Wiresharkin käyttäminen: Täydellinen opetusohjelma

Mitä tietää

• Wireshark on avoimen lähdekoodin sovellus, joka tallentaa ja näyttää verkossa edestakaisin liikkuvaa dataa.
• Koska se voi analysoida ja lukea minkä tahansa paketin sisällön, sitä käytetään verkko-ongelmien vianmääritykseen ja ohjelmistojen testaamiseen.

Tämän artikkelin ohjeet koskevat Wireshark 3.0.3:a Windowsille ja Macille.

Mikä on Wireshark?

Wireshark, joka tunnettiin alun perin nimellä Etheral, näyttää tietoja sadoista eri protokollista kaikissa tärkeimmissä verkkotyypeissä. Datapaketteja voidaan tarkastella reaaliajassa tai analysoida offline-tilassa. Wireshark tukee kymmeniä sieppaus/jäljitystiedostomuotoja, mukaan lukien CAP ja ERF. Integroidut salauksenpurkutyökalut näyttävät useiden yleisesti käytettyjen protokollien salatut paketit, mukaan lukien WEP ja WPA/WPA2.

Lataa ja asenna Wireshark

Wireshark voidaan ladata ilmaiseksi Wireshark Foundation -sivustolta sekä macOS:lle että Windowsille. Näet uusimman vakaan julkaisun ja nykyisen kehitysjulkaisun. Lataa vakaa versio, ellet ole kokenut käyttäjä.

Valitse asennus Windowsin asennuksen aikana WinPcap tai Npcap pyydettäessä, koska ne sisältävät kirjastoja, jotka ovat välttämättömiä live-tietojen kaappaamiseen.

Sinun on kirjauduttava sisään laitteeseen järjestelmänvalvojana käyttääksesi Wiresharkia. Etsi Windows 10:ssä Wireshark ja valitse Suorita järjestelmänvalvojana† Napsauta macOS:ssä sovelluskuvaketta hiiren kakkospainikkeella ja valitse Tietojen hankkimiseen† Vuonna Jakaminen ja käyttöoikeudet asetukset, anna järjestelmänvalvojalle Lukeminen kirjoittaminen etuoikeuksia.

Sovellus on saatavana myös Linuxille ja muille UNIXin kaltaisille alustoille, mukaan lukien Red Hat, Solaris ja FreeBSD. Näihin käyttöjärjestelmiin tarvittavat binaarit löytyvät Wiresharkin lataussivun alalaidasta Kolmannen osapuolen paketit -osio. Voit myös ladata Wiresharkin lähdekoodin tältä sivulta.

Datapakettien sieppaus Wiresharkilla

Kun käynnistät Wiresharkin, tervetulonäytössä näkyy nykyisen laitteen käytettävissä olevat verkkoyhteydet. Jokaisen oikealla puolella on EKG-tyylinen viivakaavio, joka näyttää reaaliaikaisen liikenteen kyseisessä verkossa. Aloita pakettien sieppaus Wiresharkilla:

1. Valitse yksi tai useampi verkko, siirry valikkopalkkiin ja valitse sitten Kaapata† Voit valita useita verkkoja pitämällä Siirtää -painiketta valinnan aikana.

   

2. Vuonna Wireshark Capture -liitännät ikkuna, valitse Aloittaa† On muitakin tapoja aloittaa pakettien sieppaus. Valitse hain evä paina Wireshark-työkalupalkin vasemmalla puolella ​Ctrl+Etai kaksoisnapsauta verkkoa.

   

3. Valitse Tiedosto † Tallenna nimellä tai valitse yksi Viedä mahdollisuus tallentaa tallenne.

   

4. Lehdistö . lopettaa sieppaamisen Ctrl+E† Tai siirry Wireshark-työkalupalkkiin ja valitse punainen Lopettaa painike sijaitsee hain evän vieressä.

   

Tarkastele ja analysoi paketin sisältöä

Siepatun datan käyttöliittymä sisältää kolme pääosaa:

• Pakettiluettelopaneeli (yläosa)
• Pakkauksen tietoruutu (keskiosa)
• Paketin tavuruutu (alaosa)

Pakettiluettelo

Ikkunan yläosassa oleva pakettiluetteloruutu näyttää kaikki aktiivisesta tallennustiedostosta löytyneet paketit. Jokaiselle paketille on määritetty oma rivinsä ja siihen liittyvä numero sekä jokainen näistä datapisteistä:

• Uusi: Tämä kenttä osoittaa, mitkä paketit ovat osa samaa puhelua. Se pysyy tyhjänä, kunnes valitset paketin.
• Aika: Tässä sarakkeessa näkyy paketin sitomisajankohdan aikaleima. Oletuskoko on sekuntien tai osien sekuntien määrä tämän tietyn tallennustiedoston luomisesta ensimmäisen kerran.
• Lähde: Tämä sarake sisältää osoitteen (IP tai muu), josta paketti tuli.
• Kohde: Tämä sarake sisältää osoitteen, johon paketti lähetetään.
• Protokolla: Paketin protokollan nimi, kuten TCP, löytyy tästä sarakkeesta.
• Pituus: Paketin pituus tavuina näytetään tässä sarakkeessa.
• Tiedot: Tarkemmat tiedot paketista löytyy täältä. Tämän sarakkeen sisältö voi vaihdella suuresti riippuen pakkauksen sisällöstä.

Jos haluat muuttaa kellonajan muotoa hyödyllisempään (kuten todelliseen kellonaikaan), valitse Näyttö † Ajan näyttömuoto†

Kun paketti on valittu yläpaneelista, saatat nähdä yhden tai useamman symbolin Uusi. sarakkeessa. Avoimet tai suljetut sulut ja suora vaakaviiva osoittavat, onko paketti tai pakettiryhmä osa samaa edestakaisin puhelua verkossa. Katkoinen vaakaviiva tarkoittaa, että paketti ei ole osa puhelua.

Paketin tiedot

Keskellä oleva tietoruutu näyttää valitun paketin protokollat ​​ja protokollakentät tiivistetyssä muodossa. Kunkin valinnan laajentamisen lisäksi voit käyttää yksittäisiä Wireshark-suodattimia tiettyjen tietojen perusteella ja seurata tietovirtoja protokollatyypin perusteella napsauttamalla hiiren kakkospainikkeella haluttua kohdetta.

Pakettitavut

Alareunassa on paketin tavut -ruutu, joka näyttää valitun paketin raakatiedot heksadesimaalimuodossa. Tämä heksadesimaalivedos sisältää 16 heksadesimaalitavua ja 16 ASCII-tavua datasiirron lisäksi. Tietyn osan valitseminen näistä tiedoista korostaa automaattisesti vastaavan osan paketin tietoruudussa ja päinvastoin. Kaikki tavut, joita ei voi tulostaa, näytetään pisteellä.

Jos haluat näyttää nämä tiedot bittimuodossa heksadesimaalien sijaan, napsauta hiiren kakkospainikkeella mitä tahansa ruudun kohtaa ja valitse palasina†

Wireshark-suodattimien käyttäminen

Sisäänottosuodattimet ohjeistavat Wiresharkia sisällyttämään vain tietyt ehdot täyttävät paketit. Suodattimia voidaan käyttää myös tallennetiedostoon, joka on luotu näyttämään vain tietyt paketit. Näitä kutsutaan näyttösuodattimiksi. Wireshark tarjoaa oletuksena suuren määrän ennalta määritettyjä suodattimia. Jos haluat käyttää jotakin näistä olemassa olevista suodattimista, kirjoita sen nimi kohtaan Käytä näkymäsuodatinta syöttökenttään Wireshark-työkalupalkin alla tai Anna tallennussuodatin -kenttään tervetulonäytön keskellä. Jos haluat esimerkiksi näyttää TCP-paketit, kirjoita tcp† Wiresharkin automaattinen täydennysominaisuus näyttää ehdotetut nimet, kun alat kirjoittaa, mikä helpottaa oikean nimen löytämistä etsimällesi suodattimelle.

Toinen tapa valita suodatin on valita kirjanmerkki syöttökentän vasemmalla puolella. Valitse Hallitse suodatinlausekkeita tai Hallitse näkymäsuodattimia lisätä, poistaa tai muokata suodattimia.

Voit myös käyttää aiemmin käytettyjä suodattimia valitsemalla alanuolta syöttökentän oikealla puolella, jolloin näyttöön tulee historian avattava luettelo.

Tallennussuodattimet otetaan käyttöön heti, kun aloitat verkkoliikenteen tallentamisen. Jos haluat käyttää näkymäsuodatinta, valitse oikea nuoli syöttökentän oikealta puolelta.

Wiresharkin värisäännöt

Vaikka Wiresharkin sieppaus- ja toistosuodattimet rajoittavat tallennettavia tai näytöllä näytettävät paketit, sen väriominaisuus menee askeleen pidemmälle: se pystyy erottamaan eri pakettityypit niiden yksittäisen sävyn perusteella. Tämä paikantaa nopeasti tietyt paketit tallennetusta joukosta niiden rivin värin perusteella pakettiluettelopaneelissa.

Wireshark sisältää noin 20 oletusvärisääntöä, joista jokaista voidaan muokata, poistaa käytöstä tai poistaa. Valitse Näyttö † Värisäännöt saadaksesi yleiskatsauksen kunkin värin merkityksestä. Voit myös lisätä omia väripohjaisia ​​suodattimia.

Valitse Näyttö † Väritä pakkausluettelo ottaaksesi käyttöön ja poistaaksesi pakettien värityksen.

Tilastot Wiresharkissa

Muita hyödyllisiä tilastoja on saatavilla osoitteessa Tilastot pudotusvalikosta. Näitä ovat tiedot tallennustiedoston koosta ja ajoituksesta sekä kymmeniä kaavioita ja kaavioita, jotka vaihtelevat aiheittain pakettipuheluiden erittelyistä HTTP-pyyntöjen kuormituksen jakautumiseen.

Näkymäsuodattimia voidaan soveltaa moniin näistä mittareista niiden käyttöliittymän kautta, ja tulokset voidaan viedä yleisiin tiedostomuotoihin, kuten CSV, XML ja TXT.

Wiresharkin lisäominaisuudet

Wireshark tukee myös edistyneitä ominaisuuksia, mukaan lukien kyky kirjoittaa protokollan dissektoreita Lua-ohjelmointikielellä.