Wireshark, verkkoanalyysityökalu, joka tunnettiin aiemmin nimellä Ethereal, sieppaa paketit reaaliajassa ja näyttää ne ihmisen luettavassa muodossa. Wireshark sisältää suodattimia, värikoodauksia ja muita ominaisuuksia, joiden avulla voit kaivaa syvälle verkkoliikenteeseen ja tarkastaa yksittäisiä paketteja.
Tämä opetusohjelma opastaa sinut pakettien sieppaamisen, suodattamisen ja tarkastamisen perusteisiin. Wiresharkin avulla voit tarkistaa epäilyttävän ohjelman verkkoliikenteen, analysoida verkon liikennevirran tai selvittää verkko-ongelmia.
Wiresharkin saaminen
Voit ladata Wiresharkin Windowsille tai macOSille osoitteesta sen virallisilla verkkosivuilla . Jos käytät Linuxia tai muuta UNIX-tyyppistä järjestelmää, löydät todennäköisesti Wiresharkin sen pakettivarastoista. Jos esimerkiksi käytät Ubuntua, löydät Wiresharkin Ubuntu-ohjelmistokeskuksesta.
Vain nopea varoitus: Monet organisaatiot eivät salli Wiresharkia ja vastaavia työkaluja verkkoonsa. Älä käytä tätä työkalua työssä, ellei sinulla ole siihen lupaa.
Pakettien sieppaaminen
Kun olet ladannut ja asentanut Wiresharkin, voit käynnistää sen ja kaksoisnapsauttaa verkkoliittymän nimeä Capture-kohdassa aloittaaksesi pakettien sieppaamisen kyseiselle käyttöliittymälle. Jos esimerkiksi haluat kaapata liikennettä langattomassa verkossa, napsauta langatonta käyttöliittymääsi. Voit määrittää lisäominaisuudet napsauttamalla Sieppaa> Asetukset, mutta tämä ei ole toistaiseksi tarpeen.
Heti kun napsautat käyttöliittymän nimeä, paketit alkavat näkyä reaaliajassa. Wireshark sieppaa jokaisen järjestelmääsi lähetetyn paketin.
Jos olet ottanut lupaavan tilan käyttöön - se on oletusarvoisesti käytössä, näet myös kaikki muut verkon paketit vain verkkosovittimellesi osoitettujen pakettien sijaan. Voit tarkistaa, onko lupaava tila käytössä, napsauttamalla Sieppaa> Asetukset ja varmista, että Ota salli tila käyttöön kaikissa käyttöliittymissä -valintaruutu on aktivoitu tämän ikkunan alaosassa.
Napsauta punaista Stop-painiketta lähellä ikkunan vasenta yläkulmaa, kun haluat lopettaa liikenteen kaappaamisen.
Värikoodaus
Näet todennäköisesti korostettuja paketteja useilla eri väreillä. Wireshark käyttää värejä auttaakseen sinua tunnistamaan liikennetyypit yhdellä silmäyksellä. Vaaleanpunainen on oletusarvoisesti TCP-liikenne, vaaleansininen on UDP-liikenne ja musta tunnistaa virheelliset paketit - esimerkiksi ne olisi voitu toimittaa epäkunnossa.
Jos haluat nähdä tarkalleen, mitä värikoodit tarkoittavat, napsauta Näytä> Värityssäännöt. Voit myös mukauttaa ja muokata värisääntöjä täältä, jos haluat.
Näyte sieppauksia
Jos omassa verkostossasi ei ole mitään mielenkiintoista tutkittavaa, Wiresharkin wiki on katsonut sinut. Wiki sisältää a sivun näytteenottotiedostoista jonka voit ladata ja tarkastaa. Napsauta Tiedosto> Avaa Wiresharkissa ja avaa tiedosto selaamalla.
Voit myös tallentaa omat sieppauksesi Wiresharkiin ja avata ne myöhemmin. Tallenna siepatut paketit valitsemalla Tiedosto> Tallenna.
Pakettien suodatus
Jos yrität tutkia jotain erityistä, kuten liikennettä, jonka ohjelma lähettää kotiin soittaessaan, se auttaa sulkemaan kaikki muut verkon käyttävät sovellukset, jotta voit kaventaa liikennettä. Silti sinulla on todennäköisesti suuri määrä paketteja. Siellä Wiresharkin suodattimet tulevat sisään.
Yksinkertaisin tapa käyttää suodatinta on kirjoittaa se ikkunan yläosassa olevaan suodatinruutuun ja napsauttaa Käytä (tai painamalla Enter). Kirjoita esimerkiksi "dns" ja näet vain DNS-paketit. Kun aloitat kirjoittamisen, Wireshark auttaa sinua täydentämään suodattimesi.
Voit myös napsauttaa Analysoi> Näytä suodattimet valitaksesi suodattimen Wiresharkiin sisältyvistä oletussuodattimista. Täältä voit lisätä omia mukautettuja suodattimia ja tallentaa ne, jotta voit käyttää niitä helposti tulevaisuudessa.
Lisätietoja Wireshark-näytön suodatuskielestä on artikkelissa Näytönsuodattimen lausekkeiden rakentaminen sivu virallisessa Wireshark-dokumentaatiossa.
Toinen mielenkiintoinen asia, jonka voit tehdä, on napsauttaa hiiren kakkospainikkeella pakettia ja valita Seuraa> TCP-virta.
Näet koko TCP-keskustelun asiakkaan ja palvelimen välillä. Voit myös napsauttaa muita protokollia Seuraa-valikossa nähdäksesi muiden protokollien täydelliset keskustelut, jos sellaisia on.
Sulje ikkuna ja löydät suodattimen automaattisesti. Wireshark näyttää sinulle keskustelun muodostavat paketit.
Pakettien tarkastaminen
Napsauta pakettia valitaksesi sen ja voit kaivaa alas nähdäksesi sen tiedot.
Voit myös luoda suodattimia täältä - napsauta vain hiiren kakkospainikkeella yhtä yksityiskohtaa ja luo suodatin sen perusteella käyttämällä Käytä suodattimena -alivalikkoa.
Wireshark on erittäin tehokas työkalu, ja tämä opetusohjelma vain raapii pintaa siitä, mitä voit tehdä sen kanssa. Ammattilaiset käyttävät sitä virheenkorjaukseen verkkoprotokollatoteutuksissa, tutkimaan turvallisuusongelmia ja tarkastamaan verkkoprotokollan sisäisiä osia.
Löydät tarkempia tietoja virkamieheltä Wiresharkin käyttöopas ja muut asiakirjasivut on Wireshark’s website.
