Wireshark е водещият анализатор на мрежови протоколи, използван от професионалисти по сигурността по целия свят. Тя ви позволява да откривате аномалии в компютърните мрежи и да откривате основните причини. Ще демонстрираме как да използваме Wireshark в следващите раздели.

И така, как работи? И как всъщност използвате Wireshark за улавяне на пакети данни?

Как работи Wireshark?

Здравият набор от функции на Wireshark го превърна в един от най-добрите инструменти за отстраняване на проблеми с мрежата. Много хора използват Wireshark, включително мрежови администратори, одитори на сигурността, анализатори на зловреден софтуер и дори нападатели.

7 най-добри инструмента за отстраняване на проблеми с мрежата

Имате ли проблем с мрежата? Или просто искате да научите повече за вашата домашна мрежа? Тези седем инструмента могат да ви помогнат да анализирате и отстранявате проблеми в мрежата си.

Тя ви позволява да извършвате задълбочени проверки на активни или съхранени мрежови пакети. Когато започнете да използвате Wireshark, ще бъдете очаровани от количеството информация, която той може да предложи. Въпреки това, твърде много информация често затруднява оставането на пътя.

instagram viewer

За щастие можем да смекчим това чрез усъвършенстваните възможности за филтриране на Wireshark. Ще ги обсъдим подробно по-късно. Работният процес се състои от улавяне на мрежови пакети и филтриране на необходимата информация.

Как да използвам Wireshark за улавяне на пакети

След като стартирате Wireshark, той ще покаже мрежовите интерфейси, свързани към вашата система. Трябва да забележите криви, представляващи мрежова комуникация до всеки интерфейс.

Сега трябва да изберете конкретен интерфейс, преди да започнете да улавяте пакети. За да направите това, изберете името на интерфейса и кликнете върху синьото перка на акула икона. Можете също да направите това, като щракнете двукратно върху името на интерфейса.

Wireshark ще започне да улавя входящите и изходящите пакети за избрания интерфейс. Кликнете върху червеното пауза за спиране на заснемането. Трябва да видите списък с мрежови пакети, взети по време на този процес.

Wireshark ще покаже източника и местоназначението за всеки пакет заедно с протокола. През повечето време обаче ще се интересувате от съдържанието на информационното поле.

Можете да проверите отделни пакети, като кликнете върху тях. По този начин можете да видите всички пакети данни.

Как да запазите заловени пакети в Wireshark

Тъй като Wireshark улавя много трафик, понякога може да искате да ги запазите за по-късна проверка. За щастие запазването на заловени пакети с Wireshark е без усилия.

За да запазите пакети, спрете активната сесия. След това кликнете върху файл икона, намираща се в горното меню. Можете също да използвате Ctrl + S да го направя.

Wireshark може да запазва пакети в няколко формата, включително pcapng, pcap и dmp. Можете също да запазвате уловени пакети във формат, който е друг инструменти за мрежов анализ може по-късно да използва.

Как да анализираме заловени пакети

Можете да анализирате предварително уловени пакети, като отворите файла за улавяне. Веднъж в главния прозорец, щракнете Файл> Отваряне и след това изберете съответния запазен файл.

Можете също да използвате Ctrl + O за да направите това бързо. След като анализирате пакетите, излезте от прозореца за проверка, като отидете на Файл> Затвори.

Как да използвам Wireshark филтри

Wireshark предлага множество стабилни възможности за филтриране. Филтрите са два вида - филтри за показване и филтри за улавяне.

Използване на Wireshark дисплейни филтри

Дисплейните филтри се използват за преглед на конкретни пакети от всички заловени пакети. Например можем да използваме дисплейния филтър icmp за да видите всички ICMP пакети с данни.

Можете да избирате от голям брой филтри. Освен това можете също така да дефинирате персонализирани правила за филтриране за тривиални задачи. За да добавите персонализирани филтри, отидете на Анализ> Показване на филтри. Щракнете върху + икона, за да добавите нов филтър.

Използване на филтри за улавяне на Wireshark

Филтрите за улавяне се използват за определяне на това кои пакети да се улавят по време на сесия Wireshark. Той произвежда значително по-малко пакети от стандартното улавяне. Можете да ги използвате в ситуации, когато се нуждаете от конкретна информация за определени пакети.

Въведете вашия филтър за заснемане в полето точно над списъка с интерфейси в главния прозорец. Изберете името на интерфейса от списъка и въведете името на филтъра в горното поле.

Кликнете върху синьото перка на акула икона за започване на улавяне на пакети. Следващият пример използва арп филтър за улавяне само на ARP транзакции.

Използване на правилата за оцветяване на Wireshark

Wireshark предоставя няколко правила за оцветяване, които преди бяха наричани цветни филтри. Това е чудесна функция, която трябва да имате при анализ на обширен мрежов трафик. Можете също така да ги персонализирате въз основа на предпочитанията.

За да покажете текущите правила за оцветяване, отидете на Преглед> Правила за оцветяване. Тук можете да намерите правилата за оцветяване по подразбиране за вашата инсталация.

Можете да ги модифицирате по какъвто начин искате. Освен това можете да използвате и правила за оцветяване на други хора, като импортирате конфигурационния файл.

Изтеглете файла, съдържащ потребителските правила, и след това го импортирайте, като изберете Преглед> Правила за оцветяване> Импортиране. Можете да експортирате правила по подобен начин.

Wireshark в действие

Досега обсъждахме някои от основните характеристики на Wireshark. Нека да извършим някои практически операции, за да покажем как те се интегрират.

Създадохме основен Go сървър за тази демонстрация. Той връща обикновено текстово съобщение за всяка заявка. След като сървърът работи, ще направим няколко HTTP заявки и ще уловим трафика на живо. Имайте предвид, че използваме сървъра на localhost.

Първо, ние инициираме улавяне на пакети чрез двукратно щракване върху интерфейса Loopback (localhost). Следващата стъпка е да стартираме нашия локален сървър и да изпратим GET заявка. Използваме curl, за да направим това.

Wireshark ще заснеме всички входящи и изходящи пакети по време на този разговор. Искаме да видим данните, изпратени от нашия сървър, затова ще използваме http.response дисплей филтър за преглед на пакетите за отговор.

Сега Wireshark ще скрие всички останали заловени пакети и ще покаже само пакетите с отговори. Ако се вгледате внимателно в подробностите за пакета, трябва да забележите данните от обикновения текст, изпратени от нашия сървър.

Полезни команди на Wireshark

Можете също да използвате различни команди Wireshark за управление на софтуера от вашия Linux терминал. Ето някои основни команди на Wireshark:

  • жична акула стартира Wireshark в графичен режим.
  • wireshark -h показва наличните опции на командния ред.
  • wireshark -i ИНТЕРФЕЙС избира INTERFACE като интерфейс за улавяне.

Царк е алтернатива на командния ред за Wireshark. Той поддържа всички основни функции и е изключително ефективен.

Анализирайте мрежовата сигурност с Wireshark

Богатият набор от функции на Wireshark и усъвършенстваните правила за филтриране правят анализ на пакетите продуктивен и ясен. Можете да го използвате, за да намерите всякаква информация за вашата мрежа. Изпробвайте най-основните му функционалности, за да научите как да използвате Wireshark за анализ на пакети.

Wireshark е на разположение за изтегляне на устройства с Windows, macOS и Linux.

електронна поща
Как да превърнете вашия Raspberry Pi в инструмент за мрежово наблюдение

Искате да наблюдавате вашата мрежа или отдалечени устройства? Ето как да превърнете Raspberry Pi в инструмент за мрежово наблюдение с помощта на Nagios.

Свързани теми
  • Linux
  • Mac
  • Windows
  • Сигурност
  • Онлайн сигурност
За автора
Рубаят Хосейн (6 статии публикувани)

Rubaiat е CS град със силна страст към отворен код. Освен ветеран на Unix, той се занимава и с мрежова сигурност, криптография и функционално програмиране. Той е запален колекционер на книги от втора ръка и изпитва безкрайно възхищение от класическия рок.

Още от Rubaiat Hossain

Абонирайте се за нашия бюлетин

Присъединете се към нашия бюлетин за технически съвети, рецензии, безплатни електронни книги и ексклузивни оферти!

Още една стъпка…!

Моля, потвърдете имейл адреса си в имейла, който току-що ви изпратихме.

.