Kaip naudoti „Wireshark“, norint užfiksuoti, filtruoti ir tikrinti paketus

„Wireshark“, tinklo analizės įrankis, anksčiau žinomas kaip „Ethereal“, realiuoju laiku fiksuoja paketus ir pateikia juos žmonėms skaitomu formatu. „Wireshark“ apima filtrus, spalvų kodavimą ir kitas funkcijas, leidžiančias gilintis į tinklo srautą ir tikrinti atskirus paketus.

Ši pamoka padės jums susipažinti su paketų gavimo, filtravimo ir tikrinimo pagrindais. Galite naudoti „Wireshark“, norėdami patikrinti įtartinos programos tinklo srautą, išanalizuoti srauto srautą tinkle arba pašalinti tinklo problemas.

Kaip gauti „Wireshark“

„Wireshark“, skirtą „Windows“ arba „MacOS“, galite atsisiųsti iš savo oficialios svetainės. Jei naudojate „Linux“ ar kitą į UNIX panašią sistemą, „Wireshark“ tikriausiai rasite paketų saugyklose. Pavyzdžiui, jei naudojate „Ubuntu“, „Wireshark“ rasite „Ubuntu“ programinės įrangos centre.

Tiesiog greitas įspėjimas: daugelis organizacijų neleidžia „Wireshark“ ir panašių įrankių savo tinkluose. Nenaudokite šio įrankio darbe, nebent turite leidimą.

Paketų fiksavimas

Atsisiuntę ir įdiegę „Wireshark“, galite ją paleisti ir dukart spustelėti tinklo sąsajos pavadinimą „Capture“, kad pradėtumėte rinkti paketus toje sąsajoje. Pavyzdžiui, jei norite užfiksuoti srautą belaidžiu tinklu, spustelėkite belaidžio ryšio sąsają. Galite sukonfigūruoti išplėstines funkcijas spustelėdami Užfiksuoti> Parinktys, tačiau tai kol kas nėra būtina.

Kai tik spustelėsite sąsajos pavadinimą, pamatysite, kad paketai pradeda rodyti realiuoju laiku. „Wireshark“ fiksuoja kiekvieną paketą, išsiųstą į jūsų sistemą arba iš jos.

Jei įgalinote atokų režimą - jis įjungtas pagal numatytuosius nustatymus, taip pat matysite visus kitus tinklo paketus, o ne tik jūsų tinklo adapteriui adresuotus paketus. Norėdami patikrinti, ar įgalintas nedidelis režimas, spustelėkite „Capture“> „Options“ ir patikrinkite, ar šio lango apačioje yra įjungtas žymimasis laukelis „Enable promcuous mode on all interfaces“.

Spustelėkite raudoną mygtuką „Stabdyti“ šalia viršutinio kairiojo lango kampo, kai norite sustabdyti srauto fiksavimą.

Spalvų žymėjimas

Tikriausiai pamatysite paketus, paryškintus įvairiomis spalvomis. „Wireshark“ naudoja spalvas, kad galėtumėte iš pirmo žvilgsnio nustatyti srauto tipus. Pagal numatytuosius nustatymus šviesiai violetinė spalva yra TCP srautas, šviesiai mėlyna yra UDP srautas, o juoda spalva identifikuoja paketus su klaidomis - pavyzdžiui, jie galėjo būti pristatyti ne pagal tvarką.

Norėdami tiksliai sužinoti, ką reiškia spalvų kodai, spustelėkite Peržiūrėti> Spalvos taisyklės. Čia taip pat galite tinkinti ir modifikuoti spalvinimo taisykles, jei norite.

Fotografavimo pavyzdžiai

Jei jūsų tinkle nėra nieko įdomaus, ką apžiūrėti, galite pateikti „Wireshark“ wiki. Wiki yra pavyzdinių fiksavimo failų puslapis, kurį galite įkelti ir patikrinti. Spustelėkite Failas> Atidaryti „Wireshark“ ir ieškokite atsisiųsto failo, kad jį atidarytumėte.

Savo įrašus taip pat galite išsaugoti „Wireshark“ ir atidaryti vėliau. Spustelėkite Failas> Išsaugoti, kad išsaugotumėte užfiksuotus paketus.

Filtruojant paketus

Jei bandote patikrinti ką nors konkretaus, pvz., Srautą, kurį programa siunčia skambindama namo, tai padeda uždaryti visas kitas tinkle naudojamas programas, kad galėtumėte susiaurinti srautą. Vis dėlto greičiausiai turėsite didelį kiekį paketų, kuriuos galite persiųsti. Čia patenka „Wireshark“ filtrai.

Pats paprasčiausias būdas taikyti filtrą yra įvedus jį į lango viršuje esantį filtro laukelį ir spustelėjus Taikyti (arba paspaudus Enter). Pvz., Įveskite „dns“ ir pamatysite tik DNS paketus. Kai pradėsite rašyti, „Wireshark“ padės automatiškai užpildyti filtrą.

Taip pat galite spustelėti Analizuoti> Rodyti filtrus, kad pasirinktumėte filtrą iš numatytųjų „Wireshark“ filtrų. Čia galite pridėti savo pasirinktinius filtrus ir juos išsaugoti, kad galėtumėte lengvai juos pasiekti ateityje.

Norėdami gauti daugiau informacijos apie „Wireshark“ ekrano filtravimo kalbą, perskaitykite oficialios „Wireshark“ dokumentacijos puslapį „Pastato ekrano filtro išraiškos“.

Kitas įdomus dalykas, kurį galite padaryti, yra dešiniuoju pelės mygtuku spustelėkite paketą ir pasirinkite Stebėti> TCP srautas.

Pamatysite visą TCP pokalbį tarp kliento ir serverio. Meniu „Sekti“ taip pat galite spustelėti kitus protokolus, jei norite, pamatyti visus kitų protokolų pokalbius.

Uždarykite langą ir pamatysite, kad filtras buvo pritaikytas automatiškai. „Wireshark“ rodo paketus, kurie sudaro pokalbį.

Paketų tikrinimas

Spustelėkite paketą, kad jį pasirinktumėte, ir galite pasidaryti žemyn, kad peržiūrėtumėte jo informaciją.

Čia taip pat galite sukurti filtrus - tiesiog dešiniuoju pelės mygtuku spustelėkite vieną iš detalių ir naudokite submeniu Taikyti kaip filtrą, kad sukurtumėte filtrą pagal jį.

„Wireshark“ yra nepaprastai galingas įrankis, ir ši pamoka tik subraižo, ką galite su juo padaryti. Profesionalai naudoja ją derindami tinklo protokolo diegimą, nagrinėdami saugumo problemas ir tikrindami tinklo protokolo vidinius elementus.

Išsamesnę informaciją galite rasti oficialiame „Wireshark“ vartotojo vadove ir kituose „Wireshark“ svetainės dokumentacijos puslapiuose.