Wireshark este unul dintre cele mai cunoscute instrumente de analiză de rețea din lume, atât pentru că este gratuit, cât și pentru că funcționează bine și nu este prea dificil de utilizat. Faima sa derivă totuși de la faptul că, cu acest program, este posibilă filtrarea, capturarea și spionarea pachetelor și informațiilor care trec într-o rețea de calculatoare .
Spionarea pe pachete, așa cum se vede într-un ghid general (Introducerea unei rețele wifi protejate pentru a capta pachetele și a spiona pe ceea ce faceți pe internet), vă permite să citiți orice tip de informații care să fie clar în comunicarea dintre PC și internet.
Aceasta înseamnă că dacă două persoane se află în același birou sau acasă și se conectează la aceeași rețea (sau același router) pentru a merge pe internet, atunci cele două PC-uri pot fi văzute și de la unul este posibil, folosind Wireshark, să capteze informațiile din altele, inclusiv site-urile web pe care le vizitați, parolele în format de text (pe site-urile care nu sunt https), e-mailurile, chaturile etc.
Wireshark este, însă, mai presus de toate, un program de analiză de rețea foarte puternic, folosit și de tehnicienii profesioniști și apoi să vedem cum să-l folosim serios.
Puteți descărca Wireshark pentru Windows sau Mac OS X de pe site-ul său oficial.
Dacă utilizați Linux sau un alt sistem asemănător UNIX, Wireshark ar trebui să se afle în depozitul software de distribuție.
După descărcarea și instalarea Wireshark, o puteți porni și trebuie să selectați imediat interfața de rețea corectă pentru a analiza .
De exemplu, dacă doriți să achiziționați trafic în rețeaua wireless, faceți clic pe cardul de rețea wifi, în caz contrar, dacă rețeaua este conectată, trebuie să alegeți conexiunea LAN ș.a.
Imediat ce selectați o interfață, veți vedea imediat că orice informație care trece prin rețea este vizibilă într-o listă de defilare continuă.
Dacă activi controlul pe o rețea partajată de mai multe calculatoare (cum ar fi un wifi) și ai activat achiziția de date în modul promiscu, vei vedea și pachetele altor computere conectate la aceeași rețea .
Achiziția în modul promiscuu este posibilă de pe un PC Windows doar prin instalarea driverelor WinPCap care sunt incluse în pachetul de instalare Wireshark.
În colțul din stânga sus puteți opri procesul de captare în timp real și puteți opri achiziția traficului.
Wireshark arată date interceptate cu culori diferite pentru a ajuta la identificarea mai ușoară a tipurilor de trafic.
În mod implicit, traficul TCP este verde, traficul DNS este albastru închis, în schimb traficul UDP este albastru deschis; cele negre sunt pachete TCP cu probleme.
Pentru a începe și a vedea dacă funcționează, trebuie să vă asigurați că în timp ce navigați pe internet prin deschiderea câtorva site-uri web, datele și informațiile sunt capturate de Wireshark.
Apelurile HTTP sunt cele referitoare la traficul de internet, care pot fi cele mai interesante dacă intenționați să găsiți informații de navigare, precum site-urile vizitate.
De asemenea, puteți descărca un fișier de probă pentru analiză în Wireshark pentru
Important să nu te pierzi în marea datelor generate este să folosești reguli de filtrare a pachetelor.
Cel mai simplu mod de a aplica un filtru este de a tasta o cheie de căutare în caseta de filtru din partea de sus a ferestrei și faceți clic pe Aplicare.
De exemplu, tastând „ http ”, veți vedea doar conexiunile făcute prin browser pe internet.
Fiecare pachet poate fi inspectat și doar faceți clic pe el cu butonul din dreapta pentru a vedea mai multe detalii și fluxul TCP sau istoricul pașilor făcuți (de exemplu, dacă căutați pe Google mai multe lucruri, puteți revizui întregul flux).
Filme mai specifice pot fi aplicate din meniul Analizați .
Atunci când achiziționați pachete, poate fi incomod și dificil să înțelegeți fluxul de date și informații snortate din rețea, deoarece sunt afișate doar adrese IP.
Cu toate acestea, este posibil să convertiți adresele IP în nume de domeniu (pentru traficul http, aceasta înseamnă să vedeți numele site-urilor web) prin activarea funcționalității din meniul Edit -> Preferințe -> Rezoluție nume și activarea „ Enable Network Network Resolution ”.
Când activați această opțiune, veți vedea nume de domeniu în loc de adrese IP, dar, deoarece Wireshark va trebui să caute fiecare nume de domeniu, cererile DNS cresc prin creșterea fluxului de date.
Dacă doriți să configurați o captare automată de pachete pe computerul dvs., puteți crea o scurtătură pentru desktop pentru a porni Wireshark rapid.
După crearea linkului, faceți clic dreapta, introduceți proprietățile și, unde este scrisă „ Destinația ”, adăugați un spațiu rândului după ghilimele finale și apoi -i # -k .
în loc de #, trebuie să puneți numărul cărții de rețea care trebuie verificat, conform ordinului pe care Wireshark îl oferă în faza de selecție.
Captarea traficului de pe alte computere conectate la aceeași rețea este poate cel mai amuzant scop care ne face un pic de hacker în propriul nostru mod mic (nu este chiar așa de ușor).
Dacă doriți să înregistrați traficul de rețea și să spionați informațiile care trec printr-un router, server sau alt computer, trebuie să utilizați captura la distanță a Wireshark care, pe Windows, utilizează driverul WinPcap.
După ce a fost instalat, trebuie să deschideți fereastra serviciilor Windows (faceți clic pe Start și scrieți comanda Services.msc în caseta Căutare sau Executare).
În lista de servicii, găsiți și activați ceea ce se numește Protocolul de captare a pachetelor la distanță .
În mod implicit, acest serviciu este dezactivat.
Faceți clic pe Opțiuni Capture în fereastra inițială Wireshark și selectați Remote din caseta Interfață .
Apoi introduceți adresa sistemului de la distanță (de ex. 192.168.2.3 ) și ca port 2002 .
Pentru a funcționa, trebuie să aveți acces la portul 2002 pe sistemul de la distanță, astfel încât va trebui să deschideți acest port pe firewallul sau routerul computerului.
După conectare, puteți selecta o interfață pe sistemul de la distanță din caseta în care sunt listate cărțile de rețea și faceți clic pe Start pentru a începe înregistrarea conexiunilor realizate de pe computer.
În acest videoclip puteți vedea un tutorial introductiv realizat foarte bine pentru a învăța cum să utilizați Wireshark.
Wireshark este un instrument extrem de puternic, chiar dacă numai cei mai experimentați îl pot înțelege amănunțit și îl pot folosi pentru a face orice tip de operație într-o rețea.
Acest tutorial este doar introductiv pentru tot ce puteți face (aici este manualul complet în limba engleză); știu doar că profesioniștii îl folosesc pentru a depana instalațiile de protocol de rețea, pentru a analiza problemele de securitate și pentru a controla traficul în companii.
În sfârșit, o ultimă recomandare: multe organizații nu permit Wireshark sau instrumente similare să acționeze în rețelele lor (problema confidențialității), așa că nu ar trebui să riști să o folosești în birou decât dacă ai permisiunea.
Dacă doriți să încercați cu programe mai simple, vă recomand să descărcați instrumentele Nirsoft pentru a adulge rețeaua de PC și a vedea site-uri vizitate, căutări pe internet și parole .
