Jak používat Wireshark: Kompletní výukový program



by

Co vědět

  • Wireshark je aplikace s otevřeným zdrojovým kódem, která zachycuje a zobrazuje data cestující tam a zpět v síti.
  • Protože může procházet a číst obsah každého paketu, používá se k řešení problémů se sítí a testování softwaru.

Pokyny v tomto článku platí pro Wireshark 3.0.3 pro Windows a Mac.


Co je Wireshark?

Wireshark, původně známý jako Ethereal, zobrazuje data ze stovek různých protokolů na všech hlavních typech sítí. Datové pakety lze prohlížet v reálném čase nebo analyzovat offline. Wireshark podporuje desítky formátů souborů pro zachycení / trasování, včetně CAP a ERF. Integrované dešifrovací nástroje zobrazují šifrované pakety pro několik běžných protokolů, včetně WEP a WPA / WPA2.

Jak stáhnout a nainstalovat Wireshark

Wireshark lze zdarma stáhnout z webu Wireshark Foundation pro macOS i Windows. Uvidíte nejnovější stabilní vydání a aktuální vývojové vydání. Pokud nejste pokročilým uživatelem, stáhněte si stabilní verzi.

Během procesu instalace systému Windows zvolte instalaci Winpcap or Npcap pokud se zobrazí výzva, protože tyto zahrnují knihovny potřebné pro sběr živých dat.

Abyste mohli Wireshark používat, musíte být do zařízení přihlášeni jako správce. Ve Windows 10 vyhledejte Wireshark a vyberte Spustit jako správce. V systému macOS klikněte pravým tlačítkem na ikonu aplikace a vyberte Získat informace. V Sdílení a oprávnění nastavení, dát správce Čtení a zápis privilegií.

Aplikace je k dispozici také pro Linux a další platformy podobné systému UNIX, včetně Red Hat, Solaris a FreeBSD. Binární soubory potřebné pro tyto operační systémy najdete ve spodní části stránky ke stažení Wireshark pod Balíčky třetích stran sekce. Můžete si také stáhnout zdrojový kód Wireshark z této stránky.


Jak zachytit datové pakety pomocí Wireshark

Po spuštění aplikace Wireshark se na uvítací obrazovce zobrazí seznam dostupných síťových připojení na vašem aktuálním zařízení. Vpravo od každého se zobrazuje spojnicový graf ve stylu EKG, který představuje živý provoz v dané síti.

Zahájení zachycování paketů pomocí Wireshark:

  1. Vyberte jednu nebo více sítí, přejděte na panel nabídek a vyberte zajetí.

    Chcete-li vybrat více sítí, podržte směna klíč při výběru.

  2. v Wireshark Capture Interfaces okno, vyberte start.

    Zachytávání paketů lze zahájit i jinými způsoby. Vybrat žraločí ploutev na levé straně panelu nástrojů Wireshark stiskněteCtrl + Enebo poklepejte na síť.

  3. vybrat Soubor > Uložit jako nebo vyberte Vývoz možnost zaznamenat zachycení.

  4. Chcete-li zastavit snímání, stiskněte Ctrl + E. Nebo přejděte na panel nástrojů Wireshark a vyberte červenou barvu Stop tlačítko, které je umístěno vedle žraločí ploutve.


Jak zobrazit a analyzovat obsah paketů

Rozhraní zachycených dat obsahuje tři hlavní sekce:

  • Podokno seznamu paketů (horní část)
  • Podokno podrobností paketu (střední část)
  • Podokno bajtů paketů (spodní část)

Seznam paketů

Podokno se seznamem paketů, které se nachází v horní části okna, zobrazuje všechny pakety nalezené v aktivním souboru zachycení. Každý paket má svůj vlastní řádek a přiřazené odpovídající číslo spolu s každým z těchto datových bodů:

  • Ne: Toto pole označuje, které pakety jsou součástí stejné konverzace. Zůstane prázdné, dokud nevyberete paket.
  • Čas: V tomto sloupci se zobrazuje časová značka, kdy byl paket zachycen. Výchozí formát je počet sekund nebo částečných sekund od prvního vytvoření tohoto konkrétního souboru pro zachycení.
  • Zdroj: Tento sloupec obsahuje adresu (IP nebo jinou), ze které paket pochází.
  • Destinace: Tento sloupec obsahuje adresu, na kterou je paket odesílán.
  • Protokol: Název protokolu paketu, například TCP, naleznete v tomto sloupci.
  • Délka: V tomto sloupci se zobrazuje délka paketu v bajtech.
  • Info: Zde jsou uvedeny další podrobnosti o paketu. Obsah tohoto sloupce se může velmi lišit v závislosti na obsahu paketu.

Chcete-li změnit formát času na něco užitečnějšího (například skutečný denní čas), vyberte Pohled > Formát zobrazení času.

Když je v horním podokně vybrán paket, můžete si všimnout, že se v něm objeví jeden nebo více symbolů Ne. sloupec. Otevřené nebo uzavřené závorky a přímá vodorovná čára označují, zda je paket nebo skupina paketů součástí stejné zpětné konverzace v síti. Přerušovaná vodorovná čára znamená, že paket není součástí konverzace.

Podrobnosti paketu

Podokno podrobností, které se nachází uprostřed, představuje protokoly a pole protokolu vybraného paketu ve sbalitelném formátu. Kromě rozšíření každého výběru můžete použít jednotlivé filtry Wireshark na základě konkrétních podrobností a sledovat streamy dat na základě typu protokolu kliknutím pravým tlačítkem na požadovanou položku.

Bajty paketů

V dolní části je podokno bajtů paketů, které zobrazuje surová data vybraného paketu v hexadecimálním zobrazení. Tento hexadecimální výpis obsahuje 16 hexadecimálních bajtů a 16 ASCII bajtů vedle datového posunu.

Výběr konkrétní části těchto dat automaticky zvýrazní odpovídající část v podokně podrobností paketu a naopak. Všechny bajty, které nelze vytisknout, jsou reprezentovány tečkou.

Chcete-li tato data zobrazit v bitovém formátu na rozdíl od hexadecimálního, klikněte pravým tlačítkem kdekoli v podokně a vyberte jako bity.

Jak používat filtry Wireshark

Filtry zachycení dávají Wiresharku pokyn, aby nahrával pouze pakety, které splňují zadaná kritéria. Filtry lze také použít na soubor zachycení, který byl vytvořen, takže se zobrazují pouze určité pakety. Ty se označují jako filtry zobrazení.

Wireshark ve výchozím nastavení poskytuje velké množství předdefinovaných filtrů. Chcete-li použít jeden z těchto existujících filtrů, zadejte jeho název do pole Použijte filtr zobrazení vstupní pole umístěné pod panelem nástrojů Wireshark nebo v Zadejte zachytávací filtr pole umístěné ve středu uvítací obrazovky.

Například pokud chcete zobrazit pakety TCP, zadejte tcp. Funkce automatického doplňování Wireshark zobrazuje navrhovaná jména, jakmile začnete psát, což usnadňuje hledání správného názvu pro hledaný filtr.

Dalším způsobem, jak vybrat filtr, je vybrat záložka na levé straně vstupního pole. Vybrat Spravujte výrazy filtru or Spravujte filtry zobrazení přidat, odebrat nebo upravit filtry.

K dříve použitým filtrům můžete také přistupovat výběrem šipky dolů na pravé straně vstupního pole a zobrazit rozevírací seznam historie.

Filtry pro zachycení se použijí, jakmile začnete zaznamenávat síťový provoz. Chcete-li použít filtr zobrazení, vyberte šipku doprava na pravé straně vstupního pole.

Pravidla barev Wireshark

Zatímco filtry pro zachycení a zobrazení od společnosti Wireshark omezují, které pakety se zaznamenávají nebo zobrazují na obrazovce, její funkce zabarvení posouvá věci o krok dále: Může rozlišovat mezi různými typy paketů na základě jejich individuálního odstínu. To rychle vyhledá určité pakety v rámci uložené sady podle jejich barvy řádku v podokně seznamu paketů.

Wireshark je dodáván s přibližně 20 výchozími barvicími pravidly, každé lze upravit, deaktivovat nebo odstranit. Vybrat Pohled > Pravidla barvení pro přehled toho, co každá barva znamená. Můžete také přidat vlastní barevné filtry.

vybrat Pohled > Barevný seznam paketů zapnout a vypnout zbarvení paketů.

Statistiky ve Wiresharku

Další užitečné metriky jsou k dispozici na webu Statistika rozevírací nabídka. Patří mezi ně informace o velikosti a načasování souboru záznamu, spolu s desítkami grafů a grafů, které se pohybují v tématech, od rozpisů konverzací paketů po distribuci požadavků HTTP.

Filtry zobrazení lze použít na mnoho z těchto statistik prostřednictvím jejich rozhraní a výsledky lze exportovat do běžných formátů souborů, včetně CSV, XML a TXT.

Pokročilé funkce Wireshark

Wireshark také podporuje pokročilé funkce, včetně schopnosti psát disektory protokolu v programovacím jazyce Lua.