26Aug
Wireshark, un instrument de analiză a rețelei cunoscut anterior sub numele de Ethereal, captează pachetele în timp real și le afișează în format citibil în mod uman. Wireshark include filtre, codare de culori și alte caracteristici care vă permit să săturați adânc în trafic în rețea și să inspectați pachetele individuale.
Acest tutorial vă va ajuta să obțineți cu ușurință principiile de captare a pachetelor, filtrarea lor și inspectarea lor. Puteți utiliza Wireshark pentru a inspecta traficul de rețea al unui program suspect, pentru a analiza fluxul de trafic din rețea sau pentru a depana problemele de rețea.
Obținerea Wireshark
Puteți descărca Wireshark pentru Windows sau MacOS de pe site-ul său oficial. Dacă utilizați Linux sau un alt sistem similar cu UNIX, veți găsi probabil Wireshark în depozitele sale de pachete. De exemplu, dacă utilizați Ubuntu, veți găsi Wireshark în Centrul de software Ubuntu.
Un avertisment rapid: multe organizații nu permit Wireshark și alte instrumente similare în rețelele lor. Nu utilizați acest instrument la lucru dacă nu aveți permisiunea.
Captarea pachetelor
După descărcarea și instalarea Wireshark, îl puteți lansa și faceți dublu clic pe numele unei interfețe de rețea sub Captură pentru a începe să captați pachete pe interfața respectivă.De exemplu, dacă doriți să capturați traficul în rețeaua dvs. wireless, faceți clic pe interfața dvs. wireless. Puteți configura funcții avansate făcând clic pe Captură & gt;Opțiuni, dar acest lucru nu este necesar pentru moment.
De îndată ce faceți clic pe numele interfeței, veți vedea că pachetele încep să apară în timp real. Wireshark captează fiecare pachet trimis către sau din sistemul dvs.
Dacă aveți activat modul promiscuos - acesta este activat în mod prestabilit - veți vedea, de asemenea, toate celelalte pachete din rețea, în loc de numai pachetele adresate adaptorului dvs. de rețea. Pentru a verifica dacă modul promiscuos este activat, faceți clic pe Captură & gt;Opțiunile și verificarea casetei de selectare "Activați modul promiscuos pe toate interfețele" este activată în partea de jos a acestei ferestre.
Faceți clic pe butonul roșu "Stop" din colțul din stânga sus al ferestrei atunci când doriți să opriți capturarea traficului. Cod
Veți vedea probabil pachete evidențiate într-o varietate de culori diferite. Wireshark utilizează culori pentru a vă ajuta să identificați tipurile de trafic dintr-o privire.În mod implicit, purpuriu deschis este traficul TCP, albastru deschis este traficul UDP, iar negrul identifică pachetele cu erori - de exemplu, acestea ar fi putut fi livrate necorespunzător.
Pentru a vedea exact ce înseamnă codurile de culoare, faceți clic pe Vizualizare & gt;Reguli de colorare. De asemenea, puteți personaliza și modifica regulile de colorare de aici, dacă doriți. Exemplul
captează
Dacă nu este nimic interesant în privința inspectării rețelei dvs., wiki-ul Wireshark vă acoperă.Wiki conține o pagină de fișiere de captură de probă pe care le puteți încărca și inspecta. Faceți clic pe Fișier & gt;Deschideți în Wireshark și căutați fișierul descărcat pentru a deschide unul.
De asemenea, puteți salva propriile capturi în Wireshark și le puteți deschide mai târziu. Faceți clic pe Fișier & gt;Salvați pentru a salva pachetele capturate.
Pachete de filtrare
Dacă încercați să inspectați ceva specific, cum ar fi traficul pe care un program îl trimite când sună acasă, vă ajută să închideți toate celelalte aplicații folosind rețeaua, astfel încât să puteți restrânge traficul. Cu toate acestea, probabil că veți avea o cantitate mare de pachete pentru a trece prin. Aici intră filtrele Wireshark.
Cea mai de bază mod de a aplica un filtru este tastarea lui în caseta de filtrare din partea de sus a ferestrei și apăsând pe Aplicați( sau apăsând pe Enter).De exemplu, tastați "DNS" și veți vedea numai pachete DNS.Când începeți să tastați, Wireshark vă va ajuta să vă autocompletați filtrul.
De asemenea, puteți face clic pe Analizați & gt;Afișați filtrele pentru a alege un filtru dintre filtrele implicite incluse în Wireshark. De aici, puteți să adăugați propriile filtre personalizate și să le salvați pentru a le accesa cu ușurință în viitor.
Pentru mai multe informații despre limbajul de filtrare a afișajului Wireshark, citiți pagina Expresii filtru de afișare clădiri din documentația oficială Wireshark.
Un alt lucru interesant pe care îl puteți face este să faceți clic dreapta pe un pachet și să selectați Urmăriți & gt;TCP Stream.
Veți vedea întreaga conversație TCP între client și server. De asemenea, puteți să faceți clic pe alte protocoale din meniul Urmărire pentru a vedea conversațiile complete pentru alte protocoale, dacă este cazul.
Închideți fereastra și veți găsi că un filtru a fost aplicat automat. Wireshark vă arată pachetele care alcătuiesc conversația.
Verificarea pachetelor
Faceți clic pe un pachet pentru al selecta și puteți să vă descărcați pentru a vedea detaliile.
De asemenea, puteți crea filtre de aici - doar faceți clic dreapta pe una dintre detalii și utilizați submeniul Aplicați ca filtru pentru a crea un filtru bazat pe acesta.
Wireshark este un instrument extrem de puternic, iar acest tutorial este doar zgârierea suprafeței a ceea ce puteți face cu ea. Profesioniștii o utilizează pentru depanarea implementărilor protocolului de rețea, examinarea problemelor de securitate și inspectarea internelor protocolului de rețea.
Puteți găsi mai multe informații detaliate în ghidul utilizatorului Wireshark și în celelalte pagini de documentare de pe site-ul Wireshark.