Wireshark е безплатна програма, която ви позволява да заснемете и преглеждате данните, които се движат напред и назад във вашата мрежа, предоставяйки възможност за пробиване и четене на съдържанието на всеки пакет - филтриран, за да отговори на вашите специфични нужди. Той обикновено се използва за отстраняване на проблеми с мрежата, както и за разработване и тестване на софтуер. Този анализатор на протоколи с отворен код е широко приет като индустриален стандарт, спечелвайки справедливия си дял от награди през годините.
Първоначално известен като Ethereal, Wireshark разполага с удобен за ползване интерфейс, който може да показва данни от стотици различни протоколи за всички големи типове мрежи. Тези пакети данни могат да се разглеждат в реално време или да се анализират офлайн, като се поддържат десетки файлови формати за заснемане / проследяване, включително CAP и ERF . Интегрираните инструменти за дешифриране ви позволяват да разглеждате шифровани пакети за няколко популярни протокола като WEP и WPA / WPA2 .
01 от 07
Изтегляне и инсталиране на Wireshark
Wireshark може да се изтегли безвъзмездно от уебсайта на фондацията Wireshark за двата MacOS и Windows операционни системи. Освен ако не сте напреднал потребител, препоръчваме да изтеглите само последното стабилно съобщение. По време на процеса на настройка (само за Windows) трябва да изберете да инсталирате WinPcap, ако бъдете подканени, тъй като тя включва библиотека, необходима за заснемане на данни на живо.
Приложението е достъпно и за Linux и повечето други UNIX-подобни платформи, включително Red Hat , Solaris и FreeBSD. Необходимите двоични файлове за тези операционни системи могат да бъдат намерени в долната част на страницата за изтегляне в секцията "Пакети трета страна".
Също така можете да изтеглите изходния код на Wireshark от тази страница.
02 от 07
Как да улавяте пакети данни
Когато стартирате за първи път Wireshark, трябва да се види добре приветстващ екран, подобен на този, показан по-горе, съдържащ списък с наличните мрежови връзки на текущото ви устройство. В този пример ще забележите, че се показват следните типове връзки: Bluetooth Network Connection , Ethernet , VirtualBox Host-Only Network , Wi-Fi . Показва се отдясно на всяка от тях е линейна графика в стил EKG, която представлява трафик на живо в съответната мрежа.
За да започнете да записвате пакети, първо изберете една или повече от тези мрежи, като кликнете върху своя избор и използвате клавишите Shift или Ctrl, ако искате да записвате данни от няколко мрежи едновременно. След като типът на връзката е избран за целите на заснемането, фонът му ще бъде затъмнен в синьо или сиво. Кликнете върху " Заснемане" от главното меню, разположено в горната част на интерфейса Wireshark. Когато се покаже падащото меню, изберете опцията Старт .
Можете също да инициирате заснемането на пакети чрез един от следните преки пътища.
- Клавиатура: Натиснете Ctrl + E
- Мишка: За да започнете да записвате пакети от една конкретна мрежа, просто щракнете двукратно върху името й
- Лента с инструменти: Кликнете върху синия бутон за акули, разположен в най-лявата страна на лентата с инструменти на Wireshark
Сега процесът на заснемане на живо ще започне, като подробностите за пакетите се показват в прозореца Wireshark, докато се записват. Изпълнете едно от действията по-долу, за да спрете заснемането.
- Клавиатура: Натиснете Ctrl + E
- Лента с инструменти: Кликнете върху червения бутон за спиране, намиращ се до перките на акулата в лентата с инструменти на Wireshark
03 от 07
Преглежда и анализира съдържанието на пакета
След като сте записали някои мрежови данни, е време да разгледате залостените пакети. Както е показано на екранната снимка по-горе, интерфейсът за заснетите данни съдържа три главни раздела: Панелът на списъка с пакети, панелът с подробни данни за пакетите и панелът за байтове на пакети.
Списък с пакети
Панелът на списъка с пакети, разположен в горната част на прозореца, показва всички пакети, намерени в активния файл за заснемане. Всеки пакет има свой собствен ред и съответстващ му номер, заедно с всяка от тези точки за данни.
- Време: Клеймото за времето на заснемане на пакета се показва в тази колона, като форматът по подразбиране е броят секунди (или частични секунди) от създаването на този конкретен файл за заснемане. За да промените този формат на нещо, което може да е малко по-полезно, като например действителното време на деня, изберете опцията Time Display Format от менюто View на Wireshark - разположено в горната част на главния интерфейс.
- Източник: Тази графа съдържа адреса (IP или друг), откъдето произхожда пакетът.
- Цел: Тази колона съдържа адреса, на който е изпратен пакетът.
- Протокол: Името на протокола на пакета (т.е. TCP) може да се намери в тази колона.
- Дължина: Дължината на пакета, в байтове, се показва в тази графа.
- Информация: Допълнителни подробности за пакета са представени тук. Съдържанието на тази колона може да варира значително в зависимост от съдържанието на пакета.
Когато в горния екран е избран пакет, може да забележите, че в първата колона се появяват един или повече символи. Отворените и / или затворените скоби, както и правилната хоризонтална линия, могат да посочат дали пакет или група пакети са или не са част от същия разговор в мрежата. Счупената хоризонтална линия означава, че пакетът не е част от споменатия разговор.
Подробности за пакета
Панелът с подробности, намиращ се в средата, представя протоколите и протоколните полета на избрания пакет в сгъваем формат. В допълнение към разширяването на всяка селекция можете да приложите отделни филтри Wireshark въз основа на конкретни детайли, както и да следвате потоци от данни, базирани на типа протокол, чрез контекстното меню за подробности - достъпно като кликнете с десния бутон на мишката върху желания елемент в този прозорец.
Пакети байтове
В долната част е панелът за пакети от байтове, който показва суровите данни на избрания пакет в шестнадесетичен изглед. Този шестнадесетичен дъмп съдържа 16 шестнадесетични байта и 16 ASCII байта заедно с отместването на данните.
Избирането на конкретна част от тези данни автоматично откроява съответната секция в панела с подробности за пакетите и обратно. Всеки байт, който не може да бъде отпечатан, вместо това представлява период.
Можете да изберете да показвате тези данни в битов формат, за разлика от шестнадесетичния, като щракнете с десния бутон на мишката някъде в панела и изберете подходящата опция от контекстното меню.
04 от 07
Използване на Wireshark Filters
Един от най-важните набор от функции в Wireshark е нейните възможности за филтриране, особено когато се занимавате с файлове със значителни размери. Филтри за снимане могат да бъдат настроени преди това, инструктирайки Wireshark да записва само тези пакети, които отговарят на вашите конкретни критерии.
Филтрите могат да се приложат и към файл за улавяне, който вече е създаден, така че да се показват само определени пакети. Те се наричат филтри за показване.
Wireshark предоставя по подразбиране голям брой предварително дефинирани филтри, които ви позволяват да стесните броя на видимите пакети само с няколко натискания на клавиши или кликвания на мишката. За да използвате един от тези съществуващи филтри, поставете името му в полето за въвеждане на филтър за показване (намира се точно под лентата с инструменти на Wireshark) или в полето за въвеждане на филтър за заснемане (намира се в центъра на екрана за посрещане).
Има няколко начина да се постигне това. Ако вече знаете името на филтъра си, просто го въведете в съответното поле. Например, ако искате да покажете само TCP пакети, ще въведете tcp . Функцията за автоматично довършване на Wireshark ще показва предложените имена, когато започнете да пишете, което улеснява намирането на правилния палит за филтъра, който търсите.
Друг начин да изберете филтър е да кликнете върху иконата, подобна на отметка, разположена в лявата страна на полето за влизане. Това ще покаже меню, съдържащо някои от най-често използваните филтри, както и опция за управление на филтрите за заснемане или за управление на дисплейни филтри . Ако изберете да управлявате или тип, ще се появи интерфейс, който ви позволява да добавяте, премахвате или редактирате филтри.
Можете също да получите достъп до по-рано използваните филтри, като изберете стрелката за надолу, разположена в дясната страна на полето за въвеждане, която показва падащия списък за история.
Веднъж зададени, филтрите за заснемане ще бъдат приложени веднага щом започнете да записвате мрежовия трафик. За да приложите филтър за показване, обаче, ще трябва да кликнете върху бутона със стрелка надясно, намиращ се в крайната дясна страна на полето за въвеждане.
05 от 07
Правила за оцветяване
Въпреки че филтрите за улавяне и показване на Wireshark Ви позволяват да ограничите кои пакети се записват или показват на екрана, функцията му за цветове отнема нещата още крачка, като улеснява разграничаването на различните видове пакети въз основа на техния индивидуален оттенък. Тази удобна функция ви позволява бързо да намерите определени пакети в запаметен набор от цветовата схема на реда им в панела с пакети.
Wireshark идва с около 20 стандартни правила за оцветяване вградени; всяка от които може да бъде редактирана, деактивирана или изтрита, ако желаете. Също така можете да добавите нови филтри, базирани на сянка, чрез интерфейса за правилата за оцветяване, достъпен от менюто " Изглед ". В допълнение към дефинирането на име и критерии за филтриране за всяко правило, вие също така трябва да свържете както цвета на фона, така и цвета на текста.
Оцветяването на пакетите може да се изключи и включи чрез опцията Colorize Packet List (Списък за оцветяване на пакети) , която също се намира в менюто " Изглед ".
06 от 07
Статистика
В допълнение към подробната информация за данните за мрежата, която се показва в главния прозорец на Wireshark, можете да намерите няколко други полезни показателя чрез падащото меню " Статистика ", намиращо се в горната част на екрана. Те включват информация за размера и времето за самия файл за заснемане, както и десетки графики и графики, които варират в тема от разбивки за разговори чрез пакети, за да зареждат разпространението на HTTP заявки.
Показващите филтри могат да бъдат приложени към много от тези статистически данни чрез техните отделни интерфейси и резултатите могат да бъдат експортирани в няколко често срещани файлови формати, включително CSV , XML и TXT.
07 от 07
Разширени функции
Въпреки че покрихме основната функционалност на Wireshark в тази статия, има и набор от допълнителни функции, налични в този мощен инструмент, които обикновено са запазени за напреднали потребители. Това включва способността да пишете свои протоколни дисектори в програмния език на Lua.
За повече информация относно тези разширени функции вижте официалното ръководство за потребителя на Wireshark.