A Wireshark használata [Oktatóanyag]

Mit csinál Wireshark??

Az elmúlt években a Wireshark hírnevet szerzett magának az egyik legmegbízhatóbb hálózati elemző a piacon. Az egész világon a felhasználók ezt a nyílt forrású alkalmazást használják egy teljes hálózati elemző eszköz. A Wireshark segítségével a felhasználók hibaelhárítást végezhetnek, megvizsgálhatják a biztonsági problémákat, hibakeresési protokollokat és megtanulhatják a hálózati folyamatokat.

Ebben az oktatóanyagban megtudhatja, hogyan működik a Wireshark. A Wireshark program megkeresésének és a számítógépre telepítésének lépésein végigvezeti Önt. Megtudhatja, hogyan lehet elindítani a csomagmegfogást, és milyen információkkal számolhat belőle. A Wireshark oktatóanyaga azt is bemutatja, hogyan lehet a lehető legjobban kihasználni az interfészen belüli adatkezelési funkciókat. Azt is megtudhatja, hogyan lehet jobb adatelemzési funkciókat szerezni, mint amelyek a Wireshark őshonosak.

Hogyan kell használni a Wiresharket

Mint fentebb említettük, a Wireshark egy hálózati elemző eszköz. A Wireshark lényegét arra tervezték, hogy lebontja a különböző hálózatokon átvitt adatcsomagokat. A felhasználó kereshet és szűrhet bizonyos adatcsomagokat, és elemezheti, hogyan továbbítják őket a hálózatukon keresztül. Ezek a csomagok valós idejű vagy offline elemzésre is felhasználhatók.

A felhasználó ezeket az információkat felhasználhatja statisztikák és grafikonok előállítására. A Wireshark eredetileg Ethereal néven ismert, de azóta bevezetett magát a piac egyik legfontosabb hálózati elemző eszközévé. Ez az eszköz a felhasználók számára, akik meg akarják nézni a különböző hálózatok és protokollok által generált adatokat.

A Wireshark kezdő és szakértő felhasználók számára egyaránt alkalmas. A felhasználói felület hihetetlenül egyszerűen használható, miután megtanulta a csomagok elfogásának kezdeti lépéseit. A haladóbb felhasználók a platform dekódoló eszközeivel is használhatják a titkosított csomagok bontását.

A Wireshark alapvető jellemzői

Az alábbiakban bemutatjuk a Wireshark főbb jellemzőit:

•  Rögzítse az élő csomag adatokat
•  Csomagok importálása szöveges fájlokból
•  Csomag- és protokollinformációk megtekintése
•  Mentse el a rögzített csomag adatokat
•  Csomagok megjelenítése
•  Csomagok szűrése
•  Csomagok keresése
•  Színezzük a csomagokat
•  Statisztika létrehozása

A legtöbb felhasználó a Wiresharket használja a hálózati problémák észlelésére és a szoftverük tesztelésére. Nyílt forráskódú projektként a Wiresharket egyedülálló csapat tartja fenn, amely magas szintű szolgáltatási színvonalat tart fenn. Ebben az útmutatóban a Wireshark használatát ismertetjük. További információ a Wireshark hivatalos felhasználói útmutatójában található.

A Wireshark letöltése és telepítése

A Wireshark használata előtt az első lépés, amelyet meg kell tennie, a letöltés és a telepítés. A Wireshark ingyenesen letölthető a cég webhelyéről. A legsimább futási élmény érdekében javasoljuk, hogy töltse le a platformon elérhető legújabb verziót a „stabil kiadás” szakaszból..

Telepítés Windows rendszerre

Miután letöltötte a programot, megkezdheti a telepítési folyamatot. A telepítés során a program felszólíthatja a WinPcap telepítésére. Fontos a WinPcap telepítése, mivel anélkül nem tudna rögzíteni az élő hálózati forgalmat. WinPcap nélkül csak a mentett rögzítési fájlokat nyithatja meg. A telepítéshez egyszerűen ellenőrizze a Telepítse a WinPcap alkalmazást doboz.

Telepítés Mac-re

A Wireshark Mac-re történő telepítéséhez először le kell töltenie a telepítőt. Ehhez töltsön le egy telepítőt, például az exquartz-t. Miután ezt megtette, nyissa meg a terminált, és írja be a következő parancsot:

<% /Applications/Wireshark.app/Contents/Mac0S/Wireshark>

Ezután várja meg, amíg a Wireshark elindul.

Telepítse a Unix-ra

A Wireshark Unix-on történő futtatásához először néhány további eszközre van szüksége a rendszerre telepítve. Ezek:

• GTK+, A GIMP eszközkészlet és a Glib, egyazon forrásból.
• Szüksége lesz rá gördülékeny. Mindkét eszközzel megismerkedhet a https://www.gtk.org/ oldalon.
• libpcap, amelyet a http://www.tcpdump.org/.

A fenti támogató szoftver telepítésétől és a Wireshark számára letöltött szoftver letöltését követően ki kell töltenie a tar fájlból..

gzip -d wirehark-1.2-tar.gz
tar xvf wirehark-1.2-tar

Váltson a Wireshark könyvtárra, majd adja ki a következő parancsokat:

./Beállítás
make
telepítse

Most már futtathatja a Wireshark programot a Unix számítógépén.

Az adatcsomagok rögzítése

A Wireshark mint hálózati elemző eszköz egyik alapvető funkciója az adatcsomagok rögzítése. A részletes hálózati elemzés elvégzéséhez elengedhetetlen a Wireshark csomagok elfogására történő felállításának megtanulása. Fontos azonban megjegyezni, hogy nehéz lehet a csomagok elfogása, ha új vagy a Wireshark-ban. Mielőtt elkezdené a csomagok elfogását, három dolgot kell tennie:

1. Ellenőrizze, hogy rendelkezik-e adminisztratív jogosultságokkal élő rögzítés elindításához a készüléken
2. Válassza ki a megfelelő hálózati interfészt a csomag adatok rögzítése a
3. Elfog csomag adat a megfelelő helyről a hálózatában

Miután elvégezte ezt a három dolgot, készen áll a rögzítési folyamat megkezdésére. Amikor a Wireshark segítségével csomagokat rögzít, azok emberi olvasható formátumban jelennek meg, hogy a felhasználó számára olvashatóvá váljanak. Te is bontja le a csomagokat szűrőkkel és színkódolással ha konkrétabb információkat szeretne látni.

Amikor először megnyitja a Wireshark-ot, a következő nyitóképernyőn találkozhat meg:

Az első dolog, amit meg kell tennie, megnéznie a rendelkezésre álló felületeket a rögzítéshez. Ehhez válassza a lehetőséget Elfog > Opciók. Ezután a „Rögzítési felületek” párbeszédpanel megnyílik, az alább látható módon:

Jelölje be a rögzíteni kívánt felület jelölőnégyzetét, majd nyomja meg a gombot Rajt gomb elindításához. Több interfészt választhat, ha egyszerre több forrásból szeretne adatokat gyűjteni.

Unix vagy Linux rendszeren a párbeszédpanel hasonló stílusban jelenik meg:

A Wireshark a következő parancssor használatával is elindítható:

<¢ wirehark -i eth0 —k>

Használhatja a cápauszony gomb az eszközsoron, mint egy parancsikont a csomagok rögzítésének megkezdésére. Miután rákattintott erre a gombra, a Wireshark megkezdi az élő rögzítési folyamatot.

Ha nem szeretné abbahagyni a rögzítést, kattintson a pirosra állj meg gombot a cápauszony mellett.

Ígéretes mód

Ha el szeretné fejleszteni a hálózati csomagátvitel felülnézetét, akkor aktiválnia kell a „ígéretes módot”. Ígéretes mód egy interfész mód, ahol a Wireshark részletezi minden látott csomagot. Ha ezt az üzemmódot kikapcsolja, elveszíti az átláthatóságot a hálózaton, és csak korlátozott pillanatfelvételt készít a hálózatról (ez megnehezíti az elemzés elvégzését)..

Az ígéretes mód aktiválásához kattintson a Rögzítési lehetőségek párbeszédpanelen kattintson a gombra ígéretes mód. Elméletileg ennek meg kell jelenítenie a hálózat összes aktív forgalmát. Az ábrázolt mód mezője az alább látható:

Ez azonban gyakran nem így van. Számos hálózati interfész ellenáll a megkönnyítő módoknak, tehát ellenőriznie kell a Wireshark webhelyet az adott hardverről.

Windows rendszeren hasznos megnyitni Eszközkezelő és ellenőrizze, hogy a beállítások úgy vannak-e konfigurálva, hogy visszautasítsák az egyszerű módot. Például:

(Egyszerűen kattintson a hálózatra, majd ellenőrizze, hogy az ígéretes mód beállítása meg van-e állítva Engedélyezni az összeset).

Ha beállította az „elutasító” ígéretes mód beállítását, akkor korlátozni fogja a Wireshark által rögzített csomagok számát. Tehát még akkor is, ha engedélyezte az átlátható módot a Wireshark-on, ellenőrizze az eszközkezelőt, hogy megbizonyosodjon arról, hogy az interfész nem akadályozza meg az adatok átjutását. Ha időt vesz igénybe a hálózati infrastruktúra ellenőrzésén, akkor a Wireshark megkapja az összes szükséges adatcsomagot.

A rögzített csomagok elemzése

Miután elfoglalták a hálózati adatokat, megnézheti a rögzített csomagokat. Az alábbi képernyőképen három ablaktábla jelenik meg, a csomaglista ablaktábla, a csomag bájt ablaktábla és a csomag részletei üvegtábla.

Ha további információra van szüksége, akkor az egyes csomagok bármelyik mezőjére kattintva további információt találhat. Amikor rákattint egy csomagra, a bájt nézet szakaszban megmutatja annak belső bájtjainak bontását.

Csomaglista

A csomaglista ablak megjelenik a képernyőkép tetején. Minden darab számra van bontva, megadva az időt, a forrást, a rendeltetési helyet, a protokollt és a támogatási információkat.

Csomag részletei

A csomag részletei a közepén találhatók, amelyek a kiválasztott csomag protokollját mutatják. Az egyes szakaszokat kibonthatja a választott sor melletti nyílra kattintással. További szűrőket is alkalmazhat, ha a jobb egérgombbal kattint a kiválasztott elemre.

Csomag bájtok

A csomag bájt ablaktábla az oldal alján látható. Ez az ablak a kiválasztott csomag belső adatait mutatja. Ha kiemeli az adatok egy részét ebben a szakaszban, az azokkal kapcsolatos információk szintén ki vannak emelve a csomag részletei ablaktáblán. Alapértelmezés szerint az összes adat hexadecimális formátumban jelenik meg. Ha bit formátumra szeretné változtatni, kattintson a jobb gombbal az ablakra, és válassza ezt a lehetőséget a helyi menüből.

A Wireshark használata a hálózati teljesítmény elemzéséhez

Ha a Wireshark segítségével meg akarja vizsgálni a hálózatát és elemezni az összes aktív forgalmat, akkor bezárnia kell a hálózat összes aktív alkalmazását. Ez minimálisra csökkenti a forgalmat, így tisztábban láthatja, mi történik a hálózatán. Még akkor is, ha kikapcsolja az összes alkalmazást, akkor tömeges csomagot küld és fogad.

A Wireshark használata ezeknek a csomagoknak a szűrésére a legjobb módszer a hálózati adatok áttekintésére. Ha a kapcsolat aktív, másodpercek alatt ezrek csomagok ezrei továbbítódnak a hálózatán. Ez azt jelenti, hogy elengedhetetlen, hogy kiszűrje azokat az információkat, amelyekre nincs szüksége ahhoz, hogy egyértelmű képet kapjon a dolgokról.

Rögzítő és kijelző szűrők

Rögzítő szűrők és Kijelző szűrők két különálló szűrő, amelyek a Wireshark-on használhatók. A rögzítési szűrők csökkentik a beérkező csomagok rögzítésének méretét, lényegében a többi csomag kiszűrését az élő csomagrögzítés során. Ennek eredményeként a rögzítési szűrők be vannak állítva az élő rögzítési folyamat megkezdése előtt.

A rögzítési szűrők nem módosíthatók a rögzítés megkezdése után. Másrészről, Kijelző szűrők használható a már rögzített adatok szűrésére. A rögzítési szűrők határozzák meg, hogy milyen adatokat gyűjt az élő hálózati megfigyelésből, és a Kijelző szűrők diktálják azokat az adatokat, amelyeket korábban rögzített csomagok átnézésekor lát..

Ha el szeretné kezdeni az adatok szűrését, ennek egyik legegyszerűbb módja az eszközsor alatt található szűrődoboz használata. Például, ha a HTTP-t írja be a szűrőmezőbe, akkor megkapja az összes rögzített HTTP-csomag listáját. A gépelés megkezdésekor automatikusan kitöltő mező jelenik meg. A szűrőmező az alább látható:

Több száz különféle szűrő segítségével felbonthatja a csomaginformációkat, a 104apci-tól a zvt-ig. Kiterjedt lista megtalálható a Wireshark weboldalon itt. Szűrőt is választhat, ha a beviteli mező bal oldalán található könyvjelző ikonra kattint. Ezzel megjelenik a népszerű szűrők menüje.

Ha úgy dönt, hogy beállít egy rögzítési szűrőt, akkor a változások akkor lépnek hatályba, amikor elkezdi az élő forgalom rögzítését. A képernyőszűrő aktiválásához egyszerűen kattintson a nyílra a beviteli mező jobb oldalán. Alternatív megoldásként kattinthat is elemez > Kijelző szűrők és válasszon egy szűrőt az alapértelmezett listából.

A szűrő kiválasztása után megnézheti a TCP beszélgetést egy csomag mögött. Ehhez kattintson a jobb gombbal a csomagra, majd kattintson a Követés gombra > TCP adatfolyam. Ez megmutatja az ügyfél és a szerver közötti TCP-cserét.

Ha további információra van szüksége a Wireshark szűréséről, a Wireshark szűrők megjelenítésére vonatkozó útmutatója jó referenciapont..

Színkódolás használata

A megjelenített vagy rögzített csomagok szűrésén kívül a Wireshark színkódoló képessége megkönnyíti a felhasználót a különböző csomagtípusok azonosításában a színük alapján. Például a TCP forgalmat világos lila, az UDP forgalmat pedig világoskék jelöli. Fontos megjegyezni, hogy a fekete a hibás csomagok kiemelésére szolgál.

A Wireshark alapértelmezett beállításain körülbelül 20 szín közül választhat. Ezeket szerkesztheti, letilthatja vagy törölheti. Ha ki akarja kapcsolni a színezést, kattintson a gombra Kilátás menüt, majd kattintson a gombra Színezzük a csomaglistát mezőbe, hogy kikapcsolja. Ha további információt szeretne megtekinteni a Wireshark színkódolásáról, kattintson a gombra Kilátás >Színezési szabályok.

Hálózati statisztikák megtekintése

Annak érdekében, hogy további információt kapjon a hálózatáról, a a statisztikák legördülő menü hihetetlenül hasznos. A statisztikai menü a képernyő tetején helyezkedik el, és számos mutatót kínál a mérettől és az időzítési információtól a rajzolott diagramokig és grafikonokig. A statisztikai adatokra szűrőket is alkalmazhat a fontos információk szűkítése érdekében.

Az alábbiakban látható a Wireshark statisztikai menü:

Ebben a menüben számos olyan lehetőség található, amelyek megkönnyítik a hálózati információk lebontását.

Statisztika menü kiválasztása

Itt található néhány alapszakasz:

• Protokoll hierarchia – A Protokollhierarchia opció megjelenít egy ablakot az összes rögzített protokoll teljes táblájával. Az aktív kijelző szűrők szintén megjelennek az alján.
• beszélgetések – Feltárja a két végpont közötti hálózati beszélgetést (például a forgalom cseréje egyik IP-címről a másikra).
• végpontok – Megjeleníti a végpontok listáját (egy hálózati végpont az, ahol egy adott protokollréteg protokollforgalma véget ér).
• IO grafikonok – Megjeleníti a felhasználó-specifikus grafikonokat, ábrázolva a csomagok számát az adatcsere során.
• RTP_statistics – Lehetővé teszi a felhasználó számára, hogy az RTP audio stream tartalmát közvetlenül egy Au-fájlba mentse.
• Szolgáltatási válaszidő – Megjeleníti a válaszidőt a kérés és a hálózat válaszai között.
• TcpPduTime – Megjeleníti az adatok adatátvitelének időtartamát a protokoll adat egységből. Használható a TCP újraküldések keresésére.
• VoIP_Calls – Megmutatja az élő rögzítésekből származó VoIP hívásokat.
• Multicast stream – A multicast adatfolyamokat érzékeli és megméri a sorozat méretét és az egyes sebességek kimeneti puffereit.

A hálózati csomagok megjelenítése IO grafikonokkal

Ha vizuális ábrázolást szeretne létrehozni az adatcsomagokról, akkor nyissa meg az IO grafikonokat. Egyszerűen kattintson a statisztika menüt, és válassza a lehetőséget IO grafikonok. Ezután egy grafikonablak jelenik meg:

tudsz konfigurálja az IO grafikonokat a saját beállításaival a megjelenítendő adatok szerint. Alapértelmezés szerint csak az 1. grafikon engedélyezve van, tehát ha a 2-5-ös aktiválni szeretné, akkor rá kell kattintania. Hasonlóképpen, ha egy megjelenítő szűrőt szeretne alkalmazni egy grafikonra, kattintson a szűrő ikonra annak a grafikonnak a mellett, amellyel kölcsönhatásba lép. A stílus oszlop lehetővé teszi, hogy megváltoztassa a grafikon felépítését. Választhat a következők közül Vonal, FBar, Pont, vagy Impulzus.

A grafikon X és Y tengelyének mutatóival is kölcsönhatásba léphet. Az X tengelyen a ketyegési intervallum szakaszok lehetővé teszik, hogy diktáld, mennyi az intervallum percről másodpercre. Ellenőrizheti a nézet, mint a napszak jelölőnégyzetet az X-tengely idejének megváltoztatásához.

Az Y tengely szakaszban megváltoztathatja a mértékegységet a következő lehetőségek közül: Csomagok / Tick, Byte / Tick, Bit / Tick, vagy Fejlett. A skála lehetővé teszi a mérési skála kiválasztását a grafikon Y-tengelyére.

Miután megnyomta a mentést, a grafikon az Ön által választott fájlformátumban kerül tárolásra

A mintafogók használata

Ha gyakorolni szeretné a Wireshark használatát, de a saját hálózata bármilyen okból nem érhető el, a ‘minta rögzítés’ használata remek alternatíva. A mintafogók egy másik hálózat csomag adatait nyújtják Önnek. A Wireshark wiki weboldalon letöltheti a mintagyűjtést.

A Wireshark wiki weboldal különféle mintagyűjtő fájlokat tartalmaz, amelyek letölthetők a webhelyről. Miután letöltötte a mintagyűjteményt, a Fájl gombra kattintva használhatja > Nyissa meg a fájlt, majd kattintson rá.

A rögzítési fájlok az alábbi forrásokból is megtalálhatók:

• ICIR
• OpenPacket
• PacketLife

A Wireshark képességeinek kibővítése

Noha a Wireshark nagyszerű csomag-szippantó, nem ez a végső és a végső hálózati elemző eszköz. Bővítheti a Wireshark szoftvert, és kiegészítő eszközökkel támogathatja. A támogató bővítmények és platformok széles közössége javíthatja a Wireshark képességeit.

Próbálja ki ezeket a Wireshark-kiegészítéseket az elemzési képességeinek javítása érdekében:

• A SolarWinds válaszidő-megjelenítője a Wireshark számára lehetővé teszi a felhasználók számára az alkalmazás és a hálózati válaszidő kiszámítását. Ez a Wireshark mellett használható az adatok és a tranzakciók mennyiségének megjelenítésére. Ez elősegíti a hálózat teljesítményének felmérését és a lehetséges fejlesztések azonosítását.
• Cloudshark egy olyan elemző eszköz, amelyet kifejezetten arra készítettek, hogy a wirehark felvételeket kivitelezze. Azonban adatokat is importálhat más csomagmegfigyelőktől. A Cloudshark plugin a Wireshark számára megkönnyíti az adatok továbbítását az analitikai eszközre.
• NetworkMiner egy másik elemző eszköz, amely a Wireshark adatait befolyásolja. Ez az eszköz ingyenes és fizetett változatban is elérhető.
• Mutasd a forgalmat megjeleníti az élő forgalmi adatokat, azonosítva a csomagokat protokoll szerint.

A SolarWinds válaszidő-megjelenítője a Wireshark letöltéséhez. 100% INGYENES eszköz

A teljes hálózati elemző eszköz, például az alábbiakban bemutatott SolarWinds monitor szintén jó kiegészítés az informatikai adminisztrátorok eszközkészletéhez..

SolarWinds Network Performance Monitor: 360 fokos hálózatkezelés – (INGYENES PRÓBAVERZIÓ)

A piac egyik vezető hálózati menedzsment megoldásaként a SolarWinds Network Performance Monitor széles körű hálózati figyelési funkciókat kínál a felhasználó számára a hálózat biztonságának megőrzése érdekében. A sávszélesség figyelésétől a késésig egy hálózaton keresztül a felhasználó a teljesítményelemzés műszerfalán követheti az összes élő változást.

Az élő teljesítmény elemzés irányítópultja áttekintést nyújt a felhasználó valós idejű hálózati infrastruktúrájáról. A vizuális kijelzőn megjelenik az összes aktív hálózati kapcsolat és eszköz. Ez megkönnyíti a felhasználó számára az illetéktelen eszközök észlelését.

A felhasználóbarát felület lehetővé teszi a felhasználók számára, hogy meghatározzák saját riasztásaikat, így értesítést kapnak róluk, amikor a hálózaton szokatlan változások történnek. Ha egy új eszköz megkísérel csatlakozni, akkor a rendszer megjelölheti ezt. Az elemzés irányítópultján generált élő adatok jelentésekké konvertálhatók további betekintés létrehozása érdekében.

• Többszörös gyártói hálózatfigyelés – A több gyártó teljesítményével kapcsolatos problémák azonosítása és megoldása.
• Vezeték nélküli hálózat figyelése – Megtekintheti a hozzáférési pontok, a vezeték nélküli eszközök és az ügyfelek teljesítménymutatóit.
• Hálózati halott zónák azonosítása – Tekintse meg a vezeték nélküli hálózat hőtérképét, és azonosítsa a gyenge jelű területeket.
• Teljesítmény-elemzés műszerfal – Tekintse meg teljes hálózati teljesítményét egy idővonalban. Húzza le és dobja el a hálózati teljesítményadatokat egy élő adatmegjelenítés létrehozásához.
• Intelligens riasztások – A felhasználók meghatározzák a riasztások generálásának módját. Válassza ki, hogy mely eseményindítási körülmények generálnak riasztást az irányítópulton.

SolarWinds Network Performance MonitorTöltse le INGYENES 30 napos próbaverziót a SolarWinds.com webhelyen

Wireshark: Egyszerű és sokoldalú

Ez befejezi a Wireshark használatának bontását. Akár új felhasználó, akár Wireshark veterán, ez a platform rendkívül sokoldalú hálózati elemző eszköz. Ha azt akarja, hogy a lehető legtöbbet hozza ki a Wireshark, erősen ajánlott, hogy végezzen további kutatást a Wireshark webhelyen.

Ez még fontosabb, ha fejlettebb funkciókat szeretne használni, és saját protokoll-boncolókat szeretne létrehozni. A Wireshark hivatalos felhasználói útmutatója a legátfogóbb útmutatót tartalmazza a témában.

Ne felejtsd el használni a SolarWinds külső beépülő moduljait és támogató programjait, mivel ezek drasztikusan megnövelhetik a jövőbeni elemzési erőfeszítéseidet. Ha további információra van szüksége a hálózat optimalizálásáról, olvassa el a hálózati elemzőkre vonatkozó részletes útmutatót.

Egyéb oktatóanyagok:

• Wireshark csaló lap
• Az SSL dekódolása a Wireshark segítségével
• A Wireshark segítségével ismeretlen gazdagép IP-címét szerezheti be
• Távoli rögzítés futtatása a Wireshark és a tcpdump segítségével
• A Wireshark „nincs interfész találva” hiba magyarázata
• Azonosítsa a hardvert az OUI kereséssel a Wiresharkban
• A legjobb Wireshark alternatívák