Bunte Ethernet-Kabel.

pixelnest/Shutterstock

Wireshark ist der De-facto-Standard für die Analyse des Netzwerkverkehrs. Leider wird es mit zunehmender Paketerfassung immer verzögert. Rand löst dieses Problem so gut, dass es Ihren Wireshark-Workflow verändern wird.



Wireshark ist großartig, aber . . .

Wireshark ist eine wunderbare Open-Source-Software. Es wird von Amateuren und Profis weltweit gleichermaßen verwendet, um Netzwerkprobleme zu untersuchen. Es erfasst die Datenpakete, die über die Kabel oder den Ether Ihres Netzwerks übertragen werden. Sobald Sie Ihren Datenverkehr erfasst haben, können Sie mit Wireshark die Daten filtern und durchsuchen, Gespräche zwischen Netzwerkgeräten verfolgen und vieles mehr.

Warum erfordert Quora eine Anmeldung?

So großartig Wireshark auch ist, es hat ein Problem. Netzwerkdatenerfassungsdateien (genannt Netzwerkablaufverfolgungen oder Paketerfassungen) können sehr schnell sehr groß werden. Dies gilt insbesondere, wenn das Problem, das Sie untersuchen möchten, komplex oder sporadisch ist oder das Netzwerk groß und ausgelastet ist.

Je größer die Paketerfassung (oder PCAP) ist, desto verzögerter wird Wireshark. Allein das Öffnen und Laden eines sehr großen (alles über 1 GB) Trace kann so lange dauern, dass man meinen könnte, dass Wireshark umgefallen ist und den Geist aufgegeben hat.

Die Arbeit mit Dateien dieser Größe ist eine echte Qual. Jedes Mal, wenn Sie eine Suche durchführen oder einen Filter ändern, müssen Sie warten, bis die Effekte auf die Daten angewendet und auf dem Bildschirm aktualisiert werden. Jede Verzögerung stört Ihre Konzentration, was Ihren Fortschritt behindern kann.

Anzeige

Rand ist das Heilmittel für diese Leiden. Es fungiert als interaktiver Präprozessor und Frontend für Wireshark. Wenn Sie die granulare Ebene sehen möchten, die Wireshark bereitstellen kann, öffnet Brim es sofort für Sie genau auf diesen Paketen.

Wenn Sie viel Netzwerkerfassung und Paketanalyse durchführen, wird Brim Ihren Arbeitsablauf revolutionieren.

VERBUNDEN: So verwenden Sie Wireshark-Filter unter Linux

Installieren von Brim

Brim ist sehr neu, hat also noch nicht den Weg in die Software-Repositorys der Linux-Distributionen gefunden. Allerdings auf dem Rand Download-Seite , finden Sie DEB- und RPM-Paketdateien, daher ist die Installation auf Ubuntu oder Fedora einfach genug.

Wenn Sie eine andere Distribution verwenden, können Sie den Quellcode herunterladen von GitHub und erstellen Sie die Anwendung selbst.

Brim verwendet |_+_|, ein Befehlszeilentool für Zeek logs, daher müssen Sie auch eine ZIP-Datei herunterladen, die die |_+_| . enthält Binärdateien.

Brim unter Ubuntu installieren

Wenn Sie Ubuntu verwenden, müssen Sie die DEB-Paketdatei herunterladen und |_+_| Linux-ZIP-Datei. Doppelklicken Sie auf die heruntergeladene DEB-Paketdatei, und die Ubuntu-Softwareanwendung wird geöffnet. Die Brim-Lizenz wird fälschlicherweise als proprietär aufgeführt – sie verwendet die BSD 3-Klausel-Lizenz .

Klicken Sie auf Installieren.

Klicken

Anzeige

Wenn die Installation abgeschlossen ist, doppelklicken Sie auf |_+_| ZIP-Datei, um die Archive Manager-Anwendung zu starten. Die ZIP-Datei enthält ein einzelnes Verzeichnis; Ziehen Sie es per Drag & Drop aus dem Archiv-Manager an einen Speicherort auf Ihrem Computer, z. B. das Downloads-Verzeichnis.

Wir geben Folgendes ein, um einen Ort für die |_+_| . zu erstellen Binärdateien:

zq

Wir müssen die Binärdateien aus dem extrahierten Verzeichnis an den soeben erstellten Ort kopieren. Ersetzen Sie den Pfad und den Namen des extrahierten Verzeichnisses auf Ihrem Computer im folgenden Befehl:

zq

Wir müssen diesen Ort zum Pfad hinzufügen, also bearbeiten wir die BASHRC-Datei:

zq

Der gedit-Editor wird geöffnet. Scrollen Sie zum Ende der Datei und geben Sie diese Zeile ein:

zq

Die BASHRC-Datei im gedit-Editor mit der Zeile export PATH=$PATH:/opt/zeek.

Speichern Sie Ihre Änderungen und schließen Sie den Editor.

Installieren von Brim auf Fedora

Um Brim auf Fedora zu installieren, laden Sie die RPM-Paketdatei (anstelle des DEB) herunter und befolgen Sie dann die gleichen Schritte, die wir oben für die Ubuntu-Installation beschrieben haben.

Anzeige

Interessanterweise wird die RPM-Datei beim Öffnen in Fedora korrekt als Open-Source-Lizenz und nicht als proprietäre Lizenz identifiziert.

Start von Brim

Klicken Sie im Dock auf Anwendungen anzeigen oder drücken Sie Super+A. Geben Sie Brim in das Suchfeld ein, und klicken Sie dann auf Brim, wenn es angezeigt wird.

Typ

Brim wird gestartet und zeigt das Hauptfenster an. Sie können auf Dateien auswählen klicken, um einen Dateibrowser zu öffnen, oder eine PCAP-Datei in den vom roten Rechteck umgebenen Bereich ziehen und dort ablegen.

Das Brim-Hauptfenster nach dem Start.

Brim verwendet eine Anzeige mit Registerkarten, und Sie können mehrere Registerkarten gleichzeitig öffnen. Um eine neue Registerkarte zu öffnen, klicken Sie oben auf das Pluszeichen (+) und wählen Sie dann einen anderen PCAP aus.

Krempengrundlagen

Brim lädt und indiziert die ausgewählte Datei. Der Index ist einer der Gründe, warum Brim so schnell ist. Das Hauptfenster enthält ein Histogramm des Paketvolumens im Zeitverlauf und eine Liste der Netzwerkflüsse.

Das Brim-Hauptfenster mit einer geladenen PCAP-Datei.

Eine PCAP-Datei enthält einen zeitlich geordneten Strom von Netzwerkpaketen für viele Netzwerkverbindungen. Die Datenpakete für die verschiedenen Verbindungen sind vermischt, weil einige von ihnen gleichzeitig geöffnet wurden. Die Pakete für jede Netzwerkkonversation werden mit den Paketen anderer Konversationen vermischt.

Anzeige

Wireshark zeigt den Netzwerk-Stream Paket für Paket an, während Brim ein Konzept namens Flows verwendet. Ein Flow ist ein vollständiger Netzwerkaustausch (oder eine Konversation) zwischen zwei Geräten. Jeder Flow-Typ ist kategorisiert, farbcodiert und nach Flow-Typ beschriftet. Sie sehen Flows mit der Bezeichnung dns, ssh, https, ssl und viele mehr.

Wenn Sie die Flusszusammenfassungsanzeige nach links oder rechts scrollen, werden viele weitere Spalten angezeigt. Sie können auch den Zeitraum anpassen, um die Teilmenge der Informationen anzuzeigen, die Sie sehen möchten. Im Folgenden finden Sie einige Möglichkeiten zum Anzeigen von Daten:

  • Klicken Sie auf einen Balken im Histogramm, um die Netzwerkaktivität darin zu vergrößern.
  • Klicken und ziehen Sie, um einen Bereich der Histogrammanzeige hervorzuheben und zu vergrößern. Brim zeigt dann die Daten des hervorgehobenen Abschnitts an.
  • Sie können auch genaue Zeiträume in den Feldern Datum und Uhrzeit angeben.

Brim kann zwei Seitenfenster anzeigen: eines links und eines rechts. Diese können ausgeblendet werden oder sichtbar bleiben. Der Bereich auf der linken Seite zeigt einen Suchverlauf und eine Liste geöffneter PCAPs, genannt Leerzeichen. Drücken Sie Strg+[, um den linken Bereich ein- oder auszuschalten.

Der

Der rechte Bereich enthält detaillierte Informationen zum markierten Flow. Drücken Sie Strg+], um den rechten Bereich ein- oder auszuschalten.

Ein hervorgehobenes

Klicken Sie in der Liste UID-Korrelation auf Conn, um ein Verbindungsdiagramm für den markierten Flow zu öffnen.

Klicken

Im Hauptfenster können Sie auch einen Flow markieren und dann auf das Wireshark-Symbol klicken. Dadurch wird Wireshark gestartet, wobei die Pakete für den markierten Flow angezeigt werden.

Wireshark wird geöffnet und zeigt die interessierenden Pakete an.

Aus Brim ausgewählte Pakete werden in Wireshark angezeigt.

Filtern in Brim

Suchen und Filtern in Brim sind flexibel und umfassend, aber Sie müssen keine neue Filtersprache lernen, wenn Sie dies nicht möchten. Sie können in Brim einen syntaktisch korrekten Filter erstellen, indem Sie im Übersichtsfenster auf Felder klicken und dann Optionen aus einem Menü auswählen.

Anzeige

In der Abbildung unten haben wir beispielsweise mit der rechten Maustaste auf ein DNS-Feld geklickt. Wir werden dann Filter = Wert aus dem Kontextmenü auswählen.

Ein Kontextmenü im Zusammenfassungsfenster.

Folgende Dinge passieren dann:

  • Der Text |_+_| wird der Suchleiste hinzugefügt.
  • Dieser Filter wird auf die PCAP-Datei angewendet, sodass nur Flows angezeigt werden, die Domain Name Service (DNS)-Flows sind.
  • Der Filtertext wird auch dem Suchverlauf im linken Bereich hinzugefügt.

Ein nach DNS gefilterter Zusammenfassungsbildschirm.

Mit der gleichen Technik können wir dem Suchbegriff weitere Klauseln hinzufügen. Wir klicken mit der rechten Maustaste auf das IP-Adressfeld (das 192.168.1.26) in der Spalte Id.orig_h enthält und wählen dann Filter = Wert aus dem Kontextmenü.

Dadurch wird die zusätzliche Klausel als AND-Klausel hinzugefügt. Die Anzeige wird nun gefiltert, um DNS-Flows anzuzeigen, die von dieser IP-Adresse (192.168.1.26) stammen.

Ein nach Flow-Typ und IP-Adresse gefilterter Übersichtsbildschirm.

Der neue Filterbegriff wird dem Suchverlauf im linken Bereich hinzugefügt. Sie können zwischen den Suchen wechseln, indem Sie auf die Elemente in der Suchverlaufsliste klicken.

Die Ziel-IP-Adresse für die meisten unserer gefilterten Daten ist 81.139.56.100. Um zu sehen, welche DNS-Flows an verschiedene IP-Adressen gesendet wurden, klicken wir mit der rechten Maustaste auf 81.139.56.100 in der Spalte Id_resp_h und wählen dann Filter != Value aus dem Kontextmenü.

Zusammenfassungsbildschirm mit einem Suchfilter, der ein . enthält

Anzeige

Nur ein DNS-Flow, der von 192.168.1.26 stammt, wurde nicht an 81.139.56.100 gesendet, und wir haben ihn gefunden, ohne etwas eingeben zu müssen, um unseren Filter zu erstellen.

Pinning-Filterklauseln

Wenn wir mit der rechten Maustaste auf einen HTTP-Flow klicken und Filter = Wert aus dem Kontextmenü auswählen, werden im Zusammenfassungsbereich nur HTTP-Flows angezeigt. Wir können dann auf das Pin-Symbol neben der HTTP-Filterklausel klicken.

Die HTTP-Klausel ist jetzt fixiert, und alle anderen von uns verwendeten Filter oder Suchbegriffe werden mit der vorangestellten HTTP-Klausel ausgeführt.

Wenn wir GET in die Suchleiste eingeben, wird die Suche auf Flows beschränkt, die bereits durch die Pinned-Klausel gefiltert wurden. Sie können beliebig viele Filterklauseln anheften.

Um in den HTTP-Flows nach POST-Paketen zu suchen, leeren wir einfach die Suchleiste, geben POST ein und drücken dann die Eingabetaste.

Durch seitliches Scrollen wird die ID des entfernten Hosts angezeigt.

Die Fernbedienung

Alle Such- und Filterbegriffe werden der Verlaufsliste hinzugefügt. Um einen Filter erneut anzuwenden, klicken Sie einfach darauf.

Das automatisch ausgefüllte

Anzeige

Sie können auch anhand des Namens nach einem Remote-Host suchen.

Auf der Suche nach

Suchbegriffe bearbeiten

Wenn Sie nach etwas suchen möchten, aber keinen Flow dieses Typs sehen, können Sie auf einen beliebigen Flow klicken und den Eintrag in der Suchleiste bearbeiten.

Zum Beispiel wissen wir, dass in der PCAP-Datei mindestens ein SSH-Flow vorhanden sein muss, weil wir verwendet haben zq einige Dateien an einen anderen Computer zu senden, aber wir können sie nicht sehen.

Wir klicken also mit der rechten Maustaste auf einen anderen Flow, wählen Filter = Value aus dem Kontextmenü und bearbeiten dann die Suchleiste, um ssh statt dns zu sagen.

Wir drücken die Eingabetaste, um nach SSH-Flows zu suchen und finden nur einen.

Ein SSH-Flow im Zusammenfassungsfenster.

Visitenkartenvorlagen für Word

Durch Drücken von Strg+] wird der rechte Bereich geöffnet, der die Details für diesen Flow anzeigt. Wenn eine Datei während eines Flows übertragen wurde, wird die MD5 , SHA1 , und SHA256 Hashes erscheinen.

Anzeige

Klicken Sie mit der rechten Maustaste auf eine dieser Optionen und wählen Sie dann VirusTotal Lookup aus dem Kontextmenü, um Ihren Browser auf der Seite zu öffnen VirusTotal Website und übergeben Sie den Hash zur Überprüfung.

VirusTotal speichert die Hashes bekannter Malware und anderer schädlicher Dateien. Wenn Sie sich nicht sicher sind, ob eine Datei sicher ist, können Sie dies ganz einfach überprüfen, auch wenn Sie keinen Zugriff mehr auf die Datei haben.

Die Hash-Kontextmenüoptionen.

Wenn die Datei gutartig ist, sehen Sie den in der Abbildung unten gezeigten Bildschirm.

ZU

Die perfekte Ergänzung zu Wireshark

Brim macht die Arbeit mit Wireshark noch schneller und einfacher, da Sie mit sehr großen Paketerfassungsdateien arbeiten können. Machen Sie noch heute einen Testlauf!

WEITER LESEN
  • › So finden Sie Ihr Spotify Wrapped 2021
  • › Der Computerordner ist 40: Wie Xerox Star den Desktop erstellte
  • Cyber ​​Monday 2021: Die besten Tech-Deals
  • › 5 Websites, die jeder Linux-Benutzer mit einem Lesezeichen versehen sollte
  • › Was ist MIL-SPEC Fallschutz?
  • › Funktionen vs. Formeln in Microsoft Excel: Was ist der Unterschied?