Wireshark - это бесплатное приложение, которое вы используете для захвата и просмотра данных, перемещающихся взад и вперед по вашей сети. Он предоставляет возможность развернуть и прочитать содержимое каждого пакета и фильтроваться для удовлетворения ваших конкретных потребностей. Он обычно используется для устранения неполадок сети и разработки и тестирования программного обеспечения. Этот анализатор протоколов с открытым исходным кодом широко признан отраслевым стандартом, который на протяжении многих лет завоевывал справедливую долю вознаграждений.
Первоначально известный как Ethereal, Wireshark имеет удобный интерфейс, который может отображать данные из сотен различных протоколов по всем основным типам сети. Пакеты данных можно просматривать в режиме реального времени или анализировать в автономном режиме. Wireshark поддерживает десятки поддерживаемых форматов захвата / трассировки, включая CAP и ERF. Встроенные средства дешифрования позволяют просматривать зашифрованные пакеты для нескольких популярных протоколов, включая WEP и WPA / WPA2.
01 из 07Загрузка и установка Wireshark
Wireshark можно бесплатно скачать с веб-сайта Фонда Wireshark как для MacOS, так и для операционных систем Windows. Если вы не являетесь продвинутым пользователем, рекомендуется загружать последнюю версию стабильной версии. Во время процесса установки Windows вы должны установить WinPcap при появлении запроса, так как он включает в себя библиотеку, необходимую для сбора данных в реальном времени.
Приложение также доступно для Linux и большинства других UNIX-подобных платформ, включая Red Hat, Solaris и FreeBSD. Бинарные файлы, необходимые для этих операционных систем, можно найти в нижней части страницы загрузки в разделе «Сторонние пакеты». Вы также можете скачать исходный код Wireshark с этой страницы.
Как захватить пакеты данных
Когда вы впервые запускаете Wireshark, появляется экран приветствия, содержащий список доступных сетевых подключений на вашем текущем устройстве. В этом примере вы заметите, что отображаются следующие типы соединений: Bluetooth Network Connection, Ethernet, VirtualBox Host-Only Network и Wi-Fi. Справа от каждого отображается линейный граф в стиле EKG, который представляет прямой трафик в соответствующей сети.
Чтобы начать сбор пакетов, выберите одну или несколько сетей, нажав на свой выбор и используя сдвиг или же Ctrl если вы хотите записывать данные из нескольких сетей одновременно. После того, как тип соединения выбран для целей захвата, его фон затенен либо синим, либо серым. Нажмите на Захватить в главном меню, расположенном в верхней части интерфейса Wireshark. Когда появится раскрывающееся меню, выберите Начните вариант.
Вы также можете инициировать захват пакетов с помощью одной из следующих ярлыков.
- Клавиатура: ПрессаCtrl + E.
- Мышь: Чтобы начать захват пакетов из одной конкретной сети, дважды щелкните его имя.
- Панель инструментов: Нажмите на синюю кнопку плавника акулы, расположенную на левой стороне панели инструментов Wireshark.
Процесс записи в реальном времени начинается, и Wireshark отображает данные пакета по мере их записи. Остановить захват:
- Клавиатура: Нажмите Ctrl + Е
- Панель инструментов: Нажмите на красный Стоп расположенной рядом с плавником акулы на панели инструментов Wireshark.
Просмотр и анализ содержимого пакета
После записи некоторых сетевых данных пришло время взглянуть на захваченные пакеты. Захваченный интерфейс данных содержит три основных раздела: панель списка пакетов, панель сведений о пакете и панель байтов пакетов.
Список пакетов
Панель списка пакетов, расположенная в верхней части окна, отображает все пакеты, найденные в активном файле захвата. Каждый пакет имеет свою собственную строку и соответствующий ей номер, вместе с каждой из этих точек данных.
- Время: В этом столбце отображается метка времени, когда пакет был захвачен. Формат по умолчанию - это количество секунд или секундных секунд, так как этот конкретный файл захвата был сначала создан. Чтобы изменить этот формат на то, что может быть немного более полезным, например фактическое время суток, выберите Формат отображения времени вариант от Wireshark's Посмотреть меню, расположенное в верхней части основного интерфейса.
- Источник: Этот столбец содержит адрес (IP или другой), в котором был отправлен пакет.
- Место назначения: Этот столбец содержит адрес, по которому отправляется пакет.
- Протокол: В этом столбце можно найти имя протокола пакета, например TCP.
- Длина: Длина пакета в байтах отображается в этом столбце.
- Информация: Здесь представлены дополнительные сведения о пакете. Содержимое этого столбца может сильно варьироваться в зависимости от содержимого пакета.
Когда пакет выбран в верхней панели, вы можете заметить, что в первом столбце появляется один или несколько символов. Открытые или закрытые скобки и прямая горизонтальная линия указывают, являются ли пакеты или группы пакетов частью одного и того же повторного разговора в сети. Сломанная горизонтальная линия означает, что пакет не является частью упомянутого разговора.
Сведения о пакете
Панель сведений, найденная в середине, представляет протоколы и поля протокола выбранного пакета в сворачиваемом формате. В дополнение к расширению каждого выбора вы можете применять отдельные фильтры Wireshark на основе конкретных деталей и отслеживать потоки данных на основе типа протокола через контекстное меню деталей, которое доступно щелчком правой кнопкой мыши на нужном элементе в этой панели.
Пакетные байты
В нижней части находится панель байтов пакетов, которая отображает необработанные данные выбранного пакета в шестнадцатеричном представлении.Этот шестнадцатеричный дамп содержит 16 шестнадцатеричных байтов и 16 байтов ASCII вместе со смещением данных.
Выбор определенной части этих данных автоматически выделяет соответствующий раздел в области сведений о пакете и наоборот. Любые байты, которые не могут быть напечатаны, вместо этого представлены периодом.
Вы можете отображать эти данные в битовом формате, а не в шестнадцатеричном виде, щелкнув правой кнопкой мыши в любом месте области и выбрав соответствующую опцию из контекстного меню.
04 из 07Использование фильтров Wireshark
Одним из наиболее важных наборов функций в Wireshark является возможность фильтрации, особенно когда вы имеете дело с файлами, имеющими значительный размер. Фильтры захвата можно установить перед фактом, указав Wireshark только запись тех пакетов, которые соответствуют вашим указанным критериям.
Фильтры также могут быть применены к уже созданному файлу захвата, чтобы были показаны только определенные пакеты. Они называются фильтрами отображения.
По умолчанию Wireshark предоставляет большое количество предопределенных фильтров, позволяя сузить количество видимых пакетов всего несколькими нажатиями клавиш или щелчками мыши. Чтобы использовать один из этих существующих фильтров, поместите свое имя в Применить фильтр отображения поле ввода, расположенное непосредственно под панелью инструментов Wireshark или в Введите фильтр захвата поле ввода, расположенное в центре экрана приветствия.
Существует несколько способов достижения этого. Если вы уже знаете имя своего фильтра, введите его в соответствующее поле. Например, если вы хотите отображать только TCP-пакеты, вы вводите ТСР, Функция автозаполнения Wireshark показывает предлагаемые имена при вводе текста, что упрощает поиск правильного прозвища для фильтра, который вы ищете.
Другой способ выбрать фильтр - щелкнуть значок закладки, расположенный в левой части поля ввода. Это представляет собой меню, содержащее некоторые из наиболее часто используемых фильтров, а также возможность Управление фильтрами захвата или же Управление отображаемыми фильтрами, Если вы решите управлять любым типом, появится интерфейс, позволяющий добавлять, удалять или редактировать фильтры.
Вы также можете получить доступ к ранее использованным фильтрам, выбрав стрелку вниз в правой части поля ввода, чтобы отобразить раскрывающийся список истории.
После установки фильтры захвата применяются, как только вы начинаете запись сетевого трафика. Чтобы применить фильтр отображения, нажмите кнопку со стрелкой в правой части поля ввода.
05 из 07Правила цвета
В то время как фильтры захвата и отображения Wireshark позволяют вам ограничить, какие пакеты записаны или отображены на экране, его функциональность раскраски делает шаг вперед, позволяя легко различать разные типы пакетов на основе их индивидуального оттенка. Эта удобная функция позволяет быстро находить определенные пакеты в сохраненном наборе по их цвету строк в панели списка пакетов.
Wireshark поставляется с 20 встроенными правилами раскраски по умолчанию, каждый из которых можно редактировать, отключать или удалять, если хотите. Вы также можете добавлять новые фильтры на основе оттенков через интерфейс правил раскраски, доступный из Посмотреть меню. Помимо определения имени и критериев фильтрации для каждого правила, вам также предлагается связать как цвет фона, так и цвет текста.
Пакетная раскраска может быть отключена и включена через Распаковать список пакетов вариант, также найденный в Посмотреть меню.
06 из 07Статистика
В дополнение к подробной информации о данных вашей сети, приведенной в главном окне Wireshark, можно найти несколько других полезных показателей Статистика выпадающее меню находится в верхней части экрана. К ним относятся информация о размере и времени о самом файле захвата, а также десятки диаграмм и графиков, относящихся к теме из разбиений по цепочке пакетов, для загрузки распределенных HTTP-запросов.
Фильтры отображения могут применяться ко многим из этих статистических данных через их интерфейсы, и результаты могут быть экспортированы в несколько распространенных форматов файлов, включая CSV, XML и TXT.
07 из 07Расширенные возможности
В дополнение к основной функциональности Wireshark имеется также набор дополнительных функций, доступных в этом мощном инструменте, обычно предназначенном для продвинутых пользователей. Это включает в себя возможность писать собственные дисконты протокола на языке программирования Lua.
