Avez-vous déjà imaginé ou eu certaines curiosités sur l'apparence du trafic réseau ? Si vous l'avez fait, vous n'êtes pas seul, je l'ai fait aussi. Je ne savais pas grand-chose sur le réseautage à ce moment-là. Pour autant que je sache, lorsque je me connectais à un réseau Wi-Fi, j'ai d'abord mis le service Wi-Fi sur mon ordinateur pour scanner les connexions disponibles autour de moi. Et puis, j'ai essayé de me connecter au point d'accès Wi-Fi cible, s'il demande le mot de passe, puis saisissez le mot de passe. Une fois qu'il est connecté, maintenant je pouvais surfer sur Internet. Mais, alors je me demande, quel est le scénario derrière tout ça? Comment mon ordinateur pourrait-il savoir s'il y a beaucoup de points d'accès autour? Même moi, je ne savais pas où les routeurs sont placés. Et une fois que mon ordinateur s'est connecté au routeur / point d'accès ce qu'ils font lorsque j'ai parcouru Internet? Comment ces appareils (mon ordinateur et mon point d'accès) communiquent-ils entre eux?
C'est arrivé lorsque j'ai installé mon kali Linux pour la première fois. Mon objectif en installant Kali Linux était de résoudre tous les problèmes et mes curiosités liées à «certains trucs de technologie complexe ou scénario de méthodes de piratage et bientôt». J'adore le processus, j'aime la séquence des étapes de la rupture du puzzle. Je connaissais les termes proxy, VPN et autres trucs de connectivité. Mais, j'ai besoin de connaître l'idée de base du fonctionnement de ces choses (serveur et client) et communiquer en particulier sur mon réseau local.
Les questions ci-dessus m'apportent au sujet, analyse du réseau. C'est généralement, renifler et analyser le trafic réseau. Heureusement, Kali Linux et d'autres distros Linux offrent l'outil d'analyseur de réseau le plus puissant, appelé Wireshark. Il est considéré comme un package standard sur les systèmes Linux. Wireshark a une riche fonctionnalité. L'idée principale de ce tutoriel est de faire la capture en direct du réseau, enregistrer les données dans un fichier pour un processus d'analyse plus ultérieur (hors ligne).
Une fois que nous nous sommes connectés au réseau, commençons par ouvrir l'interface de l'interface graphique de Wireshark. Pour exécuter cela, entrez simplement dans le terminal:
~ # Wireshark |
Vous verrez la page de bienvenue de Wireshark Window, il devrait ressembler à ceci:
Dans ce cas, nous nous sommes connectés à un point d'accès via notre interface de carte sans fil. Allons-y et choisissons Wlan0. Pour commencer à capturer, cliquez sur le Bouton Start (Icône de la nappe bleu-shark) Situé dans le coin gauche.
Maintenant, nous apportons dans la fenêtre de capture en direct. Vous pourriez vous sentir dépassé la première fois en voyant un tas de données sur cette fenêtre. Ne t'inquiète pas, je vais l'expliquer un par un. Dans cette fenêtre, principalement divisée en trois vitres, du haut en bas, c'est: Liste des paquets, détails des paquets et octets de paquets.
Lorsque vous êtes prêt à arrêter de capturer et à afficher les données capturées, cliquez Bouton d'arrêt «Icône du carré rouge» (situé juste à côté du bouton Démarrer). Il est nécessaire d'enregistrer le fichier pour un processus d'analyse plus approfondi ou de partager les paquets capturés. Une fois qu'il est arrêté, économisez simplement pour .Format de fichier PCAP en frappant Fichier> Enregistrer sous le nom de fichier.PCAP.
Comprendre les filtres de capture de Wireshark et les filtres d'affichage
Vous connaissez déjà l'utilisation de base de Wireshark, en général, le processus est conclu avec l'explication ci-dessus. Afin de trier et de capturer certaines informations, Wireshark a une fonctionnalité de filtre. Il existe deux types de filtres qui ont chacun sa propre fonctionnalité: Capture filtre et filtre d'affichage.
1. Filtre de capture
Le filtre de capture est utilisé pour capturer des données ou des paquets spécifiques, il est utilisé dans la «session de capture en direct», par exemple, vous n'avez qu'à capturer le trafic hôte unique sur 192.168.1.23 . Ainsi, saisissez la requête au formulaire de filtre de capture:
hôte 192.168.1.23
Le principal avantage de l'utilisation du filtre de capture est que nous pouvons réduire la quantité de données dans le fichier capturé, car au lieu de capturer un paquet ou un trafic, nous spécifions ou limitons à certains trafic. Capture Filtre contrôle le type de données dans le trafic capturé, si aucun filtre n'est défini, cela signifie capturer tout. Pour configurer le filtre de capture, cliquez Options de capture bouton, qui est situé comme indiqué par l'image en curseur pointant ci-dessous.
Vous remarquerez la boîte de filtre de capture en bas, cliquez sur l'icône verte à côté de la boîte et sélectionnez le filtre que vous souhaitez.
2. Filtre d'affichage
Le filtre d'affichage, dans en revanche, est utilisé dans «Analyse hors ligne». Le filtre d'affichage ressemble plus à une fonction de recherche de certains paquets que vous souhaitez voir sur la fenêtre principale. Le filtre d'affichage contrôle ce qui est vu à partir d'une capture de paquets existante, mais n'influence pas le trafic réellement capturé. Vous pouvez définir un filtre d'affichage pendant la capture ou l'analyse. Vous remarquerez la boîte de filtre d'affichage en haut de la fenêtre principale. En fait, il y a tellement de filtres que vous pouvez appliquer, mais ne soyez pas dépassé. Pour appliquer un filtre, vous pouvez simplement taper une expression de filtre dans la case, soit sélectionner dans la liste existante des filtres disponibles, comme indiqué dans l'image ci-dessous. Cliquez sur Expressions… bouton à côté de la boîte de filtre d'affichage.
Puis sélectionnez l'argument du filtre d'affichage disponible sur une liste. Et frapper D'ACCORD bouton.
Maintenant, vous avez l'idée quelle est la différence entre le filtre de capture et le filtre d'affichage et vous connaissez votre chemin autour des fonctionnalités de base et des fonctionnalités de Wireshark.