ווי אזוי צו ניצן ווייערסהאַרק אויף ווינדאָוס: א פולשטענדיקע, פּראַקטישע און אַרויף-צו-דאַטע גייד

האָט איר זיך שוין אַמאָל געוואונדערט וואָס פּאַסירט טאַקע אויף אייער נעץ ווען איר בלעטערט, שפּילט אָנליין, אָדער פאַרוואַלטעט פֿאַרבונדענע דעוויסעס? אויב איר זענט פשוט נייגעריג וועגן די סודות וואָס דרייען זיך אַרום אויף אייער WiFi, אָדער אויב איר דאַרפט פשוט אַ פּראָפעסיאָנעל געצייַג צו אנאליזירן נעץ טראַפיק און דעטעקטירן פּראָבלעמען מיט דיין פֿאַרבינדונג, זיכער דער נאָמען פֿון ווייערסאַרק האט שוין געכאפט אייער אויפמערקזאמקייט.

נו, אין דעם אַרטיקל וועט איר אַנטדעקן אָן קיין דיטורז אַלע די פרטים וועגן וויישארקוואָס עס איז, פֿאַר וואָס מען ניצט עס אין ווינדאָוס, ווי אַזוי עס צו אינסטאַלירן, און די בעסטע עצות איידער איר הייבט אָן צו כאַפּן דאַטן. לאָמיר זיך נעמען דערצו.

וואָס איז וויירשאַרק? צעברעכן דעם טיטאן פון נעץ אנאליז

וויישארק איז דער מערסט פאפולערער און אנערקענטער נעץ פראטאקאל אנאליזירער וועלטווייט.. דאָס פרייע, אָפֿן-מקור און שטאַרקע געצייַג דערמעגלעכט אײַך צו כאַפּן און דורכקוקן אַלע נעץ טראַפיק וואָס גייט דורך דיין קאָמפּיוטער, צי עס איז אַ ווינדאָוז, לינוקס, מאַקאָס מאַשין, צי אפילו סיסטעמען ווי FreeBSD און Solaris. מיט Wireshark, קענט איר זען, אין רעאל-צייט אדער נאך אויפנעמען, פונקטליך וועלכע פאקעטן גייען אריין און ארויס פון אייער קאמפיוטער, זייער מקור, ציל, פראטאקאלן, און אפילו זיי צעברעכן צו באקומען דעטאלן פון יעדן שיכט לויטן OSI מאדעל.

אנדערש ווי פילע אנאליזירער, וויירשאַרק שטייט ארויס פֿאַר זײַן אינטואיטיוו גראַפֿישער צובינד, אבער אָפפערט אויך אַ שטאַרקע קאַנסאָול ווערסיע גערופן TShark פֿאַר יענע וואָס בעפֿאָרצוגן די קאָמאַנד ליניע אָדער דאַרפֿן דורכפֿירן אָטאַמייטיד טאַסקס. די בייגיקייט פון וויירשאַרק עס איז אַזוי אַז עס דערלויבט אײַך צו אַנאַליזירן אַ פֿאַרבינדונג בשעת איר בלעטערט, דורכצופֿירן פּראָפֿעסיאָנעלע זיכערהייט אויספֿאָרשונגען, סאָלווען נעץ באַטאַלנעקס, אָדער לערנען פֿון אָנהייב וועגן ווי אינטערנעט פּראָטאָקאָלן אַרבעטן, אַלץ פֿון אײַער אייגענעם קאָמפּיוטער!

דאַונלאָוד און ינסטאַלירן Wireshark אויף Windows

אינסטאַלירן Wireshark אויף Windows איז אַ פּשוט פּראָצעס., אבער עס איז ראטזאם צו טאָן עס שריט ביי שריט כדי נישט צו לאָזן קיין פרייע עקן, ספּעציעל וועגן פּערמישאַנז און נאָך דרייווערס פֿאַר די קאַפּטשער.

• Descarga oficial: צוטריט די אפיציעלע וויישארק וועבזייטל און קלייַבט די ווינדאָוז ווערסיע (32 אָדער 64 ביטן לויט דיין סיסטעם).
• Ejecuta el instalador: טאָפּל-קליק די דאַונלאָודיד טעקע און נאָכפאָלגן די וויזאַרד. אַקסעפּטירט די פעליקייַט אָפּציעס אויב איר האָט פֿראַגעס.
• עסענציעלע דרייווערס: בעת די אינסטאַלאַציע, וועט דער אינסטאַללער פרעגן אייך אינסטאַלירן Npcap. די קאָמפּאָנענט איז וויכטיק, ווײַל עס ערלויבט אײַער נעץ קאַרטל צו כאַפּן פּאַקעטן אין "פּראָמיסקואָוס" מאָדע. אָננעמען זיין אינסטאַלאַציע.
• ענדיקן און ריסטאַרטן: אַמאָל דער פּראָצעס איז פֿאַרטיק, ריסטאַרט דיין קאָמפּיוטער צו ענשור אַז אַלע קאָמפּאָנענטן זענען גרייט.

גרייט! איר קענט איצט אָנהייבן ניצן Wireshark פֿון די Windows Start מעניו. ביטע באַמערקן אַז די פּראָגראַם ווערט אָפט דערהייַנטיקט, אַזוי עס איז אַ גוטע געדאַנק צו קאָנטראָלירן פֿאַר נייַע ווערסיעס פון צייט צו צייט.

ווי וויישארק ארבעט: פּאַקעט קאַפּטשער און דיספּליי

ווען איר עפֿנט Wireshark, דאָס ערשטע וואָס איר וועט זען איז די רשימה פון אַלע נעץ אינטערפייסיז וואָס זענען בנימצא אויף אייער סיסטעם.ווייערד נעטוואָרק קאַרדס, WiFi, און אפילו ווירטואַל אַדאַפּטערס אויב איר ניצט ווירטואַל מאַשינען ווי VMware אָדער VirtualBox. יעדער פון די אינטערפייסעס רעפּרעזענטירט אַן אַרייַנגאַנג אָדער אַרויסגאַנג פּונקט פֿאַר דיגיטאַל אינפֿאָרמאַציע.

צו אָנהייבן צו כאַפּן דאַטן, איר דאַרפֿט נאָר טאָפּל-קליקן אויף די געוואונטשע אינטערפֿייס. Desde ese momento, וויישארק וועט ווייזן אין רעאל-צייט אלע פאקעטן וואס צירקולירן לויט יענער קארטל, סארטירנדיק זיי לויט קאלום'ס ווי פאקעט נומער, כאפ צייט, מקור, דעסטינאציע, פראטאקאל, גרייס, און נאך פרטים.

ווען איר ווילט אפשטעלן דעם קאפערינג, דריקט דעם רויטער סטאָפּ קנעפּל. איר קענט ראַטעווען אייערע קאַפּטשערז אין .pcap פֿאָרמאַט פֿאַר שפּעטערדיקער אַנאַליז, ייַנטיילונג, אָדער אפילו עקספּאָרטירן זיי אין פֿאַרשידענע פֿאָרמאַטן (CSV, טעקסט, קאַמפּרעסט, אאז"וו). די בייגיקייט איז וואָס מאַכט וויישארק איז אן אומפארמיידלעך געצייג פאר ביידע פלעק אנאליז און פולע אוידיטס..

אָנהייבן: עצות איידער איר נעמט אַ סקרעענשאָט אין ווינדאָוז

כדי צו זיכער מאכן אז אייערע ערשטע וויישארק קעפּטשערז זענען נוצלעך און ווערן נישט אָנגעפילט מיט אומבאַטייַטיק ראַש אָדער צעמישטע דאַטן, זענען דאָ עטלעכע שליסל רעקאָמענדאַציעס צו נאָכפאָלגן:

• Cierra programas innecesariosאיידער איר הייבט אן א כאַפּטשער, פֿאַרלאָזט אַפּליקאַציעס וואָס דזשענערירן הינטערגרונט טראַפיק (אַפּדייץ, טשאַץ, אימעיל קליענטן, שפּילן, אאז"וו). אזוי וועט איר אויסמיידן צו מישן נישט-רעלעוואנטן טרעפיק.
• קאָנטראָליר די פיירוואַלפיירוואַלס קענען בלאָקירן אָדער מאָדיפיצירן טראַפיק. באַטראַכט עס צייטווייליק דיאַקטיווירן אויב איר זוכט אַ פולשטענדיקע כאַפּן.
• כאַפּט נאָר וואָס איז באַטייַטיקאויב איר ווילט אנאליזירן א ספעציפישע אפליקאציע, ווארט א סעקונדע אדער צוויי נאכדעם וואס איר הייבט אן די קעפּטשער צו לאנצירן די אפליקאציע, און טוט דאס זעלבע ווען איר פארמאכט עס איידער איר שטעלט אפ די רעקארדירונג.
• קען דיין אַקטיווע צובינדזייט זיכער אז איר אויסקלייבט די ריכטיגע נעץ קארטל, ספעציעל אויב איר האט קייפל אַדאַפּטערס אדער זענט אויף א ווירטועל נעץ.

דורך נאכפאלגן די גיידליינז, וועלן אייערע סקרעענשאטס זיין פיל ריינער און מער נוצלעך פאר יעדער ווייטערדיגער אנאליז..

פילטערס אין וויירשאַרק: ווי אַזוי זיך צו קאָנצענטרירן אויף וואָס איז טאַקע וויכטיק

איינע פון ​​די שטאַרקסטע פֿעיִטשערז פֿון Wireshark איז די פֿילטערס.. עס זענען דא צוויי גרונטלעכע טיפן:

• כאַפּן פילטערסזיי ווערן געווענדט איידער מען הייבט אן צו כאפן, און דאס ערלויבט אייך צו זאמלען נאר דעם טרעפיק וואס אינטערעסירט אייך פון אנפאנג.
• Filtros de visualizaciónדי גילטן פאר דער ליסטע פון ​​פּאַקעטן וואָס זענען שוין געכאפט געוואָרן, און איר קענט ווײַזן נאָר די וואָס טרעפן אייערע קריטעריעס.

צווישן די מערסטע געוויינטלעכע פילטערס זענען:

• לויטן פּראָטאָקאָלפילטערירט נאר HTTP, TCP, DNS, א.א.וו. פּאַקעטן.
• לויט IP אַדרעסלמשל, ווײַזן נאָר פּאַקעטן פֿון אָדער צו אַ ספּעציפֿישן IP ניצנדיק ip.src == 192.168.1.1 o ip.dst == 8.8.8.8.
• Por puerto: באגרענעצט רעזולטאטן צו א ספעציפישן פארט (tcp.port == 80).
• לויט טעקסט שטריקל: לאקירט פעקלעך וואָס אַנטהאַלטן אַ שליסל-וואָרט אין זייער אינהאַלט.
• לויט MAC אַדרעס, פּאַקעט לענג אָדער IP קייט.

דערצו, קענען פילטערס ווערן קאמבינירט מיט לאגישע אפעראטארן (און, or, not) פֿאַר זייער פּינקטלעכע זוכענישן, ווי צום ביישפּיל tcp.port == 80 און ip.src == 192.168.1.1.

וואָס קענט איר כאַפּן און אַנאַליזירן מיט Wireshark אויף Windows?

Wireshark es פעאיק צו אינטערפּרעטירן מער ווי 480 פֿאַרשידענע פּראָטאָקאָלן, פון באַסיקס ווי TCP, UDP, IP, ביז אַפּליקאַציע-ספּעציפֿישע פּראָטאָקאָלן, IoT, VoIP, און פילע אַנדערע. דאָס מיינט אַז איר קענט אויספאָרשן אַלע טיפּן נעץ טראַפיק, פֿון פּשוטע DNS פֿראַגעס ביז ענקריפּטעד SSH סעסיעס, HTTPS קאַנעקשאַנז, FTP טראַנספערס, אָדער SIP טראַפיק פֿון אינטערנעט טעלעפֿאָניע.

אויסערדעם, וויישארק שטיצט סטאַנדאַרט קאַפּטשער פֿאָרמאַטן ווי tcpdump (libpcap), pcapng און אַנדערע., און ערלויבט אייך צו קאמפרעסירן און דעקאמפרעסירן סקרעענשאטס אויפן פלאץ ניצנדיק GZIP צו שפארן פלאץ. פֿאַר פֿאַרשליסלטער טראַפֿיק (TLS/SSL, IPsec, WPA2, אאַז"וו), אויב איר האָט די ריכטיקע שליסלען, קענט איר אפילו דעקריפּטירן די דאַטן און זען דעם אָריגינעלן אינהאַלט.

דעטאַלירטע טראַפיק קאַפּטשער: נאָך רעקאָמענדאַציעס

איידער איר הייבט אן קיין וויכטיגע כאפונג, פאלגט דעם פראטאקאל צו מאקסימיזירן די נוצלעכקייט פון די אינפארמאציע וואס ווערט געזאמלט.:

• אויסקלײַבן די ריכטיקע צובינדנאָרמאַלערווייַז וועט אייער אַקטיווער אַדאַפּטער זיין דער פֿאַר דער פֿאַרבינדונג וואָס איר ניצט. אויב איר האָט ספיקות, קאָנטראָלירט וועלכע איז פארבונדן פֿון די ווינדאָוס נעץ סעטטינגס.
• Prepara la escenaעפֿנט נאָר די פּראָגראַמען אָדער אַפּפּס וואָס וועלן דזשענערירן דעם טראַפיק וואָס איר ווילט אַנאַליזירן.
• אפגעזונדערן דעם פענאמעןאויב איר זוכט צו אנאליזירן אַפּ טראַפיק, גייט נאך דעם סעקווענץ: עפנט די אַפּ נאכדעם וואס איר הייבט אן די קעפּטשער, טוט די אקציע וואס איר ווילט אנאליזירן, און פארמאכט די אַפּ איידער איר שטעלט אפ די רעקארדירונג.
• Guarda la captura: שטעלט אפ די רעקארדירונג, גייט צו טעקע > ראטעווען און קלייבט אויס .pcap אדער אייער בילכער פֿאָרמאַט.

Así conseguirás ריין און גרינג צו אנאליזירן טעקעס, אָן קיין דזשאַנק טראַפיק אַרייַנגעמישט.

אילוסטראַטיווע ביישפילן: טראַפיק אַנאַליז מיט Wireshark

לאָמיר זאָגן איר האָט צוויי קאָמפּיוטערס אויף אייער לאָקאַלע נעץ און איינער פון זיי הערט אויף צו צוטריטן צום אינטערנעט. איר קענט ניצן Wireshark צו כאַפּן טראַפיק פֿון יענער מאַשין. און זען אויב עס זענען דא טעותים ביים אויפלעזן DNS אדרעסן, אויב פּאַקעטן דערגרייכן נישט דעם ראַוטער, אדער אויב אַ פיירוואַל בלאָקירט קאָמוניקאַציע.

נאך א טיפישער פאל: דעטעקטירן אויב אַ וועבזייטל ענקריפּט נישט ריכטיק דיין לאָגין. אויב איר לאָגט זיך איין אין אַ וועבזייטל אָן HTTPS און ניצט אַן HTTP פילטער צוזאַמען מיט אייער באַניצער נאָמען, קענט איר אפילו זען ווי אייער פּאַראָל גייט אָן איבערן נעץ, אַן עכטע דעמאָנסטראַציע פון ​​דעם ריזיקאָ פון נישט-זיכערע וועבזייטלעך.

ווייערסאַרק און זיכערהייט: ריזיקעס, אטאקעס און שוץ מיטלען

וויירשאַרק'ס מאַכט איז אויך זיין גרעסטע ריזיקע: אין די אומרעכטע הענט, קען עס ערמעגלעכן קרעדענשאַל כאַפּונג, שפּיאָנאַזש, אָדער אַנטפּלעקן סענסיטיווע אינפֿאָרמאַציע.. דאָ זענען עטלעכע סכנות און רעקאָמענדאַציעס:

• קרעדענשאַל פילונג (קרעדענשאַל ברוט פאָרס אַטאַקעס)אויב איר כאַפּט SSH, Telnet, אדער אַנדערע סערוויס טראַפיק, קענט איר באַמערקן אויטאָמאַטישע לאָגין פּרוּוון. גיט אכט אויף לענגערע סעסיעס (זיי זענען געווענליך געראָטן), פּאַקעט גרייסן, און צאָל פרווון צו דעטעקטירן פארדעכטיקע מוסטערן.
• ריזיקע פון ​​עקסטערנעם טרעפיקפילטערירט אלע SSH טראפיק וואס קומט נישט פון אייער אינערליכע נעץ: אויב איר זעט פארבינדונגען פון אינדרויסן, זייט וואך!
• פּשוטע טעקסט פּאַסווערטעראויב אַ וועבזייטל שיקט נישט-פאַרשליסטע באַניצער נעמען און פּאַסווערטער, וועט איר דאָס זען אין דעם סקרעענשאָט. ניצט קיינמאָל נישט Wireshark צו באַקומען די דאַטן אויף פרעמדע נעטוואָרקס. געדענקט אז טאן דאס אן דערלויבעניש איז אומלעגאל.
• צושטימונג און לעגאַליטעטאַנאַליזירט נאָר טראַפיק פֿון אייגענע נעטוואָרקס אָדער מיט עקספּליציטער דערלויבעניש. דער געזעץ איז זייער קלאָר אויף דעם פונקט, און אומרעכט באַנוץ קען האָבן ערנסטע קאַנסאַקווענצן.
• Transparencia y éticaאויב איר אַרבעט אין אַ קאָרפּאָראַטיווער סביבה, אינפאָרמירט באַניצער וועגן דער אַנאַליז און איר צוועק. רעספּעקט פֿאַר פּריוואַטקייט איז אַזוי וויכטיק ווי טעכנישע זיכערהייט.

וויישארק אלטערנאטיוון: אנדערע אפציעס פאר נעץ אנאליז

Wireshark איז די אומבאַשטרייטע רעפֿערענץ, אָבער עס זענען דאָ אַנדערע מכשירים וואָס קענען דערגאַנצן אָדער, אין ספּעציפֿישע סיטואַציעס, פאַרבייַטן זיין נוצן:

• Tcpdumpאידעאל פֿאַר יוניקס/לינוקס סביבות, אַרבעט אויף דער קאָמאַנד ליניע. עס איז לייכט, שנעל און פלעקסיבל פֿאַר שנעלע קאַפּטשערז אָדער אָטאַמייטיד טאַסקס.
• וואָלקן-שאַרקוועב פּלאַטפאָרמע פֿאַר אַרויפֿלאָדן, אַנאַליזירן און טיילן פּאַקעט קאַפּטשערז פֿון דעם בלעטערער. זייער נוצלעך פֿאַר קאָלאַבאָראַטיווע סביבות.
• SmartSniffפאָקוסירט אויף ווינדאָוז, גרינג צו נוצן פֿאַר ספּאָט קאַפּטשערז און קוקן אויף שמועסן צווישן קליענטן און סערווערס.
• קאָלאַסאָפט קאַפּסאַגראַפֿישער נעץ אַנאַליזאַטאָר וואָס שטייט אַרויס פֿאַר דער פּשוטקייט פֿון זײַן צובינד און ספּעציפֿישע אָפּציעס פֿאַר פּאָרט סקאַנינג, עקספּאָרטינג און קאָמפּאַקטע וויזואַליזאַציע.

די אויסוואל פון די בעסטע אלטערנאטיוו ווענדט זיך אין אייערע ספעציפישע באדערפענישן.גיכקייט, גראַפֿישע צובינד, אָנליין מיטאַרבעט, אָדער קאָמפּאַטאַביליטי מיט ספּעציפֿישע האַרדווער.

אַוואַנסירטע סעטטינגס: פּראָמיסקואָוס מאָדע, מאָניטאָר, און נאָמען רעזאָלוציע

פּראָמיסקואָוס מאָדע ערלויבט די נעץ קאַרטל צו כאַפּן נישט נאָר די פּעקלעך וואָס זענען באַשטימט פֿאַר איר, נאָר אַלע טראַפיק וואָס צירקולירט דורך די נעץ צו וועלכער עס איז פארבונדן. דאָס איז קריטיש וויכטיק פֿאַר אַנאַליזירן קאָרפּאָראַטיווע נעטוואָרקס, שערד כאַבז, אָדער פּענטעסטינג סצענאַרן.

אויף Windows, גיין צו כאַפּן > אָפּציעס, אויסקלייבן דעם אינטערפייס און אָפּטשעקן דאָס פּראָמיסקואָוס מאָדע קעסטל. האַלט אין זינען אַז אויף Wi-Fi נעטוואָרקס, אַחוץ פֿאַר זייער ספּעציפֿישע האַרדווער, וועט איר נאָר זען טראַפיק פֿון אייער אייגענעם מיטל.

אויף דער אנדערער האַנט, נאָמען רעזאָלוציע קאָנווערטירט IP אַדרעסן אין ליינעוודיק דאָמעין נעמען (למשל, 8.8.8.8 אין google-public-dns-a.google.com). איר קענט אַקטיווירן אָדער דיאַקטיווירן די אָפּציע פֿון רעדאַקטירן > פּרעפֿערענצן > נאָמען רעזאָלוציע. עס העלפט אסאך צו אידענטיפיצירן דעווייסעס בעת א סקען, כאטש עס קען פארלאנגזאמען דעם פראצעס אויב עס זענען דא אסאך אדרעסן וואס ווערן אויפגעלייזט.