Kā lietot Wireshark: tīkla analīze, 2020. gada stils

Pirms vairāk nekā 20 gadiem Džeralds Combs paziņoja par Ethereal 0.2.0, kas ir pirmā publiskā versija tam, ko mēs tagad pazīstam kā Wireshark. Izstrādāts Solaris un Linux, Wireshark ir atvērtā koda tīkls un pakešu analizators. Projekts sāka darbību kā Ethereal 1998. gadā, bet tā nosaukums tika mainīts uz Wireshark 2006. gadā preču zīmju tiesību problēmu dēļ.


Mūsdienās Wireshark ir pasaulē nozīmīgākais tīkla analizators ar vairāk nekā 600 autoriem, kas piedalījušies konkursā, vairākas balvas un savu izstrādātāju konferenci SharkFest.

Šī rokasgrāmata palīdzēs jums izveidot un darboties ar Wireshark. Mēs apskatīsim pamatus, piemēram, kā to lejupielādēt un tvert, skatīt un filtrēt paketes. Wireshark ir daudzas uzlabotas funkcijas, kuras nevar tikt ietvertas šī raksta darbības jomā, taču vietnēhards.org ir daudz mācību materiālu par tiem..

Lejupielādējiet un iestatiet Wireshark

Wireshark ir pieejama lejupielādei, izmantojot tās lejupielādes lapu. Lai to iegūtu operētājsistēmai Windows vai macOS, sadaļā “stabila izlaišana” noklikšķiniet uz attiecīgajām saitēm. Ja jums ir nepieciešams Linux avots, ritiniet līdz lapas apakšdaļai un atrodiet savas versijas lejupielādi sadaļā “trešo pušu pakotnes”.

Wireshark lejupielāde

Kad esat lejupielādējis lietojumprogrammu, varat sākt iestatīšanas procesu. Ja esat Windows lietotājs, jums būs jāinstalē WinPcap bibliotēka, kas ļauj uztvert tiešsaistes tīkla trafiku. Bez tā varēsit skatīt tikai saglabātās saglabātās paketes. Jaunākajai Wireshark versijai pēc noklusējuma jāinstalē WinPcap.

Tāpat noteikti instalējiet USBPcap, kas ļauj Wireshark uztvert trafiku no USB ierīcēm.

Kā notvert paketes ar Wireshark

Wireshark ir balstīta uz spēju uztvert tīkla paketes un parādīt tās tādā formātā, ko var interpretēt vienkārši mirstīgie. Ja neesat pārliecināts, kas ir tīkla paketes, mēs tos aplūkojam mūsu IPv4 un IPv6 ceļvedī.

Pēc lejupielādes un instalēšanas esat gatavs palaist Wireshark un sākt tvert paketes.

Wireshark palaišana

Lai sāktu uztveršanas procesu, jums jāizvēlas tīkla interfeiss. Palaižot lietojumprogrammu, palaišanas ekrānā redzēsit pieejamos tīkla savienojumus. Papildu funkcijas varat redzēt arī, noklikšķinot uz “tvert” un pēc tam izvēloties “opcijas”..

Uztveršanas iespējas

Uzņemšanai izvēlieties savienojumu:

  • Veiciet dubultklikšķi uz tā nosaukuma.
  • Izmantojot īsinājumtaustiņu CTRL + E.
  • Rīkjoslā noklikšķinot uz haizivs spuras, kas atrodas tālajā kreisajā stūrī.

Kad tas būs izdarīts, ierakstāmais savienojums tiks iekrāsots zilā vai pelēkā krāsā, un Wireshark sāks reģistrēt tīkla trafiku un detalizēt to. Lai apturētu ierakstīšanas procesu, nospiediet sarkano apturēšanas pogu blakus haizivs spuras pogai. Kā alternatīvu varat izmantot īsinājumtaustiņu CTRL + E.

Fotografējot ar Wireshark, vienkāršs režīms pēc noklusējuma ir iespējots. Tas ļauj uztvert visas tīkla paketes, nevis tikai tās, kas adresētas jūsu datoram vai tīkla adapterim. Tomēr visa tīkla aparatūra un saskarnes neatbalsta sarežģīto režīmu. To var mainīt, noklikšķinot uz “rediģēt”, pēc tam uz “preferences…”.

Wireshark-preferences

Lai iegūtu sīkāku informāciju par vienkāršo režīmu, skatiet Wireshark FAQ.

Skatiet sagūstītās paketes ar Wireshark

Tagad, kad esat ierakstījis datus, ir pienācis laiks tos skatīt. Skatot paketes, redzēsit informāciju, kas sadalīta pa trim rūtīm: pakešu sarakstu, informāciju par paketi un paketes baitiem. Pakešu saraksta rūts ir augšējā, un tajā tiek parādīts laiks, avots, galamērķis, protokols un papildu informācija.  

Wireshark-packet_pane1
 

Paketes detaļu rūts atrodas vidū. Kā norāda nosaukums, tas parāda informāciju par izvēlēto paketi. Tas parāda protokola veidu, piemēram, IPv4 vai IPv6, un adreses, piemēram, IP vai MAC, saliekamā saraksta formātā.

Wireshark-pakeket-pane2

Pakešu baitu rūts atrodas apakšā. Tas satur neapstrādātus datus no paketes un parāda tos heksadecimālā vai bitu formātā.

Wireshark-pakeket-pane3

Pakešu filtrēšana ar Wireshark

Katru reizi, analizējot tīkla trafiku, vēlēsities izslēgt lietojumprogrammas, kas sūta tādas paketes, kuras nevēlaties redzēt, lai samazinātu trafiku. Pat tad jums, visticamāk, paliks daudz atlikušo paciņu, ko izsijāt. Šeit darbojas Wireshark filtri. Tas piedāvā uztveršanas filtrus un displeja filtrus, un abi ietekmē uztveršanas failu atšķirīgi.

Tveršanas filtri tiek lietoti uztveršanas failam pirms ierakstīšanas procesa sākuma, ļaujot jums izlemt, kuras paketes Wireshark uztver. Turpretī displeja filtri pēc fakta tiek piemēroti uztveršanas failam, ļaujot jums redzēt tikai tās paketes, kas atbilst jūsu specifiskajiem kritērijiem..

Lai pievienotu uztveršanas filtru, noklikšķiniet uz ievades lauka virs saskarnēm, kas parādītas palaišanas logā. Jūs varat ierakstīt filtru, piemēram, TDP, vai noklikšķināt uz grāmatzīmes ikonas pa kreisi un izvēlēties no nolaižamā saraksta. Lai iegūtu vairāk iespēju, pēc noklikšķināšanas uz zaļās grāmatzīmes ikonas atlasiet “pārvaldīt uztveršanas filtrus”.

Wireshark-uztveršanas-filtrs

Virs uztveršanas lauka redzēsit citu ievades lauku ar norādi “Lietot displeja filtru…”, kur displeja filtrus var lietot tāpat, kā aprakstīts uztveršanas filtru lietošanā..

Vadu displeja-filtrs

Krāsu kodēšana ar Wireshark

Wireshark krāsu noteikumi ļauj sīkāk atdalīt un individualizēt paketes, ņemot vērā to izcelto krāsu. Tādā veidā vienā mirklī varat noteikt noteikta veida trafiku vai kļūdas. Wireshark iebūvētā krāsu bibliotēka piedāvā apmēram 20 nokrāsas, kuras visas var rediģēt, atspējot vai izdzēst.

Krāsošanas opcijām var piekļūt, rīkjoslā noklikšķinot uz “skats”, nevis izvēloties “krāsošanas kārtulas”.

Wireshark krāsas

Pakešu krāsošanu var atspējot, noklikšķinot uz “skats” un nolaižamajā izvēlnē pārslēdzot opciju “krāsot pakešu sarakstu”..

Wireshark-krāsas2

Tīkla statistikas skatīšana Wireshark

Wireshark piedāvā dažādus datus un metriku par jūsu tīklu, kuriem var piekļūt, izmantojot rīkjoslas nolaižamo izvēlni “statistika”. Metrika ietver izšķirtas adreses, IPv4 statistiku, IPv6 statistiku un citas diagrammas un diagrammas. Tur var izmantot arī displeja filtrus. Statistiku var eksportēt dažādos failu formātos, piemēram, .txt, .csv un .xml.

Wireshark-statistika

Noslēguma domas

Wireshark ir vienkāršs, bet daudzpusīgs tīkla analizators, un, pats labākais, tas ir bezmaksas. Kaut arī šī rokasgrāmata ir paredzēta, lai parādītu jums pamatus, mēs esam sākuši tikai saskrāpēt to, ko var darīt Wireshark. Ja jūs vēlaties apgūt Wireshark un kodēt savus protokola sadalītājus, autoritatīvā atsauce ir oficiālā Wireshark lietotāja rokasgrāmata.

Wireshark wiki ir vēl viens lielisks resurss, ko izmantot līdztekus programmai, jo tajā ir apmācības, paraugu uzņemšanas rīki un rīki un spraudņi.

Lai iegūtu vairāk programmatūras, apskatiet mūsu labākos antivīrusus, labākos paroļu pārvaldniekus un labāko grāmatvedības programmatūru. Pretējā gadījumā paldies, ka lasāt, un paziņojiet mums komentārā vai twītā, ja jums ir Wireshark padomi vai ieteikumi.

Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map