Kako se koristi Wireshark [Vodič]

Wireshark


Što radi Wireshark?

U posljednjih nekoliko godina Wireshark je razvio reputaciju kao jedan od najpouzdanijih mrežnih analizatora dostupnih na tržištu. Korisnici širom svijeta koriste ovu aplikaciju otvorenog koda kao kompletan alat za analizu mreže. Kroz Wireshark korisnici mogu otkloniti mrežne probleme, ispitati sigurnosne probleme, otkloniti ispravke protokola i naučiti mrežne procese.

U ovom ćete vodiču saznati kako Wireshark djeluje. Provest ćemo vas kroz korake lociranja programa Wireshark i njegovog instaliranja na vaše računalo. Otkrićete kako pokrenuti snimanje paketa i koje informacije možete očekivati ​​od toga. Vodič za Wireshark također će vam pokazati kako najbolje iskoristiti funkcije manipulacije podacima unutar sučelja. Također ćete naučiti kako možete dobiti bolje funkcije analize podataka od onih koje su izvorne za Wireshark.

Kako koristiti Wireshark

Kao što je već spomenuto, Wireshark je alat za analizu mreže. U svojoj srži, Wireshark je dizajniran da razbije pakete podataka koji se prenose preko različitih mreža. Korisnik može pretraživati ​​i filtrirati određene pakete podataka i analizirati njihov prijenos putem svoje mreže. Ovi se paketi mogu koristiti za analizu u stvarnom vremenu ili izvan nje.

Korisnik može te podatke koristiti za generiranje statistika i grafikona. Wireshark je u početku bio poznat kao Ethereal, ali otad se etablirao kao jedan od ključnih alata za analizu mreže na tržištu. Ovo je alat za pristup korisnicima koji žele pregledati podatke generirane različitim mrežama i protokolima.

Wireshark je podesan i za početnike i za stručne korisnike. Korisničko sučelje je nevjerojatno jednostavno za korištenje nakon što naučite početne korake za hvatanje paketa. Napredniji korisnici mogu pomoću alata za dešifriranje platforme razbiti i šifrirane pakete.

Značajke Wireshark Core

Ispod je prikaz osnovnih značajki Wiresharka:

  •  Snimite podatke iz paketa uživo
  •  Uvezite pakete iz tekstualnih datoteka
  •  Pregled podataka o paketima i protokola
  •  Spremite zarobljene paketne podatke
  •  Prikaži pakete
  •  Filtrirajte pakete
  •  Pretražite pakete
  •  Obojite pakete
  •  Stvaranje statistika

Većina korisnika koristi Wireshark kako bi otkrili mrežne probleme i testirali svoj softver. Kao projekt otvorenog koda, Wireshark održava jedinstveni tim koji održava visoke standarde usluga. U ovom vodiču opisujemo kako koristiti Wireshark. Dodatne informacije potražite u službenom korisničkom vodiču za Wireshark.

Kako preuzeti i instalirati Wireshark

Prije upotrebe Wiresharka, prvo što trebate učiniti je preuzeti i instalirati. Wireshark možete besplatno preuzeti sa web stranice tvrtke. Da biste imali najlakše iskustvo trčanja, preporučuje se preuzimanje najnovije verzije dostupne na vašoj platformi iz odjeljka "stabilno izdanje".

Instalirajte na Windows

Nakon preuzimanja programa možete pokrenuti postupak postavljanja. Tijekom instalacije od vas će se možda zatražiti da instalirate WinPcap. Važno je instalirati WinPcap jer bez njega nećete moći hvatati mrežni promet uživo. Bez WinPcapa moći ćete otvoriti samo spremljene datoteke za hvatanje. Da biste instalirali, jednostavno provjerite Instalirajte WinPcap kutija.

Instalirajte na Mac

Da biste instalirali Wireshark na Mac prvo morate preuzeti instalacijski program. Da biste to učinili, preuzmite instalacijski program, poput exquartz. Nakon što to učinite, otvorite terminal i upišite sljedeću naredbu:

<% /Applications/Wireshark.app/Contents/Mac0S/Wireshark>

Zatim pričekajte da se Wireshark pokrene.

Instalirajte na Unix

Da biste mogli pokrenuti Wireshark na Unixu, prvo vam je potreban par alata instaliranih na vašem sustavu. Ovi su:

  • GTK+, GIMP set alata i Glib, oba iz istog izvora.
  • Trebat će vam i gladak. S oba alata možete se upoznati na https://www.gtk.org/
  • libpcap, koju dobivate od http://www.tcpdump.org/.

Nakon instalacije gornjeg pratećeg softvera i preuzimanja softvera za Wireshark, morate ga izdvojiti iz tar datoteke.

gzip -d žicepojas-1,2-tar.gz
tar xvf wireshark-1.2-tar

Promijenite u direktoriju Wireshark i zatim izdajte sljedeće naredbe:

./konfigurirati
napraviti
napraviti instalaciju

Sada možete pokrenuti program Wireshark na svom Unix računalu.

Kako uhvatiti pakete podataka

Jedna od glavnih funkcija Wiresharka kao alata za analizu mreže je snimanje paketa podataka. Nauči kako postaviti Wireshark za hvatanje paketa ključno je za provođenje detaljne mrežne analize. Međutim, važno je imati na umu da može biti teško snimiti pakete kada ste novi u Wiresharku. Prije nego što počnete snimati pakete, morate učiniti tri stvari:

  1. Obavezno imate administrativne privilegije da biste započeli snimanje uživo na svom uređaju
  2. Odaberite ispravno mrežno sučelje za hvatanje paketnih podataka iz
  3. Uhvatiti paketni podaci s ispravnog mjesta u vašoj mreži

Nakon što napravite ove tri stvari, spremni ste započeti postupak snimanja. Kada Wireshark koristite za snimanje paketa, oni se prikazuju u ljudski čitljivom obliku kako bi ih učinili čitljivim za korisnika. Također možete razbiti pakete filtrima i kodiranjem u boji ako želite vidjeti više konkretnih podataka.

Kad prvi put otvorite Wireshark, dočekat će vas sljedeći pokretački ekran:

Wireshark mrežni analizator

Prvo što trebate učiniti je pogledati raspoloživa sučelja za snimanje. Da biste to učinili, odaberite Uhvatiti > Opcije. Dijaloški okvir "Snimanje sučelja" otvorit će se kao što je prikazano u nastavku:

sučelje hvatanja

Označite okvir sučelja koje želite snimiti i pritisnite Početak gumb za početak. Možete odabrati više sučelja ako želite istovremeno snimiti podatke iz više izvora.

Na Unixu ili Linuxu, dijaloški okvir se prikazuje u sličnom stilu kao ovaj:

unix / linux hvatanje sučelje

Wireshark također možete pokrenuti pomoću sljedećeg naredbenog retka:

<¢ žica-bok -i eth0 —k>

Također možete koristiti gumb peraje morskog psa na alatnoj traci kao prečac za pokretanje snimanja paketa. Jednom kada kliknete ovaj gumb, Wireshark će započeti postupak snimanja uživo.

Ako želite zaustaviti snimanje, kliknite crvenu Stop gumb pored peraje morskog psa.

Promiški način

Ako želite razviti pogled odozgo na mrežne prenose paketa, tada morate aktivirati "promiskuitetni način". Promiskuozni način je način sučelja gdje Wireshark detaljno opisuje svaki paket koji vidi. Kad je ovaj način rada deaktiviran, gubite transparentnost nad mrežom i razvijate samo ograničenu snimku mreže (to otežava provođenje bilo kakve analize).

Da biste aktivirali promiskuitetni način, kliknite na Mogućnosti snimanja dijaloškom okviru i kliknite promiskuitetni način. Teoretski bi vam to trebao pokazati sav promet aktivan na vašoj mreži. Okvir za promiskuitetni način rada prikazan je dolje:

promiskuitetni način

Međutim, to često nije slučaj. Mnoga mrežna sučelja otporna su na promiskuitetni način rada pa morate provjeriti web mjesto Wireshark radi podataka o vašem specifičnom hardveru.

U Windows-u je korisno otvaranje Upravitelj uređaja i provjerite jesu li vaše postavke konfigurirane za odbijanje promiskuitetnog načina. Na primjer:

upravitelj uređaja

(Jednostavno kliknite na mrežu, a zatim provjerite je li postavljen vaš promiskuitetni način rada Dopusti sve).

Ako su vam postavke postavljene na "odbacivanje" promiskuitetnog načina rada, tada ćete ograničiti broj paketa koje Wireshark bilježi. Dakle, čak i ako vam je omogućen promiskuitetni način rada na Wiresharku, provjerite svog upravitelja uređaja da biste bili sigurni da vaše sučelje ne blokira bilo koji podatak. Uzimanje vremena za pregled mrežne infrastrukture osiguraće da Wireshark primi sve potrebne pakete podataka.

Kako analizirati zarobljene pakete

Nakon što snimite mrežne podatke, morat ćete pogledati zarobljene pakete. Na snimci zaslona ispod vidjet ćete tri okna, the lista paketa okno, the paketni bajti okno i detalji paketa okno.

Ako želite više informacija, možete kliknuti na bilo koje od polja u svakom paketu da biste ih vidjeli više. Kada kliknete na paket, prikazan je pregled njegovih unutarnjih bajtova u odjeljku prikaza bajta.
zarobljeni paketi

Popis paketa

Okno popisa paketa prikazano je na vrhu zaslona. Svaki se komad razgrađuje na broj s vremenom, izvorom, odredištem, protokolom i informacijama o podršci.

Pojedinosti o paketu

Pojedinosti o paketu nalaze se u sredini, pokazujući protokole odabranog paketa. Svaki odjeljak možete proširiti klikom na strelicu pokraj odabranog retka. Možete primijeniti i dodatne filtre klikom desne tipke miša na odabranu stavku.

Paket bajtova

Okno bajtova paketa prikazano je pri dnu stranice. Ovo okno prikazuje interne podatke odabranog paketa. Ako u ovom odjeljku istaknete dio podataka, njegovi odgovarajući podaci također se ističu u oknu s pojedinostima o paketu. Prema podacima, svi se podaci prikazuju u šestnaestom formatu. Ako želite promijeniti u bitni format, desnom tipkom miša kliknite okno i odaberite ovu opciju iz kontekstnog izbornika.

Kako koristiti Wireshark za analizu mrežnih performansi

Ako želite koristiti Wireshark za pregled vaše mreže i analiziranje svih aktivnih prometa, tada morate zatvoriti sve aktivne aplikacije na vašoj mreži. Tako ćete promet smanjiti na minimum kako biste jasnije vidjeli što se događa na vašoj mreži. Međutim, čak i ako isključite sve svoje aplikacije, i dalje ćete imati mnoštvo paketa koji se šalju i primaju.

Korištenje Wiresharka za filtriranje ovih paketa je najbolji način za ocjenu mrežnih podataka. Kada je vaša veza aktivna, tisuće paketa svake se sekunde prenose putem vaše mreže. To znači da je ključno da filtrirate podatke koji vam nisu potrebni kako biste dobili jasnu sliku onoga što se događa.

Snimite filtre i filtere za prikaz

Snimite filtre i Prikaži filtre su dvije vrste različitih filtera koji se mogu koristiti na Wiresharku. Filteri za snimanje koriste se za smanjenje veličine hvatanja dolaznih paketa, u osnovi filtrirajući ostale pakete tijekom snimanja paketa uživo. Kao rezultat, postavljaju se filtri za hvatanje prije nego što započnete postupak snimanja uživo.

Filteri hvatanja ne mogu se izmijeniti kada je snimanje započeto. S druge strane, Prikaži filtre može se koristiti za filtriranje podataka koji su već zabilježeni. Filteri za snimanje određuju koje podatke uzimate iz praćenja mrežne mreže, a filtri za prikaz diktiraju podatke koje vidite kad gledate prethodno zarobljene pakete.

Ako želite početi filtrirati svoje podatke, jedan od najjednostavnijih načina za to je upotreba okvira za filtriranje ispod alatne trake. Na primjer, ako u okvir za filtriranje upišete HTTP, dobit ćete popis svih zarobljenih HTTP paketa. Kada započnete s unosom, primit ćete polje s automatskim dovršavanjem. Okvir za filtriranje prikazan je dolje:

Wireshark filtriranje

Za razbijanje podataka o paketu možete koristiti stotine različitih filtera, od 104apci do zvt. Opsežan popis možete pronaći na web mjestu Wireshark ovdje. Možete odabrati i filtar klikom na ikonu oznake lijevo od polja za unos. Ovo će podići izbornik popularnih filtera.

Ako odlučite postaviti filtar za hvatanje, tada će vaše izmjene stupiti na snagu nakon što započnete snimanje prometa uživo. Za aktiviranje filtra za prikaz jednostavno kliknite strelicu desno od polja za unos. Možete i kliknuti Analizirati > Prikaži filtre i odaberite filtar s popisa zadanih postavki.

Nakon odabira filtera, možete vidjeti TCP razgovor iza paketa. Da biste to učinili, desnom tipkom miša kliknite na paket i kliknite Slijedi > TCP stream. To će vam pokazati TCP razmjenu između klijenta i poslužitelja.

Ako želite više informacija o Wireshark filtriranju, Wiresharkov vodič za prikaz filtera je dobra referenca..

Upotreba kodiranja u boji

Uz filtriranje koji su paketi prikazani ili snimljeni, Wireshark-ovo sredstvo za kodiranje u boji olakšava korisniku prepoznavanje različitih vrsta paketa prema njihovoj boji. Na primjer, TCP promet je označen svijetlo ljubičastim, a UDP promet označen svijetlo plavim. Važno je napomenuti da se crna boja koristi za isticanje paketa s pogreškama.

Na zadanim postavkama Wiresharka, možete odabrati oko 20 boja. Možete ih urediti, onemogućiti ili izbrisati. Ako želite isključiti kolorizaciju, kliknite na Pogled izbornika i kliknite Oboji popis paketa polje da ga isključim. Ako želite vidjeti više informacija o kodiranju boja na Wiresharku, kliknite Pogled >Pravila bojanja.

Pregled mrežnih statistika

Kako biste vidjeli više informacija o svojoj mreži, padajući izbornik statistika nevjerojatno je koristan. Izbornik statistike može se nalaziti na vrhu zaslona i pružit će vam niz mjernih podataka, od podataka o veličini i vremenu, do nacrtanih grafikona i grafikona. Na ove statistike možete primijeniti i filtre za prikaz da biste suzili važne podatke.

Izbornik statistike Wireshark prikazan je u nastavku:

statistika o žicama

U ovom su izborniku različite mogućnosti koje će vam pomoći da razbijete svoje mrežne informacije.

Odabir izbornika Statistike

Evo nekoliko temeljnih odjeljaka:

  • Hijerarhija protokola - Opcija Protokol hijerarhije podiže prozor s potpunom tablicom svih zarobljenih protokola. Aktivni filtri za prikaz prikazani su i na dnu.
  • razgovori - Otkriva mrežni razgovor između dvije krajnje točke (na primjer razmjena prometa s jedne IP adrese na drugu).
  • Krajnje točke - Prikazuje popis krajnjih točaka (mrežna krajnja točka je mjesto gdje se završava protokol protoka određenog sloja protokola).
  • IO grafikoni - Prikazuje specifične grafikone za korisnike, vizualizirajući broj paketa tijekom razmjene podataka.
  • RTP_statistics - Omogućuje korisniku da spremanje sadržaja RTP audio struje izravno u Au-datoteku.
  • Vrijeme odziva usluge - Prikazuje vrijeme odgovora između zahtjeva i odgovora mreže.
  • TcpPduTime - Prikazuje vrijeme potrebno za prijenos podataka s protokola podataka. Može se koristiti za pronalaženje TCP ponovnog slanja.
  • VoIP_Calls - Prikazuje VoIP pozive dobivene iz snimaka uživo.
  • Multicast stream - Otkriva višestruke tokove i mjeri veličinu rafala i izlazne međuspremnike određenih brzina.

Vizualizacija mrežnih paketa s IO grafikonima

Ako želite stvoriti vizualni prikaz svojih paketa podataka, tada morate otvoriti IO grafikone. Jednostavno kliknite na statistika izbornika i odaberite IO grafikoni. Tada će vam se prikazati prozor grafikona:

Wireshark IO grafikoni

Možeš konfigurirajte IO grafikone s vlastitim postavkama prema podacima koje želite prikazati. Prema zadanim postavkama omogućen je samo graf 1, pa ako želite aktivirati 2-5, morate ih kliknuti. Isto tako, ako želite primijeniti prikazni filtar za graf, kliknite ikonu filtra pored grafikona s kojim želite komunicirati. Stupac stila omogućava vam izmjenu strukture vašeg grafikona. Možete birati između Crta, FBar, Točka, ili Impuls.

Također možete komunicirati s mjernim podacima osi X i Y na vašem grafikonu. Na X osi, odjeljci intervala za kvačice omogućuju vam diktiranje koliko je interval interval, od minuta do sekunde. Također možete provjeriti prikaz kao doba dana potvrdni okvir kako biste promijenili vrijeme X-osi.

U odjeljku osi Y možete promijeniti mjernu jedinicu iz bilo koje od sljedećih opcija: Paketi / Tick, Bajtova / Tick, Bitovi / Tick, ili Napredna. Skala vam omogućuje odabir mjerne ljestvice za Y osi grafikona.

Jednom kada pritisnete Spremi, grafikon se pohranjuje u formatu vašeg izbora

Kako koristiti uzorke

Ako želite vježbati koristeći Wireshark, ali vaša vlastita mreža nije dostupna iz bilo kojeg razloga, korištenje "sample captures" je odlična alternativa. Uzorci snimanja pružaju vam paketne podatke druge mreže. Uzorak snimanja možete preuzeti na web-mjestu wikija Wireshark.

Web-lokacija wikija Wireshark sadrži mnoštvo uzoraka datoteka za hvatanje koje se mogu prenijeti preko web mjesta. Nakon preuzimanja uzorka snimanje možete ga koristiti klikom na Datoteka > Otvorite, a zatim kliknite datoteku.

Datoteke snimanja mogu se naći i iz sljedećih izvora niže:

  • ICIR
  • OpenPacket
  • PacketLife

Proširenje mogućnosti Wiresharka

Iako je Wireshark izvrstan snajperski paket, to nije sve i krajnje alat za analizu mreže. Možete proširiti Wireshark i podržati ga dodatnim alatima. Široka zajednica podržanih dodataka i platformi može poboljšati Wireshark-ove mogućnosti.

Isprobajte ove Wireshark dodatke da biste poboljšali svoje analitičke mogućnosti:

  • Preglednik vremena reakcije SolarWinds za Wireshark omogućava korisnicima da izračunaju vrijeme aplikacije i mreže. Pomoću Wiresharka možete koristiti za prikaz podataka i količinu transakcija. Ovo pomaže u procjeni performansi mreže i prepoznavanju mogućih poboljšanja.
  • Cloudshark je analitički alat koji je posebno napisan za izradu žičara. Međutim, također može uvesti podatke iz drugih njuškala za paket. Cloudshark dodatak za Wireshark olakšava prijenos podataka analitičkim alatom.
  • NetworkMiner je još jedno analitičko sredstvo koje djeluje na feedove iz Wiresharka. Ovaj alat dolazi u besplatnoj i plaćenoj verziji.
  • Prikaži promet prikazuje žive podatke o prometu, identificirajući pakete po protokolu.

Preglednik vremena reakcije SolarWinds za WiresharkDownload 100% BESPLATNI alat

Potpuni alat za analizu mreže, poput dolje objašnjenog monitora SolarWinds, također bi bio dobar dodatak vašem alatu IT administratora.

Monitor performansi SolarWinds: Upravljanje mrežom od 360 stupnjeva - (BESPLATNO ISPITIVANJE)

mrežni monitor performansi

Kao jedno od vodećih rješenja upravljanja mrežom na tržištu, SolarWinds Monitor performansi mreže pruža korisniku opsežne funkcije nadzora mreže radi zaštite njihove mreže. Od praćenja propusnosti do latencije na mreži korisnik može pratiti sve promjene uživo putem nadzorne ploče za analizu performansi.

Nadzorna ploča analize performansi uživo pruža pregled korisničke mrežne infrastrukture u stvarnom vremenu. Vizualni prikaz prikazuje sve aktivne mrežne veze i uređaje. Na taj način korisnik lakše uočava neovlaštene uređaje.

Korisničko sučelje omogućava korisnicima definiranje vlastitih upozorenja kako bi ih se moglo obavijestiti kada se na njihovoj mreži pojave neobične promjene. Ako se novi uređaj pokušava povezati, sustav to može označiti. Podaci uživo koji se generiraju na nadzornoj ploči za analizu također se mogu pretvoriti u izvješća za stvaranje dodatnih uvida.

  • Nadgledanje umrežavanja dobavljača - Identificirajte i riješite probleme s izvedbom više dobavljača.
  • Nadzor bežične mreže - Pregledajte mjerne podatke o performansama s pristupnih točaka, bežičnih uređaja i klijenata.
  • Prepoznati mrtve zone mreže - Pogledajte toplotnu mapu bežične mreže i identificirajte područja sa slabim signalom.
  • Nadzorna ploča analize analize - Pregled cijele mrežne izvedbe na jednoj vremenskoj traci. Povucite i ispustite podatke o performansama mreže da biste stvorili vizualizaciju podataka uživo.
  • Inteligentna upozorenja - Korisnici definiraju kako se generiraju upozorenja. Odaberite koji će uvjeti pokretanja generirati upozorenje na nadzornoj ploči.

SolarWinds Network Performance MonitorDownload BESPLATNO 30-dnevno suđenje na SolarWinds.com

Wireshark: Jednostavan i svestran

To zaključuje našu raščlambu o tome kako koristiti Wireshark. Bez obzira jeste li novi korisnik ili ste veteran Wiresharka, ova je platforma izuzetno svestran alat za analizu mreže. Ako želite najbolje iskoristiti Wireshark, preporučuje se dodatno istraživanje na web mjestu Wireshark.

To je još važnije ako želite koristiti naprednije značajke i stvoriti vlastite dissektore protokola. Službeni vodič za Wireshark nudi najopsežnije savjete o ovoj temi.

Ne zaboravite koristiti vanjske dodatke i prateće programe iz SolarWindsa jer oni mogu značajno povećati dubinu vaših budućih nastojanja u analizi. Ako želite više informacija o optimizaciji mreže, potražite naš detaljni vodič o mrežnim analizatorima.

Ostali vodiči:

  • Wireshark varalica
  • Kako dešifrirati SSL pomoću Wiresharka
  • Pomoću Wiresharka dobivate IP adresu nepoznatog domaćina
  • Trčanje na daljinsko snimanje pomoću Wireshark i tcpdump
  • Objašnjenja pogreške "Wireshark" nije pronađena sučelja
  • Identificirajte hardver pomoću OUI pretraživanja u Wiresharku
  • Najbolje Wireshark alternative
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me

About the author

Leave a Reply

Your email address will not be published. Required fields are marked *

8 + 2 =

Adblock
detector