Wireshark, un instrument de analiză a rețelei cunoscut anterior sub numele de Ethereal, captează pachete în timp real și le afișează în format lizibil de către om. Wireshark include filtre, codare color și alte caracteristici care vă permit să vă adânciți în traficul de rețea și să inspectați pachetele individuale.
Acest tutorial vă va aduce la curent cu noțiunile de bază pentru capturarea pachetelor, filtrarea și inspectarea acestora. Puteți utiliza Wireshark pentru a inspecta traficul de rețea al unui program suspect, pentru a analiza fluxul de trafic din rețea sau pentru a depana problemele de rețea.
Obținerea Wireshark
Puteți descărca Wireshark pentru Windows sau macOS de la site-ul său oficial . Dacă utilizați Linux sau un alt sistem similar UNIX, probabil veți găsi Wireshark în depozitele sale de pachete. De exemplu, dacă utilizați Ubuntu, veți găsi Wireshark în Ubuntu Software Center.
Doar un avertisment rapid: Multe organizații nu permit Wireshark și instrumente similare în rețelele lor. Nu utilizați acest instrument la locul de muncă decât dacă aveți permisiunea.
Captarea pachetelor
După descărcarea și instalarea Wireshark, îl puteți lansa și faceți dublu clic pe numele unei interfețe de rețea sub Capture pentru a începe capturarea pachetelor pe acea interfață. De exemplu, dacă doriți să capturați traficul pe rețeaua dvs. wireless, faceți clic pe interfața wireless. Puteți configura funcții avansate făcând clic pe Captură> Opțiuni, dar acest lucru nu este necesar pentru moment.
De îndată ce faceți clic pe numele interfeței, veți vedea că pachetele încep să apară în timp real. Wireshark captează fiecare pachet trimis către sau din sistemul dvs.
Dacă aveți activat modul promiscu - activat în mod implicit - veți vedea și toate celelalte pachete din rețea în loc de pachete adresate numai adaptorului de rețea. Pentru a verifica dacă modul promiscuu este activat, faceți clic pe Captură> Opțiuni și verificați că caseta de selectare „Activare mod promiscuu pe toate interfețele” este activată în partea de jos a acestei ferestre.
Faceți clic pe butonul roșu „Stop” din colțul din stânga sus al ferestrei atunci când doriți să opriți captarea traficului.
Cod de culoare
Probabil că veți vedea pachete evidențiate într-o varietate de culori diferite. Wireshark folosește culori pentru a vă ajuta să identificați dintr-o privire tipurile de trafic. În mod implicit, movul deschis este trafic TCP, albastru deschis este traficul UDP, iar negrul identifică pachetele cu erori - de exemplu, acestea ar fi putut fi livrate în afara comenzii.
Pentru a vedea exact ce înseamnă codurile de culoare, faceți clic pe Vizualizare> Reguli de colorare. De asemenea, puteți personaliza și modifica regulile de colorare de aici, dacă doriți.
Capturi de probe
Dacă nu există nimic interesant în propria rețea de inspectat, wiki-ul Wireshark te acoperă. Wiki conține un pagina fișierelor de captură eșantion pe care le puteți încărca și inspecta. Faceți clic pe Fișier> Deschidere în Wireshark și căutați fișierul descărcat pentru a deschide unul.
De asemenea, vă puteți salva propriile capturi în Wireshark și le puteți deschide mai târziu. Faceți clic pe Fișier> Salvare pentru a salva pachetele capturate.
Filtrarea pachetelor
Dacă încercați să inspectați ceva anume, cum ar fi traficul pe care îl trimite un program atunci când sună acasă, vă ajută să închideți toate celelalte aplicații care utilizează rețeaua, astfel încât să puteți restrânge traficul. Totuși, probabil veți avea o cantitate mare de pachete de cernut. Aici intervin filtrele Wireshark.
Cea mai simplă modalitate de a aplica un filtru este tastând-o în caseta de filtrare din partea de sus a ferestrei și făcând clic pe Aplicare (sau apăsând pe Enter). De exemplu, tastați „dns” și veți vedea numai pachete DNS. Când începeți să tastați, Wireshark vă va ajuta să completați automat filtrul.
De asemenea, puteți face clic pe Analizare> Afișare filtre pentru a alege un filtru dintre filtrele implicite incluse în Wireshark. De aici, puteți adăuga propriile filtre personalizate și le puteți salva pentru a le accesa cu ușurință în viitor.
Pentru mai multe informații despre limba de filtrare a afișajului Wireshark, citiți Construirea expresiilor de filtrare a afișajului pagina din documentația oficială Wireshark.
Un alt lucru interesant pe care îl puteți face este să faceți clic dreapta pe un pachet și să selectați Urmare> TCP Stream.
Veți vedea conversația TCP completă între client și server. De asemenea, puteți face clic pe alte protocoale din meniul Urmăriți pentru a vedea conversațiile complete pentru alte protocoale, dacă este cazul.
Închideți fereastra și veți găsi că un filtru a fost aplicat automat. Wireshark vă arată pachetele care alcătuiesc conversația.
Inspectarea pachetelor
Faceți clic pe un pachet pentru al selecta și puteți săpați pentru a vedea detaliile acestuia.
De asemenea, puteți crea filtre de aici - faceți clic dreapta pe unul dintre detalii și utilizați submeniul Aplicare ca filtru pentru a crea un filtru pe baza acestuia.
Wireshark este un instrument extrem de puternic, iar acest tutorial doar zgârie suprafața a ceea ce puteți face cu el. Profesioniștii îl folosesc pentru depanarea implementărilor protocolului de rețea, examinarea problemelor de securitate și inspectarea internelor protocolului de rețea.
Puteți găsi informații mai detaliate în oficial Ghidul utilizatorului Wireshark si alte pagini de documentare pe site-ul Wireshark.
