Как да използвате Wireshark [Урок]

Wireshark


Какво прави Wireshark?

През последните няколко години Wireshark разви репутация на един от най-надеждните мрежови анализатори, налични на пазара. Потребителите по целия свят използват това приложение с отворен код като цялостен инструмент за анализ на мрежата. Чрез Wireshark потребителите могат да отстраняват проблеми с мрежата, да разглеждат проблеми със сигурността, да отстраняват грешки в протоколите и да научават мрежовите процеси.

В този урок ще разберете как работи Wireshark. Ще ви преведем през стъпките за намиране на програмата Wireshark и инсталирането й на вашия компютър. Ще разберете как да стартирате заснемане на пакет и каква информация можете да очаквате да извлечете от него. Урокът за Wireshark също ще ви покаже как да извлечете най-доброто от функциите за манипулиране на данни в интерфейса. Освен това ще научите как можете да получите по-добри функции за анализ на данни от тези, които са местни за Wireshark.

Как да използвате Wireshark

Както бе споменато по-горе, Wireshark е инструмент за мрежов анализ. В основата си Wireshark е проектиран да разгражда пакети данни, които се прехвърлят в различни мрежи. Потребителят може да търси и филтрира конкретни пакети данни и да анализира как се прехвърлят през тяхната мрежа. Тези пакети могат да се използват за анализ в реално време или офлайн.

Потребителят може да използва тази информация за генериране на статистика и графики. Wireshark първоначално е бил известен като Ethereal, но оттогава се е утвърдил като един от ключовите инструменти за анализ на мрежата на пазара. Това е инструмента за преминаване към потребителите, които искат да видят данни, генерирани от различни мрежи и протоколи.

Wireshark е подходящ както за начинаещи, така и за експертни потребители. Потребителският интерфейс е невероятно лесен за използване, след като научите първоначалните стъпки за заснемане на пакети. По-напредналите потребители могат да използват инструментите за декриптиране на платформата, за да разбият и криптирани пакети.

Основни функции на Wireshark

По-долу е представена разбивка на основните функции на Wireshark:

  •  Заснемайте живи пакетни данни
  •  Импортиране на пакети от текстови файлове
  •  Преглед на информацията за пакетите и протокола
  •  Запазване на заснетите пакетни данни
  •  Показване на пакети
  •  Филтрирайте пакетите
  •  Търсене пакети
  •  Оцветете пакетите
  •  Генериране на статистика

Повечето потребители използват Wireshark, за да открият проблеми с мрежата и да тестват софтуера си. Като проект с отворен код, Wireshark се поддържа от уникален екип, поддържащ високите стандарти за обслужване. В това ръководство разбиваме как да използваме Wireshark. Допълнителна информация можете да намерите в официалното ръководство на Wireshark.

Как да изтеглите и инсталирате Wireshark

Преди да използвате Wireshark, първото нещо, което трябва да направите, е да изтеглите и инсталирате. Можете да изтеглите Wireshark безплатно от уебсайта на компанията. За да имате най-лесния опит при работа, препоръчваме да изтеглите последната версия, налична на вашата платформа, от секцията „стабилна версия“.

Инсталиране на Windows

След като изтеглите програмата, можете да стартирате процеса на настройка. По време на инсталацията може да бъдете подканени да инсталирате WinPcap. Важно е да инсталирате WinPcap, тъй като без него няма да можете да улавяте мрежов трафик на живо. Без WinPcap ще можете да отваряте само запазени файлове за заснемане. За да инсталирате, просто проверете Инсталирайте WinPcap кутия.

Инсталиране на Mac

За да инсталирате Wireshark на Mac, първо трябва да изтеглите инсталатор. За да направите това, изтеглете инсталатор като exquartz. След като направите това, отворете терминала и въведете следната команда:

<% /Applications/Wireshark.app/Contents/Mac0S/Wireshark>

След това изчакайте Wireshark да започне.

Инсталиране на Unix

За да стартирате Wireshark в Unix, първо се нуждаете от няколко други инструмента, инсталирани на вашата система. Това са:

  • GTK+, GIMP Tool Kit и Glib, и двете от един и същи източник.
  • Вие също ще се нуждаете нагъл. Можете да се запознаете с двата инструмента на https://www.gtk.org/
  • libpcap, което получавате от http://www.tcpdump.org/.

След като инсталирате горния поддържащ софтуер и изтеглите софтуера за Wireshark, трябва да го извлечете от файла tar.

gzip -d wireshark-1.2-tar.gz
tar xvf wireshark-1.2-tar

Променете директорията Wireshark и след това издайте следните команди:

./ конфигуриране
грим
направи инсталиране

Сега можете да стартирате програмата Wireshark на вашия Unix компютър.

Как да заснемате пакети данни

Една от основните функции на Wireshark като инструмент за мрежов анализ е да улавя пакети данни. Научаването как да настроите Wireshark за улавяне на пакети е от съществено значение за провеждането на подробен мрежов анализ. Важно е обаче да се отбележи, че може да бъде трудно да заснемате пакети, когато сте нов в Wireshark. Преди да започнете да улавяте пакети, трябва да направите три неща:

  1. Уверете се, че имате административните привилегии за да започнете улавяне на живо на вашето устройство
  2. Изберете правилния мрежов интерфейс за улавяне на пакетни данни от
  3. Улавяне пакетни данни от правилното местоположение във вашата мрежа

След като направите тези три неща, вие сте готови да започнете процеса на заснемане. Когато използвате Wireshark за заснемане на пакети, те се показват в четлив за човека формат, за да ги направят четливи за потребителя. Можете също разбийте пакетите с филтри и цветно кодиране ако искате да видите по-конкретна информация.

Когато за първи път отворите Wireshark, ще бъдете посрещнати от следния екран за стартиране:

Мрежов анализатор на Wireshark

Първото нещо, което трябва да направите, е да погледнете наличните интерфейси за заснемане. За да направите това, изберете Улавяне > Настроики. След това диалоговият прозорец „Интерфейси за заснемане“ ще се отвори, както е показано по-долу:

интерфейс за улавяне

Поставете отметка в интерфейса, който искате да заснемете, и натиснете начало бутон за стартиране Можете да изберете няколко интерфейса, ако искате да улавяте данни от множество източници едновременно.

В Unix или Linux диалоговият прозорец се показва в подобен стил като този:

unix / linux интерфейс за улавяне

Можете също да стартирате Wireshark, като използвате следния команден ред:

<¢ wireshark -i eth0 —k>

Можете също да използвате бутон от акула перка на лентата с инструменти като пряк път за иницииране на заснемане на пакет. След като щракнете върху този бутон, Wireshark ще започне процеса на заснемане на живо.

Ако искате да спрете заснемането, щракнете върху червеното Спри се бутон до перката на акулата.

Promiscuous Mode

Ако искате да развиете изглед отгоре на вашите мрежови пакети прехвърляния, тогава трябва да активирате „безразборния режим“. Промишленият режим е интерфейсен режим, където Wireshark подробно описва всеки пакет, който вижда. Когато този режим е деактивиран, вие губите прозрачност по мрежата си и развивате само ограничен моментна снимка на вашата мрежа (това затруднява извършването на всякакъв анализ).

За да активирате безразборния режим, щракнете върху Опции за заснемане диалогов прозорец и щракнете безразборен режим. На теория това трябва да ви показва целия трафик, активен във вашата мрежа. Полето е показано в полето на безразборния режим:

безразборен режим

Това обаче често не е така. Много мрежови интерфейси са устойчиви на безразборен режим, така че трябва да проверите уебсайта на Wireshark за информация за вашия специфичен хардуер.

В Windows е полезно да се отваря Диспечер на устройства и проверете дали настройките ви са конфигурирани да отхвърлят безразборния режим. Например:

мениджър на устройства

(Просто кликнете върху мрежата и след това се уверете, че вашата настройка на безразборния режим е настроена на Разреши всички).

Ако настройките ви са настроени да „отхвърлят“ безразборния режим, тогава ще ограничите броя на пакетите, които Wireshark улавя. Така че дори и да имате активиран безразборен режим на Wireshark, проверете вашия диспечер на устройства, за да се уверите, че интерфейсът ви не блокира влизането на данни. Отделянето на време за проверка през мрежовата ви инфраструктура ще гарантира, че Wireshark получава всички необходими пакети данни.

Как да анализирате заловени пакети

След като заснемете вашите мрежови данни, ще искате да разгледате заснетите ви пакети. На екрана по-долу ще видите три стъкла, списък с пакети прозорецът пакетни байтове панел и подробности за пакета Фасади.

Ако искате повече информация, можете да кликнете върху всяко от полетата във всеки пакет, за да видите повече. Когато щракнете върху пакет, в раздела за байтов изглед се показва разбивка на вътрешните му байтове.
заловени пакети

Списък на пакетите

Прозорецът на списъка с пакети се показва в горната част на екрана. Всяко парче е разбито до номер с време, източник, местоназначение, протокол и информация за поддръжка.

Подробности за пакета

Подробности за пакета могат да бъдат намерени в средата, показвайки протоколите на избрания пакет. Можете да разширите всяка секция, като щракнете върху стрелката до избрания от вас ред. Можете също да приложите допълнителни филтри, като щракнете с десния бутон върху избрания елемент.

Пакетни байтове

Прозорецът на байтовете за пакети е показан в края на страницата. Този прозорец показва вътрешните данни на избрания от вас пакет. Ако маркирате част от данните в този раздел, съответната й информация също се подчертава в панела с подробности за пакета. По подразбиране всички данни се показват в шестнадесетичен формат. Ако искате да го промените в битов формат, щракнете с десния бутон върху панела и изберете тази опция от контекстното меню.

Как да използвате Wireshark за анализ на мрежовата ефективност

Ако искате да използвате Wireshark за проверка на вашата мрежа и анализ на целия активен трафик, тогава трябва да затворите всички активни приложения във вашата мрежа. Това ще намали трафика до минимум, за да можете да видите по-ясно какво се случва в мрежата ви. Въпреки това, дори да изключите всичките си приложения, ще продължите да изпращате и получавате маса пакети.

Използването на Wireshark за филтриране на тези пакети е най-добрият начин да направите равносметка на вашите мрежови данни. Когато вашата връзка е активна, хиляди пакети се прехвърлят през вашата мрежа всяка секунда. Това означава, че е жизненоважно да филтрирате информацията, която не ви е необходима, за да получите ясна картина за случващото се.

Заснемане на филтри и филтри на дисплея

Заснемане на филтри и Показване на филтри са два вида различни филтри, които могат да се използват на Wireshark. Филтри за заснемане се използват за намаляване на размера на заснемане на входящи пакети, като по същество филтрират други пакети по време на заснемане на пакета. В резултат на това се задават филтри за улавяне, преди да започнете процеса на заснемане на живо.

Филтрите за заснемане не могат да бъдат променяни, след като е започнало заснемането. От друга страна, Показване на филтри може да се използва за филтриране на данни, които вече са записани. Филтри за заснемане определят какви данни заснемате от наблюдение на мрежата на живо, а филтрите на дисплея диктуват данните, които виждате, когато търсите през предварително заснети пакети.

Ако искате да започнете да филтрирате данните си, един от най-лесните начини да направите това е да използвате полето за филтриране под лентата с инструменти. Например, ако въведете HTTP в полето за филтриране, ще ви бъде предоставен списък на всички заснети HTTP пакети. Когато започнете да пишете, ще се срещнете с поле за автоматично попълване. Филтърната кутия е показана по-долу:

Филтриране на Wireshark

Можете да използвате стотици различни филтри, за да разбиете информацията за пакетите, от 104apci до zvt. Обширен списък можете да намерите на уебсайта на Wireshark тук. Можете също така да изберете филтър, като щракнете върху иконата на отметка вляво от полето за въвеждане. Това ще повдигне меню от популярни филтри.

Ако решите да зададете филтър за улавяне, вашите промени ще влязат в сила, след като започнете да записвате трафик на живо. За да активирате дисплейния филтър, просто щракнете върху стрелката вдясно от полето за въвеждане. Като алтернатива можете да щракнете Анализирам > Показване на филтри и изберете филтър от списъка по подразбиране.

След като изберете филтър, можете да видите TCP разговора зад пакет. За да направите това, щракнете с десния бутон върху пакета и щракнете върху Следване > TCP поток. Това ще ви покаже TCP обмена между клиента и сървъра.

Ако искате повече информация за филтрирането на Wireshark, ръководството на Wireshark за показване на филтри е добра отправна точка.

Използване на цветно кодиране

В допълнение към филтрирането кои пакети се показват или записват, устройството за цветово кодиране на Wireshark улеснява потребителя да идентифицира различни видове пакети според техния цвят. Например, TCP трафикът се обозначава със светло лилаво, а UDP трафикът се обозначава със светлосиньо. Важно е да се отбележи, че черното се използва за подчертаване на пакети с грешки.

В настройките по подразбиране на Wireshark има около 20 цвята, от които можете да избирате. Можете да ги редактирате, деактивирате или изтриете. Ако искате да изключите колоризацията, кликнете върху изглед меню и щракнете Оцветяване на списъка с пакети поле, за да го изключите. Ако искате да видите повече информация за цветното кодиране на Wireshark, щракнете изглед >Правила за оцветяване.

Преглед на мрежовата статистика

За да видите повече информация във вашата мрежа, падащото меню за статистика е невероятно полезно. Менюто със статистически данни може да бъде разположено в горната част на екрана и ще ви предостави редица показатели от информация за размера и времето до графиките и графиките. Можете също да приложите дисплейни филтри към тези статистически данни, за да стесните важна информация.

Менюто на статистиката на Wireshark е показано по-долу:

статистика за жици

В това меню са различни опции, които ще ви помогнат да разградите мрежовата информация.

Избор на статистически менюта

Ето някои от основните секции:

  • Йерархия на протокола - Опцията йерархия на протокола повдига прозорец с пълна таблица на всички заснети протоколи. Активните филтри на дисплея също се показват в долната част.
  • Разговори - Разкрива мрежовия разговор между две крайни точки (например обмен на трафик от един IP адрес на друг).
  • Endpoints - Показва списък на крайни точки (мрежова крайна точка е мястото, където трафикът на протокол на определен слой протокол завършва).
  • IO графики - Показва специфични за потребителя графики, визуализиращи броя на пакетите по време на обмена на данни.
  • RTP_statistics - Позволява на потребителя да запазва съдържанието на RTP аудио поток директно в Au-файл.
  • Време за отговор на услугата - Показва времето за отговор между заявка и отговора на мрежата.
  • TcpPduTime - Показва времето, необходимо за прехвърляне на данни от протокол за данни. Може да се използва за намиране на препредавания на TCP.
  • VoIP_Calls - Показва VoIP разговори, получени от заснемането на живо.
  • Многостранен поток - Открива многоадресни потоци и измерва размера на изблиците и изходните буфери с определени скорости.

Визуализиране на мрежови пакети с IO графики

Ако искате да създадете визуално представяне на вашите пакети данни, тогава трябва да отворите IO графики. Просто кликнете върху статистика меню и изберете IO графики. След това ще бъдете посрещнати от прозорец с графика:

Wireshark IO графики

Можеш конфигурирайте IO графики със собствени настройки според данните, които искате да покажете. По подразбиране е активирана само графика 1, така че ако искате да активирате 2-5, трябва да кликнете върху тях. По същия начин, ако искате да приложите дисплей филтър за графика, щракнете върху иконата на филтъра до графиката, с която искате да взаимодействате. Графата за стил ви позволява да промените структурата на вашата графика. Можете да избирате между линия, FBAR, точка, или импулс.

Можете също така да взаимодействате с показателите на оста X и Y на вашата графика. На оста X отсечките за интервал от тикове ви позволяват да диктувате колко дълъг е интервалът, от минути до секунди. Можете също да проверите вижте като време на деня отметка, за да промените времето на оста X.

В секцията на оста Y можете да промените мерната единица от някоя от следните опции: Пакети / Tick, Bytes / Tick, Bits / Tick, или напреднал. Скалата ви позволява да изберете измервателната скала за оста Y на графиката.

След като натиснете, запазете графиката, след това се съхранява във формат на файл по ваш избор

Как да използвате проби заснемане

Ако искате да практикувате да използвате Wireshark, но вашата собствена мрежа не е достъпна по някаква причина, използването на „примерни заснемания“ е чудесна алтернатива. Примерните заснемания ви предоставят пакетни данни на друга мрежа. Можете да изтеглите примерно заснемане, като отидете на уебсайта на уики Wireshark.

Уебсайтът на уикито на Wireshark разполага с разнообразни файлове за заснемане на проби, които могат да бъдат изтеглени в сайта. След като изтеглите примерно заснемане, можете да го използвате, като щракнете върху Файл > Отворете и след това щракнете върху вашия файл.

Файлове за заснемане може да намерите и от следните източници по-долу:

  • ICIR
  • OpenPacket
  • PacketLife

Разширяване на възможностите на Wireshark

Въпреки че Wireshark е страхотен снайпер на пакети, това не е всичко и крайно средство за анализ на мрежата. Можете да разширите Wireshark и да го подкрепите с допълнителни инструменти. Широка общност от поддържащи плъгини и платформи могат да подобрят възможностите на Wireshark.

Изпробвайте тези допълнения на Wireshark, за да подобрите своите аналитични възможности:

  • SolarWinds Viewer Time Response View for Wireshark позволява на потребителите да изчисляват времето за реакция на приложението и мрежата си. Това може да се използва заедно с Wireshark за показване на данни и обем на транзакциите. Това помага да се оцени ефективността на мрежата и да се идентифицират възможните подобрения.
  • Cloudshark е аналитичен инструмент, който е специално написан, за да работи за улавяне на жици. Въпреки това, той може да импортира данни и от други смърфери на пакети. Приставката за Cloudshark за Wireshark улеснява прехвърлянето на данни до аналитичния инструмент.
  • NetworkMiner е друг аналитичен инструмент, който действа върху емисии от Wireshark. Този инструмент се предлага в безплатна и платена версия.
  • Показване на трафика показва данни за трафика на живо, идентифицирайки пакетите по протокол.

SolarWinds View View Time Viewer for WiresharkDownload 100% БЕЗПЛАТЕН инструмент

Пълен инструмент за анализ на мрежи, като монитора SolarWinds, обяснен по-долу, също ще бъде добро допълнение към инструментариума ви за ИТ администратор.

Монитор за ефективност на мрежата SolarWinds: Управление на мрежата от 360 градуса - (БЕЗПЛАТЕН ПРОБЕН ПЕРИОД)

монитор за ефективност на мрежата

Като едно от водещите решения за управление на мрежата на пазара, SolarWinds Network Performance Monitor предоставя на потребителя широки функции за наблюдение на мрежата, за да запази мрежата си в безопасност. От наблюдение на честотната лента до закъсненията в мрежа, потребителят може да проследи всички промени на живо чрез таблото за анализ на производителността.

Таблото за анализ на ефективността на живо предоставя преглед на мрежовата инфраструктура в реално време на потребителя. Визуален дисплей показва всички активни мрежови връзки и устройства. Това улеснява потребителя да забележи неоторизирани устройства.

Лесният за потребителя интерфейс позволява на потребителите да определят собствените си сигнали, така че да могат да бъдат известявани, когато се появят необичайни промени в тяхната мрежа. Ако ново устройство се опита да се свърже, това може да бъде маркирано от системата. Данните на живо, генерирани на таблото за анализ, също могат да бъдат преобразувани в отчети, за да се генерират допълнителни данни.

  • Мониторинг на мрежови доставчици - Идентифициране и разрешаване на проблеми с производителността на много доставчици.
  • Мониторинг на безжична мрежа - Преглеждайте показатели за ефективност от точки за достъп, безжични устройства и клиенти.
  • Идентифицирайте мрежовите мъртви зони - Прегледайте топлинната карта на безжичната мрежа и идентифицирайте области със слаб сигнал.
  • Табло за анализ на ефективността - Преглеждайте цялата си ефективност на мрежата на една времева линия. Плъзнете и пуснете данните за ефективността на мрежата, за да създадете визуализация на живи данни.
  • Интелигентни предупреждения - Потребителите определят как се генерират сигнали. Изберете кои условия на задействане ще генерират сигнал на таблото за управление.

SolarWinds Network Performance MonitorDownload БЕЗПЛАТНО 30-дневно изпитание в SolarWinds.com

Wireshark: прост и универсален

Това завършва нашата разбивка как да използваме Wireshark. Независимо дали сте нов потребител или ветеран от Wireshark, тази платформа е изключително универсален инструмент за анализ на мрежата. Ако искате да извлечете максимума от Wireshark, силно се препоръчва да направите допълнителни изследвания на уебсайта Wireshark.

Това е още по-важно, ако искате да използвате по-разширени функции и да създадете свои собствени дисектори за протоколи. Официалното ръководство за потребителя на Wireshark предлага най-изчерпателното ръководство по темата.

Не забравяйте да използвате външни приставки и поддържащи програми от SolarWinds, тъй като те могат драстично да увеличат дълбочината на бъдещите ви усилия за анализ. Ако искате повече информация за оптимизиране на вашата мрежа, проверете нашето задълбочено ръководство за мрежовите анализатори.

Други уроци:

  • Wireshark мамят лист
  • Как да декриптираме SSL с Wireshark
  • Използване на Wireshark, за да получите IP адреса на неизвестен хост
  • Изпълнение на дистанционно заснемане с Wireshark и tcpdump
  • Wireshark обясни грешката „няма намерени интерфейси“
  • Идентифицирайте хардуера с OUI търсене в Wireshark
  • Най-добрите алтернативи на Wireshark
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me

About the author

Leave a Reply

Your email address will not be published. Required fields are marked *

9 + 1 =

Adblock
detector