Η παρακολούθηση της κυκλοφορίας του δικτύου είναι ένα από τα πιο σημαντικά βήματα στον κόσμο του ethical hacking, της κυβερνοασφάλειας αλλά και της διαχείρισης συστημάτων. Το Wireshark είναι το πιο διαδεδομένο εργαλείο για ανάλυση πακέτων (packet analysis) και χρησιμοποιείται τόσο από επαγγελματίες όσο και από αρχάριους.
Σε αυτόν τον οδηγό θα δούμε:
- Τι είναι το Wireshark
- Πώς να το εγκαταστήσεις
- Πώς να καταγράφεις την κίνηση στο δίκτυο
- Παραδείγματα για εντοπισμό προβλημάτων και ύποπτης δραστηριότητας
Τι είναι το Wireshark;
Το Wireshark είναι ένα packet sniffer και analyzer που σου επιτρέπει να καταγράφεις και να αναλύεις την κίνηση στο δίκτυο σε πραγματικό χρόνο.
Με το Wireshark μπορείς να:
- Δεις ποιες συσκευές επικοινωνούν στο δίκτυο
- Αναγνωρίσεις πρωτόκολλα (HTTP, DNS, TCP, UDP κ.λπ.)
- Αναλύσεις ύποπτη κίνηση ή επιθέσεις (π.χ. brute force login, scanning)
- Εντοπίσεις προβλήματα σε υπηρεσίες και latency
Πώς να εγκαταστήσεις το Wireshark
Η εγκατάσταση είναι απλή και εξαρτάται από το λειτουργικό σου:
- Windows / MacOS:
Κατεβάζεις το installer από την επίσημη σελίδα - Linux (Debian/Ubuntu):
sudo apt update
sudo apt install wireshark -y- Linux (Fedora/RedHat):
sudo dnf install wiresharkΚατά την εγκατάσταση, φροντίστε να δώσετε δικαιώματα στο χρήστη ώστε να μπορεί να καταγράφει πακέτα χωρίς να τρέχει root.
Πρώτα βήματα με το Wireshark
Άνοιξε το Wireshark
- Επίλεξε το network interface που θες να παρακολουθήσεις (π.χ.
eth0,wlan0) - Πάτα Start Capturing Packets
- Θα αρχίσεις να βλέπεις live πακέτα με πληροφορίες όπως Source IP, Destination IP, Protocol, Info
Παραδείγματα Ανάλυσης με Wireshark
1. Παρακολούθηση HTTP Κίνησης
Μπορείς να φιλτράρεις μόνο HTTP traffic πληκτρολογώντας:
httpΈτσι θα δεις όλα τα αιτήματα και τις απαντήσεις HTTP.
2. Ανάλυση DNS Αιτημάτων
Για να δεις όλα τα DNS queries:
dnsΑυτό είναι χρήσιμο για να εντοπίσεις πιθανό DNS tunneling ή κακόβουλα domains.
3. Εντοπισμός Port Scanning
Αν ένας εισβολέας κάνει port scanning (π.χ. με Nmap), θα δεις σειρά από TCP SYN πακέτα σε πολλές θύρες.
Φίλτρο:
tcp.flags.syn == 1 && tcp.flags.ack == 04. Ανάλυση HTTPS
Αν και το περιεχόμενο είναι κρυπτογραφημένο, μπορείς να δεις certificates, domains και handshakes.
Φίλτρο:
tlsΕπίλογος
Το Wireshark είναι απαραίτητο εργαλείο για κάθε επαγγελματία της κυβερνοασφάλειας. Με αυτό μπορείς να κατανοήσεις σε βάθος την κυκλοφορία του δικτύου, να εντοπίσεις επιθέσεις, αλλά και να βελτιώσεις την απόδοση.
Ξεκίνα με βασικά φίλτρα (HTTP, DNS, TCP) και σταδιακά προχώρησε σε πιο εξειδικευμένες αναλύσεις.