Трансформишите свој Виресхарк радни ток уз Брим на Линук-у

Виресхарк је де фацто стандард за анализу мрежног саобраћаја. Нажалост, све више заостаје како хватање пакета расте. Брим решава овај проблем тако добро, да ће променити ваш Виресхарк радни ток.

Виресхарк је сјајан, али . . .

Виресхарк је диван део софтвера отвореног кода. Користе га и аматери и професионалци широм света за истраживање проблема умрежавања. Он хвата пакете података који путују низ жице или кроз етар ваше мреже. Када ухватите свој саобраћај, Виресхарк вам омогућава да филтрирате и претражујете податке, пратите разговоре између мрежних уређаја и још много тога.

Колико год да је Виресхарк сјајан, ипак има један проблем. Датотеке за снимање мрежних података (које се називају мрежни трагови или хватање пакета) могу постати веома велике, веома брзо. Ово је посебно тачно ако је проблем који покушавате да истражите сложен или спорадичан, или ако је мрежа велика и заузета.

Што је веће захватање пакета (или ПЦАП), Виресхарк постаје све заосталији. Само отварање и учитавање веома великог (све преко 1 ГБ) трага може да потраје толико дуго да бисте помислили да је Виресхарк престао и одустао од духа.

Рад са датотекама те величине је прави бол. Сваки пут када извршите претрагу или промените филтер, морате да сачекате да се ефекти примене на податке и ажурирају на екрану. Свако кашњење ремети вашу концентрацију, што може ометати ваш напредак.

Брим је лек за ове невоље. Делује као интерактивни предпроцесор и фронт-енд за Виресхарк. Када желите да видите грануларни ниво који Виресхарк може да пружи, Брим га одмах отвара за вас управо на тим пакетима.

Ако радите много мрежног снимања и анализе пакета, Брим ће револуционисати ваш ток посла.

Инсталирање Брим

Брим је веома нов, тако да још увек није ушао у софтверска складишта Линук дистрибуција. Међутим, на Страница за преузимање Брим, наћи ћете датотеке пакета ДЕБ и РПМ, тако да је инсталирање на Убунту или Федора довољно једноставно.

Ако користите другу дистрибуцију, можете преузмите изворни код са ГитХуб-а и сами направите апликацију.

Брим користи зк, алатку командне линије за Зеек евиденције, тако да ћете такође морати да преузмете ЗИП датотеку која садржи зк бинарне датотеке.

Инсталирање Брим-а на Убунту

Ако користите Убунту, мораћете да преузмете датотеку ДЕБ пакета и зк Линук ЗИП датотеку. Двапут кликните на преузету датотеку ДЕБ пакета и отвориће се Убунту софтверска апликација. Брим лиценца је грешком наведена као „Власничка“ – користи се БСД 3-клаузула лиценца.

  Како инсталирати Реапер ДАВ на Линук

Кликните на „Инсталирај“.

Кликните

Када се инсталација заврши, двапут кликните на зк ЗИП датотеку да бисте покренули апликацију Арцхиве Манагер. ЗИП датотека ће садржати један директоријум; превуците га и отпустите из „Управљача архивама“ на локацију на вашем рачунару, као што је директоријум „Преузимања“.

Откуцавамо следеће да бисмо креирали локацију за зк бинарне датотеке:

sudo mkdir /opt/zeek

Морамо да копирамо бинарне датотеке из екстрахованог директоријума на локацију коју смо управо креирали. Замените путању и име екстрахованог директоријума на вашој машини следећом командом:

sudo cp Downloads/zq-v0.20.0.linux-amd64/* /opt/Zeek

Морамо да додамо ту локацију на путању, тако да ћемо уредити БАСХРЦ датотеку:

sudo gedit .bashrc

Отвориће се уређивач гедит. Померите се до дна датотеке, а затим откуцајте овај ред:

export PATH=$PATH:/opt/zeek

Сачувајте промене и затворите уређивач.

Инсталирање Брим-а на Федора

Да бисте инсталирали Брим на Федора-у, преузмите датотеку РПМ пакета (уместо ДЕБ-а), а затим следите исте кораке које смо покрили за инсталацију Убунтуа изнад.

Занимљиво је да када се РПМ датотека отвори у Федори, исправно је идентификована као да има лиценцу отвореног кода, а не власничку.

Лансирање Брим

Кликните на „Прикажи апликације“ на доку или притисните Супер+А. Откуцајте „брим“ у пољу за претрагу, а затим кликните на „брим“ када се појави.

Тип

Брим покреће и приказује свој главни прозор. Можете да кликнете на „Одабери датотеке“ да отворите прегледач датотека или да превучете и отпустите ПЦАП датотеку у област окружену црвеним правоугаоником.

Брим користи екран са картицама и можете отворити више картица истовремено. Да бисте отворили нову картицу, кликните на знак плус (+) на врху, а затим изаберите други ПЦАП.

Брим Басицс

Брим учитава и индексира изабрану датотеку. Индекс је један од разлога зашто је Брим тако брз. Главни прозор садржи хистограм обима пакета током времена и листу мрежних „токова“.

ПЦАП датотека садржи временски распоређени ток мрежних пакета за велики број мрежних веза. Пакети података за различите везе су помешани јер ће неки од њих бити отворени истовремено. Пакети за сваки мрежни „разговор“ су испреплетени пакетима других разговора.

Виресхарк приказује мрежни ток пакет по пакет, док Брим користи концепт који се зове „токови“. Ток је потпуна мрежна размена (или разговор) између два уређаја. Сваки тип тока је категорисан, означен бојом и означен типом протока. Видећете токове означене са „днс“, „ссх“, „хттпс“, „ссл“ и још много тога.

  Како скенирати отворене портове на Линук рачунару помоћу Зенмапа

Ако скролујете приказ резимеа тока лево или десно, биће приказано много више колона. Такође можете подесити временски период да бисте приказали подскуп информација које желите да видите. Испод је неколико начина на које можете да видите податке:

Кликните на траку на хистограму да бисте увећали мрежну активност унутар ње.
Кликните и превуците да бисте истакли опсег приказа хистограма и зумирали. Брим ће затим приказати податке из означеног одељка.
Такође можете одредити тачне периоде у пољима „Датум“ и „Време“.

Обод може да прикаже два бочна окна: једно са леве стране и једно са десне стране. Они могу бити скривени или остати видљиви. Окно са леве стране приказује историју претраге и листу отворених ПЦАП-ова, званих размаци. Притисните Цтрл+[ to toggle the left pane on or off.

The

The pane on the right contains detailed information about the highlighted flow. Press Ctrl+] да бисте укључили или искључили десно окно.

А истакнуто

Кликните на „Цонн“ на листи „УИД Цоррелатион“ да бисте отворили дијаграм повезивања за истакнути ток.

Кликните

У главном прозору такође можете да означите ток, а затим кликните на икону Виресхарк. Ово покреће Виресхарк са приказаним пакетима за означени ток.

Отвара се Виресхарк и приказује пакете од интереса.

Филтрирање у Брим

Претраживање и филтрирање у Бриму су флексибилни и свеобухватни, али не морате да учите нови језик за филтрирање ако то не желите. Можете да направите синтаксички исправан филтер у Бриму тако што ћете кликнути на поља у прозору резимеа, а затим изабрати опције из менија.

На пример, на слици испод, кликнули смо десним тастером миша на поље „днс“. Затим ћемо изабрати „Филтер = вредност“ из контекстног менија.

Затим се дешавају следеће ствари:

Текст _патх = “днс” се додаје у траку за претрагу.
Тај филтер се примењује на ПЦАП датотеку, тако да ће приказати само токове који су токови услуге имена домена (ДНС).
Текст филтера се такође додаје историји претраге у левом окну.

Можемо додати додатне клаузуле термину за претрагу користећи исту технику. Кликните десним тастером миша на поље ИП адресе (које садржи „192.168.1.26“) у колони „Ид.ориг_х“, а затим изаберите „Филтер = Валуе“ из контекстног менија.

Ово додаје додатну клаузулу као АНД клаузулу. Екран је сада филтриран да прикаже ДНС токове који потичу са те ИП адресе (192.168.1.26).

Нови термин филтера се додаје у историју претраге у левом окну. Можете да прелазите између претрага тако што ћете кликнути на ставке у листи историје претраге.

Одредишна ИП адреса за већину наших филтрираних података је 81.139.56.100. Да бисмо видели који ДНС токови су послати на различите ИП адресе, десним тастером миша кликнемо на „81.139.56.100“ у колони „Ид_респ_х“, а затим из контекстног менија изаберемо „Филтер != Валуе“.

  Морровинд на Линук-у са ОпенМВ

Екран резимеа са филтером за претрагу који садржи

Само један ДНС ток који потиче са 192.168.1.26 није послат на 81.139.56.100, а ми смо га лоцирали без потребе да било шта куцамо да бисмо креирали филтер.

Качење филтерских клаузула

Када кликнемо десним тастером миша на „ХТТП“ ток и одаберемо „Филтер = вредност“ из контекстног менија, окно са резимеом ће приказати само ХТТП токове. Затим можемо кликнути на икону Пин поред клаузуле ХТТП филтера.

ХТТП клаузула је сада закачена на место, а сви други филтери или термини за претрагу које користимо биће извршени са ХТТП клаузулом која им је додата.

Ако унесемо „ГЕТ“ у траку за претрагу, претрага ће бити ограничена на токове који су већ филтрирани закаченом клаузулом. Можете да закачите онолико клаузула филтера колико је потребно.

Да бисмо претражили ПОСТ пакете у ХТТП токовима, једноставно обришемо траку за претрагу, откуцамо „ПОСТ“, а затим притиснемо Ентер.

Померање у страну открива ИД удаљеног хоста.

Даљински

Сви термини за претрагу и филтрирање се додају на листу „Историја“. Да бисте поново применили било који филтер, само кликните на њега.

Ауто-популатед

Такође можете тражити удаљени хост по имену.

Тражим

Уређивање термина за претрагу

Ако желите да тражите нешто, али не видите ток тог типа, можете да кликнете на било који ток и измените унос у траци за претрагу.

На пример, знамо да мора постојати најмање један ССХ ток у ПЦАП датотеци јер смо користили рсинц да пошаљемо неке датотеке на други рачунар, али не можемо да их видимо.

Дакле, ми ћемо кликнути десним тастером миша на други ток, изабрати „Филтер = вредност“ из контекстног менија, а затим уредити траку за претрагу да каже „ссх“ уместо „днс“.

Притиснемо Ентер да претражимо ССХ токове и пронађемо да постоји само један.

Притиском на Цтрл+]отвара се десно окно, које приказује детаље за овај ток. Ако је датотека пренета током тока, МД5, СХА1, и СХА256 појављују се хешови.

Кликните десним тастером миша на било коју од њих, а затим изаберите „ВирусТотал Лоокуп“ из контекстног менија да бисте отворили прегледач на ВирусТотал веб-сајту и проследите хеш на проверу.

ВирусТотал чува хешове познатог малвера и других злонамерних датотека. Ако нисте сигурни да ли је датотека безбедна, ово је једноставан начин да проверите, чак и ако више немате приступ датотеци.

Ако је датотека бенигна, видећете екран приказан на слици испод.

А

Савршена допуна Виресхарку

Брим чини рад са Виресхарком још бржим и лакшим тако што вам омогућава да радите са веома великим датотекама за снимање пакета. Пробајте га данас!