Какво е Wireshark?
бързи връзки
- Какво е Wireshark?
- Инсталиране на Wireshark
- Windows
- Mac
- Linux
- Интерфейсът
- Опции за заснемане
- Улавяйте трафика
- Четене на данните
- Филтриране на пакети
- Филтриране по време на заснемане
- Филтриране на резултати
- Следване на пакетни потоци
- Заключителни мисли
Wireshark е мощен инструмент за анализ на мрежата, който ви позволява да наблюдавате и улавяте мрежовия трафик. Той улавя трафика на ниво пакет, което означава, че можете да видите всеки бит информация, която се предава около вашата мрежа, какво съдържа и къде отива.
Този инструмент ви позволява да визуализирате и разбирате потока на трафика в една мрежа. Виждайки какви данни се предават наоколо, вие също можете да получите представа за всички потенциални опасения за сигурността, с които може да се сблъскате, както и всеки потенциално нежелан трафик, като например злонамерен софтуер, програми, скачащи честотна лента и дори нежелани гости на вашата WiFi.
Wireshark също е важен инструмент, защото ви позволява да видите как точно данните, напускащи вашата мрежа, се изпращат в по-големия Интернет. Например, можете да виждате и четете HTTP заявки, което ви позволява да видите кои данни се изпращат нешифровани. Това може да е много голяма работа, особено ако тези данни са нещо като банкова парола.
Инсталиране на Wireshark
Wireshark е отворен код и кръстосана платформа. Предлага се безплатно и за всяка основна операционна система. Контролите в рамките на програмата са абсолютно еднакви във всички платформи, така че няма нужда да се притеснявате. Изображенията са от Linux, но всичко, което ще видите, ще работи и на Windows и Mac.
Windows
Отидете на страницата за изтегляне на Wireshark и изтеглете най-новата версия за вашата версия на Windows. Изпълнете получения .exe. Инсталаторът е доста стандартен. Можете да кликнете върху по-голямата част от него и да използвате настройките по подразбиране.
Има обаче едно нещо, на което искате да внимавате. Ще се появи екран, който ви пита дали искате да инсталирате WinPcap. WinPcap е допълнителна помощна програма за Wireshark в Windows, която му позволява да улавя целия трафик в мрежа, а не само трафика на вашия компютър. Поставете отметка в квадратчето, за да инсталирате WinPcap. Ще ви попита и за версията на USB. Това не е необходимо, но можете да го включите и вие.
След това инсталацията ще завърши. Ще се стартира нова инсталация за WinPcap. По подразбиране са приемливи и там.
Mac
Отидете на страницата за изтегляне на Wireshark и вземете най-новия .dmg файл. Когато приключи с изтеглянето, щракнете двукратно върху файла, за да го отворите. Плъзнете отвореното приложение в папката / Applications, за да инсталирате Wireshark.
Linux
Повечето дистрибуции на Linux имат Wireshark на разположение в техните хранилища. Инсталирайте го с вашия мениджър на пакети.
$ sudo apt инсталирайте wireshark-gtk
В зависимост от вашата дистрибуция ще бъдете подканени дали искате да разрешите на редовни потребители да хващат пакети. Трябва да кажете „Да“. След инсталирането на пакета добавете на потребителя групата на Wireshark. Излезте и влезте отново, когато сте готови.
$ sudo gpasswd - потребителска жичка на потребителите
Интерфейсът
Когато за първи път отворите Wireshark, ще видите екран, подобен на този по-горе. Има горе-долу няколко бутона в лентите с инструменти и може да изглежда зашеметяващо, но е много по-просто, отколкото вероятно мислите.
Интерфейсът за улавяне по подразбиране е някак неудобен. Можете да промените оформлението, за да го направите по-удобно, кликнете върху „Редактиране“. Намерете менюто „Предпочитания“ и отдолу и го отворете. Под предпочитанията ще видите вляво раздел „Оформление“. Изберете го. Ще видите няколко икони, изобразяващи различни опции за оформление. Изберете този, който ви изглежда най-добре. Първата опция с подреденото оформление обикновено работи добре.
Не се притеснявайте твърде много за лентите с инструменти все още. Първите пет икони са най-важните. По този начин те ви позволяват да изберете интерфейс, който да заснемате, да промените настройките за заснемане, да започнете улавяне, да спрете улавянето и да го възобновите. Самите икони са доста интуитивни.
Опции за заснемане
Преди да започнете да улавяте трафика, трябва да проучите възможностите за улавяне, за да видите какво може да направи Wireshark. Кликнете върху иконата за опции за заснемане. Тя трябва да изглежда като предавка.
Първото нещо, което ще видите в горната част на прозореца, е таблица, в която са изброени всичките ви мрежови интерфейси. Поставете отметка в квадратчето до интерфейса, който искате да заснемете. В повечето случаи интерфейсът, който искате, е този, който използвате за свързване към мрежата. Той ще бъде този, който съответства на вашия Ethernet порт или WiFi устройство.
По-долу ще видите няколко отметки. Човек ще ви попита дали искате да използвате безразборен режим. Промишленият режим е това, което ви позволява да виждате обмена между всички устройства в мрежа, а не само вашия собствен компютър. Вероятно е, че искате това активирано. Бъдете внимателни обаче. Използването на безразборен режим в мрежа, която не притежавате или имате разрешение за тестване, е незаконно .
Следващият раздел надолу обхваща файлове за заснемане. Wireshark ви позволява да запазвате заснетите си данни. Първото поле там ви позволява да посочите една дестинация за заснемането си. По-долу можете да поставите отметка в квадратчето, за да позволите на Wireshark да раздели дневника на улавяне. Дневниците могат да бъдат много големи, особено в по-големите мрежи. Тази функция ви позволява автоматично да разделяте данните си за заснемане въз основа или на времето, или на размера на файла. Така или иначе, това е удобна функция, когато се занимавате с дългосрочни сканирания или натоварена мрежа.
По-долу можете да контролирате продължителността на заснемането си. Отново снимките могат да станат големи, така че можете да зададете максимален размер. Можете също така да го изчакате, което е хубаво, защото ви позволява да направите моментна снимка на конкретна времева рамка във вашата мрежа.
Улавяйте трафика
След като настроите настройките си, можете да започнете да улавяте трафика във вашата мрежа. Ако никога досега не сте правили подобни неща, бъдете готови да се изненадате. Около вашата мрежа тече много повече трафик, отколкото знаете. За да започнете улавянето, щракнете върху бутона „Старт“ в долната част на прозореца за конфигурация или върху иконата на перката на акула. Така или иначе работи.
Когато започнете да записвате, размерът на трафика, който виждате, зависи от това кои устройства са в мрежата ви. Въпреки че повечето хора няма да могат да бъдат в крак с натоварения трафик, който виждат, напълно е възможно да видите почти нищо. В такъв случай отворете уеб браузър и започнете да се движите наоколо. Заснемането ви бързо ще започне да се разпространява.
След като заснемането ви е продължило толкова време, колкото искате да тествате, щракнете върху бутона за спиране в лентата с инструменти. Това, което имате, трябва да изглежда нещо като изображението по-горе.
Четене на данните
Кликнете върху един от заснетите пакети. Опитайте да намерите HTTP заявка. Те са склонни да бъдат по-лесни за четене. Когато изберете пакет, другите два раздела на екрана се запълват с информация за избрания от вас.
Разделът, на който трябва да обърнете внимание, има подредени сгъваеми раздели. Тези раздели следват OSI модела и са подредени от най-ниско ниво до най-високо с най-ниско ниво на информация в горната част. Това означава, че най-подходящата за вас информация вероятно е в долните раздели.
Всеки раздел съдържа различна информация за пакета. В HTTP пакетите ще видите информация за HTTP заявката, включително отговора, заглавките и вероятно дори някои HTML. Други видове пакети могат да съдържат информация за това кои портове се използват, кодирането се използва, протоколите и MAC адресите.
Филтриране на пакети
Това може да е болка при копаене чрез множество данни за улавяне, за да намерите точно това, което търсите. Тя е неефективна и е огромна загуба на време. Wireshark има филтрираща функционалност, която ви позволява бързо да сортирате пакети, за да намерите точно какво е подходящо във всеки даден момент.
Има няколко основни начина, по които Wireshark ви позволява да филтрирате резултатите. Първо, той има много вградени филтри. Когато започнете да пишете в едно от филтърните полета, Wireshark ще ги покаже като предложения за автоматично завършване. Ако някой от тях е това, което търсите, страхотно! Филтрирането ще бъде много лесно.
Wireshark използва също така наречените булеви оператори. Булевите оператори се използват за оценка на това дали дадено твърдение е вярно или не. Например, когато искате да бъдат изпълнени две условия, вие ще използвате оператора „и“ между тях, тъй като условие 1 и условие 2 трябва да бъдат истина. Операторът „или“ е подобен, само че само едно от вашите условия изисква да бъде вярно. Вероятно можете да се досетите, че операторът „не“ търси, когато условие не съществува.
В допълнение към булевите оператори, Wireshark поддържа оператори за сравнение. Както подсказва името, операторите за сравнение сравняват две или повече условия. Те оценяват еквивалентността на условията като по-голяма, по-малка или равна на.
Филтриране по време на заснемане
Филтрирането на вашите резултати по време на заснемането е много лесно. Отворете архивиране на опциите за заснемане. Потърсете бутона „Опции за заснемане“ в средата на прозореца. Освен това трябва да има голямо текстово поле до него.
Можете да конструирате филтъра си от нулата в това поле или можете да щракнете върху бутона и да използвате вградените филтри на Wireshark. Опитайте да кликнете върху бутона. Ще се отвори нов прозорец със списък на филтрите. Кликването върху тези филтри запълва полетата по-долу. Долното поле е действителният филтър, който се използва. Можете да промените този филтър като основа на вашите собствени по-персонализирани филтри. Когато сте готови, щракнете върху „Ок.“ След това стартирайте сканирането, както обикновено. Вместо да заснеме всичко, Wireshark ще улавя само пакети, които измерват условията на вашия филтър. Това прави сортирането и категоризирането на вашите пакетни данни много по-лесно. Не е нужно да прекопавате много допълнителна информация, за да намерите това, от което се нуждаете.
Филтриране на резултати
Ако сте направили пълно заснемане или по-стабилно заснемане, но искате да филтрирате през него след факта, можете да го направите и вие. След като извършите заснемане, ще видите допълнителна лента с инструменти под контролните икони. Тази лента с инструменти съдържа поле „Филтриране“. Можете да въведете изрази в подадения файл, за да филтрирате резултатите, които се показват Wireshark.
Подобно на филтрирането по време на заснемане, има лесен начин. Кликнете върху бутона „Израз“, за да отворите прозорец, който ви помага да съберете своите филтърни изрази. Лявата колона съдържа списък с полета. Тези полета ви позволяват да изберете каква информация ще насочвате. Следващата колона съдържа списък на възможните отношения. Повечето са символите за по-малко, по-голямо, равно и комбинации от тях. Последната колона е за стойности. Това са стойностите, с които сравнявате. В зависимост от вашето поле можете да изберете или напишете стойността, с която искате да сравните.
Те могат да станат по-сложни и можете да добавите повече изрази заедно. Това попада на булевите оператори. Тези булеви обаче са различни. Това поле за изразяване използва символите за и, или, а не вместо самите думи. || означава „или.“ && е „и.“ Просто! не е."
Например, ако искате всичко освен UDP, използвайте! Udp. Ако искате HTTP или TCP, опитайте http || TCP. Можете също да ги комбинирате в по-сложни изрази. Колкото по-сложен е изразът ви, толкова по-изискан ще бъде вашият филтър.
Следване на пакетни потоци
След като имате пакет или пакети, които ви интересуват, можете да използвате страхотен вграден инструмент в Wireshark, за да проследите целия „разговор“ между двата компютъра, които обменят тези пакети. Следвайки пакетни потоци, Wirshark позволява всичко да се събере и да формира по-голяма получена картина. В случай на HTTP пакети, Wireshark вероятно ще събере HTML източника на уеб страница. С някои незашифровани VOIP програми, Wireshark дори може да извлече обменяното аудио. Да, всъщност може да слуша VOIP разговори.
Щракнете с десния бутон върху пакет, който искате да следвате. Изберете „Follow… Stream“, като точките се заменят с протокола на пакета. Wireshark ще ви отнеме няколко секунди, за да зашие всичко това заедно. След като приключи, Wireshark ще ви представи завършения резултат. Тази функция прави много по-лесно да видите точно какво се обменя през вашата мрежа. Той също така показва колко важно е криптирането на мрежата, тъй като тази функция ще събере само пълни глупости с криптирани пакети.
Заключителни мисли
Wireshark е абсолютно страхотно средство в мрежовия анализ. Той ви дава достъп, за да видите всичко, което се случва във вашата мрежа. С Wireshark можете да придобиете по-голямо разбиране за това къде се крият проблемите с вашата мрежа, както по отношение на бързината, така и на сигурността. Не забравяйте винаги да използвате Wireshark с внимание и разберете, че е много натрапчив. Не шпионирайте хората и не забравяйте да поддържате използването на Wireshark в рамките на закона.
