dla wielu ekspertów IT, Wireshark jest narzędziem do analizy pakietów sieciowych. Oprogramowanie open-source umożliwia dokładne zbadanie zebranych danych i określenie źródła problemu z większą dokładnością. Ponadto Wireshark działa w czasie rzeczywistym i używa kodowania kolorami do wyświetlania przechwyconych pakietów, między innymi sprytnych mechanizmów.
w tym samouczku wyjaśnimy, jak przechwytywać, czytać i filtrować Pakiety za pomocą Wireshark. Poniżej znajdziesz instrukcje krok po kroku i podziały podstawowych funkcji analizy sieci. Po opanowaniu tych podstawowych kroków będziesz mógł sprawdzać przepływ ruchu w sieci i rozwiązywać problemy z większą wydajnością.
Analizowanie pakietów
po przechwyceniu pakietów Wireshark organizuje je w szczegółowym okienku listy pakietów, które jest niezwykle łatwe do odczytania. Jeśli chcesz uzyskać dostęp do informacji dotyczących pojedynczego pakietu, wystarczy zlokalizować go na liście i kliknąć. Można również dalej rozszerzać drzewo, aby uzyskać dostęp do szczegółów każdego protokołu zawartego w pakiecie.
aby uzyskać bardziej kompleksowy przegląd, możesz wyświetlić każdy przechwycony pakiet w osobnym oknie. Oto jak:
- Wybierz pakiet z listy kursorem, a następnie kliknij prawym przyciskiem myszy.
- otwórz zakładkę „Widok” na powyższym pasku narzędzi.
- z rozwijanego menu wybierz „Pokaż Pakiet w nowym oknie”.
Uwaga: o wiele łatwiej jest porównać przechwycone pakiety, jeśli przywołujesz je w oddzielnych oknach.
jak wspomniano, Wireshark wykorzystuje system kodowania kolorami do wizualizacji danych. Każdy pakiet jest oznaczony innym kolorem, który reprezentuje różne rodzaje ruchu. Na przykład ruch TCP jest zwykle podświetlany na niebiesko, podczas gdy czarny jest używany do wskazywania pakietów zawierających błędy.
oczywiście nie musisz zapamiętać znaczenia każdego koloru. Zamiast tego możesz sprawdzić na miejscu:
- kliknij prawym przyciskiem myszy pakiet, który chcesz zbadać.
- wybierz kartę „Widok” z paska narzędzi u góry ekranu.
- Wybierz „Zasady kolorowania”z rozwijanego panelu.
pojawi się opcja dostosowania kolorystyki do własnych upodobań. Jeśli jednak chcesz tymczasowo zmienić reguły kolorowania, wykonaj następujące czynności:
- kliknij prawym przyciskiem myszy pakiet w okienku listy pakietów.
- z listy opcji wybierz ” koloryzuj za pomocą filtra.”
- Wybierz kolor, którym chcesz go oznaczyć.
Liczba
panel listy pakietów pokaże dokładną liczbę przechwyconych bitów danych. Ponieważ pakiety są zorganizowane w kilka kolumn, jest to dość łatwe do zinterpretowania. Kategorie domyślne to:
- Nie. (Liczba): jak wspomniano, w tej kolumnie można znaleźć dokładną liczbę przechwyconych pakietów. Cyfry pozostaną takie same nawet po filtracji danych.
- czas: jak można się domyślić, znacznik czasu pakietu jest wyświetlany tutaj.
- Source: pokazuje skąd pochodzi pakiet.
- Destination: pokazuje miejsce przechowywania pakietu.
- : Wyświetla nazwę protokołu, zazwyczaj w skrócie.
- Length: pokazuje liczbę bajtów zawartych w przechwyconym pakiecie.
- Info: kolumna zawiera wszelkie dodatkowe informacje o konkretnym pakiecie.
czas
gdy Wireshark analizuje ruch sieciowy, każdy przechwycony Pakiet jest oznaczony czasem. Znaczniki czasu są następnie dołączane do panelu listy pakietów i dostępne do późniejszej kontroli.
Wireshark nie tworzy samych znaczników czasu. Zamiast tego narzędzie Analizator pobiera je z biblioteki Npcap. Jednak ĹşrĂłdĹ ’em znacznika czasu jest w rzeczywistoĹ” ci jÄ … dro. Dlatego dokładność znacznika czasu może się różnić w zależności od Pliku.
możesz wybrać format, w jakim znaczniki czasu będą wyświetlane na liście pakietów. Ponadto można ustawić preferowaną precyzję lub liczbę wyświetlanych miejsc po przecinku. Oprócz domyślnego ustawienia precyzji, istnieje również:
- sekundy
- dziesiątych części sekundy
- setnych części sekundy
- milisekund
- mikrosekund
- nanosekund
źródło
jak sama nazwa wskazuje, źródłem pakietu jest miejsce pochodzenia. Jeśli chcesz uzyskać kod źródłowy repozytorium Wireshark, możesz go pobrać za pomocą klienta Git. Metoda wymaga jednak posiadania konta GitLab. Można to zrobić bez niego, ale lepiej się zarejestrować na wszelki wypadek.
po zarejestrowaniu konta wykonaj następujące czynności:
- upewnij się, że Git działa, używając tego polecenia: „
$ git -–version.
„
- Sprawdź dwukrotnie, czy twój adres e-mail i nazwa użytkownika są skonfigurowane.
- następnie utwórz klon Źródła znaku roboczego. Użyj adresu URL SSH ”
$ git clone -o upstream :wireshark/wireshark.git
„, aby wykonać kopię. - jeśli nie masz konta na GitLab, spróbuj użyć adresu URL HTTPS: „
$ git clone -o upstream https://gitlab.com/wireshark/wireshark.git.
„
wszystkie źródła zostaną następnie skopiowane na Twoje urządzenie. Pamiętaj, że klonowanie może trochę potrwać, zwłaszcza jeśli masz słabe połączenie sieciowe.
miejsce docelowe
jeśli chcesz poznać adres IP miejsca docelowego określonego pakietu, możesz użyć filtru wyświetlacza, aby go zlokalizować. Oto jak:
- wpisz „
ip.addr == 8.8.8.8
” w polu filtrowania Wireshark.”Następnie kliknij” Enter.”
- panel listy pakietów zostanie ponownie skonfigurowany tylko w celu pokazania przeznaczenia pakietów. Znajdź interesujący Cię adres IP, przewijając listę.
- po zakończeniu wybierz „Wyczyść” z paska narzędzi, aby ponownie skonfigurować panel listy pakietów.
protokół
protokół jest wytyczną, która określa transmisję danych między różnymi urządzeniami podłączonymi do tej samej sieci. Każdy pakiet Wireshark zawiera protokół i można go wywołać za pomocą filtra wyświetlacza. Oto jak:
- w górnej części okna Wireshark kliknij okno dialogowe „Filtr”.
- wprowadź nazwę protokołu, który chcesz sprawdzić. Zazwyczaj tytuły protokołów są pisane małymi literami.
- kliknij „Enter” lub „Apply”, aby włączyć Filtr wyświetlania.
Długość
długość pakietu Wireshark jest określana przez liczbę bajtów przechwyconych w danym fragmencie sieci. Ta liczba zwykle odpowiada liczbie bajtów surowych danych podanych na dole okna Wireshark.
jeśli chcesz sprawdzić rozkład długości, Otwórz okno „długości pakietów”. Wszystkie informacje są podzielone na następujące kolumny:
- długości pakietów
- Liczba
- Średnia
- Min Val/Max Val
- szybkość
- procent
- szybkość Burst
- początek Burst
info
jeśli w danym przechwyconym pakiecie są jakieś anomalie lub podobne elementy, Wireshark to zauważy. Informacje te zostaną następnie wyświetlone w panelu listy pakietów do dalszego badania. W ten sposób uzyskasz jasny obraz nietypowych zachowań sieciowych, które spowodują szybsze reakcje.
dodatkowe FAQ
Jak mogę filtrować dane pakietów?
filtrowanie to wydajna funkcja, która pozwala przyjrzeć się specyfice określonej sekwencji danych. Istnieją dwa rodzaje filtrów Wireshark: przechwytywanie i wyświetlanie. Filtry przechwytywania służą do ograniczania przechwytywania pakietów do określonych wymagań. Innymi słowy, można przesiać różne rodzaje ruchu, stosując filtr przechwytywania. Jak sama nazwa wskazuje, filtry wyświetlania pozwalają udoskonalić konkretny element pakietu, od długości pakietu do protokołu.
zastosowanie filtra jest dość prostym procesem. Tytuł filtra można wpisać w oknie dialogowym u góry okna Wireshark. Ponadto oprogramowanie zazwyczaj automatycznie uzupełnia nazwę filtra.
na przemian, jeśli chcesz przeczesać domyślne filtry Wireshark, wykonaj następujące czynności:
1. Otwórz zakładkę „Analizuj” na pasku narzędzi w górnej części okna Wireshark.
2. Z rozwijanej listy wybierz ” filtr wyświetlania.”
3. Przejrzyj listę i kliknij na ten, który chcesz zastosować.
wreszcie, oto kilka popularnych filtrów Wireshark, które mogą się przydać:
• aby wyświetlić tylko źródłowy i docelowy adres IP, użyj: „ip.src==IP-address and ip.dst==IP-address
„
• aby wyświetlić tylko ruch SMTP, wpisz: „tcp.port eq 25
„
• aby przechwycić cały ruch podsieci, zastosuj: „net 192.168.0.0/24
„
• aby przechwycić wszystko oprócz ruchu ARP i DNS, użyj: „port not 53 and not arp
„
jak przechwycić dane pakietów w Wireshark?
po pobraniu Wireshark na urządzenie możesz rozpocząć monitorowanie połączenia sieciowego. Aby przechwycić pakiety danych w celu kompleksowej analizy, oto, co musisz zrobić:
1. Uruchom Wireshark. Zobaczysz listę dostępnych sieci, więc kliknij na tę, którą chcesz zbadać. Możesz również zastosować filtr Przechwytywania, jeśli chcesz określić rodzaj ruchu.
2. Jeśli chcesz sprawdzić wiele sieci, Użyj kontrolki „shift + kliknij lewym przyciskiem myszy”.
3. Następnie kliknij ikonę rekina z lewej strony na pasku narzędzi powyżej.
4. Możesz również rozpocząć przechwytywanie, klikając kartę ” przechwytywanie „i wybierając” Start ” z rozwijanej listy.
5. Innym sposobem jest użycie klawisza „Control-E”.
gdy oprogramowanie przechwytuje dane, zobaczysz je w panelu listy pakietów w czasie rzeczywistym.
Shark Byte
chociaż Wireshark jest wysoce zaawansowanym analizatorem sieci, jest zaskakująco łatwy do zinterpretowania. Panel listy pakietów jest niezwykle obszerny i dobrze zorganizowany. Wszystkie informacje są podzielone na siedem różnych kolorów i oznaczone jasnymi kodami kolorów.
ponadto oprogramowanie open-source jest wyposażone w mnóstwo łatwo stosowanych filtrów, które ułatwiają monitorowanie. Włączając filtr przechwytywania, możesz określić, jakiego rodzaju ruch chcesz analizować przez Wireshark. Po pobraniu danych można zastosować kilka filtrów wyświetlania dla określonych wyszukiwań. Podsumowując, jest to wysoce wydajny mechanizm, który nie jest zbyt trudny do opanowania.