Jak používat Wireshark: Analýza sítě, styl 2020

Před více než 20 lety společnost Gerald Combs oznámila Ethereal 0.2.0, první veřejnou verzi toho, co nyní známe jako Wireshark. Wireshark, vyvinutý pro systémy Solaris a Linux, je open source síťový a paketový analyzátor. Projekt začal život jako Ethereal v roce 1998, ale jeho název byl změněn na Wireshark v roce 2006 kvůli problémům s ochrannými známkami.


Dnes je Wireshark předním síťovým analyzátorem na světě, s více než 600 přispívajícími autory, několika oceněními a vlastní konferencí pro vývojáře, SharkFest.

Tato příručka vám pomůže se systémem Wireshark. Projdeme základy, jako je způsob, jak je stáhnout a zachytit, zobrazit a filtrovat pakety. Wireshark má mnoho pokročilých funkcí, které nelze zahrnout do rozsahu tohoto článku, ale existuje spousta tutoriálů o nich na wireshark.org.

Stáhněte a nastavte Wireshark

Wireshark je k dispozici ke stažení na stránce ke stažení. Chcete-li jej získat pro Windows nebo MacOS, klikněte na příslušné odkazy v sekci „stabilní vydání“. Pokud potřebujete zdroj pro Linux, přejděte do dolní části stránky a najděte si verzi své verze pod „balíčky třetích stran“.

Wireshark-download

Po stažení aplikace můžete zahájit proces nastavení. Pokud jste uživatelem systému Windows, budete muset nainstalovat knihovnu WinPcap, což vám umožní zachytit živý síťový provoz. Bez něj si budete moci prohlížet pouze zachycené pakety, které byly uloženy. Nejnovější verze Wireshark by měla ve výchozím nastavení nainstalovat WinPcap.

Nezapomeňte také nainstalovat USBPcap, který umožňuje Wireshark zachytit provoz ze zařízení USB.

Jak zachytit pakety pomocí Wireshark

Wireshark je postaven na své schopnosti zachytit síťové pakety a zobrazit je ve formátu, který lze interpretovat pouhými smrtelníky. Pokud si nejste jisti, jaké síťové pakety jsou, přejdeme na ně v našem průvodci IPv4 vs. IPv6.

Po stažení a instalaci jste připraveni spustit Wireshark a začít zachytávat pakety.

Wireshark-launch

Chcete-li zahájit proces snímání, musíte vybrat síťové rozhraní. Po spuštění aplikace uvidíte dostupná síťová připojení na úvodní obrazovce. Rozšířené funkce můžete zobrazit také kliknutím na „zachytit“ a poté výběrem „možnosti“.

Možnosti zachycení

Vyberte připojení pro zachycení podle:

  • Poklepejte na jeho název.
  • Použití klávesové zkratky CTRL + E.
  • Kliknutím na žraločí ploutev na panelu nástrojů v levém dolním rohu.

Po dokončení bude připojení, které má být zaznamenáno, zastíněno modrou nebo šedou barvou a Wireshark začne zaznamenávat síťový provoz a podrobně jej popisovat. Chcete-li zastavit proces nahrávání, stiskněte červené tlačítko zastavení vedle tlačítka žraločí ploutev. Alternativně můžete použít klávesovou zkratku CTRL + E.

Při fotografování pomocí Wireshark je ve výchozím nastavení povolen promiskuitní režim. Umožňuje zachycení všech paketů v síti, nikoli pouze paketů adresovaných do vašeho počítače nebo síťového adaptéru. To znamená, že promiskuitní režim není podporován veškerým síťovým hardwarem a rozhraními. To lze změnit kliknutím na „Upravit“, pak „Předvolby…“.

Wireshark-preference

Další podrobnosti o promiskuitním režimu najdete v nejčastějších dotazech Wireshark.

Zobrazit zachycené pakety s Wireshark

Nyní, když jste zaznamenali data, je čas je zobrazit. Při prohlížení paketů uvidíte informace rozložené na třech tabulkách: seznam paketů, podrobnosti paketů a bajty paketů. Podokno seznamu paketů je horní a zobrazuje čas, zdroj, cíl, protokol a další informace.  

Wireshark-packet_pane1
 

Podokno podrobností paketu je umístěno uprostřed. Jak název napovídá, zobrazuje podrobnosti týkající se vybraného paketu. Zobrazuje typ protokolu, například IPv4 nebo IPv6, a adresy, jako je IP nebo MAC, ve formátu skládacího seznamu.

Wireshark-packet-pane2

Podokno bajtů paketů je dole. Obsahuje nezpracovaná data z paketu a zobrazuje je v hexadecimálním nebo bitovém formátu.

Wireshark-packet-pane3

Filtrování paketů s Wireshark

Kdykoli analyzujete síťový provoz, budete chtít ukončit aplikace odesílající pakety, které nechcete vidět, aby se provoz zúžil. Dokonce i pak budete pravděpodobně zbývat se spoustou zbývajících paketů. To je místo, kde Wiresharkovy filtry vstupují do hry. Nabízí snímací filtry a zobrazovací filtry a oba ovlivňují soubor snímání odlišně.

Filtry pro zachycení jsou použity na soubor pro zachycení před zahájením procesu nahrávání, což vám umožňuje rozhodnout, které pakety Wireshark zachytí. Filtry zobrazení se na druhou stranu aplikují na soubor pro zachycení poté, co vám umožní vidět pouze pakety, které splňují vaše konkrétní kritéria.

Chcete-li přidat zachytávací filtr, klikněte do vstupního pole nad rozhraními zobrazenými v okně spuštění. Můžete zadat filtr, například TDP, nebo kliknout na ikonu záložky vlevo a vybrat z rozevíracího seznamu. Po klepnutí na zelenou ikonu záložky vyberte „Spravovat filtry pro zachycení“.

Wireshark-capture-filter

Nad snímacím polem se zobrazí další vstupní pole s nápisem „použít zobrazovací filtr…“, kde můžete použít zobrazovací filtry stejným způsobem, jaký je popsán pro použití snímacích filtrů..

Filtr displeje Wireshark

Barevné kódování s Wireshark

Barevná pravidla Wireshark vám umožňují dále oddělit a individualizovat pakety na základě jejich zvýrazněné barvy. Tímto způsobem můžete na první pohled identifikovat určité typy provozu nebo chyb. Vestavěná knihovna barev Wireshark nabízí asi 20 odstínů, z nichž všechny lze upravovat, deaktivovat nebo smazat.

K možnostem vybarvení získáte přístup kliknutím na „zobrazení“ na panelu nástrojů, než výběrem „pravidla vybarvení“.

Wireshark barvy

Barvení paketů lze zakázat kliknutím na „zobrazení“ a přepnutím možnosti „zbarvení seznamu paketů“ v rozbalovací nabídce.

Wireshark-colours2

Prohlížení statistik sítě v Wireshark

Wireshark nabízí celou řadu dat a metrik o vaší síti, které jsou dostupné prostřednictvím rozbalovací nabídky „statistika“ na panelu nástrojů. Metriky zahrnují rozlišené adresy, statistiky IPv4, statistiky IPv6 a další grafy a grafy. Tam můžete také použít filtry zobrazení. Statistiky lze exportovat také do různých formátů souborů, jako jsou například .txt, .csv a .xml.

Statistiky Wireshark

Závěrečné myšlenky

Wireshark je jednoduchý, ale všestranný síťový analyzátor, a co je nejlepší, je zdarma. Tento průvodce vám má ukázat základy, ale my jsme jen začali škrábat povrch toho, co může Wireshark udělat. Pokud se chcete naučit ovládat Wireshark a kódovat své vlastní disektory protokolů, oficiální referenční příručka pro Wireshark je autoritativní referencí.

Wireshark wiki je dalším skvělým zdrojem, který se používá spolu s programem, protože obsahuje návody, zachytávání vzorků a nástroje a pluginy.

Další software najdete v našich nejlepších antivirových programech, nejlepších správcích hesel a nejlepším účetním softwaru. Jinak děkujeme za přečtení a dejte nám vědět v komentáři nebo tweetu, pokud máte tipy nebo triky Wireshark.

Kim Martin
Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me