CaptureSetup

How To Set Up a Capture

The experience capturing your first packets can range from «it simply works» to «very strange problems». To avoid annoyances, the following gives you a step-by-step guide through this process.

The steps in this guide depend on each other to avoid combinations of problems which are hard to track down as a whole.

For this reason it’s a very good idea to follow this guide literally step-by-step (don’t start to read in the middle).

Step 1: Are you allowed to do this?

In this step: Make sure you’re allowed to do what you’re going to do!

Ensure that you are allowed to capture packets from the network you are working on! For example, corporate policies or applicable law might prevent you from capturing on the network you’re using!

If you have to change network cabling to start a capture, ensure that you are allowed to do so! Network administrators and other people are usually not amused with re-arrangements to «their» network.

Step 2: General Setup

Make sure you’ve thought about step 1!

In this step: Setup the machine’s configuration to be able and allowed to capture.

/CapturePrivileges — you must have sufficient privileges to capture packets, e.g. special privileges allowing capturing as a normal user (preferred) or root / Administrator privileges

/CaptureSupport — your operating system must support packet capturing, e.g. capture support is enabled / a capture driver is installed

User’s Guide about Time Zones your computer’s time and time zone settings should be correct, so the time stamps captured are meaningful

Step 3: Capture traffic «sent to» and «sent from» your local machine

Make sure you’ve finished step 2!

In this step: Capturing «your own local traffic» is the easiest way to successfully capture your first traffic.

The traffic to and from your local machine is obviously available independent of your network topology, so you don’t need to worry about the topology for now.

Choose the right interface to capture from (see /NetworkInterfaces) and start a capture. To avoid any side effects, don’t use any shiny features like capture filters or multiple files for now.

At least after stopping the capture you should see some network traffic now!

Have a look at the captured packets and make sure you have captured both incoming and outgoing traffic before going to the next step!

Troubleshooting:

/NetworkInterfaces — make sure that you’ve selected the right interface

/NetworkMedia — there might be network media (/Ethernet, /PPP, . ) specific limitations

Promiscuous mode — try both on or off, whatever works

/InterferingSoftware — low level networking software (e.g. VPN / (personal) firewall software) may cause trouble

/Offloading — how your NIC might skew your capture

no traffic — make sure you don’t capture on a «silent» network with no traffic on it (if you really don’t have any traffic: using an internet radio is a simple traffic generator)

Performance — what you can do if packet drops occur

If you still experience a problem after checking the above you may try to figure out if it’s a Wireshark or a driver problem. Try to capture using TcpDump / WinDump — if that’s working, it’s a Wireshark problem — if not it’s related to libpcap / WinPcap or the network card driver.

Step 4: Capture traffic destined for machines other than your own

Make sure you’ve finished step 3 successfully!

In this step: Capture traffic that is not intended for your local machine.

Make sure you capture from a location in the network where all relevant traffic will pass through:

/NetworkTopology — choose the right place in your network topology in order to get the required network traffic.

/NetworkMedia — there might be network media (/Ethernet, /PPP, . ) specific limitations

Promiscuous mode — must be switched on (this may not work with some WLAN cards on Win32!)

Step 5: Capture traffic using a remote machine

Make sure you’ve finished step 4 successfully!

In this step: Don’t use your local machine to capture traffic as in the previous steps but use a remote machine to do so.

Remote Capturing is currently very limited:

/Pipes — using a UNIX pipe and use a different tool to capture from

/WinPcapRemote — using [WinPcap]’s remote capturing feature (rpcapd)

RMON — use SNMP’s RMON to capture — currently not supported («Remote Packet Capture Using RMON» explains why it doesn’t work well)

Of course, you can use Wireshark installed on a remote machine in combination with a remote control software (e.g. VNC, Windows Remote Desktop, . ).

XXX — explain special capture filter strings relevant to remote capturing!

Wireshark remote capture windows

I am using Wireshark 2.4.6 portable (downloaded from this site) and I am trying to configure the remote capture I am not clear on what I should use in the remote capture command line. What should I put there?

There is a help for this but it refers to the CLI option https://www.wireshark.org/docs/man-pa.

On the above page they say that using that sshdump CLI is the equivalent of this Unix CLI

ssh [email protected] -p 22222 ‘tcpdump -U -i IFACE -w -‘ > FILE & $ wireshark FILE w

Comments

I filled out this form when I saw «SSH» option and now I can’t edit this capture inerface. It just keeps going back to the same connection. Have you figured out how to use and edit this interface?

The documentation seems out of date for 2.61.

The sshdump manpage is for the extcap binary that is used to make the ssh connection from Wireshark. Normally you won’t need to look at that. The above dialog is the UI provided by the extcap and sshdump interface. I think the Remote Capture Command should be the full path to the binary you wish to use on the remote machine, e.g. /usr/sbin/tcpdump .

@benjamin, I know this infinitely too late for you, but after stopping you pcap, save it if you wish, and then use the ‘Close This Capture File’ button to return to the main menu.

It’s the 7th button from the left, it looks like a pcap icon with a large black cross through it.

How do I use SSH Remote Capture in Wireshark

I am using Wireshark 2.4.6 portable (downloaded from their site) and I am trying to configure the remote capture I am not clear on what I should use in the remote capture command line.

There is a help for this but it refers to the CLI option https://www.wireshark.org/docs/man-pages/sshdump.html

On the above page they say that using that sshdump CLI is the equivalent of this Unix CLI

3 Answers 3

You just have to configure the SSH settings in that window to get Wireshark to log in and run tcpdump.

You can leave the capture command empty and it will capture on eth0 . You’d only want to change it if you have specific requirements (like if you need to specify an interface name).

You might want to set the capture filter to not ((host x.x.x.x) and port 22) (replacing x.x.x.x with your own ip address) so the screen doesn’t get flooded with its own SSH traffic.

The following works as a remote capture command:

Replace eth0 with the interface to capture traffic on and not port 22 with the remote capture filter remembering not to capture your own ssh traffic.

The other capture fields appear to be ignored when a remote capture command is specified.

Tested with Ubuntu 20.04 (on both ends) with wireshark 3.2.3-1.

The default remote capture command appears to be tcpdump.

I have not found any documentation which explains how the GUI dialog options for remote ssh capture are translated to the remote host command.

Pertaining to sshdump, if you’re having trouble finding the command via the commandline, note that it is not in the system path by default on all platforms.

For GNU/Linux (for example in my case, Ubuntu 20.04, wireshark v3.2.3) it was under /usr/lib/x86_64-linux-gnu/wireshark/extcap/ .

If this is not the case on your system, it may be handy to ensure that mlocate is installed ( sudo apt install mlocate ) then use locate sshdump to find its path (you may find some other interesting tools tools in the same location — use man pages or —help to learn more).

Wireshark для просмотра трафика в реальном времени

Иногда мне необходимо было залезть на linux-сервера и иметь возможность просматривать текущий трафик в реальном времени. Как я делал до этого? На целевом сервере устанавливался tcpdump, выхлоп которого писался в файлик. Далее файл через scp тянулся на локальный компьютер под Windows и открывался в Wireshark.

В определенный момент мне захотелось более удобного решения и я, найдя возможность запустить Wireshark на винде (локально) в связке с tcpdump-ом на сервере (удаленно) на просторах интернета, и немного подпилив эту реализацию, решил поделиться с Вами.

Работающая связка (которую проверил я) состоит из:

И хотя, как мне кажется, эти программы будут работать на большинстве версий так же, как и сейчас, я думаю стоит упомянуть именно рабочую конфигурацию.

Установим необходимое ПО и настройки на сервере и десктопе с Windows.

Linux (у меня debian)

На этом на стороне Linux закончили.

Windows

Далее для Windows необходимо установить putty (и с ним обязательно plink), а также само собой wireshark

Создаем новую сессию trafficmonitor и оставляем пустым Hostname

Идем в настройки авторизации и добавляем ранее вытянутый ключ (который не забываем протянуть через puttygen, чтобы он подходил для putty)

Сохраняем сессию в главном окне.

Хочу уточнить, что у меня также была потребность настройки этого функционала через socks5 прокси с авторизацией, поэтому я покажу как и это сделать, но для этого нам нужна еще одна сессия для putty (trafficmonitor_via_proxy):

Также прописываем ключ

И настраиваем прокси (в моем случае тип, IP-port, username-password)

Собственно Putty готово, а ведь из него мы и будем для plink дергать эти сохраненые сессии.

Теперь дело за cmd:

Вывод

Теперь после запуска этого cmd вы сможете непосредственно мониторить трафик на сервере, без лишней волокиты. Для удобства можно также подкорректировать cmd-файл, чтобы он брал из настроек putty уже существующие сессии.

Вот так, к примеру, выглядит работа этого скрипта:

1. Отвечаем на вопросы

2. Выбираем интерфейс

Стоит отметить что поток в Wireshark можно фильтровать, но нельзя остановить — он не возобновится. По итогу также удобно сохранить интересующий нас кусок трафика в pcap-файл.
На этом все и всем спасибо.

UPD1. Если серверов больше 1, то в каждом необходимо проделать процедуру добавления пользователя trafficmonitor и помещения в его домашнюю директорию раннее созданного нами открытого ключа id_rsa.pub(authorized_keys) по пути

/.ssh/ с правами 755 на каталог и 644 на файл соотвественно. А также озаботиться наличием записей в sudoers

Руководство и шпаргалка по Wireshark

Даже поверхностное знание программы Wireshark и её фильтров на порядок сэкономит время при устранении проблем сетевого или прикладного уровня. Wireshark полезен для многих задач в работе сетевого инженера, специалиста по безопасности или системного администратора. Вот несколько примеров использования:

Устранение неполадок сетевого подключения

Исследование сессий прикладного уровня (даже при шифровании с помощью SSL/TLS, см. ниже)

Устранение неполадок DHCP с данными на уровне пакетов

Извлечение файлов из сессий HTTP

Извлечение файлов из сессий SMB

Обнаружение и проверка вредоносных программ

Проверка сканирования портов и других типов сканирования на уязвимости

• Понимание, какой сетевой трафик поступает от сканеров
• Анализ процедур по проверке уязвимостей, чтобы различать ложноположительные и ложноотрицательные срабатывания

Эти примеры — только вершина айсберга. В руководстве мы расскажем, как использовать столь мощный инструмент.

Установка Wireshark

Wireshark работает на различных операционных системах и его несложно установить. Упомянем только Ubuntu Linux, Centos и Windows.

Установка на Ubuntu или Debian

Установка на Fedora или CentOS

Установка на Windows

На странице загрузки лежит исполняемый файл для установки. Довольно просто ставится и драйвер захвата пакетов, с помощью которого сетевая карта переходит в «неразборчивый» режим (promiscuous mode позволяет принимать все пакеты независимо от того, кому они адресованы).

Начало работы с фильтрами

С первым перехватом вы увидите в интерфейсе Wireshark стандартный шаблон и подробности о пакете.

Как только захватили сессию HTTP, остановите запись и поиграйте с основными фильтрами и настройками Analyze | Follow | HTTP Stream.

Названия фильтров говорят сами за себя. Просто вводите соответствующие выражения в строку фильтра (или в командную строку, если используете tshark). Основное преимущество фильтров — в удалении шума (трафик, который нам не интерестен). Можно фильтровать трафик по MAC-адресу, IP-адресу, подсети или протоколу. Самый простой фильтр — ввести http , так что будет отображаться только трафик HTTP (порт tcp 80).

Примеры фильтров по IP-адресам

Примеры фильтров по протоколу

Попробуйте сделать комбинацию фильтров, которая показывает весь исходящий трафик, кроме HTTP и HTTPS, который направляется за пределы локальной сети. Это хороший способ обнаружить программное обеспечение (даже вредоносное), которое взаимодействует с интернетом по необычным протоколам.

Следуйте за потоком

Как только вы захватили несколько HTTP-пакетов, можно применить на одном из них пункт меню Analyze | Follow | HTTP Stream. Он покажет целиком сессию HTTP. В этом новом окне вы увидите HTTP-запрос от браузера и HTTP-ответ от сервера.

Резолвинг DNS в Wireshark

По умолчанию Wireshark не резолвит сетевые адреса в консоли. Это можно изменить в настройках.

Edit | Preferences | Name Resolution | Enable Network Name Resolution

Как и в случае tcpdump , процедура резолвинга замедлит отображение пакетов. Также важно понимать, что при оперативном захвате пакетов DNS-запросы с вашего хоста станут дополнительным трафиком, который могут перехватить.

Tshark для командной строки

Если вы ещё не баловались с tshark , взгляните на наше руководство с примерами фильтров. Эту программу часто игнорируют, хотя она отлично подходит для захвата сессий на удалённой системе. В отличие от tcpdump , она позволяет на лету захватывать и просматривать сессии прикладного уровня: декодеры протоколов Wireshark также доступны для tshark.

Составление правил для файрвола

Вот быстрый способ создания правил из командной строки, чтобы не искать в интернете конкретный синтаксис. Выберите подходящее правило — и перейдите в Tools | Firewall ACL Rules. Поддерживаются различные файрволы, такие как Cisco IOS, ipfilter , ipfw , iptables , pf и даже файрвол Windows через netsh .

Работа с географической базой GeoIP

Если Wireshark скомпилирован с поддержкой GeoIP и у вас есть бесплатные базы Maxmind, то программа может определять местоположение компьютеров по их IP-адресам. Проверьте в About | Wireshark, что программа скомпилирована с той версией, какая у вас в наличии. Если GeoIP присутствует в списке, то проверьте наличие на диске баз GeoLite City, Country и ASNum. Укажите расположение баз в меню Edit | Preferences | Name Resolution.

Проверьте систему на дампе трафика, выбрав опцию Statistics | Endpoints | IPv4. В колонках справа должна появиться информация о местоположении и ASN для IP-адреса.

Другая функция GeoIP — фильтрация трафика по местоположению с помощью фильтра ip.geoip . Например, так можно исключить трафик из конкретной ASN. Нижеуказанная команда исключает пакеты от сетевого блока ASN 63949 (Linode).

Конечно, тот же фильтр можно применить к отдельным городам и странам. Удалите шум и оставьте только действительно интересный трафик.

Расшифровка сессий SSL/TLS

Один из способов расшифровки сессий SSL/TLS — использовать закрытый ключ с сервера, к которому подключен клиент.

Конечно, у вас не всегда есть доступ к приватному ключу. Но есть другой вариант простого просмотра трафика SSL/TLS на локальной системе. Если Firefox или Chrome загружаются с помощью специальной переменной среды, то симметричные ключи отдельных сеансов SSL/TLS записаны в файл, который Wireshark может прочитать. С помощью этих ключей Wireshark покажет полностью расшифрованную сессию!

1. Настройка переменной среды

На вкладке System Properties | Advanced нажмите кнопку Environment Variables и добавьте имя переменной (SSLKEYLOGFILE), а в качестве значения — путь к файлу.

2. Настройка Wireshark

Из выпадающего меню выберите Edit | Preferences | Protocols | SSL | (Pre)-Master-Secret Log Filename — Browse, указав файл, который вы указали в переменную среды.

Начинайте захват трафика в локальной системе.

3. Перезапуск Firefox или Chrome

После перехода на сайт HTTPS лог-файл начнёт увеличиваться в размере, поскольку записывает симметричные ключи сессии.

Взгляните на ранее запущенную сессию Wireshark. Вы должны увидеть что-то похожее на скриншот внизу с расшифрованными сессиями. Расшифрованные пакеты — на вкладке в нижней панели.

Другой способ просмотра сеанса — через выпадающее меню Analysis | Follow | Stream | SSL. Если сеанс успешно расшифрован, вы увидите опцию для SSL.

Разумеется, будьте осторожны при записи этих ключей и пакетов. Если посторонний получит доступ к лог-файлу, то легко найдёт там ваши пароли и куки аутентификации.

Ещё один вариант выхода на базовый HTTP-трафика — использовать инструмент Burp Suite с загруженным сертификатом CA в браузере. В этом случае прокси расшифровывает соединение на стороне клиента, а затем устанавливает новый сеанс SSL/TLS на сервере. Есть много способов проведения такой MiTM-атаки на себя, это два самых простых.

Извлечение файлов из пакетов с помощью функции экспорта (HTTP или SMB)

Файлы легко извлекаются через меню экспорта.

File | Export Objects | HTTP

Все найденные файлы отобразятся в новом окне. Отсюда же можно сохранить отдельные файлы или сразу все. Аналогичный метод применяется для извлечения файлов из сессий SMB. Как мы уже упоминали, это протокол Microsoft Server Message Block, который используется для общего доступа к файлам под Windows.

Строка состояния

Строка состояния в правой части окна позволяет быстро перейти в нужное место сетевого дампа, щёлкнув по цветовому индикатору. Например, красным цветом в строке состояния помечены пакеты с ошибками.

Образец PCAP

Когда только начинаете работу с Wireshark, хочется посмотреть на какие-нибудь интересные дампы с пакетами. Их можно найти на странице Wireshark Samples. Примеров с разными протоколами там хватит вам на несколько месяцев анализа, есть даже образцы трафика червей и эксплоитов.

Настройка окружения

Внешний вид консоли по умолчанию всячески настраивается. Можно добавлять или удалять столбцы, добавляя даже такие простые вещи как столбец времени UTC, что сразу повышает информативность логов, если анализировать историю пакетов.

Столбцы настраиваются в меню Edit | Preferences | Appearance | Columns. Там же изменяется общий шаблон, шрифт и цвета.

На видео — полезные советы по настройке окружения, в том числе выявление неполадок по порядковым номерам последовательности TCP.

capinfos

В комплекте с Wireshark поставляется удобный инструмент командной строки capinfos . Эта утилита генерирует статистику пакетного дампа, с временем начала/окончания записи и другими подробностями. С опцией -T она выдаёт текст с табуляцией — он подходит для импорта в электронные таблицы или анализа в консоли.