Wireshark je brezplačna aplikacija, ki jo uporabljate za zajemanje in ogled podatkov, ki potujejo naprej in nazaj v vašem omrežju. Zagotavlja zmožnost, da se spusti in prebere vsebino vsakega paketa in se filtrira tako, da ustreza vašim specifičnim potrebam. Običajno se uporablja za odpravljanje težav v omrežju ter za razvoj in preizkušanje programske opreme. Ta odprtokodni analizator protokola je splošno sprejet kot industrijski standard, ki je v preteklih letih dosegel dober delež nagrad.
Prvotno znan kot Ethereal, Wireshark ima uporabniku prijazen vmesnik, ki lahko prikaže podatke iz več sto različnih protokolov za vse glavne vrste omrežij. Pakete podatkov si lahko ogledate v realnem času ali analizirate brez povezave. Wireshark podpira več deset formatov za zajemanje / sledenje, vključno s CAP in ERF. Vgrajena orodja za dešifriranje omogočajo ogled šifriranih paketov za več priljubljenih protokolov, vključno z WEP in WPA / WPA2.
01 od 07Prenos in namestitev Wireshark
Wireshark lahko brezplačno prenesete s spletne strani Wireshark Foundation za operacijske sisteme MacOS in Windows. Razen če ste napredni uporabnik, priporočamo, da prenesete samo najnovejšo stabilno izdajo. Med postopkom namestitve sistema Windows se morate odločiti za namestitev WinPcap-a, če to zahteva knjižnica, potrebna za zajem podatkov v živo.
Aplikacija je na voljo tudi za Linux in večino drugih platform, podobnih Unixu, vključno z Red Hat, Solaris in FreeBSD. Binarne datoteke, potrebne za te operacijske sisteme, najdete na dnu strani prenosa v razdelku Paketi tretjih oseb. Izvorno kodo Wiresharka lahko prenesete tudi s te strani.
Kako zajemati pakete podatkov
Ko prvič zaženete Wireshark, se prikaže pozdravni zaslon s seznamom razpoložljivih omrežnih povezav na vaši trenutni napravi. V tem primeru boste opazili, da so prikazane naslednje vrste povezav: omrežna povezava Bluetooth, ethernet, navidezno omrežje HostBox in omrežje Wi-Fi. Prikazano na desni strani je grafični podatek EKG, ki predstavlja živi promet v zadevnem omrežju.
Če želite začeti snemanje paketov, izberite eno ali več omrežij s klikom na vašo izbiro in uporabo Shift ali Ctrl če hočete snemati podatke iz več omrežij hkrati. Ko je za namene snemanja izbrana vrsta povezave, je njeno ozadje zasenčeno v modri ali sivi barvi. Kliknite na Ujemi v glavnem meniju, ki se nahaja na vrhu vmesnika Wireshark. Ko se prikaže spustni meni, izberite Začni možnost.
Lahko tudi zaženete zajemanje paketov prek ene od naslednjih bližnjic.
- Tipkovnica: PritisniteCtrl + E.
- Miška: Če želite začeti snemati pakete iz določenega omrežja, dvokliknite njegovo ime.
- Orodna vrstica: Kliknite na modri gumb plavuti morski pes, ki se nahaja na levi strani orodne vrstice Wireshark.
Postopek zajetja v živo se začne, Wireshark pa prikaže podrobnosti o paketu, ko so zapisani. Zaustavitev posnetka:
- Tipkovnica: Pritisnite Ctrl + E
- Orodna vrstica: Kliknite rdečo Stop gumb, ki se nahaja ob plavuti v plavuti na orodni vrstici Wireshark.
Ogled in analiza vsebine paketa
Ko posnamete nekaj omrežnih podatkov, je čas, da si ogledate zajete pakete. Zajeten podatkovni vmesnik vsebuje tri glavne razdelke: podokno s seznama paketov, podokno s podrobnostmi o paketnem paketu in podokno bajtov paketov.
Paketni seznam
Podokno s seznama paketov, ki se nahaja na vrhu okna, prikazuje vse pakete v aktivni datoteki za zajemanje. Vsak paket ima svojo vrsto in ustrezno številko, skupaj z vsako od teh podatkovnih točk.
- Čas: V tem stolpcu je prikazan časovni žig, ko je paket zajet. Privzeta oblika je število sekund ali delnih sekund, ker je bila ta posebna datoteka za zajem prvič ustvarjena. Če želite to obliko spremeniti v nekaj, kar je lahko nekoliko uporabnejše, na primer v dejanskem času dneva, izberite Format prikaza časa možnost Wiresharkove Pogled ki se nahaja na vrhu glavnega vmesnika.
- Vir: Ta stolpec vsebuje naslov (IP ali drug), kjer je paket nastal.
- Destinacija: Ta stolpec vsebuje naslov, na katerega se paket pošilja.
- Protokol: V tem stolpcu je mogoče najti ime protokola paketa, na primer TCP.
- Dolžina: V tem stolpcu je prikazana dolžina paketa v bajtih.
- Info: Tukaj so predstavljene dodatne podrobnosti o paketu. Vsebina tega stolpca se lahko zelo razlikuje glede na vsebino paketa.
Ko je v zgornjem podoknu izbran paket, lahko v prvem stolpcu prikažete enega ali več simbolov. Odprti ali zaprti oklepaji in ravna vodoravna črta označujejo, ali sta paket ali skupina paketov del istega pogovora v omrežju nazaj. Slomljena vodoravna črta pomeni, da paket ni del omenjenega pogovora.
Podrobnosti o paketu
Podokno s podrobnostmi, ki se nahaja na sredini, predstavlja protokole in protokolna polja izbranega paketa v zložljivi obliki. Poleg razširitve vsake izbire lahko uporabite posamezne filtre Wireshark, ki temeljijo na določenih podrobnostih, in sledite pretočnim podatkom na podlagi vrste protokola prek kontekstnega menija s podrobnostmi, do katerega lahko dostopate z desnim miškinim miškinim gumbom na želenem elementu v tem podoknu.
Paketi bajtov
Na dnu je podokno za paketni paket, ki prikazuje neobdelane podatke izbranega paketa v šestnajstiškem pogledu.Ta hexadec vsebuje 16 heksadecimalnih bajtov in 16 ASCII bajtov skupaj z offsetom podatkov.
Če izberete določen del teh podatkov, samodejno osvetli ustrezni razdelek v podoknu s podatki o paketih in obratno. Vsi bajti, ki jih ni mogoče natisniti, namesto tega predstavljajo obdobje.
Te podatke lahko izberete v bitni obliki v nasprotju s šestnajstiško, tako da z desno miškino tipko kliknete kjerkoli v podoknu in izberete ustrezno možnost iz kontekstnega menija.
04 od 07Uporaba filtrov Wireshark
Eden od najpomembnejših nizov funkcij v Wiresharku je njegova zmogljivost filtriranja, še posebej, če se ukvarjate z velikimi datotekami. Filtri za zajemanje je mogoče nastaviti pred dejstvom in naročiti Wiresharku, da zapisuje samo tiste pakete, ki ustrezajo vašim določenim merilom.
Filtri se lahko uporabijo tudi za datoteko za zajemanje, ki je bila že ustvarjena, tako da so prikazani samo nekateri paketi. Ti so označeni kot filtri za prikaz.
Wireshark omogoča privzeto veliko število vnaprej določenih filtrov, s čimer zmanjšate število vidnih paketov s samo nekaj pritiski na tipke ali kliki z miško. Če želite uporabiti enega od teh obstoječih filtrov, postavite njegovo ime v Uporabite zaslonski filter vnosno polje, ki se nahaja neposredno pod orodno vrstico Wireshark ali v Vnesite filter za zajemanje vnosno polje, ki se nahaja v središču pozdravnega zaslona.
To lahko dosežemo na več načinov. Če že poznate ime vašega filtra, ga vnesite v ustrezno polje. Na primer, če želite prikazati samo TCP pakete, vnesete tcp. Funkcija samodejnega dokončanja Wiresharka prikazuje predlagana imena, ko začnete vnašati, kar vam olajša iskanje pravilnega opozorila za filter, ki ga iščete.
Drug način izbire filtra je, da kliknete ikono, podobno zaznamku, ki je nameščena na levi strani vnosnega polja. To predstavlja meni, ki vsebuje nekatere najpogosteje uporabljene filtre, kot tudi možnost, da Upravljajte filtre za prestrezanje ali Upravljanje prikaznih filtrov. Če se odločite za upravljanje katere koli vrste, se prikaže vmesnik, ki vam omogoča dodajanje, odstranjevanje ali urejanje filtrov.
Do predhodno uporabljenih filtrov lahko dostopate tudi tako, da izberete puščico navzdol na desni strani vnosnega polja, da prikažete spustni seznam z zgodovino.
Ko nastavite, se filtri za zajemanje uporabijo takoj, ko začnete snemati omrežni promet. Če želite uporabiti prikazni filter, kliknite desno puščico, ki je na desni strani polja vnosa.
05 od 07Barvna pravila
Čeprav filtri za zajemanje in prikaz Wiresharka omogočajo, da omejite, kateri paketi so zabeleženi ali prikazani na zaslonu, njena funkcionalnost barvanja naredi stvari korak dlje, ker omogoča enostavno razlikovanje med različnimi vrstami paketov na podlagi njihove posamezne barve. Ta priročna funkcija vam omogoča, da hitro določite določene pakete v shranjenem nizu po barvi vrstice v podoknu s seznama paketov.
Wireshark ima vgrajeno približno 20 privzetih pravil za barvanje, ki jih lahko uredite, onemogočite ali izbrišete, če želite. Dodate lahko tudi nove filtere s sencami prek vmesnika za barvno pravilo, ki je dostopen iz Pogled meni. Poleg tega, da določite kriterije imena in filtrov za vsako pravilo, morate tudi povezati barvo ozadja in barvo besedila.
Barvanje paketov lahko preklapljate in vklopite prek Barvanje seznama paketov možnost, ki jo najdete tudi v Pogled meni.
06 od 07Statistika
Poleg podrobnih podatkov o podatkih vašega omrežja, prikazanih v glavnem oknu Wiresharka, je na voljo več drugih uporabnih meritev Statistika spustni meni, ki se nahaja na vrhu zaslona. Ti vključujejo podatke o velikosti in časovnem razmiku o sami datoteki za zajemanje, skupaj z več desetimi grafikoni in grafikoni, ki se raztezajo v temi iz razčlenitev pogovorov v paketnem paketu, da se naloži porazdelitev zahtev HTTP.
Filtri prikaza se lahko uporabljajo za mnoge od teh statističnih podatkov preko njihovih vmesnikov, rezultati pa se lahko izvozijo v več skupnih formatov datotek, vključno s CSV, XML in TXT.
07 od 07Napredne funkcije
Poleg glavne funkcionalnosti Wiresharka obstaja tudi zbirka dodatnih funkcij, ki so na voljo v tem zmogljivem orodju, običajno rezerviranem za napredne uporabnike. To vključuje možnost pisanja lastnih disekcijskih protokolov v programskem jeziku Lua.
