Как работает Wireshark при расследовании сетевых инцидентов?

Работа Wireshark при расследовании сетевых инцидентов включает несколько этапов: blog.skillfactory.ru

1. Захват трафика. blog.skillfactory.ru Специалист выбирает сетевой интерфейс, с которого Wireshark будет собирать и записывать трафик: Wi-Fi, Ethernet, интерфейсы локальных сетей и так далее. blog.skillfactory.ru Затем настраивает фильтры захвата — ограничения, какой именно трафик собирать. blog.skillfactory.ru Фильтрация нужна, чтобы уменьшить количество данных. blog.skillfactory.ru
2. Сохранение дампа. blog.skillfactory.ru Wireshark записывает трафик в реальном времени. blog.skillfactory.ru Но обычно специалисты сохраняют интересующий их промежуток в виде дампа — файла с информацией. blog.skillfactory.ru Позже этот дамп анализируют в офлайн-режиме. blog.skillfactory.ru
3. Настройка отображения. blog.skillfactory.ru Перехваченный трафик — это огромное количество информации, которую нужно привести в понятный и читаемый вид. blog.skillfactory.ru Wireshark представляет её в виде таблицы, которая показывает: время отправки пакета, IP отправителя, IP получателя, протокол взаимодействия, длину пакета, дополнительную информацию. blog.skillfactory.ru
4. Объединение пакетов. blog.skillfactory.ru Wireshark может скомпоновать все перехваченные пакеты в единую сессию — полный набор данных, которые передавались в сети. blog.skillfactory.ru Это поможет изучать не каждую запись по отдельности, а переданную информацию целиком. blog.skillfactory.ru
5. Декодирование информации. blog.skillfactory.ru Объединённые данные расшифровывают — получают доступ к фактической информации, скрытой за протоколом шифрования. blog.skillfactory.ru Этот шаг возможен не всегда, а только если информация плохо защищена или у специалиста есть доступ к TLS-ключам. blog.skillfactory.ru
6. Анализ информации. blog.skillfactory.ru Специалисты изучают сведения, полученные на каждом этапе. blog.skillfactory.ru Что именно ищут — зависит от задачи. blog.skillfactory.ru Например, при расследовании инцидента ИБ-сотрудники могут искать в трафике признаки подозрительной сетевой активности. blog.skillfactory.ru

Wireshark позволяет выявлять сетевые проблемы, такие как потеря пакетов, высокие задержки, некорректная настройка маршрутизации и так далее. dzen.ru Также с его помощью можно искать подозрительный трафик, возможные атаки. dzen.ru