Jak korzystać z Wireshark: kompletny samouczek

przez

Co wiedzieć

  • Wireshark to aplikacja typu open source, która przechwytuje i wyświetla dane przesyłane tam i z powrotem w sieci.
  • Ponieważ może przechodzić do szczegółów i odczytywać zawartość każdego pakietu, jest używany do rozwiązywania problemów z siecią i testowania oprogramowania.

Instrukcje zawarte w tym artykule dotyczą programu Wireshark 3.0.3 dla systemów Windows i Mac.


Co to jest Wireshark?

Wireshark, pierwotnie znany jako Ethereal, wyświetla dane z setek różnych protokołów we wszystkich głównych typach sieci. Pakiety danych można przeglądać w czasie rzeczywistym lub analizować offline. Wireshark obsługuje dziesiątki formatów plików przechwytywania / śledzenia, w tym CAP i ERF. Zintegrowane narzędzia deszyfrujące wyświetlają zaszyfrowane pakiety dla kilku popularnych protokołów, w tym WEP i WPA / WPA2.

Jak pobrać i zainstalować Wireshark

Wireshark można pobrać bezpłatnie ze strony Wireshark Foundation zarówno dla macOS, jak i Windows. Zobaczysz najnowszą stabilną wersję i aktualną wersję rozwojową. Jeśli nie jesteś zaawansowanym użytkownikiem, pobierz stabilną wersję.

Podczas procesu instalacji systemu Windows wybierz instalację Winpcap lub Npcap jeśli zostanie wyświetlony monit, ponieważ obejmują one biblioteki wymagane do przechwytywania danych na żywo.

Aby móc korzystać z Wireshark, musisz być zalogowany do urządzenia jako administrator. W systemie Windows 10 wyszukaj Wireshark i wybierz Uruchom jako administrator. W systemie macOS kliknij prawym przyciskiem myszy ikonę aplikacji i wybierz Pobierz informacje, w Udostępnianie i uprawnienia ustawienia, podaj administratorowi Odczyt i zapis przywileje.

Aplikacja jest również dostępna dla systemu Linux i innych platform podobnych do systemu UNIX, w tym Red Hat, Solaris i FreeBSD. Pliki binarne wymagane dla tych systemów operacyjnych można znaleźć u dołu strony pobierania Wireshark pod rozszerzeniem Pakiety innych firm Sekcja. Możesz także pobrać kod źródłowy Wireshark z tej strony.


Jak przechwytywać pakiety danych za pomocą programu Wireshark

Po uruchomieniu Wireshark, ekran powitalny zawiera listę dostępnych połączeń sieciowych na Twoim obecnym urządzeniu. Po prawej stronie każdego z nich jest wyświetlany wykres liniowy w stylu EKG, który przedstawia ruch na żywo w tej sieci.

Aby rozpocząć przechwytywanie pakietów za pomocą Wireshark:

  1. Wybierz co najmniej jedną sieć, przejdź do paska menu, a następnie wybierz Zdobyć.

    Aby wybrać wiele sieci, przytrzymaj przesunięcie podczas dokonywania wyboru.

  2. W Interfejsy Wireshark Capture, wybierz Start.

    Istnieją inne sposoby zainicjowania przechwytywania pakietów. Wybierz "płetwę rekina" po lewej stronie paska narzędzi Wireshark naciśnij, Ctrl + E.lub kliknij dwukrotnie sieć.

  3. Wybierz Plik > Zapisz jako lub wybierz eksport opcja nagrywania przechwytywania.

  4. Aby zatrzymać przechwytywanie, naciśnij Ctrl + E.. Lub przejdź do paska narzędzi Wireshark i wybierz czerwony zatrzymać przycisk znajdujący się obok "płetwy rekina".


Jak przeglądać i analizować zawartość pakietów

Interfejs przechwyconych danych zawiera trzy główne sekcje:

  • Panel listy pakietów (górna sekcja)
  • Panel szczegółów pakietu (środkowa sekcja)
  • Panel bajtów pakietu (dolna sekcja)

Lista pakietów

Panel listy pakietów, znajdujący się w górnej części okna, pokazuje wszystkie pakiety znalezione w aktywnym pliku przechwytywania. Każdy pakiet ma swój własny wiersz i przypisany mu numer, wraz z każdym z następujących punktów danych:

  • No: To pole wskazuje, które pakiety są częścią tej samej konwersacji. Pozostaje puste, dopóki nie wybierzesz pakietu.
  • Czas: W tej kolumnie wyświetlana jest sygnatura czasowa przechwycenia pakietu. Format domyślny to liczba sekund lub części sekund od pierwszego utworzenia tego konkretnego pliku przechwytywania.
  • Źródło: Ta kolumna zawiera adres (IP lub inny), z którego pochodzi pakiet.
  • Miejsce docelowe: Ta kolumna zawiera adres, na który pakiet jest wysyłany.
  • Protokół: Nazwę protokołu pakietu, taką jak TCP, można znaleźć w tej kolumnie.
  • Czas trwania: W tej kolumnie wyświetlana jest długość pakietu w bajtach.
  • Info: Dodatkowe szczegóły dotyczące pakietu są przedstawione tutaj. Zawartość tej kolumny może się znacznie różnić w zależności od zawartości pakietu.

Aby zmienić format czasu na bardziej przydatny (na przykład aktualną godzinę), wybierz Widok > Format wyświetlania czasu.

Gdy pakiet jest zaznaczony w górnym panelu, możesz zauważyć, że jeden lub więcej symboli pojawia się w No. kolumna. Otwarte lub zamknięte nawiasy i prosta pozioma linia wskazują, czy pakiet lub grupa pakietów jest częścią tej samej wymiany informacji w sieci. Przerywana pozioma linia oznacza, że ​​pakiet nie jest częścią konwersacji.

Szczegóły pakietu

Znajdujące się w środku okienko szczegółów przedstawia protokoły i pola protokołów wybranego pakietu w zwijanym formacie. Oprócz rozszerzania każdego wyboru, możesz zastosować indywidualne filtry Wireshark w oparciu o określone szczegóły i śledzić strumienie danych w oparciu o typ protokołu, klikając prawym przyciskiem myszy żądany element.

Pakiety bajtów

U dołu znajduje się panel bajtów pakietu, który wyświetla surowe dane wybranego pakietu w widoku szesnastkowym. Ten zrzut szesnastkowy zawiera 16 bajtów szesnastkowych i 16 bajtów ASCII obok przesunięcia danych.

Wybranie określonej części tych danych automatycznie podświetla odpowiednią sekcję w okienku szczegółów pakietu i odwrotnie. Wszystkie bajty, których nie można wydrukować, są reprezentowane przez kropkę.

Aby wyświetlić te dane w formacie bitowym, a nie szesnastkowym, kliknij prawym przyciskiem myszy w dowolnym miejscu panelu i wybierz jako bity.

Jak korzystać z filtrów Wireshark

Filtry przechwytywania instruują Wireshark, aby rejestrował tylko te pakiety, które spełniają określone kryteria. Filtry można również zastosować do pliku przechwytywania, który został utworzony w taki sposób, że wyświetlane są tylko określone pakiety. Są one określane jako filtry wyświetlania.

Wireshark domyślnie udostępnia dużą liczbę predefiniowanych filtrów. Aby użyć jednego z tych istniejących filtrów, wprowadź jego nazwę w Zastosuj filtr wyświetlania pole wprowadzania znajdujące się poniżej paska narzędzi Wireshark lub w Wprowadź filtr przechwytywania pole znajdujące się na środku ekranu powitalnego.

Na przykład, jeśli chcesz wyświetlić pakiety TCP, wpisz tcp. Funkcja autouzupełniania Wireshark wyświetla sugerowane nazwy, gdy zaczynasz pisać, ułatwiając znalezienie odpowiedniej pozycji dla szukanego filtra.

Innym sposobem wyboru filtru jest wybranie pliku zakładka po lewej stronie pola wprowadzania. Wybierać Zarządzaj wyrażeniami filtru or Zarządzaj filtrami wyświetlania aby dodawać, usuwać lub edytować filtry.

Możesz również uzyskać dostęp do wcześniej używanych filtrów, wybierając strzałkę w dół po prawej stronie pola wprowadzania, aby wyświetlić listę rozwijaną historii.

Filtry przechwytywania są stosowane natychmiast po rozpoczęciu rejestrowania ruchu sieciowego. Aby zastosować filtr wyświetlania, wybierz strzałkę w prawo po prawej stronie pola wprowadzania.

Zasady kolorów programu Wireshark

Podczas gdy filtry przechwytywania i wyświetlania Wireshark ograniczają, które pakiety są rejestrowane lub wyświetlane na ekranie, jego funkcja kolorowania idzie o krok dalej: może rozróżniać różne typy pakietów na podstawie ich indywidualnego odcienia. To szybko lokalizuje określone pakiety w zapisanym zestawie na podstawie koloru ich wiersza w panelu listy pakietów.

Wireshark zawiera około 20 domyślnych reguł kolorowania, z których każdą można edytować, wyłączać lub usuwać. Wybierz Widok > Zasady kolorowania aby zobaczyć, co oznacza każdy kolor. Możesz także dodać własne filtry oparte na kolorach.

Wybierz Widok > Koloruj listę pakietów włączanie i wyłączanie kolorowania pakietów.

Statystyki w Wireshark

Inne przydatne dane są dostępne za pośrednictwem Statystyka menu rozwijane. Obejmują one informacje o rozmiarze i czasie przechwytywania pliku, a także dziesiątki wykresów i wykresów obejmujących różne tematy, od podziałów konwersacji pakietów po dystrybucję obciążeń żądań HTTP.

Filtry wyświetlania można zastosować do wielu z tych statystyk za pośrednictwem ich interfejsów, a wyniki można eksportować do popularnych formatów plików, w tym CSV, XML i TXT.

Zaawansowane funkcje Wireshark

Wireshark obsługuje również zaawansowane funkcje, w tym możliwość pisania dysektorów protokołów w języku programowania Lua.

Dodaj komentarz