Создание и применение правил раскраски в Wireshark

Введение

В этой лабораторной работе вы научитесь создавать и применять правила раскраски (coloring rules) в Wireshark — мощном анализаторе сетевых протоколов. Эти правила позволяют визуально различать различные типы сетевого трафика на основе заданных критериев, что значительно упрощает идентификацию и анализ интересующих вас сетевых событий.

К концу этой работы вы будете лучше понимать, как использовать возможности раскраски Wireshark. Это улучшит ваши навыки анализа сети и поможет в проведении расследований в области кибербезопасности.

Изучение и экспорт правил раскраски

На этом этапе мы начнем с изучения существующих правил раскраски в Wireshark. Правила раскраски используются для выделения различных типов сетевых пакетов на основе определенных критериев. Это помогает быстро находить и анализировать важную информацию в захваченном сетевом трафике. Вы также узнаете, как просматривать эти правила и экспортировать их для дальнейшего использования.

1. Сначала необходимо открыть Wireshark на вашей Linux-машине. Для этого откройте терминал и выполните следующую команду. Она запустит приложение Wireshark, с которым вы будете работать.

   wireshark

2. После запуска Wireshark перейдите к правилам раскраски. Откройте меню View в верхней части окна Wireshark и выберите Coloring Rules.... Откроется диалоговое окно Wireshark Coloring Rules Default. Именно здесь вы можете управлять всеми правилами раскраски в Wireshark.

   

3. В диалоговом окне Wireshark Coloring Rules Default вы увидите список существующих правил. Каждое правило имеет определенное условие и соответствующий цвет. Эти правила применяются к захваченным пакетам в том порядке, в котором они представлены в списке. Уделите время просмотру правил и их описаний. Понимание этих правил даст вам представление о том, как Wireshark помогает более эффективно анализировать сетевой трафик.

   

4. Вы можете временно включать или отключать определенное правило, не удаляя его. Для этого выберите правило в списке и установите или снимите флажок (checkbox) рядом с ним. Если флажок установлен, правило активно; если снят — отключено. Это полезно, когда вы хотите проверить влияние конкретного правила на раскраску пакетов.

5. Допустим, вы хотите сохранить текущий набор правил для использования в будущем или для передачи другим пользователям. Чтобы экспортировать правила, нажмите кнопку Export... в диалоговом окне Wireshark Coloring Rules Default.

6. После нажатия кнопки Export... появится диалоговое окно выбора файла. Выберите место для сохранения файла правил. Перейдите в каталог /home/labex/project. Рекомендуется дать файлу понятное имя, например colorizing_rules.txt, чтобы его было легко найти позже.

   

   

7. Выбрав местоположение и имя файла, нажмите OK, чтобы закрыть диалоговое окно Wireshark Coloring Rules Default. Вы успешно экспортировали правила раскраски.

Создание нового правила раскраски

На этом этапе мы научимся создавать новое правило раскраски в Wireshark. Правила раскраски — это мощная функция, позволяющая выделять специфический сетевой трафик, что облегчает обнаружение и анализ важных пакетов. Создавая пользовательское правило, вы можете быстро идентифицировать типы трафика, которые наиболее важны для вас.

1. Сначала откройте диалоговое окно Wireshark Coloring Rules Default. В Wireshark перейдите в View > Coloring Rules.... В этом окне вы можете управлять всеми правилами раскраски, включая создание, редактирование и удаление.

2. Чтобы создать новое правило, нажмите кнопку +. Это добавит пустую запись в список существующих правил.

   

3. После добавления нового правила в верхней части списка появится запись New coloring rule. Дважды щелкните по ней, чтобы изменить имя правила. Например, если вы хотите выделить HTTP-трафик, назовите правило HTTP Traffic. В поле Filter необходимо ввести выражение фильтра. Это выражение указывает Wireshark, какие пакеты должны быть выделены этим правилом. Для HTTP-трафика введите http.

   

4. Теперь поговорим о настройках цвета. Здесь есть две важные кнопки: foreground (текст) и background (фон).

   Кнопка foreground используется для выбора цвета текста пакетов, соответствующих правилу. Например, если вы хотите, чтобы текст HTTP-пакетов был красным, выберите красный цвет с помощью этой кнопки.

   

   Кнопка background позволяет выбрать цвет фона для выделенных пакетов. Это поможет сделать пакеты еще более заметными. Например, можно установить желтый цвет фона.

   

5. При необходимости вы можете настроить приоритет правила. Правила в Wireshark применяются в зависимости от их порядка в списке. Правила с более высоким приоритетом имеют преимущество перед правилами с более низким приоритетом. Чтобы изменить приоритет, просто перетащите (drag) правило вверх или вниз по списку.

6. После настройки правила его необходимо активировать. Установите флажок (checkbox) рядом с правилом, чтобы включить его, а затем нажмите OK для сохранения. Правило будет применено к вашим захваченным пакетам.

   

7. Когда вы откроете файл захвата или начнете захват трафика в реальном времени, вы увидите, что пакеты, соответствующие выражению фильтра, отображаются с выбранными вами цветами. Это значительно упрощает идентификацию и анализ интересующего вас трафика.

Примечание: Если вы хотите сгенерировать HTTP-трафик для проверки правила, запустите браузер. Нажмите Run Program... в меню Applications в левом нижнем углу и введите Firefox.

Изменение существующего правила раскраски

На этом этапе вы узнаете, как изменить существующее правило раскраски в Wireshark. Правила раскраски используются для выделения сетевых пакетов на основе определенных критериев, что помогает быстро идентифицировать и анализировать различные типы трафика. Изменяя эти правила, вы можете настроить отображение пакетов, что облегчит фокусировку на информации, необходимой для анализа безопасности.

1. Сначала откройте Wireshark. Перейдите в меню View в верхней части окна и выберите Coloring Rules.... Откроется диалоговое окно Wireshark Coloring Rules Default.

2. В списке правил выберите то, которое хотите изменить. Вы можете щелкнуть по правилу, чтобы выделить его.

3. После выбора правила есть два основных способа внести изменения. Вы можете дважды щелкнуть по правилу (double-click). Откроется новое окно, где можно изменить имя правила, выражение фильтра и цвета. Кроме того, вы можете изменить приоритет правила, перетащив его вверх или вниз по списку. Правила, находящиеся выше в списке, имеют более высокий приоритет.

4. Давайте внесем конкретные изменения. Измените имя правила с HTTP Traffic на Web Traffic. Это имя более точно отражает тип интересующего нас трафика. Также измените выражение фильтра с http на http and tcp.port == 80. Исходный фильтр http выделял бы весь HTTP-трафик, но добавление tcp.port == 80 позволяет искать только HTTP-трафик на порту 80, который является стандартным для незашифрованного веб-трафика.

   Имя правила: HTTP Traffic -> Web Traffic
   Выражение фильтра: http -> http and tcp.port == 80

   

5. После внесения всех изменений нажмите кнопку OK. Правило будет сохранено, и Wireshark начнет использовать новые настройки для выделения пакетов.

6. Чтобы увидеть результат, откройте существующий файл захвата или начните новый захват. Вы увидите, что пакеты, соответствующие измененному правилу, теперь отображаются в соответствии с новыми настройками цвета или фильтра. Таким образом, вы сможете легко заметить специфический веб-трафик на порту 80.

Импорт правил раскраски

На этом этапе мы научимся импортировать правила раскраски в Wireshark. Это мощная функция, которая помогает быстро идентифицировать различные типы сетевого трафика, назначая им уникальные цвета.

1. Откройте Wireshark и перейдите в View > Coloring Rules.... Откроется диалоговое окно Wireshark Coloring Rules Default.

2. В этом окне вы увидите несколько кнопок. Чтобы импортировать правила, нажмите кнопку Import.... Это позволит загрузить заранее определенные правила из внешнего файла.

   

3. После нажатия кнопки Import... появится диалоговое окно Wireshark Import Coloring Rules. Найдите файл с правилами, которые вы хотите импортировать. Перейдите в каталог /home/labex/project, где ранее был сохранен файл colorizing_rules.txt. Выберите этот файл.

   

4. Выбрав файл colorizing_rules.txt, нажмите кнопку Open. Правила будут загружены в диалоговое окно Wireshark Coloring Rules Default.

5. Перед закрытием окна нажмите кнопку OK в нижней части основного окна Wireshark Coloring Rules Default. Это подтверждение сохранит импортированные правила в конфигурационный файл Wireshark, чтобы они оставались доступными для использования.

6. После нажатия OK вы можете снова открыть View > Coloring Rules..., чтобы убедиться в успешном импорте. Прокрутите список до конца — вы должны увидеть недавно импортированное правило. Это означает, что импорт прошел успешно, и теперь вы можете использовать эти правила для цветовой маркировки вашего сетевого трафика.

Резюме

В этой лабораторной работе вы научились создавать, изменять, импортировать и экспортировать правила раскраски в Wireshark. Использование этих правил позволяет визуально различать различные типы сетевого трафика, что упрощает идентификацию и анализ сетевой активности. Этот навык крайне полезен при расследовании инцидентов безопасности, диагностике сети и анализе протоколов.

Благодаря практическим упражнениям вы получили опыт управления наборами правил. Освоение этих техник позволит оптимизировать ваш рабочий процесс анализа сети и повысит вашу способность быстро обнаруживать и приоритизировать важные паттерны сетевого трафика.