26Aug
Wireshark, sieťový analytický nástroj, ktorý bol predtým známy ako Ethereal, zachycuje pakety v reálnom čase a zobrazuje ich v čitateľnom formáte. Wireshark obsahuje filtre, farebné kódovanie a ďalšie funkcie, ktoré vám umožnia hlbšie prechádzať do siete a kontrolovať jednotlivé pakety.
Tento tutoriál vás prevedie rýchlo so základmi zachytávania paketov, ich filtrovaním a kontrolou. Môžete použiť službu Wireshark na kontrolu sieťovej prevádzky podozrivého programu, na analýzu toku návštevnosti v sieti alebo na riešenie problémov so sieťou.
Získanie Wireshark
Wireshark pre Windows alebo MacOS si môžete stiahnuť z oficiálnych webových stránok. Ak používate Linux alebo iný systém podobný systému UNIX, pravdepodobne nájdete Wireshark vo svojich úložiskách balíkov. Napríklad, ak používate Ubuntu, Wireshark nájdete v Softvérovom centre Ubuntu.
Len rýchle varovanie: Mnoho organizácií nepovoľuje Wireshark a podobné nástroje vo svojich sieťach. Nepoužívajte tento nástroj v práci, pokiaľ nemáte povolenie.
Zachytenie paketov
Po prevzatí a inštalácii Wireshark ho môžete spustiť a dvakrát kliknúť na názov sieťového rozhrania v časti Capture( Zachytiť), čím začnete zachytiť pakety na danom rozhraní.Ak chcete napríklad zaznamenať návštevnosť vo vašej bezdrôtovej sieti, kliknite na bezdrôtové rozhranie. Rozšírené funkcie môžete nakonfigurovať kliknutím na položku Capture & gt;Možnosti, ale teraz to nie je potrebné.
Akonáhle kliknete na názov rozhrania, uvidíte, že sa pakety začnú zobrazovať v reálnom čase. Wireshark zachytáva každý paket odoslaný do alebo z Vášho systému.
Ak máte povolený promiskuitný režim - v predvolenom nastavení je zapnutý, uvidíte aj všetky ostatné pakety v sieti namiesto iba paketov adresovaných sieťovému adaptéru. Ak chcete skontrolovať, či je povolený promiskuitný režim, kliknite na položku Capture & gt;Možnosti a overenie zaškrtávacieho políčka "Povoliť promiskuitný režim na všetkých rozhraniach" sa aktivujú v spodnej časti tohto okna.
Kliknutím na červené tlačidlo "Stop" v ľavom hornom rohu okna, keď chcete zastaviť snímanie návštevnosti.
Farebné kódovanie
Pravdepodobne budete vidieť pakety zvýraznené v rôznych farbách. Wireshark používa farby, ktoré vám na prvý pohľad pomôžu identifikovať typy prevádzky. V predvolenom nastavení je svetlo purpurová návštevnosť TCP, svetelná modrá je služba UDP a čierna identifikuje pakety s chybami - napríklad mohli byť nedoručené.
Ak chcete zobraziť presne to, čo znamenajú farebné kódy, kliknite na položku Zobraziť & gt;Pravidlá sfarbenia. Môžete tiež prispôsobiť a upraviť pravidlá sfarbenia tu, ak chcete. Vzorka
zachytáva
Ak nie je nič zaujímavé vo vašej sieti na kontrolu, wiki Wireshark je pokrytá.Wiki obsahuje stránku súborov na zachytávanie vzoriek, ktoré môžete načítať a kontrolovať.Kliknite na položku Súbor & gt;Otvorte vo Wireshark a prehliadnite si stiahnutý súbor a otvorte ho.
Môžete tiež uložiť vlastné snímky v Wireshark a neskôr ich otvoriť.Kliknite na položku Súbor & gt;Uložte uložené pakety.
Filtrovanie paketov
Ak sa pokúšate skontrolovať niečo konkrétne, ako je napríklad návštevnosť, ktorú pošle program pri telefonovaní doma, pomáha zatvárať všetky ostatné aplikácie pomocou siete, aby ste mohli zúžiť návštevnosť.Napriek tomu budete pravdepodobne mať veľké množstvo paketov, ktoré sa budú preťahovať.To je miesto, kde sa nachádzajú filtre spoločnosti Wireshark.
Najzákladnejším spôsobom použitia filtra je zadanie do filtračného poľa v hornej časti okna a kliknutie na tlačidlo Použiť( alebo stlačenie klávesu Enter).Zadajte napríklad "dns" a uvidíte iba pakety DNS.Keď začnete písať, služba Wireshark vám pomôže pri automatickom dokončení filtrovania.
Môžete tiež kliknúť na položku Analyzovať & gt;Filtre na zobrazenie vyberte filter z predvolených filtrov zahrnutých do služby Wireshark. Odtiaľ môžete pridať vlastné vlastné filtre a uložiť ich, aby ste im v budúcnosti mohli ľahko pristupovať.
Ďalšie informácie o jazyku filtrovania zobrazenia Wireshark nájdete v oficiálnej dokumentácii Wireshark na stránke Výrazy filtrov budovy.
Ďalšou zaujímavou vecou, ktorú môžete urobiť, je pravým kliknutím na paket a výberom položky Follow & gt;Stream TCP.
Zobrazí sa celá konverzácia TCP medzi klientom a serverom. Môžete tiež kliknúť na iné protokoly v ponuke Follow a zobraziť úplné konverzácie pre iné protokoly, ak je to vhodné.
Zatvorte okno a nájdete filter, ktorý bol automaticky použitý.Wireshark vám zobrazuje pakety, ktoré tvoria rozhovor.
Kontrola paketov
Kliknutím na paket ho vyberiete a budete môcť kopať pre zobrazenie jeho podrobností.
Tu môžete tiež vytvoriť filtre - stačí kliknúť pravým tlačidlom myši na niektorú z podrobností a použiť submenu Apply as Filter na vytvorenie filtrovania na základe tohto.
Wireshark je mimoriadne výkonný nástroj a tento tutoriál len poškriabal povrch toho, čo s ním môžete robiť.Odborníci ju používajú na ladenie implementácií sieťových protokolov, skúmanie bezpečnostných problémov a kontrolu interných protokolov siete.
Podrobnejšie informácie nájdete v oficiálnej používateľskej príručke Wireshark a na ďalších stránkach dokumentácie na webových stránkach spoločnosti Wireshark.