【資訊安全】Wireshark網路封包解析實務心得分享

by 管理者
Wireshark網路封包解析實務心得分享

Wireshark是目前全球最好的開源 (Open Source) 網路封包分析器之一,它能在多種平臺上(如Windows、Linux和Mac)擷取和分析網路封包,並且廣泛運用於在IT產業中。

上網搜尋最佳滲透測試服務工具中,Wireshark往往都可名列前五:

我自己是剛踏入資訊領域,正在使用Wireshark軟體的網路工程師,在掌握自家網路系統的了解也都還一知半解,更別提分析與操作設定的能力,會擔心自己還不夠專業,有很多疑難雜症是自己無法掌握的,例如:

(1) 如何在抓取網路封包後,可以讓WIRESHARK顯示網路卡號與自己喜歡的對應名稱,例如:hello kitty,這樣可以立刻辨識所要抓取的封包,可以加速分析過程。

(2) 除了利用Editcap分割成多個較小的檔之外,另一方法,當抓取封包屬超大量的流量或進行長時間的抓取時,就可以考慮使用File Set。但如何抓取ㄧ個File Set所形成的特定條件成為的多個檔案之群組?這便是業界跟學界的差異。

(3) 若側錄到一個檔案,包含有原始的圖片或文件或影像,例如想知道封包的原始圖片或動態影像是什麼樣子,那事先要注意的設定,有哪些該打勾呢?往往分析的過程一開始就不正確,得出的結果是錯誤的而自己卻渾然不知。

坊間自學的Wireshark基本上都是講解一般性的操作方法,學到的是基本且局部的,若要全面性的分析網路效能等,這樣知識基礎與行為能力是遠遠不及的!上完350老師的Wireshark網路封包解析實務課程,除了實際操作外,老師手把手帶著我們進行抓取封包前的設定,以及抓取封包後的設定概念,讓我在分析前即有精確的設定。課程中,老師也會不斷地引導與提問,再三地確認我們是否有真的學習來,以下分享我凌亂的筆記:

(1) 抓取一堆的封包後,如何設定?如何診斷時間延遲封包?

(2) 如何找出dns的時間延遲?注意dns的時間延遲並非dns request至dns response所花費的時間。

(3) !ip.addr==15.10.1.1還是ip.addr != 15.10.1.1; dns.flags.rcode !=0還是!dns.flags.rcode==0哪些式子是正確的?其中兩個敲入「Display filter」過濾項目表示式將出現黃色警告,有的仍屬正確的式子,有的代表又有邏輯的問題?

(4) 開啟某一抓取檔,檔中包含多個SSL(Secure Sockets Layer)封包,由於SSL使用於兩主機之間的安全加密通訊,在正常情況下,觀察SSL流量(有可能是非HTTPS,而是FTP使用連接埠的值為443),如何洞悉是FTP而非SSL流量?

(5) TCP 交握的RTT 與TCP delay如何計算,Wireshark事前的設定像Allow subdissector to reassemble TCP Stream與Calculate conversation timestamps如何設定?

其實老師的課程內容與實作Lab有放在課程介紹頁面上給大家下載,位置如下圖:

點開來發現老師真的超有料,而且非常仔細、範例超級無敵多,還有課後練習讓我們不只學,還可以真的做中學:

課程雖然只有兩天,但自己跟同學都收穫滿滿,大家也都真心給350老師很好的評價:

CP值很高,很值得推薦給網路工程師或想入門的新手來上的一門課程!

【真人直播】Wireshark網路封包解析實務

點我了解更多

分享這篇文章:
0 comment
2

您也許會喜歡

Leave a Comment

這個網站採用 Akismet 服務減少垃圾留言。進一步瞭解 Akismet 如何處理網站訪客的留言資料