Wireshark е бесплатна апликација која ви овозможува да ги снимите и да ги видите податоците што патуваат напред и назад на вашата мрежа, обезбедувајќи можност за разбивање и читање на содржината на секој пакет - филтриран за да ги задоволат вашите специфични потреби. Најчесто се користи за отстранување на проблеми со мрежата, како и за развој и тестирање на софтвер. Овој анализатор на протоколи со отворен извор е широко прифатен како индустриски стандард, освојувајќи го својот добар дел од наградите во текот на годините.
Првично познат како Ethereal, Wireshark има кориснички интерфејс кој може да прикажува податоци од стотици различни протоколи за сите главни типови на мрежа. Овие пакети со податоци може да се гледаат во реално време или да се анализираат офлајн, со десетици фајлови за фаќање / траење поддржани вклучувајќи CAP и ERF . Интегрираните алатки за дешифрирање ви дозволуваат да ги видите шифрираните пакети за неколку популарни протоколи како што се WEP и WPA / WPA2 .
01 од 07
Преземање и инсталирање на Wireshark
Wireshark може да се симне без трошоци од Wireshark Foundation веб-сајтот за MacOS и Windows оперативни системи. Освен ако не сте напреден корисник, се препорачува да го преземете најновото стабилно ослободување. За време на процесот на поставување (само за Windows) треба да изберете да го инсталирате WinPcap, ако тоа го побара, бидејќи вклучува библиотека потребна за снимање на податоци во живо.
Апликацијата е достапна и за Linux и за повеќето други UNIX-подобни платформи, вклучувајќи Red Hat , Solaris и FreeBSD. Бинарниците потребни за овие оперативни системи може да се најдат кон дното на страницата за преземање во Пакетите од трети лица.
Исто така можете да го преземете изворниот код на Wireshark од оваа страница.
02 од 07
Како да ги снимите пакетите со податоци
Кога за првпат стартувате Wireshark, треба да биде видлив екранот за добредојде, сличен на оној прикажан погоре, кој содржи листа на достапни мрежни врски на вашиот тековен уред. Во овој пример, ќе забележите дека се прикажани следниве типови на врски: Bluetooth мрежна конекција , Ethernet , Виртуелна мрежа за домаќин-само мрежа , Wi-Fi . Прикажано десно од секој е графички графикон во стил на EKG кој го претставува живиот сообраќај на соодветната мрежа.
За да започнете да примате пакети, прво изберете едно или повеќе од овие мрежи со кликнување на изборот и со користење на копчињата Shift или Ctrl ако сакате истовремено да снимате податоци од повеќе мрежи. Откако ќе се избере тип на конекција за целите на снимање, неговата позадина ќе биде засенчена во сина или сива боја. Кликнете на Capture од главното мени, се наоѓа кон врвот на Wireshark интерфејсот. Кога се појавува опаѓачкото мени, изберете ја опцијата Start .
Можете исто така да иницирате зафаќање на пакети преку една од следниве кратенки.
- Тастатура: Притиснете Ctrl + E
- Глувчето: За да започнете да снимате пакети од една одредена мрежа, едноставно кликнете двапати на неговото име
- Лента со алатки: Притиснете го копчето за сина ајкула, лоцирано на левата страна од алатката Wireshark
Процесот на снимање во живо сега ќе започне, со деталите за пакетите прикажани во прозорецот Wireshark како што се снимаат. Направете една од дејствата подолу за да престанете да снимате.
- Тастатура: Притиснете Ctrl + E
- Лента со алатки: Притиснете на црвеното копче за стоп, лоцирано веднаш до перка на ајкула на алатникот Wireshark
03 од 07
Преглед и анализа на содржините на пакетите
Сега, кога сте снимиле некои мрежни податоци, време е да ги погледнете зафатените пакети. Како што е прикажано на погоре скриншот, зафатениот податочен интерфејс содржи три главни делови: панелот со листа на пакети, панелот со детали за пакетот и панелот за бајти со пакети.
Листа со пакети
Панелот со листа на пакети, кој се наоѓа на врвот на прозорецот, ги прикажува сите пакети пронајдени во активната датотека за фотографирање. Секој пакет има свој ред и соодветен број доделен на него, заедно со секоја од овие податоци поени.
- Време: Временската ознака за време на снимањето на пакетот е прикажана во оваа колона, при што стандардниот формат е бројот на секунди (или парцијални секунди), бидејќи оваа специфична датотека за снимање била првично создадена. За да го промените овој формат на нешто што може да биде малку покорисно, како што е вистинското време од денот, одберете ја опцијата Time Display Format од менито View Wireshark - се наоѓа на врвот на главниот интерфејс.
- Извор: Оваа колона ја содржи адресата (IP или друго) од каде потекнува пакетот.
- Дестинација: Во оваа колона се наоѓа адресата на која се испраќа пакетот.
- Протокол: Името на протоколот на пакетот (т.е. TCP) може да се најде во оваа колона.
- Должина: должината на пакетите, во бајти, се прикажува во оваа колона.
- Информации: Дополнителни детали за пакетот се презентирани овде. Содржината на оваа колона може да варира во зависност од содржината на пакетите.
Кога пакетот е избран во горниот дел, може да забележите дека еден или повеќе симболи се појавуваат во првата колона. Отворените и / или затворените загради, како и директната хоризонтална линија, може да покажат дали пакетот или група на пакети се дел од ист разговор на мрежата. Скршената хоризонтална линија означува дека пакетот не е дел од споменатиот разговор.
Детали за пакетите
Панелот со детали, пронајден во средината, ги прикажува протоколите и протоколните полиња на избраниот пакет во склопувачки формат. Покрај проширувањето на секој избор, исто така можете да примените индивидуални Wireshark филтри врз основа на специфични детали, како и да ги следите проследувањата на податоци врз основа на тип на протокол преку контекстното мени за детали - достапни со десен клик на глувчето на посакуваната ставка во рамките на овој панел.
Пакети бајти
На дното е панелот за бајти на пакети, кој ги прикажува необработените податоци за избраниот пакет во хексадецимален поглед. Оваа хексадечна депонија содржи 16 хексадецимални бајти и 16 ASCII бајти заедно со офсет на податоците.
Избирањето на одреден дел од овие податоци автоматски го нагласува неговиот соодветен дел во окното со детали за пакетот и обратно. Сите бајти кои не можат да се отпечатат се претставени со период.
Можете да изберете да ги прикажете овие податоци во бит формат наспроти хексадецимално со десното кликање било каде во рамките на панелот и со избирање на соодветна опција од контекстното мени.
04 од 07
Користење на Wireshark филтри
Една од најважните функции во Wireshark е нејзините способности за филтрирање, особено кога работите со датотеки кои се значајни во големина. Филтрите за снимање може да се постават пред фактот, наведувајќи го Wireshark да снима само оние пакети кои ги исполнуваат вашите специфицирани критериуми.
Филтри, исто така, можат да се применат во датотека за снимање која е веќе креирана така што само одредени пакети се прикажани. Овие се нарекуваат филтри за прикажување.
Wireshark обезбедува стандардни преголеми префиксирани филтри, овозможувајќи ви да го стесните бројот на видливи пакети со само неколку тастатури или со кликнување со глувчето. За да користите еден од овие постоечки филтри, ставете го неговото име во полето Примени поле за прикажување на филтерот (лоцирано директно под лентата со алатки Wireshark) или во полето за внесување филтер за фотографирање (се наоѓа во центарот на добредојдениот екран).
Постојат повеќе начини да се постигне ова. Ако веќе го знаете името на вашиот филтер, едноставно напишете го во соодветното поле. На пример, ако сакате само да прикажете TCP пакети, ќе напишете TCP . Функцијата за автоматско комплетирање на Wireshark ќе покаже предложени имиња додека почнувате да пишувате, што го олеснува наоѓањето на точниот прекар за филтерот што го барате.
Друг начин за избор на филтер е да кликнете на иконата слична на обележувачот поставена на левата страна од полето за внесување. Ова ќе го претстави менито кое содржи некои од најчесто користените филтри, како и опција за Управување со филтри за снимање или управување со филтри за прикажување . Ако одберете да управувате со типот, ќе се појави интерфејс што ќе ви овозможи да додавате, отстранувате или уредувате филтри.
Можете исто така да пристапите до претходно користени филтри со избирање на стрелката надолу, која се наоѓа на десната страна од полето за внесување, која прикажува паѓачка листа за историја.
Откако ќе го поставите филтрите за фотографирање ќе се применат штом ќе почнете да снимате мрежен сообраќај. Меѓутоа, за да примени филтер за прикажување, треба да кликнете на копчето со стрелка на десната страна која се наоѓа на десната десна страна од полето за внесување.
05 од 07
Правила за боење
Додека филтерите за снимање и прикажување Wireshark дозволуваат да ограничите кои пакети се снимени или прикажани на екранот, неговата функционалност за колоризација ги прави работите чекор понатаму, со тоа што е лесно да се направи разлика помеѓу различни типови на пакети врз основа на нивната индивидуална боја. Оваа практична опција ви овозможува брзо да ги лоцирате одредени пакети во зачуваниот сет по шема на бои во ред во окното со листа на пакети.
Wireshark доаѓа со околу 20 стандардни правила за боење вградени во; секој кој може да биде уредуван, исклучен или избришан, ако сакате. Исто така, можете да додавате нови филтри базирани на сенки преку интерфејсот за правила за боење, кој може да се најде од менито View . Покрај дефинирањето на критериуми за име и филтер за секое правило, од вас исто така се бара да ги поврзете и бојата на подлога и бојата на текстот.
Колоризацијата на пакетите може да биде вклучена и вклучена преку опцијата за избор на пакети со боја , исто така, пронајдени во менито Поглед .
06 од 07
Статистика
Освен деталните информации за податоците за вашата мрежа прикажани во главниот прозорец на Wireshark, се достапни неколку други корисни метрики преку паѓачкото мени Статистики пронајдени кон врвот на екранот. Тие вклучуваат информации за големина и тајминг за самата датотека за снимање, заедно со десетици графикони и графики кои се движат во темата од дефекти во пакетите за разговор за да се вчита дистрибуцијата на HTTP-барањата.
Филтри за прикажување може да се применат на многу од овие статистики преку нивните индивидуални интерфејси, а резултатите може да се извезат во неколку заеднички формати на датотеки, вклучувајќи CSV , XML и TXT.
07 од 07
Напредни функции
Иако ние ги опфативме повеќето од главните функции на Wireshark во оваа статија, исто така има и збир на дополнителни функции достапни во оваа моќна алатка што обично се резервирани за напредни корисници. Ова ја вклучува способноста да напишете свои протоколни дисектори во Lua програмскиот јазик.
За повеќе информации за овие напредни функции, погледнете го официјалниот водич за Wireshark.