Baguhin ang Iyong Wireshark Workflow na may Brim sa Linux

pixelnest / Shutterstock

Wireshark ay ang de facto na pamantayan para sa pagsusuri ng trapiko sa network. Sa kasamaang palad, ito ay nagiging laggy habang lumalaki ang packet capture. Brim malulutas ang problemang ito nang mahusay, mababago nito ang iyong daloy ng trabaho sa Wireshark.

Mahusay ang Wireshark, Ngunit . . .

Ang Wireshark ay isang magandang piraso ng open-source na software. Ginagamit ito ng mga baguhan at propesyonal sa buong mundo upang siyasatin ang mga isyu sa networking. Kinukuha nito ang mga data packet na naglalakbay sa mga wire o sa pamamagitan ng ether ng iyong network. Kapag nakuha mo na ang iyong trapiko, binibigyang-daan ka ng Wireshark na i-filter at maghanap sa data, mag-trace ng mga pag-uusap sa pagitan ng mga network device, at marami pa.

Gayunpaman, kahit gaano kahusay ang Wireshark, mayroon itong isang isyu. Ang network data capture file (tinatawag na network traces o packet captures), ay maaaring maging napakalaki, napakabilis. Ito ay totoo lalo na kung ang isyu na sinusubukan mong siyasatin ay kumplikado o kalat-kalat, o ang network ay malaki at abala.

Kung mas malaki ang packet capture (o PCAP), mas nagiging laggy ang Wireshark. Ang pagbubukas at paglo-load lamang ng isang napakalaking (kahit anong higit sa 1 GB) na bakas ay maaaring tumagal nang napakatagal, aakalain mo na ang Wireshark ay tumalon at sumuko sa multo.

Ang pagtatrabaho sa mga file na ganoon ang laki ay isang tunay na sakit. Sa tuwing magsasagawa ka ng paghahanap o magpalit ng filter, kailangan mong hintayin ang mga epekto na mailapat sa data at ma-update sa screen. Ang bawat pagkaantala ay nakakagambala sa iyong konsentrasyon, na maaaring hadlangan ang iyong pag-unlad.

Brim ay ang lunas sa mga kasawiang ito. Ito ay gumaganap bilang isang interactive na preprocessor at front-end para sa Wireshark. Kapag gusto mong makita ang granular level na maibibigay ng Wireshark, agad itong bubuksan ng Brim para sa iyo nang eksakto sa mga packet na iyon.

Kung gagawa ka ng maraming network capture at packet analysis, babaguhin ng Brim ang iyong workflow.

KAUGNAYAN: Paano Gumamit ng Mga Filter ng Wireshark sa Linux

Pag-install ng Brim

Napakabago ng Brim, kaya hindi pa ito nakakapasok sa mga imbakan ng software ng mga pamamahagi ng Linux. Gayunpaman, sa Brim download page , mahahanap mo ang mga file ng DEB at RPM package, kaya ang pag-install nito sa Ubuntu o Fedora ay sapat na simple.

Kung gagamit ka ng ibang pamamahagi, magagawa mo i-download ang source code mula sa GitHub at ikaw mismo ang bumuo ng application.

Gumagamit si Brim ng |_+_|, isang command-line tool para sa Zeek log, kaya kakailanganin mo ring mag-download ng ZIP file na naglalaman ng |_+_| binary.

Pag-install ng Brim sa Ubuntu

Kung gumagamit ka ng Ubuntu, kakailanganin mong i-download ang DEB package file at |__+_| Linux ZIP file. I-double click ang na-download na DEB package file, at magbubukas ang Ubuntu Software application. Ang lisensya ng Brim ay maling nakalista bilang Pagmamay-ari—ginagamit nito ang BSD 3-Clause License .

I-click ang I-install.

Kapag kumpleto na ang pag-install, i-double click ang |_+_| ZIP file upang ilunsad ang application ng Archive Manager. Ang ZIP file ay maglalaman ng isang direktoryo; i-drag at i-drop ito mula sa Archive Manager patungo sa isang lokasyon sa iyong computer, tulad ng direktoryo ng Mga Download.

Tina-type namin ang sumusunod upang lumikha ng lokasyon para sa |_+_| binary:

Kailangan naming kopyahin ang mga binary mula sa na-extract na direktoryo patungo sa lokasyon na nilikha namin. Palitan ang landas at pangalan ng kinuhang direktoryo sa iyong makina sa sumusunod na utos:

Kailangan naming idagdag ang lokasyong iyon sa path, kaya i-edit namin ang BASHRC file:

Magbubukas ang editor ng gedit. Mag-scroll sa ibaba ng file, at pagkatapos ay i-type ang linyang ito:

I-save ang iyong mga pagbabago at isara ang editor.

Pag-install ng Brim sa Fedora

Upang i-install ang Brim sa Fedora, i-download ang RPM package file (sa halip na ang DEB), at pagkatapos ay sundin ang parehong mga hakbang na aming sakop para sa pag-install ng Ubuntu sa itaas.

Kapansin-pansin, kapag ang RPM file ay bumukas sa Fedora, tama itong natukoy bilang may open-source na lisensya, sa halip na isang pagmamay-ari.

Paglulunsad ng Brim

I-click ang Ipakita ang Mga Application sa dock o pindutin ang Super+A. I-type ang brim sa Search box, at pagkatapos ay i-click ang Brim kapag ito ay lumabas.

Inilunsad at ipinapakita ng Brim ang pangunahing window nito. Maaari mong i-click ang Pumili ng Mga File upang magbukas ng file browser, o i-drag at i-drop ang isang PCAP file sa lugar na napapalibutan ng pulang parihaba.

Gumagamit ang Brim ng naka-tab na display, at maaari kang magkaroon ng maraming tab na bukas nang sabay-sabay. Upang magbukas ng bagong tab, i-click ang plus sign (+) sa itaas, at pagkatapos ay pumili ng isa pang PCAP.

Mga Pangunahing Kaalaman

Nilo-load at ini-index ng Brim ang napiling file. Ang index ay isa sa mga dahilan kung bakit napakabilis ng Brim. Ang pangunahing window ay naglalaman ng isang histogram ng mga volume ng packet sa paglipas ng panahon, at isang listahan ng mga daloy ng network.

Ang isang PCAP file ay nagtataglay ng time-ordered stream ng mga network packet para sa napakaraming koneksyon sa network. Ang mga data packet para sa iba't ibang mga koneksyon ay magkakahalo dahil ang ilan sa mga ito ay bubuksan nang sabay-sabay. Ang mga packet para sa bawat pag-uusap sa network ay interspersed sa mga packet ng iba pang mga pag-uusap.

Ipinapakita ng Wireshark ang network stream packet sa pamamagitan ng packet, habang ang Brim ay gumagamit ng konsepto na tinatawag na flows. Ang daloy ay isang kumpletong pagpapalitan ng network (o pag-uusap) sa pagitan ng dalawang device. Ang bawat uri ng daloy ay ikinategorya, naka-code ng kulay, at may label ayon sa uri ng daloy. Makakakita ka ng mga daloy na may label na dns, ssh, https, ssl, at marami pa.

Kung mag-scroll ka sa display ng buod ng daloy pakaliwa o pakanan, marami pang column ang ipapakita. Maaari mo ring isaayos ang yugto ng panahon upang ipakita ang subset ng impormasyong gusto mong makita. Nasa ibaba ang ilang mga paraan na maaari mong tingnan ang data:

• Mag-click sa isang bar sa histogram upang mag-zoom in sa aktibidad ng network sa loob nito.
• I-click at i-drag upang i-highlight ang isang hanay ng histogram display at mag-zoom in. Pagkatapos ay ipapakita ng Brim ang data mula sa naka-highlight na seksyon.
• Maaari mo ring tukuyin ang mga eksaktong panahon sa mga field na Petsa at Oras.

Maaaring magpakita ang Brim ng dalawang side pane: isa sa kaliwa, at isa sa kanan. Ang mga ito ay maaaring itago o manatiling nakikita. Ang pane sa kaliwa ay nagpapakita ng kasaysayan ng paghahanap at listahan ng mga bukas na PCAP, na tinatawag na mga puwang. Pindutin ang Ctrl+[ upang i-toggle ang kaliwang pane sa on o off.

Ang pane sa kanan ay naglalaman ng detalyadong impormasyon tungkol sa naka-highlight na daloy. Pindutin ang Ctrl+] upang i-toggle ang kanang pane sa on o off.

I-click ang Conn sa listahan ng UID Correlation upang magbukas ng diagram ng koneksyon para sa naka-highlight na daloy.

Sa pangunahing window, maaari mo ring i-highlight ang isang daloy, at pagkatapos ay i-click ang icon ng Wireshark. Inilunsad nito ang Wireshark kasama ang mga packet para sa naka-highlight na daloy na ipinapakita.

Bubukas ang Wireshark, ipinapakita ang mga packet ng interes.

Pag-filter sa Brim

Ang paghahanap at pag-filter sa Brim ay flexible at komprehensibo, ngunit hindi mo kailangang matuto ng bagong wika sa pag-filter kung ayaw mo. Maaari kang bumuo ng isang syntactically correct na filter sa Brim sa pamamagitan ng pag-click sa mga field sa window ng buod, at pagkatapos ay pagpili ng mga opsyon mula sa isang menu.

Halimbawa, sa larawan sa ibaba, nag-right click kami sa isang dns field. Pagkatapos ay pipiliin namin ang Filter = Value mula sa menu ng konteksto.

Ang mga sumusunod na bagay ay magaganap:

• Ang tekstong |_+_| ay idinagdag sa search bar.
• Inilapat ang filter na iyon sa PCAP file, kaya magpapakita lamang ito ng mga daloy na mga daloy ng Domain Name Service (DNS).
• Ang teksto ng filter ay idinagdag din sa kasaysayan ng paghahanap sa kaliwang pane.

Maaari kaming magdagdag ng mga karagdagang sugnay sa termino para sa paghahanap gamit ang parehong pamamaraan. I-right-click namin ang field ng IP address (na naglalaman ng 192.168.1.26) sa column na Id.orig_h, at pagkatapos ay piliin ang Filter = Value mula sa menu ng konteksto.

Idinaragdag nito ang karagdagang sugnay bilang isang sugnay na AT. Ang display ay na-filter na ngayon upang ipakita ang mga daloy ng DNS na nagmula sa IP address na iyon (192.168.1.26).

Ang bagong termino ng filter ay idinagdag sa kasaysayan ng paghahanap sa kaliwang pane. Maaari kang lumukso sa pagitan ng mga paghahanap sa pamamagitan ng pag-click sa mga item sa listahan ng history ng paghahanap.

Ang patutunguhang IP address para sa karamihan ng aming na-filter na data ay 81.139.56.100. Upang makita kung aling mga daloy ng DNS ang ipinadala sa iba't ibang mga IP address, i-right click namin ang 81.139.56.100 sa column na Id_resp_h, at pagkatapos ay piliin ang Filter != Value mula sa menu ng konteksto.

Isang DNS flow lang na nagmula sa 192.168.1.26 ang hindi naipadala sa 81.139.56.100, at nahanap namin ito nang hindi kinakailangang mag-type ng kahit ano para gawin ang aming filter.

Pag-pin ng Mga Clause ng Filter

Kapag nag-right-click kami sa isang daloy ng HTTP at pinili ang Filter = Value mula sa menu ng konteksto, ang mga daloy ng HTTP lang ang ipapakita ng pane ng buod. Pagkatapos ay maaari naming i-click ang icon na Pin sa tabi ng sugnay na filter ng HTTP.

Ang HTTP clause ay naka-pin na ngayon sa lugar, at anumang iba pang mga filter o termino para sa paghahanap na ginagamit namin ay isasagawa nang may HTTP clause na naka-prepend sa kanila.

Kung ita-type namin ang GET sa search bar, ang paghahanap ay paghihigpitan sa mga daloy na na-filter na ng naka-pin na sugnay. Maaari kang mag-pin ng maraming mga filter na clause kung kinakailangan.

Upang maghanap ng mga POST packet sa mga daloy ng HTTP, ki-clear lang namin ang search bar, i-type ang POST, at pagkatapos ay pindutin ang Enter.

Ang pag-scroll patagilid ay nagpapakita ng ID ng remote host.

Ang lahat ng mga termino para sa paghahanap at filter ay idinagdag sa listahan ng History. Upang muling ilapat ang anumang filter, i-click lang ito.

Maaari ka ring maghanap ng remote host ayon sa pangalan.

Pag-edit ng Mga Termino sa Paghahanap

Kung gusto mong maghanap ng isang bagay, ngunit wala kang nakikitang daloy ng ganoong uri, maaari mong i-click ang anumang daloy at i-edit ang entry sa search bar.

Halimbawa, alam namin na dapat mayroong hindi bababa sa isang daloy ng SSH sa PCAP file dahil ginamit namin zq upang magpadala ng ilang mga file sa isa pang computer, ngunit hindi namin ito makita.

Kaya, mag-right-click kami sa isa pang daloy, piliin ang Filter = Value mula sa menu ng konteksto, at pagkatapos ay i-edit ang search bar upang sabihin ang ssh sa halip na dns.

Pinindot namin ang Enter para maghanap ng mga daloy ng SSH at makitang isa lang.

Ang pagpindot sa Ctrl+] ay magbubukas sa kanang pane, na nagpapakita ng mga detalye para sa daloy na ito. Kung ang isang file ay inilipat sa panahon ng isang daloy, ang MD5 , SHA1 , at SHA256 lilitaw ang mga hash.

I-right-click ang alinman sa mga ito, at pagkatapos ay piliin ang VirusTotal Lookup mula sa menu ng konteksto upang buksan ang iyong browser sa VirusTotal website at ipasa ang hash para sa pagsusuri.

Iniimbak ng VirusTotal ang mga hash ng kilalang malware at iba pang malisyosong file. Kung hindi ka sigurado kung ligtas ang isang file, ito ay isang madaling paraan upang suriin, kahit na wala ka nang access sa file.

Kung benign ang file, makikita mo ang screen na ipinapakita sa larawan sa ibaba.

Ang Perpektong Komplemento sa Wireshark

Ginagawang mas mabilis at mas madali ng Brim ang pagtatrabaho sa Wireshark sa pamamagitan ng pagpapahintulot sa iyong magtrabaho sa napakalaking packet capture file. Subukan ito ngayon!

• › Paano Hanapin ang Iyong Spotify Wrapped 2021
• › Ang Computer Folder ay 40: Paano Ginawa ng Xerox Star ang Desktop
• › Cyber ​​Monday 2021: Best Tech Deals
• › 5 Website na Dapat I-bookmark ng Bawat Gumagamit ng Linux
• › Ano ang MIL-SPEC Drop Protection?
• › Mga Function kumpara sa Mga Formula sa Microsoft Excel: Ano ang Pagkakaiba?