Как использовать Wireshark для захвата, фильтрации и проверки пакетов

Wireshark, инструмент сетевого анализа, ранее известный как Ethereal, захватывает пакеты в реальном времени и отображает их в удобочитаемом формате. Wireshark включает в себя фильтры, цветовое кодирование и другие функции, позволяющие вам глубоко погрузиться в сетевой трафик и проверять отдельные пакеты.

Этот урок поможет вам справиться с основами захвата пакетов, их фильтрации и проверки. Вы можете использовать Wireshark для проверки сетевого трафика подозрительной программы, анализа потока трафика в вашей сети или устранения неполадок сети.

Как получить Wireshark

Вы можете скачать Wireshark для Windows или macOS со своего официального сайта. Если вы используете Linux или другую UNIX-подобную систему, вы, вероятно, найдете Wireshark в своих репозиториях пакетов. Например, если вы используете Ubuntu, вы найдете Wireshark в программном центре Ubuntu.

Просто быстрое предупреждение: многие организации не разрешают Wireshark и подобные инструменты в своих сетях. Не используйте этот инструмент на работе, если у вас нет разрешения.

Захват пакетов

После загрузки и установки Wireshark вы можете запустить его и дважды щелкнуть имя сетевого интерфейса под Capture, чтобы начать захват пакетов на этом интерфейсе. Например, если вы хотите захватить трафик в своей беспроводной сети, щелкните свой беспроводной интерфейс. Вы можете настроить дополнительные функции, нажав «Захват»> «Параметры», но сейчас это не нужно.

Как только вы нажмете имя интерфейса, вы увидите, что пакеты начинают появляться в режиме реального времени. Wireshark захватывает каждый пакет, отправленный в вашу систему или из нее.

Если у вас включен режим promiscuous — он включен по умолчанию, вы также увидите все остальные пакеты в сети, а не только пакеты, адресованные вашему сетевому адаптеру. Чтобы проверить, включен ли беспорядочный режим, нажмите «Захват»> «Параметры» и убедитесь, что в нижней части этого окна активирован флажок «Включить беспорядочный режим на всех интерфейсах».

Нажмите красную кнопку «Стоп» в верхнем левом углу окна, когда вы хотите остановить захват трафика.

Цветовое кодирование

Вероятно, вы увидите пакеты, выделенные разными цветами. Wireshark использует цвета, чтобы помочь вам определить типы трафика с первого взгляда. По умолчанию, светло-фиолетовый — это трафик TCP, светло-голубой — трафик UDP, а черный — пакеты с ошибками — например, они могли быть доставлены не в порядке.

Чтобы точно узнать, что означают цветовые коды, нажмите «Просмотр»> «Правила раскраски». Вы также можете настроить и изменить правила окраски отсюда, если хотите.

Захват образцов

Если нет ничего интересного в вашей собственной сети для проверки, вики Wireshark вы покрыли. Вики содержит страницу файлов захвата образцов, которые вы можете загрузить и проверить. Нажмите «Файл»> «Открыть» в Wireshark и найдите загруженный файл, чтобы открыть его.

Вы также можете сохранить свои собственные снимки в Wireshark и открыть их позже. Нажмите «Файл»> «Сохранить», чтобы сохранить захваченные пакеты.

Фильтрация пакетов

Если вы пытаетесь проверить что-то конкретное, например, трафик, который программа отправляет при звонке домой, это помогает закрыть все остальные приложения, используя сеть, чтобы вы могли сузить трафик. Тем не менее, у вас, вероятно, будет большое количество пакетов для просеивания. Вот где попадают фильтры Wireshark.

Самый простой способ применения фильтра — ввести его в поле фильтра в верхней части окна и нажать «Применить» (или нажать «Ввод»). Например, введите «dns», и вы увидите только пакеты DNS. Когда вы начнете печатать, Wireshark поможет вам автозаполнять фильтр.

Вы также можете нажать «Анализ»> «Дисплейные фильтры», чтобы выбрать фильтр из фильтров по умолчанию, включенных в Wireshark. Здесь вы можете добавить свои собственные фильтры и сохранить их, чтобы легко получить к ним доступ в будущем.

Для получения дополнительной информации о языке фильтрации экрана Wireshark, прочитайте страницу выражений фильтра отображения здания в официальной документации Wireshark.

Еще одна интересная вещь, которую вы можете сделать, это щелкнуть правой кнопкой мыши пакет и выбрать «Follow> TCP Stream».

Вы увидите полную TCP-связь между клиентом и сервером. Вы также можете щелкнуть другие протоколы в меню «Следуй», чтобы просмотреть полные разговоры для других протоколов, если это применимо.

Закройте окно, и вы обнаружите, что фильтр был применен автоматически. Wireshark показывает вам пакеты, которые составляют разговор.

Проверка пакетов

Нажмите на пакет, чтобы выбрать его, и вы можете выкопать его, чтобы просмотреть его данные.

Вы также можете создавать фильтры здесь — просто щелкните правой кнопкой мыши одну из деталей и используйте подменю «Применить как фильтр», чтобы создать на нем фильтр.

Wireshark — чрезвычайно мощный инструмент, и этот учебник просто царапает поверхность того, что вы можете с ним сделать. Профессионалы используют его для отладки реализации сетевых протоколов, проверки проблем безопасности и проверки внутренних сетевых протоколов.

Более подробную информацию вы можете найти в официальном руководстве пользователя Wireshark и на других страницах документации на веб-сайте Wireshark.

Понравилась статья? Поделиться с друзьями:
Добавить комментарий

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!:

Этот сайт использует Akismet для борьбы со спамом. Узнайте как обрабатываются ваши данные комментариев.