Сегодня мы научимся захватывать трафик, и Вы узнаете следующее:

1. Мы разберемся с тем, где разместить анализатор, чтобы собрать нужный трафик.
2. Захват трафика в сетях со свитчом.
3. Захват трафика, используя хаб и TAP.
4. Захват, используя Port Spanning.
5. Захват трафика в беспроводных сетях.
6. Как начать захват трафика в Wireshark.
7. Группа файлов.
8. Оптимизация Wireshark, чтобы он не зависал, при использовании, в загруженных сетях.

Очень важно знать, где должен находиться анализатор. Это позволит Вам записывать интересующий Вас трафик. Если только один клиент жалуется на проблемы, то они связаны, скорее всего с его компьютером, и трафик необходимо захватывать с его узла.

Если большое количество клиентов жалуются на проблемы с одним и тем же сервером, то захватите трафик с точки зрения сервера. Если есть потеря пакетов, то Вам необходимо переместить анализатор ближе к источнику, чтобы обнаружить устройство, работающее со сбоями.

Иногда, установка Wireshark, в интересную нам систему – это не всегда самое лучшее решение. Особенно, если это сервер, так что, Вам необходимо рассмотреть другую возможность захвата трафика.

Есть также Portable-версия Wireshark, которая доступна для Windows, и ее установка не требуется в систему.

Есть 4 способа захвата трафика беспроводной сети:

1. Установка и использование Portable-версии Wireshark на компьютере.
2. Хаб в режиме полудуплекса.
3. TAP в полном или в режиме полудуплекса.
4. Захват порта switch.

Когда Вы подключены через порт свитча, Вы увидите следующий трафик:

1. Broadcast.
2. Multicast.
3. Трафик, который идет на Ваш мак-адрес.
4. Трафик, который идет на неизвестные мак-адреса.

Вы можете использовать хаб, для связи, в режиме полудуплекса. Хаб – это глупое устройство. Он посылает весь трафик, который пришел на этот порт во все остальные. Прежде, чем использовать его в корпоративных сетях, убедитесь, что это настоящий хаб, так как некоторые компании продают хабы, но на самом деле – это свитчи.

Если два клиента общаются в одной сети, и третий компьютер, подключенный к той же сети, сможет увидеть весь трафик, который проходит между ними, то это настоящий хаб.

Если Вам нужно мониторить полную дуплексную связь, то хабы не подойдут. Вам необходимо использовать TAP. Это устройство, которое может использовать полнодуплексное или полудуплексное подключение. Их устанавливают в сеть, между устройствами, и они могут перенаправлять пакеты, даже с неверной чек-суммой, как свитчи. В дополнение – это не приводит к нарушению связи, т.е. если на него не подают питание, то он продолжает работать.

Есть разные типы TAP-ов:

— Non-aggregating TAP, который посылает трафик от полнодуплексного подключения, по отдельным портам. Нам нужно будет объединить трафик, который был захвачен на каждом из интерфейсов, чтобы получить полную картину aggregating TAP – который объединяет весь трафик в один порт.

— Regenerating TAP – используется для мониторинга более одного порта. Например, один порт анализируется с помощью Wireshark, а другой, с помощью IDS.

— Link-Aggregation TAP – проводит мониторинг более одного подключения. Можно также использовать более одного порта для анализа.

— Intelligent TAP – он принимает решение, относительно входящего трафика.

Port Spanning – это технология, которая используется для настройки свитча, чтобы посылал копию любого трафика, на определенный порт для мониторинга. Такая возможность доступна только на дорогих устройствах. Посмотрите документацию, чтобы разобраться с тем, как настроить эту опцию.

Сканируя беспроводные сети, нам всегда нужно брать в расчет интерференцию, которую я могу проанализировать с помощью анализаторов спектра. Беспроводные адаптеры могут работать в одном из двух режимов. Это – Monitor, и Managed.

В режиме монитора он не может быть подключен к точкам доступа, но, при этом, есть возможность захватывать пакеты со всех точек доступа, которые есть рядом.

В режиме Managed – адаптер захватывает пакеты, только идущие от точки доступа, к которой подключена карта.

В Windows большинство карт, не поддерживают режим монитора. Тем не менее AirPcap-адаптеры созданы с этой целью.

В других операционных системах большинство адаптеров поддерживают режим монитора. На родном устройстве, Вы можете увидеть заголовки Ethernet, во время захвата трафика. Это не настоящие заголовки, которые присваиваются кадрам, если другой метод захвата беспроводного трафика не поддерживается, Вы не увидите никаких кадров, кроме Managed. Так что, возможности анализа беспроводного трафика, будут ограничены. Когда Вы открываете список Capture Interfaces, то Вы увидите список интерфейсов, которые поддерживает Wireshark:

Трафик можно также захватить удаленно. Это можно сделать с помощью программного обеспечения для удаленного доступа. Например, Teamviewer, UltraVNC, и так далее. В WinPcap есть инструмент, который называется «rpcapd», запускаемый на удаленной машине, и может пересылать трафик на нашу машину. Вы можете почитать документацию Wireshark, где детально описан процесс настройки.

Некоторые свитчи имеют похожий инструмент. Файлы, которые захватывает Wireshark, сохраняются на диске, и доступны через меню «File», «File Set», «List Files»:

Если Вы сканируете загруженную сеть, то порой Wireshark не в состоянии захватить весь трафик. Вы увидите количество пропущенных пакетов в статус-баре.

Чтобы оптимизировать Wireshark, нужно сделать следующее:

1. Отключите обновление списка пакетов.
2. Отключите name resolution.
3. Увеличьте размер буфера.
4. Уменьшите количество колонок.
5. Разделите trace-файл.
6. Просто используйте командную строку.

В Wireshark есть три инструмента захвата трафика:

1. Tshark.
2. Dumpcap.
3. Rawshark.

Tshark запускает dumpcap, чтобы захватить дополнительный трафик. Так что, если Вам нужно тратить меньше ресурсов, то просто воспользуйтесь dumpcap. Если же Вам нужна функциональность, то используйте tshark.

Есть еще один инструмент захвата трафика – это tcpdump, который не включен в пакет, вместе с Wireshark.

В итоге мы обсудили то, где нам нужно располагать анализатор, как необходимо использовать Hub, TAP, или Захват порта switch.

Как захватывать трафик в беспроводных сетях, и мы также посмотрели, как захватывать удаленный трафик. Мы рассмотрели, как можно использовать Wireshark в высоконагруженной сети.

На этом все. Всем хорошего дня!

#1 Что такое Wireshark?

#2 Базовый функционал Wireshark.

#3 Интерфейс Wireshark. Часть 1.

#4 Интерфейс Wireshark. Часть 2.