Slik bruker du Wireshark på Windows. Wireshark: klassikeren innen nettverkspakkeanalyse Wireshark hvordan analysere trafikk

Legg igjen en kommentar 6,950

Wireshark er en nettverkspakkeanalysator. En nettverkspakkeanalysator som fanger opp nettverkspakker og prøver å vise pakkedataene så detaljert som mulig.

Du kan tenke på en nettverkspakkeanalysator som en måleenhet som brukes til å studere hva som foregår inne i en nettverkskabel, akkurat som et voltmeter brukes av en elektriker til å studere hva som foregår inne i en elektrisk kabel (men på et høyere nivå, selvfølgelig).

Hvem bruker WireShark og hvorfor?

Her er noen eksempler der folk bruker Wireshark til:

  • Nettverksadministratorer bruker det til nettverksfeilsøking
  • Nettverkssikkerhetsingeniører bruker det til sikkerhetsproblem sjekker
  • QA-ingeniører bruker det til kontrollerer nettverksapplikasjoner
  • Utviklere bruker det til feilsøke implementeringen av protokollen
  • Folk bruker det til studere innvendig nettverksprotokoller

Egenskaper og funksjonalitet

Noen av de mange funksjonene til Wireshark er listet opp nedenfor:

Men for å virkelig sette pris på kraften, må du begynne å bruke den. Det skal vi analysere i de følgende artiklene.


Wireshark tilbyr et enkelt, men kraftig skjermfilter som lar deg lage ganske komplekse filteruttrykk. Du kan sammenligne verdier i batcher, og du kan også kombinere uttrykk til mer spesifikke uttrykk. Nedenfor er spesifikke eksempler og […]

SYN-pakkene som brukes til å sette opp en TCP-håndtrykkøkt har flere TCP-alternativer, slik som: SACK_PERM, TSval, TSecr. Dette er alle såkalte høyytelsesalternativer som nå er i utbredt bruk, ettersom alle […]

Hver linje i pakkelisten tilsvarer én pakke i fangstfilen. Hvis du velger en rad i dette panelet, vil mer detaljert informasjon vises i panelene "Batchinformasjon" og "Batchpakker". […]

Wireshark: hvordan bruke?

Hei venner! I denne artikkelen vil jeg prøve å forklare og snakke om de viktigste tingene du trenger å vite når du bruker Wireshark på Linux, og viser en analyse av tre typer nettverkstrafikk. Denne håndboken gjelder også for Wireshark under Windows.

Hvis du er ny innen informasjonssikkerhet, og du forstår veldig godt hva en sniffer (trafikkanalysator) er, anbefaler jeg deg å lese artikkelen, og først da lese denne artikkelen om hvordan du bruker Wireshark.

Veldig populær og ekstremt dyktig nettverksprotokollanalysator, utviklet av Gerald Combs, kom Wireshark til i juni 2006 da Combs ga nytt navn til nettverksverktøyet Ethereal, også laget av ham, fordi han hadde byttet jobb og ikke lenger kunne bruke det gamle navnet. I dag bruker de fleste Wireshark, og Ethereal har blitt historie.

Wireshark: den beste snifferen

Du spør kanskje hvordan Wireshark er forskjellig fra andre nettverksanalysatorer - foruten å være gratis - og hvorfor begynner vi ikke bare å promotere bruken av tcpdump for pakkefangst?

Den største fordelen med Wireshark er at det er en grafisk applikasjon. Å samle inn data og sjekke nettverkstrafikk i brukergrensesnittet er en veldig hendig ting, siden det lar deg håndtere komplekse nettverksdata.

Hvordan bruker jeg Wireshark?

For at en nybegynner skal forstå Wireshark, må de forstå nettverkstrafikk. I så fall er hensikten med denne artikkelen å forklare det grunnleggende om TCP/IP for deg slik at du kan trekke de riktige konklusjonene fra nettverkstrafikken du analyserer.


TCP-pakke og IP-pakkeformat.

Hvis du kjører Wireshark som en vanlig bruker, vil du ikke kunne bruke nettverksgrensesnittene til å samle inn data på grunn av standard Unix-filtillatelser på nettverksgrensesnittene. Det er mer praktisk å kjøre Wireshark som root (sudo wireshark) når du samler inn data og som en vanlig bruker for dataanalyse.

Alternativt kan du samle nettverksdata ved å bruke tcpdump-kommandolinjeverktøyet som root og deretter analysere det ved hjelp av Wireshark. Vær oppmerksom på at innsamling av data med Wireshark på et tungt belastet nettverk kan bremse datamaskinen din, eller enda verre, hindre deg i å samle inn dataene du trenger fordi Wireshark krever mer systemressurser enn et kommandolinjeprogram. I slike tilfeller er den rimeligste løsningen for å samle inn data om nettverkstrafikk å bruke tcpdump.

Ta opp nettverksdata med Wireshark

Den enkleste måten å begynne å fange nettverkspakkedata på er å velge grensesnittet du trenger etter å ha startet Wireshark og klikke på Start. Wireshark vil vise nettverksdata på skjermen din basert på nettverkstrafikken din. Vær oppmerksom på at mer enn ett grensesnitt kan velges. Hvis du ikke vet noe om TCP, IP eller andre protokoller, kan det hende du synes resultatet er vanskelig å lese og forstå.

For å stoppe fangstprosessen, velg Capture > Stopp fra menyen. Alternativt kan du klikke på det fjerde ikonet fra venstre, med den røde firkanten (det er en forkortelse for "Stop capturing live data") i hovedverktøylinjen (merk at den nøyaktige plasseringen avhenger av versjonen av Wireshark du har). Denne knappen kan bare klikkes under innsamling av nettverksdata.

Når du bruker den beskrevne datafangstmetoden, kan du ikke endre standard fangstalternativer konfigurert i Wireshark. Du kan vise og endre opptaksalternativer ved å velge fangst > Alternativer fra menyen. Her kan du velge nettverksgrensesnitt(ene), se IP-adressen din, bruke datainnsamlingsfiltre, sette nettverkskortet til å akseptere alle nettverkspakker og lagre de innsamlede dataene i én eller flere filer. Du kan til og med fortelle den om å slutte å fange pakker når den når et visst antall nettverkspakker, eller en viss tid, eller en viss mengde data (i byte).

Som standard lagrer ikke Wireshark de innsamlede dataene, men du kan alltid lagre dem senere. Det anses generelt som beste praksis å lagre og deretter undersøke nettverkspakker først, med mindre du har en spesiell grunn til å gjøre noe annet.

Wireshark lar deg lese og analysere allerede innsamlede nettverksdata fra et stort antall filformater, inkludert tcpdump, libpcap, Suns snoop, HPs nettl, K12 tekstfiler og mer. Kort sagt kan Wireshark lese nesten alle formater av innsamlede nettverksdata. På samme måte lar Wireshark deg lagre de innsamlede dataene i forskjellige formater. Du kan til og med bruke Wireshark til å konvertere en fil fra ett format til et annet.

Du kan også eksportere en eksisterende fil som en ren tekstfil fra Fil-menyen. Dette alternativet er hovedsakelig for å håndtere nettverksdata manuelt eller legge dem inn i et annet program.

Det er en mulighet for å skrive ut pakkene dine. Jeg har aldri brukt det i det virkelige liv, men for pedagogiske formål kan det være veldig nyttig å skrive ut pakker og deres fullstendige innhold.

Wireshark-skjermfiltre

Hvis fangstfiltre brukes under nettverksfangst, ignorerer Wireshark nettverkstrafikk som ikke samsvarer med filteret; mens visningsfiltre brukes etter at data er fanget og "skjuler" nettverkstrafikk uten å fjerne den. Du kan alltid slå av Display-filteret og få de skjulte dataene tilbake.

I prinsippet anses visningsfiltre som mer nyttige og allsidige enn datainnsamlingsfiltre fordi du knapt vet på forhånd hvilken informasjon du vil samle inn eller velge å utforske. Men bruk av filtre når du fanger data sparer deg for tid og diskplass, som er hovedårsaken til å bruke dem.

Wireshark fremhever et syntaktisk korrekt filter med en lysegrønn bakgrunn. Hvis syntaksen inneholder feil, blir bakgrunnen rosa.

Visningsfiltre støtter sammenligning og logiske operatører. http.response.code visningsfilter


Tre pakker (SYN, SYN+ACK og ACK) med et treveis TCP-tilkoblingsoppsett

404 && ip.addr == 192.168.1.1 viser trafikk som enten kommer fra IP-adressen 192.168.1.1 eller går til IP-adressen 192.168.1.1, som også har en 404 (ikke funnet) HTTP-svarkode i seg. Filteret!boo1p &&!ip &&!arp ekskluderer BOOTP-, IP- og ARP-trafikk fra resultatet. Filter eth.addr == 01:23:45:67:89:ab && tcp.port == 25 viser trafikk fra eller til nettverksenhet med MAC-adresse 01:23:45:67:89:ab som brukes i innkommende og utgående tilkoblinger, TCP-portnummer 25.

Husk at skjermfiltre ikke løser problemer på magisk vis. Når de brukes riktig, er dette ekstremt nyttige verktøy, men du må fortsatt tolke resultatene, finne problemet og selv tenke ut en passende løsning.

Artikkelen fortsetter på neste side. For å gå til neste side, klikk på knappen 2, som ligger under knappene til sosiale nettverk.

Wireshark er en kraftig nettverksanalysator som kan brukes til å analysere trafikken som går gjennom datamaskinens nettverksgrensesnitt. Du kan trenge den for å oppdage og løse nettverksproblemer, feilsøke nettapplikasjoner, nettverksprogrammer eller nettsteder. Wireshark lar deg se innholdet i pakken fullt ut på alle nivåer: slik at du bedre kan forstå hvordan nettverket fungerer på et lavt nivå.

Alle pakker fanges opp i sanntid og leveres i et lettlest format. Programmet støtter et veldig kraftig filtreringssystem, fargeutheving og andre funksjoner som hjelper deg med å finne pakkene du trenger. I denne opplæringen vil vi se på hvordan du bruker Wireshark til å analysere trafikk. Nylig har utviklerne flyttet til å jobbe med den andre grenen av Wireshark 2.0-programmet, mange endringer og forbedringer har blitt gjort til det, spesielt for grensesnittet. Det er det vi skal bruke i denne artikkelen.

Før du fortsetter med å vurdere måter å analysere trafikk på, må du vurdere hvilke funksjoner programmet støtter mer detaljert, hvilke protokoller det kan fungere med og hva du skal gjøre. Her er hovedfunksjonene i programmet:

  • Ta opp sanntidspakker fra kablede eller andre typer nettverksgrensesnitt, samt lesing fra en fil;
  • Følgende registreringsgrensesnitt støttes: Ethernet, IEEE 802.11, PPP og lokale virtuelle grensesnitt;
  • Pakker kan filtreres ut av en rekke parametere ved hjelp av filtre;
  • Alle kjente protokoller er uthevet i listen i forskjellige farger, slik som TCP, HTTP, FTP, DNS, ICMP, og så videre;
  • Støtte for å fange trafikk av VoIP-anrop;
  • Dekryptering av HTTPS-trafikk støttes i nærvær av et sertifikat;
  • Dekryptering av WEP-, WPA-trafikk av trådløse nettverk i nærvær av en nøkkel og håndtrykk;
  • Vise nettverksbelastningsstatistikk;
  • Se innholdet i pakker for alle nettverkslag;
  • Viser tidspunktet for sending og mottak av pakker.

Programmet har mange andre funksjoner, men disse var de viktigste som kan interessere deg.

Slik bruker du Wireshark

Jeg antar at du allerede har programmet installert, men hvis ikke, kan du installere det fra de offisielle depotene. For å gjøre dette, skriv inn kommandoen i Ubuntu:

sudo apt installer wireshark

Etter installasjonen finner du programmet i hovedmenyen til distribusjonen. Du må kjøre Wireshark med superbrukerrettigheter, for ellers vil den ikke kunne analysere nettverkspakker. Dette kan gjøres fra hovedmenyen eller via terminalen ved å bruke kommandoen for KDE:

Og for Gnome/Unity:

Hovedvinduet til programmet er delt inn i tre deler: den første kolonnen inneholder en liste over nettverksgrensesnitt tilgjengelig for analyse, den andre - alternativer for å åpne filer, og den tredje - hjelp.

Nettverkstrafikkanalyse

For å starte analysen, velg nettverksgrensesnittet, for eksempel eth0, og klikk på knappen start.

Etter det åpnes neste vindu, allerede med en strøm av pakker som passerer gjennom grensesnittet. Dette vinduet er også delt inn i flere deler:

  • Øverste del- dette er menyer og paneler med forskjellige knapper;
  • Pakkeliste- videre vises strømmen av nettverkspakker som du vil analysere;
  • Pakkeinnhold- rett under innholdet i den valgte pakken er plassert, den er delt inn i kategorier avhengig av transportnivået;
  • Virkelig ytelse- helt nederst vises innholdet i pakken i ekte form, samt i form av HEX.

Du kan klikke på en hvilken som helst pakke for å analysere innholdet:

Her ser vi en DNS-spørringspakke for å få sidens IP-adresse, i selve spørringen sendes domenet, og i svarpakken får vi både spørsmålet vårt og svaret.

For mer praktisk visning kan du åpne pakken i et nytt vindu ved å dobbeltklikke på oppføringen:

Wireshark-filtre

Det er veldig upraktisk å sortere gjennom pakker manuelt for å finne de du trenger, spesielt med en aktiv strøm. Derfor er det bedre å bruke filtre for en slik oppgave. Det er en egen linje for å legge inn filtre under menyen. du kan klikke uttrykk for å åpne filterbyggeren, men det er mange av dem, så vi skal dekke de mest grunnleggende:

  • ip.dst- mål IP-adresse;
  • ip.src- IP-adressen til avsenderen;
  • ip.addr- IP til avsender eller mottaker;
  • ip.proto- protokoll;
  • tcp.dstport- ankomsthavn;
  • tcp.srcport- porten til avsenderen;
  • ip.ttl- filtrer etter ttl, bestemmer nettverksavstanden;
  • http.request_uri- den forespurte nettstedsadressen.

Du kan bruke følgende operatorer for å spesifisere forholdet mellom et felt og en verdi i et filter:

  • == - er lik;
  • != - ikke lik;
  • < - mindre;
  • > - mer;
  • <= - mindre eller lik;
  • >= - mer eller lik;
  • fyrstikker- vanlig uttrykk;
  • inneholder- inneholder.

For å kombinere flere uttrykk kan du bruke:

  • && - begge uttrykkene må være sanne for pakken;
  • || – et av uttrykkene kan være sant.

La oss nå se nærmere på eksempler på flere filtre og prøve å forstå alle tegn på relasjoner.

La oss først filtrere alle pakker sendt til 194.67.215. Skriv inn en streng i filterfeltet og klikk søke om. For enkelhets skyld kan Wireshark-filtre lagres ved å bruke knappen Lagre:

ip.dst == 194.67.215.125

Og for å få ikke bare sendte pakker, men også mottatt som svar fra denne noden, kan du kombinere to forhold:

ip.dst == 194.67.215.125 || ip.src == 194.67.215.125

Vi kan også velge overførte store filer:

http.content_length > 5000

Ved å filtrere innholdstypen kan vi velge alle bildene som er lastet opp; la oss analysere Wireshark-trafikken, pakker som inneholder ordbildet:

http.content_type inneholder bilde

For å tømme filteret kan du klikke på knappen Klar. Det hender at du ikke alltid vet all informasjonen som er nødvendig for filtrering, men du vil bare studere nettverket. Du kan legge til et hvilket som helst pakkefelt som en kolonne og se innholdet i det generelle vinduet for hver pakke.

For eksempel vil jeg vise ttl (time to live) for en pakke som en kolonne. For å gjøre dette, åpne pakkeinformasjonen, finn dette feltet i IP-delen. Ring deretter opp kontekstmenyen og velg alternativet Bruk som kolonne:

På samme måte kan du lage et filter basert på et hvilket som helst ønsket felt. Velg den og ring opp kontekstmenyen, og klikk deretter Påfør som filter eller Forbered som filter, velg deretter valgt, for å vise bare valgte verdier, eller Ikke valgt for å fjerne dem:

Det angitte feltet og dets verdi vil bli brukt eller, i det andre tilfellet, erstattet i filterfeltet:

På denne måten kan du legge til et felt i en hvilken som helst pakke eller kolonne til filteret. Det er også dette alternativet i hurtigmenyen. Du kan også bruke enklere betingelser for å filtrere protokoller. La oss for eksempel analysere Wireshark-trafikk for HTTP- og DNS-protokoller:

En annen interessant funksjon ved programmet er bruken av Wireshark for å spore en spesifikk økt mellom brukerens datamaskin og serveren. For å gjøre dette, åpne kontekstmenyen for pakken og velg Følg TCP-strømmen.

Da åpnes et vindu der du finner alle dataene som er overført mellom serveren og klienten:

Diagnostisere Wireshark-problemer

Du lurer kanskje på hvordan du bruker Wireshark 2.0 for å oppdage nettverksproblemer. For å gjøre dette, i nedre venstre hjørne av vinduet er det en rund knapp, når du klikker på den, åpnes et vindu Ekspertverktøy. I den samler Wireshark alle feil- og nettverksfeilmeldinger:

Vinduet er delt inn i faner som feil, advarsler, merknader, chatter. Programmet kan filtrere og finne mange nettverksproblemer, og her kan du se dem veldig raskt. Wireshark-filtre støttes også her.

Wireshark trafikkanalyse

Du kan veldig enkelt forstå nøyaktig hva brukerne lastet ned og hvilke filer de så på hvis tilkoblingen ikke var kryptert. Programmet gjør en veldig god jobb med å trekke ut innhold.

For å gjøre dette må du først slutte å fange trafikk ved å bruke den røde firkanten på panelet. Åpne deretter menyen fil -> Eksporter objekter -> http:

Introduksjon

I driften av et datanettverk og nettverksstabelen av noder, oppstår det noen ganger problemer, årsakene til disse er vanskelige å oppdage av velkjente statistikkinnsamlingsverktøy (som netstat) og standardapplikasjoner basert på ICMP-protokollen (ping, traceroute /tracert, etc.). I slike tilfeller, for å diagnostisere problemer, er det ofte nødvendig å bruke mer spesifikke verktøy som lar deg vise (lytte) nettverkstrafikk og analysere den på nivået av overføringsenheter for individuelle protokoller ( "snuser", snuser).

Nettverksprotokollanalysatorer eller "sniffer" er ekstremt hjelpsomme verktøy for å studere oppførselen til nettverksnoder og identifisere nettverksproblemer. Selvfølgelig, som ethvert verktøy, for eksempel en skarp kniv, kan en sniffer være både en velsignelse i hendene på en systemadministrator eller informasjonssikkerhetsingeniør, og et kriminalitetsvåpen i hendene på en dataangriper.

Slik spesialisert programvare bruker vanligvis "promiscuos" driftsmodus for nettverksadapteren overvåke datamaskin (spesielt for å fange opp trafikken til et nettverkssegment, bytteport eller ruter). Som du vet, er essensen av denne modusen til behandlingen av alle rammer som kommer til grensesnittet, og ikke bare de som er beregnet på MAC-adressen til nettverkskortet og kringkastingen, slik tilfellet er i normal modus.

Produkt dekket i denne artikkelen Wireshark er et velkjent verktøy for å avskjære og interaktiv analyse av nettverkstrafikk, faktisk standarden innen industri og utdanning. TIL nøkkelfunksjoner til Wireshark inkluderer: multiplattform (Windows, Linux, Mac OS, FreeBSD, Solaris, etc.); evnen til å analysere hundrevis av forskjellige protokoller; støtte for både den grafiske driftsmodusen og kommandolinjegrensesnittet (tshark-verktøyet); kraftig system med trafikkfiltre; eksport av arbeidsresultater til XML, PostScript, CSV formater, etc.

Et annet viktig faktum er at Wireshark er åpen kildekode-programvare, distribuert under GNU GPLv2-lisensen dvs. du står fritt til å bruke dette produktet som du ønsker.

Installerer Wireshark

Den nyeste versjonen av Wireshark for Windows og OS X operativsystemer, samt kildekoden, kan være Last ned fra prosjektets nettside. For Linux-distribusjoner og BSD-systemer er dette produktet vanligvis tilgjengelig i standard eller ekstra repositories. Skjermbildene publisert i denne artikkelen er fra versjon 1.6.2 av Wireshark for Windows. Tidligere versjoner av programmet, som finnes i repositoriene til Unix-lignende operativsystemer, kan også brukes med hell, siden Wireshark lenge har vært et stabilt og funksjonelt produkt.

Wireshark er basert på Pcap (Packet Capture)-biblioteket, som er et applifor implementering av lavnivåfunksjoner for samhandling med nettverksgrensesnitt (spesielt avskjæring og generering av vilkårlige overføringsenheter av nettverksprotokoller og lokalnettverksprotokoller). Pcap-biblioteket er også grunnlaget for kjente nettverksverktøy som tcpdump, snort, nmap, kismet osv. For Unix-lignende systemer er Pcap vanligvis til stede i standard programvarelagre. For Windows-familien av operativsystemer finnes det en versjon av Pcap kalt Winpcap. Det kan Last ned fra prosjektets nettside. Dette er imidlertid vanligvis ikke nødvendig, siden Winpcap-biblioteket er inkludert i installasjonspakken for Wireshark for Windows.

Prosessen med å installere programmet er ikke vanskelig for noe operativsystem, selvfølgelig justert for spesifikasjonene til plattformen du bruker. For eksempel er Wireshark i Debian/Ubuntu installert slik at uprivilegerte brukere ikke har lov til å avskjære pakker som standard, så programmet må kjøres ved å bruke sudo-bruker-ID-endringsmekanismen (eller utføre de nødvendige manipulasjonene i henhold til standard DEB-pakkedokumentasjon) .

Grunnleggende om å jobbe med Wireshark

Wireshark-brukergrensesnittet er bygget på toppen av GTK+-biblioteket(GIMP Toolkit). Hovedprogramvinduet inneholder følgende elementer: meny, verktøylinjer og visningsfiltre, liste over pakker, detaljert beskrivelse av den valgte pakken, visning av pakkebyte (i heksadesimal form og som tekst) og statuslinje:

Det skal bemerkes at brukergrensesnittet til programmet er godt designet, ganske ergonomisk og ganske intuitivt, noe som lar brukeren konsentrere seg om å studere nettverksprosesser uten å bli distrahert av bagateller. I tillegg er alle funksjonene og detaljene ved bruk av Wireshark beskrevet i detalj i brukermanual. Derfor fokuserer denne artikkelen på funksjonaliteten til det aktuelle produktet, dets funksjoner sammenlignet med andre sniffere, for eksempel med det velkjente konsollverktøyet tcpdump.

Så, ergonomien til Wireshark reflekterer en lagdelt tilnærming til å tilby nettverksinteraksjoner. Alt gjøres på en slik måte at brukeren ved å velge en nettverkspakke fra listen får muligheten til å se alle overskriftene (lagene), samt feltverdiene til hvert lag i nettverkspakken, fra kl. innpakningen - Ethernet-rammen, selve IP-headeren, transportlagets header og applikasjonsdataprotokollene i pakken.

Innledende data for prosessering kan hentes av Wireshark i sanntid eller importeres fra en nettverkstrafikkdumpfil, og flere dumper for analyseoppgaver kan kombineres til én i farten.

Problemet med å søke etter de nødvendige pakkene i store mengder avlyttet trafikk er løst to typer filtre: trafikkinnsamling (fangstfiltre) og hans vise filtre. Wiresharks samlingsfiltre er basert på Pcap-bibliotekets filterspråk, d.v.s. syntaksen i dette tilfellet er lik den for tcpdump-verktøyet. Et filter er en serie primitiver kombinert, om nødvendig, med logiske funksjoner (og, eller, ikke). Ofte brukte filtre kan lagres til gjenbrukbar profil.

Figuren viser profilen for Wireshark samlingsfiltre:

Wireshark-nettverkspakkeanalysatoren har også sin enkle, men funksjonsrike vis filterspråk. Verdien til hvert felt i pakkehodet kan brukes som et filterkriterium(for eksempel er ip.src kildens IP-adresse i nettverkspakken, frame.len er lengden på Ethernet-rammen osv.). Ved å bruke sammenligningsoperasjoner kan feltverdier sammenlignes med gitte verdier(f.eks. frame.len og kombiner flere uttrykk med logiske operatorer (for eksempel: ip.src==10.0.0.5 og tcp.flags.fin). En god hjelper i prosessen med å konstruere uttrykk er vindu for oppsett av regler (filteruttrykk):

Nettverkspakkeanalyseverktøy

Hvis tilkoblingsløse protokoller kan undersøkes ved ganske enkelt å se på individuelle pakker og beregne statistikk, er studiet av driften av tilkoblingsorienterte protokoller sterkt forenklet ved tilstedeværelsen av ytterligere muligheter for å analysere forløpet av nettverksinteraksjoner.

En av de nyttige funksjonene til Wireshark er varen "Følg TCP Stream"(bokstavelig talt, "Følg TCP-strøm") "Analyser"-undermeny for å trekke ut applikasjonsprotokolldata fra TCP-segmentene til strømmen som den valgte pakken tilhører:

Et annet interessant element i analyseundermenyen er "Ekspertinformasjon sammensatt", som kaller vinduet til det innebygde Wireshark-ekspertsystemet, som vil prøve å oppdage feil og merknader i pakker, automatisk trekke ut individuelle tilkoblinger fra dumpen og karakterisere dem. Denne modulen er under utvikling og blir forbedret fra versjon til versjon av programmet.

I statistikk-undermenyen "Statistikk" innsamlede alternativer som lar deg beregne alle slags statistiske egenskaper for den studerte trafikken, bygge grafer over intensiteten av nettverksstrømmer, analysere responstiden til tjenester, etc. Ja, poeng "Protokollhierarki" viser statistikk i form av en hierarkisk liste over protokoller som indikerer prosentandelen av total trafikk, antall pakker og byte som overføres av denne protokollen.

Funksjon sluttpunkt gir statistikk på flere nivåer over innkommende/utgående trafikk til hver node. Avsnitt "Samtaler"(bokstavelig talt, "samtaler") lar deg bestemme mengden trafikk til forskjellige protokoller (kanal-, nettverks- og transportlag i interaksjonsmodellen for åpne systemer) som overføres mellom samhandlende noder. Funksjon "Pakkelengder" viser distribusjonen av pakker etter deres lengde.

Avsnitt Flytdiagram... representerer pakkestrømmer i grafisk form. Samtidig, når du velger et element på diagrammet, blir den tilsvarende pakken aktiv i listen i hovedprogramvinduet:

En egen undermeny i de nyeste versjonene av Wireshark er forbeholdt IP-telefoni. I undermenyen "Verktøy" er det et element Brannmur ACL-regler, vil forsøke å opprette en brannmurregel for den valgte pakken (versjon 1.6.x støtter formatene Cisco IOS, IP Filter, IPFirewall, Netfilter, Packet Filter og Windows Firewall).

Programmet har også en innebygd lettvektstolk. Lua programmeringsspråk. Ved å bruke Lua kan du lage dine egne protokoll-"dekodere" og hendelsesbehandlere i Wireshark.

I stedet for en konklusjon

Wireshark-nettverkspakkeanalysatoren er et eksempel på et Opensource-produkt som er vellykket både innenfor Unix/Linux-plattformen og populært blant brukere av Windows og Mac OS X. I tillegg til Wireshark er det selvfølgelig tungvekts komplekse intelligente løsninger i felt for nettverkstrafikkforskning, hvis funksjonalitet er mye bredere. Men de koster for det første mye penger, og for det andre er de vanskelige å mestre og drifte; for det tredje må du forstå at ikke alt kan automatiseres og ingen ekspertsystem kan erstatte en god spesialist. Så hvis du står overfor oppgaver som krever nettverkstrafikkanalyse, er Wireshark verktøyet for deg. Og fans av kommandolinjen kan bruke verktøyet tshark - konsollversjon av Wireshark.

Noen ganger ved bruk av Internett oppstår det situasjoner der trafikklekkasjer eller uforutsett forbruk av systemressurser oppstår. For raskt å analysere og finne kilden til problemet, bruk spesielle nettverksverktøy. En av dem, WireShark, vil bli diskutert i artikkelen.

generell informasjon

Før du bruker WireShark, må du gjøre deg kjent med omfanget, funksjonaliteten og mulighetene. Kort sagt: programmet lar deg fange opp pakker i sanntid i kablede og trådløse nettverksforbindelser. Brukes i Ethernet, IEEE 802.11, PPP og lignende protokoller. Du kan også bruke avlytting av VoIP-anropstrafikk.

Programmet distribueres under GNU GPL-lisensen, som betyr gratis og åpen kildekode. Du kan kjøre den på mange Linux-distribusjoner, MacOS, og det er også en versjon for Windows-operativsystemet.

Hvordan bruker jeg WireShark?

Først bør du først installere den i systemet. Siden en av de mest brukte Linux-distribusjonene er Ubuntu, vil alle eksempler vises i den.

For å installere, skriv inn følgende kommando i konsollen:

sudo apt-get install wireshark

Etter det vil programmet vises i hovedmenyen. Du kan kjøre den derfra. Men det er bedre å gjøre det fra terminalen, siden hun trenger superbrukerrettigheter. Dette kan gjøres slik:

Utseende

Programmet har et brukervennlig grafisk grensesnitt. Et vennlig vindu vil dukke opp foran brukeren, delt inn i 3 deler. Den første er direkte relatert til fangst, den andre er relatert til å åpne filer og prøver, og den tredje er hjelp og støtte.

Capture-blokken inneholder en liste over nettverksgrensesnitt som er tilgjengelige for fangst. Når du velger for eksempel eth0 og trykker på Start-knappen, starter avlyttingsprosessen.

Vinduet med avlyttede data er også logisk delt inn i flere deler. Øverst er et kontrollpanel med ulike elementer. Den etterfølges av en liste over pakker. Den presenteres i form av en tabell. Her kan du se serienummeret til pakken, tidspunktet for avlytting, avreiseadresse og mottak. Du kan også fjerne data om protokollene som brukes, lengde og annen nyttig informasjon.

Under listen er et vindu med innholdet i de tekniske dataene til den valgte pakken. Og enda lavere er det en skjerm i heksadesimal form.

Hver visning kan maksimeres i et stort vindu for enklere lesing av dataene.

Bruk av filtre

I løpet av programmets drift vil dusinvis eller til og med hundrevis av pakker alltid kjøre foran brukeren. Å luke dem ut for hånd er ganske vanskelig og tidkrevende. Derfor anbefaler den offisielle WireShark-instruksjonen å bruke filtre.

For dem er det et spesialfelt i programvinduet - Filter. For å konfigurere filteret mer presist, er det en uttrykksknapp.

Men i de fleste tilfeller vil et standardsett med filtre være tilstrekkelig:

  • ip.dst - pakkedestinasjons-ip-adresse;
  • ip.src - avsenderadresse;
  • ip.addr - bare hvilken som helst ip;
  • ip.proto - protokoll.

Bruk av filtre i WireShark - instruksjoner

For å prøve hvordan programmet fungerer med filtre, må du angi en spesifikk kommando. For eksempel vil et slikt sett - ip.dst == 172.217.23.131 - vise alle flygende pakker til Google-nettstedet. For å se all trafikk - både innkommende og utgående - kan du kombinere to formler - ip.dst == 172.217.23.131 || ip.src == 172.217.23.131. Dermed viste det seg å bruke to tilstander samtidig på en linje.

Du kan bruke andre betingelser, for eksempel ip.ttl< 10. Данная команда выведет все пакеты с длительностью жизни меньше 10. Чтобы выбрать данные по их размеру, можно применить такой подход — http.content_length > 5000.

Tilleggsfunksjoner

For enkelhets skyld har WireShark en måte å raskt velge pakkeparametere som det analyserte feltet. I et felt med tekniske data kan du for eksempel høyreklikke på ønsket objekt og velge Bruk som kolonne. Hva betyr overføringen til feltområdet som en kolonne.

På samme måte kan du velge hvilken som helst parameter som et filter. For å gjøre dette har kontekstmenyen Bruk som filter-elementet.

Egen økt

Du kan bruke WireShark som en monitor mellom to nettverksnoder, for eksempel en bruker og en server. For å gjøre dette, velg pakken av interesse, ring opp kontekstmenyen og klikk Følg TCP-strøm. Et nytt vindu vil vise hele utvekslingsloggen mellom de to nodene.

Diagnostikk

WireShark har et eget verktøy for å analysere nettverksproblemer. Det kalles Expert Tools. Du finner den i nedre venstre hjørne, i form av et rundt ikon. Ved å klikke på det åpnes et nytt vindu med flere faner - Feil, Advarsler og andre. Med deres hjelp kan du analysere hvilke noder som feiler, pakker som ikke når, og oppdage andre problemer med nettverket.

Stemmetrafikk

Som allerede nevnt, kan WireShark også avskjære taletrafikk. Det er en hel Telefoni-meny dedikert til dette. Dette kan brukes til å finne problemer i VoIP og løse dem raskt.

VoIP-anrop-elementet i Telefoni-menyen lar deg se de foretatte anropene og lytte til dem.

Eksporter objekter

Dette er sannsynligvis den mest interessante funksjonen i programmet. Den lar deg bruke WireShark som en interceptor for filer som overføres over nettverket. For å gjøre dette, må du stoppe avlyttingsprosessen og eksportere HTTP-objekter i Fil-menyen. I vinduet som åpnes vil en liste over alle filer som er overført under økten bli presentert, som kan lagres på et passende sted.

Til slutt

Dessverre vil det være vanskelig å finne den nåværende versjonen av WireShark på russisk på nettet. Den mest tilgjengelige og mest brukte er på engelsk.

Situasjonen er også med detaljerte instruksjoner for WireShark på russisk. Offisiell fra utvikleren presenteres på engelsk. Det er mange små og konsise veiledninger på WireShark for nybegynnere på nettet.

Men for de som har jobbet i IT-feltet lenge, vil det ikke by på noen spesielle vanskeligheter å håndtere programmet. Og store muligheter og rik funksjonalitet vil lyse opp alle vanskelighetene med å studere.

Det er verdt å merke seg at i noen land kan bruk av en sniffer, som er WireShark, være ulovlig.



© Copyright 2017, https://qzoreteam.ru