for mange IT-eksperter er Netmark go-to-værktøjet til netværkspakkeanalyse. Open source-programmet giver dig mulighed for nøje at undersøge de indsamlede data og bestemme roden til problemet med forbedret nøjagtighed. Desuden opererer vi i realtid og bruger farvekodning til at vise de optagne pakker, blandt andre smarte mekanismer.

Sådan læses pakker i Trådbark

i denne vejledning forklarer vi, hvordan du fanger, læser og filtrerer pakker ved hjælp af Trådbark. Nedenfor finder du trinvise instruktioner og opdelinger af de grundlæggende netværksanalysefunktioner. Når du mestrer disse grundlæggende trin, vil du være i stand til at inspicere trafikstrømmen på dit netværk og fejlfinde problemer med mere effektivitet.

analyse af pakker

når pakkerne er fanget, organiserer vi dem i en detaljeret pakkelisterude, der er utrolig let at læse. Hvis du vil have adgang til oplysningerne om en enkelt pakke, skal du bare finde den på listen og klikke. Du kan også udvide træet yderligere for at få adgang til detaljerne i hver protokol indeholdt i pakken.

For en mere omfattende oversigt kan du få vist hver optaget pakke i et separat vindue. Sådan gør du:

  1. Vælg pakken fra listen med markøren, og højreklik derefter.
  2. Åbn fanen” Vis ” fra værktøjslinjen ovenfor.
  3. vælg” Vis pakke i nyt vindue ” i rullemenuen.

Bemærk: Det er meget nemmere at sammenligne de optagne pakker, hvis du bringer dem op i separate vinduer.

som nævnt bruger vi et farvekodningssystem til datavisualisering. Hver pakke er markeret med en anden farve, der repræsenterer forskellige typer trafik. For eksempel fremhæves TCP-trafik normalt med blåt, mens sort bruges til at indikere pakker, der indeholder fejl.

selvfølgelig behøver du ikke huske betydningen bag hver farve. I stedet kan du tjekke på stedet:

  1. Højreklik på den pakke, du ønsker at undersøge.
  2. vælg fanen” Vis ” fra værktøjslinjen øverst på skærmen.
  3. Vælg” Farvelægningsregler ” i rullemenuen.

du vil se muligheden for at tilpasse farvningen til din smag. Men hvis du kun vil ændre farvningsreglerne midlertidigt, skal du følge disse trin:

  1. Højreklik på pakken i ruden pakkeliste.
  2. fra listen over indstillinger skal du vælge “Farvelæg med Filter.”
  3. Vælg den farve, som du vil mærke den med.

nummer

pakkelisteruden viser dig det nøjagtige antal optagne Databits. Da pakkerne er organiseret i flere kolonner, er det ret nemt at fortolke. Standardkategorierne er:

  • Nej. (Nummer): som nævnt kan du finde det nøjagtige antal optagne pakker i denne kolonne. Cifrene forbliver de samme, selv efter filtrering af dataene.
  • tid: som du måske har gættet, vises pakkens tidsstempel her.
  • Kilde: det viser, hvor pakken stammer fra.
  • Destination: det viser det sted, hvor pakken skal opbevares.
  • protokol: Det viser navnet på protokollen, typisk i en forkortelse.
  • Længde: det viser antallet af bytes indeholdt i den optagne pakke.
  • Info: kolonnen indeholder yderligere oplysninger om en bestemt pakke.

tid

da Netmark analyserer netværkstrafikken, er hver fanget pakke tidsstemplet. Tidsstemplerne er derefter inkluderet i pakkelisteruden og er tilgængelige til senere inspektion.

Trådmark opretter ikke tidsstemplerne selv. I stedet får analysatorværktøjet dem fra Npcap-biblioteket. Imidlertid er kilden til tidsstemplet faktisk kernen. Derfor kan nøjagtigheden af tidsstemplet variere fra fil til fil.

du kan vælge det format, hvor tidsstemplerne skal vises i pakkelisten. Derudover kan du indstille den foretrukne præcision eller antallet af decimaler, der vises. Bortset fra standardpræcisionsindstillingen er der også:

  • sekunder
  • tiendedele af et sekund
  • hundrededele af et sekund
  • millisekunder
  • mikrosekunder
  • nanosekunder

kilde

som navnet antyder, er pakkenes kilde oprindelsesstedet. Hvis du ønsker at hente kildekoden til et Netark-arkiv, kan du hente det ved hjælp af en Git-klient. Metoden kræver dog, at du har en GitLab-konto. Det er muligt at gøre det uden en, men det er bedre at tilmelde dig bare i tilfælde.

når du har registreret en konto, skal du følge disse trin:

  1. sørg for, at Git er funktionel ved hjælp af denne kommando: “$ git -–version.
  2. dobbelttjek, om din e-mail-adresse og brugernavn er konfigureret.
  3. lav derefter en klon af værkstedets kilde. Brug” $ git clone -o upstream :wireshark/wireshark.git ” SSH URL til at lave kopien.
  4. hvis du ikke har en GitLab-konto, kan du prøve HTTPS-URL ‘ en: “$ git clone -o upstream https://gitlab.com/wireshark/wireshark.git.

alle kilder kopieres derefter til din enhed. Husk kloning kan tage et stykke tid, især hvis du har en træg netværksforbindelse.

Destination

hvis du vil vide IP-adressen på en bestemt pakkes destination, kan du bruge displayfilteret til at finde den. Sådan gør du:

  1. indtast” ip.addr == 8.8.8.8 “i Trådmarkeringen” Filterboks.”Klik derefter på” Gå ind.”
  2. ruden pakkeliste konfigureres kun for at vise pakkedestinationen. Find den IP-adresse, du er interesseret i, ved at rulle gennem listen.
  3. når du er færdig, skal du vælge “Ryd” fra værktøjslinjen for at konfigurere pakkelisteruden igen.

protokol

en protokol er en retningslinje, der bestemmer dataoverførslen mellem forskellige enheder, der er forbundet til det samme netværk. Hver pakke indeholder en protokol, og du kan hente den op ved hjælp af displayfilteret. Sådan gør du:

  1. klik på dialogboksen” Filter ” øverst i vinduet Ledningsbark.
  2. Indtast navnet på den protokol, du vil undersøge. Typisk er protokoltitler skrevet med små bogstaver.
  3. Klik på “Enter” eller “Apply” for at aktivere displayfilteret.

Længde

længden af en Trådmarkeringspakke bestemmes af antallet af bytes, der er fanget i det pågældende netværksstykke. Dette tal svarer normalt til antallet af rådatabytes, der er angivet i bunden af vinduet.

hvis du vil undersøge fordelingen af længder, skal du åbne vinduet “Pakkelængder”. Alle oplysninger er opdelt i følgende kolonner:

  • Pakkelængder
  • Count
  • gennemsnit
  • min Val/maks Val
  • Rate
  • procent
  • Burst rate
  • Burst start

info

hvis der er nogen anomalier eller lignende elementer i en bestemt fanget pakke, vil vi bemærke det. Oplysningerne vises derefter i pakkelisteruden til yderligere undersøgelse. På den måde får du et klart billede af atypisk netværksadfærd, hvilket vil resultere i hurtigere reaktioner.

yderligere Ofte Stillede Spørgsmål

Hvordan kan jeg filtrere pakkedataene?

filtrering er en effektiv funktion, der giver dig mulighed for at undersøge specifikationerne for en bestemt datasekvens. Der er to typer Trådbarkfiltre: capture og display. Capture filtre er der for at begrænse pakken capture til at passe specifikke krav. Med andre ord kan du Sile gennem forskellige typer trafik ved at anvende et fangstfilter. Som navnet antyder, giver displayfiltre dig mulighed for at finpudse et bestemt element i pakken, fra pakkelængde til protokol.

anvendelse af et filter er en ret ligetil proces. Du kan skrive filtertitlen i dialogboksen øverst i vinduet Trådmarkering. Desuden vil programmet normalt automatisk udfylde navnet på filteret.

Alternativt, hvis du vil kæmme gennem standardledningsfiltrene, skal du gøre følgende:

1. Åbn fanen” analyser ” i værktøjslinjen øverst i vinduet Ledningsbark.

2. Vælg “Vis Filter på rullelisten.”

3. Gennemse listen og klik på den, du vil anvende.

endelig er her nogle almindelige Trådbarkfiltre, der kan være nyttige:

• for kun at se kilde-og destinations-IP-adressen skal du bruge: “ip.src==IP-address and ip.dst==IP-address

• for kun at se SMTP-trafik skal du skrive: “tcp.port eq 25

• for at fange al subnettrafik skal du anvende: “net 192.168.0.0/24

• for at fange alt undtagen ARP-og DNS-trafikken skal du bruge: “port not 53 and not arp

Hvordan registrerer jeg pakkedataene i ?

når du har hentet Netmark til din enhed, kan du begynde at overvåge din netværksforbindelse. For at fange datapakker til en omfattende analyse, her er hvad du skal gøre:

1. Start Ledningsbark. Du vil se en liste over tilgængelige netværk, så klik på den, du vil undersøge. Du kan også anvende et fangstfilter, hvis du vil bestemme typen af trafik.

2. Hvis du vil inspicere flere netværk, skal du bruge kontrollen “skift + venstre klik”.

3. Klik derefter på det yderste venstre hajfinne-ikon på værktøjslinjen ovenfor.

4. Du kan også starte optagelsen ved at klikke på fanen “Capture” og vælge “Start” fra rullelisten.

5. En anden måde at gøre det på er at bruge “Control – E” tastetryk.

når programmet tager fat i dataene, vil du se dem blive vist i ruden pakkeliste i realtid.

Shark Byte

mens Shark er en meget avanceret netværksanalysator, er det overraskende let at fortolke. Ruden pakkeliste er ekstremt omfattende og velorganiseret. Alle oplysninger er fordelt i syv forskellige farver og markeret med klare farvekoder.

desuden leveres open source-programmet med en række let anvendelige filtre, der letter overvågningen. Ved at aktivere et fangstfilter kan du finde ud af, hvilken slags trafik du vil have, at vi analyserer. Og når dataene er grebet, kan du anvende flere displayfiltre til specificerede søgninger. Alt i alt er det en meget effektiv mekanisme, der ikke er for svært at mestre.

Skriv et svar

Din e-mailadresse vil ikke blive publiceret.