Hackware.ru

Инструкция по использованию mitmAP

Скачайте скрипт:

git clone https://github.com/xdavidhu/mitmAP.git
cd mitmAP/

Запустите его:

sudo python3 mitmAP.py

Скрипт начнёт с вопроса:

 Install/Update dependencies? Y/n:

Перевод: установить / обновить зависимости?

Если запускаете первый раз, то согласитесь, т.е. нажмите Enter. В дальнейшем можно выбирать n (нет).

Следующий вопрос:

 Please enter the name of your wireless interface (for the AP):

Перевод: введите имя вашего беспроводного интерфейса (для ТД). Если вы не знаете имя ваших интерфейсов, то в другом окне выполните команду:

ip a

Она покажет все сетевые интерфейсы вашей системы. А команда

sudo iw dev

покажет только беспроводные сетевые интерфейсы.

В Kali Linux беспроводной интерфейс обычно называется wlan0 (а если их два, то второй имеет имя wlan1).

Далее

 Please enter the name of your internet connected interface:

Перевод: пожалуйста, введите имя интерфейса, подключённого к Интернету.

В Kali Linux проводной интерфейс обычно называется eth0. Также для подключения к Интернету можно использовать вторую Wi-Fi карту.

 Use SSLSTRIP 2.0? Y/n:

Перевод: скрипт спрашивает, использовать ли SSLStrip+. В настоящее время, когда значительная, если уже не большая, часть трафика передаётся через HTTPS (в зашифрованном виде), эта опция крайне рекомендуется.

Теперь

 Create new HOSTAPD config file at '/etc/hostapd/hostapd.conf' Y/n:

Перевод: Создать ли новый конфигурационный файл hostapd.

Если запускаете первый раз, то это нужно сделать обязательно. При последующих запусках, если вы не собираетесь менять настройки ТД, то можно выбрать n (т.е. «нет»).

Настройка ТД:

 Please enter the SSID for the AP:

Перевод: введите имя для ТД.

Далее:

 Please enter the channel for the AP:

Перевод: введите номер канала ТД.

Затем:

 Enable WPA2 encryption? y/N:

Перевод: включить ли WPA2 шифрование?

Если вы включите шифрование, то для подключения к вашей ТД нужно будет вводить пароль. Для наших целей выбираем «нет».

Последняя настройка ТД:

 Set speed limit for the clients? Y/n:

Перевод: установить ли ограничение по скорости для клиентов?

Я выбираю «нет»,

Теперь:

 Start WIRESHARK on wlan0? Y/n:

Перевод: запустить ли Wireshark на интерфейсе wlan0?

И ещё один вопрос:

 Spoof DNS manually? y/N:

Перевод: Осуществлять ли ручной DNS спуфинг.

Если вы выберите «да», то вам нужно будет ввести количество сайтов, для которых вы будете подменять DNS ответы, а затем ввести домен каждого сайта и IP, на которой должны указывать DNS ответы. Кроме этого, вам нужно подготовить виртуальные хосты с фишинговыми страницами на серверах, куда будут перенаправлены пользователи. Можно обойтись без этого. Но если пользователь не будет авторизовываться на сайтах, то мы не узнаем его пароль (только кукиз). Фишинговые страницы подведут пользователя к вводу данных. Более подробно об этой атаке вы сможете прочитать в «Инструкции по работе с DNSChef: анализ DNS запросов, фальсификация DNS ответов, перенаправление на фальшивые копии сайтов».

Анализ трафика

В большинстве случаев (почти всегда) анализ перехваченного трафика происходит в оффлайн-режиме т.е. ты сначала перехватываешь трафик, потом сохраняешь его в файл перехвата (File->Save), потом опять перехватываешь и опять сохраняешь, потом объединяешь все файлы перехвата в один (File->Merge) и только потом, в комфортных условиях, анализируешь весь трафик скопом. И, кстати, эти функции, с сохранением и объединением, ты будешь использовать гораздо чаще чем ты думаешь. С сохранением, потому что получить с первого раза сведения которые тебе нужны удаётся далеко не всегда, да и если анализировать трафик в онлайне – по любому что-нибудь пропустишь, а с объединением потому, что когда у тебя есть несколько файлов перехвата – разбирать их по отдельности – очень глупая и трудоёмкая идея.

Как ты наверняка заметил файлы перехвата содержат огромное количество строк, и что бы быстро в них ориентироваться нужно научится делать несколько вещей:

  1. Поиск по пакетам. При нажатии комбинации клавиш Ctrl+F открывается панель поиска. Там есть несколько вариантов поиска, но на данном этапе тебе достаточно будет использовать Display filter который позволяет создать фильтр, чтобы найти только те пакеты, которые отвечают заданному в нем выражению и String – осуществляет поиск в строках по указанным символам (поиск вперед Ctrl+N, поиск назад Ctrl+B;
  2. Отметка пакетов. Очень часто бывает что ты нашел нужный пакет, но есть необходимость вернуться к нему позже, для этого этот пакет можно отметить, нажми правой кнопкой на нужный пакет в Packet List и выбери Mark Packet или нажми Ctrl+M, отмечать можно любое количество пактов, а чтобы перемещаться между отмеченными пакетами используются комбинации клавиш Shift+Ctrl+N – следующий и Shift+Ctrl+B – предыдущий.
  3. Фильтры. Фильтр – это выражение, в котором задаются критерии для включения или исключения пакетов из анализа. В Wireshark выделяют два вида фильтров: фильтры перехвата и фильтры отображения. Мы рассмотрим некоторые примеры применения фильтров, но про сами фильтры я сделаю отдельную статью потому, что там надо будет изучить довольно большой объём информации: логику применения, синтаксис, операторы. Короче это отдельная большая тема.

Wireshark Review

Features

Wireshark’s information logs will highlight behavioral aberrations on networks of all sizes. This data can be viewed in real-time or through stored files. Live data can even be collected from several different network interfaces at the same time. Viewable data includes a myriad of statistics, protocol hierarchy, end point and conversion. Wireshark can even perform VoIP analysis. The program’s reports can be exported to PostScript, CSV, and XML. Its filtering system is robust. Support is available for decryption as well as coloring rules.

File Formats

Wireshark allows for the reading/writing of numerous file formats: Catapult DCT2000, Tcpdump, NAI Sniffer, Sniffer Pro, Novell LANalyzer, NetXray, Shomiti, AiroPeek, Cisco Secure IDS iplog, Microsoft Network Monitor, Network Instruments Observer, RADCOM WAN, Finisar Surveyor and a handful of others.

Supported Operating Systems

Wireshark functions on the following operating systems: Solaris, UNIX, Linux, HP-UX, OS X, Windows, FreeBSD, OpenBSD, and NetBSD.

Why is Worth a Download

The latest version of Wireshark has none of the bugs that afflicted previous versions. It is loaded with useful tools that help with network traffic monitoring. This highly sophisticated software also provides extensive filter options. Some even use Wireshark for educational purposes as it allows users to see what the different types of network traffic look like. Others use the software as they are suspicious that there is a trojan virus on their computer. Wireshark empowers them to view traffic oddities that might provide some insight into whether a backdoor Trojan has compromised the system’s integrity. The program can even capture data from applications. Perhaps the best aspect of this software is that it costs nothing. If you are willing to take the time to download it, you can use it without shelling out a single penny. The download and installation process is fast and easy. All in all, anyone who desires an accurate capture of data for analysis purposes will obtain some utility out of Wireshark.

How to Determine if this app is Ideal for You

Any person or organization in need of a network monitoring tool for security or performance purposes will find value in Wireshark meaning the software is ideal for anyone from solo home users to those on the enterprise level. The software’s ability to capture data from the applications listed above makes it that much more of a useful tool for an in-depth analysis of networks large and small.

Conclusion

Wireshark is programmed to study network traffic to a depth that is found in expensive tools. If you work in an IT department that needs a no-cost means of network analysis, this program will get the job done.

Захват PMKID в Airodump-ng

Теперь попробуем захватить PMKID с помощью Airodump-ng. Напомню, что PMKID содержится в первом сообщении рукопожатия, это сообщение Точка Доступа отправляет в ответ на ассоциацию с ней.

Нам нужно узнать, на каком канале работает целевая ТД, а также её BSSID (MAC-адрес). Для обзора эфира мы запускаем airodump-ng:

sudo airodump-ng wlp0s20f0u1

Меня интересует беспроводная сеть Paangoon_2G, она работает на канале 9 и её MAC-адрес 40:3D:EC:C2:72:B8.

Вновь запускаем airodump-ng, с опцией —channel указываем желаемый канал, а с опцией -w указываем файл для записи захваченных радио фреймов:

sudo airodump-ng wlp0s20f0u1 --channel 9 -w cap2

Теперь нужно ассоциироваться с точкой доступа. Для этого я пробовал использовать aireplay-ng, но эта программа поддерживает ассоциацию только для WEP и не работает с WPA (ошибка Denied (code 12), wrong ESSID or WPA).

Ассоциация происходит естественным образом при попытке подключиться к этой точки доступа, то есть с другой беспроводной карты можно начать подключение к точке доступа и в этом случае действительно удаётся захватить PMKID, правда вместе с рукопожатием. Об этом говорит строка «WPA (1 handshake, with PMKID)».

Можно подключиться, например, через Network Manager или с помощью другого компьютера или телефона, пароль можно указать любой. Для подключения из командной строки, создайте конфигурационный файл (замените данные на свои):

wpa_passphrase "Paangoon_2G" 22222222 > Paangoon_2G.conf

Здесь:

  • «Paangoon_2G» — имя интересующей меня сети
  • 22222222 — произвольный пароль (не менее 8 символов)
  • Paangoon_2G.conf — имя конфигурационного файла.

Для подключения выполните:

sudo wpa_supplicant -i wlo1 -c Paangoon_2G.conf -d

Здесь:

  • -i wlo1 — имя беспроводного интерфейса, используемого для подключения
  • -c Paangoon_2G.conf — используемый для подключения конфигурационный файл
  • -d — опция, включающая показ сообщений отладки

Анализ полученного файла:

aircrack-ng cap2-01.cap

Для извлечения PMKID (чтобы для брутфорса не использовался хендшейк с заведомо неверным паролем), откроем этот файл в Wireshark:

wireshark-gtk cap2-01.cap

Для отделения только нужных данных, используем следующий фильтр (замените 40:3D:EC:C2:72:B8 на интересующую вас точку доступа):

(wlan.fc.type_subtype == 0x08 || wlan.fc.type_subtype == 0x05 || (eapol && wlan.rsn.ie.pmkid)) && wlan.addr==40:3D:EC:C2:72:B8

Загляните в первое сообщение рукопожатия и убедитесь, что там действительно присутствует PMKID:

Теперь с помощью CTRL+m выделите нужные пакеты (Beacon и Message 1):

И в меню File выберите Export Specified Packets. Введите имя файла и поставьте переключатель на Marked packets only. Если вам непонятно, как сохранять отдельные фреймы, то смотрите статью «Как извлечь рукопожатия из файла захвата с несколькими рукопожатиями», там имеются дополнительные скриншоты.

Я сохранил эти два фрейма в файл extracted.pcap, проверяю файл:

aircrack-ng extracted.pcap

Отлично: хендшейков — 0, зато есть PMKID, об этом говорит уже знакомая нам строка «WPA (0 handshake, with PMKID)».

Можно вновь запустить тестовый взлом:

aircrack-ng -w test.dic extracted.pcap

Вновь пароль успешно взломан:

Как захватить пакеты данных

Когда вы впервые запускаете Wireshark, появляется экран приветствия, содержащий список доступных сетевых подключений на вашем текущем устройстве. В этом примере вы заметите, что отображаются следующие типы соединений: Bluetooth Network Connection, Ethernet, VirtualBox Host-Only Network и Wi-Fi. Справа от каждого отображается линейный граф в стиле EKG, который представляет прямой трафик в соответствующей сети.

Чтобы начать сбор пакетов, выберите одну или несколько сетей, нажав на свой выбор и используя сдвиг или же Ctrl если вы хотите записывать данные из нескольких сетей одновременно. После того, как тип соединения выбран для целей захвата, его фон затенен либо синим, либо серым. Нажмите на Захватить в главном меню, расположенном в верхней части интерфейса Wireshark. Когда появится раскрывающееся меню, выберите Начните вариант.

Вы также можете инициировать захват пакетов с помощью одной из следующих ярлыков.

  • Клавиатура: ПрессаCtrl + E.
  • Мышь: Чтобы начать захват пакетов из одной конкретной сети, дважды щелкните его имя.
  • Панель инструментов: Нажмите на синюю кнопку плавника акулы, расположенную на левой стороне панели инструментов Wireshark.

Процесс записи в реальном времени начинается, и Wireshark отображает данные пакета по мере их записи. Остановить захват:

  • Клавиатура: Нажмите Ctrl + Е
  • Панель инструментов: Нажмите на красный Стоп расположенной рядом с плавником акулы на панели инструментов Wireshark.

Использование фильтров Wireshark

Одним из наиболее важных наборов функций в Wireshark является возможность фильтрации, особенно когда вы имеете дело с файлами, имеющими значительный размер. Фильтры захвата можно установить перед фактом, указав Wireshark только запись тех пакетов, которые соответствуют вашим указанным критериям.

Фильтры также могут быть применены к уже созданному файлу захвата, чтобы были показаны только определенные пакеты. Они называются фильтрами отображения.

По умолчанию Wireshark предоставляет большое количество предопределенных фильтров, позволяя сузить количество видимых пакетов всего несколькими нажатиями клавиш или щелчками мыши. Чтобы использовать один из этих существующих фильтров, поместите свое имя в Применить фильтр отображения поле ввода, расположенное непосредственно под панелью инструментов Wireshark или в Введите фильтр захвата поле ввода, расположенное в центре экрана приветствия.

Существует несколько способов достижения этого. Если вы уже знаете имя своего фильтра, введите его в соответствующее поле. Например, если вы хотите отображать только TCP-пакеты, вы вводите ТСР, Функция автозаполнения Wireshark показывает предлагаемые имена при вводе текста, что упрощает поиск правильного прозвища для фильтра, который вы ищете.

Другой способ выбрать фильтр — щелкнуть значок закладки, расположенный в левой части поля ввода. Это представляет собой меню, содержащее некоторые из наиболее часто используемых фильтров, а также возможность Управление фильтрами захвата или же Управление отображаемыми фильтрами, Если вы решите управлять любым типом, появится интерфейс, позволяющий добавлять, удалять или редактировать фильтры.

Вы также можете получить доступ к ранее использованным фильтрам, выбрав стрелку вниз в правой части поля ввода, чтобы отобразить раскрывающийся список истории.

После установки фильтры захвата применяются, как только вы начинаете запись сетевого трафика. Чтобы применить фильтр отображения, нажмите кнопку со стрелкой в ​​правой части поля ввода.

Usage

In order to capture packets from the network, you need to make the
dumpcap program set-UID to root or you need to have access to the
appropriate entry under if your system is so inclined (BSD-derived
systems, and systems such as Solaris and HP-UX that support DLPI,
typically fall into this category). Although it might be tempting to
make the Wireshark and TShark executables setuid root, or to run them as
root please don’t. The capture process has been isolated in dumpcap;
this simple program is less likely to contain security holes and is thus
safer to run as root.

Please consult the man page for a description of each command-line
option and interface feature.

Атака на Wi-Fi из bettercap

Программа bettercap умеет переводить беспроводной интерфейс в режим монитора и умеет переводить его из состояния down в состояние up, но мне НЕ нравится как она это делает )))) Поэтому я буду делать это вручную.

Это необязательно, но я предпочитаю останавливать службу NetworkManager:

sudo systemctl stop NetworkManager

Смотрим имя беспроводного интерфейса:

iw dev

У меня интерфейс называется wlp0s20f0u2, поэтому я перевожу его в режим монитора командами (замените в них wlp0s20f0u2 на имя вашего интерфейса):

sudo ip link set wlp0s20f0u2 down
sudo iw wlp0s20f0u2 set monitor control
sudo ip link set wlp0s20f0u2 up

Запускаю bettercap, указав имя своего Wi-Fi интерфейса:

sudo bettercap -iface wlp0s20f0u2

Запускаю сбор данных о Wi-Fi в округе:

wifi.recon on

Данные выводятся в виде списка по мере обнаружения новых устройств:

Для вывода таблицы выполните команду:

wifi.show

Чтобы анализировать только определённые каналы, можно установить значение переменной wifi.recon.channel следующим образом:

set wifi.recon.channel 1,2,3,4,5,6,7,8,9,11,12

Но изменения не вступят в силу сразу — нужно было их устанавливать или до запуска Wi-Fi разведки, или перезапустить модуль сбора информации:

wifi.recon off
wifi.recon on

Хотя лично у меня, установка wifi.recon.channel ни на что не влияет — карта продолжает сканировать все частоты, которые поддерживает.

Как происходил захват рукопожатий раньше? Нужно было настроить и запустить модуль сниффинга следующим образом:

set net.sniff.verbose true
set net.sniff.filter ether proto 0x888e
set net.sniff.output wpa.pcap
net.sniff on

Теперь этого делать НЕ нужно!

Модуль wifi сам умеет сохранять рукопожатия. По умолчанию они записываются в файл ~/bettercap-wifi-handshakes.pcap. Это значение можно поменять, установив переменную wifi.handshakes.file:

set wifi.handshakes.file ~/hs-test.pcap

Обратите внимание, что ~ указывает не на домашний каталог текущего пользователя, а на каталог рута, поскольку программа запускается с sudo.

Для захвата PMKID какой-то определённой точки доступа, выполните команду

wifi.assoc BSSID

где вместо BSSID укажите MAC-адрес целевой ТД.

Если нужно попытаться захватить PMKID всех ТД в пределах досягаемости, то выполните:

wifi.assoc all

Аналогично с захватам полноценного четырёхэтапного рукопожатия — для атаки на целевую ТД:

wifi.deauth BSSID

Для атаки на все ТД:

wifi.deauth all

Общее количество захваченных рукопожатий покажет команда:

wifi.show

Для более тщательного анализа рекомендуется использовать aircrack-ng:

sudo aircrack-ng /root/bettercap-wifi-handshakes.pcap

Multiple File Types

Wireshark can read packets from a number of different file types. See
the Wireshark man page or the Wireshark User’s Guide for a list of
supported file formats.

Wireshark can transparently read gzipped versions of any of those files if
zlib was available when Wireshark was compiled. CMake will automatically
use zlib if it is found on your system. You can disable zlib support by
running .

Although Wireshark can read AIX iptrace files, the documentation on
AIX’s iptrace packet-trace command is sparse. The command
starts a daemon which you must kill in order to stop the trace. Through
experimentation it appears that sending a HUP signal to that iptrace
daemon causes a graceful shutdown and a complete packet is written
to the trace file. If a partial packet is saved at the end, Wireshark
will complain when reading that file, but you will be able to read all
other packets. If this occurs, please let the Wireshark developers know
at wireshark-dev@wireshark.org; be sure to send us a copy of that trace
file if it’s small and contains non-sensitive data.

Support for Lucent/Ascend products is limited to the debug trace output
generated by the MAX and Pipline series of products. Wireshark can read
the output of the , , , and
commands.

Wireshark can also read dump trace output from the Toshiba «Compact Router»
line of ISDN routers (TR-600 and TR-650). You can telnet to the router
and start a dump session with .

CoSine L2 debug output can also be read by Wireshark. To get the L2
debug output first enter the diags mode and then use
and commands under
layer-2 category. For more detail how to use these commands, you
should examine the help command by or .

To use the Lucent/Ascend, Toshiba and CoSine traces with Wireshark, you must
capture the trace output to a file on disk. The trace is happening inside
the router and the router has no way of saving the trace to a file for you.
An easy way of doing this under Unix is to run .
Or, if your system has the «script» command installed, you can save
a shell session, including telnet, to a file. For example to log to a file
named tracefile.out:

Правила цвета

В то время как фильтры захвата и отображения Wireshark позволяют вам ограничить, какие пакеты записаны или отображены на экране, его функциональность раскраски делает шаг вперед, позволяя легко различать разные типы пакетов на основе их индивидуального оттенка. Эта удобная функция позволяет быстро находить определенные пакеты в сохраненном наборе по их цвету строк в панели списка пакетов.

Wireshark поставляется с 20 встроенными правилами раскраски по умолчанию, каждый из которых можно редактировать, отключать или удалять, если хотите. Вы также можете добавлять новые фильтры на основе оттенков через интерфейс правил раскраски, доступный из Посмотреть меню. Помимо определения имени и критериев фильтрации для каждого правила, вам также предлагается связать как цвет фона, так и цвет текста.

Пакетная раскраска может быть отключена и включена через Распаковать список пакетов вариант, также найденный в Посмотреть меню.

Installation

The Wireshark project builds and tests regularly on the following platforms:

  • Linux (Ubuntu)
  • Microsoft Windows
  • macOS / {Mac} OS X

Official installation packages are available for Microsoft Windows and
macOS.

It is available as either a standard or add-on package for many popular
operating systems and Linux distributions including Debian, Ubuntu, Fedora,
CentOS, RHEL, Arch, Gentoo, openSUSE, FreeBSD, DragonFly BSD, NetBSD, and
OpenBSD.

Additionally it is available through many third-party packaging systems
such as pkgsrc, OpenCSW, Homebrew, and MacPorts.

It should run on other Unix-ish systems without too much trouble.

In some cases the current version of Wireshark might not support your
operating system. This is the case for Windows XP, which is supported by
Wireshark 1.10 and earlier. In other cases the standard package for
Wireshark might simply be old. This is the case for Solaris and HP-UX.

NOTE: The Makefile depends on GNU «make»; it doesn’t appear to
work with the «make» that comes with Solaris 7 nor the BSD «make».

Both Perl and Python are needed, the former for building the man pages.

If you decide to modify the yacc grammar or lex scanner, then
you need «flex» — it cannot be built with vanilla «lex» —
and either «bison» or the Berkeley «yacc». Your flex
version must be 2.5.1 or greater. Check this with .

You must therefore install Perl, Python, GNU «make», «flex», and either «bison»
or Berkeley «yacc» on systems that lack them.

See also the appropriate README.OS files for OS-specific installation
instructions.

Wireshark 3

Кстати, Development Release 2.9.0 — это не что иное, как подготовка в выходу Wireshark 3. Фактически, эту версию можно считать ранней бетой Wireshark 3.

Добавление русского языка является не самым главным нововведением (хотя это единственный новый язык в этом выпуске) — там есть и более значительные изменения.

Что будет нового в Wireshark 3:

  • Теперь вместо WinPcap, который поставляется с установщиком Wireshark, там будет Npcap — это вполне логично, у WinPcap есть ряд проблем с Windows 10, а Npcap является фактически является актуальной версией WinPcap с новыми возможностями.
  • Теперь для протоколов UDP/UDP-Lite поддерживаются метки времени разговоров.
  • BOOTP диссектор был переименован в DHCP. За исключением “bootp.dhcp”, поля старого фильтра отображения “bootp.*” всё ещё поддерживаются, но могут быть удалены в будущих версиях.
  • SSL диссектор был переименован в TLS. Как и с BOOTP поля старых фильтров отображения “ssl.*” поддерживаются, но могут быть удалены в будущих выпусках.
  • Интерфейсы sshdump и ciscodump extcap теперь могут использовать прокси для SSH соединения.
  • Система сборки теперь поддерживает пакеты AppImage.
  • Установщики Windows теперь поставляются с Qt 5.12.0. Раньше они поставлялись с Qt 5.9.7.
  • Добавлено несколько новых опций и других возможностей. Полный список изменений переведён на русский и доступен в этом посте на Форуме:

Установка и настройка

Скачать Wireshark можно с официального сайта разработчика. Программа совершенно бесплатна

Стоит обратить внимание на то, что последняя версия (2.0.5) не работает с Wi-Fi адаптерами. Поэтому, если вам нужно анализировать трафик беспроводного соединения, следует скачать более старую версию

Установка утилиты стандартна и не вызовет никаких проблем даже у новичков. В инсталляторе все понятно, хоть он и на английском. Кстати, Wireshark на русском языке в природе не существует, поэтому для того, чтобы успешно справляться с этим софтом придется напрячь память и вспомнить английский. В принципе, для простого захвата и просмотра TCP пакетов ничего сверхъестественного не понадобится. Хватит и школьного уровня английского.

Итак, первое, что мы видим после запуска установленной программы – главное окно. Для неподготовленного пользователя оно может показаться непонятным и страшным.

Ничего страшного в нем нет. В этом вы сейчас убедитесь. Для начала работы нужно сначала выбрать источник, из которого будет производиться захват TCP пакетов. Перехват может осуществляться как с Ethernet подключения, так и с WLAN адаптера. В качестве примера рассмотрим вариант с WLAN. Для настройки нужно зайти в пункт «Capture», подпункт «Options». В открывшемся окне следует выбрать ваш беспроводной адаптер и отметить его галочкой. Для начала захвата трафика достаточно нажать кнопку «Start».

После нажатия «Start» начнется анализ и захват пакетов. В окне появится много непонятных букв и цифр. Некоторые из пакетов имеют собственную цветовую маркировку. Для того, чтобы хоть что-то понять, нужно определить какой цвет к чему относится. Зеленый – TCP трафик, темно-синий – DNS, светло-синий – UDP и черный – пакеты TCP с ошибками. Теперь разобраться в этой горе данных проще.

Для остановки процесса перехвата достаточно нажать кнопку «Stop», которая помечена красным прямоугольником. Теперь можно выбрать интересующий вас пакет и просмотреть его. Для этого нужно щелкнуть по пакету правой клавишей мыши и в появившемся меню выбрать пункт «Show packet in new window». Тут же появится куча непонятных букв и цифр.

Но при углубленном изучении представленной информации можно понять, откуда и куда шел пакет и из чего он состоял. Для того чтобы просмотреть данные о TCP пакетах позднее, нужно использовать функцию сохранения захваченной информации. Она находится в пункте меню «File», подпункт «Save as». Потом можно будет загрузить информацию из файла и спокойно просмотреть ее.

Оцените статью
Рейтинг автора
5
Материал подготовил
Андрей Измаилов
Наш эксперт
Написано статей
116
Добавить комментарий