Wireshark
Что такое Wireshark?
WiresharkОткрытый сетевой анализатор протоколов, который перехватывает и разбирает пакеты в реальном времени для диагностики, анализа безопасности и обучения.
Wireshark — это ведущий открытый анализатор пакетов, изначально написанный Gerald Combs в 1998 году под названием Ethereal и сейчас поддерживаемый мировым сообществом разработчиков в рамках Wireshark Foundation. Он перехватывает живой трафик с проводных, беспроводных, USB и других интерфейсов и декодирует тысячи протоколов — от Ethernet и TCP/IP до промышленных и криптографических. Сетевые инженеры, blue team, аналитики вредоносного ПО и threat hunter используют его для диагностики производительности, проверки межсетевых экранов, восстановления хронологии атаки и извлечения файлов из дампов PCAP. Перехват трафика в сетях, которыми вы не владеете, может нарушать законы о тайне связи и конфиденциальности, поэтому авторизация обязательна.
● Примеры
- 01
Фильтр http.request для разбора предполагаемой эксфильтрации через веб.
- 02
Просмотр TCP-потока для извлечения вредоносной полезной нагрузки из сохранённой сессии.
● Частые вопросы
Что такое Wireshark?
Открытый сетевой анализатор протоколов, который перехватывает и разбирает пакеты в реальном времени для диагностики, анализа безопасности и обучения. Относится к категории Защита и операции в кибербезопасности.
Что означает Wireshark?
Открытый сетевой анализатор протоколов, который перехватывает и разбирает пакеты в реальном времени для диагностики, анализа безопасности и обучения.
Как работает Wireshark?
Wireshark — это ведущий открытый анализатор пакетов, изначально написанный Gerald Combs в 1998 году под названием Ethereal и сейчас поддерживаемый мировым сообществом разработчиков в рамках Wireshark Foundation. Он перехватывает живой трафик с проводных, беспроводных, USB и других интерфейсов и декодирует тысячи протоколов — от Ethernet и TCP/IP до промышленных и криптографических. Сетевые инженеры, blue team, аналитики вредоносного ПО и threat hunter используют его для диагностики производительности, проверки межсетевых экранов, восстановления хронологии атаки и извлечения файлов из дампов PCAP. Перехват трафика в сетях, которыми вы не владеете, может нарушать законы о тайне связи и конфиденциальности, поэтому авторизация обязательна.
Как защититься от Wireshark?
Защита от Wireshark обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия Wireshark?
Распространённые альтернативные названия: Ethereal, tshark.
● Связанные термины
- network-security№ 295
Глубокая инспекция пакетов (DPI)
Метод инспекции, при котором анализируется не только заголовок, но и вся полезная нагрузка пакетов для распознавания приложений, контента и угроз.
- forensics-ir№ 722
Сетевая криминалистика
Захват, запись и анализ сетевого трафика и метаданных для расследования инцидентов и восстановления действий злоумышленника.
- network-security№ 547
Система обнаружения вторжений (IDS)
Пассивное средство безопасности, отслеживающее сетевую или хостовую активность на признаки вредоносного поведения и формирующее оповещения без блокирования трафика.
- defense-ops№ 1261
Zeek
Открытый сетевой монитор безопасности (ранее Bro), который превращает трафик в структурированные, протоколозависимые логи и скрипты для обнаружения угроз.
- defense-ops№ 1117
Suricata
Высокопроизводительный открытый движок сетевого IDS, IPS и мониторинга безопасности, сопровождаемый Open Information Security Foundation (OISF).
- defense-ops№ 1147
Охота за угрозами
Проактивный поиск по телеметрии на основе гипотез, направленный на обнаружение угроз, проскочивших мимо имеющихся детектов.
● См. также
- № 577Kali Linux
- № 806PCAP
- № 719NetFlow
- № 686mitmproxy