Wireshark – a hálózati forgalom elemző eszköze

A Wireshark a világ legelterjedtebb és legszélesebb körben alkalmazott hálózati protokoll elemzője. A program lehetővé teszi, hogy elemi szinten megnézzük, mi történik a hálózaton. A Wireshark fejlesztése hálózatépítéssel foglalkozó szakértők önkéntes hozzájárulásának köszönhetően folyik, és szerte a világon használják. A jelenlegi projekt a Gerald Combs által 1998-ban indított projekt folytatása. A program honlapja: https://www.wireshark.org/

A Wireshark ingyenes program, Windows alá fejlesztik, ugyanakkor a forráskódját is nyilvánosan ingyen le lehet tölteni, jelentőségét tekintve nem meglepő, hogy ezt felhasználták a Linuxos változatok létrehozásához is, továbbá elérhető macOS, Solaris, FreeBSD, NetBSD és egyéb rendszerek alá is. A program letölthető a Linux Mint szoftverkezelőjéből, és azonnal használatba vehető.

Azoknak, akik Windows alatt akarják használni, jelzem, hogy a Windowsos változat önmagában csak bizonyos router forgalmakat képes felismerni, ahhoz, hogy használható legyen, telepíteni kell egy „függőséget”, név szerint a WinPcap segédszoftvert. Ez nem nyilvánvaló elsőre, ehhez nekem is kutakodnom kellet, a program maga nem telepíti, és nem is informál róla. Továbbá nem mindegy hogy melyik verziójú Windows alatt melyik verziójú Wireshark használható, ez ügyben tanulmányozni kell az oldalon a FAQ-ot. Jó hír, hogy Windows alá létezik portable változat is, de ehhez is telepíteni kell a gépre a WinPcap-ot.

Ez a bejegyzés csak egy alap bemutató, ill. ismertető szándékom szerint, főleg azok számára, akik holmi (nem teljesen alaptalan, el kell ismerni) félelmektől hajtva mindennemű megfigyelésektől tartva paranoiás tanokat fogyasztanak szellemi táplálék gyanánt. Lássák, van eszköz, amivel felderíthető ki piszkál befele a rendszerbe, hová telefonál a háttérben a gépünk. Nagyon sokan vannak, akik ezt a programot használják, és figyelik mi történik a hálózaton. Ha valami nagy és általános egetverő dolog történik, akkor az itt meglátszik. Persze, lehet, hogy Windows álcázza a forgalmát, átverve a programot. Erre is van tuti biztosíték, proxy szerverre kell telepíteni, a mögé kell kötni a Windowsos gépet a proxin átmenő forgalmat is lehet monitorozni. És teszik is, sokan.

Nagyon nem fér bele egy ilyen blogba a szükséges ismeretek leírása, aki érdeklődik a téma iránt, annak ajánlani tudom Petrényi József e témában írt könyveit:
https://linuxmint.hu/comment/34188#comment-34188
A könyvek ingyen letölthetők, és igaz, hogy Windows szemszögéből vannak bemutatva a hálózati ismeretek, de ami hálózaton folyik, az rendszerek feletti, egységes szabványok szerint történik.
Rengeteg információ található a témában az Interneten, beleértve a program használatát, leírását is.

Az a szándékom, hogy kicsit Windows vs. Linux tekintetben mutassam be a témát, rávilágítva pár eltérésre, ezzel segítve az információk kristályosodását.
Mégpedig azért, mert ez egy jó technika az ismeretek megszerzésére, arra gondolok, hogy pl. amikor két termék összehasonlítása történik, akkor is előtérbe kerülnek fogalmak, tulajdonságok, amik információval bírnak, ez is egy hatékony módja a leírásnak, tehát nem Windows vs. Linux vitát akarok generálni, hanem csak gondolatokat közölni. Általános megfigyelés: főleg a hosszabb ideje pihentetett Windows marha lassan tölt be, folyamatosan pörgeti a merevlemezt, és akár fél óra is eltelik, mire a rendszer használható lesz. De egyébként is, hosszú távú használat során a Windows magától is lassul. Van a Windowsnak beépített erőforrás figyelője, amin látszik is, ami nyilvánvaló, a merevlemezre rengeteg adat vár a pufferben, csomó program egyszerre akar ráírni egymással versengve, csomó program olvassa az adatokat, és próbálja feltölteni az Internetre. Ebben jeleskednek a víruskeresők, próbálják követni a nagy sárga ezredforduló tájékán kitalált nagy trükkjét, aki úgy lett okos, hogy feltöltötte a kliens gépekről az információkat, azokat kielemezte. Az adat nagyon fontos, az adat érték. Mindent fel kell szipkázni, aztán erre építkezve lehet termékeket kreálni, ajánlani, további bevételek reményében. A Wireshark felületén azt is látni, hogy intenzív hálózati forgalom zajlik, milyen irányba. Azt is látni, hogy ki a legbuzgóbb ebben. Nem, nem a Google. (Egyébként legtöbbnek ez benne van az EULA-ban, így jogosan teszik ezt ;-))
(Ezen kívül van még egyéb, jobbára tervezési hibából adódó strukturális probléma is a régebbi Windowsok esetében, ami miatt szintén lassul a rendszer, ezen mondjuk W10-ben sokat javítottak)

Az idők során a gépre telepített programok mind egyszerre, egymással versengve keresik és töltik le a frissítéseket. Ez, így leírva nem tűnik annyira hűha dolognak, de tényleg elképesztő forgalom zajlik, ezt meg kell tapasztalni, hogy ledöbbenjen az ember.
Ezzel szemben Linux alatt ez jobban koordinált, itt egyetlen Frissítéskezelő kukkant ki, és megállapítja, hogy van-e frissítés, ha van, akkor rákérdez, hogy legyenek-e telepítve.
Tényleg szembetűnő, hogy Linux alatt mennyire nyugisabb a Wiresharkban mutatkozó forgalom.

Kis, nagyon kis, nagyon nagyon leegyszerűsített magyarázat azok számára, akik kipróbálják a programot, és látják, hogy folyik, szivárog valami folyamatosan a hálózaton:

A hálózat kusza pókhálónál sokkal bonyolultabb drót (rádióhullám, lézer) csipkéből áll, a csomópontok rajta a node-ok. A node, ha egy gépről van szó, akkor az annak a hálózati kártyáját jelenti, ha több hálókártya van a gépben, akkor ennek megfelelően több node-ról beszélünk. Node minden router ,modem, switch, okos hálózati elem, bluetooth chip. Mindnek van egy ú.n. MAC címe, ez egyedi és fix minden esetben (más kérdés, hogy maszkolható, és átírható), a hálózaton a node-ok a MAC címmel azonosítják magukat. Ugyanakkor a nagy hálón TC/IP protokollal (nyelven) kommunikálnak, ami esetén az egyedi azonosító az IP cím. Az hogy ez miért van így, hát mert csak így lehet rugalmasan alakítani a hálózatot. Egyfelől így könnyebb hálózati struktúrát kiépíteni, másfelől így egy csomó egyéb trükköt is be lehet vetni, mint pl. tunneling (a VPN alapja), Proxy, NAT, stb... Namármost, az, hogy feldugom a gépet a hálóra, és elérem az Internetet, összeállítok egy hálózatot, és a routerek, switcek működnek, átmegyek a géppel máshova, (telefonnal rácsatlakozok másik WiFi-re) és ott is működik, megkapom a nekem szóló üzeneteket, a címzettek megkapják az üzeneteimet, ez csak úgy működhet, hogy ha mindig tudja a hálózat, hogy melyik MAC címhez éppen melyik IP cím tartozik. Ez csak úgy lehetséges, ha a node-ok folyamatosan kommunikálják ezt, és ez így is van. Folyamatosan megy az ARP, a WO HAS (IP cím) üzengetések, routerek továbbítják, kérdezik, tárolják, frissítik, válaszolnak a gépnek. Ezeket az üzeneteket folyamatosan látni a Wireshark felületén. Az IP cím fontos. Ez alapján azonosítják egymást a node-ok, így találnak egymásra. Amikor egy víruskereső azzal riogat, hogy bárki láthatja az IP címed, (bameg, nem ez a lényege a kommunikációnak?), akkor tkp. lehet, hogy jófejnek tűnik, hogy lám, ezt is észrevette, erre is gondol, de jobbára, többnyire csak el akarja adni a VPN szolgáltatását.

Az IP technikának a rugalmassága csomó jó dologra ad lehetőséget, de, ahogy az lenni szokott, a rugalmasság miatt lehet használni csúnya dolgokra is. Mindenféle értelemben. Van, amit ebből csak marketingnek neveznek.

Mutatok pár képernyőképet Windows és Linux felületről. (A Windowsos képek régebben készültek, azóta lehet újabb verzió van)

Windowsos indító felület:

Indító felület-Win

Linuxos indítófelület. A linuxos változat az USB portok forgalmát is tudja figyelni!

Indító felület - Linux

Mindkét indító felületen kis élő diagramok mutatják, hogy mely hálózatokon folyik éppen forgalom.

Forgalom figyelő felület (Win):

Figyelő

Jobb egérgomb műveletek Win, linux:

W-Jobb egérgomb

L-Jobb egérgomb

Szűrés portra/IP címre (Win):

W-Szűrés portra

Szűrés adatfolyamra (Linux):

L-Szűrés adatfolyamra

Lehet szűrni, kizárni, megjelölni, összefűzni, „felvenni” a forgalmat, menteni / exportálni fájlba további elemzés végett

Adatcsomag összefűzve (Frissítéskezelő vs tároló):

Összefűzött adatcsomag

Még egyszer írom, a hálózatok működése témakör igen hatalmas, de érdemes tanulni, megismerni, a mai világban főleg. A nem tudás sokba kerül. Hogyan? Miért? Mert vannak csúnya dolgok a hálón, tény. Vannak akik ebből pénzt akarnak csinálni. Azok is, akik a csúnya dolgokat művelik, és azok is, akik a csúnya dolgok ellen megoldást kínálnak. Megy a riogatás, (reklámnak is hívják), okoskodás, példálózás, miközben azt sem tudják sokan, hogy miről beszélnek. Fontos megismerni a hálózat működését, megismerni a technikákat, hogy el tudjam dönteni, mi mit jelent, milyen természetű a veszély, mit tehetek ellene, stb. Mindenki persze nem lehet hálózati guru, de az jó, ha minél többen vannak. (Talán egyszer sikerül egy Wireshark riporttal, képernyőképpel bemutatni, hogy nicsak, ki kémkedik, a nagy huhogások között)

Hozzászólások