Hogyan nézzünk a forgalom mögé a Wiresharkkal?
Az otthoni hálózatunkat egy csendes, rendezett helynek képzeljük. Azt gondoljuk, az eszközeink csak akkor kommunikálnak, amikor mi arra utasítást adunk.
De mi a valóság? Mi történik a színfalak mögött, a másodperc minden törtrésze alatt?
Létezik egy eszköz, ami olyan a hálózati szakemberek számára, mint a nagyító és a DNS-teszt egy nyomozónak. Ez az eszköz a Wireshark.
A Wireshark egy ingyenes, nyílt forráskódú hálózati protokoll-analizátor. Lényegében egy hiperérzékeny mikrofon, amit a hálózati kábelünkre csatlakoztatunk, és ami rögzít minden egyes adatcsomagot, ami áthalad rajta. Ne ijedjen meg, az alapvető használata egyszerűbb, mint gondolná.
Ez a cikk egy egyszerű, kezdő útmutató ahhoz, hogyan válhat Ön is a saját hálózatának nyomozójává, és hogyan leplezheti le az eszközei titkos életét.
Az első lépés: A telepítés és a tetthely előkészítése
Telepítés: Látogasson el a Wireshark hivatalos weboldalára (wireshark.org), és töltse le az operációs rendszerének megfelelő verziót. A telepítés során a program fel fogja tenni az adatforgalom rögzítéséhez szükséges motorokat (pl.: Npcap Windows-on). Engedélyezze ezeket.
A tetthely: A Wireshark a számítógépe hálózati forgalmát tudja rögzíteni. A leghatékonyabb, ha egy olyan gépre telepíti, ami kábellel csatlakozik a routeréhez.
A második lépés: a bizonyítékok rögzítése
Amikor elindítja a Wiresharkot, egy lista fogadja a számítógépében található hálózati csatolókról (pl. Ethernet, Wi-Fi). Válassza ki azt, amelyiken az aktív internetkapcsolata zajlik (általában egy kis grafikon mutatja a forgalmat mellette).
Kattintson duplán a kiválasztott csatolóra, vagy válassza ki és nyomja meg a kék cápauszony ikont a bal felső sarokban.
Gratulálok. Ön most rögzíti a hálózata láthatatlan forgalmát.
A képernyő elárasztja Önt egy elsőre kaotikusnak tűnő, színes sorokból álló listával. Ne essen pánikba. Ez a nyers adat. Minden egyes sor egyetlen adatcsomagot jelent. Hagyja futni a rögzítést 1-2 percig, majd nyomja meg a piros Stop gombot (a cápauszony mellett).
A harmadik lépés: a nyomozás (szűrők használata)
A nyers adat szinte értelmezhetetlen. A valódi munka most kezdődik. A Wireshark legfontosabb eszköze a kijelzési szűrő (Display Filter), a képernyő tetején található zöld sáv. Ide írva tudjuk kiszűrni a számunkra érdekes beszélgetéseket.
Végezzünk el egy egyszerű, de rendkívül tanulságos kísérletet.
Kísérlet: Hova telefonál az okostévénk?
1. Győződjön meg róla, hogy az okostévéje ki van kapcsolva (készenléti állapotban van).
2. Indítsa el a Wireshark rögzítést a számítógépén.
3. Kapcsolja be a TV-t a távirányítóval. Várjon egy percet, amíg a rendszer feláll.
4. Állítsa le a rögzítést a Wiresharkban.
Most pedig használjuk a telefonkönyvet. Írja be a szűrő mezőbe a következőt, és nyomjon Entert: dns
Mit fog látni? A dns szűrő megmutatja az összes telefonkönyv-lekérdezést. Látni fogja, hogy a TV-je (a helyi IP címe alapján azonosíthatja) milyen domain neveket próbált meg felhívni. Valószínűleg egy hosszú listát fog látni, tele a gyártó szervereivel, hirdetési hálózatokkal, és streaming szolgáltatókkal, mindezt anélkül, hogy Ön egyetlen applikációt is elindított volna.
A következő lépés: a gyanúsítottak beazonosítása
A Wireshark egy mély óceán. De már ezzel az egyszerű DNS szűréssel is egy sokkal tisztább képet kaphat arról, hogy az eszközei valójában kivel és mikor beszélgetnek.
Próbáljon ki más szűrőket is:
http: Megmutatja a titkosítatlan webes forgalmat.
tcp: Csak a megbízható, kapcsolat-orientált kommunikációt mutatja.
udp: A gyors, kapcsolat nélküli forgalmat mutatja (gyakran streaming vagy DNS használja).
A Wireshark nem egy támadó eszköz. Ez egy diagnosztikai eszköz. Egy igazságügyi orvosszakértői készlet, ami lehetővé teszi, hogy a saját hálózatának objektív, tényeken alapuló elemzését végezze el.
Kezdje el ma. Indítsa el a rögzítést. Tegye fel a kérdést: Mit csinálnak az eszközeim, amikor azt hiszem, nem csinálnak semmit? A válasz talán meg fogja lepni.