Wireshark là một ứng dụng dùng để bắt [capture], phân tích và xác định các vấn đề liên quan đến network như: rớt gói tin, kết nối chậm, hoặc các truy cập bất thường. Phần mềm này cho phép quản trị viên hiểu sâu hơn các Network Packets đang chạy trên hệ thống, qua đó dễ dàng xác định các nguyên nhân chính xác gây ra lỗi.
Sử dụng WireShark có thể capture các packet trong thời gian thực [realtime], lưu trữ chúng lại và phân tích chúng offline. Ngoài ra, nó cũng bao gồm các filter, color coding và nhiều tính năng khác, cho phép người dùng tìm hiểu sâu hơn về lưu lượng mạng cũng như inspect [kiểm tra] các packets.
Ứng dụng được viết bằng ngôn ngữ C và hệ điều hành Cross-platform, ngoài ra hiện này gồm có các bản phân phối Linux, Windows, OS X, FreeBSD, NetBSD và OpenBSD. Đây là một phần mềm mã nguồn mở, được cấp phép GPL, và do đó miễn phí sử dụng, tự do chia sẻ và sửa đổi.
wget //github.com/brimdata/zui/releases/download/v1.0.1/zui_1.0.1_amd64.deb apt install ./zui_1.0.1_amd64.deb -y
- Cài đặt Brim trên trên CentOS/Rocky Linux/RHEL: Tương tự, tải xuống các tệp nhị phân RPM từ trang tải xuống;
yum local install //github.com/brimdata/zui/releases/download/v1.0.1/zui-1.0.1.x86_64.rpm
Cài đặt Brim trên Windows: Tải file cài đặt từ link và thực hiện cài đặt:
//github.com/brimdata/zui/releases/download/v1.0.1/Zui-Setup-1.0.1.exe
Giao diện khởi chạy của Brim:
dragorn@boron ~ % kismet -n --no-ncurses INFO: Including sub-config file: /usr/local/etc/kismet_httpd.conf INFO: Including sub-config file: /usr/local/etc/kismet_memory.conf INFO: Including sub-config file: /usr/local/etc/kismet_alerts.conf INFO: Including sub-config file: /usr/local/etc/kismet_80211.conf INFO: Including sub-config file: /usr/local/etc/kismet_logging.conf INFO: Including sub-config file: /usr/local/etc/kismet_filter.conf INFO: Including sub-config file: /usr/local/etc/kismet_uav.conf INFO: Loading config override file '/usr/local/etc/kismet_package.conf' INFO: Optional sub-config file not present: /usr/local/etc/kismet_package.conf INFO: Loading config override file '/usr/local/etc/kismet_site.conf' INFO: Optional sub-config file not present: /usr/local/etc/kismet_site.conf INFO: Setting server UUID DBC402AE-9B3E-11EC-88C2-4B49534D4554 INFO: Starting Beast webserver on 0.0.0.0:2501 INFO: Opened OUI file '/usr/local/share/kismet/kismet_manuf.txt.gz INFO: Indexing manufacturer db INFO: Completed indexing manufacturer db, 31466 lines 630 indexes INFO: Saving devices to the Kismet database log every 30 seconds. INFO: Using default rates of 10/min, 1/sec for alert 'DEVICEFOUND' INFO: Using default rates of 10/min, 1/sec for alert 'DEVICELOST' INFO: Registering support for DLT_PPI packet header decoding INFO: Registering support for DLT_RADIOTAP packet header decoding INFO: Registering support for DLT_BTLE_RADIO packet header decoding INFO: Using default rates of 10/min, 1/sec for alert 'BADFIXLENIE' INFO: PHY80211 will only process AP signal levels from beacons INFO: Allowing Kismet clients to view WEP keys INFO: Keeping EAPOL packets in memory for easy download and WIDS functionality; this can use more RAM. INFO: Registered PHY handler 'IEEE802.11' as ID 0 INFO: Registered PHY handler 'RTL433' as ID 1 INFO: Registered PHY handler 'Z-Wave' as ID 2 INFO: Registered PHY handler 'Bluetooth' as ID 3 INFO: Registered PHY handler 'UAV' as ID 4 INFO: Registered PHY handler 'NrfMousejack' as ID 5 INFO: Using default rates of 10/min, 1/sec for alert 'BLEEDINGTOOTH' INFO: Registered PHY handler 'BTLE' as ID 6 INFO: Registered PHY handler 'METER' as ID 7 INFO: Indexing ADSB ICAO db INFO: Completed indexing ADSB ICAO db, 322278 lines 6446 indexes INFO: Registered PHY handler 'ADSB' as ID 8 INFO: Registered PHY handler '802.15.4' as ID 9 INFO: Registered PHY handler 'RADIATION' as ID 10 INFO: Serving static file content from /usr/local/share/kismet/httpd/ INFO: Enabling channel hopping by default on sources which support channel control. INFO: Setting default channel hop rate to 5/sec INFO: Enabling channel list splitting on sources which share the same list of channels INFO: Enabling channel list shuffling to optimize overlaps INFO: Sources will be re-opened if they encounter an error INFO: Saving datasources to the Kismet database log every 30 seconds. INFO: Launching remote capture server on 127.0.0.1 3501 INFO: No data sources defined; Kismet will not capture anything until a source is added. ALERT: LOGDISABLED Logging has been disabled via the Kismet config files or the command line. Pcap, database, and related logs will not be saved. INFO: Logging disabled, not enabling any log drivers. INFO: GPS track will be logged to the Kismet logfile INFO: Starting Kismet web server... INFO: HTTP server listening on 0.0.0.0:2501 INFO: Could not open system plugin directory [/usr/local/lib/kismet/], skipping: No such file or directory INFO: Did not find a user plugin directory [/home/user/plugins/], skipping: No such file or directory
NetworkMiner
NetworkMiner là công cụ giám sát mạng, mã nguồn mở dành cho hệ điều hành Window. Công cụ này cũng được hỗ trợ để cài đặt trên Linux, Mac OS X và FreeBSD.
Có hai phiên bản miễn phí và trả phí, trong đó, phiên bản trả phí có tính năng cho phép tìm kiếm trực tuyến thông tin về địa chỉ IP mà máy chủ [cài networkminer] đang có kết nối tới.
Đối với hệ thống ICS/SCADA, nếu sử dụng các công cụ dò quét mạng để discover các thông tin về thì rất dễ tạo ra một cuộc tấn công DoS, làm ngưng trệ hoạt động của hệ thống đó.
NetworkMiner thu thập thông tin mà không cần tạo ra lưu lượng dò quét mà thực hiện kỹ thuật “passive network sniffing” và “packet capturing”. Sau đó dựa trên các thông tin thu thập được, NetworkMiner sẽ phân tích để có được các thông tin về hệ thống ICS/SCADA.
Những tính năng chính của NetworkMiner:
- Giám sát mọi gói tin trao đổi ra/vào máy chủ, trong đó cho phép phát hiện ảnh, các file dữ liệu và tài khoản đăng nhập.
- Dữ liệu hiển thị trực quan
- Dung lượng nhẹ Hướng dẫn sử dụng NetworkMiner
Tại tab Credentials của NetworkMiner có thể thu thập thông tin người dùng gồm tài khoản đăng nhập và mật khẩu, kể cả thông tin người dùng sử dụng cho các dịch vụ trực tuyến phổ biến như Gmail hay Facebook.
Tab Keyword cho phép tìm kiếm bằng các từ khóa. Các báo cáo cũng có thể được chuyển sang các tập tin HTML, TXT, Javascript,...
Tab Anomalies giúp phát hiện các hiện tượng khả nghi và các sự cố có thể xảy ra đối với hệ thống mạng, giúp admin phòng tránh và xử lý kịp thời.