Wireshark — это бесплатный инструмент с открытым исходным кодом, который анализирует сетевой трафик в режиме реального времени для систем Windows, Mac, Unix и Linux. Он захватывает пакеты данных, проходящие через сетевой интерфейс (например, Ethernet, LAN или SDR), и преобразует эти данные в ценную информацию для ИТ-специалистов и групп кибербезопасности. Wireshark — это тип анализатора пакетов (также известный как анализатор сетевых протоколов, анализатор протоколов и сетевой анализатор). Анализаторы пакетов перехватывают сетевой трафик, чтобы понять обрабатываемую активность и получить полезную информацию. Wireshark (ранее известный как Ethereal) предлагает ряд различных фильтров отображения для преобразования каждого захваченного пакета в читаемый формат. Это позволяет пользователям определять причину проблем сетевой безопасности и даже обнаруживать потенциальную киберпреступную деятельность.
Когда анализатор пакетов используется в «беспорядочном режиме», пользователи могут анализировать сетевой трафик независимо от его пункта назначения - как камера на стене, наблюдающая за офисной деятельностью. Хотя это и позволяет ИТ-специалистам выполнять быструю и тщательную диагностику сетевой безопасности, в чужих руках Wireshark может использоваться против Вас.
Поскольку вы можете скачать Wireshark бесплатно, киберпреступники имеют к нему свободный доступ, поэтому в целях безопасности лучше предположить, что в настоящее время программное обеспечение используется с враждебными намерениями. К счастью, есть некоторые меры безопасности, которые вы можете реализовать для защиты от перехвата сети.
Для чего используется Wireshark?
Программное обеспечение для анализа пакетов, такое как Wireshark, используется организациями, которые должны быть в курсе состояния безопасности своей сети, поэтому это программное обеспечение обычно используется правительствами, школами и технологическими предприятиями.
Распространенные случаи использования Wireshark включают в себя:
Определите причину медленного интернет-соединения
Исследование потерянных пакетов данных
Устранение проблем с задержкой
Обнаружение вредоносной сетевой активности (!)
Выявить несанкционированную утечку данных (!)
Анализ использования полосы пропускания
Отслеживание голосовых вызовов через Интернет (VoIP) по сети
Перехват атак «Человек посередине» (MITM)
Wireshark делает все вышеперечисленные варианты использования возможными за счет рендеринга и перевода трафика в читаемые форматы, избавляя пользователей от разочарований, связанных с необходимостью перевода двоичной информации вручную. Все это делается в режиме реального времени, поэтому обнаруженные проблемы можно быстро устранить до того, как они перерастут в сбой в обслуживании или, что еще хуже, в утечку данных.
Как использовать Wireshark
Прежде чем следовать руководству Wireshark, важно понять, как работают сетевые системы.
Модель OSI (модель взаимодействия открытых систем) — это структура, которая показывает, как сетевой трафик передается и отображается конечному пользователю. Он состоит из 7 слоев
Приложение (уровень 7) — отображает графический интерфейс пользователя (UI) — то, что видит конечный пользователь.
Презентация (уровень 6) — форматирует данные для обеспечения эффективной связи между сетевыми приложениями.
Сеансовый уровень (уровень 5) — обеспечивает непрерывность и бесперебойность соединений между конечными точками.
Транспортный уровень (уровень 4). На этом уровне располагаются прокси-серверы и межсетевые экраны. Обеспечивает безошибочную передачу данных между каждой конечной точкой путем обработки протоколов TCP и UDP. На этом уровне Wireshark можно использовать для анализа TCP-трафика между двумя IP-адресами.
Сетевой уровень (уровень 3). Обеспечивает отсутствие ошибок в данных маршрутизации для маршрутизаторов, находящихся в этой сети.
Уровень канала передачи данных (уровень 2). Идентифицирует физические серверы через два подуровня: управление доступом к среде передачи (MAC) и управление логическим каналом (LLC).
Физический уровень (уровень 1). Состоит из всего физического оборудования, обрабатывающего сетевую активность.
Чтобы правильно использовать Wireshark, вы должны знать о различных прокторах, обрабатываемых на каждом уровне OSI. Это поможет вам решить, какой уровень следует анализировать для каждого конкретного диагностического требования.
Вот краткий обзор протоколов, обрабатываемых на каждом уровне OSI:
Приложение (уровень 7) — SMTP, HTTP, FTP, POP3, SNMP
Презентация (уровень 6) — MPEG, ASCH, SSL, TLS
Сеансовый уровень (уровень 5) — NetBIOS, SAP
Транспортный уровень (уровень 4) — TCP, UDP
Сетевой уровень (Уровень 3) — IPV5, IPV6, ICMP, IPSEC, ARP, MPLS.
Уровень канала передачи данных (уровень 2) — RAPA, PPP, Frame Relay, ATM, оптоволоконный кабель и т. д.
Физический уровень (уровень 1) — RS232, 100BaseTX, ISDN, 11.
Каждый уровень накладывается поверх другого, и информация передается между каждым уровнем во время сетевой активности.
Даже имея лишь поверхностное представление о различных функциях каждого уровня, вы можете выполнить общую оценку сетевых проблем.
Например, если у вас возникли проблемы с просмотром Интернета, вы можете предположить, что, скорее всего, возникла ошибка на сетевом уровне (уровень 3), поскольку он обрабатывает данные маршрутизатора.
Затем Wireshark можно использовать для дальнейшего исследования такого предположения. Он может подтвердить, какой уровень неисправен и какие именно протоколы содержат ошибки.
=======================================================
Теперь, когда вы приобрели некоторые базовые знания, вы получите максимальную пользу от следующего руководства Wireshark.
https://www.youtube.com/watch?v=Cc5wi1bxmpc
( короткое видео на русском )
Если для Вас доступен технический английский, то лучше посмотреть видео https://www.youtube.com/watch?v=TkCSr30UojM&t=119s
Здесь можно также читать Closed Caption
=======================================================
Если вам сложно понять какую-либо из вышеперечисленных концепций, Вам имеет смысл развить некоторые важные навыки, прежде чем использовать Wireshark. Понимание каждой из следующих концепций является важным условием для эффективного использования Wireshark.
Основы работы в сети
Механика сетевых пакетов
Трехстороннее TCP-квитирование ( https://stormwall.pro/knowledge-base/termin/tcp-handshake )
стек TCP/IP
TCP-протоколы
UDP-протоколы
DHCP-протоколы
ICMP-протоколы
Как читать и интерпретировать заголовки захваченных пакетов
Как работает маршрутизация
Как работает переадресация портов
Как защититься от перехвата сети
Вероятность того, что организация подвергнется утечке данных, растет, и из этого мы можем сделать вывод, что перехват сети также растет, поскольку он способствует кибератакам.
1. Постоянно обновляйте антивирусное программное обеспечение
Сетевые снифферы обычно доставляются через трояны, черви, вирусы и вредоносные программы. Антивирусное программное обеспечение может блокировать такие вредоносные полезные нагрузки до того, как они смогут развернуть кампанию по перехвату. Чтобы повысить шансы на успешную защиту, важно регулярно обновлять антивирусное программное обеспечение, чтобы оно было настроено на обнаружение новейших киберугроз.
2. Шифрование всех сетевых данных
Когда сетевые данные зашифрованы, киберпреступникам сложно получить из них конфиденциальную информацию в ходе кампании по перехвату.
Доступны различные типы методов шифрования, но для максимальной степени запутывания следует использовать расширенные стандарты шифрования (AES). Этот алгоритм шифрования невосприимчив почти ко всем формам кибератак (кроме атак методом перебора)
3. Используйте VPN
Виртуальные частные сети (VPN) защищают весь внутренний трафик в зашифрованном туннеле. Они также защищают удаленные подключения к конфиденциальным внутренним сетям, чтобы предприятия могли поддерживать удаленную рабочую силу без ущерба для безопасности.
Для достижения наилучших результатов выберите VPN, использующую шифрование AES, и соедините его с постоянно обновляемым антивирусным программным обеспечением.
4. Отключить UPnP
Universal Plug and Play (UPnP) может позволить киберпреступникам подключиться к вашему маршрутизатору и развернуть программное обеспечение для анализа сети. Эти соединения могут происходить автономно, вне вашего контроля, потому что именно для этого предназначен UPnP. Большинство новых маршрутизаторов поставляются с уже включенным UPnP, поэтому в настоящее время вы можете подвергать свою сеть атакам с перехватом, даже не подозревая об этом.
Детально смотри
https://fastestvpn.com/ru/blog/%D1%87%D1%82%D0%BE-%D1%82%D0%B0%D0%BA%D0%BE%D0%B5-%D1%83%D0%BF%D0%BD%D0%BF/
5. Взаимодействуйте только с защищенными веб-сайтами
Защищенные веб-сайты шифруют все передаваемые им данные. Отправка происходит через любой элемент веб-сайта, который принимает ввод данных пользователем. Сюда входят контактные формы, поля входа и даже поля платежной информации. Защищенный веб-сайт можно определить двумя способами:
URL-адрес защищенного веб-сайта начинается с HTTPS. Небезопасные веб-сайты не содержат буквы «s», они начинаются с HTTP.
На защищенных веб-сайтах перед URL-адресом отображается крошечный запертый замок. На небезопасных веб-сайтах отображается незапертый замок
6. Не подключайтесь к общедоступному Wi-Fi
Безопасность общедоступного Wi-Fi никогда не может быть подтверждена. Вы никогда не можете быть уверены, что они даже шифруют свои данные. Киберпреступники часто устанавливают вредоносные бесплатные точки доступа Wi-Fi, чтобы отслеживать активность подключенных устройств.
Обнаружение точки доступа Wi-Fi, не требующей пароля, может показаться спасением жизни, но потенциальные риски для безопасности значительно перевешивают любые преимущества, которые они могут предложить. Лучше всего избегать всех общедоступных точек доступа Wi-Fi.
7. Используйте стороннее решение для мониторинга поверхностей атак
Вероятность атак с перехватом сети высока, если операционные системы и стороннее программное обеспечение не обновлены последними исправлениями. Решение для мониторинга поверхностей атак со стороны поставщиков предупредит вас, если кто-либо из ваших поставщиков подвергнется уязвимостям безопасности, включая неисправленное программное обеспечение. Киберпреступники могут получить доступ к вашей внутренней сети через скомпрометированного поставщика. Это вполне реальная и очень опасная угроза. Устраните уязвимости поставщиков до того, как они будут использованы кибер-злоумышленниками, это понизит шансы того, что ваши поставщики станут векторами атак для кампаний по слежению за сетью.
P.S. Wireshark в promiscuous mode
По умолчанию Wireshark перехватывает только пакеты, входящие и исходящие от компьютера, на котором он работает. Установив флажок запуска Wireshark в promiscuous mode в настройках захвата, вы сможете перехватывать большую часть трафика в локальной сети
Добавлено 29.08.23
Кто такой 18.192.40.85 ?
После нескольких часов мониторинга мне известен IP адрес сервера и корпорация, которой он принадлежит, получающий по тем или иным причинам отказ на ACK-TCP от VM Fedora39 выполняющейся на моем хосте.
