序文

Wireshark の導入方法をまだ知らない方もいらっしゃると思いますので、次回にお伝えします。

-------------------------------------------------- ------------------------------------

1. Wireshark を導入する必要があるのはなぜですか?

実際に遭遇する状況はもっと複雑です. 調査対象にはネットワーク内の他のデバイスが含まれることがよくあります. マシンに属さないデータパケットをキャプチャして分析するための適切なソリューションを見つける必要があります.

2. 環境を理解する

1.ハブ環境

ハブは LAN 環境で動作し、OSI の第 1 層に使用されるため、物理層デバイスと呼ばれます。(図 1.0) 4 つのポートを備えたハブは、コンピューター A、B、C、および D を接続します。ハブは転送のためのネットワークの中心として機能します. コンピュータ A が B にメッセージを送信する場合, 最初にハブに送信する必要があります. その後、ハブはそれを送信します. この時点で、ネットワーク内のすべてのコンピュータは受信します各コンピューターは、メッセージの宛先アドレスが同じであるかどうかを確認します。それらが同じである場合は、処理のためにシステムに引き渡されます。そうでない場合、データパケットは破棄されます。

                 computer B
                    




 computer A ---> 集线器    >computer D
                   



                 computer C
 (1.0)


----------------------------------------------------------------------------------


                 computer B                   
                    |
                    |
                    |
                    |
 computer A      集线器 ----> computer D
                    |
                    |
                    |
                    |
                 computer C
 (2.0)

ハブを使用するネットワークは、ネットワークカードがプロミスキャスモードに調整されている限り、ネットワーク全体のデータをキャプチャできる、パケットキャプチャにとって最も理想的な環境です。

2. 交換環境でのトラフィックキャプチャ

しかし、現在のネットワークではハブは珍しく、基本的にスイッチはネットワークデバイスとして使用されます。コンピューター A が B に向けてパケットを送信した場合、コンピューター B だけがそれをキャプチャできます。これにより、他のパケットを取得することが難しくなります。

                 computer B
                    




 computer A --->  交换机    >computer D
                   



                 computer C
 (3.0)

-----------------------------------------------------------------------------------

                 computer B
                    
                    |
                    |
                    |
                    |
 computer A       交换机    >computer D
                   



                 computer C
 (4.0)

3.ポートミラーリング

スイッチの権限があれば、そのスイッチがポートミラーリングをサポートしているかどうかを確認できます. サポートしている場合は、ネットワークに変更を加える必要はありません. つまり、いくつかのポートのデータを指定された別のポートにコピーします.ポート. このポートはミラーポートと呼ばれます. 現在、多くのスイッチがミラーポート機能をサポートしています, ポートの1つをミラーポートとして使用し、監視対象のトラフィックをこのポートに転送して、接続されているコンピューターを監視できるようにします.このポート。

4.ARP スプーフィング

ほとんどの場合、物理的なネットワーク回線を変更することはできず、ミラーポート機能を使用することはできません。現時点では、ネットワーク監視によく使用される中間者攻撃を選択できます。ARP スプーフィングはネットワークを変更する必要はなく、スプーフィングツールを実行するだけです。

プロセスは次のとおりです。

                 网关路由器
                    |
                    |
                    |
                    |
  computer A  ---> 交换机  <---- computer B
                   


(正常）

-----------------------------------------------------------------------------------
 
                 网关路由器
                    |
                    |
                    |
                    |
  computer A  ---> 交换机  <---- computer B
       |                           |
       |                           |
我是网关路由器                      我相信你


(computer A进行欺骗）

----------------------------------------------------------------------------------


                 网关路由器
                    |
                    |
                    |
                    |
  computer A  <--- 交换机  <---- computer B
                   


(computer A欺骗成功）

5.ネットワークスプリッター

ネットワークタップは、他のコンピューターからのネットワークデータの分析にも最適です。

要約する

以上が私の言いたいことで、この記事ではWiresharkの導入方法と導入すべき理由を紹介しただけです。

Wireshark の導入方法

序文