Виресхарк се сматра стандардним алатом за анализу мрежног саобраћаја. Међутим, с повећањем количине података, његова ефикасност опада. Брим нуди решење које побољшава радни процес у Виресхарку.
Виресхарк је одличан, али…
Виресхарк је моћан софтвер отвореног кода. Користе га стручњаци и почетници широм света за решавање проблема везаних за мрежу. Он прикупља пакете података који пролазе кроз мрежне каблове или бежичне сигнале. Након хватања саобраћаја, Виресхарк омогућава филтрирање, претраживање и праћење комуникације међу мрежним уређајима.
Иако је Виресхарк изузетан, има и своје мане. Датотеке за снимање мрежних података (познате као мрежни трагови или хватање пакета) могу брзо постати изузетно велике. Ово је нарочито изражено у сложеним или спорадичним проблемима, или у случају великих и прометних мрежа.
Са порастом величине хватања пакета (или PCAP), Виресхарк постаје спорији. Чак и отварање и учитавање веома великих датотека (преко 1 GB) може трајати толико дуго да се чини да је програм замрзнут.
Рад са тако великим датотекама представља изазов. Сваки покушај претраживања или измене филтера захтева чекање да се промене примене и ажурирају на екрану, што прекида концентрацију и успорава рад.
Брим представља решење за ове проблеме. Он функционише као интерактивни препроцесор и кориснички интерфејс за Виресхарк. Када је потребан детаљан ниво увида какав пружа Виресхарк, Брим га одмах отвара, директно на потребним пакетима.
За кориснике који се често баве снимањем и анализом пакета, Брим ће револуционисати њихов радни ток.
Инсталација Брим-а
Брим је релативно нов софтвер, па још увек није доступан у складиштима већине Линук дистрибуција. Међутим, на страници за преузимање Брим-а налазе се DEB и RPM пакети, што олакшава инсталацију на Убунту или Федора системима.
Уколико користите другу дистрибуцију, можете преузети изворни код са ГитХуб-а и сами га компајлирати.
Брим користи зк, алатку командне линије за Зеек евиденције, па ће бити потребно преузети и ZIP датотеку која садржи зк бинарне датотеке.
Инсталација Брим-а на Убунту
За кориснике Убунту-а, потребно је преузети DEB пакет и зк Линук ZIP датотеку. Двоструким кликом на DEB пакет покреће се Убунту софтверски центар. Важно је напоменути да је лиценца за Брим погрешно означена као „Власничка“, а заправо се користи BSD 3-клаузула лиценца.
Кликните на „Инсталирај“.
Након завршетка инсталације, двоструким кликом на зк ZIP датотеку отвориће се апликација Archive Manager. ZIP датотека садржи један директоријум; превуците га из „Archive Manager“-а на жељену локацију на рачунару, попут директоријума „Преузимања“.
Затим, уносимо следећу команду за креирање локације за зк бинарне датотеке:
sudo mkdir /opt/zeek
Сада треба копирати бинарне датотеке из екстрахованог директоријума на новокреирану локацију. Прилагодите путању и назив екстрахованог директоријума у следећој команди:
sudo cp Downloads/zq-v0.20.0.linux-amd64/* /opt/Zeek
Потребно је додати ову локацију на путању, па ћемо изменити .bashrc датотеку:
sudo gedit .bashrc
Отвориће се уређивач гедит. Померите се до дна датотеке и додајте следећу линију:
export PATH=$PATH:/opt/zeek
Сачувајте промене и затворите уређивач.
Инсталација Брим-а на Федора
За инсталацију Брим-а на Федора-у, преузмите RPM пакет (уместо DEB-а) и следите сличне кораке као и за Убунту. Занимљиво је да када се RPM датотека отвори у Федора-и, лиценца се исправно идентификује као отворени код, а не власничка.
Покретање Брим-а
Кликните на „Прикажи апликације“ на траци или притисните Супер+А. Унесите „брим“ у поље за претрагу и кликните на апликацију „брим“ када се појави.
Брим се покреће и приказује главни прозор. Кликните на „Одабери датотеке“ да бисте отворили прегледач датотека, или превуците и отпустите PCAP датотеку у означену област.
Брим користи интерфејс са картицама, омогућавајући отварање више картица истовремено. За отварање нове картице, кликните на знак плус (+) на врху и одаберите другу PCAP датотеку.
Основе коришћења Брим-а
Брим учитава и индексира одабрану датотеку. Индексирање је један од разлога зашто је Брим тако брз. Главни прозор приказује хистограм количине пакета током времена и листу мрежних „токова“.
PCAP датотека садржи временски уређене пакете мрежних веза. Пакети података различитих веза су измешани, јер се неке везе одвијају истовремено. Пакети за сваки мрежни „разговор“ су прожети пакетима других разговора.
Виресхарк приказује мрежни ток пакет по пакет, док Брим користи концепт „токова“. Ток је цела мрежна размена (или разговор) између два уређаја. Сваки тип тока је категоризован, обојен и означен типом протокола. Видећете токове означене са „dns“, „ssh“, „https“, „ssl“ и другим.
Померањем приказа сажетка тока лево или десно, приказује се више колона. Такође је могуће дефинисати временски период за приказивање само подскупа информација. Неколико начина за преглед података:
- Кликните на траку у хистограму за увећање мрежне активности унутар тог периода.
- Кликните и превуците да истакнете део хистограма и увећате га. Брим ће приказати податке из одабраног дела.
- Могу се дефинисати и прецизни временски периоди помоћу поља за „Датум“ и „Време“.
Брим омогућава приказ два бочна окна: лево и десно. Она могу бити сакривена или приказана. Лево окно приказује историју претраге и листу отворених PCAP датотека, познатих као размаци. Притиском на Ctrl+[, лево окно се укључује или искључује.
Десно окно садржи детаљне информације о изабраном току. Притиском на Ctrl+], десно окно се укључује или искључује.
Кликните на „Conn“ на листи „UID Correlation“ да бисте отворили дијаграм повезивања за одабрани ток.
У главном прозору такође можете изабрати ток, а затим кликнути на икону Виресхарк. Ово покреће Виресхарк са пакетима који припадају одабраном току.
Виресхарк се отвара и приказује пакете који су од интереса.
Филтрирање у Брим-у
Претраживање и филтрирање у Бриму су флексибилни и свеобухватни, али није неопходно учити нов језик филтрирања. Исправан филтер у Бриму можете креирати кликом на поља у сажетку прозора, и одабиром опција из менија.
На пример, на слици испод, десним кликом смо одабрали поље „dns“. Затим смо изабрали „Филтер = вредност“ из контекстног менија.
Након тога се дешава следеће:
- Текст _path = “dns” се додаје у траку за претрагу.
- Филтер се примењује на PCAP датотеку, тако да приказује само токове који су DNS токови.
- Текст филтера се додаје и историји претраге у левом окну.
Додатне клаузуле у термину претраге додајемо истим методом. Десним кликом одаберемо ИП адресу (која садржи „192.168.1.26“) у колони „Id.orig_h“ и изаберемо „Филтер = Value“ из контекстног менија.
Ово додаје клаузулу као AND клаузулу. Сада су приказани само DNS токови који потичу са ИП адресе 192.168.1.26.
Нови филтер се додаје у историју претраге у левом окну. Могуће је прелазити између претрага кликом на ставке у историји претраге.
Одредишна ИП адреса за већину филтрираних података је 81.139.56.100. Да би се приказали DNS токови који нису послати на ову адресу, десним кликом одаберемо „81.139.56.100“ у колони „Id_resp_h“, а затим из контекстног менија одаберемо „Филтер != Value“.
Само један DNS ток који потиче са 192.168.1.26 није послат на 81.139.56.100, а ми смо га лоцирали без потребе за ручним уносом филтера.
Закачивање клаузула филтера
Десним кликом на „HTTP“ ток и одабиром „Филтер = Value“ из контекстног менија, у сажетку прозора ће бити приказани само HTTP токови. Након тога, кликом на икону „Pin“ поред HTTP филтера, клаузула се закачи.
Сада је HTTP клаузула закачена, а сви наредни филтери или термини претраге ће се примењивати са додатом HTTP клаузулом.
Уколико у траку за претрагу унесемо „GET“, претрага ће бити ограничена на токове који су већ филтрирани закаченом клаузулом. Могуће је закачити онолико клаузула филтера колико је потребно.
За претрагу POST пакета у HTTP токовима, обришемо траку за претрагу, унесемо „POST“ и притиснемо Enter.
Бочним померањем открива се ИД удаљеног хоста.
Сви термини претраге и филтрирања се додају на листу „Историја“. За поновно примењивање филтера, кликните на њега.
Такође можете претраживати удаљени хост по имену.
Уређивање термина претраге
Ако желите да тражите неки тип тока, а не видите га у сажетку, можете кликнути на било који ток и изменити унос у траци за претрагу.
На пример, у PCAP датотеци сигурно постоји бар један SSH ток, јер смо користили rsync за слање датотека на други рачунар, али га не видимо.
Због тога, десним кликом на други ток, одабирамо „Филтер = вредност“ из контекстног менија, а затим у траци за претрагу мењамо „dns“ у „ssh“.
Притиском на Enter, претражујемо SSH токове и проналазимо само један.
Притиском на Ctrl+], отвара се десно окно са детаљима тока. Ако је током тока пренета датотека, приказују се MD5, SHA1 и SHA256 хешови.
Десним кликом на хеш и избором „VirusTotal Lookup“ из контекстног менија, отвара се прегледач са VirusTotal веб-сајтом и прослеђује се хеш на проверу.
VirusTotal чува хешове познатих малвера и других злонамерних датотека. Уколико нисте сигурни да ли је датотека безбедна, ово је једноставан начин да то проверите, чак и ако више немате приступ датотеци.
Ако је датотека бенигна, приказаће се екран са слике испод.
Савршен додатак Виресхарку
Брим чини рад са Виресхарком бржим и лакшим, омогућавајући рад са веома великим датотекама за снимање пакета. Испробајте га данас!