för många IT-experter är Wireshark go-to-verktyget för nätverkspaketanalys. Programvaran med öppen källkod gör att du kan noggrant undersöka de insamlade data och bestämma roten till problemet med förbättrad noggrannhet. Dessutom arbetar Wireshark i realtid och använder färgkodning för att visa de fångade paketen, bland andra fina mekanismer.

hur man läser paket i Wireshark

i denna handledning förklarar vi hur man fångar, läser och filtrerar paket med Wireshark. Nedan hittar du steg-för-steg-instruktioner och nedbrytningar av de grundläggande nätverksanalysfunktionerna. När du behärskar dessa grundläggande steg kan du inspektera trafikflödet i ditt nätverk och felsöka problem med mer effektivitet.

analysera paket

när paketen har tagits, organiserar Wireshark dem i en detaljerad paketlista som är otroligt lätt att läsa. Om du vill komma åt informationen om ett enda paket behöver du bara hitta det i listan och klicka. Du kan också utöka trädet ytterligare för att komma åt detaljerna för varje protokoll som finns i paketet.

för en mer omfattande översikt kan du visa varje fångat paket i ett separat fönster. Så här gör du:

  1. Välj paketet från listan med markören och högerklicka sedan.
  2. öppna fliken ”Visa” från verktygsfältet ovan.
  3. välj” Visa paket i nytt fönster ” i rullgardinsmenyn.

det är mycket lättare att jämföra de fångade paketen om du tar upp dem i separata fönster.

som nämnts använder Wireshark ett färgkodningssystem för datavisualisering. Varje paket är märkt med en annan färg som representerar olika typer av trafik. Till exempel markeras TCP-trafik vanligtvis med blått, medan svart används för att indikera paket som innehåller fel.

naturligtvis behöver du inte memorera betydelsen bakom varje färg. Istället kan du kolla på plats:

  1. högerklicka på paketet du vill undersöka.
  2. välj fliken” Visa ” i verktygsfältet högst upp på skärmen.
  3. Välj ”färgregler” från rullgardinsmenyn.

du ser alternativet att anpassa färgläggningen efter dina önskemål. Men om du bara vill ändra färgreglerna tillfälligt, följ dessa steg:

  1. högerklicka på paketet i rutan paketlista.
  2. i listan med alternativ väljer du ”Färglägg med Filter.”
  3. välj den färg som du vill märka den med.

nummer

paketlistfönstret visar det exakta antalet fångade databitar. Eftersom paketen är organiserade i flera kolumner är det ganska lätt att tolka. Standardkategorierna är:

  • Nej. (Nummer): som nämnts kan du hitta det exakta antalet fångade paket i den här kolumnen. Siffrorna förblir desamma även efter filtrering av data.
  • tid: som du kanske har gissat visas paketets tidsstämpel här.
  • Källa: det visar var paketet har sitt ursprung.
  • Destination: det visar platsen där paketet kommer att förvaras.
  • protokoll: Det visar protokollets namn, vanligtvis i en förkortning.
  • Längd: det visar antalet byte som finns i det fångade paketet.
  • Info: kolumnen innehåller ytterligare information om ett visst paket.

tid

när Wireshark analyserar nätverkstrafiken är varje fångat paket tidsstämplat. Tidsstämplarna ingår sedan i paketlistan och är tillgängliga för senare inspektion.

Wireshark skapar inte tidsstämplarna själva. Istället får analysatorverktyget dem från npcap-biblioteket. Källan till tidsstämpeln är dock faktiskt kärnan. Det är därför tidsstämpelns noggrannhet kan variera från fil till fil.

du kan välja i vilket format tidsstämplarna ska visas i paketlistan. Dessutom kan du ställa in önskad precision eller antal decimaler som visas. Förutom standardprecisionsinställningen finns det också:

  • sekunder
  • tiondelar av en sekund
  • hundradelar av en sekund
  • millisekunder
  • mikrosekunder
  • nanosekunder

källa

som namnet antyder är källan till paketet ursprungsorten. Om du vill hämta källkoden för ett Wireshark-arkiv kan du ladda ner det med hjälp av en Git-klient. Metoden kräver dock att du har ett GitLab-konto. Det är möjligt att göra det utan en, men det är bättre att anmäla sig bara om det är fallet.

när du har registrerat ett konto följer du dessa steg:

  1. se till att Git fungerar med det här kommandot: ”$ git -–version.
  2. dubbelkolla om din e-postadress och användarnamn är konfigurerade.
  3. gör sedan en klon av Workshark-källan. Använd” $ git clone -o upstream :wireshark/wireshark.git ” SSH URL för att göra kopian.
  4. om du inte har ett GitLab-konto, prova HTTPS-webbadressen: ”$ git clone -o upstream https://gitlab.com/wireshark/wireshark.git.

alla källor kopieras därefter till din enhet. Tänk på att kloning kan ta ett tag, särskilt om du har en trög nätverksanslutning.

Destination

om du vill veta IP-adressen för ett visst paket destination kan du använda visningsfiltret för att hitta det. Så här gör du:

  1. ange” ip.addr == 8.8.8.8 ”i filterrutan Wireshark”.”Klicka sedan på” Stiga på.”
  2. rutan paketlista konfigureras bara om för att visa paketdestinationen. Hitta den IP-adress du är intresserad av genom att bläddra igenom listan.
  3. när du är klar väljer du ”rensa” i verktygsfältet för att konfigurera om paketlistfönstret.

protokoll

ett protokoll är en riktlinje som bestämmer dataöverföringen mellan olika enheter som är anslutna till samma nätverk. Varje Wireshark-paket innehåller ett protokoll, och du kan ta upp det med hjälp av visningsfiltret. Så här gör du:

  1. överst i Wireshark-fönstret klickar du på dialogrutan ”Filter”.
  2. ange namnet på det protokoll du vill undersöka. Vanligtvis skrivs protokolltitlar med små bokstäver.
  3. klicka på ”Enter” eller ”Apply” för att aktivera visningsfiltret.

längd

längden på ett Wireshark-paket bestäms av antalet byte som fångats i det specifika nätverksavsnittet. Det numret motsvarar vanligtvis antalet rådata byte som anges längst ner i Wireshark-fönstret.

om du vill undersöka fördelningen av längder, öppna fönstret” Paketlängder”. All information är indelad i följande kolumner:

  • paketlängder
  • räkna
  • genomsnitt
  • min Val/Max Val
  • Betygsätt
  • procent
  • Sprängfrekvens
  • Sprängstart

info

om det finns några avvikelser eller liknande föremål inom ett visst fångat paket, kommer Wireshark att notera det. Informationen kommer sedan att visas i paketlistan rutan för vidare undersökning. På så sätt får du en tydlig bild av atypiskt nätverksbeteende, vilket kommer att resultera i snabbare reaktioner.

ytterligare Vanliga frågor

Hur kan jag filtrera paketdata?

filtrering är en effektiv funktion som låter dig undersöka detaljerna i en viss datasekvens. Det finns två typer av Wireshark-filter: fånga och visa. Fånga filter finns för att begränsa paket fånga för att passa specifika krav. Med andra ord kan du sikta igenom olika typer av trafik genom att använda ett fångstfilter. Som namnet antyder tillåter visningsfilter dig att finslipa ett visst element i paketet, från paketlängd till protokoll.

att använda ett filter är en ganska enkel process. Du kan skriva filtertiteln i dialogrutan högst upp i Wireshark-fönstret. Dessutom kommer programvaran vanligtvis automatiskt att fylla i namnet på filtret.

alternativt, om du vill kamma igenom standard Wireshark-filter, gör följande:

1. Öppna fliken ”Analysera” i verktygsfältet högst upp i Wireshark-fönstret.

2. I rullgardinsmenyn väljer du ” visa Filter.”

3. Bläddra igenom listan och klicka på den du vill använda.

slutligen, här är några vanliga Wireshark-filter som kan komma till nytta:

ip.src==IP-address and ip.dst==IP-address”

• om du bara vill visa SMTP-trafik skriver du: ”tcp.port eq 25

• för att fånga all subnät trafik, tillämpa: ”net 192.168.0.0/24

• för att fånga allt utom ARP-och DNS-trafiken, använd: ”port not 53 and not arp

hur fångar jag paketdata i Wireshark?

när du har laddat ner Wireshark till din enhet kan du börja övervaka din nätverksanslutning. För att fånga datapaket för en omfattande analys, här är vad du behöver göra:

1. Starta Wireshark. Du ser en lista över tillgängliga nätverk, så klicka på den du vill undersöka. Du kan också använda ett fångstfilter om du vill hitta typen av trafik.

2. Om du vill inspektera flera nätverk använder du kontrollen ”Skift + vänsterklick”.

3. Klicka sedan på ikonen längst till vänster shark-fin i verktygsfältet ovan.

4. Du kan också starta fångsten genom att klicka på fliken ”fånga” och välja ”Start” i listrutan.

5. Ett annat sätt att göra det är att använda ”Control – E” – tangenten.

när programvaran tar tag i data ser du att den visas i paketlistfönstret i realtid.

Shark Byte

medan Wireshark är en mycket avancerad nätverksanalysator är det förvånansvärt lätt att tolka. Rutan paketlista är extremt omfattande och välorganiserad. All information distribueras i sju olika färger och markeras med tydliga färgkoder.

dessutom kommer programvaran med öppen källkod med en massa lätt tillämpliga filter som underlättar övervakningen. Genom att aktivera ett fångstfilter kan du ange vilken typ av trafik du vill att Wireshark ska analysera. Och när data har tagits kan du använda flera visningsfilter för angivna sökningar. Sammantaget är det en mycket effektiv mekanism som inte är för svår att behärska.

Lämna ett svar

Din e-postadress kommer inte publiceras.