Úvodná » ako » Ako používať Wireshark na zachytenie, filtrovanie a kontrolu balíkov

    Ako používať Wireshark na zachytenie, filtrovanie a kontrolu balíkov

    Wireshark, sieťový analytický nástroj, ktorý bol predtým známy ako Ethereal, zachycuje pakety v reálnom čase a zobrazuje ich v ľudsky čitateľnom formáte. Wireshark obsahuje filtre, farebné kódovanie a ďalšie funkcie, ktoré vám umožnia hlbšie prechádzať do siete a kontrolovať jednotlivé pakety.

    Tento tutoriál vás prevedie rýchlo so základmi zachytenia paketov, ich filtrovaním a kontrolou. Wireshark môžete použiť na kontrolu sieťovej prevádzky podozrivého programu, na analýzu toku návštevnosti v sieti alebo na riešenie problémov so sieťou.

    Získanie Wireshark

    Wireshark pre Windows alebo MacOS si môžete stiahnuť z oficiálnych webových stránok. Ak používate Linux alebo iný systém podobný systému UNIX, pravdepodobne nájdete Wireshark vo svojich úložných priestoroch balíkov. Napríklad, ak používate Ubuntu, Wireshark nájdete v Softvérovom centre Ubuntu.

    Len rýchle varovanie: Mnoho organizácií nepovoľuje sieť Wireshark a podobné nástroje. Nepoužívajte tento nástroj v práci, pokiaľ nemáte povolenie.

    Zachytenie paketov

    Po prevzatí a inštalácii Wireshark ho môžete spustiť a dvakrát kliknúť na názov sieťového rozhrania v časti Capture (Zachytiť), čím začnete zachytiť pakety na danom rozhraní. Ak chcete napríklad zachytiť prevádzku vo vašej bezdrôtovej sieti, kliknite na bezdrôtové rozhranie. Rozšírené funkcie môžete nakonfigurovať kliknutím na možnosť Zachytiť> Možnosti, ale teraz to nie je potrebné.

    Akonáhle kliknete na názov rozhrania, uvidíte, že sa pakety začnú zobrazovať v reálnom čase. Služba Wireshark zachycuje každý paket odoslaný do alebo z vášho systému.

    Ak máte povolený promiskuitný režim - v predvolenom nastavení je povolený - uvidíte aj všetky ostatné pakety v sieti namiesto iba paketov adresovaných sieťovému adaptéru. Ak chcete skontrolovať, či je povolený promiskuitný režim, kliknite na tlačidlo Zachytiť> Možnosti a začiarknite políčko "Povoliť promiskuitný režim na všetkých rozhraniach" v spodnej časti tohto okna.

    Kliknite na červené tlačidlo "Stop" v ľavom hornom rohu okna, keď chcete zastaviť snímanie návštevnosti.

    Farebné kódovanie

    Budete pravdepodobne vidieť pakety zvýraznené v rôznych farbách. Wireshark používa farby, ktoré vám pomôžu zistiť typy prevádzky na prvý pohľad. V predvolenom nastavení je svetelná purpurová prevádzka TCP, svetelná modrá je prevádzka UDP a čierna identifikuje pakety s chybami - napríklad mohli byť nedoručené.

    Ak chcete zobraziť presne to, čo znamenajú farebné kódy, kliknite na položku Zobraziť> Pravidlá sfarbenia. Môžete tiež prispôsobiť a upraviť pravidlá sfarbenia tu, ak chcete.

    Ukážka zachytáva

    Ak nie je nič zaujímavé vo vašej sieti na prehliadku, Wireshark wiki máš pokryté. Wiki obsahuje stránku súborov na zachytávanie vzoriek, ktoré môžete načítať a skontrolovať. Kliknite na položku Súbor> Otvoriť v aplikácii Wireshark a prehliadanie stiahnutého súboru otvorte.

    Môžete tiež uložiť vlastné snímky v Wireshark a otvoriť ich neskôr. Kliknutím na položku Súbor> Uložiť uložené pakety.

    Filtrovanie paketov

    Ak sa pokúšate skontrolovať niečo konkrétne, ako napríklad návštevnosť, ktorú pošle program, keď zavolá domov, pomôže zatvoriť všetky ostatné aplikácie pomocou siete, aby ste mohli zúžiť návštevnosť. Napriek tomu budete mať pravdepodobne veľké množstvo paketov, ktoré sa budú preťahovať. To je miesto, kde Wireshark filtre prídu dovnútra.

    Najzákladnejším spôsobom použitia filtra je zadanie do filtračného poľa v hornej časti okna a kliknutie na tlačidlo Použiť (alebo stlačenie klávesu Enter). Zadajte napríklad "dns" a uvidíte iba pakety DNS. Keď začnete písať, služba Wireshark vám pomôže pri automatickom dokončení filtrovania.

    Ak chcete vybrať filter z predvolených filtrov zahrnutých do služby Wireshark, môžete tiež kliknúť na položku Analýza> Filtre zobrazenia. Odtiaľ môžete pridať vlastné vlastné filtre a uložiť ich, aby ste im v budúcnosti mohli ľahko pristupovať.

    Ďalšie informácie o jazyku filtrovania zobrazenia Wireshark nájdete v oficiálnej dokumentácii Wireshark na stránke Výrazy filtrov budovy.

    Ďalšou zaujímavou vecou, ​​ktorú môžete urobiť, je kliknúť pravým tlačidlom na paket a vybrať položku Sledovať> Stream TCP.

    Zobrazí sa celá konverzácia TCP medzi klientom a serverom. Môžete tiež kliknúť na iné protokoly v ponuke Follow a zobraziť úplné konverzácie pre ostatné protokoly, ak je to vhodné.

    Zatvorte okno a nájdete filter, ktorý bol automaticky použitý. Služba Wireshark zobrazuje pakety, ktoré tvoria rozhovor.

    Kontrola paketov

    Kliknutím na paket ho vyberiete a budete môcť kopať pre zobrazenie jeho podrobností.

    Taktiež môžete vytvoriť filtre - stačí kliknúť pravým tlačidlom myši na niektorú z podrobností a použiť submenu Apply as Filter na vytvorenie filtrovania na základe.


    Wireshark je mimoriadne výkonný nástroj a tento návod je len poškriabaním povrchu toho, čo s ním môžete robiť. Odborníci ju používajú na ladenie implementácií sieťových protokolov, skúmanie problémov s bezpečnosťou a kontrolu interných protokolov siete.

    Podrobnejšie informácie nájdete v oficiálnej používateľskej príručke Wireshark a na ďalších stránkach dokumentácie na webovej lokalite spoločnosti Wireshark.