Wireshark is een van de beroemdste netwerkanalysetools ter wereld, zowel omdat het gratis is als omdat het goed werkt en niet te moeilijk te gebruiken is. Zijn bekendheid is echter te danken aan het feit dat het met dit programma mogelijk is pakketten en informatie die binnen een computernetwerk passeren te filteren, vast te leggen en te bespioneren .
Door de pakketten te bespioneren, zoals te zien is in een algemene gids (Een beveiligd wifi-netwerk invoeren om pakketten vast te leggen en te bespioneren wat u op internet doet), kunt u elk type informatie lezen dat ongecodeerd doorgaat in de communicatie tussen de pc en internet.
Dit betekent dat als twee mensen in hetzelfde kantoor of huis zijn en verbinding maken met hetzelfde netwerk (of dezelfde router) om op internet te gaan, de twee pc's kunnen worden gezien en vanaf één daarvan is het mogelijk om met Wireshark de informatie van de andere, inclusief de websites die u bezoekt, wachtwoorden in platte tekst (op niet-https-sites), e-mails, chats enzovoort.
Wireshark is echter vooral een zeer krachtig netwerkanalyseprogramma dat ook door professionele technici wordt gebruikt en laten we dan eens kijken hoe we het serieus kunnen gebruiken.
Je kunt Wireshark voor Windows of Mac OS X downloaden van de officiële website.
Als u Linux of een ander UNIX-achtig systeem gebruikt, zou Wireshark in de repository van de distributiesoftware moeten staan.
Na het downloaden en installeren van Wireshark, kunt u het starten en moet u onmiddellijk de juiste netwerkinterface selecteren om te analyseren .
Als u bijvoorbeeld verkeer op het draadloze netwerk wilt verkrijgen, klikt u anders op de wifi-netwerkkaart, als het gebruikte netwerk bedraad is, moet u de LAN-verbinding kiezen, enzovoort.
Zodra u een interface selecteert, zult u onmiddellijk zien dat alle informatie die over het netwerk gaat, zichtbaar is in een continue schuiflijst.
Als u de besturing inschakelt op een netwerk dat door meerdere computers wordt gedeeld (zoals een wifi), en u hebt data-acquisitie in promiscue modus geactiveerd, ziet u ook de pakketten van andere computers die op hetzelfde netwerk zijn aangesloten .
De acquisitie in promiscue modus is alleen mogelijk vanaf een Windows-pc door de WinPCap-stuurprogramma's te installeren die zijn opgenomen in het Wireshark-installatiepakket.
In de linkerbovenhoek kunt u het vastlegproces in realtime stoppen en de verkeersacquisitie stoppen.
Wireshark toont onderschepte gegevens met verschillende kleuren om verkeerssoorten gemakkelijker te identificeren.
Standaard is TCP-verkeer groen, DNS-verkeer is donkerblauw, in plaats daarvan is UDP-verkeer lichtblauw; de zwarte zijn TCP-pakketten met problemen.
Om te beginnen en te zien of het werkt, moet je ervoor zorgen dat tijdens het surfen op internet door een paar websites te openen, gegevens en informatie worden vastgelegd door Wireshark.
HTTP-oproepen zijn die met betrekking tot internetverkeer, wat het meest interessant kan zijn als u van plan bent om browse-informatie te vinden, zoals de bezochte sites.
U kunt ook een voorbeeldbestand downloaden voor analyse in Wireshark voor
Belangrijk om niet verdwaald te raken in de zee van gegenereerde gegevens is om pakketfilterregels te gebruiken.
De eenvoudigste manier om een filter toe te passen, is door een zoeksleutel in het filtervak bovenaan het venster in te voeren en op Toepassen te klikken.
Als u bijvoorbeeld " http " typt, ziet u alleen de verbindingen die zijn gemaakt via de browser op internet.
Elk pakket kan worden geïnspecteerd en klik er met de rechterknop op om meer details en de TCP-stream of de geschiedenis van de gemaakte stappen te zien (als u bijvoorbeeld op Google zoekt naar meer dingen, kunt u de hele flow bekijken).
Specifiekere filters kunnen worden toegepast vanuit het menu Analyseren .
Bij het verwerven van pakketten kan het lastig en moeilijk zijn om de stroom van gesnoven gegevens en informatie op het netwerk te begrijpen, omdat alleen IP-adressen worden weergegeven.
Het is echter mogelijk om IP-adressen om te zetten in domeinnamen (voor http-verkeer betekent dit dat je de namen van de websites moet zien) door de functionaliteit te activeren via het menu Bewerken -> Voorkeuren -> Naamomzetting en het activeren van " Enable Network Name Resolution ".
Wanneer u deze optie inschakelt, ziet u domeinnamen in plaats van IP-adressen, maar omdat Wireshark voor elke domeinnaam moet zoeken, nemen DNS-verzoeken toe door de gegevensstroom te vergroten.
Als u een automatische pakketopname op uw computer wilt instellen, kunt u een snelkoppeling op het bureaublad maken om Wireshark snel te starten.
Na het maken van de link, klik met de rechtermuisknop, voer de eigenschappen in en, waar " Bestemming " is geschreven, voeg een spatie toe aan de rij na de laatste aanhalingstekens en vervolgens -i # -k .
in plaats van # moet u het nummer van de te controleren netwerkkaart invoeren, in de volgorde die Wireshark tijdens de selectiefase geeft.
Het vastleggen van verkeer van andere computers die op hetzelfde netwerk zijn aangesloten, is misschien wel het grappigste doel dat ons op onze eigen kleine manier een beetje een hacker maakt (het is echter niet zo eenvoudig).
Als u netwerkverkeer wilt vastleggen en informatie wilt bespioneren die door een router, server of andere computer gaat, moet u de remote capture van Wireshark gebruiken, die in Windows de WinPcap-driver gebruikt.
Nadat het is geïnstalleerd, moet u het Windows-servicesvenster openen (klik op Start en schrijf de opdracht Services.msc in het vak Zoeken of Uitvoeren).
Zoek en activeer in de lijst met services het zogenaamde Remote Packet Capture Protocol .
Deze service is standaard uitgeschakeld.
Klik op Options Capture in het initiële Wireshark-venster en selecteer Remote in het vak Interface .
Voer vervolgens het adres van het externe systeem in (bijvoorbeeld 192.168.2.3 ) en als poort in 2002 .
Om te kunnen werken, moet u toegang hebben tot poort 2002 op het externe systeem, dus u moet deze poort openen op de firewall of router van uw computer.
Na verbinding kunt u een interface op het externe systeem selecteren in het vak waar de netwerkkaarten worden vermeld en op Start klikken om te beginnen met het opnemen van de verbindingen die vanaf die computer zijn gemaakt.
In deze video ziet u een inleidende zelfstudie die heel goed is gedaan om te leren hoe u Wireshark gebruikt.
Wireshark is een buitengewoon krachtig hulpmiddel, zelfs als alleen de meest ervaren het grondig kan begrijpen en het kan gebruiken voor elk type bewerking in een netwerk.
Deze tutorial is slechts een inleiding op alles wat je kunt doen (hier is de volledige handleiding in het Engels); weet gewoon dat professionals het gebruiken om netwerkprotocolinstallaties te debuggen, om beveiligingsproblemen te analyseren en verkeer in bedrijven te controleren.
Tot slot nog een laatste aanbeveling: veel organisaties staan Wireshark of vergelijkbare tools niet toe om op hun netwerken te werken (privacyprobleem), dus u mag het risico niet nemen om het op kantoor te gebruiken tenzij u toestemming heeft.
Als je het met eenvoudigere programma's wilt proberen, raad ik aan de Nirsoft-tools te downloaden om het pc-netwerk op te snuiven en bezochte sites, zoekopdrachten op internet en wachtwoorden te bekijken .
