Компьютерная экспертиза. Практическая работа №1. Wireshark

# Компьютерная экспертиза. Практическая работа №1. Wireshark :::info Выполнил студент 3 курса БСБО-07-19 Кротов Егор ::: ### Содержание 1. Введение 2. Установка 3. Работа с Wireshark 4. Заключение # Введение Wireshark — программа-анализатор трафика для компьютерных сетей Ethernet и некоторых других. Имеет графический пользовательский интерфейс. Изначально проект назывался Ethereal, но из-за проблем с торговой маркой в июне 2006 года проект был переименован в Wireshark. Функциональность, которую предоставляет Wireshark, очень схожа с возможностями программы tcpdump, однако Wireshark имеет графический пользовательский интерфейс и гораздо больше возможностей по сортировке и фильтрации информации. Программа позволяет пользователю просматривать весь проходящий по сети трафик в режиме реального времени, переводя сетевую карту в неразборчивый режим (англ. promiscuous mode). Программа распространяется под свободной лицензией GNU GPL и использует для формирования графического интерфейса кроссплатформенную библиотеку GTK+ (планируется переход на Qt). Существуют версии для большинства UNIX-подобных систем, в том числе GNU/Linux, Solaris, FreeBSD, NetBSD, OpenBSD, macOS, а также для Windows. # Установка Wireshark ## Установка Wireshark в UBUNTU Самый простой способ установить Wireshark - использовать официальные репозитории. Для этого выполните такую команду: `$ sudo apt install wireshark` ![image alt](https://losst.ru/wp-content/uploads/2021/03/wireshark.png) Во время установки программа спросит нужно ли разрешить запускать Wireshark от имени обычного пользователя. Дело в том, что анализировать сетевые пакеты по умолчанию можно только от имени суперпользователя. Но запускать графические программы от имени суперпользователя не рекомендуется. Если в этом окне ответить **Да**, то все пользователи из группы wireshark смогут получить доступ к программе, а не только суперпользователь: ![image alt](https://losst.ru/wp-content/uploads/2021/03/wireshark1-941x576.png) После завершения установки необходимо добавить текущего пользователя в группу wireshark: `$ sudo usermod -aG wireshark $USER` Чтобы изменения применились надо перезагрузить компьютер или перезайти в систему. После этого можно запускать программу из главного меню или с помощью терминала: ![image alt](https://losst.ru/wp-content/uploads/2021/03/wireshark2-847x576.png) Если вы столкнулись с проблемой, что Wireshark не видит интерфейсы Ubuntu, это значит что программа запущена от обычного пользователя и он не добавлен в группу Wireshark. В качестве быстрого решения, попробуйте запустить её от суперпользователя: `$ sudo wireshark` # Работа с Wireshark ## Как пользоваться Wireshark После установки вы сможете найти программу в главном меню дистрибутива. Запускать Wireshark нужно с правами суперпользователя, потому что иначе она не сможет анализировать сетевые пакеты. Это можно сделать из главного меню или через терминал с помощью команды для KDE: `$ kdesu wireshark` А для Gnome / Unity: `$ gksu wireshark` Главное окно программы разделено на три части: первая колонка содержит список доступных для анализа сетевых интерфейсов, вторая - опции для открытия файлов, а третья - помощь. [![image alt](https://losst.ru/wp-content/uploads/2016/12/wireshark-768x507.png) ## Анализ сетевого трафика Для начала анализа выберите сетевой интерфейс, например eth0, и нажмите кнопку **Start**. ![image alt](https://losst.ru/wp-content/uploads/2016/12/wireshark1-768x517.png) После этого откроется следующее окно, уже с потоком пакетов, которые проходят через интерфейс. Это окно тоже разделено на несколько частей: * **Верхняя часть** - это меню и панели с различными кнопками; * **Список пакетов** - дальше отображается поток сетевых пакетов, которые вы будете анализировать; * **Содержимое пакета** - чуть ниже расположено содержимое выбранного пакета, оно разбито по категориям в зависимости от транспортного уровня; * **Реальное представление** - в самом низу отображается содержимое пакета в реальном виде, а также в виде HEX. Вы можете кликнуть по любому пакету, чтобы проанализировать его содержимое: ![image alt](https://losst.ru/wp-content/uploads/2016/12/wireshark3-768x494.png) Здесь мы видим пакет запроса к DNS, чтобы получить IP-адрес сайта, в самом запросе отправляется домен, а в пакете ответа мы получаем наш вопрос, а также ответ. Для более удобного просмотра можно открыть пакет в новом окне, выполнив двойной клик по записи: ![image alt](https://losst.ru/wp-content/uploads/2016/12/wireshark4-768x496.png) ## Анализ трафика Wireshark Вы можете очень просто понять, что именно скачивали пользователи и какие файлы они смотрели, если соединение не было зашифровано. Программа очень хорошо справляется с извлечением контента. Для этого сначала нужно остановить захват трафика с помощью красного квадрата на панели. Затем откройте меню **File** -> **Export Objects** -> **HTTP**: ![image alt](https://losst.ru/wp-content/uploads/2016/12/wireshark17-768x522.png) Далее в открывшемся окне вы увидите все доступные перехваченные объекты. Вам достаточно экспортировать их в файловую систему. Вы можете сохранять как картинки, так и музыку. ![image alt](https://losst.ru/wp-content/uploads/2016/12/wireshark18-768x511.png) Дальше вы можете выполнить анализ сетевого трафика Wireshark или сразу открыть полученный файл другой программой, например плеером. # Заключение Wireshark — это приложение, которое «знает» структуру самых различных сетевых протоколов, и поэтому позволяет разобрать сетевой пакет, отображая значение каждого поля протокола любого уровня. Поскольку для захвата пакетов используется pcap, существует возможность захвата данных только из тех сетей, которые поддерживаются этой библиотекой. Тем не менее, Wireshark умеет работать с множеством форматов входных данных, соответственно, можно открывать файлы данных, захваченных другими программами, что расширяет возможности захвата. Для расширения возможностей программы возможно использование скриптового языка Lua