Wireshark е безплатно приложение, което използвате за улавяне и преглеждане на данните, които се движат напред и назад във вашата мрежа. Той осигурява възможност за пробиване и четене на съдържанието на всеки пакет и филтриране, за да отговори на вашите специфични нужди. Той обикновено се използва за отстраняване на проблеми в мрежата и разработване и тестване на софтуер. Този анализатор на протоколи с отворен код е широко приет като индустриален стандарт, спечелвайки справедливия си дял от награди през годините.
Първоначално известно като Ethereal, Wireshark има удобен за ползване интерфейс, който може да показва данни от стотици различни протоколи за всички големи типове мрежи. Пакетите данни могат да се видят в реално време или да се анализират офлайн. Wireshark поддържа десетки поддържани файлови формати за заснемане / проследяване, включително CAP и ERF. Интегрираните инструменти за дешифриране ви позволяват да видите криптирани пакети за няколко популярни протокола, включително WEP и WPA / WPA2.
01 от 07Изтегляне и инсталиране на Wireshark
Wireshark може да се изтегли безвъзмездно от уебсайта на фондацията Wireshark за двата MacOS и Windows операционни системи. Освен ако не сте напреднал потребител, препоръчваме да изтеглите само последното стабилно съобщение. По време на процеса на настройка на Windows, трябва да изберете да инсталирате WinPcap, ако бъдете подканени, тъй като тя включва библиотека, необходима за заснемане на данни на живо.
Приложението е достъпно и за Linux и повечето други UNIX-подобни платформи, включително Red Hat, Solaris и FreeBSD. Необходимите двоични файлове за тези операционни системи могат да бъдат намерени в долната част на страницата за изтегляне в секцията "Пакети трета страна". Също така можете да изтеглите изходния код на Wireshark от тази страница.
Как да улавяте пакети данни
Когато стартирате Wireshark за пръв път, се показва приветстващ екран, съдържащ списък с наличните мрежови връзки на текущото ви устройство. В този пример ще забележите, че се показват следните типове връзки: Bluetooth мрежова връзка, Ethernet, мрежа само за хост на VirtualBox и Wi-Fi. Показва се отдясно на всяка от тях е линейна графика в стил EKG, която представлява трафик на живо в съответната мрежа.
За да започнете да улавяте пакети, изберете една или повече от мрежите, като кликнете върху своя избор и използвайте изместване или Ctrl ако искате да записвате данни от няколко мрежи едновременно. След като е избран тип връзка за целите на заснемането, фонът му е затъмнен в синьо или сиво. Кликнете върху Улавяне в главното меню, разположено в горната част на интерфейса Wireshark. Когато се появи падащото меню, изберете начало опция.
Можете също да инициирате заснемането на пакети чрез един от следните преки пътища.
- клавиатура: НатиснетеCtrl + E.
- мишка: За да започнете да записвате пакети от една конкретна мрежа, щракнете двукратно върху името й.
- Toolbar: Кликнете върху синия бутон за перките на акула, разположен в най-лявата страна на лентата с инструменти на Wireshark.
Започва процесът на заснемане на живо и Wireshark показва подробностите за пакетите, когато са записани. За да спрете заснемането:
- клавиатура: Натиснете Ctrl + E
- Toolbar: Кликнете върху червената Спри се , разположен до арената на акулата в лентата с инструменти на Wireshark.
Преглежда и анализира съдържанието на пакета
След като запишете някои мрежови данни, е време да разгледате залостените пакети. Интерфейсът за заснетите данни съдържа три главни секции: панела с пакети, панелът с подробности за пакетите и панела за байтове с пакети.
Списък с пакети
Панелът на списъка с пакети, разположен в горната част на прозореца, показва всички пакети, намерени в активния файл за заснемане. Всеки пакет има свой собствен ред и съответстващ му номер, заедно с всяка от тези точки за данни.
- Време: В тази графа се показва времето, когато пакетът е заловен. Форматът по подразбиране е броят секунди или частични секунди след създаването на този конкретен файл за заснемане. За да промените този формат на нещо, което може да е малко по-полезно, като действителното време от деня, изберете Формат на дисплея за време от Wireshark изглед меню, разположено в горната част на главния интерфейс.
- Източник: Тази графа съдържа адреса (IP или друг), откъдето произхожда пакетът.
- Дестинация: Тази графа съдържа адреса, на който е изпратен пакетът.
- протокол: Името на протокола на пакета, като TCP, може да се намери в тази графа.
- Дължина: В тази колона се показва дължината на пакета в байтове.
- Информация: Допълнителни подробности за пакета са представени тук. Съдържанието на тази колона може да варира значително в зависимост от съдържанието на пакета.
Когато в горния екран е избран пакет, може да забележите, че в първата колона се появяват един или повече символи. Отворените или затворените скоби и правилната хоризонтална линия показват дали пакет или група пакети са част от същия разговор в мрежата. Счупената хоризонтална линия означава, че пакетът не е част от споменатия разговор.
Подробности за пакета
Панелът с подробности, намиращ се в средата, представя протоколите и протоколните полета на избрания пакет в сгъваем формат. В допълнение към разширяването на всяка селекция можете да прилагате отделни филтри Wireshark въз основа на конкретни детайли и да следвате потоци от данни въз основа на типа протокол чрез контекстното меню за подробности, което е достъпно като кликнете с десния бутон на мишката върху желания елемент в този панел.
Пакети байтове
В долната част е панелът за пакети от байтове, който показва суровите данни на избрания пакет в шестнадесетичен изглед.Този шестнадесетичен дъмп съдържа 16 шестнадесетични байта и 16 ASCII байта заедно с отместването на данните.
Избирането на конкретна част от тези данни автоматично откроява съответната секция в панела с подробности за пакетите и обратно. Всеки байт, който не може да бъде отпечатан, вместо това представлява период.
Можете да изберете да показвате тези данни в битов формат, за разлика от шестнадесетичния, като щракнете с десния бутон на мишката някъде в панела и изберете подходящата опция от контекстното меню.
04 от 07Използване на Wireshark Filters
Един от най-важните набор от функции в Wireshark е способността му за филтриране, особено когато се занимавате с файлове със значителни размери. Филтри за снимане могат да бъдат настроени преди това, инструктирайки Wireshark да записва само тези пакети, които отговарят на вашите конкретни критерии.
Филтрите могат да се приложат и към файл за улавяне, който вече е създаден, така че да се показват само определени пакети. Те се наричат филтри за показване.
Wireshark предоставя по подразбиране голям брой предварително дефинирани филтри, които ви позволяват да стесните броя на видимите пакети само с няколко натискания на клавиши или кликвания на мишката. За да използвате един от тези съществуващи филтри, поставете името му в Прилагане на филтър на дисплей въведено непосредствено под лентата с инструменти Wireshark или в Въведете филтър за заснемане въведено в центъра на екрана за посрещане.
Има няколко начина да се постигне това. Ако вече знаете името на филтъра си, въведете го в съответното поле. Например, ако искате да покажете само TCP пакети, въведете TCP, Функцията за автоматично довършване на Wireshark показва предложените имена, когато започнете да пишете, което улеснява намирането на правилния панел за филтъра, който търсите.
Друг начин да изберете филтър е да кликнете върху иконата, подобна на отметка, разположена в лявата част на полето за въвеждане. Това представлява меню, съдържащо някои от най-често използваните филтри, както и опция за Управление на филтрите за заснемане или Управление на филтрите на дисплея, Ако изберете да управлявате който и да е тип, се появява интерфейс, който ви позволява да добавяте, премахвате или редактирате филтри.
Можете също така да получите достъп до по-рано използваните филтри, като изберете стрелката надолу от дясната страна на полето за въвеждане, за да покажете падащия списък за историята.
Веднъж зададени, филтрите за улавяне се прилагат веднага след като започнете да записвате мрежовия трафик. За да приложите дисплеен филтър, кликнете върху бутона със стрелка надясно, намиращ се в най-дясната част на полето за въвеждане.
05 от 07Цветови правила
Въпреки че филтрите за улавяне и показване на Wireshark Ви позволяват да ограничите кои пакети се записват или показват на екрана, функцията му за цветове отнема нещата още крачка, като улеснява разграничаването на различните видове пакети въз основа на техния индивидуален оттенък. Тази удобна функция ви позволява бързо да намерите определени пакети в запаметения набор от цвета на реда в панела с пакети.
Wireshark идва с около 20 вградени правила за оцветяване по подразбиране, всеки от които може да бъде редактиран, деактивиран или изтрит, ако желаете. Можете също така да добавите нови филтри, базирани на цвят, чрез интерфейса за оцветяване, достъпен от изглед меню. В допълнение към дефинирането на име и критерии за филтриране за всяко правило, вие също така трябва да свържете както цвета на фона, така и цвета на текста.
Оцветяването на пакетите може да бъде изключено и включено чрез Оцветяване на пакетен списък вариант, намерен също в изглед меню.
06 от 07Статистика
В допълнение към подробната информация за данните за мрежата, която се показва в главния прозорец на Wireshark, можете да използвате няколко други полезни показателя Статистика падащото меню, намерено в горната част на екрана. Те включват информация за размера и времето за самия файл за заснемане, както и десетки графики и графики, които варират в тема от разбивки за разговори чрез пакети, за да зареждат разпространението на HTTP заявки.
Дисплейните филтри могат да бъдат приложени към много от тези статистически данни чрез техните интерфейси и резултатите могат да бъдат експортирани в няколко често срещани файлови формати, включително CSV, XML и TXT.
07 от 07Разширени функции
В допълнение към основната функционалност на Wireshark има и набор от допълнителни функции, налични в този мощен инструмент, обикновено предназначен за напреднали потребители. Това включва способността да пишете свои протоколни дисектори в програмния език на Lua.
