Sukella tietoliikenteeseen Wiresharkilla!

Kolme hyvää syytä opetella Wiresharkin käyttöä!

Wireshark on monelle kyberturvallisuusammattilaiselle tuttu, ja hyvästä syystä. Tai oikeastaan (ainakin!) kolmesta hyvästä syystä.

Kyseessä on avoimen lähdekoodin ohjelmisto jolla tallennetaan, visualisoidaan ja analysoidaan tietoliikennettä.

Esimerkiksi, kun avaat tietokoneesi ja surffaat www.hakatemia.fi sivulle, todennäköisesti kaikki nämä tapahtuivat matkalla: 

  • Tietokoneesi lähetti DHCP-liikennettä jossa se pyysi DHCP-palvelimeltasi (todennäkösesti kotireitittimesi) IP-osoitteen.
  • Tietokoneesi lähetti ARP-liikennettä jossa se kysyi reitittimesi MAC-osoitetta.
  • Tietokoneesi lähetti DNS-liikennettä jossa se kysyi www.hakatemia.fi IP-osoitetta.
  • Tietokoneesi muodosti TLS-tunnelin www.hakatemia.fi kanssa.
  • Tiedokoneesi lähetti HTTP-liikennettä TLS-tunnelin sisällä.

Ehkä käytit myös Bluetooth-hiirtä ja tietokoneesi lähetti myös Bluetooth-liikennettä? Ja kenties käytät langatonta verkkoa, jolloin verkkokorttisi lähetti myös 802.11 (WiFi) liikennettä?

Eikö olisi hauskaa olla supervoima jolla voisit nähdä verkkokaapeleiden tai radioaaltojen sisälle, ja nähdä sieltä tämän kaiken eriteltynä? Tämä on juuri se mitä Wireshark tekee!

Syy 1 - Verkkoprotokollien opettelu

Ensimmäinen, ja tärkein syy on verkkoprotokollien opettelu. Kyberturvallisuus, ja hakkerointi yleisestikin pohjautuu täysin siihen että ymmärretään teknologioita ja tiedetään mitä pellin alla tapahtuu. Verkkotasolla tähän ei ole parempaa työkalua kuin Wireshark.

Yleisesti tietoliikenteen opetteluun Wireshark on kerrassaan mainio. Itse kaivan sen esiin aina kun haluan nähdä miten joku verkkoprotokolla toimii. Esimerkiksi juuri hiljattain tutkin SMB/NTLM -kirjautumista Hakatemian Windows-kurssia varten Wiresharkilla.

Syy 2 - CTF-kilpailut

CTF (Capture the Flag) kilpailuissa menestyminen usein edellyttää Wiresharkin hallitsemista, koska on tyypillistä että kilpailijalle annetaan PCAP (tallennettua tietoliikennettä) -tiedosto josta pitää tavalla tai toisella purkaa esiin lippu tai muuta tietoa.

Syy 3 - Blue Team / SoC / DFIR

Tietoverkkojen puolustajana saatat hyvinkin löytää itsesi tilanteesta jossa työpöydällesi tulee PCAP-tiedosto josta pitäisi päätellä että mitä on tapahtunut ja milloin.

Wireshark löytyy nyt Hakatemian kurssivalikoimasta. Hyppää kurssille tästä!

hakatemia pro

Valmis ryhtymään eettiseksi hakkeriksi?
Aloita jo tänään.

Hakatemian jäsenenä saat rajoittamattoman pääsyn Hakatemian moduuleihin, harjoituksiin ja työkaluihin, sekä pääset discord-kanavalle jossa voit pyytää apua sekä ohjaajilta että muilta Hakatemian jäseniltä.