Wireshark to wiodący analizator protokołów sieciowych używany przez specjalistów ds. Bezpieczeństwa na całym świecie. Pozwala wykryć anomalie w sieciach komputerowych i znaleźć ich przyczyny. W kolejnych sekcjach pokażemy, jak korzystać z Wireshark.
Jak to działa? Jak właściwie używasz Wireshark do przechwytywania pakietów danych?
Jak działa Wireshark?
Solidny zestaw funkcji Wireshark uczynił go jednym z najlepsze narzędzia do rozwiązywania problemów z siecią. Wiele osób korzysta z Wireshark, w tym administratorzy sieci, audytorzy bezpieczeństwa, analitycy złośliwego oprogramowania, a nawet osoby atakujące.
Czy masz problem z siecią? A może po prostu chcesz dowiedzieć się więcej o swojej sieci domowej? Te siedem narzędzi może pomóc w analizowaniu i rozwiązywaniu problemów z siecią.
Umożliwia wykonywanie głębokich inspekcji aktywnych lub przechowywanych pakietów sieciowych. Gdy zaczniesz używać Wireshark, będziesz zafascynowany ilością informacji, jakie może on zaoferować. Jednak zbyt wiele informacji często utrudnia nadążanie za ścieżką.
Na szczęście możemy to złagodzić dzięki zaawansowanym możliwościom filtrowania Wiresharka. Omówimy je szczegółowo później. Przepływ pracy obejmuje przechwytywanie pakietów sieciowych i odfiltrowywanie wymaganych informacji.
Jak korzystać z programu Wireshark do przechwytywania pakietów
Po uruchomieniu Wireshark wyświetli interfejsy sieciowe podłączone do twojego systemu. Powinieneś zauważyć krzywe reprezentujące komunikację sieciową obok każdego interfejsu.
Teraz musisz wybrać określony interfejs, zanim będziesz mógł rozpocząć przechwytywanie pakietów. Aby to zrobić, wybierz nazwę interfejsu i kliknij niebieski płetwa rekina Ikona. Możesz to również zrobić, dwukrotnie klikając nazwę interfejsu.
Wireshark rozpocznie przechwytywanie przychodzących i wychodzących pakietów dla wybranego interfejsu. Kliknij czerwony pauza ikona, aby zatrzymać przechwytywanie. Powinieneś zobaczyć listę pakietów sieciowych pobranych podczas tego procesu.
Wireshark wyświetli źródło i miejsce docelowe dla każdego pakietu wraz z protokołem. Jednak przez większość czasu będziesz zainteresowany zawartością pola informacyjnego.
Możesz sprawdzić poszczególne pakiety, klikając je. W ten sposób możesz wyświetlić całe dane pakietu.
Jak zapisać przechwycone pakiety w Wireshark
Ponieważ Wireshark przechwytuje duży ruch, czasami możesz chcieć zapisać je do późniejszej inspekcji. Na szczęście zapisywanie przechwyconych pakietów za pomocą Wireshark jest łatwe.
Aby zapisać pakiety, zatrzymaj aktywną sesję. Następnie kliknij plik ikona znajdująca się w górnym menu. Możesz także użyć Ctrl + S aby to zrobić.
Wireshark może zapisywać pakiety w kilku formatach, w tym pcapng, pcap i dmp. Możesz także zapisywać przechwycone pakiety w innym formacie narzędzia do analizy sieci można później użyć.
Jak analizować przechwycone pakiety
Możesz analizować wcześniej przechwycone pakiety, otwierając plik przechwytywania. W oknie głównym kliknij Plik> Otwórz a następnie wybierz odpowiedni zapisany plik.
Możesz także użyć Ctrl + O zrobić to szybko. Po przeanalizowaniu pakietów zamknij okno inspekcji, przechodząc do Plik> Zamknij.
Jak korzystać z filtrów Wireshark
Wireshark oferuje mnóstwo solidnych możliwości filtrowania. Filtry są dwojakiego rodzaju - filtry wyświetlania i filtry przechwytywania.
Korzystanie z filtrów wyświetlających Wireshark
Filtry wyświetlania służą do przeglądania określonych pakietów ze wszystkich przechwyconych pakietów. Na przykład możemy użyć filtra wyświetlania icmp aby wyświetlić wszystkie pakiety danych ICMP.
Możesz wybierać spośród dużej liczby filtrów. Co więcej, możesz także zdefiniować niestandardowe reguły filtrowania dla trywialnych zadań. Aby dodać spersonalizowane filtry, przejdź do Analiza> Filtry wyświetlania. Kliknij na + ikonę, aby dodać nowy filtr.
Korzystanie z filtrów przechwytywania Wireshark
Filtry przechwytywania służą do określania, które pakiety mają zostać przechwycone podczas sesji Wireshark. Tworzy znacznie mniej pakietów niż standardowe przechwytywania. Możesz ich używać w sytuacjach, gdy potrzebujesz konkretnych informacji o określonych pakietach.
Wprowadź swój filtr przechwytywania w polu tuż nad listą interfejsów w oknie głównym. Wybierz nazwę interfejsu z listy i wpisz nazwę filtru w powyższym polu.
Kliknij niebieski płetwa rekina ikona, aby rozpocząć przechwytywanie pakietów. Poniższy przykład wykorzystuje arp filtruj, aby przechwytywać tylko transakcje ARP.
Korzystanie z reguł kolorowania Wireshark
Wireshark zapewnia kilka reguł kolorowania, które wcześniej były nazywane filtrami kolorów. To świetna funkcja podczas analizowania dużego ruchu sieciowego. Możesz także dostosować je na podstawie preferencji.
Aby wyświetlić aktualne zasady kolorowania, przejdź do Widok> Zasady kolorowania. Tutaj możesz znaleźć domyślne zasady kolorowania dla Twojej instalacji.
Możesz je dowolnie modyfikować. Ponadto możesz również użyć reguł kolorowania innych osób, importując plik konfiguracyjny.
Pobierz plik zawierający reguły niestandardowe, a następnie zaimportuj go, wybierając Widok> Zasady kolorowania> Importuj. Reguły można eksportować w podobny sposób.
Wireshark w akcji
Do tej pory omówiliśmy niektóre z podstawowych funkcji Wiresharka. Wykonajmy kilka praktycznych operacji, aby zademonstrować, jak te elementy integrują się.
Na potrzeby tej demonstracji stworzyliśmy podstawowy serwer Go. Zwraca prostą wiadomość tekstową dla każdego żądania. Po uruchomieniu serwera wykonamy kilka żądań HTTP i przechwycimy ruch na żywo. Zauważ, że uruchamiamy serwer na hoście lokalnym.
Najpierw inicjujemy przechwytywanie pakietów, klikając dwukrotnie interfejs Loopback (localhost). Następnym krokiem jest uruchomienie naszego lokalnego serwera i wysłanie żądania GET. Używamy do tego curl.
Wireshark przechwyci wszystkie przychodzące i wychodzące pakiety podczas tej rozmowy. Chcemy zobaczyć dane przesłane przez nasz serwer, więc użyjemy rozszerzenia http.response filtr wyświetlania do przeglądania pakietów odpowiedzi.
Teraz Wireshark ukryje wszystkie inne przechwycone pakiety i wyświetli tylko pakiety odpowiedzi. Jeśli przyjrzysz się bliżej szczegółom pakietu, powinieneś zauważyć dane w postaci zwykłego tekstu wysłane przez nasz serwer.
Przydatne polecenia programu Wireshark
Możesz także użyć różnych poleceń Wireshark, aby kontrolować oprogramowanie z terminala Linux. Oto kilka podstawowych poleceń Wiresharka:
- wireshark uruchamia Wireshark w trybie graficznym.
- wireshark -h wyświetla dostępne opcje wiersza polecenia.
- wireshark -i INTERFEJS wybiera INTERFEJS jako interfejs przechwytywania.
Tshark jest alternatywą wiersza poleceń dla Wireshark. Obsługuje wszystkie niezbędne funkcje i jest niezwykle wydajny.
Analizuj bezpieczeństwo sieci za pomocą Wireshark
Bogaty zestaw funkcji Wireshark i zaawansowane reguły filtrowania sprawiają, że analiza pakietów jest produktywna i prosta. Możesz go użyć do znalezienia wszelkiego rodzaju informacji o swojej sieci. Wypróbuj jego najbardziej podstawowe funkcje, aby dowiedzieć się, jak używać Wireshark do analizy pakietów.
Wireshark jest dostępny do pobrania na urządzeniach z systemem Windows, macOS i Linux.
Chcesz monitorować swoją sieć lub urządzenia zdalne? Oto jak zmienić Raspberry Pi w narzędzie do monitorowania sieci za pomocą Nagios.
- Linux
- Prochowiec
- Windows
- Bezpieczeństwo
- Bezpieczeństwo online
Rubaiat jest absolwentem CS z wielką pasją do oprogramowania open source. Oprócz bycia weteranem Uniksa zajmuje się również bezpieczeństwem sieci, kryptografią i programowaniem funkcjonalnym. Jest zapalonym kolekcjonerem książek z drugiej ręki i niekończącym się podziwem dla klasycznego rocka.
Zapisz się do naszego newslettera
Dołącz do naszego biuletynu, aby otrzymywać wskazówki techniczne, recenzje, bezpłatne e-booki i ekskluzywne oferty!
Jeszcze jeden krok…!
Potwierdź swój adres e-mail w wiadomości, którą właśnie wysłaliśmy.
