Готовимся анализировать сетевой трафик при помощи Wireshark

Одним из полезнейших инструментов для исследования сетевого трафика является Wireshark. Это кроссплатформенная программа, доступная для MacOS X в частности и для Unix в общем, для Windows. Консольную часть я даже видел на сетевом оборудовании под управлением какого-то проприетарного диалекта Unix. Кроссплатформенность – это огромное достоинство, но для MacOS оно же является и недостатком – для запуска GUI требуется X Window (я его ставлю всегда, но некоторым придётся доставать диски с дистрибутивом MacOS X и его доставлять), и интерфейс программы вызывает отнюдь не самые тёплые эмоции (с внешним видом можно смириться, но есть проблемы с копированием, отработкой клавиатурных комбинаций и прочие мелочи, не дающие нормально работать). Поэтому для MacOS (да и для других Unix) я использую консольную часть, в основном это tshark.

Wireshark даёт много возможностей, перечислю их без перевода:

Deep inspection of hundreds of protocols, with more being added all the time

Live capture and offline analysis

Standard three-pane packet browser

Multi-platform: Runs on Windows, Linux, OS X, Solaris, FreeBSD, NetBSD, and many others

Captured network data can be browsed via a GUI, or via the TTY-mode TShark utility

The most powerful display filters in the industry

Rich VoIP analysis

Read/write many different capture file formats: tcpdump (libpcap), Pcap NG, Catapult DCT2000, Cisco Secure IDS iplog, Microsoft Network Monitor, Network General Sniffer® (compressed and uncompressed), Sniffer® Pro, and NetXray®, Network Instruments Observer, NetScreen snoop, Novell LANalyzer, RADCOM WAN/LAN Analyzer, Shomiti/Finisar Surveyor, Tektronix K12xx, Visual Networks Visual UpTime, WildPackets EtherPeek/TokenPeek/AiroPeek, and many others

Capture files compressed with gzip can be decompressed on the fly

Live data can be read from Ethernet, IEEE 802.11, PPP/HDLC, ATM, Bluetooth, USB, Token Ring, Frame Relay, FDDI, and others (depending on your platform)

Decryption support for many protocols, including IPsec, ISAKMP, Kerberos, SNMPv3, SSL/TLS, WEP, and WPA/WPA2

Coloring rules can be applied to the packet list for quick, intuitive analysis

Output can be exported to XML, PostScript®, CSV, or plain text

Например, с помощью Wireshark параноики могут убедиться, что Adium при работе с Google Talk по протоколу Jabber не передаёт пароли в открытом виде и для обмена использует шифрование xmpp-tls, а именно TLSv1 TLS_RSA_WITH_RC4_128_SHA:

Jabber XML Messaging



    to='gmail.com'
    xmlns='jabber:client'
    xmlns:stream='http://etherx.jabber.org/streams'
    version='1.0'


        from="gmail.com"
        id="..."
        version="1.0"
        xmlns:stream="http://etherx.jabber.org/streams"
        xmlns="jabber:client"



xmlns="urn:ietf:params:xml:ns:xmpp-tls"



xmlns="urn:ietf:params:xml:ns:xmpp-sasl"

X-GOOGLE-TOKEN





xmlns='urn:ietf:params:xml:ns:xmpp-tls'

xmlns="urn:ietf:params:xml:ns:xmpp-tls"

Secure Socket Layer
Version: TLS 1.0 (0x0301)
Handshake Protocol: Client Hello
    Handshake Type: Client Hello (1)
    Version: TLS 1.0 (0x0301)

Handshake Protocol: Server Hello
Handshake Type: Server Hello (2)
    Version: TLS 1.0 (0x0301)
    Cipher Suite: TLS_RSA_WITH_RC4_128_SHA (0x0005)
    Compression Method: null (0)

Я планирую написать несколько статей о детальном исследовании трафика, но для начала расскажу, как установить Wireshark (с другой стороны, если Вы добрались до этой фразы, то поставить Wireshark можете без малейшей моей помощи ;-).

Списать установочный образ можно списать с сайта Wireshark. Берём образ “OS X 10.5 (Leopard) Intel.dmg” (40 MB)

Как я сказал выше, нужно обязательно иметь установленную поддержку подсистемы X Window (это XQuartz или же X11.app). Она может уже у вас стоять, но если Wireshark не будет запускаться, то нужно будет поставить X11 с дистрибутива MacOS X.

Перетаскиваем Wireshark в Applications.
Открывем Utility, в нём будут такие файлы:
Перетащить содержимое каталога “Command Line” в $HOME/bin, /usr/local/bin, /usr/sbin или же в другой каталог, который есть в $PATH. Я расположил утилиты в /usr/sbin. Этот каталог недоступен через Finder, в него нужно явно перейти, используя меню Finder “Go/Go to Folder…”.
Для решения вопроса с доступом к устройствам захвата трафика /dev/bpf* перетащить каталог ChmodBPF на алиас StartupItems.
Программа установлена. Это только начало серии. В следующих статьях я приведу примеры захвата и анализа сетевого трафика на Вашем Маке.

Сайт программы: Wireshark.

Владимир

что делать, если chmod не стартует – ругается на настройки безопасности?
- http://intensedebate.com/people/ctrld ctrld
  
  Я вполне обхожусь и без chmodbpf, только wireshark нужно запускать через sudo:
  sudo /Applications/Wireshark.app/Contents/MacOS/Wireshark

Владимир

спасибо, так действительно лучше… только все равно на мибы ругается…
- http://intensedebate.com/people/ctrld ctrld
  
  А, на это я не обращаю внимания – на ноутбуке мне MIB'ы не нужны.
  Это известный баг 3163:
  https://bugs.wireshark.org/bugzilla/show_bug.cgi?…
  
  Только что исправил выдачу ошибок не совсем корректным, но очень быстрым методом :-)
  sudo mkdir -p /usr/local/share/mibs
  sudo ln -s /usr/share/snmp/mibs/ /usr/local/share/mibs/ietf
  
  Теперь ни Wireshark, ни tshark не выдают ошибки.
http://intensedebate.com/people/ctrld ctrld

А более правильный метод описан здесь:
http://nightrover.blogspot.com/2009/04/wireshark-…

Anonymous

Что-то не отображаются устройства в capture interfaces. В чем может быть проблема?
Anonymous

Что-то не отображаются устройства в capture interfaces. В чем может быть проблема?
Serdyukov Oleg

Нужно запустить wireshark из Terminal.app через sudo:
$ sudo wireshark
или же
$ sudo /Applications/Wireshark.app/Contents/MacOS/Wireshark
Serdyukov Oleg

Нужно запустить wireshark из Terminal.app через sudo:
$ sudo wireshark
или же
$ sudo /Applications/Wireshark.app/Contents/MacOS/Wireshark
n0r1i7

Спасибо за статью, буду ждать следующих))
Мои пять копеек: чтобы избежать проблем с засорением системы и обновлением wireshark'a, имхо лучше написать, например, в ~/.profile:
export PATH=”путь_к_вашей_папке_Wireshark_с_Command Line”/Command Line:$PATH,
предварив это комментом когда и зачем это было добавлено.
http://theapplegeek.ru ctrld

Я было уже написал статью по анализу приложения Яндекс-Пробки под iPhone, но отложил. Дойдут руки – сделаю, там есть по крайней мере один полезный приём.

Насчёт такого подхода – согласен. Порой не знаю, поставилась ли программа дополнительно или же шла с системой, и это может приводить к проблемам с повторением рецептов. Но, с другой, стороны, размещение программ в свои каталоги требует дисциплинированности. Хоть это и плюс :-)
BadBarmaley

Если ставить шарк таким способом то при открытии дампа больше 300 мего он просто падает… Если поставить из портов, то нельзя rtp слушать….
Где взять нормальный шарк? :(
http://theapplegeek.ru ctrld

Второй день не могу добраться и захватить трафика на 300 MB. Может завтра сделаю.
Makentii

Народ мой сервер КС атакуют, и он скоропостижно падает, я при помощи этой проги нашел, тот самый зловещщщий пакет которым все это было провернуто, но как понять что он содержал не могу. не подскажете как это сделать. файл вот с такой инфой. 0000 00 1a 4d 4c 60 5c 00 13 1a d7 31 43 08 00 45 48 ..ML`.. ..1C..EH
0010 00 31 6e 98 00 00 7a 11 10 8a 4e 1b 80 4d 4e 1a .1n…z. ..N..MN.
0020 a4 cf 69 7d 69 87 00 1d 23 b6 0a f7 00 00 7d c2 ..i}i… #…..}.
0030 00 00 3f 6a 64 09 79 6c 73 3a 00 64 2e 6f 00 ..?jd.yl s:.d.o.
- http://theapplegeek.ru ctrld
  
  Лучше поступить по-другому. Не искать, что сделал этот пакет (маловероятно, что это он). А обновить OS и софт.
http://theapplegeek.ru ctrld

Что можно сказать… Используется протокол UDP, уровень приложения – HalfLife/CounterStrike/etc. Клиент: 78.27.128.77:27005 (Киев, Домашка), сервер: 78.26.164.207:27015 (Одесса, Renome-Service). Дальше содержимое пакета не смотрел.
Обновите софт или хотя бы прикройте в firewall этого клиента.

The Apple Geek

Готовимся анализировать сетевой трафик при помощи Wireshark

Теги

Разделы