26Aug
Wireshark, narzędzie analizy sieci znane wcześniej jako Ethereal, przechwytuje pakiety w czasie rzeczywistym i wyświetla je w formacie czytelnym dla człowieka. Wireshark zawiera filtry, kodowanie kolorami i inne funkcje, które umożliwiają głębsze zagłębianie się w ruch sieciowy i sprawdzanie poszczególnych pakietów.
Ten samouczek pozwoli Ci szybko opanować podstawy przechwytywania pakietów, filtrowania ich i sprawdzania. Możesz użyć Wiresharka do inspekcji ruchu sieciowego podejrzanego programu, analizy przepływu ruchu w sieci lub rozwiązywania problemów z siecią.
Uzyskiwanie Wireshark
Możesz pobrać Wireshark dla Windows lub MacOS z jego oficjalnej strony internetowej. Jeśli używasz Linuksa lub innego systemu podobnego do systemu UNIX, prawdopodobnie znajdziesz Wireshark w jego repozytoriach pakietów. Na przykład, jeśli korzystasz z Ubuntu, znajdziesz Wireshark w Centrum Oprogramowania Ubuntu.
Tylko szybkie ostrzeżenie: wiele organizacji nie zezwala na Wireshark i podobne narzędzia w swoich sieciach. Nie używaj tego narzędzia w pracy, chyba że masz pozwolenie.
Przechwytywanie pakietów
Po pobraniu i zainstalowaniu Wiresharka można go uruchomić i dwukrotnie kliknąć nazwę interfejsu sieciowego w obszarze Przechwytywanie, aby rozpocząć przechwytywanie pakietów w tym interfejsie. Na przykład, jeśli chcesz przechwycić ruch w sieci bezprzewodowej, kliknij swój interfejs bezprzewodowy. Możesz skonfigurować zaawansowane funkcje, klikając Capture & gt;Opcje, ale na razie nie jest to konieczne.
Po kliknięciu nazwy interfejsu zobaczysz, że pakiety zaczynają się pojawiać w czasie rzeczywistym. Wireshark przechwytuje każdy pakiet wysłany do lub z twojego systemu.
Jeśli masz włączony tryb promiscuous - jest on włączony domyślnie - zobaczysz także wszystkie inne pakiety w sieci, a nie tylko pakiety adresowane do karty sieciowej. Aby sprawdzić, czy włączony jest tryb promiscuous, kliknij Capture & gt;Opcje i sprawdź, czy pole "Włącz tryb swobodny na wszystkich interfejsach" jest aktywne u dołu tego okna.
Kliknij czerwony przycisk "Stop" w lewym górnym rogu okna, aby zatrzymać przechwytywanie ruchu.
Kodowanie kolorów
Prawdopodobnie zobaczysz pakiety wyróżnione w różnych kolorach. Wireshark wykorzystuje kolory, aby łatwiej zidentyfikować rodzaje ruchu na pierwszy rzut oka. Domyślnie jasnopurpurowy to ruch TCP, jasnoniebieski to ruch UDP, a czarny identyfikuje pakiety z błędami - na przykład, mogły zostać dostarczone poza kolejnością.
Aby zobaczyć dokładnie, co oznaczają kody kolorów, kliknij opcję Widok & gt;Zasady kolorowania. Możesz także dostosować i zmodyfikować reguły kolorowania stąd, jeśli chcesz.
Sample Capture
Jeśli nie ma nic ciekawego do sprawdzenia w swojej sieci, wiki Wiresharka cię obejmuje. Wiki zawiera stronę z przykładowymi plikami przechwytywania, które można załadować i sprawdzić.Kliknij Plik & gt;Otwórz w Wireshark i poszukaj pobranego pliku, aby go otworzyć.
Możesz również zapisywać własne przechwytywania w Wireshark i otwierać je później. Kliknij Plik & gt;Zapisz, aby zapisać przechwycone pakiety.
Filtrowanie pakietów
Jeśli próbujesz sprawdzić coś konkretnego, na przykład ruch, który program wysyła po telefonowaniu do domu, pomaga zamknąć wszystkie inne aplikacje korzystające z sieci, aby ograniczyć ruch. Mimo to prawdopodobnie będziesz mieć dużą liczbę pakietów do przeskanowania. Właśnie tam pojawiają się filtry Wiresharka.
Najprostszym sposobem zastosowania filtra jest wpisanie go w polu filtru u góry okna i kliknięcie Zastosuj( lub naciśnięcie klawisza Enter).Na przykład wpisz "dns", a zobaczysz tylko pakiety DNS.Gdy zaczniesz pisać, Wireshark pomoże Ci automatycznie uzupełnić filtr.
Możesz także kliknąć opcję Analizuj & gt;Wyświetl filtry, aby wybrać filtr spośród domyślnych filtrów zawartych w Wireshark. Tutaj możesz dodawać własne niestandardowe filtry i zapisywać je, aby łatwo uzyskać do nich dostęp w przyszłości.
Aby uzyskać więcej informacji na temat języka wyświetlania filtru Wireshark, przeczytaj stronę wyrażeń wyświetlania ekranu Budowanie w oficjalnej dokumentacji Wireshark.
Kolejną interesującą rzeczą, którą możesz zrobić, to kliknąć prawym przyciskiem myszy pakiet i wybrać Obserwuj> & gt;Strumień TCP.
Zobaczysz pełną konwersację TCP między klientem a serwerem. Możesz również kliknąć inne protokoły w menu Follow, aby zobaczyć pełne rozmowy dla innych protokołów, jeśli dotyczy.
Zamknij okno, a zobaczysz, że filtr został zastosowany automatycznie. Wireshark pokazuje pakiety, które składają się na rozmowę.
Sprawdzanie pakietów
Kliknij pakiet, aby go wybrać, a możesz go odszukać, aby wyświetlić jego szczegóły.
Można tutaj również tworzyć filtry - wystarczy kliknąć prawym przyciskiem myszy jeden ze szczegółów i użyć podmenu Zastosuj jako filtr, aby utworzyć na nim filtr.
Wireshark to niezwykle potężne narzędzie, a ten samouczek po prostu zarysowuje powierzchnię tego, co można z nim zrobić.Specjaliści używają go do debugowania implementacji protokołu sieciowego, sprawdzania problemów bezpieczeństwa i sprawdzania wewnętrznych protokołów sieciowych.
Więcej szczegółowych informacji można znaleźć w oficjalnym Przewodniku użytkownika Wireshark i innych stronach dokumentacji na stronie internetowej Wireshark.