For MANGE IT-eksperter Er Wireshark go-to-verktøyet for nettverkspakkeanalyse. Med åpen kildekode kan du nøye undersøke de innsamlede dataene og bestemme roten til problemet med forbedret nøyaktighet. Videre Wireshark opererer i sanntid og bruker fargekoding for å vise fanget pakker, blant annet kjekk liten mekanismer.

Slik Leser Du Pakker I Wireshark

i denne opplæringen forklarer vi hvordan du fanger, leser og filtrerer pakker ved Hjelp Av Wireshark. Nedenfor finner du trinnvise instruksjoner og sammenbrudd av de grunnleggende nettverksanalysefunksjonene. Når du mestrer disse grunnleggende trinnene, vil du kunne inspisere trafikkflyten i nettverket ditt og feilsøke problemer med mer effektivitet.

Analysere Pakker

Når pakkene er tatt, Organiserer Wireshark dem i en detaljert pakkeliste rute som er utrolig lett å lese. Hvis du vil ha tilgang til informasjon om en enkelt pakke, alt du trenger å gjøre er å finne den på listen og klikk. Du kan også utvide treet ytterligere for å få tilgang til detaljene for hver protokoll som finnes i pakken.

for en mer omfattende oversikt, kan du vise hver fanget pakke i et eget vindu. Her er hvordan:

  1. Velg pakken fra listen med markøren, og høyreklikk deretter.
  2. Åpne» Vis » – fanen fra verktøylinjen ovenfor.
  3. Velg «Vis Pakke I Nytt Vindu» fra rullegardinmenyen.

Merk: det er mye lettere å sammenligne de fangede pakkene hvis du tar dem opp i separate vinduer.

Som nevnt bruker Wireshark et fargekodingssystem for datavisualisering. Hver pakke er merket med en annen farge som representerer ulike typer trafikk. FOR EKSEMPEL er TCP-trafikk vanligvis uthevet med blå, mens svart brukes til å indikere pakker som inneholder feil.

selvfølgelig trenger du ikke å huske meningen bak hver farge. I stedet kan du sjekke på stedet:

  1. Høyreklikk på pakken du ønsker å undersøke.
  2. Velg» Vis » – fanen fra verktøylinjen øverst på skjermen.
  3. Velg «Coloring Rules» fra rullegardinpanelet.

Du vil se muligheten til å tilpasse fargelegging til din smak. Men hvis du bare vil endre fargereglene midlertidig, følg disse trinnene:

  1. Høyreklikk på pakken i pakkeliste-ruten.
  2. fra listen over alternativer velger du «Colorize With Filter.»
  3. Velg fargen du vil merke den med.

Nummer

pakkelisteruten viser deg nøyaktig antall fanget databiter. Siden pakkene er organisert i flere kolonner, er det ganske enkelt å tolke. Standardkategoriene er:

  • Nei. (Nummer): som nevnt kan du finne det eksakte antallet fangede pakker i denne kolonnen. Sifrene forblir de samme selv etter filtrering av dataene.
  • Tid: som du kanskje har gjettet, vises pakkens tidsstempel her.
  • Kilde: Den viser hvor pakken stammer fra.
  • Destinasjon: Det viser stedet der pakken skal holdes.
  • Protokoll: Den viser navnet på protokollen, vanligvis i en forkortelse.
  • Lengde: Den viser antall byte som finnes i den fangede pakken.
  • Info: kolonnen inneholder tilleggsinformasjon om en bestemt pakke.

Tid

Som Wireshark analyserer nettverkstrafikken, er hver fanget pakke tidsstemplet. Tidsstemplene er da inkludert i pakkelisten ruten og tilgjengelig for senere inspeksjon.

Wireshark oppretter ikke tidsstemplene selv. I stedet får analysatorverktøyet dem fra npcap-biblioteket. Imidlertid er kilden til tidsstempelet faktisk kjernen. Derfor kan nøyaktigheten av tidsstempelet variere fra fil til fil.

du kan velge formatet der tidsstemplene skal vises i pakkelisten. I tillegg kan du angi ønsket presisjon eller antall desimaler som vises. Bortsett fra standard presisjonsinnstillingen, er det også:

  • Sekunder
  • Tideler av et sekund
  • Hundredeler av et sekund
  • Millisekunder
  • Mikrosekunder
  • Nanosekunder

Kilde

som navnet antyder, er kilden til pakken Opprinnelsesstedet. Hvis du vil hente kildekoden til Et Wireshark-depot, kan du laste det ned ved hjelp Av En Git-klient. Metoden krever imidlertid at du har En GitLab-konto. Det er mulig å gjøre det uten en, men det er bedre å registrere seg bare i tilfelle.

når du har registrert en konto, følg disse trinnene:

  1. Kontroller At Git fungerer ved å bruke denne kommandoen: «$ git -–version.«
  2. Dobbeltsjekk om e-postadressen og brukernavnet ditt er konfigurert.
  3. Deretter lager du en klone av Workshark-kilden. Bruk» $ git clone -o upstream :wireshark/wireshark.git » SSH URL for å lage kopien.
  4. hvis Du ikke har En GitLab-konto, kan du prøve HTTPS-NETTADRESSEN: «$ git clone -o upstream https://gitlab.com/wireshark/wireshark.git.«

Alle kildene blir senere kopiert til enheten din. Husk kloning kan ta en stund, spesielt hvis du har en svak nettverkstilkobling.

Destinasjon

hvis DU vil vite IP-adressen TIL en bestemt pakkedestinasjon, kan du bruke visningsfilteret til å finne den. Her er hvordan:

  1. Skriv inn» ip.addr == 8.8.8.8 «I Wireshark-Filterboksen.»Klikk Deretter» Enter.»
  2. pakkelisteruten konfigureres bare for å vise pakkedestinasjonen. Finn IP-adressen du er interessert i ved å bla gjennom listen.
  3. når du er ferdig, velg «Clear» fra verktøylinjen for å omkonfigurere pakkelisten.

Protokoll

en protokoll er en retningslinje som bestemmer dataoverføringen mellom forskjellige enheter som er koblet til samme nettverk. Hver Wireshark-pakke inneholder en protokoll, og du kan hente den opp ved å bruke skjermfilteret. Her er hvordan:

  1. øverst I Wireshark-vinduet klikker du på dialogboksen «Filter».
  2. Skriv inn navnet på protokollen du vil undersøke. Vanligvis er protokolltitler skrevet i små bokstaver.
  3. Klikk På «Enter» eller «Apply» for å aktivere visningsfilteret.

Lengde

lengden På En Wireshark-pakke bestemmes av antall byte fanget i den aktuelle nettverksbiten. Dette tallet tilsvarer vanligvis antall rådata byte oppført nederst I Wireshark-vinduet.

hvis du vil undersøke fordelingen av lengder, åpner du vinduet» Pakkelengder». All info er delt inn i følgende kolonner:

  • Pakkelengder
  • Antall
  • Gjennomsnitt
  • Min Val/Maks Val
  • Rate
  • Prosent
  • Burst rate
  • Burst start
  • Burst start

info

Hvis det er noen uregelmessigheter Eller lignende elementer I En Bestemt Fanget Pakke, Vil Wireshark Merke Det. Informasjonen vil da bli vist i pakkelisten for videre undersøkelse. På den måten får du et klart bilde av atypisk nettverksadferd, noe som vil resultere i raskere reaksjoner.

Flere Vanlige Spørsmål

hvordan kan jeg filtrere pakkedataene?

Filtrering er en effektiv funksjon som lar deg se nærmere på detaljene i en bestemt datasekvens. Det finnes to Typer Wireshark-filtre: capture og display. Fangstfiltre er der for å begrense pakkeopptaket for å passe til spesifikke krav. Med andre ord kan du sile gjennom ulike typer trafikk ved å bruke et fangstfilter. Som navnet antyder, lar skjermfiltre deg finpusse på et bestemt element i pakken, fra pakkelengde til protokoll.

Å bruke et filter er en ganske enkel prosess. Du kan skrive inn filtertittelen i dialogboksen øverst I Wireshark-vinduet. I tillegg vil programvaren vanligvis automatisk fullføre navnet på filteret.

Alternativt, hvis du vil gre gjennom standard Wireshark-filtre, gjør du Følgende:

1. Åpne» Analyser » – fanen i verktøylinjen øverst i Wireshark-vinduet.

2. Fra rullegardinlisten velger du » Vis Filter.»

3. Bla gjennom listen og klikk på den du vil bruke.

Til slutt, her er noen vanlige Wireshark-filtre som kan komme til nytte:

ip.src==IP-address and ip.dst==IP-address»

• hvis DU bare vil vise SMTP-trafikk, skriver du INN: «tcp.port eq 25«

• for å fange opp all nettverkstrafikk, bruk: «net 192.168.0.0/24«

• for å fange opp alt unntatt arp og DNS-trafikk, bruk: «port not 53 and not arp«

Hvordan registrerer jeg pakkedataene i Wireshark?

når Du har lastet Ned Wireshark til enheten, kan du begynne å overvåke nettverkstilkoblingen. For å fange datapakker for en omfattende analyse, her er hva du trenger å gjøre:

1. Start Wireshark. Du vil se en liste over tilgjengelige nettverk, så klikk på den du vil undersøke. Du kan også bruke et fangstfilter hvis du vil finne ut hvilken type trafikk.

2. Hvis du vil inspisere flere nettverk, bruk» shift + left-click » – kontrollen.

3. Deretter klikker du på langt venstre hai – fin-ikonet på verktøylinjen ovenfor.

4. Du kan også starte opptaket ved å klikke på» Capture «- fanen og velge «Start» fra rullegardinlisten.

5. En annen måte å gjøre det på er å bruke» Control – E » tastetrykk.

som programvaren griper dataene, vil du se det vises på pakkeliste-ruten i sanntid.

Shark Byte

Mens Wireshark er en svært avansert nettverksanalysator, er det overraskende enkelt å tolke. Pakkelisten ruten er svært omfattende og godt organisert. All informasjon er fordelt i syv forskjellige farger og merket med klare fargekoder.

videre kommer open-source-programvaren med en rekke lett anvendelige filtre som letter overvåkingen. Ved å aktivere et fangstfilter kan Du finne ut hvilken type trafikk Du vil At Wireshark skal analysere. Og når dataene er fanget, kan du bruke flere visningsfiltre for spesifiserte søk. Alt i alt er det en svært effektiv mekanisme som ikke er for vanskelig å mestre.

Legg igjen en kommentar

Din e-postadresse vil ikke bli publisert.