Wireshark, инструмент сетевого анализа, ранее известный как Ethereal, захватывает пакеты в реальном времени и отображает их в удобочитаемом формате. Wireshark включает в себя фильтры, цветовую кодировку и другие функции, которые позволяют глубоко копать сетевой трафик и проверять отдельные пакеты.
Это руководство познакомит вас с основами захвата пакетов, их фильтрации и проверки. Вы можете использовать Wireshark для проверки сетевого трафика подозрительной программы, анализа потока трафика в вашей сети или устранения сетевых проблем.
Получение Wireshark
Вы можете скачать Wireshark для Windows или macOS из его официальный сайт . Если вы используете Linux или другую UNIX-подобную систему, вы, вероятно, найдете Wireshark в его репозиториях пакетов. Например, если вы используете Ubuntu, вы найдете Wireshark в Центре программного обеспечения Ubuntu.
Небольшое предупреждение: многие организации не разрешают использование Wireshark и подобных инструментов в своих сетях. Не используйте этот инструмент на работе, если у вас нет разрешения.
Захват пакетов
После загрузки и установки Wireshark вы можете запустить его и дважды щелкнуть имя сетевого интерфейса в разделе «Захват», чтобы начать захват пакетов на этом интерфейсе. Например, если вы хотите захватить трафик в своей беспроводной сети, щелкните свой беспроводной интерфейс. Вы можете настроить расширенные функции, нажав «Захват»> «Параметры», но пока в этом нет необходимости.
Как только вы нажмете на название интерфейса, вы увидите, что пакеты начинают появляться в реальном времени. Wireshark фиксирует каждый пакет, отправленный в вашу систему или из нее.
Если у вас включен неразборчивый режим - он включен по умолчанию - вы также увидите все другие пакеты в сети, а не только пакеты, адресованные вашему сетевому адаптеру. Чтобы проверить, включен ли неразборчивый режим, нажмите «Захват»> «Параметры» и убедитесь, что в нижней части этого окна активирован флажок «Включить неразборчивый режим на всех интерфейсах».
Нажмите красную кнопку «Стоп» в верхнем левом углу окна, когда вы хотите прекратить захват трафика.
Цветовое кодирование
Вы, вероятно, увидите пакеты, выделенные разными цветами. Wireshark использует цвета, чтобы помочь вам с первого взгляда определить типы трафика. По умолчанию светло-фиолетовый цвет соответствует трафику TCP, голубой - трафику UDP, а черный цвет обозначает пакеты с ошибками - например, они могли быть доставлены не по порядку.
Чтобы точно увидеть, что означают цветовые коды, нажмите «Просмотр»> «Правила окраски». Вы также можете настроить и изменить правила раскраски здесь, если хотите.
Образцы захвата
Если в вашей сети нет ничего интересного для проверки, вики Wireshark поможет вам. Вики есть страница с образцами файлов захвата которые вы можете загрузить и проверить. Щелкните Файл> Открыть в Wireshark и найдите загруженный файл, чтобы открыть его.
Вы также можете сохранить свои собственные снимки в Wireshark и открыть их позже. Щелкните Файл> Сохранить, чтобы сохранить захваченные пакеты.
Фильтрация пакетов
Если вы пытаетесь проверить что-то конкретное, например трафик, который программа отправляет при звонке домой, это помогает закрыть все другие приложения, использующие сеть, чтобы вы могли сузить трафик. Тем не менее, вам, вероятно, придется просеивать большое количество пакетов. Вот тут-то и пригодятся фильтры Wireshark.
Самый простой способ применить фильтр - ввести его в поле фильтра в верхней части окна и нажать «Применить» (или нажать Enter). Например, введите «dns», и вы увидите только пакеты DNS. Когда вы начнете вводить текст, Wireshark поможет вам автоматически заполнить фильтр.
Вы также можете нажать «Анализ»> «Фильтры отображения», чтобы выбрать фильтр из стандартных фильтров, включенных в Wireshark. Отсюда вы можете добавить свои собственные фильтры и сохранить их, чтобы легко получить к ним доступ в будущем.
Для получения дополнительной информации о языке фильтрации отображения Wireshark прочтите Создание выражений фильтра отображения в официальной документации Wireshark.
Еще одна интересная вещь, которую вы можете сделать, - это щелкнуть пакет правой кнопкой мыши и выбрать Follow> TCP Stream.
Вы увидите полный TCP-диалог между клиентом и сервером. Вы также можете щелкнуть другие протоколы в меню Follow, чтобы просмотреть полные разговоры для других протоколов, если это применимо.
Закройте окно, и вы увидите, что фильтр применен автоматически. Wireshark показывает пакеты, из которых состоит разговор.
Проверка пакетов
Щелкните пакет, чтобы выбрать его, и вы можете откопать его, чтобы просмотреть сведения о нем.
Вы также можете создавать фильтры отсюда - просто щелкните правой кнопкой мыши одну из деталей и используйте подменю «Применить как фильтр», чтобы создать фильтр на его основе.
Wireshark - чрезвычайно мощный инструмент, и это руководство лишь поверхностно описывает то, что вы можете с ним сделать. Профессионалы используют его для отладки реализаций сетевых протоколов, изучения проблем безопасности и проверки внутренних компонентов сетевого протокола.
Более подробную информацию вы можете найти в официальном Руководство пользователя Wireshark и другие страницы документации на сайте Wireshark.
