Wireshark je bezplatná aplikácia, ktorú používate na zachytenie a zobrazenie dát, ktoré sa pohybujú v sieti. Poskytuje možnosť rozbiť a prečítať obsah každého paketu a filtrovať tak, aby vyhovovala vašim špecifickým potrebám. Používa sa na riešenie problémov so sieťou a vývoj a testovanie softvéru. Tento analyzátor protokolov s otvoreným zdrojovým kódom je široko akceptovaný ako priemyselný štandard, ktorý v priebehu rokov získal spravodlivý podiel na oceneniach.
Pôvodne známy ako Ethereal, Wireshark má používateľsky prívetivé rozhranie, ktoré dokáže zobrazovať dáta zo stoviek rôznych protokolov na všetkých hlavných sieťových typoch. Dátové pakety je možné prezerať v reálnom čase alebo analyzovať offline. Wireshark podporuje desiatky podporovaných formátov zachytávania / sledovania súborov vrátane CAP a ERF. Integrované dešifrovacie nástroje umožňujú zobraziť šifrované pakety pre niekoľko populárnych protokolov vrátane WEP a WPA / WPA2.
01 z 07Stiahnutie a inštalácia Wireshark
Wireshark možno bezplatne prevziať z webovej stránky Wireshark Foundation pre operačné systémy MacOS a Windows. Pokiaľ nie ste pokročilým používateľom, odporúčame vám stiahnuť najnovšie stabilné vydanie. Počas procesu inštalácie systému Windows by ste sa mali nainštalovať WinPcap, ak budete vyzvaní, pretože obsahuje knižnicu potrebnú na zachytávanie živých dát.
Aplikácia je dostupná aj pre Linux a väčšinu iných UNIX-like platforiem vrátane Red Hat, Solaris a FreeBSD. Binárne súbory, ktoré sú potrebné pre tieto operačné systémy, nájdete v spodnej časti stránky na prevzatie v časti Balíčky tretích strán. Môžete tiež prevziať zdrojový kód Wireshark z tejto stránky.
Ako zachytiť dátové pakety
Keď prvýkrát spustíte Wireshark, zobrazí sa uvítacia obrazovka obsahujúca zoznam dostupných sieťových pripojení na vašom aktuálnom zariadení. V tomto príklade si všimnete, že sa zobrazujú nasledujúce typy pripojenia: Bluetooth Sieťové pripojenie, Ethernet, Siete iba hostiteľskej siete VirtualBox a Wi-Fi. Zobrazená napravo od každého je lineárny graf v štýle EKG, ktorý predstavuje živú prevádzku v danej sieti.
Ak chcete spustiť zachytenie paketov, vyberte jednu alebo viac sietí kliknutím na vašu voľbu a pomocou tlačidla smena alebo ctrl , ak chcete súčasne zaznamenávať údaje z viacerých sietí. Po vybratí typu pripojenia na účely zachytenia je jeho pozadie zatienené modrou alebo sivou farbou. Kliknite na zajatí v hlavnej ponuke umiestnenej smerom k hornej časti rozhrania Wireshark. Keď sa zobrazí rozbaľovacia ponuka, vyberte položku štart voľba.
Záznam paketov môžete spustiť aj pomocou jednej z nasledujúcich skratiek.
- klávesnica: Stlačtectrl + E.
- myš: Ak chcete spustiť zachytenie paketov z jednej konkrétnej siete, dvakrát kliknite na jej názov.
- toolbar: Kliknite na modré tlačidlo žraločej plutvy umiestnené na ľavej strane panelu nástrojov Wireshark.
Začne sa proces živého zachytenia a Wireshark zobrazuje údaje o paketoch pri ich zaznamenaní. Zastavenie snímania:
- klávesnica: lis ctrl + E
- toolbar: Kliknite na červené prestať umiestneného vedľa žraločej plutvy na paneli s nástrojmi Wireshark.
Zobrazenie a analýza obsahu paketu
Po zaznamenaní niektorých sieťových údajov je čas pozrieť sa na zachytené pakety. Zachytené dátové rozhranie obsahuje tri hlavné časti: tabuľku zoznamu paketov, tabuľku podrobností paketu a tabuľku paketov paketov.
Zoznam paketov
Podokno zoznamu paketov umiestnené v hornej časti okna zobrazuje všetky pakety nachádzajúce sa v aktívnom súbore snímania. Každý paket má spolu s každým z týchto dátových bodov svoj vlastný riadok a zodpovedajúce číslo.
- čas: Časová pečiatka, kedy bol paket zachytený, sa zobrazí v tomto stĺpci. Predvolený formát je počet sekúnd alebo čiastočných sekúnd od vytvorenia tohto špecifického súboru na zachytenie. Ak chcete tento formát upraviť na niečo, čo môže byť o niečo užitočnejšie, ako je skutočný čas v danom čase, vyberte položku Formát zobrazovania času z Wireshark vyhliadka menu umiestnené v hornej časti hlavného rozhrania.
- zdroj: Tento stĺpec obsahuje adresu (IP alebo iné), z ktorej bol pôvodný paket.
- Destinácia: Tento stĺpec obsahuje adresu, do ktorej je odosielaný paket.
- Protokol: Názov protokolu paketu, napríklad protokol TCP, nájdete v tomto stĺpci.
- dĺžka: V tomto stĺpci sa zobrazí dĺžka paketu v bajtoch.
- Info: Ďalšie informácie o balíku nájdete tu. Obsah tohto stĺpca sa môže značne líšiť v závislosti od obsahu paketov.
Ak je v hornom paneli vybratý paket, v prvom stĺpci sa môže objaviť jeden alebo viac symbolov. Otvorené alebo zatvorené zátvorky a priama vodorovná čiara označujú, či je paket alebo skupina paketov súčasťou rovnakej spätnej a konverzácie v sieti. Zlomená horizontálna čiara znamená, že paket nie je súčasťou uvedenej konverzácie.
Podrobnosti paketu
Panel s podrobnosťami, ktorý sa nachádza v strede, predstavuje protokoly a protokolové polia vybraného paketu v rozložiteľnom formáte. Okrem rozšírenia každého výberu môžete použiť samostatné filtre Wireshark na základe konkrétnych podrobností a sledovať prúdy údajov na základe typu protokolu prostredníctvom kontextovej ponuky podrobností, ktorá je dostupná kliknutím pravým tlačidlom myši na požadovanú položku v tomto okne.
Packet Bytes
V spodnej časti je podokruh paketov paketov, ktorý zobrazuje nespracované dáta vybraného paketu v hexadecimálnom zobrazení.Tento hexadecimálny výpis obsahuje 16 hexadecimálnych bajtov a 16 bajtov ASCII vedľa posunu údajov.
Výber konkrétnej časti týchto údajov automaticky zvýrazní príslušnú časť v tabuľke podrobností o paketoch a naopak. Všetky bajty, ktoré nie je možné vytlačiť, sú skôr reprezentované obdobím.
Môžete si vybrať zobrazenie týchto údajov v bitovom formáte na rozdiel od hexadecimálneho po kliknutí pravým tlačidlom na ľubovoľné miesto v okne a výberom príslušnej voľby z kontextového menu.
04 z 07Použitie filtrov Wireshark
Jedným z najdôležitejších funkcií v súbore Wireshark je jej schopnosť filtrovania, najmä ak ide o súbory s významnou veľkosťou. Filtre na snímanie je možné nastaviť ešte predtým, čo inštruuje spoločnosť Wireshark, aby zaznamenávala iba tie pakety, ktoré spĺňajú vaše zadané kritériá.
Filtre je možné použiť aj v súboroch na zachytávanie, ktoré už boli vytvorené, takže sa zobrazujú len určité pakety. Tieto sú označované ako zobrazovacie filtre.
Wireshark v predvolenom nastavení poskytuje veľké množstvo vopred definovaných filtrov, ktoré vám umožnia zúžiť počet viditeľných paketov pomocou niekoľkých úderov alebo kliknutí myšou. Ak chcete použiť jeden z týchto existujúcich filtrov, umiestnite jeho meno do priečinka Použiť filter displeja vstupné pole umiestnené priamo pod panelom nástrojov Wireshark alebo v Zadajte filter na zachytávanie vstupné pole umiestnené v strede uvítacej obrazovky.
Existuje niekoľko spôsobov, ako to dosiahnuť. Ak už poznáte názov filtra, zadajte ho do príslušného poľa. Ak napríklad chcete zobraziť iba pakety TCP, zadáte ich tcp, Funkcia automatického dokončovania siete Wireshark zobrazuje navrhnuté názvy pri začatí písania, čo uľahčuje vyhľadanie správneho hľadiska pre požadovaný filter.
Ďalším spôsobom, ako vybrať filter, je kliknúť na ikonu záložky umiestnenú na ľavej strane vstupného poľa. Zobrazí sa ponuka obsahujúca niektoré z najčastejšie používaných filtrov, ako aj možnosť Spravujte filtre na zachytávanie alebo Správa filtrov displeja, Ak sa rozhodnete spravovať jeden z typov, objaví sa rozhranie umožňujúce pridávať, odstraňovať alebo upravovať filtre.
Môžete tiež pristupovať k predtým používaným filtrom výberom šípky nadol na pravej strane vstupného poľa, čím zobrazíte rozbaľovací zoznam histórie.
Po nastavení sa použijú filtre na snímanie, akonáhle začnete zaznamenávať sieťovú prevádzku. Ak chcete použiť filter zobrazenia, kliknite na tlačidlo šípky vpravo, ktoré sa nachádza na pravom okraji vstupného poľa.
05 z 07Farebné pravidlá
Filtre na zachytávanie a zobrazovanie Wireshark vám umožňujú obmedziť, ktoré pakety sú zaznamenané alebo zobrazené na obrazovke, jeho funkcie farieb berú veci o krok ďalej tým, že uľahčujú rozlíšenie medzi rôznymi typmi paketov na základe ich individuálneho sfarbenia. Táto užitočná funkcia umožňuje rýchlo vyhľadať určité pakety v rámci uloženej množiny podľa ich farby riadku v podokne zoznamu paketov.
Wireshark je dodávaný s približne 20 vstavanými farebnými pravidlami, z ktorých každá môže byť upravená, zakázaná alebo vymazaná, ak si to prajete. Môžete tiež pridať nové filtre založené na odtieňoch pomocou rozhrania coloring-rules, prístupného z vyhliadka Ponuka. Okrem definovania mena a kritéria filtrov pre každé pravidlo sa tiež žiada, aby ste priradili farbu pozadia aj farbu textu.
Farbenie paketov sa dá prepínať a zapínať cez Farbiť zoznam paketov možnosť, ktorá sa tiež nachádza v vyhliadka Ponuka.
06 z 07štatistika
Okrem podrobných informácií o údajoch vašej siete zobrazených v hlavnom okne služby Wireshark je k dispozícii niekoľko ďalších užitočných metrík štatistika rozbaľovacia ponuka sa nachádza v hornej časti obrazovky. Patria sem informácie o veľkosti a časovaní samotného súboru na zachytenie, spolu s desiatkami grafov a grafov v rozmedzí tém z rozpisov paketových rozhovorov, aby sa načítala distribúcia žiadostí HTTP.
Filtre pre zobrazenie je možné použiť na mnohé z týchto štatistických údajov prostredníctvom ich rozhraní a výsledky je možné exportovať do niekoľkých bežných formátov súborov vrátane súborov CSV, XML a TXT.
07 z 07Pokročilé vlastnosti
Okrem hlavnej funkčnosti Wireshark je k dispozícii aj množstvo ďalších funkcií, ktoré sú k dispozícii v tomto výkonnom nástroji, ktorý je obvykle určený pre pokročilých používateľov. To zahŕňa možnosť napísať vlastné protokolové disektory v programovacom jazyku Lua.
