

    • Аватар
      su

      Ой ладно, вам. Я знаю убунтушников, которые дадут фору любому debian’щику, и наоборот на форуме debian я видел достаточно новичков. Так, что не надо ля-ля. Новички везде есть.

    • Аватар
      Владимир

      С линухи начинай… да и мануалов по работе завались

  2. Аватар
    Wladimir

    Подскажите пожалуйста, а можно с его помощью отслеживать, сколько я принял и передал мб.

    • Аватар
      Monster Kill

      Трафик снифером отследить конечно можно, но намного легче использовать специальные программы для мониторинга трафика.

    • Аватар
      olala

      тебе поможет программа NetWorx

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *