If-Koubou

Как да използвате Wireshark за снемане, филтриране и проверка на пакети

Как да използвате Wireshark за снемане, филтриране и проверка на пакети (Как да)

Wireshark, мрежов аналитичен инструмент, известен преди като Ethereal, улавя пакети в реално време и ги показва в човешки четиваем формат. Wireshark включва филтри, цветово кодиране и други функции, които ви позволяват да копаете дълбоко в мрежовия трафик и да инспектирате отделни пакети.

Този урок ще ви ускори с основите на улавянето на пакети, филтрирането им и инспектирането им. Можете да използвате Wireshark, за да инспектирате мрежовия трафик на подозрителната програма, да анализирате потока трафик в мрежата си или да отстранявате проблеми с мрежата.

Получаване на Wireshark

Можете да изтеглите Wireshark за Windows или MacOS от официалния си уебсайт. Ако използвате Linux или друга UNIX-подобна система, вероятно ще намерите Wireshark в пакетите си за съхранение на пакети. Например, ако използвате Ubuntu, ще намерите Wireshark в софтуера на Ubuntu.

Само едно бързо предупреждение: Много организации не позволяват Wireshark и подобни инструменти в своите мрежи. Не използвайте този инструмент на работа, освен ако нямате разрешение.

Записване на пакети

След като изтеглите и инсталирате Wireshark, можете да го стартирате и щракнете двукратно върху името на мрежовия интерфейс под Capture, за да започнете да записвате пакети на този интерфейс. Например, ако искате да заснемете трафик във вашата безжична мрежа, щракнете върху вашия безжичен интерфейс. Можете да конфигурирате разширени функции, като кликнете върху Заснемане> Опции, но това не е необходимо за момента.

Щом кликнете върху името на интерфейса, ще видите, че пакетите започват да се показват в реално време. Wireshark улавя всеки пакет, изпратен до или от вашата система.

Ако имате неразрешен режим активиран - това е активирано по подразбиране - ще видите и всички останали пакети в мрежата, вместо само пакети, адресирани до вашия мрежов адаптер. За да проверите дали е активиран нежелан режим, кликнете върху Capture> Options и потвърдете, че в долната част на този прозорец е активирана квадратчето "Enable promiscuous mode on all interfaces".

Кликнете върху червения бутон "Стоп" близо до горния ляв ъгъл на прозореца, когато искате да спрете заснемането на трафика.

Цветово кодиране

Вероятно ще видите пакети, подчертани в различни цветове. Wireshark използва цветове, за да ви помогне да определите типовете трафик с един поглед. По подразбиране светлочервеното е TCP трафик, светло синьо е UDP трафик и черно идентифицира пакети с грешки - например, те биха могли да бъдат освободени от ред.

За да видите точно какво означават цветните кодове, кликнете върху Преглед> Правила за оцветяване. Също така можете да персонализирате и промените правилата за оцветяване оттук, ако искате.

Примерен улавя

Ако няма нищо интересно в собствената ви мрежа да проверявате, уикита на Wireshark ви покрива. Уикито съдържа страница от примерни файлове за заснемане, които можете да заредите и да инспектирате. Кликнете върху Файл> Отваряне в Wireshark и прегледайте изтегления файл, за да го отворите.

Също така можете да запазите собствените си снимки в Wireshark и да ги отворите по-късно. Кликнете върху File (Файл)> Save

Филтриращи пакети

Ако се опитвате да проверите нещо конкретно, като например трафика, който програмата изпраща, когато се обаждате в дома, тя ви помага да затворите всички останали приложения, като използвате мрежата, за да стесните трафика. Все пак вероятно ще имате голямо количество пакети, за да пресетите. Там влизат филтрите на Wireshark.

Най-основният начин да приложите филтър е да го въведете в полето за филтриране в горната част на прозореца и да кликнете върху Прилагане (или натискането на "Enter"). Например, напишете "dns" и ще видите само DNS пакети. Когато започнете да пишете, Wireshark ще ви помогне да завършите автоматично филтъра си.

Също така можете да кликнете върху Анализ> Филтри на дисплей, за да изберете филтър от филтрите по подразбиране, включени в Wireshark. Оттук можете да добавите свои собствени филтри и да ги запазите, за да имате лесен достъп до тях в бъдеще.

За повече информация относно езика за филтриране на дисплеите на Wireshark, прочетете страницата с изрази на филтър за показване на сграда в официалната документация на Wireshark.

Друго интересно нещо, което можете да направите, е да кликнете с десния бутон върху пакета и да изберете Follow> TCP Stream.

Ще видите пълния TCP разговор между клиента и сървъра. Можете също да кликнете върху други протоколи в менюто Следвайте, за да видите пълните разговори за други протоколи, ако има такива.

Затворете прозореца и ще намерите автоматично филтър. Wireshark ви показва пакетите, които правят разговора.

Проверка на пакети

Кликнете върху пакет, за да го изберете, и можете да го копаете, за да видите подробностите му.

Можете също така да създавате филтри оттук - просто кликнете с десния бутон на мишката върху една от детайлите и използвайте подменюто Прилагане като филтър, за да създадете филтър, който се основава на него.

Wireshark е изключително мощен инструмент, а този урок е само надраскване на повърхността на това, което можете да направите с него. Специалистите го използват за отстраняване на грешки при внедряването на мрежови протоколи, проучване на проблеми със сигурността и проверка на вътрешните мрежови протоколи.

По-подробна информация можете да намерите в официалното Ръководство за потребителя на Wireshark и другите страници на документацията на уеб сайта на Wireshark.