Добро пожаловать обратно, мои начинающие сетевые криминалисты!
В предыдущей публикации этой серии япознакомил вас с самым распространённым в мире инструментом для сетевой криминалистики — Wireshark. Ни один сетевой эксперт не сможет обойтись без этого ценного инструмента!
В этом уроке мы попытаемся расширить ваши знания и понимание Wireshark до уровня, на котором вы сможете использовать его многочисленные функции в реальном сетевом криминалистическом расследовании.
Шаг №: Запуск Wireshark
Первый шаг — запустить Wireshark и начать захват пакетов на соответствующем сетевом интерфейсе.
Шаг №2: Разрешение имени
Данные в любой анализируемой сети часто имеют неразборчивые имена. IPv4-адреса состоят из 4 октетов десятичных данных, например, 192.168.1.101, а MAC-адреса — из 6 шестнадцатеричных единиц, например, «00.AA.CD.11.EF.23». Часто эти данные проще расшифровать и проанализировать, если преобразовать их в понятное человеку имя, а не в число, подобно тому, как это делает DNS при работе в Интернете. Wireshark позволяет сделать это автоматически.
В Wireshark существует три типа разрешения имен;
1. MAC-адреса
2. Имя сети
3. Название транспорта
Чтобы включить разрешение имен, нажмите Захват -> Параметры (сначала захват должен быть остановлен).
В окне «Интерфейсы захвата» перейдите на третью вкладку « Параметры » . Там вы увидите поле « Разрешение имён » и три параметра.
Чтобы увидеть разрешение имён на всех трёх уровнях, отметьте все три поля. Это, безусловно, немного упростит анализ.
Шаг №3: Протокол вскрытия
Зачастую для анализа сетевого трафика требуется анализ протокола, чтобы понять, что на самом деле происходит в сети. Например, нам может понадобиться посмотреть, какие IP-пакеты фрагментированы или какие TCP-пакеты имеют установленный флаг RST. Это можно сделать, создав соответствующий фильтр и анализируя эти пакеты с помощью среднего окна Wireshark.
Например, если мы хотим узнать, какие IP-пакеты были фрагментированы, нам нужно создать фильтр для поля в IP- заголовке, часто называемого флагами или несколькими фрагментами (MF). Установка этого флага означает, что пакет фрагментирован и требует повторной сборки в целевой системе (злоумышленники часто фрагментируют пакеты, пытаясь обойти межсетевые экраны и системы обнаружения вторжений).
Фрагментированные пакеты можно найти, нажав на вкладку «Выражение» и открыв окно « Отображение выражения фильтра » , как показано ниже.
Здесь мы можем выбрать протокол IP и развернуть его, пока не найдём ip.flags.mf (другие фрагменты), а затем выбрать == и установить значение 1. Теперь Wireshark будет отображать только пакеты с флагом IP, установленным на MF, или фрагментированные пакеты. Отображаемые пакеты будут фрагментированными. Это может происходить в ходе обычной передачи или указывать на то, что злоумышленник пытается обойти обнаружение IDS или межсетевого экрана.
В отличие от флага IP, у протокола TCP есть свои флаги. Эти флаги сигнализируют о намерении отправителя TCP-пакета, например, об инициировании соединения (SYN) или о завершении сеанса (FIN). Чтобы увидеть все пакеты, инициирующие TCP-сеанс, можно установить фильтр Wireshark следующим образом:
tcp.flags.syn == 1
Это отфильтрует все пакеты, кроме тех, которые инициируют TCP-сеанс. Выбрав один из таких пакетов, мы можем проанализировать его в среднем окне и увидеть, что у него установлен флаг SYN .
То же самое можно сделать для любого из шести флагов TCP (SYN, ACK, FIN, PSH, URG, RST). Флаг RST используется TCP для сигнализации о «жёстком закрытии» соединения или о том, что пакет прибыл на неправильный порт или IP-адрес. Чтобы найти такие пакеты, можно использовать следующий фильтр:
tcp.flags.reset==1
Шаг №4: Отслеживание потоков
При анализе сетевого трафика нам часто требуется отслеживать TCP-потоки. Вместо того, чтобы просматривать небольшие фрагменты данных, распределённые по нескольким пакетам, TCP-потоки позволяют объединить эти данные, чтобы показать конечному пользователю, что на самом деле происходит на прикладном уровне (уровень 7). Это может быть необходимо для отслеживания чатов или мгновенных сообщений.
Чтобы создать поток TCP, щелкните правой кнопкой мыши по пакету и выберите «Следовать» , а затем «Поток TCP» .
После этого откроется окно со всей информацией об этом потоке в формате ASCII (по умолчанию).
Шаг №5: Окно статистики
При анализе больших объёмов данных часто бывает полезно получить статистику по объёму пакетов, использующих каждый из протоколов, таких как TCP, UDP, DNS, ICMP и т. д. Это может быть полезной стратегией для создания базового снимка того, как выглядит ваш обычный трафик, что упрощает выявление аномального трафика при возникновении проблем. Очевидно, что если вы не знаете, как выглядит ваш обычный трафик, вы НЕ сможете выявить аномальный трафик.
Чтобы просмотреть статистику протокола, щелкните вкладку Статистика в верхнем меню, а затем выберите Иерархия протоколов .
Как видите, Wireshark теперь создаёт окно со всеми данными по различным протоколам. Если у вас есть эти данные из обычного трафика до возникновения проблем, вы можете сделать ещё один снимок при возникновении проблем и сравнить их, чтобы попытаться выявить изменения и, возможно, источник проблемы.
Шаг №6: Просмотр конечных точек
Иногда при анализе трафика нам нужно увидеть, где он заканчивается. Другими словами, мы хотим увидеть конечные точки соединения. Это может быть IP-адрес или MAC-адрес.
Чтобы увидеть конечные точки связи и их статистику, можно выбрать «Статистика» , а затем «Конечные точки».
Кроме того, мы можем фильтровать эти данные по протоколу, нажав кнопку « Типы конечных точек » в правом нижнем углу и выбрав протокол, по которому мы хотим выполнить фильтрацию.
Шаг №7: Беседы
При анализе сетевого трафика иногда может потребоваться просмотреть данные о сеансе связи между двумя конечными точками. Для этого выберите «Статистика» , а затем «Разговоры».
Wireshark откроет окно, подобное показанному выше, в котором будет показан каждый диалог, а затем статистика по этому диалогу: количество пакетов, байтов, продолжительность диалога и т. д.
Заключение
Каждый специалист по сетевой криминалистике ОБЯЗАН владеть Wireshark. Этот мощный инструмент позволяет анализировать сетевой трафик до мельчайших деталей. Инвестиции в освоение этого инструмента принесут значительную пользу вашей карьере эксперта!
В предыдущей публикации этой серии япознакомил вас с самым распространённым в мире инструментом для сетевой криминалистики — Wireshark. Ни один сетевой эксперт не сможет обойтись без этого ценного инструмента!
В этом уроке мы попытаемся расширить ваши знания и понимание Wireshark до уровня, на котором вы сможете использовать его многочисленные функции в реальном сетевом криминалистическом расследовании.
Шаг №: Запуск Wireshark
Первый шаг — запустить Wireshark и начать захват пакетов на соответствующем сетевом интерфейсе.
Шаг №2: Разрешение имени
Данные в любой анализируемой сети часто имеют неразборчивые имена. IPv4-адреса состоят из 4 октетов десятичных данных, например, 192.168.1.101, а MAC-адреса — из 6 шестнадцатеричных единиц, например, «00.AA.CD.11.EF.23». Часто эти данные проще расшифровать и проанализировать, если преобразовать их в понятное человеку имя, а не в число, подобно тому, как это делает DNS при работе в Интернете. Wireshark позволяет сделать это автоматически.
В Wireshark существует три типа разрешения имен;
1. MAC-адреса
2. Имя сети
3. Название транспорта
Чтобы включить разрешение имен, нажмите Захват -> Параметры (сначала захват должен быть остановлен).
В окне «Интерфейсы захвата» перейдите на третью вкладку « Параметры » . Там вы увидите поле « Разрешение имён » и три параметра.
Чтобы увидеть разрешение имён на всех трёх уровнях, отметьте все три поля. Это, безусловно, немного упростит анализ.
Шаг №3: Протокол вскрытия
Зачастую для анализа сетевого трафика требуется анализ протокола, чтобы понять, что на самом деле происходит в сети. Например, нам может понадобиться посмотреть, какие IP-пакеты фрагментированы или какие TCP-пакеты имеют установленный флаг RST. Это можно сделать, создав соответствующий фильтр и анализируя эти пакеты с помощью среднего окна Wireshark.
Например, если мы хотим узнать, какие IP-пакеты были фрагментированы, нам нужно создать фильтр для поля в IP- заголовке, часто называемого флагами или несколькими фрагментами (MF). Установка этого флага означает, что пакет фрагментирован и требует повторной сборки в целевой системе (злоумышленники часто фрагментируют пакеты, пытаясь обойти межсетевые экраны и системы обнаружения вторжений).
Фрагментированные пакеты можно найти, нажав на вкладку «Выражение» и открыв окно « Отображение выражения фильтра » , как показано ниже.
Здесь мы можем выбрать протокол IP и развернуть его, пока не найдём ip.flags.mf (другие фрагменты), а затем выбрать == и установить значение 1. Теперь Wireshark будет отображать только пакеты с флагом IP, установленным на MF, или фрагментированные пакеты. Отображаемые пакеты будут фрагментированными. Это может происходить в ходе обычной передачи или указывать на то, что злоумышленник пытается обойти обнаружение IDS или межсетевого экрана.
В отличие от флага IP, у протокола TCP есть свои флаги. Эти флаги сигнализируют о намерении отправителя TCP-пакета, например, об инициировании соединения (SYN) или о завершении сеанса (FIN). Чтобы увидеть все пакеты, инициирующие TCP-сеанс, можно установить фильтр Wireshark следующим образом:
tcp.flags.syn == 1
Это отфильтрует все пакеты, кроме тех, которые инициируют TCP-сеанс. Выбрав один из таких пакетов, мы можем проанализировать его в среднем окне и увидеть, что у него установлен флаг SYN .
То же самое можно сделать для любого из шести флагов TCP (SYN, ACK, FIN, PSH, URG, RST). Флаг RST используется TCP для сигнализации о «жёстком закрытии» соединения или о том, что пакет прибыл на неправильный порт или IP-адрес. Чтобы найти такие пакеты, можно использовать следующий фильтр:
tcp.flags.reset==1
Шаг №4: Отслеживание потоков
При анализе сетевого трафика нам часто требуется отслеживать TCP-потоки. Вместо того, чтобы просматривать небольшие фрагменты данных, распределённые по нескольким пакетам, TCP-потоки позволяют объединить эти данные, чтобы показать конечному пользователю, что на самом деле происходит на прикладном уровне (уровень 7). Это может быть необходимо для отслеживания чатов или мгновенных сообщений.
Чтобы создать поток TCP, щелкните правой кнопкой мыши по пакету и выберите «Следовать» , а затем «Поток TCP» .
После этого откроется окно со всей информацией об этом потоке в формате ASCII (по умолчанию).
Шаг №5: Окно статистики
При анализе больших объёмов данных часто бывает полезно получить статистику по объёму пакетов, использующих каждый из протоколов, таких как TCP, UDP, DNS, ICMP и т. д. Это может быть полезной стратегией для создания базового снимка того, как выглядит ваш обычный трафик, что упрощает выявление аномального трафика при возникновении проблем. Очевидно, что если вы не знаете, как выглядит ваш обычный трафик, вы НЕ сможете выявить аномальный трафик.
Чтобы просмотреть статистику протокола, щелкните вкладку Статистика в верхнем меню, а затем выберите Иерархия протоколов .
Как видите, Wireshark теперь создаёт окно со всеми данными по различным протоколам. Если у вас есть эти данные из обычного трафика до возникновения проблем, вы можете сделать ещё один снимок при возникновении проблем и сравнить их, чтобы попытаться выявить изменения и, возможно, источник проблемы.
Шаг №6: Просмотр конечных точек
Иногда при анализе трафика нам нужно увидеть, где он заканчивается. Другими словами, мы хотим увидеть конечные точки соединения. Это может быть IP-адрес или MAC-адрес.
Чтобы увидеть конечные точки связи и их статистику, можно выбрать «Статистика» , а затем «Конечные точки».
Кроме того, мы можем фильтровать эти данные по протоколу, нажав кнопку « Типы конечных точек » в правом нижнем углу и выбрав протокол, по которому мы хотим выполнить фильтрацию.
Шаг №7: Беседы
При анализе сетевого трафика иногда может потребоваться просмотреть данные о сеансе связи между двумя конечными точками. Для этого выберите «Статистика» , а затем «Разговоры».
Wireshark откроет окно, подобное показанному выше, в котором будет показан каждый диалог, а затем статистика по этому диалогу: количество пакетов, байтов, продолжительность диалога и т. д.
Заключение
Каждый специалист по сетевой криминалистике ОБЯЗАН владеть Wireshark. Этот мощный инструмент позволяет анализировать сетевой трафик до мельчайших деталей. Инвестиции в освоение этого инструмента принесут значительную пользу вашей карьере эксперта!
