Ako používať Wireshark: kompletný výučba

Wireshark je bezplatná aplikácia, ktorá umožňuje zachytiť a prezerať údaje, ktoré sa pohybujú tam a späť vo vašej sieti. Poskytujú možnosť vyhľadávania a čítania obsahu každého paketu - filtrovaného tak, aby vyhovoval vašim špecifickým potrebám. Bežne sa používa na riešenie problémov so sieťou, ako aj na vývoj a testovanie softvéru. Tento analyzátor protokolov s otvoreným zdrojovým kódom je široko akceptovaný ako priemyselný štandard, ktorý v priebehu rokov získal spravodlivý podiel na oceneniach.

Pôvodne známy ako Ethereal, Wireshark ponúka užívateľsky prívetivé rozhranie, ktoré dokáže zobrazovať dáta zo stoviek rôznych protokolov na všetkých hlavných sieťových typoch. Tieto dátové pakety môžu byť prezerané v reálnom čase alebo analyzované v režime offline, pričom sú podporované desiatky podporovaných formátov zachytávania / sledovania, vrátane CAP a ERF . Integrované dešifrovacie nástroje umožňujú zobraziť šifrované pakety pre niekoľko populárnych protokolov, ako sú WEP a WPA / WPA2 .

01 z 07

Stiahnutie a inštalácia Wireshark

Getty Images (Yuri_Arcurs # 507065943)

Wireshark možno bezplatne prevziať z webovej stránky Wireshark Foundation pre operačné systémy MacOS a Windows. Pokiaľ nie ste pokročilým používateľom, odporúčame vám stiahnuť najnovšie stabilné vydanie. Počas procesu inštalácie (len v systéme Windows) by ste sa mali nainštalovať aj po nainštalovaní WinPcap, pretože obsahuje knižnicu potrebnú na zachytenie živých dát.

Aplikácia je dostupná aj pre Linux a väčšinu iných UNIX-like platforiem vrátane Red Hat , Solaris a FreeBSD. Binárne súbory požadované pre tieto operačné systémy nájdete v spodnej časti stránky na prevzatie v časti Balíčky tretích strán.

Môžete tiež prevziať zdrojový kód Wireshark z tejto stránky.

02 z 07

Ako zachytiť dátové pakety

Scott Orgera

Pri prvom spustení Wireshark by mala byť viditeľná uvítacia obrazovka podobná tej, ktorá je zobrazená vyššie, obsahujúcu zoznam dostupných sieťových pripojení na vašom aktuálnom zariadení. V tomto príklade si všimnete, že sú zobrazené nasledujúce typy pripojenia: Bluetooth Sieťové pripojenie , Ethernet , Virtuálna sieť Host-Only Network , Wi-Fi . Zobrazená napravo od každého je lineárny graf v štýle EKG, ktorý predstavuje živú prevádzku v danej sieti.

Ak chcete spustiť zachytenie paketov, najprv vyberte jednu alebo viac týchto sietí kliknutím na svoju voľbu a pomocou klávesov Shift alebo Ctrl, ak chcete zaznamenať dáta z viacerých sietí súčasne. Po vybratí typu pripojenia na účely zachytenia bude jeho pozadie zatienené modrou alebo šedou farbou. Kliknite na položku Zachytiť z hlavného menu umiestneného smerom k hornej časti rozhrania Wireshark. Keď sa zobrazí rozbaľovacia ponuka, vyberte možnosť Štart .

Záznam paketov môžete spustiť aj pomocou jednej z nasledujúcich skratiek.

Objaví sa proces živého snímania, pričom sa v okne Wireshark zobrazia podrobnosti o paketoch, ako sú zaznamenané. Ak chcete zastaviť snímanie, vykonajte jednu z nižšie uvedených krokov.

03 z 07

Zobrazenie a analýza obsahu paketu

Scott Orgera

Teraz, keď ste nahrali niektoré sieťové údaje, je čas sa pozrieť na zachytené pakety. Ako je znázornené na snímke vyššie, rozhranie zachyteného dát obsahuje tri hlavné sekcie: Podokno zoznamu paketov, panel s podrobnosťami paketov a podokno paketov paketov.

Zoznam paketov

Podokno zoznamu paketov umiestnené v hornej časti okna zobrazuje všetky pakety nachádzajúce sa v aktívnom súbore snímania. Každý paket má spolu s každým z týchto dátových bodov svoj vlastný riadok a zodpovedajúce číslo.

Ak je v hornom paneli vybratý paket, v prvom stĺpci sa môže objaviť jeden alebo viac symbolov. Otvorené a / alebo zatvorené zátvorky, rovnako ako priama horizontálna čiara, môžu indikovať, či je alebo nie je paket alebo skupina paketov súčasťou tej istej spätnej a ďalšej konverzácie v sieti. Zlomená horizontálna čiara znamená, že paket nie je súčasťou uvedenej konverzácie.

Podrobnosti paketu

Panel s podrobnosťami, ktorý sa nachádza v strede, predstavuje protokoly a protokolové polia vybraného paketu v rozložiteľnom formáte. Okrem rozšírenia každého výberu môžete použiť aj jednotlivé filtre Wireshark na základe konkrétnych podrobností, ako aj sledovať toky údajov založené na type protokolu cez kontextové menu podrobností - prístupné kliknutím pravým tlačidlom myši na požadovanú položku v tomto okne.

Packet Bytes

V spodnej časti je podokruh paketov paketov, ktorý zobrazuje nespracované dáta vybraného paketu v hexadecimálnom zobrazení. Tento hexadecimálny výpis obsahuje 16 hexadecimálnych bajtov a 16 bajtov ASCII vedľa posunu údajov.

Výber konkrétnej časti týchto údajov automaticky zvýrazní príslušnú časť v tabuľke podrobností o paketoch a naopak. Všetky bajty, ktoré nie je možné vytlačiť, sú skôr reprezentované obdobím.

Môžete si vybrať zobrazenie týchto údajov v bitovom formáte na rozdiel od hexadecimálneho po kliknutí pravým tlačidlom na ľubovoľné miesto v okne a výberom príslušnej voľby z kontextového menu.

04 z 07

Použitie filtrov Wireshark

Scott Orgera

Jedným z najdôležitejších funkcií v súbore Wireshark je jej schopnosť filtrovania, a to najmä vtedy, keď máte čo do činenia so značne veľkými súbormi. Filtre na snímanie je možné nastaviť ešte predtým, čo inštruuje spoločnosť Wireshark, aby zaznamenávala iba tie pakety, ktoré spĺňajú vaše zadané kritériá.

Filtre je možné použiť aj v súboroch na zachytávanie, ktoré už boli vytvorené, takže sa zobrazujú len určité pakety. Tieto sú označované ako zobrazovacie filtre.

Wireshark v predvolenom nastavení poskytuje veľké množstvo vopred definovaných filtrov, ktoré vám umožnia zúžiť počet viditeľných paketov pomocou niekoľkých úderov alebo kliknutí myšou. Ak chcete použiť jeden z týchto existujúcich filtrov, umiestnite jeho názov do poľa Umiestniť filter na zobrazenie (umiestneného priamo pod panelom nástrojov Wireshark) alebo do poľa Zadajte capture filter (umiestnené v strede uvítacej obrazovky).

Existuje niekoľko spôsobov, ako to dosiahnuť. Ak už poznáte názov filtra, jednoducho ho zadajte do príslušného poľa. Napríklad, ak ste chceli zobraziť iba pakety TCP, zadáte tcp . Funkcia automatického dopĺňania siete Wireshark ukáže navrhnuté názvy, keď začnete písať, čo uľahčuje vyhľadanie správneho hľadáčika pre požadovaný filter.

Ďalším spôsobom, ako vybrať filter, je kliknúť na ikonu záložky umiestnenú na ľavej strane vstupného poľa. Zobrazí sa ponuka obsahujúca niektoré z najčastejšie používaných filtrov, ako aj možnosť Spravovať filtre na snímanie alebo Spravovať filtre na displeji . Ak sa rozhodnete spravovať jeden typ, zobrazí sa rozhranie, ktoré vám umožní pridať, odstrániť alebo upraviť filtre.

Môžete tiež pristupovať k predtým používaným filtrom výberom šípky nadol umiestnenej na pravej strane vstupného poľa, ktorý zobrazuje rozbaľovací zoznam histórie.

Po nastavení sa filtre na snímanie použijú hneď, ako začnete zaznamenávať sieťovú prevádzku. Ak chcete použiť filter zobrazenia, musíte kliknúť na tlačidlo šípky vpravo, ktoré sa nachádza na pravom okraji vstupného poľa.

05 z 07

Pravidlá sfarbenia

Scott Orgera

Filtre na zachytávanie a zobrazovanie Wireshark vám umožňujú obmedziť, ktoré pakety sú zaznamenané alebo zobrazené na obrazovke, jeho funkcie farieb berú veci o krok ďalej tým, že uľahčujú rozlíšenie medzi rôznymi typmi paketov na základe ich individuálneho sfarbenia. Táto užitočná funkcia umožňuje rýchlo vyhľadať určité pakety v rámci uloženej množiny podľa farebnej schémy ich riadku v podokne zoznamu paketov.

Wireshark je vybavený asi 20 vstavanými farebnými pravidlami. každý, ktorý môžete upraviť, vypnúť alebo odstrániť, ak chcete. Môžete tiež pridať nové filtre založené na odtieňoch pomocou rozhrania coloring rules, ktoré je možné nájsť v ponuke View . Okrem definovania mena a kritéria filtrov pre každé pravidlo sa tiež žiada, aby ste priradili farbu pozadia aj farbu textu.

Obarvenie paketov je možné prepínať a zapínať pomocou možnosti Colorize Packet List , ktorá sa tiež nachádza v ponuke Zobraziť .

06 z 07

štatistika

Getty Images (Colin Anderson # 532029221)

Okrem podrobných informácií o údajoch vašej siete zobrazených v hlavnom okne služby Wireshark je k dispozícii aj niekoľko ďalších užitočných metrík prostredníctvom rozbaľovacej ponuky Štatistika nachádzajúcej sa v hornej časti obrazovky. Patria sem informácie o veľkosti a časovaní samotného súboru na zachytenie, spolu s desiatkami grafov a grafov v rozmedzí tém z rozpisov paketových rozhovorov, aby sa načítala distribúcia žiadostí HTTP.

Filtre pre zobrazenie je možné použiť pre mnohé z týchto štatistík prostredníctvom ich jednotlivých rozhraní a výsledky je možné exportovať do niekoľkých bežných formátov súborov vrátane súborov CSV , XML a TXT.

07 z 07

Pokročilé vlastnosti

Lua.org

Aj keď sme v tomto článku pokryli väčšinu hlavných funkcií Wireshark, v tomto výkonnom nástroji, ktorý je zvyčajne vyhradený pre pokročilých používateľov, je k dispozícii aj množstvo ďalších funkcií. To zahŕňa možnosť napísať vlastné protokolové disektory v programovacom jazyku Lua.

Ďalšie informácie o týchto pokročilých funkciách nájdete v oficiálnej používateľskej príručke Wireshark.