monille IT-asiantuntijoille Wireshark on verkkopakettien analysoinnin go-to-työkalu. Avoimen lähdekoodin ohjelmiston avulla voit tutkia kerättyjä tietoja tarkasti ja selvittää ongelman syyn entistä tarkemmalla tarkkuudella. Lisäksi Wireshark toimii reaaliajassa ja käyttää värikoodausta näyttääkseen kaapatut paketit, muun muassa näppäriä mekanismeja.

kuinka lukea paketteja Wireshark

tässä opetusohjelmassa selitämme, miten tallentaa, lukea ja suodattaa paketteja Wiresharkin avulla. Alla on vaiheittaiset ohjeet ja erittelyt verkon perusanalyysitoiminnoista. Kun olet oppinut nämä perusvaiheet, voit tarkastaa verkon liikennevirran ja vianmääritys ongelmia enemmän tehokkuutta.

analysoimalla paketteja

kun paketit on napattu, Wireshark järjestää ne yksityiskohtaiseen pakettiluetteloruutuun, joka on uskomattoman helppo lukea. Jos haluat käyttää yksittäistä pakettia koskevia tietoja,sinun tarvitsee vain etsiä se luettelosta ja klikkaa. Voit myös laajentaa puuta, jotta pääset käsiksi jokaisen paketin sisältämän protokollan yksityiskohtiin.

kattavamman yleiskuvan saamiseksi voit näyttää jokaisen kaapatun paketin erillisessä ikkunassa. Näin:

  1. Valitse luettelosta paketti, jossa on kohdistin, ja napsauta hiiren kakkospainikkeella.
  2. avaa ”View” välilehti työkalupalkin yllä.
  3. Valitse pudotusvalikosta ”Näytä paketti uudessa ikkunassa”.

Huomautus: kaapattuja paketteja on paljon helpompi vertailla, jos otat ne esille erillisissä ikkunoissa.

kuten edellä mainittiin, Wireshark käyttää värikoodausjärjestelmää tietojen visualisointiin. Jokainen paketti on merkitty eri värillä, joka edustaa erityyppistä liikennettä. Esimerkiksi TCP-liikennettä korostetaan yleensä sinisellä, kun taas mustalla merkitään virheitä sisältäviä paketteja.

jokaisen värin takana olevaa merkitystä ei tietenkään tarvitse opetella ulkoa. Sen sijaan voit tarkistaa paikan päällä:

  1. napsauta hiiren kakkospainikkeella pakettia, jota haluat tutkia.
  2. valitse ”View” – välilehti näytön yläreunassa olevasta työkalurivistä.
  3. valitse pudotuspaneelista ”Värityssäännöt”.

näet mahdollisuuden muokata väritystä mieleiseksesi. Jos kuitenkin haluat muuttaa värityssääntöjä vain väliaikaisesti, noudata näitä ohjeita:

  1. napsauta hiiren kakkospainikkeella pakettia pakettiluetteloruudussa.
  2. valintaluettelosta, valitse ”väritä suodattimella.”
  3. Valitse väri, jolla haluat merkitä sen.

numero

pakettiluetteloruudussa näkyy kaapattujen databittien tarkka määrä. Koska paketit on järjestetty useisiin palstoihin, se on melko helppo tulkita. Oletusluokat ovat:

  • Ei. (Numero): kuten mainittu, löydät tarkka määrä kiinni paketteja tässä sarakkeessa. Numerot pysyvät samoina myös suodatuksen jälkeen.
  • aika: kuten arvata saattoi, paketin aikaleima näkyy tässä.
  • lähde: se osoittaa, mistä paketti on peräisin.
  • määränpää: siinä näkyy paikka, jossa pakettia säilytetään.
  • protokolla: Se näyttää protokollan nimen, tyypillisesti lyhenteenä.
  • Pituus: se näyttää napatun paketin sisältämien tavujen määrän.
  • Info: sarakkeeseen on merkitty kaikki lisätietoa tietystä paketista.

aika

Wiresharkin analysoidessa verkkoliikennettä jokainen kaapattu paketti leimataan aikaleimalla. Aikaleimat sisällytetään sitten pakettiluetteloruutuun ja ovat käytettävissä myöhempää tarkastusta varten.

Wireshark ei itse luo aikaleimoja. Sen sijaan analysaattorityökalu saa ne Npcap-kirjastosta. Aikaleiman lähde on kuitenkin todellisuudessa ydin. Siksi aikaleiman tarkkuus voi vaihdella tiedostosta toiseen.

voit valita, missä muodossa aikaleimat näkyvät pakettiluettelossa. Lisäksi voit asettaa haluamasi tarkkuuden tai desimaalien määrän, jotka näkyvät. Sen lisäksi, että oletustarkkuusasetus, siellä on myös:

  • Sekuntia
  • sekunnin kymmenesosaa
  • sekunnin sadasosaa
  • millisekuntia
  • mikrosekuntia
  • nanosekuntia

lähde

nimensä mukaisesti paketin lähde on lähtöpaikka. Jos haluat saada Wireshark-arkiston lähdekoodin, voit ladata sen käyttämällä git-asiakasohjelmaa. Menetelmä edellyttää kuitenkin, että sinulla on GitLab-tili. On mahdollista tehdä se ilman, mutta on parempi ilmoittautua varmuuden vuoksi.

kun olet rekisteröinyt tilin, noudata näitä ohjeita:

  1. varmista, että Git on toiminnassa tämän komennon avulla: ”$ git -–version.
  2. tarkista, onko sähköpostiosoitteesi ja käyttäjätunnuksesi määritetty.
  3. tee seuraavaksi klooni Workshark-lähteestä. Käytä” $ git clone -o upstream :wireshark/wireshark.git ” SSH-osoitetta kopion tekemiseen.
  4. jos sinulla ei ole GitLab-tiliä, kokeile HTTPS-osoitetta: ”$ git clone -o upstream https://gitlab.com/wireshark/wireshark.git.

kaikki lähteet kopioidaan myöhemmin laitteellesi. Muista Kloonaus voi kestää jonkin aikaa, varsinkin jos sinulla on hidas verkkoyhteys.

kohde

jos haluat tietää tietyn paketin kohteen IP-osoitteen, voit paikantaa sen näyttösuodattimen avulla. Näin:

  1. Kirjoita ”ip.addr == 8.8.8.8 ”Wireshark” – suodatinkoteloon.”Sitten, klikkaa” Enter.”
  2. pakettiluettelopaneeli konfiguroidaan uudelleen vain paketin määränpään näyttämiseksi. Etsi IP-osoite, josta olet kiinnostunut vierittämällä listaa.
  3. kun olet valmis, valitse työkaluriviltä ”Tyhjennä” määrittääksesi pakettiluetteloruudun uudelleen.

protokolla

protokolla on ohjenuora, joka määrittää tiedonsiirron samaan verkkoon kytkettyjen eri laitteiden välillä. Jokainen Wireshark-paketti sisältää protokollan, jonka voit ottaa esille näyttösuodattimen avulla. Näin:

  1. Wireshark-ikkunan yläosassa klikkaa ”suodatin” – valintaikkunaa.
  2. Anna tutkittavan protokollan nimi. Tyypillisesti protokollan otsikot kirjoitetaan pienillä kirjaimilla.
  3. napsauta ”Enter” tai ”Apply” ottaaksesi näyttösuodattimen käyttöön.

Pituus

Wireshark-paketin pituus määräytyy kyseisen verkon pätkän tallennettujen tavujen lukumäärän mukaan. Tämä luku vastaa yleensä Wireshark-ikkunan alareunassa lueteltujen raakadatan tavujen määrää.

jos haluat tarkastella pituuksien jakautumista, avaa ”Pakettipituudet” – ikkuna. Kaikki tiedot on jaettu seuraaviin sarakkeisiin:

  • Paketti pituudet
  • Laskea
  • Keskimääräinen
  • Min Val/Max Val
  • Korko
  • Prosenttia
  • Räjähtää korko
  • Sarja alkaa

Info

Jos on mitään poikkeavuuksia tai vastaavia kohteita tietyssä kiinni paketin, Wireshark on huomata se. Tämän jälkeen tiedot näytetään pakettiluetteloruudussa tarkempaa tarkastelua varten. Näin saat selkeän kuvan epätyypillisestä verkkokäyttäytymisestä, joka johtaa nopeampiin reaktioihin.

muita usein kysyttyjä kysymyksiä

Miten voin suodattaa paketin tiedot?

suodatus on tehokas ominaisuus, jonka avulla voi tarkastella tietyn tietojakson yksityiskohtia. Wireshark-suodattimia on kahdenlaisia: capture ja display. Capture suodattimet ovat olemassa rajoittaa paketin kaappaus sopivaksi erityisiä vaatimuksia. Toisin sanoen, voit käydä läpi eri liikennemuotojen käyttämällä talteenottosuodatin. Kuten nimestä voi päätellä, näyttösuodattimien avulla voit hioa tietyn elementin paketin, paketin pituus protokolla.

suodattimen käyttäminen on melko yksinkertainen prosessi. Voit kirjoittaa suodattimen otsikon Wireshark-ikkunan yläosassa olevaan valintaikkunaan. Lisäksi ohjelmisto yleensä automaattisesti täydentää suodattimen nimeä.

vuorotellen, jos haluat kammata Wiresharkin oletussuodattimien läpi, toimi seuraavasti:

1. Avaa Wireshark-ikkunan yläreunan työkalupalkin” analysoi ” – välilehti.

2. Valitse pudotusvalikosta ” Näyttösuodatin.”

3. Selaa luetteloa läpi ja klikkaa sitä, jota haluat hakea.

lopuksi tässä muutamia yleisiä Wireshark-suodattimia, joista voi olla hyötyä:

• jos haluat tarkastella vain lähdettä ja määränpäätä, käytä: ”ip.src==IP-address and ip.dst==IP-address

• jos haluat tarkastella vain SMTP-liikennettä, Kirjoita: ”tcp.port eq 25

• Tallenna kaikki aliverkon liikenne: ”net 192.168.0.0/24

• voit tallentaa kaiken paitsi ARP-ja DNS-liikenteen, käytä: ”port not 53 and not arp

Miten tallennan paketin tiedot wiresharkissa?

kun olet ladannut Wiresharkin laitteellesi, voit aloittaa verkkoyhteyden seurannan. Jos haluat tallentaa tietopaketit kattavaa analyysiä varten, sinun tulee tehdä näin:

1. Laukaiskaa Wireshark. Näet luettelon käytettävissä olevista verkoista, joten klikkaa sitä, jota haluat tutkia. Voit myös käyttää talteenottosuodatinta, jos haluat määrittää liikennetyypin.

2. Jos haluat tarkastaa useita verkkoja, käytä ”shift + left-click” – ohjainta.

3. Seuraava, klikkaa kaukana vasemmalla haineväikoni työkalupalkin yllä.

4. Voit myös aloittaa kaappauksen klikkaamalla ” Capture ”-välilehteä ja valitsemalla” Start ” avattavasta luettelosta.

5. Toinen tapa tehdä se on käyttää ”Control – E” – näppäilyä.

kun ohjelmisto tarttuu dataan, näet sen näkyvän reaaliaikaisesti pakettiluetteloruudussa.

Shark Byte

vaikka Wireshark on erittäin kehittynyt verkkoanalysaattori, se on yllättävän helppo tulkita. Pakettilistapaneeli on erittäin kattava ja hyvin järjestetty. Kaikki tiedot on jaettu seitsemään eri väriin ja merkitty selkeillä värikoodeilla.

lisäksi avoimen lähdekoodin ohjelmiston mukana tulee liuta helposti sovellettavia suodattimia, jotka helpottavat seurantaa. Kaappaussuodattimen avulla voit määrittää, millaista liikennettä haluat Wiresharkin analysoivan. Ja kun tiedot on napattu, voit käyttää useita näyttösuodattimia määriteltyihin hakuihin. Kaiken kaikkiaan, se on erittäin tehokas mekanismi, joka ei ole liian vaikea hallita.

Vastaa

Sähköpostiosoitettasi ei julkaista.