Как использовать Wireshark [Учебник]

Wireshark

Что делает Wireshark?

За последние несколько лет Wireshark приобрел репутацию один из самых надежных сетевых анализаторов, доступных на рынке. Пользователи по всему миру используют это приложение с открытым исходным кодом как полный инструмент сетевого анализа. С помощью Wireshark пользователи могут устранять неполадки в сети, изучать проблемы безопасности, отлаживать протоколы и изучать сетевые процессы..

В этом уроке вы узнаете, как работает Wireshark. Мы расскажем вам, как найти программу Wireshark и установить ее на свой компьютер. Вы узнаете, как запустить захват пакета и какую информацию вы можете ожидать от него. Учебник Wireshark также покажет вам, как получить максимальную отдачу от функций манипулирования данными в интерфейсе. Вы также узнаете, как получить более эффективные функции анализа данных, чем те, которые встроены в Wireshark..

Как использовать Wireshark

Как упоминалось выше, Wireshark - это инструмент сетевого анализа. По своей сути Wireshark был разработан для разделения пакетов данных, передаваемых по разным сетям. Пользователь может искать и фильтровать определенные пакеты данных и анализировать, как они передаются по сети. Эти пакеты могут быть использованы для анализа в режиме реального времени или в автономном режиме.

Пользователь может использовать эту информацию для генерации статистики и графиков. Wireshark изначально был известен как Ethereal, но с тех пор зарекомендовал себя как один из ключевых инструментов сетевого анализа на рынке. Это удобный инструмент для пользователей, которые хотят просматривать данные, генерируемые различными сетями и протоколами..

Wireshark подходит как для начинающих, так и для опытных пользователей. Пользовательский интерфейс невероятно прост в использовании, как только вы изучите начальные шаги для захвата пакетов. Более продвинутые пользователи могут использовать инструменты дешифрования платформы, чтобы также разбивать зашифрованные пакеты..

Основные характеристики Wireshark

Ниже приведено описание основных функций Wireshark:

  •  Захват данных в реальном времени
  •  Импортировать пакеты из текстовых файлов
  •  Просмотр данных пакета и информации о протоколе
  •  Сохранить захваченные данные пакета
  •  Показать пакеты
  •  Фильтр пакетов
  •  Искать пакеты
  •  Раскрасить пакеты
  •  Генерировать статистику

Большинство пользователей используют Wireshark для обнаружения сетевых проблем и тестирования своего программного обеспечения. Как проект с открытым исходным кодом, Wireshark поддерживается уникальной командой, поддерживающей высокие стандарты обслуживания. В этом руководстве мы рассмотрим, как использовать Wireshark. Дополнительную информацию можно найти в официальном руководстве пользователя Wireshark..

Как скачать и установить Wireshark

Прежде чем использовать Wireshark, первое, что вам нужно сделать, это загрузить и установить. Вы можете скачать Wireshark бесплатно с сайта компании. Для обеспечения максимальной плавности работы рекомендуется загрузить последнюю версию, доступную на вашей платформе, из раздела «стабильный выпуск»..

Установить на Windows

Как только вы загрузили программу, вы можете начать процесс установки. Во время установки вам может быть предложено установить WinPcap. Важно установить WinPcap, так как без него вы не сможете захватывать живой сетевой трафик. Без WinPcap вы сможете открыть только сохраненные файлы захвата. Чтобы установить, просто проверьте Установить WinPcap коробка.

Установить на Mac

Для того чтобы установить Wireshark на Mac, вам сначала необходимо скачать установщик. Для этого скачайте установщик, например exquartz. Сделав это, откройте терминал и введите следующую команду:

<% /Applications/Wireshark.app/Contents/Mac0S/Wireshark>

Затем дождитесь начала Wireshark.

Установить на Unix

Чтобы запустить Wireshark в Unix, вам сначала необходимо установить несколько других инструментов в вашей системе. Эти:

  • GTK+, Набор инструментов GIMP и Glib, оба из одного источника.
  • Вам также понадобится бойкий. Вы можете ознакомиться с обоими инструментами на https://www.gtk.org/
  • Libpcap, который вы получаете с http://www.tcpdump.org/.

После установки вышеуказанного вспомогательного программного обеспечения и загрузки программного обеспечения для Wireshark необходимо извлечь его из файла tar..

gzip -d wireshark-1.2-tar.gz
tar xvf wireshark-1.2-tar

Перейдите в каталог Wireshark и затем выполните следующие команды:

./ Configure
сделать
сделать установку

Теперь вы можете запустить программу Wireshark на вашем компьютере Unix.

Как захватить пакеты данных

Одна из основных функций Wireshark как инструмента сетевого анализа - захват пакетов данных. Изучение того, как настроить Wireshark для захвата пакетов, необходимо для детального анализа сети. Тем не менее, важно отметить, что может быть трудно перехватывать пакеты, когда вы новичок в Wireshark. Прежде чем вы начнете перехватывать пакеты, вам нужно сделать три вещи:

  1. Убедитесь, что у вас есть права администратора чтобы начать живой захват на вашем устройстве
  2. Выберите правильный сетевой интерфейс захватить пакетные данные из
  3. Захватить пакетные данные из правильного места в вашей сети

После того, как вы сделали эти три вещи, вы готовы начать процесс захвата. Когда вы используете Wireshark для захвата пакетов, они отображаются в удобочитаемом формате, чтобы сделать их удобочитаемыми для пользователя. Вы также можете разбить пакеты с помощью фильтров и цветовой кодировки если вы хотите увидеть более конкретную информацию.

Когда вы впервые откроете Wireshark, вы увидите следующий экран запуска:

Wireshark сетевой анализатор

Первое, что вам нужно сделать, это посмотреть на доступные интерфейсы для захвата. Для этого выберите Захватить > Параметры. Откроется диалоговое окно «Интерфейсы захвата», как показано ниже:

интерфейс захвата

Установите флажок интерфейса, который вы хотите захватить, и нажмите Начало кнопку, чтобы начать. Вы можете выбрать несколько интерфейсов, если вы хотите захватывать данные из нескольких источников одновременно.

В Unix или Linux диалоговое окно отображается в похожем стиле:

Интерфейс захвата Unix / Linux

Вы также можете запустить Wireshark с помощью следующей командной строки:

<¢ wireshark -i eth0 —k>

Вы также можете использовать кнопка плавника акулы на панели инструментов в качестве ярлыка для запуска захвата пакета. Как только вы нажмете эту кнопку, Wireshark начнет процесс захвата в реальном времени.

Если вы хотите остановить захват, нажмите на красный стоп Кнопка рядом с плавником акулы.

Беспорядочный режим

Если вы хотите получить представление о пересылке пакетов по сети, вам нужно активировать «случайный режим». Беспорядочный режим режим интерфейса, в котором Wireshark детализирует каждый пакет, который видит. Когда этот режим деактивирован, вы теряете прозрачность в вашей сети и создаете только ограниченный снимок вашей сети (это затрудняет проведение любого анализа).

Чтобы активировать беспорядочный режим, нажмите на Варианты захвата диалоговое окно и нажмите беспорядочный режим. Теоретически, это должно показать вам весь активный трафик в вашей сети. Блок случайного режима показан ниже:

беспорядочный режим

Тем не менее, это часто не так. Многие сетевые интерфейсы устойчивы к случайному режиму, поэтому вам необходимо проверить информацию на вашем конкретном оборудовании на веб-сайте Wireshark..

В Windows полезно открыть Диспетчер устройств и проверьте, настроены ли ваши параметры, чтобы отклонить случайный режим. Например:

Диспетчер устройств

(Просто нажмите на сеть, а затем убедитесь, что ваш режим случайного режима установлен на Позволять все).

Если ваши настройки настроены на «отклонение» разнородного режима, то вы собираетесь ограничить количество пакетов, которые перехватывает Wireshark. Таким образом, даже если у вас включен смешанный режим в Wireshark, проверьте диспетчер устройств, чтобы убедиться, что ваш интерфейс не блокирует поступление данных. Потратив время на проверку сетевой инфраструктуры, вы убедитесь, что Wireshark получает все необходимые пакеты данных..

Как анализировать захваченные пакеты

После того, как вы захватили данные своей сети, вы захотите посмотреть на свои захваченные пакеты. На скриншоте ниже вы увидите три панели, список пакетов панель, байты пакета панель и детали пакета панель.

Если вам нужна дополнительная информация, вы можете нажать на любое из полей в каждом пакете, чтобы увидеть больше. Когда вы нажимаете на пакет, вы видите разбивку его внутренних байтов в разделе просмотра байтов..
захваченные пакеты

Список пакетов

Панель списка пакетов показана в верхней части скриншота. Каждая часть разбита на число со временем, источником, местом назначения, протоколом и информацией о поддержке.

Детали пакета

Детали пакета можно найти посередине, показывая протоколы выбранного пакета. Вы можете развернуть каждый раздел, нажав на стрелку рядом с выбранным рядом. Вы также можете применить дополнительные фильтры, щелкнув правой кнопкой мыши по выбранному элементу.

Пакетные байты

Панель байтов пакета показана внизу страницы. Эта панель показывает внутренние данные выбранного вами пакета. Если вы выделите часть данных в этом разделе, соответствующая информация также будет выделена в области сведений о пакете. По умолчанию все данные отображаются в шестнадцатеричном формате. Если вы хотите изменить его на битовый формат, щелкните правой кнопкой мыши панель и выберите эту опцию в контекстном меню..

Как использовать Wireshark для анализа производительности сети

Если вы хотите использовать Wireshark для проверки вашей сети и анализа всего активного трафика, вам необходимо закрыть все активные приложения в вашей сети. Это снизит трафик до минимума, чтобы вы могли более четко видеть, что происходит в вашей сети. Однако даже если вы выключите все свои приложения, у вас все равно будет масса отправляемых и получаемых пакетов..

Использование Wireshark для фильтрации этих пакетов лучший способ подвести итоги вашей сети данных. Когда ваше соединение активно, тысячи пакетов передаются через вашу сеть каждую секунду. Это означает, что крайне важно, чтобы вы отфильтровали информацию, которая вам не нужна, чтобы получить четкое представление о том, что происходит.

Фильтры захвата и фильтры отображения

Фильтры захвата и Фильтры дисплея Два типа отдельных фильтров, которые можно использовать в Wireshark. Фильтры захвата используются для уменьшения размера захвата входящих пакетов, по существу, отфильтровывая другие пакеты во время захвата пакетов в реальном времени. В результате фильтры захвата устанавливаются перед началом процесса захвата в реальном времени..

Фильтры захвата нельзя изменить после начала захвата. С другой стороны, Фильтры дисплея может использоваться для фильтрации данных, которые уже были записаны. Фильтры захвата определяют, какие данные вы собираете из мониторинга в реальном времени, а Фильтры отображения определяют данные, которые вы видите при просмотре ранее захваченных пакетов..

Если вы хотите начать фильтрацию данных, один из самых простых способов сделать это - использовать поле фильтра под панелью инструментов. Например, если вы введете HTTP в поле фильтра, вам будет предоставлен список всех перехваченных пакетов HTTP. Когда вы начнете печатать, вас встретит поле автозаполнения. Поле фильтра показано ниже:

Wireshark Filtering

Вы можете использовать сотни различных фильтров, чтобы разбить информацию о вашем пакете, от 104apci до zvt. Обширный список можно найти на сайте Wireshark здесь. Вы также можете выбрать фильтр, щелкнув значок закладки слева от поля ввода. Это поднимет меню популярных фильтров.

Если вы решите установить фильтр захвата, ваши изменения вступят в силу после начала записи живого трафика. Чтобы активировать фильтр отображения, просто нажмите на стрелку справа от поля ввода. Кроме того, вы можете нажать анализировать > Фильтры дисплея и выберите фильтр из списка значений по умолчанию.

После выбора фильтра вы можете просмотреть диалог TCP за пакетом. Чтобы сделать это, щелкните правой кнопкой мыши на пакете и нажмите Follow > TCP поток. Это покажет вам обмен TCP между клиентом и сервером.

Если вы хотите получить больше информации о фильтрации Wireshark, руководство Wireshark по отображению фильтров является хорошим ориентиром.

Использование цветовой кодировки

В дополнение к фильтрации того, какие пакеты показываются или записываются, средство цветового кодирования Wireshark позволяет пользователю легче идентифицировать различные типы пакетов в соответствии с их цветом. Например, трафик TCP обозначается светло-фиолетовым, а трафик UDP - голубым. Важно отметить, что черный цвет используется для выделения пакетов с ошибками..

В настройках Wireshark по умолчанию доступно около 20 цветов. Вы можете редактировать, отключать или удалять их. Если вы хотите отключить раскраску, нажмите на Посмотреть меню и нажмите Раскрасить список пакетов поле, чтобы выключить его. Если вы хотите просмотреть дополнительную информацию о цветовом кодировании на Wireshark, нажмите Посмотреть >Правила раскраски.

Просмотр статистики сети

Для просмотра дополнительной информации о вашей сети выпадающее меню статистики невероятно полезно. Меню статистики может быть расположено в верхней части экрана и предоставит вам ряд метрик от размера и информации о времени до построенных диаграмм и графиков. Вы также можете применить фильтры отображения к этой статистике, чтобы сузить важную информацию.

Меню статистики Wireshark показано ниже:

статистика проволочной акулы

В этом меню есть множество опций, которые помогут вам разбить вашу сетевую информацию.

Выбор меню статистики

Вот некоторые из основных разделов:

  • Иерархия протокола - Параметр «Иерархия протоколов» открывает окно с полной таблицей всех захваченных протоколов. Активные фильтры отображения также отображаются внизу.
  • Диалоги - Раскрывает сетевой разговор между двумя конечными точками (например, обмен трафиком с одного IP-адреса на другой).
  • Endpoints - Отображает список конечных точек (конечная точка сети - это место, где заканчивается трафик протокола определенного уровня протокола).
  • Графики ввода-вывода - Отображает пользовательские графики, визуализируя количество пакетов во время обмена данными.
  • RTP_statistics - Позволяет пользователю сохранять содержимое аудиопотока RTP непосредственно в Au-файл.
  • Время ответа службы - Отображает время ответа между запросом и ответом сети.
  • TcpPduTime - Отображает время, необходимое для передачи данных из протокольного блока данных. Может использоваться для поиска повторных передач TCP.
  • VoIP_Calls - Показывает звонки VoIP, полученные из живых захватов.
  • Multicast Stream - Обнаруживает многоадресные потоки и измеряет размер пакетов и выходные буферы определенных скоростей..

Визуализация сетевых пакетов с графиками ввода-вывода

Если вы хотите создать визуальное представление ваших пакетов данных, то вам нужно открыть графики ввода-вывода. Просто нажмите на статистика меню и выберите Графики ввода-вывода. Затем вас встретит графическое окно:

Графы Wireshark IO

Вы можете настроить графики ввода-вывода с вашими собственными настройками в соответствии с данными, которые вы хотите отобразить. По умолчанию включен только график 1, поэтому, если вы хотите активировать 2-5, вам нужно нажать на них. Аналогично, если вы хотите применить фильтр отображения для графика, щелкните значок фильтра рядом с графиком, с которым вы хотите взаимодействовать. Столбец стиля позволяет вам изменить структуру вашего графика. Вы можете выбрать между Линия, FBAR, точка, или Импульс.

Вы также можете взаимодействовать с метриками осей X и Y на вашем графике. На оси X интервалы между тиками позволяют определять продолжительность интервала от минут до секунд. Вы также можете проверить рассматривать как время суток флажок для того, чтобы изменить время оси X.

В разделе оси Y вы можете изменить единицу измерения с помощью любого из следующих параметров: Пакеты / Tick, Б / Tick, Биты / Tick, или продвинутый. Шкала позволяет выбрать шкалу измерения для оси Y графика.

После нажатия кнопки «Сохранить» график сохраняется в выбранном вами формате.

Как использовать образцы захвата

Если вы хотите попрактиковаться в использовании Wireshark, но ваша собственная сеть по какой-либо причине недоступна, используйте «выборочные захваты» - отличная альтернатива. Примеры захвата предоставляют вам пакетные данные другой сети. Вы можете скачать образец снимка, зайдя на вики-сайт Wireshark.

На вики-сайте Wireshark представлены различные примеры файлов захвата, которые можно загрузить по всему сайту. После того, как вы загрузили образец захвата, вы можете использовать его, нажав Файл > Откройте и затем нажмите на свой файл.

Файлы захвата также можно найти из следующих источников:

  • ICIR
  • OpenPacket
  • PacketLife

Расширение возможностей Wireshark

Несмотря на то, что Wireshark - отличный анализатор пакетов, он не является основным и конечным инструментом сетевого анализа. Вы можете расширить Wireshark и поддерживать его дополнительными инструментами. Широкое сообщество поддерживающих плагинов и платформ может расширить возможности Wireshark.

Попробуйте эти дополнения Wireshark, чтобы улучшить свои аналитические возможности:

  • Средство просмотра времени отклика SolarWinds для Wireshark позволяет пользователям рассчитать свое приложение и время отклика сети. Это можно использовать вместе с Wireshark для отображения данных и объема транзакций. Это помогает оценить производительность сети и определить возможные улучшения.
  • Cloudshark это аналитический инструмент, который был специально написан для работы с захватами проволочной акулы. Однако он также может импортировать данные из других анализаторов пакетов. Плагин Cloudshark для Wireshark облегчает передачу данных в аналитический инструмент.
  • NetworkMiner это еще один аналитический инструмент, который действует на каналы от Wireshark. Этот инструмент поставляется как в бесплатной, так и в платной версии..
  • Показать трафик отображает данные трафика в реальном времени, идентифицируя пакеты по протоколу.

Средство просмотра времени отклика SolarWinds для WiresharkDownload 100% БЕСПЛАТНЫЙ инструмент

Инструмент полного сетевого анализа, такой как описанный ниже монитор SolarWinds, также станет хорошим дополнением к вашему набору инструментов для ИТ-администраторов..

Монитор производительности сети SolarWinds: управление сетью на 360 градусов - (БЕСПЛАТНАЯ ПРОБНАЯ ВЕРСИЯ)

монитор производительности сети

Как одно из ведущих решений для управления сетью на рынке, SolarWinds Network Performance Monitor предоставляет пользователю широкие функции сетевого мониторинга для обеспечения безопасности своей сети. От мониторинга пропускной способности до задержки в сети, пользователь может отслеживать все изменения в реальном времени с помощью панели анализа производительности.

Панель анализа производительности в реальном времени предоставляет обзор сетевой инфраструктуры пользователя в реальном времени. На визуальном дисплее отображаются все активные сетевые подключения и устройства. Это облегчает пользователю обнаружение неавторизованных устройств.

Удобный интерфейс позволяет пользователям определять свои собственные оповещения, чтобы они могли получать уведомления о необычных изменениях в своей сети. Если новое устройство пытается подключиться, это может быть помечено системой. Актуальные данные, сгенерированные на информационной панели анализа, также могут быть преобразованы в отчеты для получения дополнительной информации..

  • Мониторинг сетей от нескольких поставщиков - Выявление и устранение проблем производительности нескольких поставщиков.
  • Мониторинг беспроводной сети - Просмотр показателей производительности с точек доступа, беспроводных устройств и клиентов.
  • Определить сеть мертвых зон - Просмотр тепловой карты беспроводной сети и определение областей со слабым сигналом.
  • Панель анализа производительности - Просмотр всей вашей производительности сети на одной временной шкале. Перетащите данные производительности сети для создания визуализации данных в реальном времени.
  • Интеллектуальные оповещения - Пользователи определяют, как генерируются оповещения. Выберите, какие условия срабатывания будут генерировать оповещение на приборной панели.

Монитор производительности сети SolarWindsСкачать бесплатную 30-дневную пробную версию на SolarWinds.com

Wireshark: простой и универсальный

На этом мы завершаем описание того, как использовать Wireshark. Являетесь ли вы новым пользователем или ветераном Wireshark, эта платформа является чрезвычайно универсальным инструментом сетевого анализа. Если вы хотите получить максимальную отдачу от Wireshark, настоятельно рекомендуется провести дополнительное исследование на веб-сайте Wireshark..

Это еще более важно, если вы хотите использовать более продвинутые функции и создавать свои собственные анализаторы протоколов. Официальное руководство пользователя Wireshark предлагает наиболее полное руководство по этому вопросу..

Не забудьте использовать внешние плагины и поддерживающие программы от SolarWinds, поскольку они могут значительно увеличить глубину ваших будущих усилий по анализу. Если вам нужна дополнительная информация о том, как оптимизировать сеть, ознакомьтесь с нашим подробным руководством по анализаторам сети..

Другие учебники:

  • Шпаргалка
  • Как расшифровать SSL с помощью Wireshark
  • Использование Wireshark для получения IP-адреса неизвестного хоста
  • Запуск удаленного захвата с Wireshark и tcpdump
  • Wireshark: "интерфейсы не найдены", ошибка объяснена
  • Определите оборудование с поиском OUI в Wireshark
  • Лучшие альтернативы Wireshark
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me

About the author

Leave a Reply

Your email address will not be published. Required fields are marked *

− 1 = 4

Adblock
detector