Cum se utilizează Wireshark [Tutorial]

Wireshark


Ce face Wireshark?

În ultimii ani, Wireshark și-a dezvoltat o reputație de unul dintre cei mai fiabili analizatori de rețea disponibili pe piață. Utilizatorii de pe tot globul folosesc această aplicație open source un instrument complet de analiză a rețelei. Prin Wireshark, utilizatorii pot rezolva problemele de rețea, pot examina problemele de securitate, depana protocoalele și pot învăța procesele de rețea.

În acest tutorial, veți afla cum funcționează Wireshark. Vă vom parcurge pașii pentru localizarea programului Wireshark și instalarea acestuia pe computer. Veți afla cum să porniți o captura de pachete și ce informații vă puteți aștepta să ieșiți din ea. Tutorialul Wireshark vă va arăta cum puteți obține cele mai bune funcții de manipulare a datelor din interfață. Veți afla, de asemenea, cum puteți obține funcții de analiză a datelor mai bune decât cele care sunt native pentru Wireshark.

Cum se utilizează Wireshark

După cum am menționat mai sus, Wireshark este un instrument de analiză a rețelei. La baza sa, Wireshark a fost proiectat pentru a descompune pachetele de date transferate prin diferite rețele. Utilizatorul poate căuta și filtra pachete de date specifice și poate analiza modul în care sunt transferate în rețeaua lor. Aceste pachete pot fi utilizate pentru analiză în timp real sau offline.

Utilizatorul poate utiliza aceste informații pentru a genera statistici și grafice. Wireshark a fost inițial cunoscut sub numele de Ethereal, dar de atunci s-a stabilit ca unul dintre instrumentele cheie de analiză a rețelei de pe piață. Acesta este instrumentul accesibil pentru utilizatorii care doresc să vizualizeze datele generate de diferite rețele și protocoale.

Wireshark este potrivit pentru utilizatori începători și experți. Interfața cu utilizatorul este incredibil de simplă de utilizat odată ce înveți pașii inițiali pentru capturarea pachetelor. Utilizatori mai avansați pot utiliza instrumentele de decriptare ale platformei pentru a descompune pachetele criptate.

Caracteristici core Wireshark

Mai jos este o defalcare a caracteristicilor de bază ale Wireshark:

  •  Capturați date de pachete în direct
  •  Importați pachete din fișiere text
  •  Vizualizați datele de pachet și informațiile despre protocol
  •  Salvați datele de pachete capturate
  •  Afișează pachete
  •  Pachete de filtrare
  •  Căutați pachete
  •  Colorați pachetele
  •  Generați statistici

Majoritatea utilizatorilor folosesc Wireshark pentru a detecta problemele de rețea și pentru a-și testa software-ul. Fiind un proiect open source, Wireshark este întreținut de o echipă unică care menține standardele de servicii ridicate. În acest ghid, vom descrie modul de utilizare a Wireshark. Mai multe informații pot fi găsite în ghidul oficial al utilizatorului Wireshark.

Cum să descărcați și să instalați Wireshark

Înainte de a utiliza Wireshark, primul lucru pe care trebuie să îl faceți este să descărcați și să instalați. Puteți descărca Wireshark gratuit pe site-ul companiei. Pentru a avea cea mai bună experiență de rulare, se recomandă să descărcați cea mai recentă versiune disponibilă pe platforma dvs. din secțiunea „versiune stabilă”..

Instalați pe Windows

După ce ați descărcat programul, puteți începe procesul de configurare. În timpul instalării, vi se poate solicita instalarea WinPcap. Este important să instalați WinPcap, fără ca acesta să nu puteți captura trafic de rețea în direct. Fără WinPcap, veți putea deschide doar fișiere de captare salvate. Pentru a instala, pur și simplu verificați Instalați WinPcap cutie.

Instalați pe Mac

Pentru a instala Wireshark pe Mac, mai întâi trebuie să descărcați un program de instalare. Pentru a face acest lucru, descărcați un program de instalare, cum ar fi exquartz. După ce ați făcut acest lucru, deschideți terminalul și introduceți următoarea comandă:

<% /Applications/Wireshark.app/Contents/Mac0S/Wireshark>

Apoi, așteptați să înceapă Wireshark.

Instalați pe Unix

Pentru a rula Wireshark pe Unix, mai întâi aveți nevoie de câteva alte instrumente instalate pe sistemul dvs. Acestea sunt:

  • GTK+, Setul de instrumente GIMP și Glib, ambele din aceeași sursă.
  • De asemenea, vei avea nevoie curgător. Vă puteți familiariza cu ambele instrumente la https://www.gtk.org/
  • libpcap, pe care îl obțineți de la http://www.tcpdump.org/.

După instalarea software-ului de sus menționat și descărcarea software-ului pentru Wireshark, trebuie să o extrageți din fișierul gudron.

gzip -d wireshark-1.2-tar.gz
gudron xvf wireshark-1.2-tar

Modificați-vă în directorul Wireshark și apoi emiteți următoarele comenzi:

./ configure
face
face instalare

Acum puteți rula programul Wireshark pe computerul dvs. Unix.

Cum să capturați pachete de date

Una dintre funcțiile de bază ale Wireshark ca instrument de analiză a rețelei este captarea de pachete de date. Învățarea modului de configurare a Wireshark pentru capturarea pachetelor este esențială pentru realizarea unei analize detaliate a rețelei. Cu toate acestea, este important să rețineți că poate fi dificil să capturați pachete atunci când sunteți nou la Wireshark. Înainte de a începe să capturați pachete, trebuie să faceți trei lucruri:

  1. Asigurați-vă că aveți privilegiile administrative pentru a porni o captura live pe dispozitivul dvs.
  2. Alegeți interfața de rețea corectă pentru a captura date din pachete
  3. Captură pachet de date din locația corectă în rețeaua ta

După ce ați făcut aceste trei lucruri, sunteți gata să începeți procesul de captare. Când utilizați Wireshark pentru a captura pachete, acestea sunt afișate într-un format care poate fi citit de oameni pentru a le face lizibile utilizatorului. Poti de asemenea descompun pachetele cu filtre și codarea culorilor dacă doriți să vedeți informații mai specifice.

Când deschideți prima dată Wireshark, veți fi întâmpinat de următorul ecran de lansare:

Analizor de rețea Wireshark

Primul lucru pe care trebuie să-l faceți este să analizați interfețele disponibile pentru a captura. Pentru a face acest lucru, selectați Captură > Opțiuni. Fereastra de dialog „Capture Interfaces” se va deschide după cum se arată mai jos:

interfață de captare

Bifați caseta interfeței pe care doriți să o capturați și apăsați tasta start buton pentru a porni. Puteți selecta mai multe interfețe dacă doriți să capturați date din mai multe surse simultan.

Pe Unix sau Linux, caseta de dialog este afișată într-un stil similar ca acesta:

interfață de captură unix / linux

De asemenea, puteți porni Wireshark folosind următoarea linie de comandă:

<¢ wireshark -i eth0 —k>

Puteți utiliza, de asemenea, buton de aripioare de rechin pe bara de instrumente ca o comandă rapidă pentru a iniția capturarea pachetelor. După ce faceți clic pe acest buton, Wireshark va începe procesul de captare live.

Dacă doriți să opriți capturarea, faceți clic pe roșu Stop buton de lângă finul rechinului.

Mod promiscuu

Dacă doriți să dezvoltați o vedere generală a transferurilor de pachete de rețea, atunci trebuie să activați „modul promiscu”. Modul promiscuu este un mod de interfață în care Wireshark detaliază fiecare pachet pe care îl vede. Când acest mod este dezactivat, pierdeți transparența în rețeaua dvs. și dezvoltați doar o instantanee limitată a rețelei dvs. (acest lucru face mai dificilă efectuarea oricărei analize).

Pentru a activa modul promiscuu, faceți clic pe butonul Opțiuni de captare caseta de dialog și faceți clic pe modul promiscu. În teorie, acest lucru ar trebui să vă arate tot traficul activ în rețeaua dvs. Caseta de mod promiscuu este prezentată mai jos:

modul promiscu

Cu toate acestea, de cele mai multe ori nu este cazul. Multe interfețe de rețea sunt rezistente la modul promiscuu, așa că trebuie să verificați site-ul web Wireshark pentru informații despre hardware-ul dvs. specific.

Pe Windows este util să vă deschideți Manager de dispozitiv și verificați dacă aveți setările configurate pentru a respinge modul promiscuu. De exemplu:

manager de dispozitiv

(Pur și simplu faceți clic pe rețea și apoi asigurați-vă că setarea dvs. de mod promiscu este setată pe Permite totul).

Dacă aveți setările setate să „respingă” modul promiscuu, atunci veți limita numărul de pachete de capturi Wireshark. Așadar, chiar dacă aveți activat un mod promiscuu pe Wireshark, verificați Managerul de dispozitive pentru a vă asigura că interfața dvs. nu blochează nicio informație. Luându-vă timp să verificați prin infrastructura rețelei dvs. vă veți asigura că Wireshark primește toate pachetele de date necesare.

Cum se analizează pachetele capturate

După ce ați capturat datele din rețea, veți dori să vă uitați la pachetele capturate. În imaginea de mai jos, veți vedea trei panouri lista pachetelor panoul, octeți de pachete panoul și detalii pachet panou.

Dacă doriți mai multe informații, puteți face clic pe oricare dintre câmpurile din fiecare pachet pentru a vedea mai multe. Când faceți clic pe un pachet, veți afișa o defalcare a octeților interni în secțiunea de vizualizare a octeților.
pachete capturate

Lista pachetelor

Panoul listei de pachete este afișat în partea de sus a capturii de ecran. Fiecare piesă este defalcată la un număr cu informații despre timp, sursă, destinație, protocol și asistență.

Detalii pachet

Detaliile pachetului pot fi găsite la mijloc, arătând protocoalele pachetului ales. Puteți extinde fiecare secțiune dând clic pe săgeata de lângă rândul ales. Puteți aplica filtre suplimentare, făcând clic dreapta pe elementul ales.

Bytes de pachete

Panoul de octeți de pachete este afișat în partea de jos a paginii. Acest panou arată datele interne ale pachetului selectat. Dacă evidențiați o parte din datele din această secțiune, informațiile corespunzătoare ale acestora sunt de asemenea evidențiate în panoul cu detalii ale pachetului. În mod implicit, toate datele sunt afișate în format hexadecimal. Dacă doriți să o schimbați în format de biți, faceți clic dreapta pe panou și selectați această opțiune din meniul contextual.

Cum se utilizează Wireshark pentru a analiza performanța rețelei

Dacă doriți să utilizați Wireshark pentru a vă inspecta rețeaua și a analiza tot traficul activ, atunci trebuie să închideți toate aplicațiile active din rețeaua dvs. Acest lucru va reduce traficul la minimum, astfel încât să puteți vedea ce se întâmplă în rețeaua dvs. mai clar. Cu toate acestea, chiar dacă opriți toate aplicațiile, veți avea totuși o sumă de pachete trimise și primite.

Utilizarea Wireshark pentru a filtra aceste pachete este cel mai bun mod de a face bilanțul datelor dvs. de rețea. Când conexiunea dvs. este activă, mii de pachete se transferă prin rețea în fiecare secundă. Aceasta înseamnă esențial să filtrați informațiile de care nu aveți nevoie pentru a obține o imagine clară a ceea ce se întâmplă.

Capturați filtre și afișați filtre

Captați filtrele și Afișați filtrele sunt două tipuri de filtre distincte care pot fi utilizate pe Wireshark. Capture Filters sunt utilizate pentru a reduce dimensiunea capturii de pachete primite, filtrând în esență alte pachete în timpul captării în direct a pachetelor. Drept urmare, filtrele de captare sunt setate înainte de a începe procesul de captare live.

Capture Filtre nu pot fi modificate după ce a fost pornită o captura. Pe de altă parte, Afișați filtrele poate fi folosit pentru a filtra date care au fost deja înregistrate. Capture Filters determină ce date capturați de la monitorizarea rețelei în direct, iar Filtrele afișate dictează datele pe care le vedeți când căutați prin pachete capturate anterior.

Dacă doriți să începeți filtrarea datelor dvs., una dintre cele mai ușoare metode de a face acest lucru este să utilizați caseta de filtru de sub bara de instrumente. De exemplu, dacă tastați HTTP în caseta de filtrare, vi se va oferi o listă cu toate pachetele HTTP capturate. Când începeți să tastați, veți primi un câmp complet automat. Cutia de filtru este prezentată mai jos:

Filtrare Wireshark

Puteți utiliza sute de filtre diferite pentru a descompune informațiile despre pachete, de la 104apci la zvt. O listă extinsă poate fi găsită pe site-ul Wireshark aici. Puteți alege, de asemenea, un filtru dând clic pe pictograma marcajului din stânga câmpului de intrare. Acest lucru va ridica un meniu de filtre populare.

Dacă alegeți să setați un filtru de captare, atunci modificările dvs. vor intra în vigoare odată ce începeți înregistrarea traficului în direct. Pentru a activa un filtru de afișare, trebuie doar să faceți clic pe săgeata din dreapta câmpului de intrare. Alternativ, puteți da clic A analiza > Afișați filtrele și alegeți un filtru din lista valorilor prestabilite.

După alegerea unui filtru, puteți vedea conversația TCP în spatele unui pachet. Pentru a face acest lucru, faceți clic dreapta pe pachet și faceți clic pe Urmăriți > Fluxul TCP. Acest lucru vă va arăta schimbul TCP între client și server.

Dacă doriți mai multe informații despre filtrarea Wireshark, ghidul Wireshark pentru afișarea filtrelor este un bun punct de referință.

Utilizarea codării culorilor

Pe lângă filtrarea ce pachete sunt afișate sau înregistrate, facilitatea de codare a culorilor Wireshark facilitează identificarea de tipuri de pachete în funcție de culoarea utilizatorului. De exemplu, traficul TCP este notat cu violet deschis, iar traficul UDP este notat cu albastru deschis. Este important să rețineți că negrul este folosit pentru a evidenția pachetele cu erori.

În setările implicite ale Wireshark, există aproximativ 20 de culori din care puteți alege. Puteți edita, dezactiva sau șterge acestea. Dacă doriți să dezactivați colorizarea, faceți clic pe butonul Vedere meniu și faceți clic pe Colorizez lista de pachete câmp pentru a-l opri. Dacă doriți să vizualizați mai multe informații despre codificarea culorilor în Wireshark, faceți clic pe Vedere >Reguli de colorat.

Vizualizarea statisticilor rețelei

Pentru a vizualiza mai multe informații în rețeaua dvs., meniul derulant statistic este incredibil de util. Meniul de statistici poate fi localizat în partea de sus a ecranului și vă va oferi o serie de valori de la dimensiuni și informații de cronometrare la diagrame și grafice graficate. De asemenea, puteți aplica filtre de afișare la aceste statistici pentru a restrânge informațiile importante.

Meniul de statistici Wireshark este prezentat mai jos:

statisticile wireshark

În acest meniu există o varietate de opțiuni care vă pot ajuta să descompuneți informațiile din rețea.

Selectarea meniului statistic

Iată câteva dintre secțiunile de bază:

  • Ierarhie de protocol - Opțiunea Ierarhie de protocol ridică o fereastră cu un tabel complet cu toate protocoalele capturate. Filtrele de afișare active sunt de asemenea afișate în partea de jos.
  • conversaţii - Dezvăluie conversația de rețea între două puncte finale (de exemplu schimbul de trafic de la o adresă IP la alta).
  • Endpoints - Afișează o listă de puncte finale (un punct de rețea este locul unde se termină traficul de protocol al unui strat de protocol specific).
  • Grafice IO - Afișează grafice specifice utilizatorului, vizualizând numărul de pachete pe întregul schimb de date.
  • RTP_statistics - Permite utilizatorului să salveze conținutul unui flux audio RTP direct într-un fișier Au.
  • Timpul de răspuns al serviciului - Afișează timpul de răspuns între o solicitare și răspunsul rețelei.
  • TcpPduTime - Afișează timpul necesar transferului de date dintr-o unitate de date de protocol. Poate fi utilizat pentru a găsi retransmisii TCP.
  • VoIP_Calls - Prezintă apelurile VoIP obținute din capturile live.
  • Stream multicast - Detectează fluxurile multicast și măsoară mărimea exploziilor și tampoanele de ieșire ale anumitor viteze.

Vizualizarea pachetelor de rețea cu grafice IO

Dacă doriți să creați o reprezentare vizuală a pachetelor de date, atunci trebuie să deschideți grafice IO. Pur și simplu faceți clic pe butonul statistici meniu și selectați Graficele IO. Vei fi apoi întâmpinat de o fereastră grafică:

Grafice I Wireshark

Poti configurați graficele IO cu setările proprii conform datelor pe care doriți să le afișați. În mod implicit, doar graficul 1 este activat, așa că dacă doriți să activați 2-5, trebuie să faceți clic pe ele. De asemenea, dacă doriți să aplicați un filtru de afișare pentru un grafic, faceți clic pe pictograma filtrului de lângă graficul cu care doriți să interacționați. Coloana de stil vă permite să modificați modul în care este structurat graficul dvs. Puteți alege între Linia, FBar, Punct, sau Impuls.

De asemenea, puteți interacționa cu valorile axelor X și Y din graficul dvs. Pe axa X, secțiunile de interval de bifă vă permit să dictați cât este intervalul, de la minute la secunde. Puteți verifica, de asemenea, vizualizați ca ora din zi caseta de selectare pentru a modifica timpul axei X.

În secțiunea Axa Y, puteți modifica unitatea de măsură din oricare dintre următoarele opțiuni: Pachete / Tick, Bytes / Tick, Biți / Tick, sau Avansat. Scala vă permite să alegeți scala de măsurare pentru axa Y a graficului.

Odată ce apăsați salvați graficul este apoi stocat într-un format de fișier la alegere

Cum se utilizează capturile de probe

Dacă doriți să practicați utilizarea Wireshark, dar propria rețea nu este disponibilă pentru orice motiv, utilizarea „capturi de probă” este o alternativă excelentă. Captura de eșantion vă oferă date de pachete ale altei rețele. Puteți descărca o captura de eșantion accesând site-ul wiki Wireshark.

Site-ul wireshark wiki oferă o varietate de fișiere de captare a mostrelor care pot fi descărcate pe site. După ce ați descărcat o captura de eșantion, o puteți utiliza făcând clic pe File > Deschideți, apoi faceți clic pe fișierul dvs..

Capture Files pot fi găsite și din următoarele surse de mai jos:

  • ICIR
  • OpenPacket
  • PacketLife

Extinderea funcțiilor Wireshark

Deși Wireshark este un minunat pachet de pachete, nu este instrumentul de analiză de rețea complet și complet. Puteți extinde Wireshark și îl puteți susține cu instrumente complementare. O largă comunitate de pluginuri și platforme de asistență poate îmbunătăți capacitățile Wireshark.

Încercați aceste completări Wireshark pentru a vă îmbunătăți capacitățile de analiză:

  • SolarWinds Time Viewer Viewer pentru Wireshark permite utilizatorilor să își calculeze aplicația și timpul de răspuns al rețelei. Acest lucru poate fi utilizat alături de Wireshark pentru a afișa date și volumul tranzacțiilor. Acest lucru ajută la evaluarea performanței rețelei și la identificarea posibilelor îmbunătățiri.
  • Cloudshark este un instrument analitic care a fost scris în mod special pentru a prelua capturile din wireshark. Cu toate acestea, poate importa și date de la alte sniffere de pachete. Un plugin Cloudshark pentru Wireshark facilitează transferul de date către instrumentul analitic.
  • NetworkMiner este un alt instrument de analiză care acționează asupra fluxurilor de la Wireshark. Acest instrument include atât o versiune gratuită, cât și plătită.
  • Afișați traficul afișează date de trafic în direct, identificând pachetele după protocol.

SolarWinds Time Viewer Viewer pentru WiresharkDownload 100% Instrument GRATUIT

Un instrument complet de analiză a rețelei, cum ar fi monitorul SolarWinds explicat mai jos, ar fi de asemenea un bun plus pentru setul dvs. de instrumente de administrare IT.

SolarWinds Monitor Performance Performance Network: Management în rețea la 360 de grade - (ÎNCERCARE GRATUITĂ)

monitorizarea performanței rețelei

Ca una dintre cele mai importante soluții de gestionare a rețelei pe piață, SolarWinds Network Performance Monitor oferă utilizatorului funcții extinse de monitorizare a rețelei pentru a menține rețeaua în siguranță. De la monitorizarea lățimii de bandă până la latența într-o rețea, utilizatorul poate urmări toate modificările în direct prin tabloul de bord al analizei de performanță.

Tabloul de bord de analiză a performanțelor live oferă o imagine de ansamblu asupra infrastructurii de rețea a utilizatorului în timp real. Un afișaj vizual arată toate conexiunile de rețea și dispozitivele active. Acest lucru facilitează utilizatorului să localizeze dispozitive neautorizate.

Interfața prietenoasă permite utilizatorilor să-și definească propriile alerte, astfel încât să poată fi notificate atunci când apar modificări neobișnuite în rețeaua lor. Dacă un dispozitiv nou încearcă să se conecteze, acesta poate fi semnalizat de sistem. Datele live generate pe tabloul de bord de analiză pot fi, de asemenea, convertite în rapoarte pentru a genera informații suplimentare.

  • Monitorizarea rețelelor cu mai mulți furnizori - Identificați și rezolvați problemele de performanță ale mai multor furnizori.
  • Wireless Network Monitoring - Vizualizați valorile de performanță de la puncte de acces, dispozitive wireless și clienți.
  • Identificați zonele moarte din rețea - Vizualizați harta de căldură a rețelei wireless și identificați zonele cu semnal slab.
  • Tabloul de bord pentru analiza performanței - Vizualizați întreaga performanță a rețelei pe o cronologie. Trageți și fixați datele privind performanța rețelei pentru a crea o vizualizare a datelor în direct.
  • Alerte inteligente - Utilizatorii definesc modul în care sunt generate alertele. Alegeți ce condiții de declanșare vor genera o alertă pe tabloul de bord.

SolarWinds Monitor Performance Performance Network Descărcați încercarea GRATUITĂ de 30 de zile la SolarWinds.com

Wireshark: Simplu și versatil

Aceasta concluzionează defalcarea modului de utilizare a Wireshark. Indiferent dacă sunteți un utilizator nou sau un veteran Wireshark, această platformă este un instrument de analiză a rețelei extrem de versatil. Dacă doriți să beneficiați la maxim de Wireshark, vă recomandăm să faceți cercetări suplimentare pe site-ul web Wireshark.

Acest lucru este și mai important dacă căutați să utilizați funcții mai avansate și să creați propriile dvs. disectoare de protocol. Ghidul oficial al utilizatorului Wireshark oferă cel mai cuprinzător corp de îndrumări în această privință.

Nu uitați să utilizați pluginuri externe și programe de asistență de la SolarWinds, deoarece acestea pot crește dramatic profunzimea eforturilor viitoare de analiză. Dacă doriți mai multe informații despre cum să vă optimizați rețeaua, consultați ghidul nostru detaliat privind analizatorii de rețea.

Alte tutoriale:

  • Foaie de înșelăciune Wireshark
  • Cum decriptați SSL cu Wireshark
  • Utilizarea Wireshark pentru a obține adresa IP a unei gazde necunoscute
  • Rulează o captura de la distanță cu Wireshark și tcpdump
  • Wireshark „nicio interfață găsită” explicată
  • Identificați hardware-ul cu căutarea OUI în Wireshark
  • Cele mai bune alternative Wireshark
Brayan Jackson Administrator
Candidate of Science in Informatics. VPN Configuration Wizard. Has been using the VPN for 5 years. Works as a specialist in a company setting up the Internet.
follow me

About the author

Candidate of Science in Informatics. VPN Configuration Wizard. Has been using the VPN for 5 years. Works as a specialist in a company setting up the Internet.

Leave a Reply

Your email address will not be published. Required fields are marked *

64 + = 66