Cum se utilizează Wireshark pentru capturarea, filtrarea și inspectarea pachetelor

Wireshark, un instrument de analiză a rețelei cunoscut anterior ca Ethereal, surprinde pachetele în timp real și le afișează în format citibil în mod uman. Wireshark include filtre, codare color și alte caracteristici care vă permit să săturați adânc în trafic în rețea și să inspectați pachetele individuale.

Acest tutorial vă va ajuta să vă grăbiți cu elementele de bază ale capturilor de pachete, filtrarea lor și inspectarea acestora. Puteți utiliza Wireshark pentru a inspecta traficul de rețea al unui program suspect, pentru a analiza fluxul de trafic din rețea sau pentru a depana problemele de rețea.

Noțiuni de bază Wireshark

Puteți descărca Wireshark pentru Windows sau MacOS de pe site-ul său oficial. Dacă utilizați Linux sau un alt sistem similar cu UNIX, probabil veți găsi Wireshark în depozitele sale de pachete. De exemplu, dacă utilizați Ubuntu, veți găsi Wireshark în Centrul de software Ubuntu.

Doar un avertisment rapid: Multe organizații nu permit Wireshark și alte instrumente similare în rețelele lor. Nu utilizați acest instrument la lucru decât dacă aveți permisiunea.

Capturarea pachetelor

După descărcarea și instalarea Wireshark, îl puteți lansa și faceți dublu clic pe numele unei interfețe de rețea sub Captură pentru a începe să captați pachete pe interfața respectivă. De exemplu, dacă doriți să capturați traficul în rețeaua wireless, faceți clic pe interfața dvs. wireless. Puteți configura funcții avansate făcând clic pe Captură> Opțiuni, dar acest lucru nu este necesar pentru moment.

De îndată ce faceți clic pe numele interfeței, veți vedea că pachetele încep să apară în timp real. Wireshark captează fiecare pachet trimis către sau din sistemul dvs..

Dacă aveți activat modul promiscuos - acesta este activat în mod implicit - veți vedea, de asemenea, toate celelalte pachete din rețea, în loc de numai pachete adresate adaptorului dvs. de rețea. Pentru a verifica dacă modul promiscuos este activat, faceți clic pe Captură> Opțiuni și verificați că caseta de selectare "Activați modul promiscuos pe toate interfețele" este activată în partea de jos a acestei ferestre.

Faceți clic pe butonul roșu "Stop" din colțul din stânga sus al ferestrei atunci când doriți să opriți capturarea traficului.

Cod de culoare

Probabil veți vedea pachete evidențiate într-o varietate de culori diferite. Wireshark utilizează culori pentru a vă ajuta să identificați tipurile de trafic dintr-o privire. În mod implicit, purpura luminoasă este traficul TCP, albastru deschis este traficul UDP, iar negrul identifică pachetele cu erori - de exemplu, acestea ar fi putut fi livrate necorespunzător.

Pentru a vedea exact ce înseamnă codurile de culoare, faceți clic pe Vizualizare> Reguli de colorare. De asemenea, puteți personaliza și modifica regulile de colorare de aici, dacă doriți.

Eșantionul captează

Dacă nu există nimic interesant în inspectarea rețelei dvs., wiki-ul Wireshark vă acoperă. Wiki conține o pagină de fișiere de captură de probă pe care le puteți încărca și inspecta. Faceți clic pe File> Open in Wireshark și răsfoiți fișierul descărcat pentru a deschide unul.

De asemenea, puteți salva propriile capturi în Wireshark și le puteți deschide mai târziu. Faceți clic pe File (Fișier)> Save (Salvare) pentru a salva pachetele capturate.

Pachete de filtrare

Dacă încercați să inspectați ceva specific, cum ar fi traficul pe care îl trimite un program atunci când sună acasă, vă ajută să închideți toate celelalte aplicații utilizând rețeaua, astfel încât să puteți restrânge traficul. Cu toate acestea, veți avea probabil o cantitate mare de pachete pentru a trece prin. Aici intră filtrele Wireshark.

Cea mai simplă metodă de a aplica un filtru este tastarea lui în caseta de filtrare din partea de sus a ferestrei și apăsarea pe Aplicați (sau apăsând pe Enter). De exemplu, tastați "DNS" și veți vedea numai pachete DNS. Când începeți să tastați, Wireshark vă va ajuta să vă autocompletați filtrul.

De asemenea, puteți face clic pe Analiza> Afișare filtre pentru a alege un filtru dintre filtrele implicite incluse în Wireshark. De aici, puteți să adăugați propriile filtre personalizate și să le salvați pentru a le accesa cu ușurință în viitor.

Pentru mai multe informații despre limbajul de filtrare a afișajului Wireshark, citiți pagina Expresii filtru de afișare clădire din documentația oficială Wireshark.

Un alt lucru interesant pe care îl puteți face este să faceți clic dreapta pe un pachet și să selectați Urmează> Stream TCP.

Veți vedea întreaga conversație TCP între client și server. De asemenea, puteți să faceți clic pe alte protocoale din meniul Urmați pentru a vedea conversațiile complete pentru alte protocoale, dacă este cazul.

Închideți fereastra și veți găsi că filtrul a fost aplicat automat. Wireshark vă arată pachetele care alcătuiesc conversația.

Inspectarea pachetelor

Faceți clic pe un pachet pentru al selecta și puteți să vă abonați pentru a vedea detaliile acestuia.

De asemenea, puteți crea filtre de aici - faceți clic dreapta pe una dintre detalii și utilizați submeniul Aplicați ca filtru pentru a crea un filtru pe baza acestuia.

Wireshark este un instrument extrem de puternic, iar acest tutorial este doar zgârierea suprafeței a ceea ce puteți face cu ea. Profesioniștii o utilizează pentru depanarea implementărilor protocolului de rețea, examinarea problemelor de securitate și inspectarea internelor protocolului de rețea.

Puteți găsi mai multe informații detaliate în ghidul utilizatorului Wireshark și în celelalte pagini de documentare de pe site-ul Wireshark.