By: adminPosted on

sok informatikai szakértő számára a Wireshark a hálózati csomagelemzés eszköze. A nyílt forráskódú szoftver lehetővé teszi az összegyűjtött adatok alapos vizsgálatát és a probléma gyökerének pontosabb meghatározását. Ezenkívül a Wireshark valós időben működik, és színkódolást használ a rögzített csomagok megjelenítésére, más remek mechanizmusok mellett.

hogyan kell olvasni a csomagokat a Wireshark-ban

ebben az oktatóanyagban elmagyarázzuk, hogyan kell rögzíteni, olvasni és szűrni a csomagokat a Wireshark segítségével. Az alábbiakban lépésről lépésre talál utasításokat és az alapvető hálózati elemzési funkciók lebontását. Miután elsajátította ezeket az alapvető lépéseket, képes lesz ellenőrizni a hálózat forgalmát, és nagyobb hatékonysággal elháríthatja a problémákat.

csomagok elemzése

a csomagok rögzítése után a Wireshark egy részletes csomaglista ablaktáblába rendezi őket, amely hihetetlenül könnyen olvasható. Ha egyetlen csomagra vonatkozó információkhoz szeretne hozzáférni, akkor csak annyit kell tennie, hogy megtalálja a listán, majd kattintson. Tovább bővítheti a fát, hogy hozzáférjen a csomagban található egyes protokollok részleteihez.

az átfogóbb áttekintéshez minden rögzített csomagot külön ablakban jeleníthet meg. Itt van, hogyan:

  1. válassza ki a csomagot a listából a kurzorral, majd kattintson a jobb gombbal.
  2. nyissa meg a” Nézet ” fület a fenti eszköztáron.
  3. a legördülő menüből válassza a “csomag megjelenítése új ablakban” lehetőséget.

megjegyzés: sokkal könnyebb összehasonlítani a rögzített csomagokat, ha külön ablakokban hozza fel őket.

mint említettük, a Wireshark színkódoló rendszert használ az adatok megjelenítésére. Minden csomagot más színnel jelölnek, amely különböző típusú forgalmat képvisel. Például a TCP forgalmat általában kék színnel emelik ki, míg a fekete a hibákat tartalmazó csomagok jelzésére szolgál.

természetesen nem kell megjegyeznie az egyes színek mögött rejlő jelentést. Ehelyett ellenőrizheti a helyszínen:

  1. kattintson a jobb gombbal a megvizsgálni kívánt csomagra.
  2. válassza a” Nézet ” fület a képernyő tetején található eszköztáron.
  3. a legördülő panelen válassza a “színezési szabályok” lehetőséget.

látni fogja azt a lehetőséget, hogy a színezést tetszés szerint testreszabhatja. Ha azonban csak ideiglenesen szeretné megváltoztatni a színezési szabályokat, kövesse az alábbi lépéseket:

  1. kattintson a jobb gombbal a csomagra a Csomaglista ablaktáblában.
  2. az opciók listájából válassza a “színezés szűrővel” lehetőséget.”
  3. válassza ki azt a színt, amellyel meg szeretné címkézni.

szám

a Csomaglista ablaktábla megmutatja a rögzített adatbitek pontos számát. Mivel a csomagok több oszlopban vannak rendezve, meglehetősen könnyű értelmezni. Az alapértelmezett kategóriák a következők:

  • nem. (Szám): mint említettük, ebben az oszlopban megtalálhatja a rögzített csomagok pontos számát. A számjegyek az adatok szűrése után is változatlanok maradnak.
  • idő: ahogy sejteni lehetett, itt jelenik meg a csomag időbélyege.
  • forrás: megmutatja, honnan származik a csomag.
  • cél: megmutatja azt a helyet, ahol a csomagot tárolják.
  • jegyzőkönyv: Megjeleníti a protokoll nevét, általában rövidítéssel.
  • Hossz: megmutatja a rögzített csomagban található bájtok számát.
  • Info: az oszlop minden további információt tartalmaz egy adott csomagról.

idő

ahogy a Wireshark elemzi a hálózati forgalmat, minden rögzített csomag időbélyegzővel van ellátva. Az időbélyegeket ezután a Csomaglista ablaktábla tartalmazza, és később megtekinthető.

a Wireshark nem hozza létre az időbélyegeket. Ehelyett az elemző eszköz az Npcap könyvtárból kapja meg őket. Az időbélyeg forrása azonban valójában a kernel. Ezért az időbélyeg pontossága fájlonként változhat.

kiválaszthatja azt a formátumot, amelyben az időbélyegek megjelennek a csomaglistában. Ezenkívül beállíthatja a megjelenített tizedesjegyek kívánt pontosságát vagy számát. Eltekintve az alapértelmezett precíziós beállítás, ott is:

  • másodperc
  • tizedmásodperc
  • századmásodperc
  • ezredmásodperc
  • mikroszekundum
  • nanoszekundum

forrás

ahogy a neve is sugallja, a csomag forrása a származási hely. Ha meg szeretné szerezni a Wireshark adattár forráskódját, letöltheti azt egy Git kliens használatával. A módszer azonban megköveteli, hogy rendelkezzen GitLab-fiókkal. Meg lehet csinálni egy nélkül, de jobb, ha minden esetre regisztrál.

miután regisztrált egy fiókot, kövesse az alábbi lépéseket:

  1. ellenőrizze, hogy a Git működik-e a következő paranccsal: “$ git -–version.
  2. ellenőrizze még egyszer, hogy az e-mail címe és a felhasználóneve be van-e állítva.
  3. ezután készítsen egy klónt a Workshark forrásból. Használja a” $ git clone -o upstream :wireshark/wireshark.git ” SSH URL-t a másolat készítéséhez.
  4. ha nincs GitLab-fiókja, próbálja meg a HTTPS URL-t: “$ git clone -o upstream https://gitlab.com/wireshark/wireshark.git.

az összes forrást később átmásoljuk a készülékre. Ne feledje, hogy a klónozás eltarthat egy ideig, különösen, ha lassú hálózati kapcsolat van.

Destination

ha meg szeretné tudni egy adott csomag rendeltetési helyének IP-címét, akkor a kijelző szűrővel megkeresheti azt. Itt van, hogyan:

  1. írja be a ” ip.addr == 8.8.8.8 “szót a Wireshark” szűrő dobozba.”Ezután kattintson az “Enter” gombra.”
  2. a Csomaglista ablaktábla csak a csomag céljának megjelenítéséhez lesz újrakonfigurálva. A lista végiggörgetésével keresse meg az érdeklődő IP-címet.
  3. ha végzett, válassza az eszköztár “Törlés” elemét a Csomaglista ablaktábla újrakonfigurálásához.

protokoll

a protokoll egy iránymutatás, amely meghatározza az ugyanazon hálózathoz csatlakoztatott különböző eszközök közötti adatátvitelt. Minden Wireshark csomag tartalmaz egy protokollt, amelyet a kijelzőszűrő segítségével hozhat létre. Itt van, hogyan:

  1. a Wireshark ablak tetején kattintson a” szűrő ” párbeszédpanelre.
  2. írja be a megvizsgálni kívánt protokoll nevét. A protokollcímeket általában kisbetűkkel írják.
  3. kattintson az “Enter” vagy az “Apply” gombra a kijelző szűrő engedélyezéséhez.

Hossz

a Wireshark csomag hosszát az adott hálózati kódrészletben rögzített bájtok száma határozza meg. Ez a szám általában megfelel a Wireshark ablak alján felsorolt nyers adatbájtok számának.

ha meg szeretné vizsgálni a hosszúságok eloszlását, nyissa meg a “Csomaghossz” ablakot. Az összes információ a következő oszlopokra oszlik:

  • csomag hossza
  • szám
  • átlagos
  • Min Val/Max Val
  • sebesség
  • százalék
  • sorozatfelvétel sebessége
  • Sorozatindítás

info

ha bármilyen anomália vagy hasonló elem van egy adott rögzített csomagon belül, a Wireshark megjegyzi. Az információ ezután megjelenik a Csomaglista ablaktáblában további vizsgálat céljából. Így világos képet kap az atipikus hálózati viselkedésről, ami gyorsabb reakciókat eredményez.

további GYIK

hogyan szűrhetem a csomagkapcsolt adatokat?

szűrés egy hatékony funkció, amely lehetővé teszi, hogy vizsgálja meg a sajátosságait egy adott adatsor. Kétféle Wireshark szűrő létezik: capture és display. Capture szűrők vannak, hogy korlátozza a packet capture, hogy illeszkedjen a konkrét igényeket. Más szóval, akkor szitál a különböző típusú forgalom alkalmazásával capture szűrő. Ahogy a neve is sugallja, a megjelenítési szűrők lehetővé teszik a csomag egy adott elemének finomítását, a csomag hosszától a protokollig.

a szűrő alkalmazása meglehetősen egyszerű folyamat. A szűrő címét a Wireshark ablak tetején található párbeszédpanelen írhatja be. Ezenkívül a szoftver általában automatikusan kitölti a szűrő nevét.

alternatívaként, ha át akarja fésülni az alapértelmezett Wireshark szűrőket, tegye a következőket:

1. Nyissa meg az” elemzés ” fület a Wireshark ablak tetején található eszköztáron.

2. A legördülő listából válassza a ” kijelző szűrő.”

3. Böngésszen a listán, majd kattintson az alkalmazni kívánt listára.

Végül itt van néhány gyakori Wireshark szűrő, amely hasznos lehet:

ip.src==IP-address and ip.dst==IP-address”

• ha csak az SMTP forgalmat szeretné megtekinteni, írja be: “tcp.port eq 25

• az összes alhálózati forgalom rögzítéséhez alkalmazza: “net 192.168.0.0/24

• az ARP és a DNS forgalom kivételével minden adat rögzítéséhez használja: “port not 53 and not arp

hogyan rögzíthetem a csomagkapcsolt adatokat a Wireshark-ban?

Miután letöltötte a Wireshark-ot a készülékére, elkezdheti figyelni a hálózati kapcsolatot. Az adatcsomagok átfogó elemzéshez történő rögzítéséhez a következőket kell tennie:

1. Indítsa El A Wireshark-Ot. Megjelenik az elérhető hálózatok listája, ezért kattintson a megvizsgálni kívánt hálózatra. Rögzítési szűrőt is alkalmazhat, ha pontosan meg akarja határozni a forgalom típusát.

2. Ha több hálózatot szeretne megvizsgálni, használja a “shift + bal kattintás” vezérlőt.

3. Ezután kattintson a bal szélső cápauszony ikonra a fenti eszköztáron.

4. A rögzítést úgy is elindíthatja, hogy rákattint a “rögzítés” fülre, majd a legördülő listából kiválasztja a “Start” lehetőséget.

5. Ennek másik módja a “Control – E” gombnyomás használata.

amint a szoftver megragadja az adatokat, valós időben megjelenik a Csomaglista ablaktáblán.

Shark Byte

míg a Wireshark egy rendkívül fejlett hálózati elemző, meglepően könnyen értelmezhető. A Csomaglista panel rendkívül átfogó és jól szervezett. Minden információ hét különböző színre oszlik, és világos színkódokkal van jelölve.

ezenkívül a nyílt forráskódú szoftver egy sor könnyen alkalmazható szűrővel rendelkezik, amelyek megkönnyítik a megfigyelést. A rögzítési szűrő engedélyezésével pontosan meghatározhatja, hogy milyen forgalmat szeretne elemezni a Wireshark. Az adatok megragadása után több megjelenítési szűrőt is alkalmazhat a megadott keresésekhez. Összességében ez egy nagyon hatékony mechanizmus, amelyet nem túl nehéz elsajátítani.

Vélemény, hozzászólás?

Az e-mail-címet nem tesszük közzé.