If-Koubou

Jak używać Wiresharka do przechwytywania, filtrowania i sprawdzania pakietów

Jak używać Wiresharka do przechwytywania, filtrowania i sprawdzania pakietów (Jak)

Wireshark, narzędzie analizy sieci znane wcześniej jako Ethereal, przechwytuje pakiety w czasie rzeczywistym i wyświetla je w formacie czytelnym dla człowieka. Wireshark zawiera filtry, kodowanie kolorami i inne funkcje, które pozwalają ci zagłębić się w ruch sieciowy i sprawdzić poszczególne pakiety.

W tym samouczku znajdziesz informacje o podstawach przechwytywania pakietów, filtrowaniu ich i inspekcji. Możesz użyć Wiresharka do inspekcji ruchu sieciowego podejrzanego programu, analizy przepływu ruchu w sieci lub rozwiązywania problemów z siecią.

Pierwsze Wireshark

Możesz pobrać Wireshark dla Windows lub macOS z jego oficjalnej strony internetowej. Jeśli używasz Linuksa lub innego systemu podobnego do systemu UNIX, prawdopodobnie znajdziesz Wireshark w jego repozytoriach pakietów. Na przykład, jeśli korzystasz z Ubuntu, znajdziesz Wireshark w Centrum Oprogramowania Ubuntu.

Tylko szybkie ostrzeżenie: wiele organizacji nie zezwala na Wireshark i podobne narzędzia w swoich sieciach. Nie używaj tego narzędzia w pracy, chyba że masz pozwolenie.

Przechwytywanie pakietów

Po pobraniu i zainstalowaniu Wiresharka można go uruchomić i dwukrotnie kliknąć nazwę interfejsu sieciowego w obszarze Przechwytywanie, aby rozpocząć przechwytywanie pakietów w tym interfejsie. Na przykład, jeśli chcesz przechwycić ruch w swojej sieci bezprzewodowej, kliknij swój interfejs bezprzewodowy. Możesz skonfigurować zaawansowane funkcje klikając Capture> Options, ale na razie nie jest to konieczne.

Po kliknięciu nazwy interfejsu zobaczysz, że pakiety zaczynają się pojawiać w czasie rzeczywistym. Wireshark przechwytuje każdy pakiet wysłany do lub z twojego systemu.

Jeśli masz włączony tryb promiscuous - jest on włączony domyślnie - zobaczysz także wszystkie pozostałe pakiety w sieci, a nie tylko pakiety adresowane do karty sieciowej. Aby sprawdzić, czy włączony jest tryb promiscuous, kliknij Capture> Options i sprawdź "Enable promiscuous mode na wszystkich interfejsach" pole wyboru jest aktywne u dołu tego okna.

Kliknij czerwony przycisk "Zatrzymaj" w lewym górnym rogu okna, aby zatrzymać przechwytywanie ruchu.

Kodowanie kolorów

Prawdopodobnie zobaczysz pakiety wyróżnione w różnych kolorach. Wireshark wykorzystuje kolory, aby łatwiej zidentyfikować rodzaje ruchu na pierwszy rzut oka. Domyślnie jasnopurpurowy to ruch TCP, jasnoniebieski to ruch UDP, a czarny identyfikuje pakiety z błędami - na przykład, mogły zostać dostarczone poza kolejnością.

Aby zobaczyć dokładnie, co oznaczają kody kolorów, kliknij Widok> Zasady kolorowania. Możesz także dostosować i zmodyfikować reguły kolorowania stąd, jeśli chcesz.

Przykładowe przechwytywanie

Jeśli w twojej sieci nie ma nic ciekawego do sprawdzenia, wiki Wiresharka cię obejmuje. Wiki zawiera stronę z przykładowymi plikami przechwytywania, które można załadować i sprawdzić. Kliknij Plik> Otwórz w Wireshark i wyszukaj pobrany plik, aby go otworzyć.

Możesz również zapisywać własne przechwytywania w Wireshark i otwierać je później. Kliknij Plik> Zapisz, aby zapisać przechwycone pakiety.

Filtrowanie pakietów

Jeśli próbujesz sprawdzić coś konkretnego, np. Ruch, który program wysyła po telefonowaniu do domu, pomaga zamknąć wszystkie inne aplikacje korzystające z sieci, dzięki czemu możesz zawęzić ruch. Mimo to prawdopodobnie będziesz mieć dużą liczbę pakietów do przeskanowania. Tutaj pojawiają się filtry Wiresharka.

Najprostszym sposobem zastosowania filtra jest wpisanie go w polu filtru u góry okna i kliknięcie Zastosuj (lub naciśnięcie klawisza Enter). Na przykład wpisz "dns", a zobaczysz tylko pakiety DNS. Gdy zaczniesz pisać, Wireshark pomoże Ci automatycznie uzupełnić filtr.

Możesz także kliknąć Analiza> Filtry wyświetlania, aby wybrać filtr spośród domyślnych filtrów zawartych w Wireshark. Tutaj możesz dodawać własne niestandardowe filtry i zapisywać je, aby łatwo uzyskać do nich dostęp w przyszłości.

Aby uzyskać więcej informacji na temat języka wyświetlania filtru Wireshark, przeczytaj stronę wyrażeń wyświetlania ekranu Budowanie w oficjalnej dokumentacji Wireshark.

Inną interesującą rzeczą, którą możesz zrobić, to kliknąć prawym przyciskiem myszy pakiet i wybrać Follow> TCP Stream.

Zobaczysz pełną konwersację TCP między klientem a serwerem. Możesz również kliknąć inne protokoły w menu Follow, aby zobaczyć pełne rozmowy dla innych protokołów, jeśli dotyczy.

Zamknij okno, a zobaczysz, że filtr został zastosowany automatycznie. Wireshark pokazuje pakiety, które składają się na rozmowę.

Sprawdzanie pakietów

Kliknij pakiet, aby go wybrać, a możesz go odszukać, aby wyświetlić jego szczegóły.

Można również tworzyć filtry z tego miejsca - wystarczy kliknąć prawym przyciskiem myszy jeden ze szczegółów i użyć podmenu Zastosuj jako filtr, aby utworzyć na nim filtr.

Wireshark to niezwykle potężne narzędzie, a ten samouczek po prostu zarysowuje powierzchnię tego, co można z nim zrobić. Specjaliści używają go do debugowania implementacji protokołu sieciowego, sprawdzania problemów bezpieczeństwa i sprawdzania wewnętrznych protokołów sieciowych.

Więcej szczegółowych informacji można znaleźć w oficjalnym Przewodniku użytkownika Wireshark i innych stronach dokumentacji na stronie internetowej Wireshark.