Wireshark, nástroj pro síťovou analýzu, dříve známý jako Ethereal, zachycuje pakety v reálném čase a zobrazuje je v čitelném formátu. Wireshark obsahuje filtry, barevné kódování a další funkce, které vám umožní hlouběji proniknout do síťového provozu a zkontrolovat jednotlivé pakety.
Tento kurz vás seznámí se základy zachycování paketů, jejich filtrování a kontroly. Wireshark můžete použít ke kontrole síťového provozu podezřelého programu, analýze toku provozu v síti nebo řešení potíží se sítí.
Získání Wiresharku
Wireshark pro Windows nebo macOS si můžete stáhnout z jeho oficiální web . Pokud používáte Linux nebo jiný systém podobný systému UNIX, pravděpodobně najdete Wireshark v jeho úložištích balíků. Například pokud používáte Ubuntu, najdete Wireshark v softwarovém centru Ubuntu.
Jen krátké varování: Mnoho organizací nepovoluje Wireshark a podobné nástroje ve svých sítích. Nepoužívejte tento nástroj v práci, pokud k tomu nemáte svolení.
Zachycování paketů
Po stažení a instalaci aplikace Wireshark ji můžete spustit a poklepáním na název síťového rozhraní v části Zachytit zahájíte snímání paketů na tomto rozhraní. Například pokud chcete zachytit provoz ve vaší bezdrátové síti, klikněte na bezdrátové rozhraní. Pokročilé funkce můžete konfigurovat kliknutím na Zachytit> Možnosti, ale zatím to není nutné.
Jakmile kliknete na název rozhraní, uvidíte, že se pakety začaly zobrazovat v reálném čase. Wireshark zachycuje každý paket odeslaný do nebo z vašeho systému.
Pokud máte povolený promiskuitní režim - je ve výchozím nastavení povolen - uvidíte také všechny ostatní pakety v síti, nikoli pouze pakety adresované vašemu síťovému adaptéru. Chcete-li zkontrolovat, zda je povolen promiskuitní režim, klikněte na Zachytit> Možnosti a ověřte, zda je ve spodní části tohoto okna aktivováno zaškrtávací políčko „Povolit promiskuitní režim na všech rozhraních“.
Chcete-li zastavit zaznamenávání provozu, klikněte na červené tlačítko „Stop“ v levém horním rohu okna.
Barevné značení
Pakety pravděpodobně uvidíte zvýrazněné v různých barvách. Wireshark používá barvy, které vám pomohou na první pohled identifikovat typy provozu. Ve výchozím nastavení je světle fialový provoz TCP, světle modrý provoz UDP a černý identifikuje pakety s chybami - například mohly být doručeny mimo pořadí.
Chcete-li přesně zobrazit, co znamenají barevné kódy, klikněte na Zobrazit> Pravidla barvení. Pokud chcete, můžete odtud také upravit a upravit pravidla barvení.
Ukázkové zachycení
Pokud ve vaší vlastní síti není nic zajímavého ke kontrole, Wiresharkova wiki vás pokryje. Wiki obsahuje a stránka ukázkových souborů pro zachycení které můžete načíst a zkontrolovat. Klikněte na Soubor> Otevřít ve Wiresharku a vyhledáním staženého souboru jej otevřete.
Ve Wiresharku můžete také uložit své vlastní snímky a otevřít je později. Kliknutím na Soubor> Uložit uložte zachycené pakety.
Filtrování paketů
Pokud se pokoušíte zkontrolovat něco konkrétního, například provoz, který program odesílá při telefonování domů, pomůže vám zavřít všechny ostatní aplikace pomocí sítě, abyste mohli provoz zúžit. Pravděpodobně budete mít velké množství paketů, které byste měli projít. To je místo, kde přicházejí filtry Wireshark.
Nejzákladnějším způsobem použití filtru je jeho napsání do pole filtru v horní části okna a kliknutí na Použít (nebo stisknutím klávesy Enter). Zadejte například „dns“ a uvidíte pouze pakety DNS. Když začnete psát, Wireshark vám pomůže automaticky dokončit filtr.
Můžete také kliknout na Analyzovat> Zobrazit filtry a vybrat filtr z výchozích filtrů obsažených ve Wiresharku. Odtud můžete přidat své vlastní vlastní filtry a uložit je, abyste k nim v budoucnu měli snadný přístup.
Další informace o jazyce filtrování displeje Wireshark naleznete v Vytváření výrazů filtru zobrazení stránka v oficiální dokumentaci Wireshark.
Další zajímavou věcí, kterou můžete udělat, je kliknout pravým tlačítkem na paket a vybrat Sledovat> TCP Stream.
Uvidíte úplnou konverzaci TCP mezi klientem a serverem. Můžete také kliknout na jiné protokoly v nabídce Sledovat a zobrazit úplné konverzace pro jiné protokoly, pokud existují.
Zavřete okno a zjistíte, že byl automaticky použit filtr. Wireshark vám ukazuje pakety, které tvoří konverzaci.
Kontrola paketů
Klepnutím na paket jej vyberte a můžete kopat dolů a zobrazit jeho podrobnosti.
Odtud můžete také vytvářet filtry - stačí kliknout pravým tlačítkem na jednu z podrobností a pomocí podnabídky Použít jako filtr vytvořit na jejím základě filtr.
Wireshark je extrémně výkonný nástroj a tento výukový program jen škrábe povrch toho, co s ním můžete dělat. Profesionálové jej používají k ladění implementací síťových protokolů, k prozkoumání problémů se zabezpečením a ke kontrole vnitřních částí síťového protokolu.
Podrobnější informace najdete na oficiálním webu Uživatelská příručka Wireshark a další stránky dokumentace na webu Wireshark.
