Как да използвате Wireshark: Пълен урок

Съдържание:

Как да използвате Wireshark: Пълен урок
Как да използвате Wireshark: Пълен урок
Anonim

Какво да знаете

  • Wireshark е приложение с отворен код, което улавя и показва данни, пътуващи напред-назад в мрежа.
  • Тъй като може да разчита и чете съдържанието на всеки пакет, той се използва за отстраняване на мрежови проблеми и тестване на софтуер.

Инструкциите в тази статия се отнасят за Wireshark 3.0.3 за Windows и Mac.

Долен ред

Първоначално известен като Ethereal, Wireshark показва данни от стотици различни протоколи във всички основни типове мрежи. Пакетите с данни могат да се преглеждат в реално време или да се анализират офлайн. Wireshark поддържа десетки файлови формати за улавяне/проследяване, включително CAP и ERF. Интегрираните инструменти за декриптиране показват шифрованите пакети за няколко общи протокола, включително WEP и WPA/WPA2.

Как да изтеглите и инсталирате Wireshark

Wireshark може да бъде изтеглен безплатно от уебсайта на Wireshark Foundation както за macOS, така и за Windows. Ще видите най-новата стабилна версия и текущата версия за разработка. Освен ако не сте напреднал потребител, изтеглете стабилната версия.

Image
Image

По време на процеса на настройка на Windows изберете да инсталирате WinPcap или Npcap, ако бъдете подканени, тъй като те включват библиотеки, необходими за улавяне на данни на живо.

Image
Image

Трябва да сте влезли в устройството като администратор, за да използвате Wireshark. В Windows 10 потърсете Wireshark и изберете Изпълни като администратор В macOS щракнете с десния бутон върху иконата на приложението и изберете Получаване на информация В настройките Споделяне и разрешения дайте на администратора Четене и писане права.

Image
Image

Приложението е налично и за Linux и други UNIX-подобни платформи, включително Red Hat, Solaris и FreeBSD. Двоичните файлове, необходими за тези операционни системи, могат да бъдат намерени в долната част на страницата за изтегляне на Wireshark под секцията Пакети на трети страни. Можете също да изтеглите изходния код на Wireshark от тази страница.

Как да улавяте пакети с данни с Wireshark

Когато стартирате Wireshark, началният екран изброява наличните мрежови връзки на текущото ви устройство. Отдясно на всеки се показва линейна графика в стил ЕКГ, която представя трафика на живо в тази мрежа.

За да започнете да улавяте пакети с Wireshark:

  1. Изберете една или повече мрежи, отидете в лентата с менюта, след което изберете Capture.

    За да изберете няколко мрежи, задръжте клавиша Shift, докато правите своя избор.

    Image
    Image
  2. В прозореца Wireshark Capture Interfaces изберете Старт.

    Има други начини за иницииране на прихващане на пакети. Изберете перка на акула от лявата страна на лентата с инструменти на Wireshark, натиснете Ctrl+E или щракнете двукратно върху мрежата.

    Image
    Image
  3. Изберете Файл > Запазване като или изберете Експортиране опция, за да запишете заснемането.

    Image
    Image
  4. За да спрете заснемането, натиснете Ctrl+E. Или отидете в лентата с инструменти на Wireshark и изберете червения бутон Stop, който се намира до перката на акула.

    Image
    Image

Как да преглеждате и анализирате съдържанието на пакета

Интерфейсът за заснети данни съдържа три основни секции:

  • Прозорецът със списъка с пакети (горната секция)
  • Прозорецът с подробности за пакета (средната секция)
  • Панелът с байтове на пакети (долната секция)
Image
Image

Списък с пакети

Прозорецът със списъка на пакетите, разположен в горната част на прозореца, показва всички пакети, намерени в активния файл за заснемане. Всеки пакет има свой собствен ред и съответен номер, присвоен му, заедно с всяка от тези точки от данни:

  • No: Това поле показва кои пакети са част от същия разговор. Остава празно, докато не изберете пакет.
  • Време: Времето, когато пакетът е бил уловен, се показва в тази колона. Форматът по подразбиране е броят секунди или частични секунди, откакто този конкретен файл за заснемане е създаден за първи път.
  • Източник: Тази колона съдържа адреса (IP или друг), откъдето произхожда пакетът.
  • Destination: Тази колона съдържа адреса, до който се изпраща пакетът.
  • Протокол: Името на протокола на пакета, като TCP, може да бъде намерено в тази колона.
  • Дължина: Дължината на пакета в байтове се показва в тази колона.
  • Инфо: Допълнителни подробности за пакета са представени тук. Съдържанието на тази колона може да варира значително в зависимост от съдържанието на пакета.

За да промените формата на часа към нещо по-полезно (като действителното време от деня), изберете View > Формат за показване на часа.

Image
Image

Когато пакет е избран в горния прозорец, може да забележите, че един или повече символи се появяват в колоната No.. Отворени или затворени скоби и права хоризонтална линия показват дали пакет или група от пакети са част от един и същ разговор напред-назад в мрежата. Прекъсната хоризонтална линия означава, че даден пакет не е част от разговора.

Image
Image

Подробности за пакета

Прозорецът с подробности, който се намира в средата, представя протоколите и полетата на протокола на избрания пакет в сгъваем формат. В допълнение към разширяването на всяка селекция, можете да приложите индивидуални филтри на Wireshark въз основа на конкретни подробности и да следвате потоци от данни въз основа на типа протокол, като щракнете с десния бутон върху желания елемент.

Image
Image

Пакетни байтове

В долната част е панелът с байтове на пакети, който показва необработените данни на избрания пакет в шестнадесетичен изглед. Този шестнадесетичен дъмп съдържа 16 шестнадесетични байта и 16 ASCII байта заедно с отместването на данните.

Избирането на определена част от тези данни автоматично маркира съответната секция в панела с подробности за пакета и обратно. Всички байтове, които не могат да бъдат отпечатани, са представени с точка.

Image
Image

За да покажете тези данни в битов формат, а не в шестнадесетичен, щракнете с десния бутон някъде в панела и изберете като битове.

Image
Image

Как да използвате Wireshark филтри

Филтрите за улавяне инструктират Wireshark да записва само пакети, които отговарят на определени критерии. Филтрите могат да се прилагат и към файл за заснемане, който е създаден така, че да се показват само определени пакети. Те се наричат филтри за показване.

Wireshark предоставя голям брой предварително дефинирани филтри по подразбиране. За да използвате един от тези съществуващи филтри, въведете името му в полето за въвеждане Apply a display filter, разположено под лентата с инструменти на Wireshark, или в Enter a capture filterполе, разположено в центъра на началния екран.

Например, ако искате да покажете TCP пакети, напишете tcp. Функцията за автоматично довършване на Wireshark показва предложени имена, докато започнете да пишете, което улеснява намирането на правилния псевдоним за филтъра, който търсите.

Image
Image

Друг начин за избор на филтър е да изберете отметка от лявата страна на полето за въвеждане. Изберете Manage Filter Expressions или Manage Display Filters за добавяне, премахване или редактиране на филтри.

Image
Image

Можете също така да получите достъп до използвани преди това филтри, като изберете стрелката надолу от дясната страна на полето за въвеждане, за да се покаже падащ списък с хронология.

Image
Image

Филтрите за улавяне се прилагат веднага щом започнете да записвате мрежов трафик. За да приложите филтър за показване, изберете стрелката надясно от дясната страна на полето за въвеждане.

Правила за цветовете на Wireshark

Докато филтрите за улавяне и показване на Wireshark ограничават кои пакети се записват или показват на екрана, неговата функция за оцветяване прави нещата още една крачка напред: може да прави разлика между различните типове пакети въз основа на техния индивидуален нюанс. Това бързо намира определени пакети в рамките на запазен набор по цвета на техния ред в панела със списъка с пакети.

Image
Image

Wireshark идва с около 20 правила за оцветяване по подразбиране, всяко от които може да бъде редактирано, деактивирано или изтрито. Изберете Преглед > Правила за оцветяване за преглед на значението на всеки цвят. Можете също да добавите свои собствени филтри, базирани на цветове.

Image
Image

Изберете View > Colorize Packet List за включване и изключване на оцветяването на пакети.

Статистика в Wireshark

Други полезни показатели са достъпни чрез Статистика падащото меню. Те включват информация за размера и времето за заснетия файл, заедно с десетки диаграми и графики, вариращи по теми от разбивки на пакетни разговори до разпределение на натоварването на HTTP заявки.

Image
Image

Филтрите за показване могат да бъдат приложени към много от тези статистики чрез техните интерфейси и резултатите могат да бъдат експортирани в общи файлови формати, включително CSV, XML и TXT.

Разширени функции на Wireshark

Wireshark също поддържа разширени функции, включително възможността за писане на дисектори на протоколи на езика за програмиране Lua.

Препоръчано: