Wireshark, narzędzie do analizy sieci znane wcześniej jako Ethereal, przechwytuje pakiety w czasie rzeczywistym i wyświetla je w formacie czytelnym dla człowieka. Wireshark zawiera filtry, kodowanie kolorami i inne funkcje, które pozwalają zagłębić się w ruch sieciowy i sprawdzać poszczególne pakiety.
Ten samouczek pozwoli Ci szybko opanować podstawy przechwytywania pakietów, ich filtrowania i sprawdzania. Możesz użyć Wireshark, aby zbadać ruch sieciowy podejrzanego programu, przeanalizować przepływ ruchu w sieci lub rozwiązać problemy z siecią.
Pierwsze Wireshark
Możesz pobrać Wireshark dla Windows lub macOS z jego oficjalna strona internetowa . Jeśli używasz Linuksa lub innego systemu podobnego do UNIX, prawdopodobnie znajdziesz Wireshark w jego repozytoriach pakietów. Na przykład, jeśli używasz Ubuntu, Wireshark znajdziesz w Centrum oprogramowania Ubuntu.
Tylko krótkie ostrzeżenie: wiele organizacji nie zezwala na Wireshark i podobne narzędzia w swoich sieciach. Nie używaj tego narzędzia w pracy, jeśli nie masz pozwolenia.
Przechwytywanie pakietów
Po pobraniu i zainstalowaniu programu Wireshark możesz go uruchomić i dwukrotnie kliknąć nazwę interfejsu sieciowego w obszarze Przechwyć, aby rozpocząć przechwytywanie pakietów na tym interfejsie. Na przykład, jeśli chcesz przechwycić ruch w sieci bezprzewodowej, kliknij interfejs bezprzewodowy. Możesz skonfigurować zaawansowane funkcje, klikając Przechwyć> Opcje, ale na razie nie jest to konieczne.
Jak tylko klikniesz nazwę interfejsu, zobaczysz, że pakiety zaczynają się pojawiać w czasie rzeczywistym. Wireshark przechwytuje każdy pakiet wysłany do lub z twojego systemu.
Jeśli masz włączony tryb rozwiązły - jest on włączony domyślnie - zobaczysz także wszystkie inne pakiety w sieci, a nie tylko pakiety zaadresowane do karty sieciowej. Aby sprawdzić, czy tryb swobodny jest włączony, kliknij Przechwyć> Opcje i sprawdź, czy pole wyboru „Włącz tryb swobodny na wszystkich interfejsach” jest zaznaczone u dołu tego okna.
Kliknij czerwony przycisk „Zatrzymaj” w lewym górnym rogu okna, gdy chcesz zatrzymać przechwytywanie ruchu.
Kodowanie kolorów
Prawdopodobnie zobaczysz pakiety wyróżnione różnymi kolorami. Wireshark używa kolorów, aby pomóc Ci w szybkiej identyfikacji typów ruchu. Domyślnie jasnofioletowy to ruch TCP, jasnoniebieski to ruch UDP, a czarny oznacza pakiety z błędami - na przykład mogły zostać dostarczone poza kolejnością.
Aby zobaczyć dokładnie, co oznaczają kody kolorów, kliknij Widok> Zasady kolorowania. Możesz także dostosowywać i modyfikować zasady kolorowania tutaj, jeśli chcesz.
Przykładowe zdjęcia
Jeśli w Twojej sieci nie ma nic interesującego do sprawdzenia, wiki Wiresharka Cię obejmuje. Wiki zawiera plik strona z przykładowymi plikami przechwytywania które możesz załadować i sprawdzić. Kliknij Plik> Otwórz w Wireshark i wyszukaj pobrany plik, aby go otworzyć.
Możesz także zapisywać własne ujęcia w Wireshark i otwierać je później. Kliknij Plik> Zapisz, aby zapisać przechwycone pakiety.
Filtrowanie pakietów
Jeśli próbujesz sprawdzić coś konkretnego, na przykład ruch wysyłany przez program podczas dzwonienia do domu, pomocne jest zamknięcie wszystkich innych aplikacji korzystających z sieci, aby można było zawęzić ruch. Mimo to prawdopodobnie będziesz musiał przeszukać dużą liczbę pakietów. W tym miejscu pojawiają się filtry Wiresharka.
Najbardziej podstawowym sposobem zastosowania filtra jest wpisanie go w polu filtru u góry okna i kliknięcie Zastosuj (lub naciśnięcie Enter). Na przykład wpisz „dns”, a zobaczysz tylko pakiety DNS. Kiedy zaczniesz pisać, Wireshark pomoże Ci automatycznie uzupełnić filtr.
Możesz także kliknąć Analizuj> Wyświetl filtry, aby wybrać filtr spośród domyślnych filtrów zawartych w Wireshark. W tym miejscu możesz dodać własne filtry niestandardowe i zapisać je, aby mieć do nich łatwy dostęp w przyszłości.
Aby uzyskać więcej informacji na temat języka filtrowania wyświetlania Wireshark, przeczytaj Tworzenie wyrażeń filtru wyświetlania w oficjalnej dokumentacji Wireshark.
Inną interesującą rzeczą, którą możesz zrobić, jest kliknięcie pakietu prawym przyciskiem myszy i wybranie opcji Śledź> Strumień TCP.
Zobaczysz całą konwersację TCP między klientem a serwerem. Możesz także kliknąć inne protokoły w menu Śledź, aby zobaczyć pełne rozmowy dla innych protokołów, jeśli ma to zastosowanie.
Zamknij okno, a zobaczysz, że filtr został zastosowany automatycznie. Wireshark pokazuje pakiety, które składają się na rozmowę.
Inspekcja pakietów
Kliknij pakiet, aby go zaznaczyć i możesz przeszukać go, aby zobaczyć jego szczegóły.
Możesz także tworzyć filtry z tego miejsca - po prostu kliknij prawym przyciskiem myszy jeden ze szczegółów i użyj podmenu Zastosuj jako filtr, aby utworzyć na jego podstawie filtr.
Wireshark to niezwykle potężne narzędzie, a ten samouczek po prostu zarysowuje powierzchnię tego, co możesz z nim zrobić. Profesjonaliści używają go do debugowania implementacji protokołów sieciowych, badania problemów związanych z bezpieczeństwem i inspekcji wewnętrznych protokołów sieciowych.
Więcej szczegółowych informacji można znaleźć w oficjalnym komunikacie Podręcznik użytkownika programu Wireshark i inne strony dokumentacji na stronie Wireshark.
