Salam Əziz dostlar, Bu gün sizə Kibertəühlükəsizlik mütəxəssislərinin ən çox istifadə etdiyi paket analizatoru Wireshark haqqında danışacağıq
Wireshark nədir?
Wireshark şəbəkə paket analizatorudur. Paket analizatorları ələ keçirilən şəbəkə paketini mümkün qədər ətraflı şəkildə təqdim etməyi hədəfləyir. Wireshark bu gün geniş istifadə olunan proqramdır, çünki pulsuz, open source və funksionaldır.
Wireshark nə üçün istifadə olunur?
O, problemləri aşkar etmək, zəiflikləri aşkar etmək, Şəbəkə protokollarını başa düşmək və şəbəkə kommunikasiyalarını yoxlayaraq şəbəkə performansına nəzarət etmək üçün istifadə olunur. Tez-tez şəbəkə administratorları, təhlükəsizlik mütəxəssisləri və sistem administratorları tərəfindən istifadə edilir.
Nəzarət etmək istədiyimiz şəbəkəni seçək, adətən bu Wi-Fi və ya Ethernet bağlantısı ola bilər. Sonra, “Başlat” düyməsini basmalıyıq. Wireshark daha sonra şəbəkə trafikini tutmağa başlayır.
Nümunə olaraq HTTP filtri edək:
Wireshark və ya oxşar şəbəkə analiz alətləri HTTP trafikini icazəli və ya icazəsiz izləyə bilsələr də, HTTPS trafiki şifrələndiyi üçün onun məzmununa baxa bilmirlər. Buna görə də, şəbəkədəki rabitəni asanlıqla görmək üçün HTTP trafikinə nəzarət edə bilərik. Üst küncdəki sətirə http yazaraq HTTP paketlərinə asanlıqla baxa bilərik.
Paketlər haqqında ətraflı məlumat almağa çalışaq:
Siyahıdan bizi maraqlandıran HTTP paketini seçirik, üzərinə sağ klikləyirik, “Follow” və sonra “HTTP Stream” düyməsini sıxırıq. Bu proses yalnız seçdiyimiz HTTP paketinin əlaqəsini göstərir.
Gəlin Wireshark-dan istifadə edərək zərərli proqram şəbəkə trafikinin təhlilini həyata keçirək:
Mənbə pcap faylını və sualları təqdim etdiyimiz sayt: https://www.malware-traffic-analysis.net
Sual 1: Yoluxmuş Windows virtual maşınının IP ünvanı nədir?
İP-ni http.request ilə filtrasiya edərək “Source” bölməsində tapırıq.
Cavab: 172.16.165.132
Sual 2: Yoluxmuş virtual maşının MAC ünvanı nədir?
Cavab: 00:0c:29:c5:b7:a1
Sual 3: Riskli vebsaytın IP ünvanı nədir?
Biz birinci sualda etdiyimiz kimi http.request-i süzgəcdən keçiririk. Bu dəfə sualın cavabını “Destenetion” bölümündə tapacağıq.
Cavab: 192.30.138.146
Sual 4: Riskli vebsaytın domen adı nədir?
HTTP paketinin ətraflı baxdığımızda “Host:” bölməsində domen adını görə bilərik.
Cavab: hijinksensue.com
Sual 5: Exploit dəstini və zərərli proqramı göndərən IP ünvanı və domen adı nədir?
Dördüncü sualda “Host:” bölməsinə sağ klikləyərək “Sütun olaraq tətbiq et” üzərinə klikləyirik. Bu, IP ünvanını tapmaqda işimizi asanlaşdırır.
Cavab: 37.143.15.180 (port 51439 üzərində)
Beləliklə, Wireshark-a kiçik bir giriş etdik. Oxuduğunuz üçün təşəkkür edirəm 🙂
Contains information related to marketing campaigns of the user. These are shared with Google AdWords / Google Ads when the Google Ads and Google Analytics accounts are linked together.
90 days
__utma
ID used to identify users and sessions
2 years after last activity
__utmt
Used to monitor number of Google Analytics server requests
10 minutes
__utmb
Used to distinguish new sessions and visits. This cookie is set when the GA.js javascript library is loaded and there is no existing __utmb cookie. The cookie is updated every time data is sent to the Google Analytics server.
30 minutes after last activity
__utmc
Used only with old Urchin versions of Google Analytics and not with GA.js. Was used to distinguish between new sessions and visits at the end of a session.
End of session (browser)
__utmz
Contains information about the traffic source or campaign that directed user to the website. The cookie is set when the GA.js javascript is loaded and updated when data is sent to the Google Anaytics server
6 months after last activity
__utmv
Contains custom information set by the web developer via the _setCustomVar method in Google Analytics. This cookie is updated every time new data is sent to the Google Analytics server.
2 years after last activity
__utmx
Used to determine whether a user is included in an A / B or Multivariate test.
18 months
_ga
ID used to identify users
2 years
_gali
Used by Google Analytics to determine which links on a page are being clicked
30 seconds
_ga_
ID used to identify users
2 years
_gid
ID used to identify users for 24 hours after last activity
24 hours
_gat
Used to monitor number of Google Analytics server requests when using Google Tag Manager