Домашня » як » Як використовувати Wireshark для захоплення, фільтрації та перевірки пакетів

    Як використовувати Wireshark для захоплення, фільтрації та перевірки пакетів

    Wireshark, інструмент аналізу мережі, відомий раніше як Ethereal, захоплює пакети в режимі реального часу і відображає їх у зручному для людини форматі. Wireshark включає фільтри, кольорове кодування та інші функції, які дозволяють проникати в мережевий трафік і перевіряти окремі пакети.

    Цей навчальний посібник допоможе вам швидко розширити основи захоплення пакетів, фільтрувати їх і перевіряти. За допомогою Wireshark можна перевірити мережевий трафік підозрілої програми, проаналізувати трафік у мережі або виправити неполадки мережі.

    Отримання Wireshark

    Ви можете завантажити Wireshark для Windows або macOS зі свого офіційного веб-сайту. Якщо ви використовуєте Linux або іншу UNIX-подібну систему, ви, ймовірно, знайдете Wireshark у своїх сховищах пакетів. Наприклад, якщо ви використовуєте Ubuntu, ви знайдете Wireshark у центрі програмного забезпечення Ubuntu.

    Просто швидке попередження: багато організацій не дозволяють Wireshark та подібні інструменти в своїх мережах. Не використовуйте цей інструмент на роботі, якщо не маєте дозволу.

    Захоплення пакетів

    Після завантаження та встановлення Wireshark, ви можете запустити його і двічі клацнути назву мережного інтерфейсу в розділі Capture, щоб розпочати захоплення пакетів на цьому інтерфейсі. Наприклад, якщо потрібно зафіксувати трафік у вашій бездротовій мережі, клацніть бездротовий інтерфейс. Можна налаштувати розширені функції, натиснувши Capture> Options, але це зараз не потрібно.

    Як тільки ви натиснете на ім'я інтерфейсу, ви побачите, що пакети починають з'являтися в реальному часі. Wireshark захоплює кожен пакет, відправлений до або з вашої системи.

    Якщо у вас є безладний режим увімкненим, він увімкнено за замовчуванням - ви також побачите всі інші пакети в мережі, а не тільки пакети, адресовані вашому мережевому адаптеру. Щоб перевірити, чи увімкнено безладний режим, натисніть кнопку Захопити> Параметри та перевірте, чи увімкнено "Увімкнути безладний режим на всіх інтерфейсах" внизу цього вікна.

    Натисніть червону кнопку "Стоп" біля верхнього лівого кута вікна, коли потрібно зупинити трафік.

    Кольорове кодування

    Можливо, ви побачите пакети, виділені різними кольорами. Wireshark використовує кольори, щоб допомогти вам швидко визначити типи трафіку. За промовчанням світло-фіолетовий - це трафік TCP, блакитний - трафік UDP, а чорний - пакети з помилками - наприклад, вони можуть бути доставлені не в порядку.

    Щоб точно побачити, що означають кольорові коди, натисніть кнопку Перегляд> Правила розфарбовування. Ви також можете налаштувати та змінити правила забарвлення звідси, якщо хочете.

    Приклади захоплень

    Якщо в вашій власній мережі немає нічого цікавого для перевірки, вікі Wireshark охоплює вас. Вікі містить сторінку з зразковими файлами захоплення, які можна завантажити та перевірити. Натисніть Файл> Відкрити в Wireshark і знайдіть завантажений файл, щоб відкрити його.

    Ви також можете зберегти свої власні знімки в Wireshark і відкрити їх пізніше. Натисніть Файл> Зберегти, щоб зберегти захоплені пакети.

    Фільтрування пакетів

    Якщо ви намагаєтеся перевірити щось певне, наприклад, трафік, який програма надсилає, коли телефонуєте додому, це допомагає закрити всі інші програми, що використовують мережу, щоб ви могли звузити трафік. Тим не менш, ви, ймовірно, маєте велику кількість пакетів для просіювання. Саме тут з'являються фільтри Wireshark.

    Найбільш основним способом застосування фільтра є введення його у вікно фільтра у верхній частині вікна та натискання кнопки Застосувати (або натиснути Enter). Наприклад, введіть “dns” і ви побачите тільки пакети DNS. Коли ви почнете друкувати, Wireshark допоможе автозавершити фільтр.

    Ви також можете натиснути кнопку Analyze> Display Filters, щоб вибрати фільтр із фільтрів за промовчанням, включених до Wireshark. Звідси ви можете додати власні спеціальні фільтри та зберегти їх у майбутньому для легкого доступу до них.

    Для отримання додаткової інформації про мову фільтрації дисплею Wireshark прочитайте сторінку "Виконання фільтрів відображення" у офіційній документації Wireshark.

    Ще одна цікава річ, яку ви можете зробити, - клацніть правою кнопкою миші на пакеті і виберіть пункт Підписатися> TCP-потік.

    Ви побачите повну бесіду TCP між клієнтом і сервером. Можна також натиснути на інші протоколи в меню Слідувати, щоб побачити повні розмови для інших протоколів, якщо це можливо.

    Закрийте вікно, і фільтр буде застосовано автоматично. Wireshark показує вам пакети, які складають бесіду.

    Перевірка пакетів

    Натисніть на пакет, щоб вибрати його, і ви можете копати вниз, щоб переглянути його деталі.

    Також можна створювати фільтри - просто клацніть правою кнопкою миші одну з деталей і використовуйте підменю Застосувати як фільтр, щоб створити фільтр на його основі.

    Wireshark є надзвичайно потужним інструментом, і цей підручник просто дряпає поверхню того, що ви можете зробити з ним. Фахівці використовують його для налагодження реалізації мережевих протоколів, перевірки проблем безпеки та перевірки внутрішніх мережевих протоколів.

    Більш детальну інформацію можна знайти в офіційному посібнику користувача Wireshark та на інших сторінках документації на веб-сайті Wireshark.

    Як використовувати WordPress Jetpack в автономному режимі
    Як використовувати Xmonad, менеджер вікон Tiling для Linux
    Використання розсказувача Windows
    Наступна стаття
    Як використовувати WordPress Дія гачки в темі налаштування
    Попередня стаття
    Як використовувати WinPatrol для моніторингу Windows PC для змін