Wireshark, інструмент мережевого аналізу, раніше відомий як Ethereal, захоплює пакети в режимі реального часу та відображає їх у зручному для читання форматі. Wireshark включає фільтри, кольорове кодування та інші функції, які дозволяють заглибитися в мережевий трафік та перевірити окремі пакети.
Цей посібник допоможе вам швидко пришвидшити основи захоплення пакетів, їх фільтрації та перевірки. Ви можете використовувати Wireshark для перевірки мережевого трафіку підозрілої програми, аналізу потоку трафіку у вашій мережі або усунення проблем із мережею.
Отримання Wireshark
Ви можете завантажити Wireshark для Windows або macOS з офіційний веб-сайт . Якщо ви використовуєте Linux або іншу UNIX-подібну систему, ви, мабуть, знайдете Wireshark у сховищах пакетів. Наприклад, якщо ви використовуєте Ubuntu, ви знайдете Wireshark у Центрі програмного забезпечення Ubuntu.
Лише коротке попередження: багато організацій не дозволяють Wireshark та подібні інструменти у своїх мережах. Не використовуйте цей інструмент на роботі, якщо у вас немає дозволу.
Захоплення пакетів
Після завантаження та встановлення Wireshark ви можете запустити його та двічі клацнути ім'я мережевого інтерфейсу в розділі «Захоплення», щоб розпочати збір пакетів на цьому інтерфейсі. Наприклад, якщо ви хочете зафіксувати трафік у бездротовій мережі, клацніть на своєму бездротовому інтерфейсі. Ви можете налаштувати розширені функції, натиснувши Захоплення> Параметри, але наразі це не потрібно.
Як тільки ви натиснете назву інтерфейсу, ви побачите, що пакети починають відображатися в режимі реального часу. Wireshark фіксує кожен пакет, відправлений у вашу систему або з неї.
Якщо ви ввімкнули безладний режим - він увімкнений за замовчуванням - ви також побачите всі інші пакети в мережі, а не лише пакети, адресовані вашому мережевому адаптеру. Щоб перевірити, чи ввімкнено режим безладдя, клацніть «Захоплення»> «Параметри» та перевірте, чи ввімкнено внизу цього вікна прапорець «Увімкнути режим безладдя на всіх інтерфейсах».
Клацніть червону кнопку "Зупинити" біля верхнього лівого кута вікна, коли ви хочете припинити захоплення трафіку.
Кольорове кодування
Ви, ймовірно, побачите пакети, виділені різними кольорами. Wireshark використовує кольори, щоб допомогти вам швидко визначити типи трафіку. За замовчуванням світло-фіолетовим є TCP-трафік, світло-блакитним - UDP-трафік, а чорним ідентифікуються пакети з помилками - наприклад, вони могли бути доставлені не в порядку.
Щоб переглянути, що саме означають кольорові коди, натисніть Перегляд> Правила забарвлення. Ви також можете налаштувати та змінити правила забарвлення, якщо хочете.
Зразки захоплення
Якщо у вашій власній мережі немає нічого цікавого для перевірки, це стосується wiki Wireshark. Вікі містить a сторінка зразків файлів захоплення що ви можете завантажити та перевірити. Клацніть «Файл»> «Відкрити» у Wireshark та перегляньте завантажений файл, щоб відкрити його.
Ви також можете зберегти власні знімки в Wireshark і відкрити їх пізніше. Клацніть «Файл»> «Зберегти», щоб зберегти захоплені пакети.
Фільтрування пакетів
Якщо ви намагаєтеся перевірити щось конкретне, наприклад, трафік, який програма надсилає, коли телефонує додому, це допомагає закрити всі інші програми, що використовують мережу, щоб ви могли звузити трафік. Тим не менше, у вас буде велика кількість пакетів для просіювання. Тут з’являються фільтри Wireshark.
Найпростіший спосіб застосувати фільтр - це ввести його у поле фільтра у верхній частині вікна та натиснути кнопку Застосувати (або натиснути Enter). Наприклад, введіть "dns", і ви побачите лише DNS-пакети. Коли ви починаєте друкувати, Wireshark допоможе вам автозавершити фільтр.
Ви також можете натиснути Аналіз> Відображення фільтрів, щоб вибрати фільтр серед фільтрів за замовчуванням, включених до Wireshark. Звідси ви можете додати власні власні фільтри та зберегти їх, щоб легко отримати доступ до них у майбутньому.
Для отримання додаткової інформації про мову фільтрації дисплея Wireshark прочитайте Побудова виразів фільтру відображення сторінку в офіційній документації Wireshark.
Ще одна цікава річ, яку ви можете зробити, - це клацнути правою кнопкою миші пакет і вибрати «Підписатися»> «Потік TCP».
Ви побачите повну розмову TCP між клієнтом та сервером. Ви також можете клацнути інші протоколи в меню "Підписатися", щоб переглянути повну розмову з іншими протоколами, якщо це можливо.
Закрийте вікно, і ви побачите, що фільтр застосовано автоматично. Wireshark показує вам пакети, з яких складається розмова.
Перевірка пакетів
Клацніть на пакет, щоб вибрати його, і ви зможете скопатися, щоб переглянути його деталі.
Ви також можете створити фільтри звідси - просто клацніть правою кнопкою миші одну з деталей і скористайтеся підменю Застосувати як фільтр, щоб створити фільтр на його основі.
Wireshark - надзвичайно потужний інструмент, і цей посібник просто дряпає поверхню того, що ви можете з ним зробити. Професіонали використовують його для налагодження реалізацій мережевих протоколів, вивчення проблем безпеки та перевірки внутрішніх мережевих протоколів.
Ви можете знайти більш детальну інформацію в офіційному Посібник користувача Wireshark та інші сторінки документації на веб-сайті Wireshark.
