Как да използвате Wireshark: Анализ на мрежата, стил 2020

Преди повече от 20 години Gerald Combs обяви Ethereal 0.2.0, първата публична версия на това, което сега познаваме като Wireshark. Разработен за Solaris и Linux, Wireshark е мрежа с отворен код и анализатор на пакети. Проектът започва живот като Ethereal през 1998 г., но името му е променено на Wireshark през 2006 г. поради проблеми с правата върху търговски марки.


Днес Wireshark е най-добрият мрежов анализатор в света с над 600 автори, множество награди и собствена конференция за разработчици, SharkFest.

Това ръководство ще ви помогне да станете и да работите с Wireshark. Ще разгледаме основните положения, като например как да го изтеглите и заснемете, прегледате и филтрирате пакетите. Wireshark има много усъвършенствани функции, които не могат да бъдат обхванати в обхвата на тази статия, но има много уроци за тях на wireshark.org.

Изтеглете и настройте Wireshark

Wireshark е достъпен за изтегляне чрез страницата му за изтегляне. За да го получите за Windows или macOS, щракнете върху съответните им връзки в секцията „стабилна версия“. Ако имате нужда от източник за Linux, превъртете до края на страницата и намерете изтеглянето за вашата версия в „пакети на трети страни“.

Wireshark изтегляне

След като изтеглите приложението, можете да започнете процеса на настройка. Ако сте потребител на Windows, ще трябва да инсталирате библиотеката WinPcap, което е, което ви позволява да улавяте мрежов трафик на живо. Без него ще можете да преглеждате само заснети пакети, които са били запазени. Последната версия на Wireshark трябва да инсталира по подразбиране WinPcap.

По същия начин, не забравяйте да инсталирате USBPcap, който позволява Wireshark да улавя трафик от USB устройства.

Как да заснемете пакети с Wireshark

Wireshark е изграден върху способността си да улавя мрежови пакети и да ги показва във формат, който може да бъде интерпретиран от обикновени смъртни. Ако не сте сигурни какви са мрежовите пакети, ние ги преглеждаме в нашето ръководство за IPv4 срещу IPv6.

След като изтеглите и инсталирате, вие сте готови да стартирате Wireshark и да започнете улавяне на пакети.

Wireshark старта

За да започнете процеса на заснемане, ще трябва да изберете вашия мрежов интерфейс. След стартиране на приложението, ще видите наличните мрежови връзки на екрана за стартиране. Можете също да видите разширени функции, като щракнете върху „улавяне“, след което изберете „опции“.

Capture-опции

Изберете връзка за заснемане от:

  • Щракнете двукратно върху името му.
  • Използване на клавишната комбинация CTRL + E.
  • Кликнете върху перката на акулата в лентата с инструменти, разположена в крайния ляв ъгъл.

След като свършите, връзката, която ще бъде записана, ще бъде засенчена в синьо или сиво и Wireshark ще започне да записва мрежовия трафик и да го детайлира. За да спрете процеса на запис, натиснете червения бутон за спиране до бутона за перка на акула. Като алтернатива можете да използвате клавишната комбинация CTRL + E.

Когато заснемате с Wireshark, режимът на безразборно действие е активиран по подразбиране. Тя позволява улавяне на всички пакети в мрежа, а не само на тези, адресирани до вашия компютър или мрежов адаптер. Това каза, безразборният режим не се поддържа от всички мрежови хардуер и интерфейси. Тя може да бъде променена, като щракнете върху „редактиране“, след това „предпочитания…“.

Wireshark-предпочитания

Проверете често задаваните въпроси за Wireshark за повече подробности относно безразборния режим.

Вижте заснетите пакети с Wireshark

Сега, когато сте записали данни, е време да ги прегледате. Когато преглеждате пакети, ще видите информация, разпространена в три панела: списък на пакетите, подробности за пакета и байтове на пакетите. Панелът със списък на пакети е най-горният и той показва времето, източника, местоназначението, протокола и допълнителната информация.  

Wireshark-packet_pane1
 

Панелът за подробности за пакета се намира в средата. Както подсказва името, тя показва детайли относно избрания пакет. Той показва типа на протокола, като IPv4 или IPv6, и адресите, като IP или MAC, във формат на сгъваем списък.

Wireshark-пакети pane2

Прозорецът на байтовете за пакети е в долната част. Той съдържа суровите данни от пакета и ги показва в шестнадесетичен или битов формат.

Wireshark-пакети pane3

Филтриране на пакети с Wireshark

Всеки път, когато анализирате мрежовия трафик, ще искате да изключите приложенията, изпращащи пакети, които не искате да виждате, за да стесните трафика. Дори тогава вероятно ще ви останат много остатъчни пакети, които да пресеете. Именно там влизат филтрите на Wireshark. Той предлага филтри за заснемане и филтри за показване и двете влияят различно на файла за заснемане.

Филтри за заснемане се прилагат към файла за заснемане, преди да започне процесът на запис, което ви позволява да решите кои пакети ще заснемат Wireshark. Дисплейните филтри, от друга страна, се прилагат към файл за заснемане след факта, което ви позволява да виждате само пакети, които отговарят на вашите конкретни критерии.

За да добавите филтър за улавяне, щракнете в полето за въвеждане над интерфейсите, показани в прозореца за стартиране. Можете да въведете филтър, например TDP, или да щракнете върху иконата на отметка вляво и да изберете от падащ списък. За повече опции, след като щракнете върху иконата на зелена отметка, изберете „управление на филтри за заснемане“.

Wireshark-улавяне-филтър

Над полето за заснемане ще видите друго поле за въвеждане, което гласи „прилага филтър за дисплей…“, където можете да приложите дисплейни филтри по същия начин, описан за прилагане на филтри за заснемане.

Wireshark дисплей филтър

Цветно кодиране с Wireshark

Правилата за цвят на Wireshark ви позволяват допълнително да разделяте и индивидуализирате пакетите въз основа на техния подчертан цвят. По този начин можете да идентифицирате определени видове трафик или грешки с един поглед. Вградената цветна библиотека на Wireshark предлага около 20 нюанса, всички от които могат да бъдат редактирани, деактивирани или изтрити.

Можете да получите достъп до опциите за оцветяване, като щракнете върху „Преглед“ в лентата с инструменти, отколкото изберете „правила за оцветяване“.

Wireshark цвята

Оцветяването на пакетите може да бъде деактивирано, като кликнете върху „преглед“ и превключване на опцията „колоризиране на списъка с пакети“ в падащото меню.

Wireshark-colors2

Преглед на мрежовата статистика в Wireshark

Wireshark предлага разнообразни данни и показатели за вашата мрежа, които са достъпни чрез падащото меню „статистика“ в лентата с инструменти. Показателите включват разрешени адреси, IPv4 статистика, IPv6 статистика и други диаграми и графики. Можете също да използвате дисплейни филтри там. Статистиката може да се експортира в различни файлови формати, като .txt, .csv и .xml.

Wireshark-статистики

Заключителни мисли

Wireshark е прост, но универсален мрежов анализатор и най-доброто от всичко е безплатен. Въпреки че това ръководство има за цел да ви покаже основите, ние едва започнахме да надраскваме повърхността на това, което Wireshark може да направи. Ако искате да овладеете Wireshark и да кодирате вашите собствени дисектори на протоколи, официалното ръководство за потребителя на Wireshark е авторитетната справка.

Уикито на Wireshark е друг чудесен ресурс, който да използвате заедно с програмата, тъй като има уроци, примерни заснемания и инструменти и плъгини.

За повече софтуер вижте нашите най-добри антивируси, най-добрите мениджъри на пароли и най-добрият счетоводен софтуер. В противен случай, благодаря за четенето и ни кажете в коментар или туитър, ако имате съвети или трикове на Wireshark.

Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map