Wireshark es el estándar de facto para analizar el tráfico de red. Desafortunadamente, a medida que crece la captura de paquetes, se vuelve cada vez más lento. Brim resuelve este problema tan bien que cambiará su flujo de trabajo de Wireshark.
Wireshark es genial, pero….
Wireshark es un maravilloso programa de código abierto. Es utilizado por aficionados y profesionales de todo el mundo para investigar los problemas de la red. Captura paquetes de datos que viajan sobre los cables o sobre las ondas de su red. Después de capturar el tráfico, Wireshark le permite filtrar y buscar datos, monitorear conversaciones entre dispositivos de red y más.
Sin embargo, por bueno que sea Wireshark, tiene un problema. Los archivos de captura de datos de red (llamados trazas de red o capturas de paquetes) pueden ser muy grandes muy rápidamente. Esto es especialmente cierto si el problema que está tratando de investigar es complejo o esporádico, o si la red es grande y ocupada.
Cuanto más grande sea la captura de paquetes (o PCAP), se vuelve el Wireshark más lento. Simplemente abrir y cargar una traza muy grande (más de 1 GB) puede llevar tanto tiempo que podría pensar que Wireshark ha renunciado al fantasma.
Trabajar con archivos de este tamaño es un verdadero dolor. Cada vez que busca o cambia un filtro, debe esperar a que los efectos se apliquen a los datos y se actualicen en la pantalla. Cada retraso rompe su concentración, lo que puede obstaculizar su progreso.
El borde es la cura para estos problemas. Actúa como un preprocesador e interfaz interactivo para Wireshark. Si desea ver el nivel detallado que Wireshark puede proporcionar, Brim instantáneamente lo abre solo en esos paquetes.
Si realiza mucha captura de red y análisis de paquetes, Brim revolucionará su flujo de trabajo.
Instalación de borde
Brim es muy nuevo, por lo que aún no ha llegado a los repositorios de software de las distribuciones de Linux. Sin embargo, en la página de descarga del borde, encontrará los archivos de paquetes DEB y RPM, por lo que instalarlo en Ubuntu o Fedora es bastante sencillo.
Si está utilizando una distribución diferente, puede descargar el código fuente de GitHub y crear la aplicación usted mismo.
Brim usa ZQ, una herramienta de línea de comandos para los registros de ZEQ, por lo que también deberá descargar un archivo zip que contiene los binarios ZQ.
Instalación de Brim en Ubuntu
Si está utilizando Ubuntu, deberá descargar el archivo del paquete DEB y el archivo zip ZQ Linux. Haga doble clic en el archivo del paquete DEB descargado y se abrirá la aplicación de software Ubuntu. La licencia de borde figura incorrectamente como «propietaria»: utiliza la licencia BSD con tres cláusulas.
Cómo instalar el editor de código Atom Github en Linux
Una vez que se complete la instalación, haga doble clic en el archivo ZQ ZIP para iniciar la aplicación Archive Manager. El archivo zip contendrá un solo directorio; Arrastelo desde el Administrador de archivos a una ubicación en su computadora, como el directorio de descargas.
Ingresamos lo siguiente para crear una ubicación para los binarios ZQ:
sudo mkdir /opt /zeek
Necesitamos copiar los binarios del directorio extraído a la ubicación recién creada. Reemplace la ruta y el nombre del directorio extraído en su computadora en el siguiente comando:
descargas de sudo cp/zq-v0. 20. 0. linux-amd64/*/opt/zeek
Necesitamos agregar esta ubicación a la ruta, por lo que editaremos el archivo BASHRC:
sudo gedit . bashrc
Esto abrirá el editor GEDIT. Desplácese hasta el final del archivo y escriba la siguiente línea:
ruta de exportación = $ ruta:/opt/zeek
Guarde sus cambios y cierre el editor.
Instalación de Brim en Fedora
Para instalar Brim en Fedora, descargue el archivo del paquete RPM (en lugar de Deb), y luego siga los mismos pasos que describimos anteriormente para instalar Ubuntu.
Curiosamente, cuando se abre el archivo RPM en Fedora, se detecta correctamente como una licencia de código abierto, no una licencia de propiedad.
Lanzamiento de borde
Haga clic en «Mostrar aplicaciones» en el muelle o presione Super + A. escriba «Brim» en el cuadro de búsqueda, y luego haga clic en «Campos» cuando aparezca.
Brim lanza y muestra su ventana principal. Puede hacer clic en «Seleccionar archivos» para abrir el navegador de archivos, o arrastrar un archivo PCAP al área rodeada por un rectángulo rojo.
Brim usa una pantalla con pestañas, y puede abrir múltiples pestañas al mismo tiempo. Para abrir una nueva pestaña, haga clic en el icono más (+) en la parte superior y luego seleccione otro PCAP.
Conceptos básicos de borde
Brim carga e indexa el archivo seleccionado. El índice es una de las razones por las que Brim funciona muy rápido. La ventana principal contiene un histograma de volúmenes de paquetes con el tiempo y una lista de «flujos» de red.
El archivo PCAP contiene una secuencia de paquetes de red ordenada por tiempo para una gran cantidad de conexiones de red. Los paquetes de datos para las diversas conexiones están entremezclados porque algunos de ellos se abrirán al mismo tiempo. Los paquetes para cada «conversación» de la red se intercalan con paquetes de otras conversaciones.
Wireshark muestra el paquete de flujo de red por paquete, mientras que Brim utiliza un concepto llamado «flujos». Un flujo es un intercambio de red completo (o diálogo) entre dos dispositivos. Cada tipo de flujo se clasifica, codifica el color y se etiqueta por el tipo de flujo. Verá flujos etiquetados como «DNS», «ssh», «https», «ssl» y muchos otros.
Cómo instalar Bohdi Linux
Si se desplaza la pantalla de resumen de flujo hacia la izquierda o hacia la derecha, se mostrarán muchas más columnas. También puede personalizar el período de tiempo para mostrar la parte de la información que desea ver. A continuación hay algunas formas de ver los datos:
Haga clic en una barra en el gráfico de barras para acercar la actividad de la red. Haga clic y arrastre para resaltar el rango de visualización del histograma y acercarse. Brim luego mostrará los datos de la sección resaltada. También puede especificar períodos exactos en los campos de fecha y hora.
Brim puede mostrar dos barras laterales: una a la izquierda y otra a la derecha. Pueden estar ocultos o permanecer visibles. El panel izquierdo muestra el historial de búsqueda y una lista de PCaps abiertos, llamados espacios. Presione Ctrl +[para alternar o desactivar el panel izquierdo.
El panel a la derecha contiene información detallada sobre el flujo resaltado. Presione CTRL+] para activar o desactivar el panel derecho.
Haga clic en «Conn» en la lista de correlación de UID para abrir el diagrama de conexión para el flujo resaltado.
En la ventana principal, también puede resaltar un flujo y luego hacer clic en el icono de Wireshark. Esto lanza Wireshark con los paquetes mostrados para el flujo resaltado.
Se abre Wireshark, mostrando los paquetes de interés.
Filtrado de borde
La búsqueda y el filtrado en Brim es flexible y completo, pero no necesita aprender un nuevo lenguaje de filtrado si no lo desea. Puede crear un filtro sintácticamente correcto en Brim haciendo clic en los campos en la ventana Resumen y luego seleccionando opciones en el menú.
Por ejemplo, en la imagen a continuación, hicimos clic derecho en el campo «DNS». Luego elegimos «Filter = Value» en el menú contextual.
Lo siguiente sucede:
El texto _path = «DNS» se agrega a la cadena de búsqueda. Este filtro se aplica al archivo PCAP, por lo que solo mostrará transmisiones de Servicio de Nombres de Dominio (DNS). El texto del filtro también se agrega al historial de búsqueda en el panel izquierdo.
Podemos agregar sugerencias adicionales a la consulta de búsqueda utilizando la misma técnica. Haga clic con el botón derecho en el campo de dirección IP (que contiene «192. 168. 1. 26») en la columna «id. orig_h», y luego seleccione «Filter = valor» en el menú contextual.
Esto agrega una oración adicional como una oración. La pantalla ahora se filtra para mostrar flujos DNS que se originan en esta dirección IP (192. 168. 1. 26).
El nuevo término de filtro se agrega al historial de búsqueda en el panel izquierdo. Puede cambiar entre búsquedas haciendo clic en elementos en la lista de historial de búsqueda.
La dirección IP de destino para la mayoría de nuestros datos filtrados es 81. 139. 56. 100. Para ver qué flujos DNS se enviaron a diferentes direcciones IP, hacemos clic con el botón derecho «81. 139. 56. 100» en la columna «ID_RESP_H», y luego seleccionamos «Filtro! = Valor» del menú contextual.
Cómo habilitar el soporte del escáner de huellas digitales en Linux
Solo una transmisión DNS proveniente de 192. 168. 1. 26 no se envió a 81. 139. 56. 100, y lo encontramos sin ingresar nada para crear nuestro filtro.
Sugerencias de filtro de bloqueo
Cuando hacemos clic derecho en la transmisión «HTTP» y seleccionamos «Filter = Value» en el menú contextual, solo se mostrarán transmisiones HTTP en el panel resumen. Luego podemos hacer clic en el icono de pin junto a la sugerencia del filtro HTTP.
La sugerencia HTTP ahora se fija en su lugar, y cualquier otro filtros o condiciones de búsqueda que usemos se ejecutará con la sugerencia HTTP que se les agregó.
Si escribimos «obtenemos» en la barra de búsqueda, la búsqueda se limitará a las transmisiones que ya se han filtrado utilizando la sugerencia anclada. Puede anclar tantas sugerencias de filtro como sea necesario.
Para encontrar los paquetes de publicación en las transmisiones HTTP, simplemente eliminamos la barra de búsqueda, escribimos «Publicar» y presionamos ENTER.
Desplácese hacia el lado muestra la ID de host remota.
Todas las condiciones de búsqueda y filtro se agregan a la lista de «historial». Para volver a aplicar cualquier filtro, simplemente haga clic en él.
También puede buscar un host remoto por su nombre.
Condiciones de búsqueda de edición
Si desea buscar algo pero no vea un hilo de ese tipo, puede hacer clic en cualquier hilo y editar la entrada en la barra de búsqueda.
