Wireshark з'яўляецца бясплатнае прыкладанне, якое дазваляе захопліваць і праглядаць дадзеныя падарожжа туды і назад у вашай сеткі, падаючы магчымасць свідраваць ўніз і прачытаць змесціва кожнага пакета - фільтруецца для задавальнення вашых канкрэтных патрэбаў. Яна звычайна выкарыстоўваецца для ліквідацыі праблем у сеткі, а таксама для распрацоўкі і тэсціравання праграмнага забеспячэння. Гэты аналізатар пратаколаў з адкрытым зыходным кодам шырока прыняты ў якасці прамысловага стандарту, выйграўшы сваю справядлівую долю узнагарод на працягу многіх гадоў.
Першапачаткова вядомы як Ethereal, Wireshark мае дружалюбны карыстацкі інтэрфейс , які можа адлюстроўваць дадзеныя з сотняў розных пратаколаў на ўсіх асноўных тыпах сетак. Гэтыя пакеты дадзеных могуць быць прагледжаныя ў рэжыме рэальнага часу або аналізу ў аўтаномным рэжыме, з дзесяткамі фарматаў захопу / трасіроўкі , падтрымоўваных у тым ліку CAP і ERF . Інтэграваныя інструменты расшыфроўкі дазваляюць праглядаць зашыфраваныя пакеты для некалькіх папулярных пратаколаў , такіх як WEP і WPA / WPA2 .
01 07
Загрузка і ўстаноўка Wireshark
Wireshark можна спампаваць цалкам бясплатна з сайта Wireshark Foundation для абедзвюх аперацыйных сістэм MacOS і Windows. Калі вы не з'яўляецеся дасведчаным карыстальнікам, рэкамендуецца, што вы толькі спампаваць апошнюю стабільную версію. Падчас працэсу ўстаноўкі (Windows толькі), вы павінны выбраць і ўсталяваць WinPcap, калі спатрэбіцца, паколькі яна ўключае ў сябе бібліятэку, неабходную для захопу жывых дадзеных.
Дадатак таксама даступна для Linux і большасць іншых UNIX-падобных платформаў , уключаючы Red Hat , Solaris і FreeBSD. Двайковыя неабходныя для гэтых аперацыйных сістэм можна знайсці ў ніжняй частцы старонкі загрузкі ў раздзеле Іншыя пакеты.
Вы таксама можаце спампаваць зыходны код WIRESHARK ад гэтай старонкі.
02 ад 07
Як захапіць пакеты дадзеных
Пры першым запуску Wireshark экран прывітання аналагічны паказаным вышэй павінен быць бачны, які змяшчае спіс даступных сеткавых злучэнняў на бягучым прыладзе. У гэтым прыкладзе, вы заўважыце , што наступныя тыпы злучэнняў паказаны: Bluetooth Падключэнне да сеткі, Ethernet, VirtualBox Host-толькі сеткі, Wi-Fi. Паказана справа ад кожнага з'яўляецца граф ЭКГ-стыль лініі, якая ўяўляе рэальны трафік на гэтай адпаведнай сеткі.
Для таго, каб пачаць захоп пакетаў, спачатку выберыце адзін або некалькі з гэтых сетак, націснуўшы на выбар (ы) і выкарыстоўваючы клавішу Shift або клавішу Ctrl , калі вы хочаце запісаць дадзеныя з некалькіх сетак адначасова. Пасля таго, як тып злучэння абраны для захопу мэтаў, яго фон будзе заштрыхаваная або сіняга або шэрага колеру. Націсніце на Capture з галоўнага меню, размешчанага ў верхняй частцы інтэрфейсу Wireshark. Калі з'явіцца выпадальнае меню, выберыце опцыю Start.
Акрамя таго, можна ініцыяваць пакет захопу праз адну з наступных клавіш.
- Клавіятура: Націсніце Ctrl + E
- Мыш: Для таго, каб пачаць захоп пакетаў з адной канкрэтнай сеткі, проста двойчы пстрыкніце на яго назве
- Панэль інструментаў: Націсніце на сінюю кнопку акулавых плаўнікоў, размешчаны на далёкай левай баку панэлі інструментаў Wireshark
Працэс захопу жыць цяпер будзе пачынацца з дэталямі пакета, адлюстраваных у акне Wireshark, як яны запісаныя. Выканайце адно з названых ніжэй дзеянняў, каб спыніць захоп.
- Клавіятура: Націсніце Ctrl + E
- Панэль інструментаў: Націсніце на чырвоную кнопку прыпынку, размешчанай побач з акулавага плаўніка на панэлі інструментаў Wireshark
03 з 07
Прагляд і аналіз Packet Contents
Зараз, калі вы запісалі некаторыя сеткавыя дадзеныя, прыйшоў час зірнуць на захопленых пакетах. Як паказана на малюнку вышэй, захопленае інтэрфейс даных змяшчае тры асноўных падзелу: спіс пакетаў панэлі, дэталі пакетныя панэлі і панэлі пакетных байтаў.
спіс пакетаў
Панэль спісу пакетаў, размешчаная ў верхняй частцы акна, паказвае ўсе пакеты, знойдзеныя ў актыўным файле захоп. Кожны пакет мае сваю ўласную радок і адпаведны нумар, прысваення ёй, разам з кожным з гэтых кропак дадзеных.
- Час: Отметка , калі пакет быў захоплены адлюстроўваецца ў гэтым слупку, з фарматам па змаўчанні ўяўляе сабой лік секунд (або частковых секунды) , так як гэты канкрэтны файл захоп быў упершыню створаны. Для таго, каб змяніць гэты фармат , то , што можа быць трохі больш карысным, напрыклад, фактычны час сутак, абярыце опцыю Time Display Format з меню Віда Wireshark - у размешчанай у верхняй частцы асноўнага інтэрфейсу.
- Крыніца: Гэты слупок змяшчае адрас (IP ці іншыя) , дзе пакет ініцыявана.
- Прызначэнне: Гэты слупок змяшчае адрас , што пакет які адпраўляецца на.
- Пратакол: назву пратакола пакета (гэта значыць, TCP) , можна знайсці ў гэтай калонцы.
- Даўжыня: даўжыня пакета ў байтах, адлюстроўваюцца ў гэтым слупку.
- Інфармацыя: Дадатковыя звесткі аб пакеце прадстаўлены тут. Змесціва гэтага слупка можа значна вар'іравацца ў залежнасці ад змесціва пакета.
Калі пакет выбраны ў верхняй панэлі, вы можаце заўважыць адзін або больш сімвалаў з'яўляюцца ў першай калонцы. Адкрытыя і / або зачыненыя кранштэйны, а таксама прамая гарызантальная лінія, могуць паказваць на пакет або група пакетаў, ці з'яўляецца ці не часткі аднаго і таго ж назад і наперад размовы па сетцы. Зламаная гарызантальная лінія азначае, што пакет не з'яўляецца часткай названага размовы.
пакетныя падрабязна
Дэталі панэль, знойдзеная ў сярэдзіне, прадстаўленыя пратаколы і поле пратаколу абранага пакета ў складаным фармаце. У дадатак да пашырэння выбару кожнага, вы можаце таксама ўжываць асобныя фільтры Wireshark на аснове канкрэтных дэталяў, а таксама прытрымлівацца патокаў дадзеных, заснаваных на тыпе пратаколу праз дэталі кантэкстнага меню - даступны, пстрыкнуўшы правай кнопкай мышы па патрэбным пункту ў гэтай галіне.
пакетны Bytes
У ніжняй частцы знаходзіцца панэль пакетных байт, які адлюстроўвае неапрацаваныя дадзеныя абранага пакета ў шаснаццатковым зроку. Гэта шаснаццатковы дамп змяшчае 16 шаснаццатковых байт і 16 байт ASCII нароўні з дадзенымі карэкцыі.
Выбар канкрэтнай часткі гэтых дадзеных аўтаматычна вылучае яго адпаведны раздзел у пакеце панэлі падрабязнасьцяў і наадварот. Любыя байты, якія не могуць быць надрукаваныя замест гэтага прадстаўлены перыяд.
Вы можаце выбраць, каб паказаць гэтыя дадзеныя ў бітаў фармаце, у адрозненне ад шаснаццатковай правай кнопкі мышы ў любым месцы панэлі і выбраўшы адпаведны пункт з кантэкстнага меню.
04 з 07
Выкарыстанне Wireshark фільтраў
Адным з найбольш важных набораў функцый у Wireshark з'яўляецца яго магчымасцю фільтрацыі, асабліва калі вы маеце справу з файламі, якія з'яўляюцца значнымі па памеры. Захоп фільтры могуць быць устаноўлены перад фактам, даручыўшы Wireshark толькі запісваць тыя пакеты, якія адпавядаюць названым крытэрыям.
Фільтры могуць быць ужытыя да файла захоп, які ўжо быў створаны такім чынам, што толькі пэўныя пакеты паказаны. Яны называюцца адлюстравання фільтраў.
Wireshark прадастаўляе вялікая колькасць наканаваных фільтраў па змаўчанні, што дазваляе скараціць колькасць бачных пакетаў з дапамогай некалькіх націскаў клавіш ці пстрычак мышы. Каб выкарыстоўваць адзін з гэтых існуючых фільтраў, змесціце яго імя ў спісе Ужыць поле ўводу дысплея фільтра (размешчанае непасрэдна пад панэль інструментаў Wireshark) або ў поле Увядзіце запіс захопу фільтра поля (размешчана ў цэнтры экрана прывітання).
Ёсць некалькі спосабаў для дасягнення гэтай мэты. Калі вы ўжо ведаеце назву вашага фільтра, проста ўвядзіце яго ў адпаведнае поле. Напрыклад, калі вы толькі хочаце паказаць TCP пакеты трэба ўвесці TCP. Функцыя аўтазапаўнення Wireshark пакажа імёны, прапанаваныя ім, як пачаць друкаваць, што робіць яго лягчэй знайсці правільную мянушку для фільтра вы шукаеце.
Іншы спосаб выбраць фільтр, каб націснуць на абразок закладкі тыпу, размешчанай на левым баку поля ўводу. Гэта прадставіць меню , якое змяшчае некаторыя з найбольш часта выкарыстоўваюцца фільтраў, а таксама магчымасць кіраваць фільтрамі захопу або Manage Паказаць фільтры. Калі вы хочаце кіраваць альбо ўвесці інтэрфейс з'явіцца дазваляе дадаваць, выдаляць або рэдагаваць фільтры.
Вы таксама можаце атрымаць доступ да раней якія выкарыстоўваюцца фільтры, выбраўшы стрэлку ўніз, размешчаную на правай баку поля ўводу, які адлюстроўвае гісторыю выпадальны спіс.
Пасля ўстаноўкі, фільтры захопу будуць прымяняцца, як толькі вы пачнеце запіс сеткавага трафіку. Каб прымяніць фільтр адлюстравання, аднак, вам трэба націснуць на кнопку з правага стрэлкай, знойдзенай на далёкай правай частцы поля ўводу.
05 07
размалёўкі Правілы
У той час захопу і адлюстравання фільтраў WIRESHARK дазваляюць вам абмежаваць пакеты, якія запісваюцца або адлюстроўваюцца на экране, яго функцыянальнасць размалёўванне бярэ рэчы крок наперад, што дазваляе лёгка адрозніваць розныя тыпы пакетаў у залежнасці ад іх індывідуальнага адцення. Гэтая зручная функцыя дазваляе хутка знайсці пэўныя пакеты ў межах захаванага набору па іх маленькай па каляровай гаме ў панэлі спісу пакетаў.
Wireshark прыходзіць каля 20 правілаў фарбуюць па змаўчанні ўбудаваныя; кожны, якія могуць быць адрэдагаваныя, адключаны або выдалены, калі вы хочаце. Вы можаце таксама дадаць новы адценне на аснове фільтраў праз інтэрфейс правілаў размалёўкі, acessible з меню Выгляд. У дадатак да вызначэння імя і крытэрый фільтра для кожнага правіла, вы таксама папрасілі звязаць як колер фону і колер тэксту.
Пакет размалёўванне можа быць выключана і праз опцыю Colorize List Packet, таксама можна знайсці ў меню Від.
06 з 07
статыстыка
У дадатку да падрабязнай інфармацыі аб дадзеным вашай сеткі , паказаных ў галоўным акне Wireshark, некалькі іншых карысных метрык даступныя праз меню выпадальнага Статыстыка знойдзенае ў верхняй частцы экрана. Да іх ставяцца памер і часовай інфармацыя пра самае файле захоп, разам з дзесяткамі дыяграм і графікаў, якія размяшчаюцца ў тэме з пакетаў гутарковых зрываў загрузіць размеркаванне HTTP запытаў.
Паказаць фільтры могуць быць ужытыя да многіх з гэтых статыстычных дадзеных з дапамогай іх індывідуальных інтэрфейсаў, і вынікі могуць быць экспартаваныя ў некалькіх распаўсюджаных фарматах файлаў , уключаючы CSV , XML і TXT.
07 07
дадатковыя магчымасці
Хоць мы пакрылі большую частку асноўны функцыянальнасці Wireshark ў гэтым артыкуле, ёсць таксама калекцыя дадатковых функцый, даступных у гэтым магутным інструменце, які, як правіла, зарэзерваваны для прасунутых карыстальнікаў. Гэта ўключае ў сябе здольнасць запісваць свае ўласныя диссекторы пратаколу на мове праграмавання Lua.
Для атрымання больш падрабязнай інфармацыі аб гэтых дадатковых функцыях, звярніцеся да афіцыйнага кіраўніцтву карыстальніка Wireshark ст.