Wireshark er en netværkspakkeanalysator. En netværkspakkeanalysator, der fanger netværkspakker og forsøger at vise pakkedataene så detaljeret som muligt.
Du kan tænke på en netværkspakkesniffer som en måleenhed, der bruges til at studere, hvad der foregår inde i et netværkskabel, ligesom et voltmeter bruges af en elektriker til at studere, hvad der foregår inde i et elektrisk kabel (men på et højere niveau, selvfølgelig ).
Hvem bruger WireShark og til hvad?
Her er nogle eksempler på, hvorfor folk bruger Wireshark til:
- Netværksadministratorer bruger det til netværksfejlfinding
- Netværkssikkerhedsingeniører bruger det til sikkerhedstjek
- QA-ingeniører bruger det til kontrol af netværksapplikationer
- Udviklere bruger det til implementering af fejlfindingsprotokol
- Folk bruger det til studerer indre netværksprotokoller
Egenskaber og funktionalitet
Nedenfor er nogle af Wiresharks mange funktioner:
Men for virkelig at værdsætte dens kraft, skal du begynde at bruge den. Det er det, vi vil se på i de følgende artikler.
Wireshark tilbyder et enkelt, men kraftfuldt skærmfilter, der giver dig mulighed for at skabe ret komplekse filterudtryk. Du kan sammenligne værdier i batches og også kombinere udtryk til mere specifikke udtryk. Nedenfor er specifikke eksempler og [...]
SYN-pakkerne, der bruges til at opsætte en TCP-handshake-session, har yderligere TCP-parametre, såsom: SACK_PERM, TSval, TSecr. Disse er alle såkaldte højtydende muligheder, som nu er udbredte, fordi alle […]
Hver linje i pakkelisten svarer til én pakke i opsamlingsfilen. Hvis du vælger en række i dette panel, vil mere detaljerede oplysninger blive vist i panelerne Batch Information og Batch Packages. […]
Wireshark: hvordan bruges det?
Hej venner! I denne artikel vil jeg forsøge at forklare og tale om de vigtigste ting, du skal vide, når du bruger Wireshark på Linux, og vil vise en analyse af tre typer netværkstrafik. Denne manual er også anvendelig til brug af Wireshark under Windows.
Hvis du er ny inden for informationssikkerhed og udmærket forstår, hvad en sniffer (trafikanalysator) er, råder jeg dig til at læse artiklen, og først derefter læse denne artikel om, hvordan du bruger Wireshark.
Meget populær og ekstremt dygtig netværksprotokolanalysator, som blev udviklet af Gerald Combs, begyndte Wireshark i juni 2006, da Combs omdøbte det netværksværktøj, han også havde skabt, Ethereal, fordi han havde skiftet job og ikke længere kunne bruge det gamle navn. I dag bruger de fleste mennesker Wireshark, og Ethereal er historie.
Wireshark: den bedste sniffer
Du undrer dig måske over, hvordan Wireshark er anderledes end andre netværksanalysatorer - bortset fra det faktum, at det er gratis - og hvorfor begynder vi ikke bare at promovere brugen af tcpdump til pakkefangst?
Den største fordel ved Wireshark er, at det er en grafisk applikation. Indsamling af data og kontrol af netværkstrafik i brugergrænsefladen er en meget praktisk ting, da det giver dig mulighed for at forstå komplekse netværksdata.
Hvordan bruger man Wireshark?
For at en nybegynder kan forstå Wireshark, skal de forstå netværkstrafik. Hvis det er tilfældet, er formålet med denne artikel at forklare det grundlæggende i TCP/IP for dig, så du kan drage de nødvendige konklusioner fra den netværkstrafik, du analyserer.
TCP-pakke og IP-pakkeformat. Hvis du kører Wireshark som en standardbruger, vil du ikke være i stand til at bruge netværksgrænseflader til at indsamle data på grund af standard Unix-filtilladelserne på netværksgrænseflader. Det er mere bekvemt at køre Wireshark som root (sudo wireshark), når der indsamles data og som en almindelig bruger at analysere data.
Alternativt kan du indsamle netværksdata ved at bruge tcpdump-kommandolinjeværktøjet som root og derefter analysere det ved hjælp af Wireshark. Husk, at indsamling af data ved hjælp af Wireshark på et travlt netværk kan gøre din computer langsommere, eller endnu værre, forhindre dig i at indsamle de data, du har brug for, fordi Wireshark kræver flere systemressourcer end et kommandolinjeprogram. I sådanne tilfælde er den mest rimelige løsning til at indsamle netværkstrafikdata at bruge tcpdump.
Optag netværksdata ved hjælp af Wireshark
Den nemmeste måde at begynde at fange netværkspakkedata på er at vælge den grænseflade, du har brug for, efter at have startet Wireshark og klikke på Start. Wireshark viser netværksdata på din skærm baseret på din netværkstrafik. Bemærk venligst, at du kan vælge mere end én grænseflade. Hvis du ikke ved noget om TCP, IP eller andre protokoller, kan du finde resultatet svært at læse og forstå.
For at stoppe datafangstprocessen skal du vælge Capture > Stop fra menuen. Alternativt kan du klikke på det fjerde ikon fra venstre, det med den røde firkant (forkortelse for "Stop live data capture") i hovedværktøjslinjen (bemærk, at dets nøjagtige placering vil variere afhængigt af den version af Wireshark, du har) . Denne knap kan kun trykkes, mens netværksdata indsamles.
Når du bruger denne optagelsesmetode, kan du ikke ændre Wiresharks standardoptagelsesindstillinger. Du kan se og ændre Capture Options ved at vælge Capture > Options i menuen. Her kan du vælge netværksgrænsefladen(erne), se din IP-adresse, anvende dataindsamlingsfiltre, indstille dit netværkskort til at modtage alle netværkspakker og gemme de indsamlede data i en eller flere filer. Du kan endda fortælle den, at den skal stoppe med at fange pakker efter at have nået et bestemt antal netværkspakker, eller et bestemt tidspunkt eller en bestemt mængde data (i bytes).
Som standard gemmer Wireshark ikke indsamlede data, men du kan altid gemme dem senere. Det antages generelt, at det er bedst at gemme og derefter undersøge netværkspakker, medmindre du har en særlig grund til andet.
Wireshark giver dig mulighed for at læse og analysere allerede indsamlede netværksdata fra en lang række filformater, herunder tcpdump, libpcap, Sun's snoop, HP's nettl, K12 tekstfiler osv. Kort sagt kan Wireshark læse næsten ethvert format af indsamlede netværksdata. På samme måde giver Wireshark dig mulighed for at gemme indsamlede data i forskellige formater. Du kan endda bruge Wireshark til at konvertere en fil fra et format til et andet.
Du kan også eksportere en eksisterende fil som en almindelig tekstfil fra menuen Filer. Denne mulighed er primært beregnet til manuel behandling af netværksdata eller indtastning af dem i et andet program.
Der er mulighed for at printe dine pakker. Jeg har aldrig brugt det i det virkelige liv, men til uddannelsesmæssige formål kan det være meget nyttigt at printe pakkerne og deres fulde indhold ud.
Wireshark skærmfiltre
Hvis der anvendes opsamlingsfiltre, når der optages netværksdata, tager Wireshark ikke højde for netværkstrafik, der ikke matcher filteret; mens displayfiltre anvendes, efter at data er fanget, og "skjuler" netværkstrafikken uden at slette den. Du kan altid deaktivere Display-filteret og få dine skjulte data tilbage.
I princippet anses displayfiltre for at være mere nyttige og alsidige end dataindsamlingsfiltre, fordi det er usandsynligt, at du på forhånd ved, hvilken information du vil indsamle eller beslutte dig for at undersøge. Brug af filtre, når du optager data, sparer dig dog for tid og diskplads, hvilket er hovedårsagen til at bruge dem.
Wireshark fremhæver et syntaktisk korrekt filter med en lysegrøn baggrund. Hvis syntaksen indeholder fejl, bliver baggrunden lyserød.
Displayfiltre understøtter sammenligningsoperatorer og logiske operatorer. Vis filter http.response.code
Tre pakker (SYN, SYN+ACK og ACK) med tre-trins TCP-forbindelsesopsætning 404 && ip.addr == 192.168.1.1 viser trafik, der enten kommer fra IP-adressen 192.168.1.1 eller går til IP-adressen 192.168.1.1, som også har en 404 (Ikke fundet) HTTP-svarkode i sig. !boo1p &&!ip &&!agr-filteret udelukker BOOTP-, IP- og ARP-trafik fra resultatet. Filteret eth.addr == 01:23:45:67:89:ab && tcp.port == 25 viser trafik, der kommer fra eller til netværksenheden med MAC-adressen 01:23:45:67:89:ab, som bruges i indgående og udgående forbindelser, er TCP-portnummeret 25.
Husk, at displayfiltre ikke på magisk vis løser problemer. Når de bruges korrekt, er disse ekstremt nyttige værktøjer, men du skal stadig fortolke resultaterne, finde problemet og selv finde frem til den passende løsning.
Artiklen fortsætter på næste side. For at gå til næste side skal du klikke på knap 2, som er placeret under knapperne på det sociale netværk.
Wireshark er en kraftfuld netværksanalysator, der kan bruges til at analysere den trafik, der passerer gennem din computers netværksgrænseflade. Du kan få brug for det til at opdage og løse netværksproblemer, fejlfinde dine webapplikationer, netværksprogrammer eller websteder. Wireshark giver dig mulighed for fuldt ud at se indholdet af en pakke på alle niveauer, så du bedre kan forstå, hvordan netværket fungerer på et lavt niveau.
Alle pakker fanges i realtid og leveres i et letlæseligt format. Programmet understøtter et meget kraftfuldt filtreringssystem, farvefremhævning og andre funktioner, der hjælper dig med at finde de rigtige pakker. I denne tutorial ser vi på, hvordan du bruger Wireshark til at analysere trafik. For nylig begyndte udviklerne at arbejde på den anden gren af Wireshark 2.0-programmet, der blev foretaget mange ændringer og forbedringer, især til grænsefladen. Det er det, vi vil bruge i denne artikel.
Før du går videre til at overveje måder at analysere trafik på, skal du overveje, hvilke funktioner programmet understøtter mere detaljeret, hvilke protokoller det kan arbejde med, og hvad det kan. Her er de vigtigste funktioner i programmet:
- Fang pakker i realtid fra kablede eller andre typer netværksgrænseflader, samt læs fra en fil;
- Følgende capture-grænseflader understøttes: Ethernet, IEEE 802.11, PPP og lokale virtuelle grænseflader;
- Pakker kan filtreres baseret på mange parametre ved hjælp af filtre;
- Alle kendte protokoller er fremhævet i listen i forskellige farver, for eksempel TCP, HTTP, FTP, DNS, ICMP og så videre;
- Understøttelse til at fange VoIP-opkaldstrafik;
- Dekryptering af HTTPS-trafik understøttes, hvis et certifikat er tilgængeligt;
- Dekryptering af WEP- og WPA-trafik af trådløse netværk med en nøgle og håndtryk;
- Visning af netværksbelastningsstatistikker;
- Se pakkeindhold for alle netværkslag;
- Viser tidspunktet for afsendelse og modtagelse af pakker.
Programmet har mange andre funktioner, men disse var de vigtigste, der kunne interessere dig.
Sådan bruger du Wireshark
Jeg antager, at du allerede har programmet installeret, men hvis ikke, kan du installere det fra de officielle arkiver. For at gøre dette skal du skrive kommandoen i Ubuntu:
sudo apt installer wireshark
Efter installationen kan du finde programmet i distributionens hovedmenu. Du skal køre Wireshark med superbrugerrettigheder, for ellers vil den ikke kunne analysere netværkspakker. Dette kan gøres fra hovedmenuen eller via terminalen ved at bruge kommandoen til KDE:
Og for Gnome/Unity:
Programmets hovedvindue er opdelt i tre dele: den første kolonne indeholder en liste over netværksgrænseflader, der er tilgængelige til analyse, den anden - muligheder for at åbne filer og den tredje - hjælp.
Analyse af netværkstrafik
For at starte analysen skal du vælge en netværksgrænseflade, for eksempel eth0, og klikke på knappen Start.
Herefter åbnes følgende vindue, allerede med en strøm af pakker, der passerer gennem grænsefladen. Dette vindue er også opdelt i flere dele:
- Øverste del- disse er menuer og paneler med forskellige knapper;
- Liste over pakker- så vises strømmen af netværkspakker, som du vil analysere;
- Pakkens indhold- lige nedenfor er indholdet af den valgte pakke, den er opdelt i kategorier afhængigt af transportniveauet;
- Rigtig præstation- helt nederst vises pakkens indhold i ægte form, samt i HEX-form.
Du kan klikke på en hvilken som helst pakke for at analysere dens indhold:
Her ser vi en DNS request-pakke til at få sidens IP-adresse, i selve anmodningen sendes domænet, og i svarpakken modtager vi vores spørgsmål samt svaret.
For mere praktisk visning kan du åbne pakken i et nyt vindue ved at dobbeltklikke på indgangen:
Wireshark filtre
Manuel gennemgang af pakker for at finde dem, du har brug for, er meget ubelejligt, især med en aktiv tråd. Derfor er det bedre at bruge filtre til denne opgave. Der er en særlig linje under menuen til indtastning af filtre. Du kan klikke Udtryk for at åbne filterdesigneren, men der er mange af dem, så vi vil se på de mest grundlæggende:
- ip.dst- mål IP-adresse;
- ip.src- afsenderens IP-adresse;
- ip.addr- IP på afsenderen eller modtageren;
- ip.proto- protokol;
- tcp.dstport- bestemmelseshavn;
- tcp.srcport- senderport;
- ip.ttl- TTL-filter, bestemmer netværksafstanden;
- http.request_uri- den ønskede webstedsadresse.
For at angive forholdet mellem et felt og en værdi i et filter kan du bruge følgende operatorer:
- == - lige med;
- != - ikke ens;
- < - mindre;
- > - mere;
- <= - mindre eller lig;
- >= - mere eller lige;
- Tændstikker- almindelig udtryk;
- indeholder- indeholder.
For at kombinere flere udtryk kan du bruge:
- && - begge udtryk skal være sande for pakken;
- || - et af udtrykkene kan være sandt.
Lad os nu se nærmere på flere filtre ved hjælp af eksempler og forsøge at forstå alle tegn på forhold.
Lad os først filtrere alle pakker sendt til 194.67.215. Indtast en streng i filterfeltet og klik ansøge. For nemheds skyld kan Wireshark-filtre gemmes ved hjælp af knappen Gemme:
ip.dst == 194.67.215.125
Og for at modtage ikke kun sendte pakker, men også modtaget som svar fra denne node, kan du kombinere to betingelser:
ip.dst == 194.67.215.125 || ip.src == 194.67.215.125
Vi kan også vælge overførte store filer:
http.content_length > 5000
Ved at filtrere indholdstypen kan vi vælge alle de billeder, der er blevet uploadet; Lad os analysere Wireshark-trafik, pakker, der indeholder ordbilledet:
http.content_type indeholder billede
For at rydde filteret kan du trykke på knappen Klar. Det sker, at du ikke altid kender alle de oplysninger, der er nødvendige for filtrering, men bare vil udforske netværket. Du kan tilføje et hvilket som helst felt i en pakke som en kolonne og se dets indhold i det generelle vindue for hver pakke.
For eksempel vil jeg vise TTL (time to live) for en pakke som en kolonne. For at gøre dette skal du åbne pakkeoplysningerne, finde dette felt i IP-sektionen. Kald derefter kontekstmenuen og vælg muligheden Anvend som kolonne:
På samme måde kan du oprette et filter baseret på ethvert ønsket felt. Vælg det og få genvejsmenuen frem, og klik derefter Anvend som filter eller Forbered som filter, og vælg derefter Valgte for kun at vise de valgte værdier, eller Ikke valgt for at fjerne dem:
Det angivne felt og dets værdi vil blive anvendt eller, i det andet tilfælde, indsat i filterfeltet:
På denne måde kan du tilføje et felt af enhver pakke eller kolonne til filteret. Der er også denne mulighed i kontekstmenuen. For at filtrere protokoller kan du bruge enklere betingelser. Lad os for eksempel analysere Wireshark-trafik for HTTP- og DNS-protokollerne:
Et andet interessant træk ved programmet er brugen af Wireshark til at spore en specifik session mellem brugerens computer og serveren. For at gøre dette skal du åbne kontekstmenuen for pakken og vælge Følg TCP stream.
Der åbnes et vindue, hvor du finder alle de data, der er overført mellem serveren og klienten:
Diagnosticering af Wireshark-problemer
Du undrer dig måske over, hvordan du bruger Wireshark 2.0 til at opdage problemer på dit netværk. For at gøre dette er der en rund knap i nederste venstre hjørne af vinduet, når du klikker på den, åbnes et vindue Expet værktøjer. I den samler Wireshark alle fejlmeddelelser og netværksproblemer:
Vinduet er opdelt i faner som Fejl, Advarsler, Meddelelser, Chats. Programmet kan filtrere og finde mange netværksproblemer, og her kan du meget hurtigt se dem. Wireshark-filtre understøttes også her.
Wireshark trafikanalyse
Du kan meget nemt forstå, hvad brugerne har downloadet, og hvilke filer de har set, hvis forbindelsen ikke var krypteret. Programmet gør et meget godt stykke arbejde med at udtrække indhold.
For at gøre dette skal du først stoppe trafikoptagelsen ved hjælp af den røde firkant på panelet. Åbn derefter menuen Fil -> Eksporter objekter -> HTTP:
Introduktion
Der opstår nogle gange problemer i driften af et computernetværk og netværksstakken af noder, hvis årsager er svære at opdage af velkendte statistikindsamlingsværktøjer (såsom netstat) og standardapplikationer baseret på ICMP-protokollen (ping, traceroute/ tracert osv.). I sådanne tilfælde, for at diagnosticere problemer, er det ofte nødvendigt at bruge mere specifikke værktøjer, der giver dig mulighed for at vise (lytte til) netværkstrafik og analysere den på niveauet af transmissionsenheder af individuelle protokoller ( "snuse", snuse).
Netværksprotokolanalysatorer eller "sniffer" er yderst nyttige værktøjer til at studere adfærden af netværksknuder og identificere netværksproblemer. Som ethvert værktøj, såsom en skarp kniv, kan en sniffer naturligvis både være en velsignelse i hænderne på en systemadministrator eller informationssikkerhedsingeniør og et kriminalitetsvåben i hænderne på en computerangriber.
Sådan specialiseret software bruger normalt "promiskuøs" (promiscuos) driftstilstand for netværksadapteren overvåge computer (især for at opsnappe trafik fra et netværkssegment, switchport eller router). Som du ved, er essensen af denne tilstand til at behandle alle frames, der kommer til grænsefladen, og ikke kun dem, der er bestemt til MAC-adressen på netværkskortet og udsendelsen, som det sker i normal tilstand.
Produktet diskuteret i denne artikel Wireshark er et velkendt værktøj til at opsnappe og interaktivt analysere netværkstrafik, faktisk en standard inden for industri og uddannelse. TIL Nøglefunktioner i Wireshark kan omfatte: multi-platform (Windows, Linux, Mac OS, FreeBSD, Solaris osv.); evne til at analysere hundredvis af forskellige protokoller; understøttelse af både grafisk driftstilstand og kommandolinjegrænseflade (tshark-værktøj); kraftfuldt trafikfiltersystem; eksportere arbejdsresultater til XML, PostScript, CSV-formater osv.
En anden vigtig kendsgerning er, at Wireshark er open source-software. distribueret under GNU GPLv2-licensen, dvs. du kan frit bruge dette produkt, som du ønsker.
Installation af Wireshark
Den seneste version af Wireshark til Windows og OS X operativsystemer samt kildekoden er tilgængelig download fra projektets hjemmeside. Til Linux-distributioner og BSD-systemer er dette produkt normalt tilgængeligt i standard- eller yderligere repositories. Skærmbillederne offentliggjort i denne artikel er taget fra version 1.6.2 af Wireshark til Windows. Tidligere versioner af programmet, som kan findes i Unix-lignende styresystemers arkiver, kan også med succes bruges, da Wireshark længe har været et stabilt og funktionelt produkt.
Wireshark er baseret på Pcap-biblioteket (Packet Capture)., som giver en applikationsprogrammeringsgrænseflade til implementering af funktioner på lavt niveau for interaktion med netværksgrænseflader (især aflytning og generering af vilkårlige transmissionsenheder af netværksprotokoller og lokale netværksprotokoller). Pcap-biblioteket er også grundlaget for så velkendte netværksværktøjer som tcpdump, snort, nmap, kismet osv. For Unix-lignende systemer er Pcap normalt til stede i standard software-repositories. Til Windows-familien af operativsystemer er der en version af Pcap kaldet Winpcap. Du kan download fra projektets hjemmeside. Dette er dog normalt ikke nødvendigt, da Winpcap-biblioteket er inkluderet i Wireshark til Windows installationspakken.
Processen med at installere programmet er ikke vanskelig for ethvert operativsystem, selvfølgelig justeret for detaljerne ved den platform, du bruger. For eksempel er Wireshark på Debian/Ubuntu installeret, så uprivilegerede brugere som standard ikke har ret til at opsnappe pakker, så programmet skal startes ved hjælp af sudo-bruger-id-mekanismen (eller udføre de nødvendige manipulationer i henhold til dokumentationen i standarden DEB-pakke).
Grundlæggende om at arbejde med Wireshark
Wiresharks brugergrænseflade er bygget oven på GTK+ biblioteket(GIMP Toolkit). Hovedprogramvinduet indeholder følgende elementer: menu, værktøjslinjer og visningsfiltre, en liste over pakker, en detaljeret beskrivelse af den valgte pakke, visning af pakkebytes (i hexadecimal og tekst) og en statuslinje:
Det skal bemærkes, at programmets brugergrænseflade er godt designet, ganske ergonomisk og ret intuitiv, hvilket giver brugeren mulighed for at koncentrere sig om at studere netværksprocesser uden at blive distraheret af bagateller. Derudover er alle funktioner og detaljer ved brug af Wireshark beskrevet detaljeret i brugermanual. Derfor fokuserer denne artikel på funktionaliteten af det pågældende produkt, dets funktioner i sammenligning med andre sniffere, for eksempel med det velkendte konsolværktøj tcpdump.
Så Wiresharks ergonomi afspejler en flerlags tilgang til at levere netværksinteraktioner. Alt foregår på en sådan måde, at brugeren ved at vælge en netværkspakke fra listen har mulighed for at se alle overskrifterne (lagene), samt feltværdierne for hvert lag i netværkspakken, startende fra kl. indpakningen - Ethernet-rammen, selve IP-headeren, transportlagets header og applikationsdataprotokol indeholdt i pakken.
Rådataene til behandling kan hentes af Wireshark i realtid eller importeres fra en netværkstrafikdumpfil, og flere dumps til analyseopgaver kan kombineres til én on the fly.
Problemet med at finde de nødvendige pakker i store mængder af opsnappet trafik er løst to typer filtre: trafikopsamling (fangstfiltre) og ham vise filtre. Wireshark-indsamlingsfiltre er baseret på Pcap-bibliotekets filtersprog, dvs. Syntaksen i dette tilfælde ligner syntaksen for tcpdump-værktøjet. Et filter er en række primitiver kombineret, om nødvendigt, med logiske funktioner (og, eller, ikke). Ofte brugte filtre kan gemmes i profil til genbrug.
Figuren viser profilen af Wireshark-opsamlingsfiltre:
Wireshark netværkspakkeanalysator har også sin egen enkle, men funktionsrige vise filtersprog. Værdien af hvert felt i pakkehovedet kan bruges som filtreringskriterier(f.eks. er ip.src kilde-IP-adressen i netværkspakken, frame.len er længden af Ethernet-rammen osv.). Ved hjælp af sammenligningsoperationer kan feltværdier sammenlignes med specificerede værdier(f.eks. frame.len og kombiner flere udtryk med logiske operatorer (f.eks.: ip.src==10.0.0.5 og tcp.flags.fin). En god hjælper i processen med at konstruere udtryk er vindue til opsætning af visningsregler (Filterudtryk):
Værktøjer til netværkspakkeanalyse
Mens forbindelsesløse protokoller kan studeres ved blot at se på individuelle pakker og beregne statistikker, forenkles undersøgelse af driften af forbindelsesorienterede protokoller i høj grad ved tilgængeligheden af yderligere muligheder til at analysere fremskridt for netværksinteraktioner.
En af de nyttige funktioner i Wireshark er "Følg TCP-stream"(bogstaveligt talt "Følg TCP-strøm") analyseundermenu "Analysér", som giver dig mulighed for at udtrække applikationsprotokoldata fra TCP-segmenterne af den strøm, som den valgte pakke tilhører:
Et andet interessant punkt i analyseundermenuen er "Ekspert info sammensat", som åbner et vindue i det indbyggede Wireshark-ekspertsystem, som vil forsøge at opdage fejl og kommentarer i pakker, automatisk vælge individuelle forbindelser fra dumpet og karakterisere dem. Dette modul er under udvikling og bliver forbedret fra version til version af programmet.
I statistik undermenuen "Statistikker" Der er indsamlet muligheder, der giver dig mulighed for at beregne alle slags statistiske karakteristika for den trafik, der studeres, bygge grafer over intensiteten af netværksstrømme, analysere responstiden for tjenester osv. Ja, point "Protokolhierarki" viser statistik i form af en hierarkisk liste over protokoller, der angiver procentdelen af den samlede trafik, antallet af pakker og bytes transmitteret af en given protokol.
Fungere "Endepunkt" leverer statistik på flere niveauer om indgående/udgående trafik for hver node. Afsnit "Samtaler"(bogstaveligt talt "samtaler") giver dig mulighed for at bestemme mængden af trafik af forskellige protokoller (link, netværk og transportlag i den åbne systemsammenkoblingsmodel), der transmitteres mellem knudepunkter, der interagerer med hinanden. Fungere "Pakke længder" viser fordelingen af pakker efter deres længde.
Afsnit "Flowgraf..." repræsenterer pakkestrømme grafisk. I dette tilfælde, når du vælger et element på diagrammet, bliver den tilsvarende pakke på listen i hovedprogramvinduet aktiv:
En separat undermenu i de seneste versioner af Wireshark er dedikeret til IP-telefoni. I undermenuen "Værktøjer" er der et punkt "Firewall ACL-regler", vil forsøge at oprette en firewall-regel for den valgte pakke (version 1.6.x understøtter Cisco IOS, IP Filter, IPFirewall, Netfilter, Packet Filter og Windows Firewall-formater).
Programmet har også en indbygget letvægtstolk Lua programmeringssprog. Ved hjælp af Lua kan du oprette dine egne protokoldekodere og hændelseshandlere i Wireshark.
I stedet for en konklusion
Wireshark-netværkspakkeanalysatoren er et eksempel på et Opensource-produkt, der er succesfuldt både inden for Unix/Linux-platformen og populært blandt Windows- og Mac OS X-brugere. Ud over Wireshark er der naturligvis tunge, omfattende intelligente løsninger på området af netværkstrafikforskning, hvis funktionalitet er meget bredere. Men for det første koster de mange penge, og for det andet er de svære at lære og betjene; for det tredje skal du forstå, at ikke alt kan automatiseres, og intet ekspertsystem kan erstatte en god specialist. Så hvis du står over for opgaver, der kræver analyse af netværkstrafik, så er Wireshark værktøjet for dig. Og fans af kommandolinjen kan bruge værktøjet tshark - konsolversion af Wireshark.
Nogle gange, når du bruger internettet, opstår der situationer, hvor der opstår trafiklækager eller uventet forbrug af systemressourcer. For hurtigt at analysere og opdage kilden til problemet, bruges specielle netværksværktøjer. En af dem, WireShark, vil blive diskuteret i artiklen.
generel information
Før du bruger WireShark, skal du gøre dig bekendt med dets omfang, funktionalitet og muligheder. Kort sagt: programmet giver dig mulighed for at fange pakker i realtid i kablede og trådløse netværksforbindelser. Anvendes i Ethernet, IEEE 802.11, PPP og lignende protokoller. Du kan også bruge VoIP-opkaldstrafikaflytning.
Programmet distribueres under GNU GPL-licensen, hvilket betyder, at det er gratis og open source. Du kan køre det på mange Linux-distributioner, MacOS, og der er også en version til Windows-operativsystemet.
Hvordan bruger man WireShark?
For det første skal du først installere det på systemet. Da en af de mest brugte Linux-distributioner er Ubuntu, vil alle eksempler blive vist i den.
For at installere skal du blot skrive kommandoen i konsollen:
sudo apt-get install wireshark
Herefter vises programmet i hovedmenuen. Du kan starte den derfra. Men det er bedre at gøre dette fra terminalen, da hun har brug for superbrugerrettigheder. Dette kan gøres sådan:
Udseende
Programmet har en praktisk grafisk grænseflade. Brugeren vil se et venligt vindue opdelt i 3 dele. Den første er direkte relateret til capture, den anden vedrører åbning af filer og prøver, og den tredje er hjælp og support.
Capture-blokken indeholder en liste over netværksgrænseflader, der er tilgængelige for capture. Når du for eksempel vælger eth0 og klikker på knappen Start, starter aflytningsprocessen.
Vinduet med opsnappede data er også logisk opdelt i flere dele. Øverst er der et kontrolpanel med forskellige elementer. Efter dette er en liste over pakker. Det præsenteres i form af en tabel. Her kan du se sekvensnummeret på pakken, tidspunktet den blev opsnappet, afsender- og modtageadressen. Du kan også fjerne data om de anvendte protokoller, længde og andre nyttige oplysninger.
Under listen er et vindue med indholdet af de tekniske data for den valgte pakke. Og endnu lavere er der et display i hexadecimal form.
Hver visning kan udvides til et større vindue for lettere at læse dataene.
Anvendelse af filtre
Mens programmet kører, vil dusinvis eller endda hundredvis af pakker altid passere foran brugeren. At luge dem ud manuelt er ret svært og tidskrævende. Derfor anbefaler de officielle WireShark-instruktioner at bruge filtre.
Der er et særligt felt til dem i programvinduet - Filter. For at konfigurere filteret mere præcist er der en Udtryksknap.
Men i de fleste tilfælde vil et standardsæt af filtre være tilstrækkeligt:
- ip.dst — pakkedestinations-ip-adresse;
- ip.src — afsenderadresse;
- ip.addr - bare enhver ip;
- ip.proto - protokol.
Brug af filtre i WireShark - instruktioner
For at prøve, hvordan programmet fungerer med filtre, skal du indtaste en bestemt kommando. For eksempel vil et sådant sæt - ip.dst == 172.217.23.131 - vise alle flyvende pakker til Google-webstedet. For at se al trafik - både indgående og udgående - kan du kombinere to formler - ip.dst == 172.217.23.131 || ip.src == 172.217.23.131. Det viste sig således at bruge to forhold på én linje på én gang.
Du kan bruge andre betingelser, for eksempel ip.ttl< 10. Данная команда выведет все пакеты с длительностью жизни меньше 10. Чтобы выбрать данные по их размеру, можно применить такой подход — http.content_length > 5000.
Yderligere funktioner
For nemheds skyld har WireShark en måde til hurtigt at vælge pakkeparametre som det felt, der skal analyseres. For eksempel kan du i et felt med tekniske data højreklikke på det ønskede objekt og vælge Anvend som kolonne. Hvad vil det sige at overføre det til feltområdet som en kolonne.
På samme måde kan du vælge en hvilken som helst parameter som et filter. For at gøre dette er der et Anvend som filter-element i kontekstmenuen.
Separat session
Du kan bruge WireShark som en skærm mellem to netværksknuder, for eksempel en bruger og en server. For at gøre dette skal du vælge den pakke, du er interesseret i, åbne kontekstmenuen og klikke på Følg TCP-stream. Et nyt vindue vil vise hele loggen for udvekslingen mellem de to noder.
Diagnostik
WireShark har et separat værktøj til at analysere netværksproblemer. Det hedder Expert Tools. Du kan finde den i nederste venstre hjørne, i form af et rundt ikon. Ved at klikke på det åbnes et nyt vindue med flere faner - Fejl, Advarsler og andre. Med deres hjælp kan du analysere, i hvilke knudepunkter der opstår fejl, pakker ikke ankommer, og opdage andre problemer med netværket.
Stemmetrafik
Som allerede nævnt kan WireShark også opsnappe stemmetrafik. En hel Telefoni-menu er dedikeret til dette. Dette kan bruges til at finde problemer i VoIP og løse dem hurtigt.
Punktet VoIP-opkald i menuen Telefoni giver dig mulighed for at se afsluttede opkald og lytte til dem.
Eksporter objekter
Dette er nok den mest interessante funktionalitet i programmet. Det giver dig mulighed for at bruge WireShark som en opfanger af filer, der sendes over netværket. For at gøre dette skal du stoppe aflytningsprocessen og eksportere HTTP-objekter til menuen Filer. Vinduet, der åbnes, viser en liste over alle filer, der er overført under sessionen, og som kan gemmes på et passende sted.
Endelig
Desværre vil det være svært at finde den aktuelle version af WireShark på russisk på internettet. Den mest tilgængelige og hyppigt brugte er på engelsk.
Det samme gælder med detaljerede instruktioner til WireShark på russisk. Den officielle fra udvikleren præsenteres på engelsk. Der er mange korte, korte WireShark-tutorials online for begyndere.
Men for dem, der har arbejdet i it-området i lang tid, vil det ikke give særlige vanskeligheder at forstå programmet. Og store muligheder og rig funktionalitet vil lyse op i alle vanskeligheder med at lære.
Det er værd at bemærke, at det i nogle lande kan være ulovligt at bruge en sniffer som WireShark.
