Wireshark, narzędzie do analizy sieci, znane wcześniej jako Ethereal, przechwytuje pakiety w czasie rzeczywistym i wyświetla je w formacie czytelnym dla człowieka. Wireshark zawiera filtry, kodowanie kolorami i inne funkcje, które pozwalają zagłębić się w ruch sieciowy i sprawdzać poszczególne pakiety.
W tym samouczku zapoznasz się z podstawami przechwytywania pakietów, filtrowania ich i sprawdzania. Możesz użyć Wireshark do zbadania ruchu sieciowego podejrzanego programu, przeanalizowania przepływu ruchu w sieci lub rozwiązania problemów z siecią.
Zdobywanie Wiresharka
Możesz pobrać Wireshark dla Windows lub macOS zjego oficjalna strona internetowa. Jeśli używasz Linuksa lub innego systemu typu UNIX, prawdopodobnie znajdziesz Wireshark w jego repozytoriach pakietów. Na przykład, jeśli używasz Ubuntu, znajdziesz Wireshark w Centrum oprogramowania Ubuntu.
Tylko krótkie ostrzeżenie: wiele organizacji nie zezwala na Wireshark i podobne narzędzia w swoich sieciach. Nie używaj tego narzędzia w pracy, chyba że masz pozwolenie.
Przechwytywanie pakietów
Po pobraniu i zainstalowaniu Wireshark, możesz go uruchomić i dwukrotnie kliknąć nazwę interfejsu sieciowego pod Capture, aby rozpocząć przechwytywanie pakietów na tym interfejsie. Na przykład, jeśli chcesz przechwytywać ruch w sieci bezprzewodowej, kliknij interfejs bezprzewodowy. Możesz skonfigurować zaawansowane funkcje, klikając Przechwyć > Opcje, ale na razie nie jest to konieczne.
Jak tylko klikniesz nazwę interfejsu, zobaczysz, że pakiety zaczynają pojawiać się w czasie rzeczywistym. Wireshark przechwytuje każdy pakiet wysłany do lub z twojego systemu.
Jeśli masz włączony tryb bezładny — jest on domyślnie włączony — zobaczysz również wszystkie inne pakiety w sieci, a nie tylko pakiety adresowane do karty sieciowej. Aby sprawdzić, czy tryb promiscuous jest włączony, kliknij Capture> Options i sprawdź, czy pole wyboru „Włącz tryb promiscuous na wszystkich interfejsach” jest aktywne na dole tego okna.
Kliknij czerwony przycisk „Zatrzymaj” w lewym górnym rogu okna, jeśli chcesz zatrzymać przechwytywanie ruchu.
Kodowanie kolorami
Prawdopodobnie zobaczysz pakiety wyróżnione różnymi kolorami. Wireshark używa kolorów, aby pomóc Ci na pierwszy rzut oka zidentyfikować rodzaje ruchu. Domyślnie jasnofioletowy to ruch TCP, jasnoniebieski to ruch UDP, a czarny oznacza pakiety z błędami — na przykład mogły zostać dostarczone w złym porządku.
Aby zobaczyć dokładnie, co oznaczają kody kolorów, kliknij Widok > Zasady kolorowania. Możesz także dostosować i zmodyfikować zasady kolorowania, jeśli chcesz.
Przechwytywanie próbek
Jeśli w Twojej sieci nie ma nic ciekawego do sprawdzenia, wiki Wireshark Cię obejmuje. Wiki zawierastrona przykładowych plików przechwytywaniaktóre można załadować i sprawdzić. Kliknij Plik > Otwórz w Wireshark i wyszukaj pobrany plik, aby go otworzyć.
Możesz także zapisywać własne przechwycenia w Wireshark i otwierać je później. Kliknij Plik > Zapisz, aby zapisać przechwycone pakiety.
Filtrowanie pakietów
Jeśli próbujesz sprawdzić coś konkretnego, na przykład ruch wysyłany przez program podczas dzwonienia do domu, pomocne jest zamknięcie wszystkich innych aplikacji korzystających z sieci, aby ograniczyć ruch. Mimo to prawdopodobnie będziesz musiał przesiać dużą liczbę pakietów. Tu właśnie wkraczają filtry Wireshark.
Najbardziej podstawowym sposobem zastosowania filtru jest wpisanie go w polu filtru u góry okna i kliknięcie Zastosuj (lub naciśnięcie Enter). Na przykład wpisz „dns”, a zobaczysz tylko pakiety DNS. Kiedy zaczniesz pisać, Wireshark pomoże ci automatycznie uzupełnić filtr.
Możesz także kliknąć Analizuj > Filtry wyświetlania, aby wybrać filtr spośród domyślnych filtrów zawartych w Wireshark. W tym miejscu możesz dodawać własne niestandardowe filtry i zapisywać je, aby mieć do nich łatwy dostęp w przyszłości.
Aby uzyskać więcej informacji na temat języka filtrowania wyświetlania Wireshark, przeczytajBudowanie wyrażeń filtrów wyświetlaniaw oficjalnej dokumentacji Wireshark.
Kolejną interesującą rzeczą, jaką możesz zrobić, jest kliknięcie prawym przyciskiem myszy pakietu i wybranie opcji Śledź> Strumień TCP.
Zobaczysz pełną konwersację TCP między klientem a serwerem. Możesz także kliknąć inne protokoły w menu Śledź, aby zobaczyć pełne konwersacje dla innych protokołów, jeśli ma to zastosowanie.
Zamknij okno, a zobaczysz, że filtr został zastosowany automatycznie. Wireshark pokazuje pakiety, które składają się na rozmowę.
Sprawdzanie pakietów
Kliknij pakiet, aby go wybrać i możesz przekopać się, aby wyświetlić jego szczegóły.
Możesz także tworzyć filtry z tego miejsca — wystarczy kliknąć prawym przyciskiem myszy jeden ze szczegółów i użyć podmenu Zastosuj jako filtr, aby utworzyć na jego podstawie filtr.
Wireshark to niezwykle potężne narzędzie, a ten samouczek tylko zarysowuje powierzchnię tego, co możesz z nim zrobić. Profesjonaliści używają go do debugowania implementacji protokołów sieciowych, badania problemów związanych z bezpieczeństwem i inspekcji wewnętrznych protokołów sieciowych.
Więcej szczegółowych informacji można znaleźć w oficjalnymPrzewodnik użytkownika Wiresharkiinne strony dokumentacjina stronie Wireshark.