Hvordan bruke Wireshark: Network Analysis, 2020 Style

For over 20 år siden kunngjorde Gerald Combs Ethereal 0.2.0, den første offentlige versjonen av det vi nå kjenner som Wireshark. Wireshark er utviklet for Solaris og Linux, og er et open source nettverk og pakkeranalysator. Prosjektet startet livet som Ethereal i 1998, men navnet ble endret til Wireshark i 2006 på grunn av problemer med varemerkerettigheter.


I dag er Wireshark verdens fremste nettverksanalysator, med over 600 bidragende forfattere, flere priser og sin egen utviklerkonferanse, SharkFest.

Denne guiden vil hjelpe deg med å komme i gang med Wireshark. Vi skal gå gjennom det grunnleggende, for eksempel hvordan du laster ned det og fanger, viser og filtrerer pakker. Wireshark har mange avanserte funksjoner som ikke kan dekkes innenfor rammen av denne artikkelen, men det er nok av veiledninger om dem på wireshark.org.

Last ned og konfigurer Wireshark

Wireshark er tilgjengelig for nedlasting via nedlastingssiden. For å få det til Windows eller macOS, klikker du på deres respektive koblinger under delen “stabil utgave”. Hvis du trenger en kilde for Linux, blar du til bunnen av siden og finner nedlastingen for din versjon under “tredjepartspakker.”

Wireshark-nedlasting

Når du har lastet ned applikasjonen, kan du starte installasjonsprosessen. Hvis du er en Windows-bruker, må du installere WinPcap-biblioteket, som er det som lar deg fange live nettverkstrafikk. Uten det vil du bare kunne se fangede pakker som er lagret. Den siste versjonen av Wireshark bør installere WinPcap som standard.

Sørg også for å installere USBPcap, som lar Wireshark fange trafikk fra USB-enheter.

Hvordan fange pakker med Wireshark

Wireshark er bygget på sin evne til å fange nettverkspakker og vise dem i et format som kan tolkes av bare dødelige. Hvis du er usikker på hva nettverkspakker er, går vi over dem i vår IPv4 kontra IPv6-guide.

Etter å ha lastet ned og installert, er du klar til å starte Wireshark og begynne å fange pakker.

Wireshark-lansering

For å starte fangstprosessen, må du velge nettverksgrensesnittet. Når du starter applikasjonen, ser du tilgjengelige nettverkstilkoblinger på startskjermen. Du kan også se avanserte funksjoner ved å klikke på “fange” og deretter velge “alternativer”.

Capture-alternativer

Velg en tilkobling for å fange ved:

  • Dobbeltklikk på navnet.
  • Bruke tastatursnarveien CTRL + E.
  • Klikk på hai-finnen i verktøylinjen, som ligger lengst til venstre.

Når det er gjort, vil tilkoblingen som skal tas opp, være skyggelagt i blått eller grått, og Wireshark vil begynne å registrere nettverkstrafikk og detaljere den. For å stoppe innspillingsprosessen, trykk på den røde stoppknappen ved siden av hai-finnknappen. Alternativt kan du bruke snarveien CTRL + E.

Når du tar med Wireshark, aktiveres promiskuøs modus som standard. Det gjør det mulig å fange opp alle pakker i et nettverk, i stedet for bare de som er adressert til datamaskinen eller nettverkskortet. Når det er sagt støttes ikke promiskuøs modus av all nettverkshardware og -grensesnitt. Det kan endres ved å klikke på “rediger”, deretter “innstillinger …”.

Wireshark-preferanser

Sjekk Wireshark FAQ for mer informasjon om promiskuøs modus.

Se innfangede pakker med Wireshark

Nå som du har registrert data, er det på tide å se dem. Når du ser på pakker, vil du se informasjon fordelt på tre ruter: pakkelisten, pakkedetaljene og pakkebytene. Pakkelisteruten er den øverste, og den viser tid, kilde, destinasjon, protokoll og tilleggsinformasjon.  

Wireshark-packet_pane1
 

Pakkedetaljruten sitter i midten. Som navnet antyder, viser det detaljer angående den valgte pakken. Den viser protokolltypen, for eksempel IPv4 eller IPv6, og adresser, for eksempel IP eller MAC, i et sammenleggbart listeformat.

Wireshark-pakke-pane2

Pakkebyte-ruten er nederst. Den inneholder rå data fra pakken og viser dem i heksadesimal eller bitformat.

Wireshark-pakke-pane3

Filtrering av pakker med Wireshark

Hver gang du analyserer nettverkstrafikk, vil du slå av applikasjoner som sender pakker du ikke vil se for å begrense trafikken. Selv da vil du sannsynligvis sitte igjen med mange resterende pakker å sile gjennom. Det er her Wiresharks filtre kommer inn. Den tilbyr fangstfilter og visningsfilter, og begge påvirker fangstfilen på en annen måte.

Fangsfiltre brukes på fangstfilen før innspillingsprosessen begynner, slik at du kan bestemme hvilke pakker Wireshark skal fange. Displayfiltre brukes derimot på en opptaksfil etter faktum, slik at du bare kan se pakker som oppfyller dine spesifikke kriterier.

For å legge til et oppfangingsfilter, klikk i oppføringsfeltet over grensesnittene som vises i startvinduet. Du kan skrive inn et filter, for eksempel TDP, eller klikke bokmerkeikonet til venstre og velge fra en rullegardinliste. Når du har klikket på det grønne bokmerkeikonet, velger du “administrer fangstfilter.”

Wireshark-capture-filter

Over fangstfeltet vil du se et annet oppføringsfelt som sier “bruk et visningsfilter …” der du kan bruke visningsfilter på samme måte som beskrevet for anvendelse av fangstfilter.

Wireshark-display-filteret

Fargekoding med Wireshark

Wiresharks fargeregler lar deg skille og individualisere pakker ytterligere basert på den fremhevede fargen. På den måten kan du raskt identifisere bestemte typer trafikk eller feil. Wiresharks innebygde fargebibliotek tilbyr omtrent 20 nyanser, som alle kan redigeres, deaktiveres eller slettes.

Du kan få tilgang til fargeleggingsalternativene ved å klikke på “visning” på verktøylinjen, enn å velge “fargelegler.”

Wireshark-farger

Pakkefarging kan deaktiveres ved å klikke på “visning” og bytte på alternativet “fargelegge pakkeliste” i rullegardinmenyen..

Wireshark-colors2

Viser nettverksstatistikk i Wireshark

Wireshark tilbyr en rekke data og beregninger om nettverket ditt, som er tilgjengelige via rullegardinmenyen “statistikk” på verktøylinjen. Beregningene inkluderer løste adresser, IPv4-statistikk, IPv6-statistikk og andre diagrammer og grafer. Du kan også bruke visningsfilter der. Statistikk kan også eksporteres i forskjellige filformater, for eksempel .txt, .csv og .xml.

Wireshark-statistikk

Siste tanker

Wireshark er en enkel, men allsidig nettverksanalysator, og best av alt, den er gratis. Selv om denne guiden er ment å vise det grunnleggende, har vi bare begynt å klø på overflaten av hva Wireshark kan gjøre. Hvis du ønsker å beherske Wireshark og kode dine egne protokolldissectors, er den offisielle Wireshark brukerhåndboken den autoritative referansen.

Wireshark-wikien er en annen flott ressurs å bruke sammen med programmet fordi den har opplæringsprogrammer, eksempelfangster og verktøy og plugins.

For mer programvare, se på våre beste antivirus, beste passordbehandlere og beste regnskapsprogramvare. Ellers takk for at du har lest, og gi oss beskjed i en kommentar eller tweet hvis du har tips eller triks fra Wireshark.

Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map