Wireshark je brezplačna aplikacija, ki vam omogoča, da posnamete in si ogledate podatke, ki potujejo naprej in nazaj v vašem omrežju, in tako omogočite sprostitev in branje vsebine vsakega paketa - filtriranega, da ustreza vašim specifičnim potrebam. Pogosto se uporablja za odpravljanje težav v omrežju, kot tudi za razvoj in preizkušanje programske opreme. Ta odprtokodni analizator protokola je splošno sprejet kot industrijski standard, ki je v preteklih letih dosegel dober delež nagrad.
Prvotno znan kot Ethereal, Wireshark ima uporabniku prijazen vmesnik, ki lahko prikaže podatke iz več sto različnih protokolov za vse glavne vrste omrežij. Te pakete podatkov je mogoče ogledati v realnem času ali analizirati brez povezave, pri čemer je podprtih več deset formatov datotek za zajemanje / sledenje, vključno z CAP in ERF . Vgrajena orodja za dešifriranje omogočajo ogled šifriranih paketov za več priljubljenih protokolov, kot sta WEP in WPA / WPA2 .
01 od 07
Prenos in namestitev Wireshark
Wireshark lahko brezplačno prenesete s spletne strani Wireshark Foundation za operacijske sisteme MacOS in Windows. Razen če ste napredni uporabnik, priporočamo, da prenesete samo najnovejšo stabilno izdajo. Med postopkom namestitve (samo Windows) morate izbrati tudi namestitev WinPcap-a, če je to zahtevano, saj vključuje knjižnico, potrebno za zajem podatkov v živo.
Aplikacija je na voljo tudi za Linux in večino drugih platform, podobnih Unixu, vključno z Red Hat , Solaris in FreeBSD. Binarne datoteke, potrebne za te operacijske sisteme, najdete na dnu strani prenosa v razdelku Paketi tretjih oseb.
Izvorno kodo Wiresharka lahko prenesete tudi s te strani.
02 od 07
Kako zajemati pakete podatkov
Ko prvič zaženete Wireshark, mora biti viden pozdravni zaslon, podoben tistemu, prikazanemu zgoraj, ki vsebuje seznam razpoložljivih omrežnih povezav v vaši trenutni napravi. V tem primeru boste opazili, da so prikazane naslednje vrste povezav: omrežna povezava Bluetooth, omrežje Ethernet , gostiteljsko omrežje VirtualBox in Wi-Fi . Prikazano na desni strani je grafični podatek EKG, ki predstavlja živi promet v zadevnem omrežju.
Če želite začeti snemati pakete, najprej izberite eno ali več teh omrežij s klikom na svoje izbire in s tipkama Shift ali Ctrl, če želite hkrati snemati podatke iz več omrežij. Ko za namene snemanja izberete vrsto povezave, bo njegovo ozadje zasenčeno v modri ali sivi barvi. V glavnem meniju kliknite Capture , ki se nahaja na vrhu vmesnika Wireshark. Ko se prikaže spustni meni, izberite možnost Start .
Lahko tudi zaženete zajemanje paketov prek ene od naslednjih bližnjic.
- Tipkovnica: Pritisnite Ctrl + E
- Miška: Če želite začeti snemati pakete iz določenega omrežja, preprosto dvakrat kliknite njeno ime
- Orodna vrstica: kliknite gumb modrega plavuti morskega psa, ki se nahaja na levi strani orodne vrstice Wireshark
Postopek zajetja v živo se bo začel, pri čemer bodo podrobnosti o paketu prikazane v oknu Wireshark, ko bodo posnete. Izvedite eno od spodnjih dejanj, da ustavite zajemanje.
- Tipkovnica: Pritisnite Ctrl + E
- Orodna vrstica: kliknite gumb rdeče zaustavitve, ki se nahaja ob plavuti v plavuti na orodni vrstici Wireshark
03 od 07
Ogled in analiza vsebine paketa
Zdaj, ko ste zabeležili nekatere omrežne podatke, je čas, da si ogledate zajete pakete. Kot je prikazano na zgornji sliki, vhodni podatkovni vmesnik vsebuje tri glavne dele: okno s seznama paketov, podokno s podrobnostmi o paketnem paketu in podokno bajtov paketov.
Paketni seznam
Podokno s seznama paketov, ki se nahaja na vrhu okna, prikazuje vse pakete v aktivni datoteki za zajemanje. Vsak paket ima svojo vrsto in ustrezno številko, skupaj z vsako od teh podatkovnih točk.
- Čas: časovni žig, ko je bil paket zajet, je prikazan v tem stolpcu, privzeta oblika pa je število sekund (ali delnih sekund), saj je bila ta posebna datoteka za zajem prvič ustvarjena. Če želite spremeniti to obliko na nekaj, kar je lahko nekoliko uporabnejše, na primer dejanski čas dneva, v meniju View Wireshark izberite možnost Time Display Format (Format prikaza časa ), ki se nahaja na vrhu glavnega vmesnika.
- Vir: v tem stolpcu je naslov (IP ali drug), kjer je paket nastal.
- Cilj: V tem stolpcu je naslov, na katerega se paket pošilja.
- Protokol: v tem stolpcu je mogoče najti ime protokola paketa (npr. TCP).
- Dolžina: v tem stolpcu je prikazana dolžina paketa v bajtih.
- Info: Tukaj so predstavljeni dodatni podatki o paketu. Vsebina tega stolpca se lahko zelo razlikuje glede na vsebino paketa.
Ko je v zgornjem podoknu izbran paket, lahko v prvem stolpcu prikažete enega ali več simbolov. Odprti in / ali zaprti oklepaji, pa tudi ravna vodoravna črta, lahko označujejo, ali je paket ali skupina paketov del istega pogovora v omrežju ali nazaj. Slomljena vodoravna črta pomeni, da paket ni del omenjenega pogovora.
Podrobnosti o paketu
Podokno s podrobnostmi, ki se nahaja na sredini, predstavlja protokole in protokolna polja izbranega paketa v zložljivi obliki. Poleg razširitve vsake izbire lahko uporabite tudi posamezne filtre Wireshark, ki temeljijo na določenih podrobnostih, in spremljajte tokove podatkov, ki temeljijo na vrsti protokola, prek kontekstnega menija s podrobnostmi - dostopno z desno miškino tipko miške na želenem elementu v tem podoknu.
Paketi bajtov
Na dnu je podokno za paketni paket, ki prikazuje neobdelane podatke izbranega paketa v šestnajstiškem pogledu. Ta hexadec vsebuje 16 heksadecimalnih bajtov in 16 ASCII bajtov skupaj z offsetom podatkov.
Če izberete določen del teh podatkov, samodejno osvetli ustrezni razdelek v podoknu s podatki o paketih in obratno. Vsi bajti, ki jih ni mogoče natisniti, namesto tega predstavljajo obdobje.
Te podatke lahko izberete v bitni obliki v nasprotju s šestnajstiško, tako da z desno miškino tipko kliknete kjerkoli v podoknu in izberete ustrezno možnost iz kontekstnega menija.
04 od 07
Uporaba filtrov Wireshark
Eden od najpomembnejših nizov funkcij v Wiresharku je njegovo zmogljivost filtriranja, še posebej, če se ukvarjate z velikimi datotekami. Filtri za zajemanje je mogoče nastaviti pred dejstvom in naročiti Wiresharku, da zapisuje samo tiste pakete, ki ustrezajo vašim določenim merilom.
Filtri se lahko uporabijo tudi za datoteko za zajemanje, ki je bila že ustvarjena, tako da so prikazani samo nekateri paketi. Ti so označeni kot filtri za prikaz.
Wireshark omogoča privzeto veliko število vnaprej določenih filtrov, s čimer zmanjšate število vidnih paketov s samo nekaj pritiski na tipke ali kliki z miško. Če želite uporabiti enega od teh obstoječih filtrov, postavite njegovo ime v polje Uporabi polje filtra za prikaz (ki se nahaja neposredno pod orodno vrstico Wireshark) ali v polju vnosa filtra za zajemanje (ki se nahaja v središču pozdravnega zaslona).
To lahko dosežemo na več načinov. Če že poznate ime vašega filtra, preprosto ga vtipkajte v ustrezno polje. Na primer, če želite prikazati samo TCP pakete, vnesite TCP . Funkcija samodokončanja Wiresharka bo prikazala predlagana imena, ko začnete vnašati, kar vam olajša iskanje pravilnega opomnika za filter, ki ga iščete.
Drug način izbire filtra je, da kliknete ikono, podobno zaznamku, ki je nameščena na levi strani vnosnega polja. To bo prikazalo meni, ki vsebuje nekatere najpogosteje uporabljene filtre, kot tudi možnost za upravljanje s filtri za zajemanje ali upravljanje prikaznih filtrov . Če se odločite za upravljanje katere koli vrste, se prikaže vmesnik, ki vam omogoča dodajanje, odstranjevanje ali urejanje filtrov.
Do predhodno uporabljenih filtrov lahko dostopate tudi tako, da izberete puščico navzdol, ki se nahaja na desni strani vnosnega polja in prikaže spustni seznam z zgodovino.
Ko nastavite, bodo filtri za zajemanje uporabljeni takoj, ko začnete snemati omrežni promet. Če želite uporabiti zaslonski filter, morate klikniti desno puščico, ki je na desni strani polja vnosa.
05 od 07
Pravila barvanja
Čeprav filtri za zajemanje in prikaz Wiresharka omogočajo, da omejite, kateri paketi so zabeleženi ali prikazani na zaslonu, njena funkcionalnost barvanja naredi stvari korak dlje, ker omogoča enostavno razlikovanje med različnimi vrstami paketov na podlagi njihove posamezne barve. Ta priročna funkcija vam omogoča hitro iskanje določenih paketov v shranjenem nizu po barvni shemi vrstice v podoknu s seznama paketov.
Wireshark ima vgrajeno približno 20 privzetih barvnih pravil; vsak, ki ga lahko uredite, onemogočite ali izbrišete, če želite. Dodate lahko tudi nove filtre, ki temeljijo na senci, s pomočjo vmesnika za barvno pravilo, ki je na voljo v meniju Pogled . Poleg tega, da določite kriterije imena in filtrov za vsako pravilo, morate tudi povezati barvo ozadja in barvo besedila.
Barvno barvo paketa lahko preklopite in vključite prek možnosti Colorize Packet , ki je na voljo tudi v meniju Pogled .
06 od 07
Statistika
Poleg podrobnih podatkov o podatkih vašega omrežja, ki so prikazani v glavnem oknu Wiresharka, je na voljo še nekaj drugih uporabnih meritev prek spustnega menija Statistika, ki je na vrhu zaslona. Ti vključujejo podatke o velikosti in časovnem razmiku o sami datoteki za zajemanje, skupaj z več desetimi grafikoni in grafikoni, ki se raztezajo v temi iz razčlenitev pogovorov v paketnem paketu, da se naloži porazdelitev zahtev HTTP.
Filtri prikazov se lahko uporabljajo za mnoge od teh statističnih podatkov prek njihovih posameznih vmesnikov, rezultati pa se lahko izvozijo v več pogostih oblik zapisa datotek, vključno s CSV , XML in TXT.
07 od 07
Napredne funkcije
Čeprav smo v tem članku pokrili večino Wiresharkove glavne funkcije, obstaja tudi zbirka dodatnih funkcij, ki so na voljo v tem zmogljivem orodju, ki je običajno namenjeno naprednim uporabnikom. To vključuje možnost pisanja lastnih disekcijskih protokolov v programskem jeziku Lua.
Več informacij o teh naprednih funkcijah najdete v uradnem uporabniškem priročniku Wiresharka.