Wireshark
Установка в Linux | |
Фильтр по протоколу FTP | |
Составные фильтры | |
Отследить обмен между двумя хостами |
Установка Wireshark в Linux
Рассмотрим на примере Ubuntu
sudo apt update
sudo apt install wireshark
Нажмите Y + Enter
Когда появится диалоговое окно с вопросом
Should non-superusers be able to capture packets?
Выберите Yes
После того как Wireshark установился добавьте своего пользователя в группу wireshark и проверьте результат
sudo usermod -aG wireshark $(whoami)
groups $(whoami)
andrei : andrei sudo docker wireshark
Перезагрузите компьютер
sudo reboot
Пример 1
Задача - проверить удалил ли разработчик устаревший поллинг по FTP.
Проверка логов нам не подходит, так как разработчик мог удалить запись в лог, но забыть удалить сам поллинг
Поэтому нужно проверить реальный обмен данными, для чего прекрасно подходит Wireshark.
Запускаем Wireshark. Применяем фильтр ftp-data. Запускаем клиент.
Внимательно смотрим какие сообщения захватывает Wireshark
Выключаем старый клиент. Удаляем базу данных если она общая. Перезапускаем Wireshark. Применяем фильтр ftp-data. Внимательно смотрим какие сообщения захватывает Wireshark
Видно, что никаких пакетов по ftp не послано. Всё спокойно. Принимаем работу. Акцептим стори.
Составные фильтры в Wireshark
Часто бывает необходимо наложить несколько условий одновременно. На этот случай предусмотрены логические операторы
and | && | «И» |
or | || | «ИЛИ» |
xor | ^^ | исключающее «ИЛИ» |
not | ! | отрицание |
[…] | […] | выборка подстроки |
Обмен между конкретными хостами
Если нас инетересует только обмен данными между двумя конкретными хостами, используем фильтры
ip.src
чтобы задать адрес источника
и
ip.dst чтобы задать адрес назначения.
Предположим нас итересует что 10.6.1.2 шлёт на 10.6.1.3
Используем фильтр
ip.src==10.6.1.2 and ip.dst==10.6.1.3
Кто-то может найти инструкцию где в фильтре используются маски, но я не понял зачем это нужно ip.src==10.6.1.2/4 and ip.dst==10.6.1.3/4
Установка в Ubuntu
sudo apt install -y wireshark
Reading package lists... Done Building dependency tree Reading state information... Done The following additional packages will be installed: libqt5multimedia5 libqt5multimedia5-plugins libqt5multimediagsttools5 libqt5multimediawidgets5 libsmi2ldbl libspandsp2 libwireshark-data libwireshark13 libwiretap10 libwsutil11 wireshark-common wireshark-qt Suggested packages: snmp-mibs-downloader geoipupdate geoip-database geoip-database-extra libjs-leaflet libjs-leaflet.markercluster wireshark-doc The following NEW packages will be installed: libqt5multimedia5 libqt5multimedia5-plugins libqt5multimediagsttools5 libqt5multimediawidgets5 libsmi2ldbl libspandsp2 libwireshark-data libwireshark13 libwiretap10 libwsutil11 wireshark wireshark-common wireshark-qt 0 upgraded, 13 newly installed, 0 to remove and 22 not upgraded. Need to get 22.1 MB of archives. After this operation, 117 MB of additional disk space will be used. Get:1 http://fi.archive.ubuntu.com/ubuntu focal/universe amd64 libqt5multimedia5 amd64 5.12.8-0ubuntu1 [283 kB] Get:2 http://fi.archive.ubuntu.com/ubuntu focal/universe amd64 libqt5multimediawidgets5 amd64 5.12.8-0ubuntu1 [36.8 kB] Get:3 http://fi.archive.ubuntu.com/ubuntu focal/universe amd64 libqt5multimediagsttools5 amd64 5.12.8-0ubuntu1 [104 kB] Get:4 http://fi.archive.ubuntu.com/ubuntu focal/universe amd64 libqt5multimedia5-plugins amd64 5.12.8-0ubuntu1 [197 kB] Get:5 http://fi.archive.ubuntu.com/ubuntu focal/universe amd64 libsmi2ldbl amd64 0.4.8+dfsg2-16 [100 kB] Get:6 http://fi.archive.ubuntu.com/ubuntu focal/universe amd64 libspandsp2 amd64 0.0.6+dfsg-2 [272 kB] Get:7 http://fi.archive.ubuntu.com/ubuntu focal/universe amd64 libwireshark-data all 3.2.3-1 [1,456 kB] Get:8 http://fi.archive.ubuntu.com/ubuntu focal/universe amd64 libwsutil11 amd64 3.2.3-1 [61.1 kB] Get:9 http://fi.archive.ubuntu.com/ubuntu focal/universe amd64 libwiretap10 amd64 3.2.3-1 [199 kB] Get:10 http://fi.archive.ubuntu.com/ubuntu focal/universe amd64 libwireshark13 amd64 3.2.3-1 [15.2 MB] Get:11 http://fi.archive.ubuntu.com/ubuntu focal/universe amd64 wireshark-common amd64 3.2.3-1 [441 kB] Get:12 http://fi.archive.ubuntu.com/ubuntu focal/universe amd64 wireshark-qt amd64 3.2.3-1 [3,774 kB] Get:13 http://fi.archive.ubuntu.com/ubuntu focal/universe amd64 wireshark amd64 3.2.3-1 [5,088 B] Fetched 22.1 MB in 2s (9,459 kB/s) Preconfiguring packages ... Selecting previously unselected package libqt5multimedia5:amd64. (Reading database ... 445160 files and directories currently installed.) Preparing to unpack .../00-libqt5multimedia5_5.12.8-0ubuntu1_amd64.deb ... Unpacking libqt5multimedia5:amd64 (5.12.8-0ubuntu1) ... Selecting previously unselected package libqt5multimediawidgets5:amd64. Preparing to unpack .../01-libqt5multimediawidgets5_5.12.8-0ubuntu1_amd64.deb ... Unpacking libqt5multimediawidgets5:amd64 (5.12.8-0ubuntu1) ... Selecting previously unselected package libqt5multimediagsttools5:amd64. Preparing to unpack .../02-libqt5multimediagsttools5_5.12.8-0ubuntu1_amd64.deb ... Unpacking libqt5multimediagsttools5:amd64 (5.12.8-0ubuntu1) ... Selecting previously unselected package libqt5multimedia5-plugins:amd64. Preparing to unpack .../03-libqt5multimedia5-plugins_5.12.8-0ubuntu1_amd64.deb ... Unpacking libqt5multimedia5-plugins:amd64 (5.12.8-0ubuntu1) ... Selecting previously unselected package libsmi2ldbl:amd64. Preparing to unpack .../04-libsmi2ldbl_0.4.8+dfsg2-16_amd64.deb ... Unpacking libsmi2ldbl:amd64 (0.4.8+dfsg2-16) ... Selecting previously unselected package libspandsp2:amd64. Preparing to unpack .../05-libspandsp2_0.0.6+dfsg-2_amd64.deb ... Unpacking libspandsp2:amd64 (0.0.6+dfsg-2) ... Selecting previously unselected package libwireshark-data. Preparing to unpack .../06-libwireshark-data_3.2.3-1_all.deb ... Unpacking libwireshark-data (3.2.3-1) ... Selecting previously unselected package libwsutil11:amd64. Preparing to unpack .../07-libwsutil11_3.2.3-1_amd64.deb ... Unpacking libwsutil11:amd64 (3.2.3-1) ... Selecting previously unselected package libwiretap10:amd64. Preparing to unpack .../08-libwiretap10_3.2.3-1_amd64.deb ... Unpacking libwiretap10:amd64 (3.2.3-1) ... Selecting previously unselected package libwireshark13:amd64. Preparing to unpack .../09-libwireshark13_3.2.3-1_amd64.deb ... Unpacking libwireshark13:amd64 (3.2.3-1) ... Selecting previously unselected package wireshark-common. Preparing to unpack .../10-wireshark-common_3.2.3-1_amd64.deb ... Unpacking wireshark-common (3.2.3-1) ... Selecting previously unselected package wireshark-qt. Preparing to unpack .../11-wireshark-qt_3.2.3-1_amd64.deb ... Unpacking wireshark-qt (3.2.3-1) ... Selecting previously unselected package wireshark. Preparing to unpack .../12-wireshark_3.2.3-1_amd64.deb ... Unpacking wireshark (3.2.3-1) ... Setting up libwsutil11:amd64 (3.2.3-1) ... Setting up libspandsp2:amd64 (0.0.6+dfsg-2) ... Setting up libqt5multimedia5:amd64 (5.12.8-0ubuntu1) ... Setting up libsmi2ldbl:amd64 (0.4.8+dfsg2-16) ... Setting up libwiretap10:amd64 (3.2.3-1) ... Setting up libqt5multimediawidgets5:amd64 (5.12.8-0ubuntu1) ... Setting up libwireshark-data (3.2.3-1) ... Setting up libqt5multimediagsttools5:amd64 (5.12.8-0ubuntu1) ... Setting up libqt5multimedia5-plugins:amd64 (5.12.8-0ubuntu1) ... Setting up libwireshark13:amd64 (3.2.3-1) ... Setting up wireshark-common (3.2.3-1) ... Setting up wireshark-qt (3.2.3-1) ... Setting up wireshark (3.2.3-1) ... Processing triggers for libc-bin (2.31-0ubuntu9.2) ... Processing triggers for man-db (2.9.1-1) ... Processing triggers for shared-mime-info (1.15-1) ... Processing triggers for desktop-file-utils (0.24-1ubuntu3) ... Processing triggers for mime-support (3.64ubuntu1) ... Processing triggers for hicolor-icon-theme (0.17-2) ... Processing triggers for gnome-menus (3.36.0-1ubuntu1) ...