Wireshark, et nettverksanalyseverktøy tidligere kjent som Ethereal, fanger opp pakker i sanntid og viser dem i lesbart format. Wireshark inkluderer filtre, fargekoding og andre funksjoner som lar deg grave dypt i nettverkstrafikk og inspisere individuelle pakker.
Denne opplæringen vil få deg i gang med det grunnleggende om å fange pakker, filtrere dem og inspisere dem. Du kan bruke Wireshark til å inspisere et mistenkelig programs nettverkstrafikk, analysere trafikkflyten på nettverket eller feilsøke nettverksproblemer.
Få Wireshark
Du kan laste ned Wireshark for Windows eller macOS fra sin offisielle nettside . Hvis du bruker Linux eller et annet UNIX-lignende system, vil du sannsynligvis finne Wireshark i pakkelagrene. Hvis du for eksempel bruker Ubuntu, finner du Wireshark i Ubuntu Software Center.
Bare en rask advarsel: Mange organisasjoner tillater ikke Wireshark og lignende verktøy på nettverkene sine. Ikke bruk dette verktøyet på jobben med mindre du har tillatelse.
Fange pakker
Etter å ha lastet ned og installert Wireshark, kan du starte den og dobbeltklikke navnet på et nettverksgrensesnitt under Capture for å begynne å fange pakker på det grensesnittet. Hvis du for eksempel vil fange trafikk på det trådløse nettverket, klikker du på det trådløse grensesnittet. Du kan konfigurere avanserte funksjoner ved å klikke på Capture> Options, men dette er ikke nødvendig for nå.
Så snart du klikker på navnet på grensesnittet, ser du at pakkene begynner å vises i sanntid. Wireshark fanger opp hver pakke som sendes til eller fra systemet ditt.
Hvis du har aktivert promiskuøs modus - den er aktivert som standard - vil du også se alle de andre pakkene i nettverket i stedet for bare pakker som er adressert til nettverkskortet. For å sjekke om promiskuøs modus er aktivert, klikk Capture> Options og bekreft at "Aktiver promiscuous mode on all interfaces" er aktivert nederst i dette vinduet.
Klikk på den røde "Stop" -knappen øverst til venstre i vinduet når du vil slutte å fange trafikk.
Fargekoding
Du vil sannsynligvis se pakker uthevet i en rekke forskjellige farger. Wireshark bruker farger for å hjelpe deg med å identifisere typer trafikk på et øyeblikk. Som standard er lys lilla TCP-trafikk, lyseblått UDP-trafikk, og svart identifiserer pakker med feil - for eksempel kunne de ha blitt levert ut av drift.
For å se nøyaktig hva fargekodene betyr, klikk på Vis> Fargeregler. Du kan også tilpasse og endre fargeleggene herfra, hvis du vil.
Eksempelfangst
Hvis det ikke er noe interessant i ditt eget nettverk å inspisere, har Wiresharks wiki deg dekket. Wiki inneholder en side med eksempelfangstfiler som du kan laste og inspisere. Klikk på Fil> Åpne i Wireshark, og bla gjennom den nedlastede filen for å åpne den.
Du kan også lagre dine egne bilder i Wireshark og åpne dem senere. Klikk på Fil> Lagre for å lagre dine fangede pakker.
Filtrering av pakker
Hvis du prøver å inspisere noe spesifikt, for eksempel trafikken et program sender når du ringer hjem, hjelper det å stenge alle andre applikasjoner som bruker nettverket, slik at du kan begrense trafikken. Likevel vil du sannsynligvis ha en stor mengde pakker å sile gjennom. Det er der Wiresharks filtre kommer inn.
Den mest grunnleggende måten å bruke et filter på er å skrive det inn i filterboksen øverst i vinduet og klikke Bruk (eller trykke Enter). Skriv for eksempel “dns”, så ser du bare DNS-pakker. Når du begynner å skrive, vil Wireshark hjelpe deg med å fullføre filteret ditt automatisk.
Du kan også klikke på Analyser> Vis filtre for å velge et filter blant standardfiltrene som er inkludert i Wireshark. Herfra kan du legge til dine egne tilpassede filtre og lagre dem for å få tilgang til dem i fremtiden.
For mer informasjon om Wireshark display-filtreringsspråk, les Bygge displayfilteruttrykk siden i den offisielle Wireshark-dokumentasjonen.
En annen interessant ting du kan gjøre er å høyreklikke på en pakke og velge Følg> TCP Stream.
Du får se hele TCP-samtalen mellom klienten og serveren. Du kan også klikke andre protokoller i Følg-menyen for å se alle samtalene for andre protokoller, hvis aktuelt.
Lukk vinduet, så finner du at et filter er brukt automatisk. Wireshark viser deg pakkene som utgjør samtalen.
Inspisere pakker
Klikk på en pakke for å velge den, og du kan grave ned for å se detaljene.
Du kan også opprette filtre herfra - bare høyreklikk på en av detaljene og bruk undermenyen Bruk som filter for å lage et filter basert på det.
Wireshark er et ekstremt kraftig verktøy, og denne opplæringen skraper bare overflaten av hva du kan gjøre med det. Profesjonelle bruker den til å feilsøke implementeringer av nettverksprotokoller, undersøke sikkerhetsproblemer og inspisere nettverksprotokollinterne.
Du finner mer detaljert informasjon i tjenestemannen Wireshark brukerhåndbok og andre dokumentasjonssider på Wiresharks nettsted.
