Kā lietot Wireshark: pilnīga apmācība

Satura rādītājs:

Kā lietot Wireshark: pilnīga apmācība
Kā lietot Wireshark: pilnīga apmācība
Anonim

Kas jāzina

  • Wireshark ir atvērtā pirmkoda lietojumprogramma, kas tver un parāda datus, kas tīklā pārvietojas turp un atpakaļ.
  • Tā kā tas var urbt un nolasīt katras paketes saturu, to izmanto, lai novērstu tīkla problēmas un pārbaudītu programmatūru.

Šajā rakstā sniegtie norādījumi attiecas uz Wireshark 3.0.3 operētājsistēmai Windows un Mac.

Bottom Line

Sākotnēji pazīstams kā Ethereal, Wireshark parāda datus no simtiem dažādu protokolu visos galvenajos tīkla veidos. Datu paketes var skatīt reāllaikā vai analizēt bezsaistē. Wireshark atbalsta desmitiem uztveršanas/izsekošanas failu formātu, tostarp CAP un ERF. Integrētie atšifrēšanas rīki parāda šifrētās paketes vairākiem izplatītiem protokoliem, tostarp WEP un WPA/WPA2.

Kā lejupielādēt un instalēt Wireshark

Wireshark var bez maksas lejupielādēt no Wireshark Foundation vietnes gan operētājsistēmai macOS, gan Windows. Jūs redzēsit jaunāko stabilo versiju un pašreizējo izstrādes versiju. Ja vien neesat pieredzējis lietotājs, lejupielādējiet stabilo versiju.

Image
Image

Windows iestatīšanas procesa laikā izvēlieties instalēt WinPcap vai Npcap, ja tiek prasīts, jo tie ietver bibliotēkas, kas nepieciešamas tiešraides datu uztveršanai.

Image
Image

Lai izmantotu Wireshark, jums ir jāpiesakās ierīcē kā administratoram. Operētājsistēmā Windows 10 meklējiet Wireshark un atlasiet Run as administrator Operētājsistēmā macOS ar peles labo pogu noklikšķiniet uz lietotnes ikonas un atlasiet Get InfoIestatījumos Kopīgošana un atļaujas piešķiriet administratoram Lasīšanas un rakstīšanas privilēģijas.

Image
Image

Lietojumprogramma ir pieejama arī Linux un citām UNIX līdzīgām platformām, tostarp Red Hat, Solaris un FreeBSD. Šīm operētājsistēmām nepieciešamos bināros failus var atrast Wireshark lejupielādes lapas apakšā sadaļā Trešās puses pakotnes. Varat arī lejupielādēt Wireshark pirmkodu no šīs lapas.

Kā tvert datu paketes, izmantojot Wireshark

Palaižot programmu Wireshark, sveiciena ekrānā tiek parādīti pašreizējā ierīcē pieejamie tīkla savienojumi. Pa labi no katra ir parādīta EKG stila līniju diagramma, kas attēlo reāllaika trafiku attiecīgajā tīklā.

Lai sāktu pakešu tveršanu, izmantojot Wireshark:

  1. Atlasiet vienu vai vairākus tīklus, dodieties uz izvēļņu joslu un pēc tam atlasiet Capture.

    Lai atlasītu vairākus tīklus, atlases laikā turiet nospiestu taustiņu Shift.

    Image
    Image
  2. Logā Wireshark Capture Interfaces atlasiet Start.

    Ir arī citi veidi, kā uzsākt pakešu uztveršanu. Wireshark rīkjoslas kreisajā pusē atlasiet shark fin, nospiediet Ctrl+E vai veiciet dubultklikšķi uz tīkla.

    Image
    Image
  3. Atlasiet File > Saglabāt kā vai izvēlieties opciju Eksportēt, lai ierakstītu uzņemšanu.

    Image
    Image
  4. Lai pārtrauktu uzņemšanu, nospiediet Ctrl+E. Vai arī dodieties uz Wireshark rīkjoslu un atlasiet sarkano pogu Stop, kas atrodas blakus haizivs spurai.

    Image
    Image

Kā skatīt un analizēt pakešu saturu

Tvertajā datu saskarnē ir trīs galvenās sadaļas:

  • Pakešu saraksta rūts (augšējā sadaļa)
  • Pakešu informācijas rūts (vidējā sadaļa)
  • Pakešu baitu rūts (apakšējā sadaļa)
Image
Image

Pakešu saraksts

Pakešu saraksta rūts, kas atrodas loga augšdaļā, parāda visas aktīvā uztveršanas failā atrastās paketes. Katrai paketei ir sava rinda un tai piešķirts atbilstošais numurs, kā arī katrs no šiem datu punktiem:

  • Nē: Šis lauks norāda, kuras paketes ir vienas sarunas daļa. Tas paliek tukšs, līdz atlasāt paketi.
  • Laiks: Šajā kolonnā tiek parādīts paketes uztveršanas laika zīmogs. Noklusējuma formāts ir sekunžu skaits vai sekunžu daļa kopš šī konkrētā tveršanas faila pirmās izveides.
  • Avots: Šajā kolonnā ir norādīta paketes izcelsmes adrese (IP vai cita adrese).
  • Galamērķis: Šajā kolonnā ir norādīta adrese, uz kuru tiek nosūtīta pakete.
  • Protokols: Šajā kolonnā ir atrodams paketes protokola nosaukums, piemēram, TCP.
  • Length: Šajā kolonnā tiek parādīts paketes garums baitos.
  • Informācija: Šeit ir sniegta papildu informācija par paketi. Šīs kolonnas saturs var ievērojami atšķirties atkarībā no paketes satura.

Lai mainītu laika formātu uz kaut ko noderīgāku (piemēram, faktisko diennakts laiku), atlasiet View > Laika displeja formāts.

Image
Image

Kad augšējā rūtī ir atlasīta pakete, varat pamanīt, ka kolonnā No. parādās viens vai vairāki simboli. Atvērtas vai aizvērtas iekavas un taisna horizontāla līnija norāda, vai pakete vai pakešu grupa ir daļa no vienas un tās pašas sarunas tīklā. Pārrauta horizontāla līnija nozīmē, ka pakete nav sarunas daļa.

Image
Image

Paketes informācija

Detaļas rūts, kas atrodas vidū, saliekamā formātā parāda atlasītās paketes protokolus un protokolu laukus. Papildus katras atlases paplašināšanai varat lietot atsevišķus Wireshark filtrus, pamatojoties uz konkrētu informāciju, un sekot datu plūsmām, pamatojoties uz protokola veidu, ar peles labo pogu noklikšķinot uz vajadzīgā vienuma.

Image
Image

Pakešu baiti

Apakšā ir pakešu baitu rūts, kas parāda atlasītās paketes neapstrādātos datus heksadecimālajā skatījumā. Šajā heksadecimālajā izdrukā ir 16 heksadecimāli baiti un 16 ASCII baiti līdzās datu nobīdei.

Atlasot konkrētu šo datu daļu, pakešu informācijas rūtī automātiski tiek izcelta tai atbilstošā sadaļa un otrādi. Visi baiti, kurus nevar izdrukāt, tiek apzīmēti ar punktu.

Image
Image

Lai šos datus rādītu bitu formātā, nevis heksadecimālā formātā, ar peles labo pogu noklikšķiniet jebkurā vietā rūtī un atlasiet kā biti.

Image
Image

Kā lietot Wireshark filtrus

Capture filtri uzdod Wireshark ierakstīt tikai paketes, kas atbilst noteiktiem kritērijiem. Filtrus var lietot arī tveršanas failam, kas ir izveidots tā, lai tiktu parādītas tikai noteiktas paketes. Tos sauc par displeja filtriem.

Wireshark pēc noklusējuma nodrošina lielu skaitu iepriekš definētu filtru. Lai izmantotu kādu no šiem esošajiem filtriem, ievadiet tā nosaukumu ievades laukā Lietot displeja filtru, kas atrodas zem Wireshark rīkjoslas, vai Ievadiet uztveršanas filtru lauks atrodas sveiciena ekrāna centrā.

Piemēram, ja vēlaties parādīt TCP paketes, ierakstiet tcp. Wireshark automātiskās pabeigšanas funkcija parāda ieteiktos nosaukumus, kad sākat rakstīt, tādējādi atvieglojot meklētajam filtram atbilstošā nosaukuma atrašanu.

Image
Image

Cits veids, kā izvēlēties filtru, ir atlasīt grāmatzīme ievades lauka kreisajā pusē. Izvēlieties Pārvaldīt filtru izteiksmes vai Pārvaldīt displeja filtrus, lai pievienotu, noņemtu vai rediģētu filtrus.

Image
Image

Varat piekļūt arī iepriekš izmantotajiem filtriem, atlasot lejupvērsto bultiņu ievades lauka labajā pusē, lai parādītu vēstures nolaižamo sarakstu.

Image
Image

Tveršanas filtri tiek lietoti, tiklīdz sākat ierakstīt tīkla trafiku. Lai lietotu displeja filtru, ievades lauka labajā pusē atlasiet labo bultiņu.

Wireshark krāsu noteikumi

Lai gan Wireshark tveršanas un displeja filtri ierobežo to, kuras paketes tiek ierakstītas vai parādītas ekrānā, tā krāsošanas funkcija ir vēl lielāka: tā var atšķirt dažādus pakešu veidus, pamatojoties uz to individuālo nokrāsu. Tas ātri atrod noteiktas paketes saglabātajā komplektā pēc to rindas krāsas pakešu saraksta rūtī.

Image
Image

Wireshark ir aptuveni 20 noklusējuma krāsošanas kārtulas, katru no tām var rediģēt, atspējot vai dzēst. Atlasiet View > Krāsošanas noteikumi, lai iegūtu pārskatu par katras krāsas nozīmi. Varat arī pievienot savus krāsu filtrus.

Image
Image

Atlasiet View > Colorize Packet List, lai ieslēgtu un izslēgtu pakešu iekrāsošanu.

Statistika programmā Wireshark

Cita noderīga metrika ir pieejama nolaižamajā izvēlnē Statistika. Tie ietver informāciju par tveršanas faila lielumu un laiku, kā arī desmitiem diagrammu un grafiku, sākot no pakešu sarunu sadalījuma līdz HTTP pieprasījumu slodzes izplatīšanai.

Image
Image

Displeja filtrus var lietot lielai daļai no šīs statistikas, izmantojot to saskarnes, un rezultātus var eksportēt uz plaši izplatītiem failu formātiem, tostarp CSV, XML un TXT.

Wireshark uzlabotās funkcijas

Wireshark atbalsta arī uzlabotas funkcijas, tostarp iespēju rakstīt protokolu sadalītājus Lua programmēšanas valodā.

Ieteicams: