Kas jāzina
- Wireshark ir atvērtā pirmkoda lietojumprogramma, kas tver un parāda datus, kas tīklā pārvietojas turp un atpakaļ.
- Tā kā tas var urbt un nolasīt katras paketes saturu, to izmanto, lai novērstu tīkla problēmas un pārbaudītu programmatūru.
Šajā rakstā sniegtie norādījumi attiecas uz Wireshark 3.0.3 operētājsistēmai Windows un Mac.
Bottom Line
Sākotnēji pazīstams kā Ethereal, Wireshark parāda datus no simtiem dažādu protokolu visos galvenajos tīkla veidos. Datu paketes var skatīt reāllaikā vai analizēt bezsaistē. Wireshark atbalsta desmitiem uztveršanas/izsekošanas failu formātu, tostarp CAP un ERF. Integrētie atšifrēšanas rīki parāda šifrētās paketes vairākiem izplatītiem protokoliem, tostarp WEP un WPA/WPA2.
Kā lejupielādēt un instalēt Wireshark
Wireshark var bez maksas lejupielādēt no Wireshark Foundation vietnes gan operētājsistēmai macOS, gan Windows. Jūs redzēsit jaunāko stabilo versiju un pašreizējo izstrādes versiju. Ja vien neesat pieredzējis lietotājs, lejupielādējiet stabilo versiju.
Windows iestatīšanas procesa laikā izvēlieties instalēt WinPcap vai Npcap, ja tiek prasīts, jo tie ietver bibliotēkas, kas nepieciešamas tiešraides datu uztveršanai.
Lai izmantotu Wireshark, jums ir jāpiesakās ierīcē kā administratoram. Operētājsistēmā Windows 10 meklējiet Wireshark un atlasiet Run as administrator Operētājsistēmā macOS ar peles labo pogu noklikšķiniet uz lietotnes ikonas un atlasiet Get InfoIestatījumos Kopīgošana un atļaujas piešķiriet administratoram Lasīšanas un rakstīšanas privilēģijas.
Lietojumprogramma ir pieejama arī Linux un citām UNIX līdzīgām platformām, tostarp Red Hat, Solaris un FreeBSD. Šīm operētājsistēmām nepieciešamos bināros failus var atrast Wireshark lejupielādes lapas apakšā sadaļā Trešās puses pakotnes. Varat arī lejupielādēt Wireshark pirmkodu no šīs lapas.
Kā tvert datu paketes, izmantojot Wireshark
Palaižot programmu Wireshark, sveiciena ekrānā tiek parādīti pašreizējā ierīcē pieejamie tīkla savienojumi. Pa labi no katra ir parādīta EKG stila līniju diagramma, kas attēlo reāllaika trafiku attiecīgajā tīklā.
Lai sāktu pakešu tveršanu, izmantojot Wireshark:
-
Atlasiet vienu vai vairākus tīklus, dodieties uz izvēļņu joslu un pēc tam atlasiet Capture.
Lai atlasītu vairākus tīklus, atlases laikā turiet nospiestu taustiņu Shift.
-
Logā Wireshark Capture Interfaces atlasiet Start.
Ir arī citi veidi, kā uzsākt pakešu uztveršanu. Wireshark rīkjoslas kreisajā pusē atlasiet shark fin, nospiediet Ctrl+E vai veiciet dubultklikšķi uz tīkla.
-
Atlasiet File > Saglabāt kā vai izvēlieties opciju Eksportēt, lai ierakstītu uzņemšanu.
-
Lai pārtrauktu uzņemšanu, nospiediet Ctrl+E. Vai arī dodieties uz Wireshark rīkjoslu un atlasiet sarkano pogu Stop, kas atrodas blakus haizivs spurai.
Kā skatīt un analizēt pakešu saturu
Tvertajā datu saskarnē ir trīs galvenās sadaļas:
- Pakešu saraksta rūts (augšējā sadaļa)
- Pakešu informācijas rūts (vidējā sadaļa)
- Pakešu baitu rūts (apakšējā sadaļa)
Pakešu saraksts
Pakešu saraksta rūts, kas atrodas loga augšdaļā, parāda visas aktīvā uztveršanas failā atrastās paketes. Katrai paketei ir sava rinda un tai piešķirts atbilstošais numurs, kā arī katrs no šiem datu punktiem:
- Nē: Šis lauks norāda, kuras paketes ir vienas sarunas daļa. Tas paliek tukšs, līdz atlasāt paketi.
- Laiks: Šajā kolonnā tiek parādīts paketes uztveršanas laika zīmogs. Noklusējuma formāts ir sekunžu skaits vai sekunžu daļa kopš šī konkrētā tveršanas faila pirmās izveides.
- Avots: Šajā kolonnā ir norādīta paketes izcelsmes adrese (IP vai cita adrese).
- Galamērķis: Šajā kolonnā ir norādīta adrese, uz kuru tiek nosūtīta pakete.
- Protokols: Šajā kolonnā ir atrodams paketes protokola nosaukums, piemēram, TCP.
- Length: Šajā kolonnā tiek parādīts paketes garums baitos.
- Informācija: Šeit ir sniegta papildu informācija par paketi. Šīs kolonnas saturs var ievērojami atšķirties atkarībā no paketes satura.
Lai mainītu laika formātu uz kaut ko noderīgāku (piemēram, faktisko diennakts laiku), atlasiet View > Laika displeja formāts.
Kad augšējā rūtī ir atlasīta pakete, varat pamanīt, ka kolonnā No. parādās viens vai vairāki simboli. Atvērtas vai aizvērtas iekavas un taisna horizontāla līnija norāda, vai pakete vai pakešu grupa ir daļa no vienas un tās pašas sarunas tīklā. Pārrauta horizontāla līnija nozīmē, ka pakete nav sarunas daļa.
Paketes informācija
Detaļas rūts, kas atrodas vidū, saliekamā formātā parāda atlasītās paketes protokolus un protokolu laukus. Papildus katras atlases paplašināšanai varat lietot atsevišķus Wireshark filtrus, pamatojoties uz konkrētu informāciju, un sekot datu plūsmām, pamatojoties uz protokola veidu, ar peles labo pogu noklikšķinot uz vajadzīgā vienuma.
Pakešu baiti
Apakšā ir pakešu baitu rūts, kas parāda atlasītās paketes neapstrādātos datus heksadecimālajā skatījumā. Šajā heksadecimālajā izdrukā ir 16 heksadecimāli baiti un 16 ASCII baiti līdzās datu nobīdei.
Atlasot konkrētu šo datu daļu, pakešu informācijas rūtī automātiski tiek izcelta tai atbilstošā sadaļa un otrādi. Visi baiti, kurus nevar izdrukāt, tiek apzīmēti ar punktu.
Lai šos datus rādītu bitu formātā, nevis heksadecimālā formātā, ar peles labo pogu noklikšķiniet jebkurā vietā rūtī un atlasiet kā biti.
Kā lietot Wireshark filtrus
Capture filtri uzdod Wireshark ierakstīt tikai paketes, kas atbilst noteiktiem kritērijiem. Filtrus var lietot arī tveršanas failam, kas ir izveidots tā, lai tiktu parādītas tikai noteiktas paketes. Tos sauc par displeja filtriem.
Wireshark pēc noklusējuma nodrošina lielu skaitu iepriekš definētu filtru. Lai izmantotu kādu no šiem esošajiem filtriem, ievadiet tā nosaukumu ievades laukā Lietot displeja filtru, kas atrodas zem Wireshark rīkjoslas, vai Ievadiet uztveršanas filtru lauks atrodas sveiciena ekrāna centrā.
Piemēram, ja vēlaties parādīt TCP paketes, ierakstiet tcp. Wireshark automātiskās pabeigšanas funkcija parāda ieteiktos nosaukumus, kad sākat rakstīt, tādējādi atvieglojot meklētajam filtram atbilstošā nosaukuma atrašanu.
Cits veids, kā izvēlēties filtru, ir atlasīt grāmatzīme ievades lauka kreisajā pusē. Izvēlieties Pārvaldīt filtru izteiksmes vai Pārvaldīt displeja filtrus, lai pievienotu, noņemtu vai rediģētu filtrus.
Varat piekļūt arī iepriekš izmantotajiem filtriem, atlasot lejupvērsto bultiņu ievades lauka labajā pusē, lai parādītu vēstures nolaižamo sarakstu.
Tveršanas filtri tiek lietoti, tiklīdz sākat ierakstīt tīkla trafiku. Lai lietotu displeja filtru, ievades lauka labajā pusē atlasiet labo bultiņu.
Wireshark krāsu noteikumi
Lai gan Wireshark tveršanas un displeja filtri ierobežo to, kuras paketes tiek ierakstītas vai parādītas ekrānā, tā krāsošanas funkcija ir vēl lielāka: tā var atšķirt dažādus pakešu veidus, pamatojoties uz to individuālo nokrāsu. Tas ātri atrod noteiktas paketes saglabātajā komplektā pēc to rindas krāsas pakešu saraksta rūtī.
Wireshark ir aptuveni 20 noklusējuma krāsošanas kārtulas, katru no tām var rediģēt, atspējot vai dzēst. Atlasiet View > Krāsošanas noteikumi, lai iegūtu pārskatu par katras krāsas nozīmi. Varat arī pievienot savus krāsu filtrus.
Atlasiet View > Colorize Packet List, lai ieslēgtu un izslēgtu pakešu iekrāsošanu.
Statistika programmā Wireshark
Cita noderīga metrika ir pieejama nolaižamajā izvēlnē Statistika. Tie ietver informāciju par tveršanas faila lielumu un laiku, kā arī desmitiem diagrammu un grafiku, sākot no pakešu sarunu sadalījuma līdz HTTP pieprasījumu slodzes izplatīšanai.
Displeja filtrus var lietot lielai daļai no šīs statistikas, izmantojot to saskarnes, un rezultātus var eksportēt uz plaši izplatītiem failu formātiem, tostarp CSV, XML un TXT.
Wireshark uzlabotās funkcijas
Wireshark atbalsta arī uzlabotas funkcijas, tostarp iespēju rakstīt protokolu sadalītājus Lua programmēšanas valodā.