Cum se utilizează Wireshark: un tutorial complet

Cuprins:

Cum se utilizează Wireshark: un tutorial complet
Cum se utilizează Wireshark: un tutorial complet
Anonim

Ce trebuie să știți

  • Wireshark este o aplicație open-source care captează și afișează date care circulă înainte și înapoi într-o rețea.
  • Deoarece poate detalia și citi conținutul fiecărui pachet, este folosit pentru a depana problemele de rețea și a testa software-ul.

Instrucțiunile din acest articol se aplică Wireshark 3.0.3 pentru Windows și Mac.

Linia de bază

Cunoscut inițial ca Ethereal, Wireshark afișează date din sute de protocoale diferite pe toate tipurile de rețele majore. Pachetele de date pot fi vizualizate în timp real sau analizate offline. Wireshark acceptă zeci de formate de fișiere de captură/urmărire, inclusiv CAP și ERF. Instrumentele de decriptare integrate afișează pachetele criptate pentru mai multe protocoale comune, inclusiv WEP și WPA/WPA2.

Cum se descarcă și se instalează Wireshark

Wireshark poate fi descărcat gratuit de pe site-ul Wireshark Foundation atât pentru macOS, cât și pentru Windows. Veți vedea cea mai recentă versiune stabilă și versiunea de dezvoltare actuală. Dacă nu sunteți un utilizator avansat, descărcați versiunea stabilă.

Image
Image

În timpul procesului de configurare Windows, alegeți să instalați WinPcap sau Npcap dacă vi se solicită, deoarece acestea includ bibliotecile necesare pentru captarea datelor live.

Image
Image

Trebuie să fii conectat la dispozitiv ca administrator pentru a utiliza Wireshark. În Windows 10, căutați Wireshark și selectați Run ca administrator În macOS, faceți clic dreapta pe pictograma aplicației și selectați Obțineți informații În setările Partajare și permisiuni, acordați administratorului privilegiile Citire și scriere.

Image
Image

Aplicația este disponibilă și pentru Linux și alte platforme asemănătoare UNIX, inclusiv Red Hat, Solaris și FreeBSD. Binarele necesare pentru aceste sisteme de operare pot fi găsite în partea de jos a paginii de descărcare Wireshark, în secțiunea Pachete terțe. De asemenea, puteți descărca codul sursă al Wireshark de pe această pagină.

Cum să capturați pachete de date cu Wireshark

Când lansați Wireshark, un ecran de bun venit listează conexiunile de rețea disponibile pe dispozitivul dvs. actual. În partea dreaptă a fiecăruia este afișat un grafic cu linii în stil EKG care reprezintă traficul în direct din rețeaua respectivă.

Pentru a începe capturarea pachetelor cu Wireshark:

  1. Selectați una sau mai multe rețele, accesați bara de meniu, apoi selectați Capture.

    Pentru a selecta mai multe rețele, țineți apăsată tasta Shift în timp ce faceți selecția.

    Image
    Image
  2. În fereastra Interfețe Wireshark Capture, selectați Începe.

    Există și alte moduri de a iniția capturarea pachetelor. Selectați înotătoarea de rechin din partea stângă a barei de instrumente Wireshark, apăsați Ctrl+E sau faceți dublu clic pe rețea.

    Image
    Image
  3. Selectați Fișier > Salvați ca sau alegeți o opțiune Export pentru a înregistra captura.

    Image
    Image
  4. Pentru a opri captura, apăsați Ctrl+E. Sau accesați bara de instrumente Wireshark și selectați butonul roșu Stop care se află lângă înotătoarea de rechin.

    Image
    Image

Cum să vizualizați și să analizați conținutul pachetului

Interfața de date capturate conține trei secțiuni principale:

  • Paneul listei de pachete (secțiunea de sus)
  • Paneul cu detaliile pachetului (secțiunea din mijloc)
  • Paneul de octeți de pachete (secțiunea de jos)
Image
Image

Lista de pachete

Pachetul cu listă de pachete, situat în partea de sus a ferestrei, arată toate pachetele găsite în fișierul de captură activ. Fiecare pachet are propriul rând și numărul corespunzător alocat, împreună cu fiecare dintre aceste puncte de date:

  • Nu: acest câmp indică pachetele care fac parte din aceeași conversație. Rămâne necompletat până când selectați un pachet.
  • Time: În această coloană este afișată marcajul de timp al când a fost capturat pachetul. Formatul implicit este numărul de secunde sau secunde parțiale de când acest fișier de captură specific a fost creat pentru prima dată.
  • Sursa: Această coloană conține adresa (IP sau alta) de la care a provenit pachetul.
  • Destinație: Această coloană conține adresa la care este trimis pachetul.
  • Protocol: Numele protocolului pachetului, cum ar fi TCP, poate fi găsit în această coloană.
  • Lungime: Lungimea pachetului, în octeți, este afișată în această coloană.
  • Informații: Detalii suplimentare despre pachet sunt prezentate aici. Conținutul acestei coloane poate varia foarte mult în funcție de conținutul pachetului.

Pentru a schimba formatul orei în ceva mai util (cum ar fi ora reală a zilei), selectați Vizualizare > Format de afișare a orei.

Image
Image

Când este selectat un pachet în panoul de sus, este posibil să observați că apar unul sau mai multe simboluri în coloana Nr.. Parantezele deschise sau închise și o linie orizontală dreaptă indică dacă un pachet sau un grup de pachete fac parte din aceeași conversație dus-întors în rețea. O linie orizontală întreruptă înseamnă că un pachet nu face parte din conversație.

Image
Image

Detalii pachet

Paneul de detalii, aflat în mijloc, prezintă protocoalele și câmpurile de protocol ale pachetului selectat într-un format pliabil. Pe lângă extinderea fiecărei selecții, puteți aplica filtre Wireshark individuale pe baza unor detalii specifice și puteți urmări fluxuri de date în funcție de tipul de protocol făcând clic dreapta pe elementul dorit.

Image
Image

pachet octeți

În partea de jos este panoul de octeți de pachet, care afișează datele brute ale pachetului selectat într-o vizualizare hexazecimală. Acest dump hexadecimal conține 16 octeți hexazecimali și 16 octeți ASCII alături de compensarea datelor.

Selectarea unei anumite porțiuni din aceste date evidențiază automat secțiunea corespunzătoare în panoul cu detaliile pachetului și invers. Toți octeții care nu pot fi imprimați sunt reprezentați printr-un punct.

Image
Image

Pentru a afișa aceste date în format de biți, spre deosebire de hexazecimal, faceți clic dreapta oriunde în panou și selectați ca biți.

Image
Image

Cum se utilizează filtrele Wireshark

Filtrele de captură indică Wireshark să înregistreze numai pachetele care îndeplinesc criteriile specificate. Filtrele pot fi aplicate și unui fișier de captură care a fost creat astfel încât să fie afișate numai anumite pachete. Acestea sunt denumite filtre de afișare.

Wireshark oferă un număr mare de filtre predefinite în mod implicit. Pentru a utiliza unul dintre aceste filtre existente, introduceți numele acestuia în câmpul de introducere Aplicați un filtru de afișare situat sub bara de instrumente Wireshark sau în Introduceți un filtru de captarecâmp situat în centrul ecranului de întâmpinare.

De exemplu, dacă doriți să afișați pachete TCP, tastați tcp. Funcția de completare automată Wireshark afișează nume sugerate pe măsură ce începeți să tastați, facilitând găsirea numelui corect pentru filtrul pe care îl căutați.

Image
Image

O altă modalitate de a alege un filtru este să selectați marcaj din partea stângă a câmpului de introducere. Alegeți Gestionați expresiile de filtrare sau Gestionați filtrele de afișare pentru a adăuga, elimina sau edita filtre.

Image
Image

De asemenea, puteți accesa filtrele utilizate anterior selectând săgeata în jos din partea dreaptă a câmpului de introducere pentru a afișa o listă derulantă a istoricului.

Image
Image

Filtrele de captură sunt aplicate imediat ce începeți înregistrarea traficului de rețea. Pentru a aplica un filtru de afișare, selectați săgeata la dreapta din partea dreaptă a câmpului de introducere.

Reguli de culoare Wireshark

În timp ce filtrele de captare și afișare ale Wireshark limitează pachetele care sunt înregistrate sau afișate pe ecran, funcția sa de colorare duce lucrurile cu un pas mai departe: poate distinge între diferite tipuri de pachete în funcție de nuanța lor individuală. Acest lucru localizează rapid anumite pachete într-un set salvat după culoarea rândului lor din panoul cu liste de pachete.

Image
Image

Wireshark vine cu aproximativ 20 de reguli de colorare implicite, fiecare putând fi editată, dezactivată sau ștearsă. Selectați Vizualizare > Reguli de colorare pentru o prezentare generală a semnificației fiecărei culori. De asemenea, puteți adăuga propriile filtre bazate pe culoare.

Image
Image

Selectați Vizualizare > Colorați lista de pachete pentru a activa și dezactiva colorarea pachetelor.

Statistici în Wireshark

Alte valori utile sunt disponibile prin meniul drop-down Statistics. Acestea includ informații despre dimensiunea și sincronizarea fișierului de captură, împreună cu zeci de diagrame și grafice, variind în subiecte, de la defalcarea conversațiilor de pachete la distribuția încărcării solicitărilor

Image
Image

Filtrele de afișare pot fi aplicate multor dintre aceste statistici prin interfețele lor, iar rezultatele pot fi exportate în formate de fișiere obișnuite, inclusiv CSV, XML și TXT.

Funcții avansate Wireshark

Wireshark acceptă, de asemenea, funcții avansate, inclusiv abilitatea de a scrie disecatoare de protocol în limbajul de programare Lua.

Recomandat: