pentru mulți experți IT, Wireshark este instrumentul ideal pentru analiza pachetelor de rețea. Software-ul open-source vă permite să examinați îndeaproape datele colectate și să determinați rădăcina problemei cu o precizie îmbunătățită. Mai mult, Wireshark funcționează în timp real și folosește codarea culorilor pentru a afișa pachetele capturate, printre alte mecanisme inteligente.

în acest tutorial, vă vom explica cum să capturați, să citiți și să filtrați pachetele folosind Wireshark. Mai jos, veți găsi instrucțiuni pas cu pas și defalcări ale funcțiilor de bază de analiză a rețelei. Odată ce stăpânești acești pași fundamentali, vei putea inspecta fluxul de trafic al rețelei tale și depana problemele cu mai multă eficiență.

analiza pachetelor

odată ce pachetele sunt capturate, Wireshark le organizează într-un panou detaliat listă de pachete, care este incredibil de ușor de citit. Dacă doriți să accesați informațiile referitoare la un singur pachet, tot ce trebuie să faceți este să îl localizați pe listă și să faceți clic. De asemenea, puteți extinde în continuare arborele pentru a accesa detaliile fiecărui protocol conținut în pachet.

pentru o imagine de ansamblu mai cuprinzătoare, puteți afișa fiecare pachet capturat într-o fereastră separată. Iată cum:

1. selectați pachetul din listă cu cursorul, apoi faceți clic dreapta.
   
2. deschideți fila” Vizualizare ” din bara de instrumente de mai sus.
   
3. selectați” Afișați Pachetul în fereastră nouă ” din meniul derulant.
   

Notă: este mult mai ușor să comparați pachetele capturate dacă le aduceți în ferestre separate.

după cum sa menționat, Wireshark folosește un sistem de codare a culorilor pentru vizualizarea datelor. Fiecare pachet este marcat cu o culoare diferită care reprezintă diferite tipuri de trafic. De exemplu, traficul TCP este de obicei evidențiat cu albastru, în timp ce negrul este utilizat pentru a indica pachetele care conțin erori.

desigur, nu trebuie să memorați semnificația din spatele fiecărei culori. În schimb, puteți verifica la fața locului:

1. faceți clic dreapta pe pachetul pe care doriți să îl examinați.
   
2. selectați fila” Vizualizare ” din bara de instrumente din partea de sus a ecranului.
   
3. alegeți „reguli de colorare” din panoul derulant.
   

veți vedea opțiunea de a personaliza colorarea după bunul plac. Cu toate acestea, dacă doriți doar să modificați temporar regulile de colorare, urmați acești pași:

1. faceți clic dreapta pe pachetul din panoul Listă de pachete.
2. din lista de opțiuni, selectați „colorați cu filtru.”
   
3. alegeți culoarea cu care doriți să o etichetați.
   

număr

panoul Listă de pachete vă va afișa numărul exact de biți de date capturați. Deoarece pachetele sunt organizate în mai multe coloane, este destul de ușor de interpretat. Categoriile implicite sunt:

• nu. (Număr): după cum sa menționat, puteți găsi numărul exact de pachete capturate în această coloană. Cifrele vor rămâne aceleași chiar și după filtrarea datelor.
• timp: după cum probabil ați ghicit, marcajul de timp al pachetului este afișat aici.
• sursă: arată de unde provine pachetul.
• destinație: afișează locul unde va fi păstrat pachetul.
• Protocol: Afișează numele Protocolului, de obicei într-o abreviere.
• lungime: acesta arată numărul de octeți conținute în pachetul capturat.
• Info: coloana include orice informații suplimentare despre un anumit pachet.

timp

pe măsură ce Wireshark analizează traficul de rețea, fiecare pachet capturat este ștampilat în timp. Marcajele de timp sunt apoi incluse în panoul Listă de pachete și disponibile pentru inspecție ulterioară.

Wireshark nu creează ele însele marcajele de timp. În schimb, instrumentul analyzer le primește din biblioteca Npcap. Cu toate acestea, sursa marcajului de timp este de fapt nucleul. De aceea, precizia marcajului de timp poate varia de la fișier la fișier.

puteți alege formatul în care marcajele de timp vor fi afișate în lista de pachete. În plus, puteți seta precizia preferată sau numărul de zecimale afișate. În afară de setarea implicită de precizie, există, de asemenea:

• secunde
• zecimi de secundă
• sutimi de secundă
• milisecunde
• microsecunde
• nanosecunde

sursă

după cum sugerează și numele, sursa pachetului este locul de origine. Dacă doriți să obțineți codul sursă al unui depozit Wireshark, îl puteți descărca utilizând un client Git. Cu toate acestea, metoda necesită să aveți un cont GitLab. Este posibil să o faceți fără unul, dar este mai bine să vă înscrieți doar în caz.

după ce ați înregistrat un cont, urmați acești pași:

1. asigurați-vă că Git este funcțional utilizând această comandă: „$ git -–version.„
   
2. verificați de două ori dacă adresa dvs. de e-mail și numele de utilizator sunt configurate.
3. apoi, faceți o clonă a sursei Workshark. Utilizați URL-ul SSH” $ git clone -o upstream :wireshark/wireshark.git ” pentru a face copia.
4. dacă nu aveți un cont GitLab, încercați URL-ul HTTPS: „$ git clone -o upstream https://gitlab.com/wireshark/wireshark.git.„
   

toate sursele vor fi ulterior copiate pe dispozitiv. Rețineți că clonarea ar putea dura ceva timp, mai ales dacă aveți o conexiune de rețea lentă.

destinație

dacă doriți să cunoașteți adresa IP a destinației unui anumit pachet, puteți utiliza filtrul de afișare pentru a-l localiza. Iată cum:

1. introduceți” ip.addr == 8.8.8.8 „în caseta de filtrare Wireshark”.”Apoi, faceți clic pe” Enter.”
   
2. panoul Listă de pachete va fi reconfigurat doar pentru a afișa destinația pachetului. Găsiți adresa IP care vă interesează parcurgând lista.
   
3. după ce ați terminat, selectați „ștergeți” din bara de instrumente pentru a reconfigura panoul listei de pachete.

Protocol

un protocol este un ghid care determină transmiterea datelor între diferite dispozitive care sunt conectate la aceeași rețea. Fiecare pachet Wireshark conține un protocol și îl puteți aduce utilizând filtrul de afișare. Iată cum:

1. în partea de sus a ferestrei Wireshark, faceți clic pe caseta de dialog „Filtru”.
2. introduceți numele protocolului pe care doriți să îl examinați. De obicei, titlurile protocolului sunt scrise cu litere mici.
3. Faceți clic pe „Enter” sau „Apply” pentru a activa filtrul de afișare.

lungime

lungimea unui pachet Wireshark este determinată de numărul de octeți capturați în fragmentul de rețea respectiv. Acest număr corespunde de obicei cu numărul de octeți de date brute listați în partea de jos a ferestrei Wireshark.

dacă doriți să examinați distribuția lungimilor, deschideți fereastra „lungimi de pachete”. Toate informațiile sunt împărțite în următoarele coloane:

• lungimi de pachete
• număr
• medie
• Min Val/Max Val
• rată
• procent
• rată de spargere
• pornire de spargere

info

dacă există anomalii sau elemente similare într-un anumit pachet capturat, Wireshark îl va nota. Informațiile vor fi apoi afișate în panoul Listă de pachete pentru examinare ulterioară. În acest fel, veți avea o imagine clară a comportamentului atipic al rețelei, ceea ce va duce la reacții mai rapide.

Întrebări frecvente suplimentare

Cum pot filtra datele sub formă de pachete?

filtrarea este o caracteristică eficientă care vă permite să analizați specificul unei anumite secvențe de date. Există două tipuri de filtre Wireshark: captare și afișare. Filtrele de captare sunt acolo pentru a restricționa captarea pachetelor pentru a se potrivi cerințelor specifice. Cu alte cuvinte, puteți trece prin diferite tipuri de trafic aplicând un filtru de captare. După cum sugerează și numele, filtrele de afișare vă permit să vă perfecționați un anumit element al pachetului, de la lungimea pachetului la protocol.

aplicarea unui filtru este un proces destul de simplu. Puteți introduce titlul filtrului în caseta de dialog din partea de sus a ferestrei Wireshark. În plus, software-ul va completa automat numele filtrului.

alternativ, dacă doriți să combinați filtrele Wireshark implicite, procedați în felul următor:

1. Deschideți fila” analizați ” din bara de instrumente din partea de sus a ferestrei Wireshark.

2. Din lista derulantă, selectați ” Filtru afișare.”

3. Răsfoiți lista și faceți clic pe cea pe care doriți să o aplicați.

în cele din urmă, iată câteva filtre Wireshark obișnuite care pot fi utile:

• pentru a vizualiza doar adresa IP sursă și destinație, utilizați: „ip.src==IP-address and ip.dst==IP-address„

• pentru a vizualiza numai traficul SMTP, tastați: „tcp.port eq 25„

• pentru a captura tot traficul de subrețea, aplicați: „net 192.168.0.0/24„

• pentru a captura totul, cu excepția traficului ARP și DNS, utilizați: „port not 53 and not arp„

cum capturez datele sub formă de pachete în Wireshark?

după ce ați descărcat Wireshark pe dispozitiv, puteți începe monitorizarea conexiunii la rețea. Pentru a captura pachete de date pentru o analiză cuprinzătoare, iată ce trebuie să faceți:

1. Lansați Wireshark. Veți vedea o listă de rețele disponibile, deci faceți clic pe cea pe care doriți să o examinați. De asemenea, puteți aplica un filtru de captare dacă doriți să identificați tipul de trafic.

2. Dacă doriți să inspectați mai multe rețele, utilizați controlul „shift + clic stânga”.

3. Apoi, faceți clic pe pictograma rechin-fin din stânga de pe bara de instrumente de mai sus.

4. De asemenea, puteți începe capturarea făcând clic pe fila „Capture” și selectând „Start” din lista derulantă.

5. O altă modalitate de a face acest lucru este să utilizați apăsarea tastei „Control – E”.

pe măsură ce software-ul captează datele, veți vedea că acestea apar în panoul Listă de pachete în timp real.

Shark Byte

în timp ce Wireshark este un analizor de rețea extrem de avansat, este surprinzător de ușor de interpretat. Panoul listei de pachete este extrem de cuprinzător și bine organizat. Toate informațiile sunt distribuite în șapte culori diferite și marcate cu coduri de culoare clare.

în plus, software-ul open-source vine cu o mulțime de filtre ușor de aplicat, care facilitează monitorizarea. Activând un filtru de captare, puteți identifica ce fel de trafic doriți să analizeze Wireshark. Și odată ce datele sunt preluate, puteți aplica mai multe filtre de afișare pentru căutările specificate. Una peste alta, este un mecanism extrem de eficient, care nu este prea greu de stăpânit.