Hoe om Wireshark te gebruik: netwerkanalise, 2020-styl

Meer as 20 jaar gelede het Gerald Combs Ethereal 0.2.0 aangekondig, die eerste openbare weergawe van wat ons nou as Wireshark ken. Wireshark is ontwikkel vir Solaris en Linux en is ‘n open source netwerk en pakketanaliseerder. Die projek het in 1998 as Ethereal begin, maar die naam is in 2006 verander na Wireshark as gevolg van probleme met handelsmerke.


Vandag is Wireshark die wêreld se grootste netwerkanaliseerder, met meer as 600 bydraende skrywers, veelvuldige toekennings en sy eie ontwikkelaarskonferensie, SharkFest.

Hierdie handleiding sal u help om met Wireshark aan die gang te kom. Ons gaan die basiese beginsels oor, soos hoe om dit af te laai en pakkette vas te lê, te besigtig en te filter. Wireshark het baie gevorderde funksies wat nie binne die bestek van hierdie artikel gedek kan word nie, maar daar is baie tutoriale daaroor op wireshark.org.

Laai af en stel Wireshark op

Wireshark kan via die aflaaibladsy afgelaai word. Klik op hul onderskeie skakels onder die afdeling ‘stabiele vrystelling’ om dit vir Windows of macOS te kry. As u ‘n bron vir Linux benodig, blaai dan na die onderkant van die bladsy en vind die aflaai vir u weergawe onder “derdeparty-pakkette.”

Wireshark-aflaai

Sodra u die aansoek afgelaai het, kan u die opstelproses begin. As u ‘n Windows-gebruiker is, moet u die WinPcap-biblioteek installeer, wat u toelaat om regstreekse netwerkverkeer vas te lê. Daarsonder sal u slegs vasgeloopte pakkies wat gestoor is, kan sien. Die nuutste weergawe van Wireshark behoort WinPcap standaard te installeer.

Sorg ook dat u USBPcap installeer, waardeur Wireshark die verkeer vanaf USB-toestelle kan opneem.

Hoe om pakkies met Wireshark vas te vang

Wireshark is gebou op sy vermoë om netwerkpakkies vas te lê en dit in ‘n formaat te vertoon wat deur blote sterflinge geïnterpreteer kan word. As u nie seker is wat netwerkpakkies is nie, gaan ons dit in ons IPv4 vs. IPv6-gids oor.

Nadat u dit afgelaai en geïnstalleer het, is u gereed om Wireshark te begin en pakkies vas te lê.

Wireshark-bekendstelling

Om die vasleggingsproses te begin, moet u u netwerk koppelvlak kies. As u die toepassing loods, sal u die beskikbare netwerkverbindings op die lanseringsskerm sien. U kan ook gevorderde funksies sien deur op “capture” te klik, en dan “options” te kies..

Vang-opsies

Kies ‘n verbinding om vas te lê deur:

  • Dubbelklik op die naam.
  • Gebruik die sleutelbordkortpad CTRL + E.
  • Klik op die haaivin in die werkbalk, links in die verste hoek.

Sodra u klaar is, sal die verbinding wat opgeneem moet word, in blou of grys ingekleur word en Wireshark sal die netwerkverkeer begin opneem en dit meer besonderhede gee. Om die opname te stop, druk die rooi stopknoppie langs die haaivinknop. Alternatiewelik kan u die kortpad CTRL + E gebruik.

Wanneer u met Wireshark vaslê, is die afskrif-modus standaard ingeskakel. Dit maak dit moontlik om al die pakkies op ‘n netwerk vas te lê, eerder as net die wat op u rekenaar of netwerkadapter gerig is. Dit gesê, die promiskue modus word nie deur alle netwerkhardeware en -vlakvlakke ondersteun nie. Dit kan verander word deur op “wysig” te klik, dan op “voorkeure …”.

Wireshark-voorkeure

Gaan na die Wireshark FAQ vir meer inligting oor die promiskue modus.

Kyk na pakette met vasgekapte gare

Noudat u data opgeteken het, is dit tyd om dit te sien. As u pakkies bekyk, sien u inligting versprei oor drie vensters: die pakkielys, die pakkie-besonderhede en die pakkie-grepe. Die pakkie-lyspaneel is die boonste en vertoon die tyd, bron, bestemming, protokol en bykomende inligting.  

Wireshark-packet_pane1
 

Die paneel met die pakkie-besonderhede sit in die middel. Soos die naam aandui, vertoon dit besonderhede rakende die gekose pakkie. Dit wys die protokoltipe, soos IPv4 of IPv6, en adresse, soos IP of MAC, in ‘n opvoubare lysformaat.

Wireshark-pakkie-pane2

Die pakkie-byte-paneel is aan die onderkant. Dit bevat die rou data uit die pakkie en vertoon dit in ‘n heksadesimale of bit-formaat.

Wireshark-pakkie-pane3

Filtrering van pakkies met gaas

As u netwerkverkeer analiseer, sal u programme wil afsluit wat pakkies stuur wat u nie wil sien nie, om die verkeer te verminder. Selfs dan sal daar waarskynlik ‘n klomp oorblywende pakkies bybly om deur te sif. Dit is waar Wireshark se filters in aanmerking kom. Dit bied opnamefilters en vertoonfilters, en beide beïnvloed die vanglêer anders.

Opnamefilters word op die vanglêer toegepas voordat die opnameproses begin, waardeur u kan besluit watter pakkies Wireshark gaan opneem. Aan die ander kant word vertoonfilters op ‘n vanglêer toegepas, wat u toelaat om slegs pakkies te sien wat aan u spesifieke kriteria voldoen.

Om ‘n vangfilter by te voeg, klik in die inskrywingsveld bo die koppelvlakke wat in die bekendstellingsvenster gewys word. U kan ‘n filter invoer, soos TDP, of klik op die boekmerk-ikoon links en kies uit die keuselys. Nadat u op die groen boekmerk-ikoon geklik het, kies u “bestuur vangfilters” vir meer opsies.

Wireshark-vang-filter

Bo die opname-veld, sien u ‘n ander inskrywingsveld wat sê “pas ‘n vertoonfilter toe …” waar u vertoonfilters kan toepas op dieselfde manier wat beskryf word vir die toepassing van vangfilters.

Wireshark-vertoning-filter

Kleurkodering met draadhark

Met Wireshark se kleurreëls kan u pakkies verder skei en individualiseer op grond van hul uitgeligte kleur. Op die manier kan u in ‘n oogopslag sekere soorte verkeer of foute identifiseer. Die ingeboude kleurbiblioteek van Wireshark bied ongeveer 20 skakerings aan, wat almal geredigeer, gedeaktiveer of uitgevee kan word.

U kan toegang tot die kleuropsies verkry deur op “view” in die werkbalk te klik as om “kleurreëls” te kies.

Wireshark-kleure

Pakketkleurering kan gedeaktiveer word deur op “view” te klik en die opsie “colorize packet list” in te skakel in die drop-down menu.

Wireshark-colors2

Besigtig netwerkstatistieke in Wireshark

Wireshark bied ‘n verskeidenheid data en statistieke oor u netwerk, wat toeganklik is via die drop-down menu “statistieke” op die werkbalk. Die statistieke bevat opgeloste adresse, IPv4-statistieke, IPv6-statistieke, en ander kaarte en grafieke. U kan ook vertoonfilters daar gebruik. Statistieke kan ook in verskillende lêerformate uitgevoer word, soos .txt, .csv en .xml.

Wireshark-statistieke

Finale gedagtes

Wireshark is ‘n eenvoudige, maar veelsydige netwerkanaliseerder, en die beste van alles is gratis. Hierdie gids is bedoel om u die basiese beginsels te wys, maar ons het eers die oppervlak begin krap van wat Wireshark kan doen. As u op soek is na Wireshark te bemeester en u eie protokoldissekteerders te kodeer, is die amptelike Wireshark-gebruikersgids die gesaghebbende verwysing.

Die Wireshark-wiki is nog ‘n uitstekende bron om saam met die program te gebruik, want dit bevat tutoriale, voorbeeldopnames en gereedskap en inproppe.

Kyk na ons beste antivirusse, beste wagwoordbestuurders en beste rekeningkundige sagteware vir meer sagteware. Andersins, dankie dat u dit gelees het en laat weet ons in ‘n opmerking of ‘n tweet as u Wireshark-wenke of truuks het.

Kim Martin
Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me