Wireshark是分析网络流量的事实标准。不幸的是,随着数据包捕获的增长,它确实变得越来越滞后。Brim很好地解决了这个问题,它将改变Wireshark的工作流程。
Wireshark是一个很棒的开源软件。它被世界各地的业余爱好者和专业人士用来调查网络问题。它捕获数据包,这些数据包沿着电线或通过网络的以太传输。一旦你捕获了你的流量,Wireshark允许你过滤和搜索数据,跟踪网络设备之间的对话,等等。
尽管Wireshark很伟大,但它确实有一个问题。网络数据捕获文件(称为网络跟踪或数据包捕获)可以非常大,非常快。如果您试图调查的问题是复杂的或零星的,或者网络又大又忙,这一点尤其正确。
数据包捕获(或PCAP)越大,Wireshark就越滞后。仅仅打开并加载一个非常大的(任何超过1GB的)跟踪就可能需要很长时间,你可能会认为Wireshark已经放弃了这个幽灵。
处理这么大的文件真的很痛苦。每次执行搜索或更改筛选器时,都必须等待效果应用于数据并在屏幕上更新。每一次延迟都会扰乱你的注意力,这会阻碍你的进步。
边缘是这些不幸的补救办法。它充当Wireshark的交互式预处理器和前端。当你想看到Wireshark能够提供的粒度级别时,Brim会立即为你打开那些包。
如果你做了大量的网络捕获和数据包分析,Brim将彻底改变你的工作流程。
相关:如何在Linux上使用Wireshark过滤器
Brim非常新,所以它还没有进入Linux发行版的软件库。不过,在Brim下载页面上,您会找到DEB和RPM包文件,因此在Ubuntu或Fedora上安装它就足够简单了。
如果您使用另一个发行版,您可以从GitHub下载源代码并自己构建应用程序。
Brim使用zq,一个用于Zeek日志的命令行工具,因此您还需要下载一个包含zq二进制文件的ZIP文件。
如果您使用的是Ubuntu,则需要下载DEB包文件和zqlinux ZIP文件。双击下载的DEB包文件,Ubuntu软件应用程序就会打开。Brim许可证被错误地列为“专有”许可证—它使用BSD 3条款许可证。
单击“安装”
安装完成后,双击zq ZIP文件以启动Archive Manager应用程序。ZIP文件将包含一个目录;将其从“归档管理器”拖放到计算机上的某个位置,如“下载”目录。
我们键入以下内容来创建zq二进制文件的位置:
sudo mkdir /opt/zeek我们需要将二进制文件从提取的目录复制到刚刚创建的位置。在以下命令中替换计算机上提取目录的路径和名称:
sudo cp Downloads/zq-v0.20.0.linux-amd64/* /opt/Zeek我们需要将该位置添加到路径中,以便编辑BASHRC文件:
sudo gedit .bashrcgedit编辑器将打开。滚动到文件底部,然后键入此行:
export PATH=$PATH:/opt/zeek保存更改并关闭编辑器。
要在Fedora上安装Brim,请下载RPM包文件(而不是DEB),然后按照上面为Ubuntu安装介绍的步骤进行操作。
有趣的是,当RPM文件在Fedora中打开时,它被正确地标识为具有开源许可证,而不是专有许可证。
单击dock中的“Show Applicati***”(显示应用程序)或按Super+A。在搜索框中键入“brim”,然后在出现时单击“brim”(边缘)。
Brim启动并显示其主窗口。您可以单击“选择文件”打开文件浏览器,或在红色矩形包围的区域中拖放PCAP文件。
Brim使用选项卡式显示,您可以同时打开多个选项卡。要打开新选项卡,请单击顶部的加号(+),然后选择另一个PCAP。
Brim加载并索引所选文件。指数是Brim如此之快的原因之一。主窗口包含一个随时间变化的数据包量直方图和一个网络“流”列表
PCAP文件为大量网络连接保存一个按时间顺序排列的网络数据包流。各种连接的数据包混合在一起,因为其中一些数据包将被同时打开。每个网络“会话”的数据包与其他会话的数据包**在一起。
Wireshark逐包显示网络流,而Brim使用一个称为“流”的概念。流是两个设备之间的完整网络交换(或对话)。每个流类型都按流类型进行分类、颜色编码和标记。您将看到标记为“dns”、“ssh”、“https”、“ssl”等的流。
如果向左或向右滚动流摘要显示,将显示更多的列。您还可以调整时间段以显示要查看的信息子集。以下是查看数据的几种方法:
rim可以显示两个侧窗格:一个在左侧,一个在右侧。这些可以隐藏或保持可见。左边的窗格显示了一个搜索历史和打开的pcap列表,称为空间。按Ctrl+[打开或关闭左窗格。
右侧的窗格包含有关高亮显示的流的详细信息。按Ctrl+]打开或关闭右窗格。
单击“UID Correlation”列表中的“Conn”,打开高亮显示流的连接图。
在主窗口中,还可以高亮显示流,然后单击Wireshark图标。这将启动Wireshark,并显示高亮显示流的数据包。
Wireshark打开,显示感兴趣的数据包。
Brim中的搜索和过滤是灵活和全面的,但是如果你不想,你不必学习新的过滤语言。通过单击摘要窗口中的字段,然后从菜单中选择选项,可以在Brim中构建语**确的过滤器。
例如,在下图中,我们右键单击了一个“dns”字段。然后我们将从上下文菜单中选择“Filter=Value”。
然后会发生以下情况:
我们可以使用相同的技术向搜索词中添加更多的子句。我们将右键单击“IP地址”字段(包含“192.168.1.26”)原始Id列,然后从上下文菜单中选择“Filter=Value”。
这会将附加子句添加为AND子句。现在过滤显示以显示源自该IP地址的DNS流(192.168.1.26)。
新的筛选条件将添加到左窗格中的搜索历史记录中。通过单击“搜索历史记录”列表中的项目,可以在搜索之间切换。
大多数过滤数据的目标IP地址是81.139.56.100。要查看哪些DNS流被发送到不同的IP地址,我们右键单击“Id\u resp\u h”列中的“81.139.56.100”,然后选择“Filter!=上下文菜单中的“值”。
只有一个来自192.168.1.26的DNS流没有发送到81.139.56.100,我们已经找到了它,而不必键入任何内容来创建我们的过滤器。
当我们右键单击“HTTP”流并从上下文菜单中选择“Filter=Value”时,摘要窗格将只显示HTTP流。然后我们可以单击HTTP filter子句旁边的Pin图标。
HTTP子句现在固定到位,我们使用的任何其他过滤器或搜索术语都将在HTTP子句的前面执行。
如果我们在搜索栏中键入“GET”,搜索将被限制为已经被pinned子句过滤的流。您可以根据需要固定尽可能多的筛选子句。
要在HTTP流中搜索POST数据包,只需清除搜索栏,键入“POST”,然后按Enter键。
横向滚动显示远程主机的ID。
所有搜索和筛选条件都会添加到“历史记录”列表中。要重新应用任何筛选器,只需单击它。
您还可以按名称搜索远程主机。
如果您想搜索某个内容,但没有看到该类型的流,可以单击任意流并编辑搜索栏中的条目。
例如,我们知道PCAP文件中必须至少有一个SSH流,因为我们使用rsync将一些文件发送到另一台计算机,但是我们看不到它。
因此,我们将右键单击另一个流,从上下文菜单中选择“Filter=Value”,然后编辑搜索栏,使其显示“ssh”而不是“dns”
我们按回车键搜索SSH流,发现只有一个。
按Ctrl+]将打开右侧窗格,其中显示此流的详细信息。如果在流期间传输了文件,则会显示MD5、SHA1和SHA256散列。
右键单击其中任何一个,然后从上下文菜单中选择“VirusTotal Lookup”以在VirusTotal网站上打开浏览器,并传入哈希以进行检查。
VirusTotal存储已知恶意软件和其他恶意文件的哈希值。如果您不确定某个文件是否安全,这是一种简单的检查方法,即使您不再有权访问该文件。
如果文件是良性的,您将看到下图所示的屏幕。
Brim允许您处理非常大的数据包捕获文件,从而使使用Wireshark变得更快、更容易。今天试运行一下!
... Wireshark是最常用的网络分析工具之一。它的力量来自于向你展示你网络上的每一点流量——如果你不把它过滤下来只看到你需要的东西,它会让你不知所措。 ...
...包括300多个渗透测试程序。从约翰开膛手(密码破解)到Wireshark(数据包分析器)。它在这个系列中出现过无数次,包括第一季第五集,尤其是第二季第十集,当艾略特真的下载并安装到他的机器上时。 ...
... 某些设置允许您指定音频文件比特率、是否使用lame或FFmpeg插件以及输出目录。在输出类型之间切换还允许您指定特定于文件的选项,如FLAC文件的压缩率和Ogg Vorbis格式的输出质量。 ...
Wireshark是在Linux、Windows和macOS上提供的世界级数据包分析器。它的过滤器是灵活和复杂的,但有时,违反直觉。我们会解释你需要注意的“问题”。 实比特数据包分析 Wireshark是开源世界的瑰宝之一。它是一个世界级的软件工具...
...把矛头指向了我的googlehome迷你智能扬声器。 您可以使用Wireshark**商查找页面在线执行相同类型的OUI查找。 令人鼓舞的是,这符合我的结果。 确定设备id的一种方法是执行扫描,关闭设备,然后再次扫描。第二组结果中现在丢失...
Wireshark是一种以前称为Ethereal的网络分析工具,它实时捕获数据包并以人类可读的格式显示它们。Wireshark包含过滤器、颜色编码和其他功能,可以让您深入挖掘网络流量并检查单个数据包。 本教程将帮助您快速掌握捕获数据包...
... 对于vmware—windows或linux 相关:初学者极客:如何创建和使用虚拟机 VMware提供了一个称为VMware vCenter Converter的免费工具。它可以将Windows和Linux物理机转换为VMware虚拟机。然后可以在VMware的免费VMware Player应用程序中引导这些虚拟...
Wireshark是瑞士**式的网络分析工具。无论您是在网络上寻找点对点流量,还是只想查看特定IP地址正在访问哪些网站,Wireshark都可以为您服务。 我们之前介绍过Wireshark。这篇文章建立在我们之前的文章之上。请记住,您必须在网...
Wireshark有很多技巧,从捕获远程流量到基于捕获的数据包创建防火墙规则。如果您想像专业人士一样使用Wireshark,请继续阅读一些更高级的提示。 我们已经介绍了Wireshark的基本用法,所以请务必阅读我们的原始文章,了解这个...