Wireshark là tiêu chuẩn thực tế để phân tích lưu lượng mạng. Thật không may, khi tốc độ bắt gói tăng lên, nó sẽ ngày càng trở nên chậm hơn. Rondo giải quyết vấn đề này tốt đến mức nó sẽ thay đổi quy trình làm việc của bạn trong Wireshark.
Wireshark là tuyệt vời nhưng. . .
Wireshark là phần mềm mã nguồn mở tuyệt vời. Nó được sử dụng bởi những người nghiệp dư và các chuyên gia trên khắp thế giới để điều tra các vấn đề về mạng. Nó chặn các gói dữ liệu được gửi qua dây hoặc qua mạng ether. Sau khi nắm bắt lưu lượng, Wireshark cho phép bạn lọc và tìm kiếm dữ liệu, theo dõi các cuộc hội thoại giữa các thiết bị mạng, v.v.
Mặc dù Wireshark rất tuyệt nhưng nó có một vấn đề. Các tệp chụp dữ liệu mạng (được gọi là dấu vết mạng hoặc chụp gói) có thể trở nên rất lớn rất nhanh. Điều này đặc biệt quan trọng nếu vấn đề bạn đang cố gắng điều tra phức tạp hoặc không liên tục hoặc mạng lớn và bận rộn.
Càng chụp nhiều gói (hoặc PCAP), Wireshark càng trở nên chậm trễ. Chỉ cần mở và tải một rất lớn (trên 1 GB) của dấu vết có thể mất nhiều thời gian đến mức bạn nghĩ rằng Wireshark đã lật tẩy và từ bỏ con ma.
Làm việc với các tệp có kích thước này là một nỗi đau thực sự. Mỗi khi bạn thực hiện tìm kiếm hoặc thay đổi bộ lọc, bạn phải đợi các hiệu ứng được áp dụng cho dữ liệu và cập nhật trên màn hình. Bất kỳ sự chậm trễ nào cũng làm gián đoạn sự tập trung của bạn, điều này có thể cản trở tiến trình của bạn.
Rondo là một phương thuốc cho những bất hạnh này. Nó hoạt động như một bộ tiền xử lý tương tác và giao diện cho Wireshark. Khi bạn muốn xem mức độ chi tiết mà Wireshark cung cấp, Brim sẽ ngay lập tức mở nó cho bạn trên chính xác các gói đó.
Nếu bạn thực hiện nhiều thao tác chụp mạng và phân tích gói, Brim sẽ cách mạng hóa quy trình làm việc của bạn.
cài đặt vành
Rondo rất mới, vì vậy nó chưa được đưa vào kho phần mềm của bản phân phối Linux. Tuy nhiên, trên trang tải xuống Rondo, bạn sẽ tìm thấy các tệp gói DEB và RPM, vì vậy việc cài đặt chúng trên Ubuntu hoặc Fedora khá đơn giản.
Nếu đang sử dụng một bản phân phối khác, bạn có thể tải xuống mã nguồn từ GitHub và tự xây dựng ứng dụng.
Brim sử dụng zq, công cụ dòng lệnh cho nhật ký Zeek, vì vậy bạn cũng cần tải xuống tệp ZIP chứa các nhị phân zq.
Cài đặt Brim trên Ubuntu
Nếu đang sử dụng Ubuntu, bạn cần tải xuống tệp gói DEB và tệp ZIP từ q Linux. Bấm đúp vào tệp gói DEB đã tải xuống và ứng dụng Phần mềm Ubuntu sẽ mở ra. Giấy phép Brim được liệt kê nhầm là “Độc quyền” – giấy phép này sử dụng tiện ích mở rộng 3Giấy phép điều khoản BSD.
Nhấp vào “Cài đặt”.
Sau khi cài đặt hoàn tất, bấm đúp vào tệp ZIP zq để khởi chạy ứng dụng Trình quản lý lưu trữ. Tệp zip sẽ chứa một thư mục duy nhất; kéo và thả nó từ “Trình quản lý Lưu trữ” vào một vị trí trên máy tính của bạn, chẳng hạn như thư mục “Tải xuống”.
Nhập lệnh sau để tạo vị trí của các tệp nhị phân zq:
sudo mkdir /opt/zeek
Chúng ta cần sao chép các tệp nhị phân từ thư mục được trích xuất vào vị trí chúng ta vừa tạo. Thay thế đường dẫn và tên của thư mục giải nén trên máy tính của bạn bằng lệnh sau:
sudo cp Downloads/zq-v0.20.0.linux-amd64/* /opt/Zeek
Chúng tôi cần thêm vị trí này vào đường dẫn, vì vậy chúng tôi sẽ sửa đổi tệp BASHRC:
sudo gedit .bashrc
Trình chỉnh sửa gedit sẽ mở ra. Cuộn đến cuối tệp, sau đó nhập dòng này:
export PATH=$PATH:/opt/zeek
Lưu các thay đổi và đóng trình chỉnh sửa.
Cài đặt Brim trong Fedora
Để cài đặt Brim trên Fedora, hãy tải xuống tệp gói RPM (thay vì DEB) và sau đó làm theo các bước tương tự mà chúng tôi đã thảo luận ở trên để cài đặt Ubuntu.
Thật thú vị, khi một tệp RPM mở trong Fedora, nó được xác định chính xác là nguồn mở chứ không phải độc quyền.
ra mắt vành
Nhấp vào “Hiển thị ứng dụng” trong thanh công cụ hoặc nhấn Super + A. Nhập “cạnh” vào hộp tìm kiếm, sau đó nhấp vào “cạnh” khi nó xuất hiện.
Brim khởi động và hiển thị cửa sổ chính. Bạn có thể nhấp vào “Chọn tệp” để mở trình duyệt tệp hoặc kéo và thả tệp PCAP vào khu vực được bao quanh bởi hình chữ nhật màu đỏ.
Brim sử dụng màn hình theo tab và bạn có thể mở nhiều tab cùng một lúc. Để mở một tab mới, hãy nhấp vào dấu cộng (+) ở trên cùng, sau đó chọn một PCAP khác.
Khái niệm cơ bản về vành
Brim tải và lập chỉ mục tệp đã chọn. Chỉ số là một trong những lý do khiến Brim quá nhanh. Cửa sổ chính chứa biểu đồ số lượng gói theo thời gian và danh sách các “luồng” mạng.
Tệp PCAP chứa luồng gói mạng được sắp xếp theo thời gian cho một số lượng lớn kết nối mạng. Các gói dữ liệu cho các kết nối khác nhau được xen kẽ vì một số trong số chúng sẽ được mở đồng thời. Các gói cho mỗi “cuộc hội thoại” mạng được xen kẽ với các gói của các cuộc hội thoại khác.
Wireshark hiển thị gói luồng mạng theo từng gói, trong khi Brim sử dụng một khái niệm gọi là “luồng”. Luồng là một trao đổi mạng hoàn chỉnh (hoặc hội thoại) giữa hai thiết bị. Mỗi loại luồng được phân loại, mã hóa màu và được gắn thẻ theo loại luồng. Bạn sẽ thấy các luồng có nhãn “dns”, “ssh”, “https”, “ssl” và nhiều luồng khác.
Nếu bạn cuộn màn hình tóm tắt luồng sang trái hoặc phải, nhiều cột khác sẽ được hiển thị. Bạn cũng có thể tùy chỉnh khoảng thời gian để hiển thị một tập hợp con thông tin bạn muốn xem. Dưới đây là một số cách để xem dữ liệu:
Nhấp vào một thanh trong biểu đồ để phóng to hoạt động mạng trong đó.
Nhấp và kéo để tô sáng phạm vi hiển thị biểu đồ và phóng to. Bùng binh sẽ hiển thị dữ liệu từ phần được đánh dấu.
Bạn cũng có thể chỉ định các khoảng thời gian chính xác trong các trường “Ngày” và “Thời gian”.
Bùng binh có thể hiển thị hai bảng điều khiển bên: một bên trái và một bên phải. Chúng có thể được ẩn hoặc vẫn hiển thị. Khung bên trái hiển thị lịch sử tìm kiếm và danh sách các PCAP đang mở, được gọi là khoảng trắng. Nhấn Ctrl +[ to toggle the left pane on or off.
The pane on the right contains detailed information about the highlighted flow. Press Ctrl+] để bật hoặc tắt bảng điều khiển bên phải.
Nhấp vào “Kết nối” trong danh sách “Tương quan UID” để mở sơ đồ nối dây cho luồng được đánh dấu.
Trong cửa sổ chính, bạn cũng có thể chọn một luồng rồi nhấp vào biểu tượng Wireshark. Thao tác này sẽ khởi chạy Wireshark với các gói dành cho luồng được đánh dấu được hiển thị.
Wireshark sẽ mở ra, hiển thị các gói quan tâm.
Lọc cạnh
Tìm kiếm và lọc trong Brim rất linh hoạt và linh hoạt, nhưng bạn không cần phải học một ngôn ngữ lọc mới nếu không muốn. Bạn có thể xây dựng bộ lọc chính xác về mặt cú pháp trong Brim bằng cách nhấp vào các trường trong cửa sổ tóm tắt, sau đó chọn các tùy chọn từ menu.
Ví dụ, trong hình ảnh bên dưới, chúng tôi nhấp chuột phải vào trường “dns”. Sau đó, từ menu ngữ cảnh, chúng tôi sẽ chọn “Bộ lọc = giá trị”.
Sau đó, mọi thứ xảy ra:
Văn bản _path=”dns” sẽ được thêm vào thanh tìm kiếm.
Bộ lọc này được áp dụng cho tệp PCAP, vì vậy nó chỉ hiển thị các luồng là các luồng Dịch vụ tên miền (DNS).
Văn bản bộ lọc cũng được thêm vào lịch sử tìm kiếm ở ngăn bên trái.
Theo cách tương tự, chúng ta có thể thêm các mệnh đề khác vào cụm từ tìm kiếm. Chúng tôi sẽ nhấp chuột phải vào trường địa chỉ IP (chứa “192.168.1.1.26”) trong cột “Id.orig_h”, sau đó chọn “Filter = value” từ menu ngữ cảnh.
Điều này sẽ thêm một mệnh đề phụ dưới dạng mệnh đề AND. Màn hình hiện được lọc để hiển thị các luồng DNS bắt nguồn từ địa chỉ IP này (192.168.1.1.26).
Thuật ngữ bộ lọc mới sẽ được thêm vào lịch sử tìm kiếm của bạn ở ngăn bên trái. Bạn có thể di chuyển giữa các tìm kiếm bằng cách nhấp vào các mục trong danh sách lịch sử tìm kiếm.
Địa chỉ IP đích cho hầu hết dữ liệu được lọc của chúng tôi là 81.139.56.100. Để xem luồng DNS nào được gửi đến các địa chỉ IP khác nhau, hãy nhấp chuột phải vào “81.139.56.100” trong cột “Id_resp_h”, sau đó chọn “Filter! = Giá trị”.
Chỉ có một luồng DNS đến từ 192.168.1.26 không được gửi tới 81.139.56.100 và chúng tôi đã tìm thấy nó mà không cần phải nhập bất kỳ thứ gì để tạo bộ lọc của mình.
Ghim mệnh đề bộ lọc
Khi chúng ta nhấp chuột phải vào luồng “HTTP” và chọn “Filter=Value” từ menu ngữ cảnh, bảng tóm tắt sẽ chỉ hiển thị các luồng HTTP. Sau đó, chúng ta có thể nhấp vào biểu tượng Ghim bên cạnh mệnh đề bộ lọc HTTP.
Mệnh đề HTTP hiện đã được ghim và mọi bộ lọc hoặc cụm từ tìm kiếm khác mà chúng tôi sử dụng sẽ được thực thi với mệnh đề HTTP được thêm vào chúng.
Nếu chúng ta nhập “NHẬN” vào thanh tìm kiếm, tìm kiếm sẽ bị giới hạn ở các luồng đã được lọc bởi mệnh đề được ghim. Bạn có thể ghim bao nhiêu mệnh đề bộ lọc tùy thích.
Để tìm kiếm các gói POST trong luồng HTTP, chỉ cần xóa thanh tìm kiếm, nhập “POST”, sau đó nhấn Enter.
Cuộn sang một bên sẽ hiển thị ID của máy chủ từ xa.
Tất cả cụm từ tìm kiếm và bộ lọc được thêm vào danh sách “Lịch sử”. Để áp dụng lại bất kỳ bộ lọc nào, chỉ cần nhấp vào nó.
Bạn cũng có thể tìm kiếm máy chủ từ xa theo tên.
Chỉnh sửa cụm từ tìm kiếm
Nếu bạn muốn tìm kiếm nội dung nào đó nhưng không thấy quy trình thuộc loại đó, bạn có thể nhấp vào bất kỳ quy trình nào và chỉnh sửa mục nhập trong thanh tìm kiếm.
Ví dụ: chúng tôi biết rằng phải có ít nhất một luồng SSH trong tệp PCAP vì chúng tôi đã sử dụng rsync để gửi một số tệp đến máy tính khác, nhưng chúng tôi không thấy chúng.
Vì vậy, chúng ta sẽ nhấp chuột phải vào một luồng khác, chọn “Filter=value” từ menu ngữ cảnh, sau đó chỉnh sửa thanh tìm kiếm để nói “ssh” thay vì “dns”.
Chúng tôi nhấn Enter để tìm kiếm các luồng SSH và chỉ tìm thấy một luồng.
Nhấn Ctrl +]sẽ mở ra ngăn bên phải hiển thị chi tiết của quy trình này. Nếu tệp đã được tải lên trong quá trình truyền, phần mở rộng MD5, SHA1 và SHA256 sẽ xuất hiện các giá trị băm.
Nhấp chuột phải vào bất kỳ trong số chúng, sau đó chọn “Tra cứu VirusTotal” từ trình đơn ngữ cảnh để mở trình duyệt trên trang web VirusTotal và gửi hàm băm để kiểm tra.
VirusTotal lưu trữ các mã băm của các chương trình độc hại đã biết và các tệp độc hại khác. Nếu bạn không chắc liệu một tệp có an toàn hay không, bạn có thể dễ dàng kiểm tra tệp đó ngay cả khi bạn không còn quyền truy cập vào tệp đó nữa.
Nếu tệp lành tính, bạn sẽ thấy màn hình hiển thị như hình bên dưới.
Sự bổ sung hoàn hảo cho Wireshark
Brim giúp làm việc với Wireshark nhanh hơn và dễ dàng hơn bằng cách cho phép bạn làm việc với các tệp chụp gói rất lớn. Kiểm tra nó ngày hôm nay!
