Як выкарыстоўваць Wireshark: Поўны падручнік

Задаволены

• Захоп і праглядаць дадзеныя, якія падарожнічаюць па вашай сетцы з дапамогай Wireshark
• Што такое Wireshark?
• Як запампаваць і ўсталяваць Wireshark
• Як захапіць пакеты дадзеных з дапамогай Wireshark
• Як прагледзець і прааналізаваць змест пакета
• Спіс пакетаў
• Падрабязнасці пакета
• Байт-пакет
• Як выкарыстоўваць фільтры Wireshark
• Правілы колеру Wireshark
• Статыстыка ў Wireshark
• Пашыраны функцыі Wireshark

Захоп і праглядаць дадзеныя, якія падарожнічаюць па вашай сетцы з дапамогай Wireshark

Wireshark - гэта прыкладанне з адкрытым зыходным кодам, якое фіксуе і адлюстроўвае дадзеныя, якія рухаюцца наперад і назад па сетцы. Звычайна выкарыстоўваецца для ліквідацыі праблем з сеткай і праверкі праграмнага забеспячэння, паколькі забяспечвае магчымасць дэталізацыі і чытання змесціва кожнага пакета.

Інструкцыі ў гэтым артыкуле датычацца Wireshark 3.0.3 для Windows і Mac.

Што такое Wireshark?

Першапачаткова вядомы як Ethereal, Wireshark адлюстроўвае дадзеныя з сотняў розных пратаколаў па ўсіх асноўных тыпах сеткі. Пакеты дадзеных можна праглядаць у рэжыме рэальнага часу альбо аналізаваць у аўтаномным рэжыме. Wireshark падтрымлівае дзясяткі фарматаў захопу / трасіроўкі, уключаючы CAP і ERF. Убудаваныя інструменты дэшыфравання адлюстроўваюць зашыфраваныя пакеты для некалькіх агульных пратаколаў, у тым ліку WEP і WPA / WPA2.

Як запампаваць і ўсталяваць Wireshark

Wireshark можна спампаваць бясплатна з вэб-сайта Фонду Wireshark як для macOS, так і для Windows. Вы ўбачыце апошні стабільны рэліз і бягучы выпуск распрацоўкі. Запампуйце стабільную версію, калі вы не прасунуты карыстальнік.

Падчас працэсу ўстаноўкі Windows абярыце ўсталяваць WinPcap альбо Npcap калі гэта будзе прапанавана, бо яны ўключаюць бібліятэкі, неабходныя для збору жывых дадзеных.

Каб выкарыстоўваць Wireshark, вы павінны ўвайсці на прыладу ў якасці адміністратара. У Windows 10 знайдзіце Wireshark і абярыце Запусціце ў якасці адміністратара. У macOS пстрыкніце правай кнопкай мышы на значку прыкладання і выберыце Атрымаць інфармацыю. У той Абмен і дазволы налад, дайце адміністратару Чытаць і пісаць прывілеі.

Дадатак таксама даступны для Linux і іншых UNIX-падобных платформаў, уключаючы Red Hat, Solaris і FreeBSD. Двайковыя файлы, неабходныя для гэтых аперацыйных сістэм, можна знайсці ўнізе старонкі загрузкі Wireshark у раздзеле Пакеты трэціх бакоў раздзел. Вы таксама можаце спампаваць з гэтай старонкі зыходны код Wireshark.

Як захапіць пакеты дадзеных з дапамогай Wireshark

Пры запуску Wireshark, у прывітальным экране паказаны даступныя сеткавыя злучэнні на бягучай прыладзе. Справа кожнага адлюстроўваецца лінейны графік стылю EKG, які ўяўляе жывы трафік у гэтай сетцы.

Каб пачаць захоп пакетаў з Wireshark:

1. Выберыце адну або некалькі сетак, перайдзіце ў радок меню, а затым выберыце Захоп.

   Каб выбраць некалькі сетак, утрымлівайце Зрух пры выбары.

   

2. У той Інтэрфейсы захопу Wireshark акно, выберыце Пачатак.

   Ёсць і іншыя спосабы ініцыявання захопу пакета. Абярыце плаўнік акулы з левага боку панэлі інструментаў Wireshark націсніцеCtrl + Eабо двойчы пстрыкніце сеткай.

   

3. Абярыце Файл > Захаваць як альбо выбраць Экспарт варыянт запісу захопу.

   

4. Каб спыніць захоп, націсніце Ctrl + E. Або перайдзіце на панэль інструментаў Wireshark і выберыце чырвоны колер Стоп кнопка, размешчаная побач з плаўніком акулы.

   

Як прагледзець і прааналізаваць змест пакета

Інтэрфейс захопленых дадзеных утрымлівае тры асноўныя раздзелы:

• Панэль спісаў пакетаў (верхні раздзел)
• Панэль звестак аб пакеце (сярэдні раздзел)
• Панэль байт пакета (ніжні раздзел)

Спіс пакетаў

Панэль спісаў пакетаў, размешчаная ў верхняй частцы акна, паказвае ўсе пакеты, знойдзеныя ў файле актыўнага захопу. У кожнага пакета ёсць свой радок і прысвоены яму нумар разам з кожным з гэтых пунктаў дадзеных:

• Не: Гэта поле паказвае, якія пакеты з'яўляюцца часткай адной размовы. Ён застаецца пустым, пакуль вы не абралі пакет.
• Час: У гэтым слупку адлюстроўваецца метка часу захопу пакета. Фармат па змаўчанні - гэта колькасць секунд або частковых секунд з моманту першага стварэння гэтага канкрэтнага файла захопу.
• Крыніца: Гэты слупок утрымлівае адрас (IP ці іншы), адкуль узнік пакет.
• Пункт прызначэння: Гэты слупок утрымлівае адрас, на які пасылаецца пакет.
• Пратакол: Імя пратакола пакета, напрыклад, TCP, можна знайсці ў гэтым слупку.
• Даўжыня: Даўжыня пакета ў байтах адлюстроўваецца ў гэтым слупку.
• Інфармацыя: Дадатковыя звесткі пра пакет прадстаўлены тут. Змест гэтага слупка можа значна адрознівацца ў залежнасці ад змесціва пакета.

Каб змяніць фармат часу на нешта больш карыснае (напрыклад, фактычны час сутак), абярыце Выгляд > Фармат часу адлюстравання.

Калі ў верхняй панэлі абраны пакет, вы можаце заўважыць адзін або некалькі сімвалаў у Не. слупок. Адкрытыя ці закрытыя дужкі і прамая гарызантальная лінія паказваюць, ці з'яўляецца пакет ці група пакетаў часткай адной і той жа размовы ў сетцы. Разбітая гарызантальная лінія азначае, што пакет не з'яўляецца часткай размовы.

Падрабязнасці пакета

На панэлі звестак, якая знаходзіцца ў сярэдзіне, прадстаўлены пратаколы і пратакольныя палі абранага пакета ў фармаце, які складаецца. У дадатак да пашырэння кожнага выбару, вы можаце ўжыць асобныя фільтры Wireshark на аснове канкрэтных дэталяў і сачыць за патокамі дадзеных па тыпу пратакола, пстрыкнуўшы правай кнопкай мышы патрэбны элемент.

Байт-пакет

Унізе размешчана панэль байт пакетаў, якая адлюстроўвае неапрацаваныя дадзеныя абранага пакета ў шаснаццатковым выглядзе. Гэты шаснаццатны дамп змяшчае 16 шаснаццатковых байтаў і 16 байтаў ASCII разам са зрушэннем дадзеных.

Выбар пэўнай часткі гэтых дадзеных аўтаматычна вылучае адпаведны раздзел на панэлі звестак аб пакеце і наадварот. Любыя байты, якія нельга раздрукаваць, прадстаўляюцца кропкай.

Каб адлюстраваць гэтыя дадзеныя ў бітавым фармаце ў адрозненне ад шаснаццатковага, пстрыкніце правай кнопкай мышы ў любым месцы панэлі і абярыце як біты.

Як выкарыстоўваць фільтры Wireshark

Фільтры захопу інструктуюць Wireshark толькі запісваць пакеты, якія адпавядаюць зададзеным крытэрам. Фільтры таксама могуць быць ужытыя да файла захопу, які быў створаны так, што адлюстроўваюцца толькі пэўныя пакеты. Яны называюцца фільтрамі адлюстравання.

Wireshark забяспечвае вялікую колькасць загадзя вызначаных фільтраў. Каб выкарыстоўваць адзін з гэтых існуючых фільтраў, увядзіце яго імя ў Прымяніць дысплейны фільтр поле ўводу, размешчанае пад панэллю Wireshark альбо ў Увядзіце фільтр захопу поле, размешчанае ў цэнтры экрана прывітання.

Напрыклад, калі вы хочаце паказаць пакеты TCP, увядзіце ткп. Функцыя аўтазапаўнення Wireshark паказвае прапанаваныя імёны, калі вы пачынаеце ўводзіць тэкст, што палягчае пошук патрэбнага інструмента для фільтра, які вы шукаеце.

Іншы спосаб выбару фільтра - гэта выбар закладка з левага боку поля ўводу. Абярыце Кіраванне выразамі фільтраў альбо Кіраванне фільтрамі адлюстравання дадаваць, выдаляць ці рэдагаваць фільтры.

Вы таксама можаце атрымаць доступ да раней выкарыстаных фільтраў, выбраўшы стрэлку ўніз з правага боку поля ўводу для адлюстравання выпадальнага спісу гісторыі.

Фільтры захопу прымяняюцца, як толькі вы пачынаеце запісваць сеткавы трафік. Каб ужыць фільтр адлюстравання, выберыце стрэлку направа з правага боку поля ўводу.

Правілы колеру Wireshark

У той час як фільтры захопу і адлюстравання Wireshark абмяжоўваюць, якія пакеты запісваюцца або адлюстроўваюцца на экране, яго функцыя афарбоўвання робіць усё яшчэ больш кшталту: ён можа адрозніваць розныя тыпы пакетаў у залежнасці ад іх індывідуальнага адцення. Гэта хутка знаходзіць пэўныя пакеты ў захаваным наборы па колеры радка на панэлі спісаў пакетаў.

Wireshark пастаўляецца з каля 20 правілаў афарбоўкі па змаўчанні, кожнае з якіх можна рэдагаваць, адключаць ці выдаляць. Абярыце Выгляд > Правілы афарбоўкі для агляду таго, што азначае кожны колер. Вы таксама можаце дадаць уласныя каляровыя фільтры.

Абярыце Выгляд > Размаляваць спіс пакетаў уключаць і выключаць размалёўку пакетаў.

Статыстыка ў Wireshark

Іншыя карысныя паказчыкі даступныя праз Статыстыка выпадальнае меню. Яны ўключаюць у сябе інфармацыю пра памер і тэрміны пра файл захопу, а таксама дзясяткі графікаў і графікаў, пачынаючы з тэмы: ад разборак пакетаў да размовы да загрузкі размеркавання HTTP-запытаў.

Фільтры адлюстравання могуць прымяняцца да многіх з гэтых статыстычных дадзеных праз іх інтэрфейсы, а вынікі можна экспартаваць у агульныя фарматы файлаў, уключаючы CSV, XML і TXT.

Пашыраны функцыі Wireshark

Wireshark таксама падтрымлівае дадатковыя функцыі, у тым ліку магчымасць пісаць пратакол рассякальнікаў на мове праграмавання Lua.