Trasforma il tuo flusso di lavoro Wireshark con Brim su Linux

pixelnest / Shutterstock

Wireshark è lo standard de facto per l'analisi del traffico di rete. Sfortunatamente, diventa sempre più lento con l'aumentare dell'acquisizione dei pacchetti. tesa risolve questo problema così bene che cambierà il tuo flusso di lavoro Wireshark.

Wireshark è fantastico, ma . . .

Wireshark è un meraviglioso software open source. È utilizzato da dilettanti e professionisti in tutto il mondo per indagare sui problemi di rete. Cattura i pacchetti di dati che viaggiano lungo i fili o attraverso l'etere della tua rete. Una volta catturato il traffico, Wireshark ti consente di filtrare e cercare tra i dati, tracciare le conversazioni tra i dispositivi di rete e molto altro.

Per quanto Wireshark sia, tuttavia, ha un problema. I file di acquisizione dati di rete (chiamati tracce di rete o acquisizioni di pacchetti) possono diventare molto grandi e molto rapidamente. Ciò è particolarmente vero se il problema che stai cercando di indagare è complesso o sporadico, o se la rete è grande e occupata.

Più grande è la cattura del pacchetto (o PCAP), più Wireshark diventa lento. La semplice apertura e il caricamento di una traccia molto grande (qualsiasi cosa oltre 1 GB) può richiedere così tanto tempo che penseresti che Wireshark si sia piegato e abbia rinunciato al fantasma.

Lavorare con file di quelle dimensioni è una vera seccatura. Ogni volta che si esegue una ricerca o si modifica un filtro, è necessario attendere che gli effetti vengano applicati ai dati e aggiornati sullo schermo. Ogni ritardo interrompe la tua concentrazione, il che può ostacolare i tuoi progressi.

tesa è il rimedio a questi guai. Agisce come preprocessore interattivo e front-end per Wireshark. Quando vuoi vedere il livello granulare che Wireshark può fornire, Brim lo apre immediatamente per te esattamente su quei pacchetti.

Se esegui molte acquisizioni di rete e analisi dei pacchetti, Brim rivoluzionerà il tuo flusso di lavoro.

IMPARENTATO: Come utilizzare i filtri Wireshark su Linux

Installazione di Brim

Brim è molto nuovo, quindi non si è ancora fatto strada nei repository software delle distribuzioni Linux. Tuttavia, su Pagina di download del bordo , troverai i file del pacchetto DEB e RPM, quindi installarlo su Ubuntu o Fedora è abbastanza semplice.

Se usi un'altra distribuzione, puoi scarica il codice sorgente da GitHub e crea tu stesso l'applicazione.

Brim usa |_+_|, uno strumento da riga di comando per Zeek log, quindi dovrai anche scaricare un file ZIP contenente |_+_| binari.

Installazione di Brim su Ubuntu

Se stai usando Ubuntu, dovrai scaricare il file del pacchetto DEB e |_+_| File ZIP Linux. Fare doppio clic sul file del pacchetto DEB scaricato e l'applicazione del software Ubuntu si aprirà. La licenza Brim è erroneamente elencata come Proprietaria: utilizza il Licenza a 3 clausole BSD .

Fare clic su Installa.

Al termine dell'installazione, fare doppio clic su |_+_| ZIP per avviare l'applicazione Archive Manager. Il file ZIP conterrà una singola directory; trascinalo dal Gestore archivi in ​​una posizione sul tuo computer, come la directory Download.

Digitiamo quanto segue per creare una posizione per |_+_| binari:

Dobbiamo copiare i binari dalla directory estratta nella posizione che abbiamo appena creato. Sostituisci il percorso e il nome della directory estratta sulla tua macchina nel seguente comando:

Dobbiamo aggiungere quella posizione al percorso, quindi modificheremo il file BASHRC:

Si aprirà l'editor gedit. Scorri fino alla fine del file, quindi digita questa riga:

Salva le modifiche e chiudi l'editor.

Installazione di Brim su Fedora

Per installare Brim su Fedora, scarica il file del pacchetto RPM (invece del DEB), quindi segui gli stessi passaggi che abbiamo trattato per l'installazione di Ubuntu sopra.

È interessante notare che quando il file RPM si apre in Fedora, viene correttamente identificato come dotato di una licenza open source, piuttosto che di una proprietaria.

Lanciare l'orlo

Fai clic su Mostra applicazioni nel dock o premi Super+A. Digita brim nella casella di ricerca, quindi fai clic su Brim quando viene visualizzato.

Brim si avvia e mostra la sua finestra principale. Puoi fare clic su Scegli file per aprire un browser di file o trascinare e rilasciare un file PCAP nell'area circondata dal rettangolo rosso.

Brim utilizza un display a schede e puoi avere più schede aperte contemporaneamente. Per aprire una nuova scheda, fai clic sul segno più (+) in alto, quindi seleziona un altro PCAP.

Nozioni di base sul bordo

Brim carica e indicizza il file selezionato. L'indice è uno dei motivi per cui Brim è così veloce. La finestra principale contiene un istogramma dei volumi dei pacchetti nel tempo e un elenco dei flussi di rete.

Un file PCAP contiene un flusso di pacchetti di rete in ordine temporale per un gran numero di connessioni di rete. I pacchetti di dati per le varie connessioni sono mescolati perché alcuni di essi saranno stati aperti contemporaneamente. I pacchetti per ogni conversazione di rete sono intervallati dai pacchetti di altre conversazioni.

Wireshark visualizza il flusso di rete pacchetto per pacchetto, mentre Brim utilizza un concetto chiamato flussi. Un flusso è un completo interscambio di rete (o conversazione) tra due dispositivi. Ciascun tipo di flusso è classificato, codificato a colori ed etichettato in base al tipo di flusso. Vedrai flussi etichettati come dns, ssh, https, ssl e molti altri.

Se si scorre la visualizzazione del riepilogo del flusso verso sinistra o verso destra, verranno visualizzate molte più colonne. È inoltre possibile regolare il periodo di tempo per visualizzare il sottoinsieme di informazioni che si desidera visualizzare. Di seguito sono riportati alcuni modi per visualizzare i dati:

• Fare clic su una barra nell'istogramma per ingrandire l'attività di rete al suo interno.
• Fare clic e trascinare per evidenziare un intervallo della visualizzazione dell'istogramma e ingrandire. Brim visualizzerà quindi i dati dalla sezione evidenziata.
• È inoltre possibile specificare periodi esatti nei campi Data e Ora.

Brim può visualizzare due riquadri laterali: uno a sinistra e uno a destra. Questi possono essere nascosti o rimanere visibili. Il riquadro a sinistra mostra una cronologia di ricerca e un elenco di PCAP aperti, chiamati spazi. Premi Ctrl+[ per attivare o disattivare il riquadro sinistro.

Il riquadro a destra contiene informazioni dettagliate sul flusso evidenziato. Premi Ctrl+] per attivare o disattivare il riquadro di destra.

Fare clic su Conn nell'elenco Correlazione UID per aprire un diagramma di connessione per il flusso evidenziato.

Nella finestra principale, puoi anche evidenziare un flusso, quindi fare clic sull'icona Wireshark. Questo avvia Wireshark con i pacchetti per il flusso evidenziato visualizzati.

Wireshark si apre, mostrando i pacchetti di interesse.

Filtraggio in Brim

La ricerca e il filtraggio in Brim sono flessibili e completi, ma non è necessario imparare un nuovo linguaggio di filtraggio se non lo si desidera. Puoi creare un filtro sintatticamente corretto in Brim facendo clic sui campi nella finestra di riepilogo, quindi selezionando le opzioni da un menu.

Ad esempio, nell'immagine sottostante, abbiamo fatto clic con il pulsante destro del mouse su un campo dns. Quindi selezioneremo Filtro = Valore dal menu di scelta rapida.

Si verificano quindi le seguenti cose:

• Il testo |_+_| viene aggiunto alla barra di ricerca.
• Tale filtro viene applicato al file PCAP, quindi visualizzerà solo i flussi DNS (Domain Name Service).
• Il testo del filtro viene aggiunto anche alla cronologia delle ricerche nel riquadro di sinistra.

Possiamo aggiungere ulteriori clausole al termine di ricerca utilizzando la stessa tecnica. Faremo clic con il pulsante destro del mouse sul campo dell'indirizzo IP (contenente 192.168.1.26) nella colonna Id.orig_h, quindi selezionare Filtro = Valore dal menu di scelta rapida.

Questo aggiunge la clausola aggiuntiva come clausola AND. La visualizzazione è ora filtrata per mostrare i flussi DNS originati da quell'indirizzo IP (192.168.1.26).

Il nuovo termine di filtro viene aggiunto alla cronologia delle ricerche nel riquadro di sinistra. Puoi passare da una ricerca all'altra facendo clic sugli elementi nell'elenco della cronologia delle ricerche.

L'indirizzo IP di destinazione per la maggior parte dei nostri dati filtrati è 81.139.56.100. Per vedere quali flussi DNS sono stati inviati a indirizzi IP diversi, fare clic con il pulsante destro del mouse su 81.139.56.100 nella colonna Id_resp_h, quindi selezionare Filtro != Valore dal menu di scelta rapida.

Solo un flusso DNS originato da 192.168.1.26 non è stato inviato a 81.139.56.100 e lo abbiamo individuato senza dover digitare nulla per creare il nostro filtro.

Appuntamento delle clausole di filtro

Quando facciamo clic con il pulsante destro del mouse su un flusso HTTP e selezioniamo Filtro = Valore dal menu di scelta rapida, il riquadro di riepilogo visualizzerà solo i flussi HTTP. Possiamo quindi fare clic sull'icona Pin accanto alla clausola del filtro HTTP.

La clausola HTTP è ora bloccata e qualsiasi altro filtro o termine di ricerca che utilizziamo verrà eseguito con la clausola HTTP anteposta.

Se digitiamo GET nella barra di ricerca, la ricerca sarà limitata ai flussi che sono già stati filtrati dalla clausola bloccata. È possibile aggiungere tutte le clausole di filtro necessarie.

Per cercare i pacchetti POST nei flussi HTTP, cancelliamo semplicemente la barra di ricerca, digitiamo POST e poi premiamo Invio.

Lo scorrimento laterale rivela l'ID dell'host remoto.

Tutti i termini di ricerca e filtro vengono aggiunti all'elenco Cronologia. Per riapplicare qualsiasi filtro, fai clic su di esso.

Puoi anche cercare un host remoto per nome.

Modifica dei termini di ricerca

Se vuoi cercare qualcosa, ma non vedi un flusso di quel tipo, puoi fare clic su qualsiasi flusso e modificare la voce nella barra di ricerca.

Ad esempio, sappiamo che deve esserci almeno un flusso SSH nel file PCAP perché abbiamo usato zq per inviare alcuni file a un altro computer, ma non possiamo vederlo.

Quindi, faremo clic con il pulsante destro del mouse su un altro flusso, selezionare Filtro = Valore dal menu di scelta rapida, quindi modificare la barra di ricerca per dire ssh invece di dns.

Premiamo Invio per cercare i flussi SSH e scopriamo che ce n'è solo uno.

Premendo Ctrl+] si apre il riquadro di destra, che mostra i dettagli per questo flusso. Se un file è stato trasferito durante un flusso, il MD5 , SHA1 , e SHA256 vengono visualizzati gli hash.

Fare clic con il pulsante destro del mouse su uno di questi, quindi selezionare VirusTotal Lookup dal menu di scelta rapida per aprire il browser su VirusTotale sito Web e passare l'hash per il controllo.

VirusTotal memorizza gli hash di malware noti e altri file dannosi. Se non sei sicuro che un file sia sicuro, questo è un modo semplice per verificare, anche se non hai più accesso al file.

Se il file è benigno, vedrai la schermata mostrata nell'immagine qui sotto.

Il complemento perfetto per Wireshark

Brim rende il lavoro con Wireshark ancora più rapido e semplice consentendo di lavorare con file di acquisizione di pacchetti molto grandi. Provalo oggi stesso!

• › Come trovare il tuo Spotify Wrapped 2021
• › La cartella del computer è 40: come la star di Xerox ha creato il desktop
• & rsaquo; Cyber ​​Monday 2021: le migliori offerte tecnologiche
• › 5 siti Web che ogni utente Linux dovrebbe aggiungere ai segnalibri
• › Che cos'è la protezione anticaduta MIL-SPEC?
• › Funzioni e formule in Microsoft Excel: qual è la differenza?