pro mnoho IT odborníků je Wireshark nástrojem go-to pro analýzu síťových paketů. Software s otevřeným zdrojovým kódem umožňuje pečlivě prozkoumat shromážděná data a určit kořen problému se zvýšenou přesností. Kromě toho Wireshark pracuje v reálném čase a používá barevné kódování k zobrazení zachycených paketů, mimo jiné šikovné mechanismy.
v tomto tutoriálu si vysvětlíme, jak zachytit, číst a filtrovat pakety pomocí Wireshark. Níže naleznete podrobné pokyny a členění základních funkcí analýzy sítě. Jakmile zvládnete tyto základní kroky, budete moci zkontrolovat tok provozu vaší sítě a řešit problémy s větší efektivitou.
analýza paketů
jakmile jsou pakety zachyceny, Wireshark je uspořádá do podrobného podokna seznamu paketů, které je neuvěřitelně snadno čitelné. Pokud chcete získat přístup k informacím týkajícím se jednoho paketu, stačí je najít v seznamu a kliknout. Strom můžete také dále rozšířit a získat přístup k podrobnostem každého protokolu obsaženého v paketu.
pro ucelenější přehled můžete každý zachycený paket zobrazit v samostatném okně. Zde je návod:
- vyberte paket ze seznamu kurzorem a klepněte pravým tlačítkem myši.
- otevřete kartu „Zobrazit“ na panelu nástrojů výše.
- v rozevírací nabídce vyberte možnost „Zobrazit Paket v novém okně“.
poznámka: je mnohem snazší porovnat zachycené pakety, pokud je vyvoláte v samostatných oknech.
jak již bylo zmíněno, Wireshark používá systém barevného kódování pro vizualizaci dat. Každý paket je označen jinou barvou, která představuje různé typy provozu. Například TCP provoz je obvykle zvýrazněn modrou barvou, zatímco černá se používá k označení paketů obsahujících chyby.
samozřejmě si nemusíte pamatovat význam za každou barvou. Místo toho můžete zkontrolovat na místě:
- klepněte pravým tlačítkem myši na paket, který chcete prozkoumat.
- na panelu nástrojů v horní části obrazovky vyberte kartu „Zobrazit“.
- z rozevíracího panelu vyberte „pravidla zbarvení“.
uvidíte možnost přizpůsobit zbarvení podle vašich představ. Pokud však chcete změnit pravidla zbarvení pouze dočasně, postupujte takto:
- klepněte pravým tlačítkem myši na paket v podokně Seznam paketů.
- ze seznamu možností vyberte „Colorize with Filter.“
- Vyberte barvu, kterou chcete označit.
číslo
podokno seznamu paketů vám ukáže přesný počet zachycených datových bitů. Vzhledem k tomu, že pakety jsou uspořádány do několika sloupců, je poměrně snadné je interpretovat. Výchozí kategorie jsou:
- ne. (Číslo): jak již bylo zmíněno, přesný počet zachycených paketů najdete v tomto sloupci. Číslice zůstanou stejné i po filtraci dat.
- čas: jak jste možná uhodli, zobrazí se zde časové razítko paketu.
- zdroj: ukazuje, odkud paket pochází.
- cíl: zobrazuje místo, kde bude paket uložen.
- protokol: Zobrazuje název protokolu, obvykle ve zkratce.
- Délka: zobrazuje počet bajtů obsažených v zachyceném paketu.
- Info: sloupec obsahuje další informace o konkrétním paketu.
čas
protože Wireshark analyzuje síťový provoz, je každý zachycený balíček opatřen časovým razítkem. Časová razítka jsou poté zahrnuta v podokně seznamu paketů a jsou k dispozici pro pozdější kontrolu.
Wireshark nevytváří samotná časová razítka. Místo toho je nástroj analyzátoru získá z knihovny Npcap. Zdrojem časového razítka je však ve skutečnosti jádro. Proto se přesnost časového razítka může v jednotlivých souborech lišit.
můžete zvolit formát, ve kterém budou časová razítka zobrazena v seznamu paketů. Kromě toho můžete nastavit preferovanou přesnost nebo počet zobrazených desetinných míst. Kromě výchozího nastavení přesnosti je k dispozici také:
- sekundy
- desetiny sekundy
- setiny sekundy
- milisekundy
- mikrosekundy
- nanosekundy
zdroj
jak název napovídá, zdrojem paketu je místo původu. Pokud chcete získat zdrojový kód repozitáře Wireshark, můžete si jej stáhnout pomocí klienta Git. Metoda však vyžaduje, abyste měli účet GitLab. Je možné to udělat bez jednoho, ale je lepší se zaregistrovat jen pro případ.
jakmile si zaregistrujete účet, postupujte takto:
- pomocí tohoto příkazu se ujistěte, že je Git funkční: „
$ git -–version.
„
- zkontrolujte, zda je vaše e-mailová adresa a uživatelské jméno nakonfigurováno.
- dále vytvořte klon zdroje Worksharku. Pro vytvoření kopie použijte SSH URL “
$ git clone -o upstream :wireshark/wireshark.git
„. - pokud nemáte účet GitLab, zkuste HTTPS URL: „
$ git clone -o upstream https://gitlab.com/wireshark/wireshark.git.
„
všechny zdroje budou následně zkopírovány do vašeho zařízení. Mějte na paměti, že klonování může chvíli trvat, zejména pokud máte pomalé síťové připojení.
cíl
pokud chcete znát IP adresu cíle konkrétního paketu, můžete ji vyhledat pomocí filtru zobrazení. Zde je návod:
- zadejte „
ip.addr == 8.8.8.8
“ do pole filtru Wireshark.“Poté klikněte na“ Enter.“
- podokno seznamu paketů bude překonfigurováno pouze pro zobrazení cíle paketu. Vyhledejte IP adresu, která vás zajímá, procházením seznamu.
- až budete hotovi, vyberte na panelu nástrojů možnost „Vymazat“ a překonfigurujte podokno seznamu paketů.
protokol
protokol je vodítko, které určuje přenos dat mezi různými zařízeními, která jsou připojena ke stejné síti. Každý paket Wireshark obsahuje protokol a můžete jej vyvolat pomocí filtru zobrazení. Zde je návod:
- v horní části okna Wireshark klikněte na dialogové okno „Filtr“.
- zadejte název protokolu, který chcete prozkoumat. Názvy protokolů jsou obvykle psány malými písmeny.
- kliknutím na „Enter “ nebo“ Apply “ povolíte filtr zobrazení.
Délka
délka paketu Wireshark je určena počtem bajtů zachycených v daném úryvku sítě. Toto číslo obvykle odpovídá počtu nezpracovaných datových bajtů uvedených v dolní části okna Wireshark.
pokud chcete prozkoumat rozdělení délek, otevřete okno“ délky paketů“. Všechny informace jsou rozděleny do následujících sloupců:
- délky paketů
- Počet
- průměr
- Min Val/Max Val
- Rychlost
- procento
- Rychlost roztržení
- začátek roztržení
informace
pokud se v konkrétním zachyceném paketu vyskytnou nějaké anomálie nebo podobné položky, Wireshark si to všimne. Informace se poté zobrazí v podokně seznamu paketů pro další zkoumání. Tímto způsobem budete mít jasnou představu o atypickém chování sítě, což povede k rychlejším reakcím.
další časté dotazy
Jak mohu filtrovat paketová data?
filtrování je efektivní funkce, která umožňuje nahlédnout do specifik konkrétní datové sekvence. Existují dva typy filtrů Wireshark: zachycení a zobrazení. Capture filtry jsou tam omezit zachycení paketů, aby se vešly specifické požadavky. Jinými slovy, můžete procházet různými typy provozu pomocí filtru zachycení. Jak název napovídá, filtry zobrazení vám umožňují zdokonalit konkrétní prvek paketu, od délky paketu po protokol.
použití filtru je docela jednoduchý proces. Název filtru můžete zadat v dialogovém okně v horní části okna Wireshark. Kromě toho software obvykle automaticky doplní název filtru.
střídavě, pokud chcete pročesat výchozí filtry Wireshark, proveďte následující:
1. Otevřete kartu „analyzovat“ na panelu nástrojů v horní části okna Wireshark.
2. Z rozevíracího seznamu vyberte možnost “ Zobrazit filtr.“
3. Projděte si seznam a klikněte na ten, který chcete použít.
konečně zde jsou některé běžné filtry Wireshark, které se mohou hodit:
• Chcete-li zobrazit pouze zdrojovou a cílovou IP adresu, použijte: „ip.src==IP-address and ip.dst==IP-address
„
• Chcete-li zobrazit pouze provoz SMTP, zadejte: „tcp.port eq 25
„
• Chcete-li zachytit veškerý provoz podsítě, použijte: „net 192.168.0.0/24
„
• Chcete-li zachytit vše kromě provozu ARP a DNS, použijte: „port not 53 and not arp
„
jak zachytím paketová data ve Wiresharku?
jakmile si stáhnete Wireshark do svého zařízení, můžete začít sledovat připojení k síti. Chcete-li zachytit datové pakety pro komplexní analýzu, musíte udělat následující:
1. Spusťte Wireshark. Zobrazí se seznam dostupných sítí, takže klikněte na tu, kterou chcete prozkoumat. Pokud chcete určit typ provozu, můžete také použít filtr zachycení.
2. Pokud chcete zkontrolovat více sítí, použijte ovládací prvek „shift + levým tlačítkem“.
3. Dále klikněte na ikonu žraločí ploutve zcela vlevo na panelu nástrojů výše.
4. Zachycení můžete také spustit kliknutím na kartu „zachytit“ a výběrem možnosti „Start“ z rozevíracího seznamu.
5. Dalším způsobem, jak to udělat, je použít klávesu“ Control – E“.
jak software uchopí data, uvidíte, že se objeví v podokně seznamu paketů v reálném čase.
Shark Byte
zatímco Wireshark je vysoce pokročilý síťový analyzátor, je překvapivě snadno interpretovatelný. Podokno seznamu paketů je velmi komplexní a dobře organizované. Všechny informace jsou rozděleny do sedmi různých barev a označeny jasnými barevnými kódy.
kromě toho je software s otevřeným zdrojovým kódem dodáván se spoustou snadno použitelných filtrů, které usnadňují monitorování. Povolením filtru zachycení můžete určit, jaký druh provozu chcete Wireshark analyzovat. A jakmile jsou data popadnuta, můžete použít několik filtrů zobrazení pro zadaná vyhledávání. Celkově vzato, je to vysoce účinný mechanismus, který není příliš obtížné zvládnout.