Wireshark to potężny analizator sieci, którego można używać do analizowania ruchu przechodzącego przez interfejs sieciowy komputera. Może to być potrzebne do wykrywania i rozwiązywania problemów z siecią, debugowania aplikacji internetowych, programów sieciowych lub witryn. Wireshark umożliwia pełny podgląd zawartości pakietu na wszystkich poziomach, dzięki czemu można lepiej zrozumieć, jak działa sieć na niskim poziomie.
Wszystkie pakiety są przechwytywane w czasie rzeczywistym i dostarczane w łatwym do odczytania formacie. Program obsługuje bardzo wydajny system filtrowania, podświetlania kolorów i inne funkcje, które pomogą Ci znaleźć odpowiednie pakiety. W tym samouczku przyjrzymy się, jak używać Wireshark do analizy ruchu. Niedawno programiści rozpoczęli prace nad drugą gałęzią Wireshark 2.0, która wprowadziła wiele zmian i ulepszeń, szczególnie w interfejsie. Właśnie tego użyjemy w tym artykule.
Zanim przejdziesz do rozważań nad sposobami analizowania ruchu, musisz bardziej szczegółowo rozważyć, jakie funkcje program obsługuje, z jakimi protokołami może współpracować i co robić. Oto główne cechy programu:
Program ma wiele innych funkcji, ale to były te najważniejsze, które mogą Cię zainteresować.
Zakładam, że masz już zainstalowany program, ale jeśli nie, możesz go zainstalować z oficjalnych repozytoriów. Aby to zrobić, wpisz polecenie w Ubuntu:
$ Sudo apt zainstaluj Wireshark
Po instalacji program znajdziesz w menu głównym dystrybucji. Musisz uruchomić Wireshark z uprawnieniami superużytkownika, ponieważ w przeciwnym razie program nie będzie mógł analizować pakietów sieciowych. Można to zrobić z menu głównego lub poprzez terminal za pomocą polecenia dla KDE:
$ kdesu wireshark
A dla Gnome/Unity:
$gksu wireshark
Główne okno programu podzielone jest na trzy części, w pierwszej kolumnie znajduje się lista interfejsów sieciowych dostępnych do analizy, w drugiej kolumnie znajdują się opcje otwierania plików, a w trzeciej kolumnie znajduje się pomoc.
Aby rozpocząć analizę, wybierz interfejs sieciowy, np. eth0 i kliknij przycisk Początek.
Następnie otworzy się następujące okno, w którym już znajduje się strumień pakietów przechodzących przez interfejs. To okno jest również podzielone na kilka części:
Możesz kliknąć dowolny pakiet, aby przeanalizować jego zawartość:
Tutaj widzimy pakiet żądania DNS w celu uzyskania adresu IP witryny, domena jest wysyłana w samym żądaniu, a w pakiecie odpowiedzi otrzymujemy nasze pytanie i odpowiedź.
Aby uzyskać więcej wygodne przeglądanie Pakiet możesz otworzyć w nowym oknie klikając dwukrotnie na wpis:
Ręczne sortowanie pakietów w celu znalezienia tych, których potrzebujesz, jest bardzo niewygodne, szczególnie przy aktywnym wątku. Dlatego do tego zadania lepiej jest użyć filtrów. Pod menu znajduje się specjalna linia służąca do wprowadzania filtrów. Możesz kliknąć Wyrażenie, aby otworzyć projektanta filtrów, ale jest ich wiele, więc przyjrzymy się najbardziej podstawowym:
Aby określić relację między polem a wartością w filtrze, możesz użyć następujących operatorów:
Aby połączyć wiele wyrażeń, możesz użyć:
Przyjrzyjmy się teraz bliżej kilku filtrom na przykładach i spróbujmy rozważyć wszystkie znaki relacji.
Najpierw przefiltrujmy wszystkie pakiety wysłane na adres 194.67.215.125 (losst.ru). Wpisz ciąg znaków w polu filtra i kliknij Stosować. Dla wygody filtry Wireshark można zapisać za pomocą przycisku Ratować:
ip.dst == 194.67.215.125
Aby odbierać nie tylko pakiety wysłane, ale także te otrzymane w odpowiedzi z tego węzła, możesz połączyć dwa warunki:
ip.dst == 194.67.215.125 || ip.src == 194.67.215.125
Możemy także wybrać przesyłane duże pliki:
http.content_length > 5000
Po przefiltrowaniu typu zawartości możemy wybrać wszystkie pobrane obrazy, przeanalizujemy ruch wireshark, pakiety zawierające słowo image:
http.content_type zawiera obraz
Aby wyczyścić filtr, możesz nacisnąć przycisk Jasne. Zdarza się, że nie zawsze znasz wszystkie informacje niezbędne do filtrowania, a po prostu chcesz eksplorować sieć. Możesz dodać dowolne pole pakietu jako kolumnę i wyświetlić jego zawartość w ogólnym oknie każdego pakietu.
Na przykład chcę wyświetlić TTL (czas życia) pakietu w postaci kolumny. Aby to zrobić, otwórz informacje o pakiecie, znajdź to pole w sekcji IP. Następnie wywołaj menu kontekstowe i wybierz opcję Zastosuj jako kolumnę:
Możesz także samodzielnie utworzyć filtr na podstawie dowolnego żądanego pola. Wybierz żądane pole i wywołaj menu kontekstowe, a następnie kliknij Zastosuj jako filtr Lub Przygotuj jako filtr, a następnie wybierz Wybrany aby wyświetlić tylko wybrane wartości lub Nie zaznaczone aby je usunąć:
Podane pole i jego wartość zostaną zastosowane lub w drugim przypadku wstawione do pola filtrującego:
W ten sposób możesz dodać do filtra pole dowolnego pakietu lub kolumny. Jest też taka opcja w menu kontekstowe. Aby filtrować protokoły, możesz użyć ich więcej proste warunki. Na przykład przeanalizujmy ruch Wireshark dla protokołów HTTP i DNS:
Kolejną interesującą funkcją programu jest wykorzystanie Wireshark do śledzenia konkretnej sesji pomiędzy komputerem użytkownika a serwerem. Aby to zrobić, otwórz menu kontekstowe pakietu i wybierz Podążaj za strumieniem TCP.
Następnie otworzy się okno, w którym znajdziesz wszystkie dane przesyłane pomiędzy serwerem a klientem:
Być może zastanawiasz się, jak używać Wireshark 2 do wykrywania problemów z siecią. Aby to zrobić, w lewym dolnym rogu okna znajduje się okrągły przycisk, po kliknięciu otwiera się okno Narzędzia Expet. W nim Wireshark zbiera wszystkie komunikaty o błędach i problemach w sieci:
Okno podzielone jest na zakładki takie jak Błędy, Ostrzeżenia, Powiadomienia, Czaty. Program potrafi filtrować i znajdować wiele problemów z siecią, a tutaj możesz je bardzo szybko zobaczyć. Obsługiwane są również filtry Wireshark.
Możesz bardzo łatwo zrozumieć, co dokładnie pobrali użytkownicy i jakie pliki przeglądali, jeśli połączenie nie było szyfrowane. Program bardzo dobrze radzi sobie z wyodrębnianiem zawartości.
Aby to zrobić, musisz najpierw zatrzymać przechwytywanie ruchu za pomocą czerwonego kwadratu na panelu. Następnie otwórz menu Plik -> Eksportuj obiekty -> HTTP:
To bardzo potężne narzędzie, które ma wiele funkcji. Nie da się umieścić całej jego funkcjonalności w jednym artykule, ale podstawowe informacje tutaj podane wystarczą, abyś sam opanował wszystko, czego potrzebujesz.
Wireshark jest bardzo popularnym analizatorem protokoły sieciowe, przez które Administrator sieci może analizować przepływ ruchu danych do/z system komputerowy online.
To narzędzie istnieje już od dłuższego czasu i zapewnia wiele przydatnych funkcji.
Jedną z tych funkcji jest filtr wyświetlania, dzięki któremu można filtrować przechwycony ruch danych w oparciu o różne czynniki, takie jak protokoły, porty sieciowe, adresy IP itp.
W tym artykule omówimy Podstawy Wiresharka i 5 podstawowych filtrów wyświetlania Wireshark, które powinien znać każdy początkujący.
Jeśli jesteś zupełnie nowy w Wireshark, najpierw pobierz go i zainstaluj w swoim systemie.
Po instalacji uruchom graficzny interfejs użytkownika Wireshark.
Oto przykład ekranu głównego Wireshark:
Pierwszym krokiem jest wybranie interfejsu (na którym mają być zapisywane dane), a następnie kliknięcie przycisku „start”.
Po naciśnięciu przycisku „start” na wyjściu wyświetlana jest informacja o wszystkich przychodzących i wychodzących pakietach danych (na wybranym interfejsie).
Możesz kliknąć dowolną pozycję pakietu w oknie pokazanym powyżej i zobaczyć więcej szczegółów związanych z tym pakietem wyświetlonych w sekcji tuż pod tym samym oknem.
Wróćmy teraz do naszego tematu. filtry wyświetlania można wprowadzić poprzez pole tekstowe „Filtr”, które znajduje się tuż nad sekcją wyników ruchu.
W tej sekcji omówimy 5 przydatnych składni filtrów wyjściowych
Możesz łatwo filtrować wyniki w oparciu o konkretny protokół. Na przykład, aby wyświetlić tylko te pakiety, które zawierają protokół TCP, po prostu wpisz nazwę protokołu w polu tekstowym filtru.
Oto przykład:
Można więc zobaczyć, że na wyjściu zostały pokazane wszystkie pakiety zawierające protokoły TCP.
Możesz także filtrować wyniki na podstawie portów sieciowych. Na przykład, aby wyświetlić tylko te pakiety, które zawierają protokół TCP i mają port źródłowy lub docelowy 80, po prostu napisz port tcp równoważny 80 w oknie filtra.
Oto przykładowy zrzut ekranu:
Jeśli istnieje scenariusz, w którym chcesz wyświetlić wyniki na podstawie warunków, które nie są ze sobą powiązane, użyj filtra Lub. Na przykład, aby wyświetlić wszystkie pakiety zawierające protokół TCP lub DNS, po prostu napisz T cp lub dns w oknie filtra.
Oto przykładowy zrzut ekranu:
Możesz więc zobaczyć, że dane wyjściowe pokażą pakiety zawierające protokół TCP lub DNS.
W podobny sposób możesz użyć filtra I. Ten filtr jest używany, gdy chcesz wyświetlić wyniki na podstawie warunków, które nie są ze sobą powiązane. Na przykład, aby wyświetlić wszystkie pakiety zawierające protokół TCP i HTTP, po prostu napisz TCP i http w polu filtra.
Oto przykładowy zrzut ekranu:
Możesz zobaczyć, że dane wyjściowe pokażą pakiety zawierające protokoły TCP i HTTP.
Użyj filtrów, aby filtrować wyniki na podstawie adresów IP źródło Lub dst.
Na przykład, aby wyświetlić tylko te pakiety, które zawierają wychodzący adres IP 192.168.0.103, po prostu wpisz ip.src == 192.168.0.103 w oknie filtra.
Oto przykład:
Podobnie możesz użyć filtra dst (ip.dst) do filtrowania pakietów na podstawie docelowych adresów IP.
Czasami trzeba sprawdzić pakiety na podstawie określonej sekwencji bajtów.
Aby to zrobić, po prostu użyj filtra zawierającego nazwę protokołu i sekwencję bajtów.
Dane wyjściowe wyświetlą pakiety TCP zawierające sekwencję bajtów 00:01:02.
Jakie jest obecnie najpotężniejsze narzędzie do przechwytywania i analizowania ruchu internetowego? Odpowiedź jest prosta – Wireshark. Jest w stanie przechwytywać nie tylko wychodzące pakiety TCP, ale także przychodzące. Z tego narzędzia korzysta wielu profesjonalistów. A hakerzy nie wahają się z niego korzystać. Możliwości programu są nieograniczone. Za jego pomocą możesz wypakować dowolny plik z pakietu, obejrzeć go i sprawdzić. Główne pytanie brzmi: jak to zrobić. Spróbujemy to rozgryźć.
To narzędzie służy do kontrolowania ruchu internetowego. Przechwytuje pakiety TCP odebrane lub wysłane z komputera. Funkcjonalność programu jest na tyle bogata, że nie ogranicza się do prostego przechwytywania. Możesz przeglądać zawartość pakietów, szukać błędów i tak dalej. Ponadto za pomocą WS możesz wyodrębnić prawie każdy plik z pakietów i go wyświetlić. Aby lepiej zrozumieć, czym jest ten program, należy podkreślić jego główne zalety. A więc zalety:
To narzędzie ma naprawdę wiele zalet. Ale jako takie nie ma żadnych niedociągnięć. Nic dziwnego, że Wireshark jest uważany za najlepszy w swoim rodzaju do przechwytywania i analizowania pakietów TCP. Teraz musisz trochę zrozumieć sam program.
Możesz pobrać Wireshark z oficjalnej strony dewelopera. Program jest całkowicie darmowy. Warto zwrócić na to uwagę Ostatnia wersja(2.0.5) nie działa z Adaptery Wi-Fi. Dlatego jeśli potrzebujesz analizować ruch bezprzewodowy, powinieneś pobrać starszą wersję.
Instalacja narzędzia jest standardowa i nie sprawi żadnych problemów nawet początkującym. Wszystko w instalatorze jest jasne, mimo że jest w języku angielskim. Nawiasem mówiąc, Wireshark nie istnieje w języku rosyjskim, więc aby skutecznie poradzić sobie z tym oprogramowaniem, będziesz musiał wytężać pamięć i pamiętać angielski. W zasadzie nic specjalnego nie jest potrzebne, aby po prostu przechwytywać i przeglądać pakiety TCP. Angielski na poziomie szkolnym wystarczy.
A więc pierwsza rzecz, którą widzimy po starcie zainstalowany program- główne okno. Dla nieprzeszkolonego użytkownika może się to wydawać niezrozumiałe i przerażające.
Nie ma w tym nic złego. Zobaczysz to teraz. Aby rozpocząć, musisz najpierw wybrać źródło, z którego będą przechwytywane pakiety TCP. Przechwytywanie może odbywać się zarówno z połączenia Ethernet, jak i z adaptera WLAN. Jako przykład rozważ opcję z siecią WLAN. Aby skonfigurować, musisz przejść do pozycji „Przechwytywanie”, podpunkt „Opcje”. W oknie, które zostanie otwarte, wybierz swój adapter bezprzewodowy i zaznacz go haczykiem. Aby rozpocząć przechwytywanie ruchu, po prostu kliknij przycisk „Start”.
Po kliknięciu „Start” rozpocznie się analiza i przechwytywanie pakietów. Wiele pojawi się w oknie dziwne litery i liczby. Niektóre opakowania mają własne kodowanie kolorami. Aby cokolwiek zrozumieć, trzeba ustalić, który kolor do czego się odnosi. Zielony – ruch TCP, ciemnoniebieski – DNS, jasnoniebieski – UDP i czarny – pakiety TCP z błędami. Teraz łatwiej jest zrozumieć tę górę danych.
Aby zatrzymać proces przechwytywania, wystarczy kliknąć przycisk „Stop”, który jest oznaczony czerwonym prostokątem. Teraz możesz wybrać interesujący Cię pakiet i go obejrzeć. Aby to zrobić, kliknij pakiet prawym przyciskiem myszy i z menu, które się pojawi, wybierz „Pokaż pakiet w nowym oknie”. Natychmiast pojawi się mnóstwo dziwnych liter i cyfr.
Jednak dzięki dogłębnej analizie przedstawionych informacji możesz zrozumieć, skąd pochodzi paczka, dokąd zmierza i z czego się składa. Aby później przeglądać dane o pakietach TCP należy skorzystać z funkcji zapisywania przechwyconych informacji. Znajduje się w pozycji menu „Plik”, podpunkcie „Zapisz jako”. Następnie możesz pobrać informacje z pliku i spokojnie je przeglądać.
Aby wyświetlić tylko te informacje, które Cię interesują, możesz zmusić Wireshark do użycia filtrów i odcięcia niepotrzebnego ruchu. Instrukcje dla strojenie filtry są w Internecie, ale na razie rozważymy tylko jeden przykład. Załóżmy, że interesują Cię tylko pakiety TCP. Aby program wyświetlał tylko je, należy przejść do pozycji menu „Przechwytywanie”, podpozycji „Filtry przechwytywania”, wybrać pozycję „Tylko TCP” i kliknąć przycisk „OK”.
W ten sposób możesz zmusić narzędzie do wyświetlania tylko ruchu, który Cię interesuje. Więcej informacji na temat korzystania z filtrów można znaleźć w Internecie. Możesz nawet stworzyć własny szablon filtra. Ale to zupełnie inna historia.
Wśród programów do przechwytywania i analizowania ruchu Wireshark stał się najbardziej godnym narzędziem do rozwiązywania takich problemów. Wielu profesjonalistów z powodzeniem go stosuje. Oczywiście, żeby pracować w nim na profesjonalnym poziomie, trzeba będzie podszkolić swoją znajomość języka angielskiego i poznać pewne zasady przesyłania danych. Ale to jest tego warte. Teraz żaden program na Twoim komputerze nie będzie w stanie wysłać ton niepotrzebne informacje Nie wiem gdzie bez twojej wiedzy. Wireshark nie ma sobie równych jako przechwytywacz i analizator.
Wireshark to analizator pakietów sieciowych. Analizator pakietów sieciowych, który przechwytuje pakiety sieciowe i próbuje wyświetlić dane pakietu z możliwie największą szczegółowością.
Można myśleć o snifferze pakietów sieciowych jako o urządzeniu pomiarowym używanym do badania tego, co dzieje się wewnętrznie kabel internetowy w ten sam sposób, w jaki elektryk używa woltomierza do badania tego, co dzieje się wewnątrz kabla elektrycznego (ale bardziej wysoki poziom, Z pewnością).
Oto kilka przykładów, dlaczego ludzie używają Wireshark do:
Poniżej znajdują się niektóre z wielu funkcji Wireshark:
Aby jednak w pełni docenić jego moc, trzeba zacząć z niego korzystać. Właśnie temu przyjrzymy się w kolejnych artykułach.
Wireshark oferuje prosty, ale potężny filtr ekranowy, który pozwala tworzyć dość złożone wyrażenia filtrujące. Możesz porównywać wartości partiami, a także łączyć wyrażenia w bardziej szczegółowe wyrażenia. Poniżej znajdują się konkretne przykłady i [...]
Pakiety SYN używane do zestawiania sesji uzgadniania TCP posiadają dodatkowe parametry TCP takie jak: SACK_PERM, TSval, TSecr. Są to tak zwane opcje o wysokiej wydajności, które są obecnie szeroko rozpowszechnione, ponieważ wszystkie […]
Każdy wiersz na liście pakietów odpowiada jednemu pakietowi w pliku przechwytywania. Jeśli wybierzesz wiersz w tym panelu, bardziej szczegółowe informacje zostaną wyświetlone w panelach Informacje o partii i Pakiety partii. […]