Wireshark是分析網路流量的事實標準。不幸的是，隨著資料包捕獲的增長，它確實變得越來越滯後。Brim很好地解決了這個問題，它將改變Wireshark的工作流程。

wireshark很棒，但是。

Wireshark是一個很棒的開源軟體。它被世界各地的業餘愛好者和專業人士用來調查網路問題。它捕獲資料包，這些資料包沿著電線或透過網路的以太傳輸。一旦你捕獲了你的流量，Wireshark允許你過濾和搜尋資料，跟蹤網路裝置之間的對話，等等。

儘管Wireshark很偉大，但它確實有一個問題。網路資料捕獲檔案（稱為網路跟蹤或資料包捕獲）可以非常大，非常快。如果您試圖調查的問題是複雜的或零星的，或者網路又大又忙，這一點尤其正確。

資料包捕獲（或PCAP）越大，Wireshark就越滯後。僅僅開啟並載入一個非常大的（任何超過1GB的）跟蹤就可能需要很長時間，你可能會認為Wireshark已經放棄了這個幽靈。

處理這麼大的檔案真的很痛苦。每次執行搜尋或更改篩選器時，都必須等待效果應用於資料並在螢幕上更新。每一次延遲都會擾亂你的注意力，這會阻礙你的進步。

邊緣是這些不幸的補救辦法。它充當Wireshark的互動式前處理器和前端。當你想看到Wireshark能夠提供的粒度級別時，Brim會立即為你開啟那些包。

如果你做了大量的網路捕獲和資料包分析，Brim將徹底改變你的工作流程。

相關：如何在Linux上使用Wireshark過濾器

安裝邊緣

Brim非常新，所以它還沒有進入Linux發行版的軟體庫。不過，在Brim下載頁面上，您會找到DEB和RPM包檔案，因此在Ubuntu或Fedora上安裝它就足夠簡單了。

如果您使用另一個發行版，您可以從GitHub下載原始碼並自己構建應用程式。

Brim使用zq，一個用於Zeek日誌的命令列工具，因此您還需要下載一個包含zq二進位制檔案的ZIP檔案。

在ubuntu上安**rim

如果您使用的是Ubuntu，則需要下載DEB包檔案和zqlinux ZIP檔案。雙擊下載的DEB包檔案，Ubuntu軟體應用程式就會開啟。Brim許可證被錯誤地列為“專有”許可證—它使用BSD 3條款許可證。

單擊“安裝”

安裝完成後，雙擊zq ZIP檔案以啟動Archive Manager應用程式。ZIP檔案將包含一個目錄；將其從“歸檔管理器”拖放到計算機上的某個位置，如“下載”目錄。

我們鍵入以下內容來建立zq二進位制檔案的位置：

我們需要將二進位制檔案從提取的目錄複製到剛剛建立的位置。在以下命令中替換計算機上提取目錄的路徑和名稱：

我們需要將該位置新增到路徑中，以便編輯BASHRC檔案：

gedit編輯器將開啟。滾動到檔案底部，然後鍵入此行：

儲存更改並關閉編輯器。

在軟呢帽上安裝帽簷

要在Fedora上安裝Brim，請下載RPM包檔案（而不是DEB），然後按照上面為Ubuntu安裝介紹的步驟進行操作。

有趣的是，當RPM檔案在Fedora中開啟時，它被正確地標識為具有開源許可證，而不是專有許可證。

發射邊緣

單擊dock中的“Show Applicati***”（顯示應用程式）或按Super+A。在搜尋框中鍵入“brim”，然後在出現時單擊“brim”（邊緣）。

Brim啟動並顯示其主視窗。您可以單擊“選擇檔案”開啟檔案瀏覽器，或在紅色矩形包圍的區域中拖放PCAP檔案。

Brim使用選項卡式顯示，您可以同時開啟多個選項卡。要開啟新選項卡，請單擊頂部的加號（+），然後選擇另一個PCAP。

帽簷基本款

Brim載入並索引所選檔案。指數是Brim如此之快的原因之一。主視窗包含一個隨時間變化的資料包量直方圖和一個網路“流”列表

PCAP檔案為大量網路連線儲存一個按時間順序排列的網路資料包流。各種連線的資料包混合在一起，因為其中一些資料包將被同時開啟。每個網路“會話”的資料包與其他會話的資料包**在一起。

Wireshark逐包顯示網路流，而Brim使用一個稱為“流”的概念。流是兩個裝置之間的完整網路交換（或對話）。每個流型別都按流型別進行分類、顏色編碼和標記。您將看到標記為“dns”、“ssh”、“https”、“ssl”等的流。

如果向左或向右滾動流摘要顯示，將顯示更多的列。您還可以調整時間段以顯示要檢視的資訊子集。以下是檢視資料的幾種方法：

• 單擊柱狀圖中的條形圖以放大其中的網路活動。
• 單擊並拖動以高亮顯示直方圖顯示範圍並放大。Brim將顯示突出顯示部分的資料。
• 您還可以在“日期”和“時間”欄位中指定確切的期間。

rim可以顯示兩個側窗格：一個在左側，一個在右側。這些可以隱藏或保持可見。左邊的窗格顯示了一個搜尋歷史和開啟的pcap列表，稱為空間。按Ctrl+[開啟或關閉左窗格。

右側的窗格包含有關高亮顯示的流的詳細資訊。按Ctrl+]開啟或關閉右窗格。

單擊“UID Correlation”列表中的“Conn”，開啟高亮顯示流的連線圖。

在主視窗中，還可以高亮顯示流，然後單擊Wireshark圖示。這將啟動Wireshark，並顯示高亮顯示流的資料包。

Wireshark開啟，顯示感興趣的資料包。

邊緣過濾

Brim中的搜尋和過濾是靈活和全面的，但是如果你不想，你不必學習新的過濾語言。透過單擊摘要視窗中的欄位，然後從選單中選擇選項，可以在Brim中構建語**確的過濾器。

例如，在下圖中，我們右鍵單擊了一個“dns”欄位。然後我們將從上下文選單中選擇“Filter=Value”。

然後會發生以下情況：

• 文字\u path=“dns”將新增到搜尋欄。
• 該過濾器應用於PCAP檔案，因此它將僅顯示****（DNS）流。
• 過濾文字也會新增到左窗格中的搜尋歷史記錄中。

我們可以使用相同的技術向搜尋詞中新增更多的子句。我們將右鍵單擊“IP地址”欄位（包含“192.168.1.26”）原始Id列，然後從上下文選單中選擇“Filter=Value”。

這會將附加子句新增為AND子句。現在過濾顯示以顯示源自該IP地址的DNS流（192.168.1.26）。

新的篩選條件將新增到左窗格中的搜尋歷史記錄中。透過單擊“搜尋歷史記錄”列表中的專案，可以在搜尋之間切換。

大多數過濾資料的目標IP地址是81.139.56.100。要檢視哪些DNS流被髮送到不同的IP地址，我們右鍵單擊“Id\u resp\u h”列中的“81.139.56.100”，然後選擇“Filter！=上下文選單中的“值”。

只有一個來自192.168.1.26的DNS流沒有傳送到81.139.56.100，我們已經找到了它，而不必鍵入任何內容來建立我們的過濾器。

固定篩選子句

當我們右鍵單擊“HTTP”流並從上下文選單中選擇“Filter=Value”時，摘要窗格將只顯示HTTP流。然後我們可以單擊HTTP filter子句旁邊的Pin圖示。

HTTP子句現在固定到位，我們使用的任何其他過濾器或搜尋術語都將在HTTP子句的前面執行。

如果我們在搜尋欄中鍵入“GET”，搜尋將被限制為已經被pinned子句過濾的流。您可以根據需要固定儘可能多的篩選子句。

要在HTTP流中搜索POST資料包，只需清除搜尋欄，鍵入“POST”，然後按Enter鍵。

橫向滾動顯示遠端主機的ID。

所有搜尋和篩選條件都會新增到“歷史記錄”列表中。要重新應用任何篩選器，只需單擊它。

您還可以按名稱搜尋遠端主機。

編輯搜尋詞

如果您想搜尋某個內容，但沒有看到該型別的流，可以單擊任意流並編輯搜尋欄中的條目。

例如，我們知道PCAP檔案中必須至少有一個SSH流，因為我們使用rsync將一些檔案傳送到另一臺計算機，但是我們看不到它。

因此，我們將右鍵單擊另一個流，從上下文選單中選擇“Filter=Value”，然後編輯搜尋欄，使其顯示“ssh”而不是“dns”

我們按回車鍵搜尋SSH流，發現只有一個。

按Ctrl+]將開啟右側窗格，其中顯示此流的詳細資訊。如果在流期間傳輸了檔案，則會顯示MD5、SHA1和SHA256雜湊。

右鍵單擊其中任何一個，然後從上下文選單中選擇“VirusTotal Lookup”以在VirusTotal網站上開啟瀏覽器，並傳入雜湊以進行檢查。

VirusTotal儲存已知惡意軟體和其他惡意檔案的雜湊值。如果您不確定某個檔案是否安全，這是一種簡單的檢查方法，即使您不再有權訪問該檔案。

如果檔案是良性的，您將看到下圖所示的螢幕。

wireshark的完美補充

Brim允許您處理非常大的資料包捕獲檔案，從而使使用Wireshark變得更快、更容易。今天試執行一下！