Skip to main content

Ako používať Wireshark na zachytenie, filtrovanie a kontrolu balení

Ako používať Wireshark na zachytenie, filtrovanie a kontrolu balení

Geoffrey Carr

Wireshark, sieťový analytický nástroj, ktorý bol predtým známy ako Ethereal, zachytáva pakety v reálnom čase a zobrazuje ich vo formáte čitateľnom pre človeka. Wireshark obsahuje filtre, farebné kódovanie a ďalšie funkcie, ktoré vám umožnia hlbšie prechádzať do siete a kontrolovať jednotlivé pakety.

Tento tutoriál vás prevedie rýchlo so základmi zachytenia paketov, ich filtrovaním a kontrolou. Môžete použiť službu Wireshark na kontrolu sieťovej prevádzky podozrivého programu, na analýzu toku návštevnosti v sieti alebo na riešenie problémov so sieťou.

Získanie Wireshark

Wireshark pre Windows alebo MacOS si môžete stiahnuť z oficiálnych webových stránok. Ak používate Linux alebo iný systém podobný systému UNIX, pravdepodobne nájdete Wireshark vo svojich úložiskách balíkov. Napríklad, ak používate Ubuntu, Wireshark nájdete v Softvérovom centre Ubuntu.

Len rýchle varovanie: Mnoho organizácií nepovoľuje sieť Wireshark a podobné nástroje. Nepoužívajte tento nástroj v práci, pokiaľ nemáte povolenie.

Zachytenie paketov

Po prevzatí a inštalácii Wireshark ho môžete spustiť a dvakrát kliknúť na názov sieťového rozhrania v časti Capture (Zachytiť), čím začnete zachytiť pakety na danom rozhraní. Ak chcete napríklad zaznamenať návštevnosť vo vašej bezdrôtovej sieti, kliknite na bezdrôtové rozhranie. Rozšírené funkcie môžete nakonfigurovať kliknutím na možnosť Zachytiť> Možnosti, ale teraz to nie je potrebné.

Akonáhle kliknete na názov rozhrania, uvidíte, že sa pakety začnú zobrazovať v reálnom čase. Wireshark zachytáva každý paket odoslaný do alebo z Vášho systému.

Ak máte promiskuitný režim povolený - je to predvolene povolené - uvidíte aj všetky ostatné pakety v sieti namiesto iba paketov adresovaných sieťovému adaptéru. Ak chcete skontrolovať, či je povolený promiskuitný režim, kliknite na tlačidlo Zachytiť> Možnosti a začiarknite políčko "Povoliť promiskuitný režim na všetkých rozhraniach" v spodnej časti tohto okna.

Kliknite na červené tlačidlo "Stop" v ľavom hornom rohu okna, keď chcete zastaviť snímanie návštevnosti.

Farebné kódovanie

Budete pravdepodobne vidieť pakety zvýraznené v rôznych farbách. Wireshark používa farby, ktoré vám na prvý pohľad pomôžu identifikovať typy prevádzky. V predvolenom nastavení je svetlo purpurová návštevnosť TCP, svetelná modrá je služba UDP a čierna identifikuje pakety s chybami - napríklad mohli byť nedoručené.

Ak chcete zobraziť presne to, čo znamenajú farebné kódy, kliknite na položku Zobraziť> Pravidlá sfarbenia. Môžete tiež prispôsobiť a upraviť pravidlá sfarbenia tu, ak chcete.

Ukážka zachytáva

Ak nie je na vašej vlastnej sieti nič zaujímavé, wiki Wireshark vás pokryje. Wiki obsahuje stránku súborov na zachytávanie vzoriek, ktoré môžete načítať a kontrolovať. Kliknite na položku Súbor> Otvoriť v aplikácii Wireshark a prehliadnutím stiahnutého súboru otvorte súbor.

Môžete tiež uložiť svoje vlastné snímky v Wireshark a otvoriť ich neskôr. Kliknutím na položku Súbor> Uložiť uložené pakety.

Filtrovanie paketov

Ak sa pokúšate skontrolovať niečo konkrétne, ako je napríklad návštevnosť, ktorú pošle program počas telefonovania, pomôže zatvoriť všetky ostatné aplikácie pomocou siete, aby ste mohli zúžiť návštevnosť. Napriek tomu budete pravdepodobne mať veľké množstvo paketov, ktoré sa budú preťahovať. To je miesto, kde Wireshark filtre prídu dovnútra.

Najzákladnejším spôsobom použitia filtra je zadanie do filtračného poľa v hornej časti okna a kliknutie na tlačidlo Použiť (alebo stlačenie klávesu Enter). Zadajte napríklad "dns" a uvidíte iba pakety DNS. Keď začnete písať, služba Wireshark vám pomôže pri automatickom dokončení filtrovania.

Môžete tiež kliknúť na položku Analýza> Filtre zobrazenia a vybrať filter z predvolených filtrov zahrnutých do služby Wireshark. Odtiaľ môžete pridať vlastné vlastné filtre a uložiť ich, aby ste im v budúcnosti mohli ľahko pristupovať.

Ďalšie informácie o jazyku filtrovania zobrazenia Wireshark nájdete v oficiálnej dokumentácii Wireshark na stránke Výrazy filtrov budovy.

Ďalšou zaujímavou vecou, ​​ktorú môžete urobiť, je pravé kliknutie na paket a výberom položky Follow> TCP Stream.

Zobrazí sa celá konverzácia TCP medzi klientom a serverom. Môžete tiež kliknúť na iné protokoly v ponuke Follow a zobraziť úplné konverzácie pre ostatné protokoly, ak je to vhodné.

Zatvorte okno a nájdete filter, ktorý bol automaticky použitý. Wireshark vám zobrazuje pakety, ktoré tvoria rozhovor.

Kontrola paketov

Kliknutím na paket ho vyberiete a budete môcť kopať a zobraziť jeho detaily.

Môžete tu tiež vytvoriť filtre - stačí kliknúť pravým tlačidlom myši na niektorú z podrobností a použiť submenu Apply as Filter na vytvorenie filtrovača založeného na nej.


Wireshark je mimoriadne výkonný nástroj a tento tutoriál je len poškriabaním povrchu toho, čo s ním môžete robiť. Odborníci ju používajú na ladenie implementácií sieťových protokolov, skúmanie bezpečnostných problémov a kontrolu interných protokolov siete.

Podrobnejšie informácie nájdete v oficiálnej používateľskej príručke Wireshark a na ďalších stránkach dokumentácie na webovej lokalite spoločnosti Wireshark.

Link
Plus
Send
Send
Pin