Создание и применение правил цветовой маркировки в Wireshark

Введение

В этом практическом занятии (лабораторной работе) вы научитесь создавать и применять правила окрашивания в Wireshark, мощном анализаторе сетевых протоколов. Эти правила позволяют вам визуально различать различные типы сетевого трафика в соответствии с определенными критериями, облегчая идентификацию и анализ сетевых активностей, которые вас интересуют.

К концу этого практического занятия вы лучше поймете, как использовать функции окрашивания в Wireshark. Это повысит ваши навыки сетевого анализа и поможет вам в проведении исследований в области кибербезопасности.

Skills Graph

Исследование и экспорт правил окрашивания

На этом этапе мы начнем с исследования существующих правил окрашивания в Wireshark. Правила окрашивания в Wireshark используются для выделения различных типов сетевых пакетов на основе определенных критериев. Это помогает быстро идентифицировать и проанализировать важную информацию в захваченном сетевом трафике. Вы также узнаете, как просматривать эти правила и экспортировать их для дальнейшего использования.

1. Сначала вам нужно открыть Wireshark на вашем Linux-машине. Для этого откройте терминал и выполните следующую команду. Эта команда запустит приложение Wireshark, которое вы будете использовать для работы с правилами окрашивания.

   wireshark

2. После открытия Wireshark вам нужно получить доступ к правилам окрашивания. Перейдите в меню View в верхней части окна Wireshark, затем выберите Coloring Rules.... Это откроет диалоговое окно Wireshark Coloring Rules Default. В этом диалоговом окне вы можете управлять всеми правилами окрашивания в Wireshark.

   

3. В диалоговом окне Wireshark Coloring Rules Default вы увидите список существующих правил окрашивания. Каждое правило имеет определенное условие и соответствующий цвет. Эти правила применяются к захваченным пакетам в порядке их появления в списке. Отведите немного времени на просмотр правил и прочтение их описаний. Понимание этих правил даст вам представление о том, как Wireshark может помочь вам более эффективно анализировать сетевой трафик.

   

4. Возможно, вы захотите временно отключить или включить определенное правило без его удаления. Вы можете сделать это, выбрав правило в списке и нажав на флажок рядом с ним. Если флажок отмечен, правило включено; если он не отмечен, правило отключено. Это полезно, когда вы хотите проверить влияние определенного правила на окрашивание пакетов.

5. Теперь предположим, что вы хотите сохранить текущий набор правил окрашивания для дальнейшего использования или для обмена с другими. Чтобы экспортировать эти правила, нажмите кнопку Export... в диалоговом окне Wireshark Coloring Rules Default.

6. После нажатия кнопки Export... появится диалоговое окно выбора файла. Вам нужно выбрать место для сохранения файла с правилами окрашивания. Перейдите в каталог /home/labex/project. Хорошей практикой является давать файлу описательное имя, например colorizing_rules.txt, чтобы вы могли легко идентифицировать его позже.

   

   

7. После выбора места и именования файла нажмите OK для закрытия диалогового окна Wireshark Coloring Rules Default. Теперь вы успешно экспортировали правила окрашивания.

Создание нового правила окрашивания

На этом этапе мы научимся создавать новое правило окрашивания в Wireshark. Правила окрашивания - это мощная функция, которая позволяет выделять определенный сетевой трафик, упрощая обнаружение и анализ важных пакетов. Создав пользовательское правило, вы сможете быстро идентифицировать типы сетевого трафика, которые наиболее важны для вас.

1. Сначала откройте диалоговое окно Wireshark Coloring Rules Default. В Wireshark перейдите в View > Coloring Rules.... В этом диалоговом окне вы можете управлять всеми своими правилами окрашивания, включая создание, редактирование и удаление их.

2. Чтобы создать новое правило окрашивания, нажмите кнопку +. Это действие добавляет пустую запись правила в список существующих правил.

   

3. После добавления нового правила новая запись с именем New coloring rule появится в верхней части диалогового окна "Правила окрашивания". Дважды щелкните по этой записи, чтобы отредактировать имя правила. Например, если вы хотите выделить HTTP-трафик, вы можете назвать правило HTTP Traffic. В поле Filter вам нужно ввести выражение фильтра. Это выражение сообщает Wireshark, какие пакеты должны быть выделены этим правилом. Для HTTP-трафика вы должны ввести http.

   

4. Теперь поговорим о параметрах окрашивания. Здесь есть две важные кнопки: кнопки foreground и background.

   Кнопка foreground используется для выбора цвета, который будет использоваться для выделения текста пакетов, соответствующих правилу. Например, если вы хотите, чтобы текст HTTP-пакетов был красным, вы можете выбрать красный цвет с помощью этой кнопки.

   

   Кнопка background позволяет выбрать цвет фона для выделенных пакетов. Вы можете использовать это, чтобы сделать пакеты еще более заметными. Например, вы можете установить цвет фона в желтый.

   

5. По желанию вы можете настроить приоритет правила. Правила в Wireshark применяются в порядке их расположения в списке. Правила с более высоким приоритетом имеют преимущество перед правилами с более низким приоритетом. Чтобы изменить приоритет, просто перетащите правило вверх или вниз в списке.

6. После настройки правила вам нужно его включить. Нажмите флажок рядом с правилом, чтобы включить только что созданное правило окрашивания. Затем нажмите OK, чтобы сохранить новое правило окрашивания. Это применит правило к вашим захваченным пакетам.

   

7. Когда вы откроете файл с захваченными пакетами или начнете захват в режиме реального времени в Wireshark, вы должны увидеть, что сетевые пакеты, соответствующие выражению фильтра, отображаются цветами, которые вы выбрали для правила. Это значительно упрощает идентификацию и анализ конкретного трафика, который вас интересует.

Примечание: Если вы хотите сгенерировать некоторый HTTP-трафик, чтобы протестировать свое правило, вы можете запустить браузер. Нажмите на Run Program... в кнопке Applications в левом нижнем углу и введите Firefox.

Изменение существующего правила окрашивания

На этом этапе вы узнаете, как изменить существующее правило окрашивания в Wireshark. Правила окрашивания в Wireshark используются для выделения сетевых пакетов на основе определенных критериев, что помогает быстро идентифицировать и проанализировать различные типы трафика. Изменяя эти правила, вы можете настроить отображение пакетов, упрощая фокусировку на информации, необходимой для анализа в области кибербезопасности.

1. Сначала откройте Wireshark. В Wireshark перейдите в меню View в верхней части окна. Затем выберите Coloring Rules... из выпадающего меню. Это действие откроет диалоговое окно Wireshark Coloring Rules Default. В этом диалоговом окне вы можете управлять всеми правилами окрашивания в Wireshark.

2. В диалоговом окне Wireshark Coloring Rules Default вы увидите список существующих правил окрашивания. Каждое правило имеет имя, выражение фильтра и связанный с ним цвет. Выберите правило окрашивания, которое вы хотите изменить, из этого списка. Вы можете нажать на правило, чтобы его выделить.

3. После выбора правила, которое вы хотите изменить, есть два основных способа внести изменения. Вы можете дважды щелкнуть по правилу. При этом откроется новое окно, где вы можете изменить имя правила, выражение фильтра, которое определяет, к каким пакетам правило применяется, и цвет, используемый для выделения соответствующих пакетов. Кроме того, вы можете изменить приоритет правила. Приоритет определяет, какое правило имеет преимущество, если несколько правил соответствуют одному пакету. Вы можете изменить приоритет, перетаскивая правило вверх или вниз в списке. Правила, находящиеся выше в списке, имеют более высокий приоритет.

4. Теперь внесем некоторые конкретные изменения в правило. Вам нужно изменить имя правила и выражение фильтра по необходимости. Например, измените имя правила с HTTP Traffic на Web Traffic. Это новое имя более точно отражает тип трафика, который нас интересует. Также измените выражение фильтра с http на http and tcp.port == 80. Исходный фильтр http выделял бы весь HTTP-трафик, но добавив tcp.port == 80, мы ищем конкретно HTTP-трафик на порту 80, который является стандартным портом для незашифрованного веб-трафика.

   Имя правила: HTTP Traffic -> Web Traffic
   Выражение фильтра: http -> http and tcp.port == 80

   

5. После внесения всех необходимых изменений в правило нажмите кнопку OK в диалоговом окне. Это сохранит измененное правило, и Wireshark начнет использовать новые настройки для выделения пакетов.

6. Чтобы увидеть эффект от измененного правила, вы можете открыть существующий файл с захваченными пакетами в Wireshark или начать захват в режиме реального времени. После отображения пакетов вы должны увидеть, что сетевые пакеты, соответствующие измененному правилу, отображаются в обновленном цвете или в соответствии с новым выражением фильтра. Таким образом, вы можете легко обнаружить конкретный веб-трафик на порту 80, который вас интересует.

Импорт правил окрашивания

На этом этапе мы научимся импортировать правила окрашивания в Wireshark. Правила окрашивания в Wireshark - это мощная функция, которая может помочь вам быстро идентифицировать различные типы сетевого трафика, присваивая им разные цвета. Это упрощает анализ и понимание данных, которые вы захватываете.

1. Сначала откройте Wireshark. После открытия вам нужно перейти к настройкам правил окрашивания. Для этого перейдите в меню View в верхней части окна Wireshark. Из выпадающего меню выберите Coloring Rules.... Это откроет диалоговое окно Wireshark Coloring Rules Default. В этом диалоговом окне вы можете управлять всеми своими правилами окрашивания в Wireshark.

2. Теперь, когда диалоговое окно Wireshark Coloring Rules Default открыто, вы увидите несколько кнопок. Чтобы импортировать правила окрашивания, найдите и нажмите кнопку Import.... Эта кнопка позволяет импортировать предварительно определенные правила окрашивания из внешнего файла.

   

3. После нажатия кнопки Import... появится новое диалоговое окно Wireshark Import Coloring Rules. В этом диалоговом окне вам нужно найти файл, содержащий правила окрашивания, которые вы хотите импортировать. Перейдите в каталог /home/labex/project. Именно здесь хранится файл colorizing_rules.txt, который вы экспортировали ранее. После перехода в правильный каталог выберите файл colorizing_rules.txt.

   

4. После выбора файла colorizing_rules.txt нажмите кнопку Open. Это действие импортирует правила окрашивания из файла в Wireshark.

5. После завершения импорта прокрутите колесико мыши вниз в диалоговом окне "Правила окрашивания". Теперь вы должны увидеть только что импортированное правило окрашивания в нижней части списка. Это означает, что импорт прошел успешно, и вы можете использовать эти правила для цветовой маркировки сетевого трафика в Wireshark.

Резюме

В этом лабораторном занятии вы научились создавать, изменять, импортировать и экспортировать правила окрашивания в Wireshark. Используя эти правила, вы можете визуально различать различные типы сетевого трафика на основе определенных критериев, что упрощает идентификацию и анализ сетевых активностей. Этот навык очень полезен при расследованиях в области кибербезопасности, устранении неполадок в сети и анализе протоколов.

С помощью практических упражнений вы приобрели практический опыт в управлении набором правил. Освоение этих методов может улучшить ваш рабочий процесс по анализу сети и повысить вашу способность быстро обнаруживать и определять приоритеты для интересных моделей сетевого трафика.