Wireshark: находка для шпиона

Программа Wireshark известна всем, кто каким-либо образом имеет отношение к анализу трафика. С одной стороны, это профессиональный, бесплатный, открытый анализатор трафика для компьютерных сетей абсолютно разнообразных типов и протоколов.

Она позволяет изучать сетевую активность, перехватывать, фильтровать, декодировать и визуализировать сетевые пакеты в режиме реального времени или из сохраненных файлов.

Юрий Швец

Доцент департамента экономической теории Финансового университета при Правительстве Российской Федерации

Wireshark может быть использована для различных целей, таких как отладка и тестирование сетевых приложений, обнаружение и решение сетевых проблем, изучение работы сетевых протоколов, обучение и образование, мониторинг и аудит сетевой безопасности и так далее. Программа доступна для разных операционных систем, таких как Windows, Linux, macOS и других. Она распространяется под лицензией GNU GPL одни из самых популярных и уважаемых инструментов в области сетевого анализа.

Пользователи считают, что у Wireshark вполне комфортный и понятный графический пользовательский интерфейс, который показывает детальную информацию о каждом поле протокола любого уровня. Также она поддерживает различные статистические и графические функции для анализа сетевой активности.

Именно поэтому программа пользуется популярностью во всем мире, в том числе и в России, но многие работодатели запрещают ее использование на рабочих устройствах. Кроме того, в некоторых странах, использование подобных программ может стать преступлением. Постараемся разобраться в противоречивости сниффера Wireshark.

Wireshark: инструкция

В Wireshark есть три основных режима захвата – режим общения, мониторинга и нормальный режим. Каждый из них выполняет определенные функции и позволяет выполнять конкретные задачи.

Режимы захвата:

1. Беспорядочный режим (promiscuous mode). В этом режиме сетевая карта захватывает все пакеты, которые проходят по сети, независимо от того, кому они адресованы. Он полезен для анализа всего трафика в сегменте сети или для обнаружения несанкционированных устройств или пакетов.
2. Режим мониторинга (monitor mode). В этом режиме сетевая карта захватывает все пакеты, которые проходят по сети, включая управляющие и служебные пакеты. Он полезен для анализа беспроводных сетей или для обнаружения скрытых или зашифрованных сессий.
3. Режим нормальный (normal mode). В этом режиме сетевая карта захватывает только те пакеты, которые адресованы ей или широковещательные или многоадресные. Этот режим полезен для анализа своего собственного трафика или для избежания перегрузки сети или компьютера.

Чтобы настроить фильтры и режимы захвата в Wireshark нужно выбрать интерфейс сетевой карты, с которого будет производиться захват пакетов. Нажать на кнопку «Настроить» (Options) рядом с выбранным интерфейсом. В открывшемся окне «Настройки захвата» (Capture Options) можно указать фильтр захвата в поле «Фильтр захвата» (Capture Filter), выбрать режим захвата в поле «Режим» (Mode), а также настроить другие параметры, такие как ограничение размера файла или времени захвата.

Анализ трафика может решать большое количество проблем для сети. Чтобы понять на что в первую очередь обратить внимание, нужно четко понимать цель анализа.

Дмитрий Заруднев

Руководитель отдела прикладные решения, компания Angels IT

С точки зрения анализа работы сети в целом стоит обратить внимание на время жизни пакета (TTL), невысокое значение этого параметра говорит о большом количестве промежуточных узлов в сети, что отрицательно влияет на ее производительность в целом. Также стоит обратить внимание на количество широковещательных пакетов, так называемых broadcast-пакетов. Если в локальной сети большое количество таких пакетов, тогда, возможно, это какой-то вирус сканирует сеть и надо это анализировать.

Когда вы проводите с помощью Wireshark анализ сетевого трафика стоит обратить внимание на количество пакетов вне адресации вашей сети – это либо внешние источники, к которым действительно обращаются пользователи, либо это какой-то вирус, который пытается просканировать сеть и посмотреть на количество и нумерацию портов, к которым обращаются сетевые устройства. То есть, насколько они соответствуют тем задачам, которые в инфраструктуре вашей сети выполняются.

С точки зрения защиты сети, если идет перебор всех портов, это может свидетельствовать о том, что в сети есть вредоносная программа.

В плохих руках

Перехват трафика Wireshark относится к инструментам диагностики сети, который можно использовать и для пассивного анализа сетевой инфраструктуры. Например, выяснить детали сетевой топологии или имена и адреса серверов, обычно недоступных пользователям. Как и любой инструмент анализа сети он может использоваться как с легитимными, так и со злонамеренными целями.

Евгений Грязнов

Ведущий консультант по ИБ в компании R-Vision

Одна из важных особенностей – архитектура Wireshark. Для доступа к сети он использует драйвер захвата сетевых пакетов Npcap. Для работы этот драйвер требует права администратора, но часто настраивается так, чтобы даже обычные пользователи смогли его использовать. Это открывает простор как для атаки с использованием уязвимостей в самом драйвере, так и возможность использовать его незаметно для пользователя с целью анализа сетевого трафика злоумышленником. При этом злоумышленнику не потребуются права администратора на машине.

Сергей Полунин

Руководитель группы защиты инфраструктурных ИТ компании «Газинформсервис»

Основной «вред» заключается в том, что потенциальный злоумышленник может обнаружить в перехваченном трафике что-то такое, что поможет в будущем скомпрометировать информационную систему организации. Это может быть что угодно – от перехваченных паролей или API-ключей, до выявления использования ненадежных протоколов передачи данных и ошибок в бизнес-логике приложений.

Многие организации запрещают использовать Wireshark на рабочих устройствах по нескольким причинам. Он может представлять угрозу для конфиденциальности и безопасности данных, если он используется для перехвата или анализа чужого или зашифрованного трафика без разрешения или ключей. Также Wireshark может быть использован злоумышленниками для перехвата или подмены пакетов.

Работа с Wireshark может негативно влиять на производительность сети и компьютера, если захватывать большое количество или объем трафика, что может привести к перегрузке или потере пакетов.

Юрий Швец

Доцент департамента экономической теории Финансового университета при Правительстве Российской Федерации

Сниффер Wireshark может нарушать политику или регламент организации по использованию сетевых ресурсов или рабочих устройств. Например, организация может запрещать использовать неразрешенное программное обеспечение, захватывать трафик без необходимости или согласования, хранить или передавать конфиденциальные данные и т.д.

Сергей Петренко

Д.т.н., Руководитель направления Информационная безопасность Академии АйТи

Wireshark анализ трафика позволяет исследовать результативность применяемых сканеров уязвимостей (анализ сетевого трафика сканеров, определение процента ложных тревог и пр.) и других средств защиты информации. В том числе, отследить реакции на аномалии, на необычные домены, большие DNS-ответы и другие характерные признаки вредоносного ПО. В результате не только администраторы безопасности, но и злоумышленники, получив доступ к функционалу упомянутого анализатора, могут сначала исследовать подсистему корпоративной безопасности на прочность, выявить ее узкие места, а потом использовать выявленные уязвимости и недочеты для проведения своих собственных кибератак.

Функционал подобных Wireshark инструментальных средств выходит далеко за пределы простого захвата и анализа трафика. Они позволяют восстанавливать пароли для ОС Windows, производить атаки для получения потерянных учетных данных, углубленно изучать пакеты и данные в сети, анализировать маршрутизацию пакетов и многое другое. По этой причине многие организации запрещают их использовать для предупреждения инцидентов безопасности, которые могут возникнуть в результате как умышленных, так и неосторожных действий пользователей.

Сергей Полунин

Руководитель группы защиты инфраструктурных ИТ компании «Газинформсервис»

Для выполнения рабочих задач обычному офисному сотруднику Wireshark не нужен в 99 случаев из 100 или даже чуть чаще. Однако хорошие специалисты по информационной безопасности по своей природе параноики и само появление такого инструмента у кого-то на рабочем месте может быть началом грядущих больших проблем. Мы никогда до конца не представляем уровень компьютерной грамотности и компетенций тех, с кем работаем. Тем более, что сейчас доступно обучение буквально по любым вопросам, в том числе и по практической кибербезопасности на грани положений уголовного кодекса.

Поэтому, если вы хотите использовать Wireshark на рабочем устройстве, вам нужно получить разрешение от своего руководителя или администратора сети, а также соблюдать все правила и меры предосторожности при работе с программой.

А как безопасно?

По словам экспертов, главная сложность в том, как пользоваться Wireshark, заключается в абсолютно очевидном – чтобы безопасно и эффективно заниматься захватом трафика Wireshark, нужно обладать определенными и не простыми навыками и знаниями, а также соблюдать меры предосторожности. Кроме того, программа создает злоумышленникам возможность перехвата паролей.

Евгений Грязнов

Ведущий консультант по ИБ в компании R-Vision

Защититься от перехвата паролей можно только одним способом - не передавать пароли по сети. Сейчас практически все пароли передаются внутри HTTPS трафика и недоступны для перехвата с помощью любых анализаторов трафика, не только с помощью Wireshark.

Также хорошая практика – использование технологий аутентификации по сертификатам вместо паролей или дополнительное использование генераторов одноразовых кодов (вроде Google Authenticator).

При использовании Wireshark нужно соблюдать меры предосторожности:

1. Захватывать и анализировать только тот трафик, который относится к вашей сети или приложению, и который вы имеете право видеть. Не нарушайте чужую конфиденциальность или безопасность.
2. Использовать защищенные Wireshark протоколы и шифрование для передачи или хранения важных или чувствительных данных. Не полагайтесь на то, что Wireshark не сможет расшифровать ваш трафик.
3. Ограничивать количество и объем захваченного трафика, чтобы не перегружать сеть или компьютер.
4. Использовать фильтры и режимы Wireshark захвата пакетов для выборки только нужных пакетов.
5. Хранить и обрабатывать файлы с захваченным трафиком в безопасном месте. Не давать доступ к ним посторонним лицам или программам.
6. Удалять или уничтожать файлы, которые больше не нужны.

Юрий Швец

Доцент департамента экономической теории Финансового университета при Правительстве Российской Федерации

Фильтры и режимы захвата в Wireshark позволяют выбирать, какие пакеты будут захвачены и отображены в программе. Они помогают сократить объем трафика и сосредоточиться на интересующих вас данных. Фильтры захвата применяются до того, как пакеты попадают в Wireshark. Они определяют, какие пакеты будут захвачены сетевой картой и сохранены в файл или память. Фильтры захвата основаны на синтаксисе Berkeley Packet Filter (BPF) и могут использовать различные критерии, такие как адреса источника и назначения, номера портов, типы протоколов и т.д.

Фильтры отображения применяются после того, как пакеты уже захвачены и загружены в Wireshark. Они определяют, какие пакеты будут отображены в списке и деталях. Фильтры отображения основаны на синтаксисе Wireshark Display Filter (WDF) и могут использовать различные критерии, такие как значения полей протоколов, строки или байты данных, выражения и функции и т.д. Режимы захвата определяют, как будет происходить захват пакетов с сетевой карты.

Плюсы и минусы

Снифферы или анализаторы трафика, такие как Wireshark или, например, tcpdump, Kismet, EtherApe, Cain and Abel, дают возможность своевременно выявлять и устранять проблемы с безопасностью и производительностью сети на самых ранних этапах возникновения инцидентов безопасности.

Сергей Петренко

Д.т.н., Руководитель направления Информационная безопасность Академии АйТи

К явным достоинствам Wireshark относятся: открытый исходный код, разумный баланс между трудоемкостью и оперативностью сбора и обработки данных, наглядное представление результатов работы, дружелюбность пользовательского интерфейса, возможность работы под управлением всех известных операционных систем семейства Linux, Windows и macOS.

 Плюсы использования Wireshark:

1. Предоставляет детальную и точную информацию о каждом сетевом пакете и его содержимом, что позволяет лучше понять работу сетевых протоколов и приложений.
2. Поддерживает большое количество сетевых протоколов и форматов файлов, что делает его универсальным и гибким инструментом для анализа разных типов сетей и трафика.
3. Имеет мощные функции фильтрации, поиска, статистики и визуализации данных, что облегчает поиск и решение сетевых проблем, отладку и тестирование сетевых приложений, мониторинг и аудит сетевой безопасности и т.д.
4. Бесплатное и открытое ПО, что гарантирует доступность, надежность и возможность развития и улучшения сообществом пользователей и разработчиков.

Марат Ильясов

Руководитель команды сетевой аналитики Центра противодействия киберугрозам Innostage CyberART

Плюс – полный доступ ко всем данным, которые отправляет и получает сетевой интерфейс вашей ОС, что очень помогает ИТ-специалистам в решении вопросов по отладке той или иной программы или проверке сетевых связностей внутри инфраструктуры. Минус – безусловный доступ к каждому отправляемому пакету. ПО WireShark может заглянуть «внутрь», собрать из разрозненных битов и байтов передаваемые файлы (картинки документы программы). Также программа может отображать учётные данные при авторизации по незашифрованным протоколам, например http.

Несмотря на большой список положительных моментов работа с Wireshark имеет ряд минусов, а также подводных камней. Из-за которых в неумелых руках может принести неприятности, как пользователю, так и посторонним людям.

Сергей Петренко

Д.т.н., Руководитель направления Информационная безопасность Академии АйТи

Минусы Wireshark заключаются в том, что на практике одного только захвата пакетов и анализа протоколов недостаточно. Здесь нужно хорошо знать и понимать основы известных прикладных и сетевых протоколов, а главное уметь настраивать в автоматизированном режиме разнообразные фильтры для дальнейшего исследования и улучшения процессов обмена данными. И конечно, нужно знать и понимать хотя бы общие принципы системной интеграции подобных инструментов в корпоративную систему ИБ (SIEM, SOC и пр.).

Минусы использования Wireshark:

1. Требует достаточно высокого уровня знаний и опыта в области сетевых технологий и протоколов, чтобы правильно интерпретировать и использовать полученную информацию.
2. Может негативно влиять на производительность сети и компьютера, если захватывать большое количество или объем трафика, что может привести к перегрузке или потере пакетов.
3. Может представлять угрозу для конфиденциальности и безопасности данных, если захватывать или анализировать чужой или зашифрованный трафик без разрешения или ключей.
4. Может быть использован злоумышленниками для перехвата или подмены пакетов.

Алексей Яковлев

Руководитель отдела маркетинга аутсорсинговой компании MIMINO

Некоторые сетевые устройства могут не поддерживать анализ трафика Wireshark, что может привести к неправильным выводам при анализе. Wireshark не может показать полную картину трафика, если происходит зашифрование трафика. Кроме того, инструмент может создать большой объем данных, который может быть сложен в анализе.

Лилия Алеева

Директор по маркетингу и прямым продажам ICL Services, кандидат экономических наук

Wireshark — это мощный инструмент, используемый для анализа сетевого трафика. Однако это также создает риски для безопасности и конфиденциальности, которые организации должны оценивать, чтобы обеспечить безопасность своих сетей. Применяя надлежащие меры безопасности и следуя рекомендациям по анализу сети, организации могут снизить эти риски и обеспечить бесперебойную работу сети и данных.

В неумелых руках, в отсутствии необходимых знаний и без соблюдения мер безопасности, вместо плюсов попытка с помощью Wireshark анализировать пакеты данных может обернуться трагедией. В лучшем случае – просто не хватит знаний, чтобы понять, как анализировать трафик Wireshark. В худшем случае будет создана плодородная почва для кибератак злоумышленников.

Итог

Wireshark инструкция не поможет рядовому пользователю эффективно и безопасно использовать программу со всеми ее возможностями – работать с ней должен опытный ИТ-специалист. Инструмент может стать, как великим помощником, так и оружием, вложенным в руки врага.

При большом желании, вооружившись информацией из открытых источников все-таки возможно добиться некоторых целей по анализу сетевого трафика, даже любителю. Главное подробно изучить вопрос безопасности и возможные риски, особенно когда дело касается рабочего, а не личного устройства.