Wireshark to darmowa aplikacja, której używasz do przechwytywania i przeglądania danych podróżujących tam iz powrotem w twojej sieci. Zapewnia możliwość drążenia w dół i odczytywania zawartości każdego pakietu i jest filtrowany w celu spełnienia określonych potrzeb. Jest powszechnie używany do rozwiązywania problemów z siecią oraz do opracowywania i testowania oprogramowania. Ten analizator protokołów open-source jest powszechnie uznawany za standard branżowy, zdobywając w ten sposób sporą część nagród na przestrzeni lat.
Oryginalnie znany jako Ethereal, Wireshark ma przyjazny dla użytkownika interfejs, który może wyświetlać dane z setek różnych protokołów na wszystkich głównych typach sieci. Pakiety danych mogą być przeglądane w czasie rzeczywistym lub analizowane w trybie offline. Wireshark obsługuje dziesiątki obsługiwanych formatów plików przechwytywania / śledzenia, w tym CAP i ERF. Zintegrowane narzędzia do odszyfrowywania umożliwiają wyświetlanie zaszyfrowanych pakietów dla kilku popularnych protokołów, w tym WEP i WPA / WPA2.
01 z 07Pobieranie i instalowanie Wireshark
Wireshark można pobrać bezpłatnie ze strony internetowej Fundacji Wireshark zarówno dla systemów operacyjnych Mac OS, jak i Windows. Jeśli nie jesteś zaawansowanym użytkownikiem, zaleca się pobranie tylko najnowszej stabilnej wersji. W trakcie procesu instalacji systemu Windows, jeśli zostaniesz o to poproszony, wybierz instalację WinPcap, ponieważ zawiera ona bibliotekę wymaganą do przechwytywania danych na żywo.
Aplikacja jest również dostępna dla systemu Linux i większości innych platform podobnych do UNIX, w tym Red Hat, Solaris i FreeBSD. Pliki binarne wymagane dla tych systemów operacyjnych można znaleźć w dolnej części strony pobierania w sekcji Pakiety stron trzecich. Możesz również pobrać kod źródłowy Wireshark z tej strony.
Jak przechwytywać pakiety danych
Przy pierwszym uruchomieniu Wiresharka pojawia się ekran powitalny zawierający listę dostępnych połączeń sieciowych na bieżącym urządzeniu. W tym przykładzie można zauważyć, że wyświetlane są następujące typy połączeń: Połączenie sieciowe Bluetooth, Ethernet, Sieć hosta VirtualBox i Wi-Fi. Po prawej stronie wyświetlany jest wykres liniowy w stylu EKG, który przedstawia ruch na żywo w danej sieci.
Aby rozpocząć przechwytywanie pakietów, wybierz jedną lub więcej sieci, klikając wybraną opcję i używając Przesunięcie lub Ctrl klucze, jeśli chcesz jednocześnie nagrywać dane z wielu sieci. Po wybraniu typu połączenia do przechwytywania jego tło jest cieniowane kolorem niebieskim lub szarym. Kliknij Zdobyć w głównym menu znajdującym się u góry interfejsu Wireshark. Po wyświetleniu menu rozwijanego wybierz opcję Początek opcja.
Możesz również rozpocząć przechwytywanie pakietów za pomocą jednego z poniższych skrótów.
- Klawiatura: NaciśnijCtrl + MI.
- Mysz: Aby rozpocząć przechwytywanie pakietów z jednej konkretnej sieci, kliknij dwukrotnie jej nazwę.
- Pasek narzędzi: Kliknij niebieski przycisk płetwy rekina znajdujący się po lewej stronie paska narzędzi Wireshark.
Rozpocznie się proces przechwytywania na żywo, a Wireshark wyświetli szczegóły pakietu podczas ich rejestrowania. Aby zatrzymać przechwytywanie:
- Klawiatura: naciśnij Ctrl + mi
- Pasek narzędzi: Kliknij czerwony Zatrzymać przycisk umieszczony obok płetwy rekina na pasku narzędzi Wireshark.
Przeglądanie i analizowanie zawartości pakietów
Po nagraniu niektórych danych sieciowych nadszedł czas, aby przyjrzeć się przechwyconym pakietom. Interfejs przechwyconych danych zawiera trzy główne sekcje: panel listy pakietów, panel szczegółów pakietu i okienko pakietów.
Lista pakietów
Panel listy pakietów, znajdujący się w górnej części okna, pokazuje wszystkie pakiety znalezione w aktywnym pliku przechwytywania. Każdy pakiet ma swój własny wiersz i odpowiadający mu numer, wraz z każdym z tych punktów danych.
- Czas: Znacznik czasu, w którym pakiet został przechwycony, jest wyświetlany w tej kolumnie. Domyślny format to liczba sekund lub sekund sekund od utworzenia tego pliku przechwytywania. Aby zmienić ten format na coś, co może być bardziej przydatne, na przykład o aktualnej porze dnia, wybierz opcję Format wyświetlania czasu opcja z Wireshark's Widok menu znajdujące się u góry głównego interfejsu.
- Źródło: Ta kolumna zawiera adres (IP lub inny), z którego pochodzi pakiet.
- Przeznaczenie: Ta kolumna zawiera adres, do którego pakiet jest wysyłany.
- Protokół: W tej kolumnie można znaleźć nazwę protokołu pakietu, na przykład TCP.
- Długość: Długość pakietu w bajtach jest wyświetlana w tej kolumnie.
- Informacje: Dodatkowe szczegóły na temat pakietu są przedstawione tutaj. Zawartość tej kolumny może się znacznie różnić w zależności od zawartości pakietu.
Po wybraniu pakietu w górnym panelu możesz zauważyć, że jeden lub więcej symboli pojawia się w pierwszej kolumnie. Otwarte lub zamknięte nawiasy i prosta pozioma linia wskazują, czy pakiet lub grupa pakietów są częścią tej samej konwersacji w sieci. Zerwana linia pozioma oznacza, że pakiet nie jest częścią wspomnianej konwersacji.
Szczegóły pakietów
Okienko szczegółów, znajdujące się w środku, przedstawia protokoły i pola protokołu wybranego pakietu w formacie zwijanym. Oprócz rozszerzania każdej selekcji można zastosować pojedyncze filtry Wireshark w oparciu o określone szczegóły i śledzić strumienie danych w oparciu o typ protokołu za pomocą menu kontekstowego szczegółów, dostępnego po kliknięciu prawym przyciskiem myszy na żądanym elemencie w tym okienku.
Bajty pakietów
U dołu znajduje się okienko pakietów bajtów, które wyświetla nieprzetworzone dane wybranego pakietu w widoku szesnastkowym.Ten zrzut szesnastkowy zawiera 16 bajtów szesnastkowych i 16 bajtów ASCII obok przesunięcia danych.
Wybranie konkretnej części danych automatycznie podświetli odpowiednią sekcję w okienku szczegółów pakietu i na odwrót. Wszystkie bajty, których nie można wydrukować, są reprezentowane przez kropkę.
Możesz wybrać wyświetlanie tych danych w formacie bitowym w przeciwieństwie do szesnastkowych, klikając prawym przyciskiem myszy w dowolnym miejscu w panelu i wybierając odpowiednią opcję z menu kontekstowego.
04 z 07Korzystanie z filtrów Wireshark
Jednym z najważniejszych zestawów funkcji w Wireshark jest możliwość filtrowania, szczególnie gdy mamy do czynienia z plikami o znacznej wielkości. Filtry przechwytywania można ustawić przed faktem, nakazując Wireshark, aby zapisywał tylko te pakiety, które spełniają określone kryteria.
Filtry można również zastosować do pliku przechwytywania, który został już utworzony, dzięki czemu wyświetlane są tylko niektóre pakiety. Są one określane jako filtry wyświetlania.
Wireshark udostępnia domyślnie dużą liczbę predefiniowanych filtrów, pozwalając zawęzić liczbę widocznych pakietów za pomocą kilku naciśnięć klawiszy lub kliknięć myszą. Aby użyć jednego z tych istniejących filtrów, umieść jego nazwę w Zastosuj filtr wyświetlania pole wejściowe znajdujące się bezpośrednio pod paskiem narzędzi Wireshark lub w Wprowadź filtr przechwytywania Pole wprowadzania znajduje się na środku ekranu powitalnego.
Istnieje wiele sposobów, aby to osiągnąć. Jeśli znasz już nazwę filtra, wpisz go w odpowiednie pole. Na przykład, jeśli chcesz wyświetlić tylko pakiety TCP, wpisz tcp. Funkcja autouzupełniania Wiresharka pokazuje sugerowane nazwy, gdy zaczynasz pisać, co ułatwia znalezienie właściwego monikera dla szukanego filtra.
Innym sposobem wyboru filtra jest kliknięcie ikony podobnej do zakładki umieszczonej po lewej stronie pola wprowadzania. Prezentuje menu zawierające niektóre z najczęściej używanych filtrów, a także opcję Zarządzaj filtrami przechwytywania lub Zarządzaj filtrami wyświetlania. Jeśli zdecydujesz się zarządzać dowolnym typem, pojawi się interfejs umożliwiający dodawanie, usuwanie lub edytowanie filtrów.
Możesz również uzyskać dostęp do wcześniej używanych filtrów, wybierając strzałkę w dół po prawej stronie pola wprowadzania, aby wyświetlić listę rozwijaną historii.
Po ustawieniu filtry przechwytywania są stosowane natychmiast po rozpoczęciu rejestrowania ruchu sieciowego. Aby zastosować filtr wyświetlania, kliknij przycisk strzałki w prawo znajdujący się po prawej stronie pola wprowadzania.
05 z 07Reguły kolorów
Podczas przechwytywania i wyświetlania filtrów Wireshark pozwalają ograniczyć to, które pakiety są nagrywane lub wyświetlane na ekranie, jego funkcja barwienia posuwa się o krok dalej, ułatwiając rozróżnianie różnych rodzajów pakietów w zależności od ich indywidualnego odcienia. Ta przydatna funkcja pozwala szybko zlokalizować określone pakiety w zapisanym zestawie według koloru ich wiersza w panelu listy pakietów.
Wireshark zawiera około 20 domyślnych reguł kolorowania, z których każdy może być edytowany, wyłączany lub usuwany, jeśli chcesz. Możesz także dodawać nowe filtry oparte na cieniu poprzez interfejs reguł kolorowania, dostępny z poziomu Widok menu. Oprócz zdefiniowania nazwy i kryteriów filtrowania dla każdej reguły, użytkownik zostanie poproszony o skojarzenie zarówno koloru tła, jak i koloru tekstu.
Sortowanie pakietów można wyłączyć i włączyć za pomocą Koloruj listę pakietów opcja, również znaleziona w Widok menu.
06 07Statystyka
Oprócz szczegółowych informacji na temat danych twojej sieci pokazanych w głównym oknie Wiresharka, kilka innych użytecznych danych jest dostępnych za pośrednictwem Statystyka rozwijane menu znajdujące się u góry ekranu. Obejmują one informacje o rozmiarze i taktowaniu samego pliku przechwytywania, a także dziesiątki wykresów i wykresów obejmujących temat od załamania konwersacji pakietów do ładowania dystrybucji żądań HTTP.
Filtry wyświetlania można zastosować do wielu z tych statystyk za pośrednictwem ich interfejsów, a wyniki można wyeksportować do kilku popularnych formatów plików, w tym CSV, XML i TXT.
07 z 07Zaawansowane funkcje
Oprócz głównej funkcjonalności Wiresharka, dostępna jest także kolekcja dodatkowych funkcji w tym potężnym narzędziu, zarezerwowanym zwykle dla zaawansowanych użytkowników. Obejmuje to możliwość pisania własnych rozproszonych protokołów w języku programowania Lua.
