Як користуватися Wireshark [Підручник]

Wireshark

Що робить Wireshark?

За останні кілька років Wireshark отримав репутацію як один з найнадійніших мережевих аналізаторів, доступних на ринку. Користувачі по всьому світу використовують цю програму з відкритим кодом як повний інструмент аналізу мережі. Через Wireshark користувачі можуть вирішувати проблеми з мережею, вивчати проблеми безпеки, налагоджувати протоколи та вивчати мережеві процеси.

У цьому підручнику ви дізнаєтесь про те, як працює Wireshark. Ми проведемо вас через кроки розміщення програми Wireshark та її встановлення на комп’ютер. Ви дізнаєтесь, як запустити захоплення пакету та яку інформацію ви можете очікувати, щоб вийти з нього. Підручник Wireshark також покаже вам, як отримати найкраще використання функцій маніпулювання даними в інтерфейсі. Ви також дізнаєтесь, як ви можете отримати кращі функції аналізу даних, ніж ті, які є рідними для Wireshark.

Як користуватися Wireshark

Як було сказано вище, Wireshark – це інструмент мережевого аналізу. По суті, Wireshark був розроблений для розбиття пакетів даних, що передаються через різні мережі. Користувач може шукати та фільтрувати конкретні пакети даних та аналізувати, як вони передаються через їхню мережу. Ці пакети можна використовувати для аналізу в режимі реального часу або в режимі офлайн.

Користувач може використовувати цю інформацію для створення статистики та графіків. Wireshark спочатку був відомий як Ethereal, але з тих пір зарекомендував себе як один із основних інструментів мережевого аналізу на ринку. Це інструмент переходу до користувачів, які хочуть переглядати дані, створені в різних мережах та протоколах.

Wireshark підходить як для початківців, так і для досвідчених користувачів. Користувацький інтерфейс неймовірно простий у використанні, коли ви вивчите початкові кроки для захоплення пакетів. Більш просунуті користувачі також можуть використовувати інструменти розшифровки платформи для розбиття зашифрованих пакетів.

Основні можливості Wireshark

Нижче представлено основні функції Wireshark:

  •  Захоплення даних живих пакетів
  •  Імпортуйте пакети з текстових файлів
  •  Перегляд даних пакетних даних та протоколу
  •  Збереження захоплених пакетних даних
  •  Відображення пакетів
  •  Фільтрувати пакети
  •  Пошук пакетів
  •  Розфарбуйте пакети
  •  Створити статистику

Більшість користувачів використовують Wireshark для того, щоб виявити проблеми з мережею та перевірити їх програмне забезпечення. Як проект з відкритим кодом, Wireshark підтримується унікальною командою, яка підтримує високі стандарти обслуговування. У цьому посібнику ми розбиваємо, як користуватися Wireshark. Додаткову інформацію можна знайти в офіційному посібнику користувача Wireshark.

Як завантажити та встановити Wireshark

Перш ніж використовувати Wireshark, перше, що вам потрібно зробити, це завантажити та встановити. Ви можете безкоштовно скачати Wireshark з веб-сайту компанії. Щоб мати найпростіший досвід роботи, радимо завантажити останню версію, наявну на вашій платформі, з розділу “стабільний реліз”.

Встановити в Windows

Після завантаження програми можна розпочати процес налаштування. Під час встановлення вам може бути запропоновано встановити WinPcap. Важливо встановити WinPcap, оскільки без нього ви не зможете зафіксувати живий мережевий трафік. Без WinPcap ви зможете відкривати лише збережені файли захоплення. Щоб встановити, просто перевірте Встановіть WinPcap ящик.

Встановити на Mac

Щоб встановити Wireshark на Mac, спочатку потрібно завантажити інсталятор. Для цього завантажте інсталятор, наприклад exquartz. Після цього відкрийте термінал і введіть таку команду:

<% /Applications/Wireshark.app/Contents/Mac0S/Wireshark>

Потім зачекайте, поки запуститься Wireshark.

Встановити на Unix

Для того, щоб запустити Wireshark на Unix, спочатку вам потрібно встановити пару інших інструментів. Це:

  • GTK+, Комплект інструментів GIMP та Glib, обидва з одного джерела.
  • Вам також знадобиться Гліб. Ви можете ознайомитись з обома інструментами за посиланням https://www.gtk.org/
  • libpcap, які ви отримуєте від http://www.tcpdump.org/.

Після встановлення вищезазначеного підтримуючого програмного забезпечення та завантаження програмного забезпечення для Wireshark, вам потрібно витягнути його з файлу tar..

gzip -d wireshark-1.2-tar.gz
tar xvf wireshark-1.2-tar

Перейдіть до каталогу Wireshark і потім видайте такі команди:

./ налаштувати
зробити
зробити встановлення

Тепер ви можете запустити програму Wireshark на своєму комп’ютері Unix.

Як захопити пакети даних

Однією з основних функцій Wireshark як інструменту мережевого аналізу є захоплення пакетів даних. Дізнатися, як налаштувати Wireshark для захоплення пакетів, має важливе значення для проведення детального аналізу мережі. Однак важливо зауважити, що ви можете захопити пакети, коли ви новачок у Wireshark. Перш ніж почати збирати пакети, вам потрібно зробити три речі:

  1. Переконайтеся, що у вас є адміністративні привілеї щоб запустити пряме захоплення на вашому пристрої
  2. Виберіть правильний мережевий інтерфейс для захоплення пакетних даних з
  3. Захоплення пакетні дані від правильного розташування у вашій мережі

Щойно ви зробите ці три речі, ви готові розпочати процес зйомки. Коли ви використовуєте Wireshark для зйомки пакетів, вони відображаються у читаному для людини форматі, щоб зробити їх зрозумілими для користувача. Ви також можете розбивати пакети фільтрами та кольоровим кодуванням якщо ви хочете побачити більш конкретну інформацію.

Коли ви вперше відкриєте Wireshark, вас зустріне наступний екран запуску:

Аналізатор мережі Wireshark

Перше, що вам потрібно зробити – це переглянути доступні інтерфейси для захоплення. Для цього виберіть Захоплення > Параметри. Діалогове вікно “Інтерфейси захоплення” відкриється, як показано нижче:

інтерфейс захоплення

Поставте прапорець інтерфейсу, який ви бажаєте зробити, і натисніть Старт кнопка для запуску. Ви можете вибрати кілька інтерфейсів, якщо хочете одночасно захоплювати дані з декількох джерел.

У Unix або Linux діалогове вікно відображається у подібному стилі, як у цьому:

інтерфейс захоплення unix / linux

Ви також можете запустити Wireshark, скориставшись таким командним рядком:

<¢ wireshark -i eth0 —k>

Ви також можете використовувати кнопка плавця акули на панелі інструментів як ярлик для початку захоплення пакету. Після натискання цієї кнопки Wireshark розпочне процес прямого захоплення.

Якщо ви хочете припинити зйомку, натисніть червоний Стоп кнопка поруч із плавцем акули.

Ремісний режим

Якщо ви хочете розробити вид зверху на передачу ваших мережевих пакетів, тоді вам потрібно активувати “розмитний режим”. Безрезультатний режим є режим інтерфейсу, де Wireshark детально описує кожен пакет, який він бачить. Коли цей режим вимкнено, ви втрачаєте прозорість у своїй мережі та розробляєте лише обмежений знімок вашої мережі (це ускладнює проведення будь-якого аналізу).

Щоб активувати розбещений режим, натисніть на Параметри захоплення діалогове вікно та натисніть розбещений режим. Теоретично це повинно показувати вам увесь трафік, що діє у вашій мережі. Вікно безладного режиму показано нижче:

розбещений режим

Однак це часто не так. Багато мережевих інтерфейсів стійкі до безладного режиму, тому вам потрібно перевірити веб-сайт Wireshark на інформацію про ваше конкретне обладнання.

У Windows корисно відкривати Диспетчер пристроїв і перевірте, чи налаштовані ваші налаштування для відхилення розбещеного режиму. Наприклад:

диспетчер пристроїв

(Просто натисніть на мережу та переконайтеся, що для вашого безладного режиму встановлено значення Дозволити всі).

Якщо в налаштуваннях встановлено режим “відхилення” розбещеного режиму, ви обмежите кількість пакетів захоплення Wireshark. Тож навіть якщо в Wireshark увімкнено розбещений режим, перевірте свого диспетчера пристроїв, щоб переконатися, що ваш інтерфейс не блокує надходження будь-яких даних. Виділення часу для перевірки вашої мережевої інфраструктури забезпечить Wireshark отримання всіх необхідних пакетів даних.

Як аналізувати захоплені пакети

Після того як ви захопили свої мережеві дані, ви захочете переглянути свої захоплені пакети. На скріншоті нижче ви побачите три області: список пакетів панель, the пакетні байти панель та подробиці пакета панель.

Якщо ви хочете отримати більше інформації, ви можете натиснути будь-яке з полів у кожному пакеті, щоб побачити більше. Натискаючи на пакет, у розділі перегляду байтів відображається розбивка його внутрішніх байтів.
захоплені пакети

Список пакетів

Панель списку пакетів показана у верхній частині екрана. Кожен фрагмент розбивається на число з часом, джерелом, пунктом призначення, протоколом та інформацією про підтримку.

Інформація про пакет

Деталі про пакет можна знайти в середині, показуючи протоколи обраного пакету. Кожен розділ можна розгорнути, натиснувши стрілку поруч із вибраним вами рядком. Ви також можете застосувати додаткові фільтри, клацнувши правою кнопкою миші на обраному елементі.

Байт-пакет

Панель байтів пакетів відображається внизу сторінки. На цій панелі відображаються внутрішні дані вибраного пакету. Якщо виділити частину даних у цьому розділі, її відповідна інформація також виділяється на панелі деталей пакета. За замовчуванням всі дані відображаються у шістнадцятковому форматі. Якщо ви хочете змінити його на бітовий формат, клацніть правою кнопкою миші панель і виберіть цю опцію з контекстного меню.

Як використовувати Wireshark для аналізу продуктивності мережі

Якщо ви хочете використовувати Wireshark для огляду вашої мережі та аналізу всього активного трафіку, тоді вам потрібно закрити всі активні програми у вашій мережі. Це зменшить трафік до мінімуму, щоб ви могли чіткіше бачити, що відбувається у вашій мережі. Однак, навіть якщо ви вимкнете всі свої програми, у вас все одно буде надіслана та отримана маса пакетів.

Використання Wireshark для фільтрації цих пакетів є найкращий спосіб підвести підсумки ваших мережевих даних. Коли ваше з’єднання активне, через вашу мережу щосекунди передаються тисячі пакетів. Це означає, що необхідно відфільтрувати інформацію, яка вам не потрібна, щоб отримати чітке уявлення про те, що відбувається.

Захоплення фільтрів та фільтрів дисплея

Захоплення фільтрів і Відобразити фільтри – це два типи різних фільтрів, які можна використовувати на Wireshark. Фільтри захоплення використовуються для зменшення розміру захоплення вхідних пакетів, по суті фільтруючи інші пакети під час захоплення прямого пакету. В результаті фільтри захоплення встановлюються перед тим, як розпочати процес прямого захоплення.

Фільтри зйомки неможливо змінити, як тільки розпочато захоплення. З іншої сторони, Відобразити фільтри може використовуватися для фільтрації даних, які вже були записані. Фільтри захоплення визначають, які дані ви збираєте з моніторингу живої мережі, а фільтри дисплея диктують дані, які ви бачите, переглядаючи раніше захоплені пакети.

Якщо ви хочете почати фільтрувати свої дані, один із найпростіших способів зробити це – скористатися полем фільтра під панеллю інструментів. Наприклад, якщо ви введете HTTP у вікні фільтру, вам буде наданий список усіх захоплених HTTP-пакетів. Коли ви почнете вводити текст, ви побачите поле автозаповнення. Поле фільтру показано нижче:

Фільтрація проводів

Ви можете використовувати сотні різних фільтрів, щоб розбити інформацію про ваш пакет, від 104apci до zvt. Повний список можна знайти на веб-сайті Wireshark тут. Ви також можете вибрати фільтр, натиснувши на значок закладки зліва від поля введення. Це підніме меню популярних фільтрів.

Якщо ви вирішите встановити фільтр захоплення, ваші зміни наберуть чинності, коли ви почнете записувати трафік в реальному часі. Щоб активувати фільтр відображення, просто натисніть на стрілку праворуч від поля введення. Можна також натиснути Проаналізуйте > Відобразити фільтри і виберіть фільтр зі списку за замовчуванням.

Вибравши фільтр, ви можете переглянути TCP-розмову за пакетом. Для цього клацніть правою кнопкою миші пакет і натисніть кнопку «Виконати» > Потік TCP. Це покаже вам обмін TCP між клієнтом і сервером.

Якщо ви хочете отримати додаткову інформацію про фільтрування Wireshark, посібник Wireshark щодо відображення фільтрів – хороша орієнтир..

Використання кольорового кодування

Окрім фільтрації, які пакети відображаються або записуються, засіб кольорового кодування Wireshark полегшує користувачеві ідентифікацію різних типів пакетів відповідно до їх кольору. Наприклад, трафік TCP позначається світло-фіолетовим, а трафік UDP позначається світло-синім. Важливо зазначити, що чорний колір використовується для виділення пакетів з помилками.

У налаштуваннях Wireshark за замовчуванням можна вибрати близько 20 кольорів. Ви можете їх редагувати, вимикати або видаляти. Якщо ви хочете вимкнути забарвлення, натисніть на Вид меню і натисніть Розфарбуйте список пакетів поле, щоб вимкнути його. Якщо ви хочете переглянути більше інформації про кольорове кодування на Wireshark, натисніть Вид >Правила фарбування.

Перегляд статистики мережі

Для того, щоб переглянути більше інформації у вашій мережі, Спадне меню статистики неймовірно корисне. Меню статистики може бути розташоване у верхній частині екрана і надасть вам ряд показників від розміру та інформації про терміни до графіків та графіків. Ви також можете застосувати фільтри відображення до цієї статистики, щоб звузити важливу інформацію.

Меню статистики Wireshark показано нижче:

статистика проводів

У цьому меню є різноманітні варіанти, які допоможуть вам розбити інформацію про мережу.

Вибір меню статистики

Ось кілька основних розділів:

  • Ієрархія протоколів – Параметр Ієрархія протоколів відкриває вікно з повною таблицею всіх захоплених протоколів. Активні фільтри дисплея також відображаються внизу.
  • Бесіди – виявляє мережеву розмову між двома кінцевими точками (наприклад, обмін трафіком з однієї IP-адреси на іншу).
  • Кінцеві точки – Відображає список кінцевих точок (мережева кінцева точка, на якій закінчується трафік протоколу певного рівня протоколу).
  • Графіки IO – Відображає конкретні графіки користувача, візуалізуючи кількість пакетів протягом усього обміну даними.
  • RTP_statistics – Дозволяє користувачу зберігати вміст аудіопотоку RTP безпосередньо в Au-файл.
  • Час відповіді на обслуговування – Відображає час відповіді між запитом та відповіддю мережі.
  • TcpPduTime – Відображає час, необхідний для передачі даних з підрозділу даних протоколу. Можна використовувати для пошуку ретрансляцій TCP.
  • VoIP_Calls – Показує дзвінки через VoIP, отримані в режимі прямого захоплення.
  • Багатоадресний потік – Виявляє багатоадресні потоки та вимірює розміри сплеску та вихідні буфери певних швидкостей.

Візуалізація мережевих пакетів за допомогою IO-графіків

Якщо ви хочете створити візуальне зображення своїх пакетів даних, тоді вам потрібно відкрити графіки введення-виведення. Просто натисніть на статистика меню і виберіть IO графіки. Потім вас зустріне вікно графіка:

Графіки IO Wireshark

Ти можеш налаштувати графіки IO за допомогою власних налаштувань відповідно до даних, які потрібно відобразити. За замовчуванням увімкнено лише графік 1, тому якщо ви хочете активувати 2-5, вам потрібно натиснути на них. Так само, якщо ви хочете застосувати фільтр відображення до графіку, натисніть значок фільтра поруч із графіком, з яким ви хочете взаємодіяти. Стовпець стилів дозволяє змінити структуру вашого графіка. Ви можете вибрати між Лінія, ФБар, Крапка, або Імпульс.

Ви також можете взаємодіяти з показниками осі X і Y на графіку. На осі X секції відрізків галочок дозволяють вам диктувати, як тривалий інтервал, від хвилин до секунд. Ви також можете перевірити розглянути як час доби прапорець, щоб змінити час осі X.

У розділі осі Y ви можете змінити одиницю вимірювання з будь-якого з наступних варіантів: Пакети / галочки, Байти / Позначте, Біт / галочка, або Розширений. Шкала дозволяє вибрати шкалу вимірювання для осі Y графіка.

Після натискання кнопки збереження графік зберігається у обраному вами форматі файлу

Як використовувати зйомки зразків

Якщо ви хочете практикувати використання Wireshark, але ваша власна мережа з будь-якої причини недоступна, використання “зразок захоплення” є чудовою альтернативою. Зразки зйомки надають вам пакетні дані іншої мережі. Ви можете завантажити зразок захоплення, перейшовши на веб-сайт вікі Wireshark.

Веб-сайт Wireshark wiki пропонує різноманітні файли зйомки зразків, які можна завантажувати по всьому сайту. Завантаживши зразок захоплення, ви можете використовувати його, натиснувши “Файл” > Відкрийте і натисніть на файл.

Файли захоплення також можна знайти з таких джерел нижче:

  • ICIR
  • OpenPacket
  • PacketLife

Розширення можливостей Wireshark

Незважаючи на те, що Wireshark – це чудовий нюхальник пакетів, він не є всім і не всім інструментом мережевого аналізу. Ви можете розширити Wireshark і підтримати його додатковими інструментами. Широке співтовариство підтримуючих плагінів і платформ може підвищити можливості Wireshark.

Спробуйте скористатися цими доповненнями Wireshark, щоб покращити свої аналітичні можливості:

  • Переглядач часу реакції SolarWinds для Wireshark дозволяє користувачам обчислювати час їх застосування та мережу відгуку. Це можна використовувати поряд з Wireshark для відображення даних та обсягу транзакцій. Це допомагає оцінити продуктивність мережі та виявити можливі вдосконалення.
  • Cloudshark є аналітичним інструментом, який був спеціально написаний для розробки фіксації дротів. Однак він також може імпортувати дані з інших сніферів пакетів. Плагін Cloudshark для Wireshark полегшує передачу даних через аналітичний інструмент.
  • NetworkMiner є ще одним аналітичним інструментом, який діє на канали від Wireshark. Цей інструмент поставляється як у безкоштовній, так і у платній версії.
  • Показати трафік відображає живі дані про трафік, ідентифікуючи пакети за протоколом.

Переглядач часу відповіді SolarWinds для WiresharkDownload 100% БЕЗКОШТОВНО

Повний інструмент аналізу мережі, такий як монітор SolarWinds, пояснений нижче, також буде хорошим доповненням до вашого інструментарію ІТ-адміністраторів.

Монітор продуктивності мережі SolarWinds: Управління мережею 360 градусів – (БЕЗКОШТОВНИЙ ПЕРІОД ВИПРОБОВУВАННЯ)

монітор продуктивності мережі

Як одне з провідних рішень для управління мережею на ринку, SolarWinds Network Performance Monitor забезпечує користувачеві широкі функції моніторингу мережі, щоб зберегти їх мережу в безпеці. Від моніторингу пропускної здатності до затримки в мережі, користувач може відстежувати всі зміни в реальному часі за допомогою інформаційної панелі аналізу продуктивності.

Інформаційна панель аналізу ефективності в реальному часі дає огляд мережевої інфраструктури користувача в реальному часі. Візуальний дисплей показує всі активні мережеві з’єднання та пристрої. Це полегшує користувачеві помітити несанкціоновані пристрої.

Користувацький інтерфейс дозволяє користувачам визначати власні сповіщення, щоб вони могли отримувати сповіщення, коли у їхній мережі відбуваються незвичні зміни. Якщо новий пристрій намагається підключитися, система може позначити це. Живі дані, сформовані на інформаційній панелі аналізу, також можуть бути перетворені у звіти для подальшого огляду.

  • Моніторинг багатопрофільних мереж – Визначте та вирішіть проблеми із ефективністю роботи багатьох постачальників.
  • Моніторинг бездротової мережі – Перегляд показників продуктивності від точок доступу, бездротових пристроїв та клієнтів.
  • Визначте мережеві мертві зони – Перегляньте теплову карту бездротової мережі та визначте області зі слабким сигналом.
  • Інформаційна панель аналізу ефективності – Перегляд усієї вашої роботи мережі на одній часовій шкалі. Перетягуйте дані про продуктивність мережі, щоб створити візуалізацію живих даних.
  • Інтелектуальні сповіщення – Користувачі визначають, як створюються сповіщення. Виберіть, які умови запуску будуть генерувати сповіщення на інформаційній панелі.

SolarWinds Network Performance MonitorDownload БЕЗКОШТОВНА 30-денна пробна версія на SolarWinds.com

Wireshark: простий і універсальний

На цьому ми закінчуємо наш розбір про використання Wireshark. Незалежно від того, ви новий користувач чи ветеран Wireshark, ця платформа є надзвичайно універсальним інструментом аналізу мережі. Якщо ви хочете отримати максимальну користь від Wireshark, настійно рекомендується зробити додаткові дослідження на веб-сайті Wireshark.

Це ще важливіше, якщо ви хочете використовувати більш вдосконалені функції та створити власні розсічники протоколів. Офіційний посібник користувача Wireshark пропонує найвичерпніші рекомендації з цього питання.

Не забудьте використовувати зовнішні плагіни та підтримуючі програми від SolarWinds, оскільки вони можуть значно збільшити глибину ваших майбутніх зусиль з аналізу. Якщо вам потрібна додаткова інформація про оптимізацію вашої мережі, ознайомтеся з нашим поглибленим посібником з мережевих аналізаторів.

Інші навчальні посібники:

  • Шпаргалка Wireshark
  • Як розшифрувати SSL за допомогою Wireshark
  • Використання Wireshark для отримання IP-адреси невідомого хоста
  • Запуск віддаленого захоплення за допомогою Wireshark та tcpdump
  • Пояснення помилки “Не знайдено інтерфейсів”
  • Визначте апаратне забезпечення за допомогою OUI у Wireshark
  • Найкращі альтернативи Wireshark
Kim Martin
Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me