Pre mnohých IT expertov je Wireshark ideálnym nástrojom na analýzu sieťových paketov. Softvér s otvoreným zdrojovým kódom vám umožňuje podrobne preskúmať zhromaždené údaje a určiť koreň problému so zvýšenou presnosťou. Okrem toho Wireshark funguje v reálnom čase a okrem iných šikovných mechanizmov používa farebné kódovanie na zobrazenie zachytených paketov.
V tomto návode vysvetlíme, ako zachytávať, čítať a filtrovať pakety pomocou Wireshark. Nižšie nájdete podrobné pokyny a rozpisy základných funkcií analýzy siete. Keď zvládnete tieto základné kroky, budete môcť kontrolovať tok prevádzky vašej siete a odstraňovať problémy efektívnejšie.
Analýza paketov
Akonáhle sú pakety zachytené, Wireshark ich usporiada do podrobného panela so zoznamom paketov, ktorý je neuveriteľne ľahko čitateľný. Ak chcete získať prístup k informáciám týkajúcim sa jedného paketu, všetko, čo musíte urobiť, je nájsť ho v zozname a kliknúť. Môžete tiež ďalej rozšíriť strom, aby ste získali prístup k podrobnostiam každého protokolu obsiahnutého v pakete.
Pre komplexnejší prehľad si môžete každý zachytený paket zobraziť v samostatnom okne. Tu je postup:
ako dostať kameň do hrdze
- Vyberte paket zo zoznamu pomocou kurzora a kliknite pravým tlačidlom myši.
- Otvorte kartu Zobraziť z panela s nástrojmi vyššie.
- V rozbaľovacej ponuke vyberte možnosť Zobraziť paket v novom okne.
Poznámka: Je oveľa jednoduchšie porovnať zachytené pakety, ak ich zobrazíte v samostatných oknách.
Ako už bolo spomenuté, Wireshark používa systém farebného kódovania na vizualizáciu údajov. Každý paket je označený inou farbou, ktorá predstavuje rôzne typy prevádzky. Napríklad prenos TCP je zvyčajne zvýraznený modrou farbou, zatiaľ čo čierna farba sa používa na označenie paketov obsahujúcich chyby.
Samozrejme, nemusíte si pamätať význam každej farby. Namiesto toho si môžete skontrolovať na mieste:
- Kliknite pravým tlačidlom myši na paket, ktorý chcete preskúmať.
- Na paneli s nástrojmi v hornej časti obrazovky vyberte kartu Zobraziť.
- Z rozbaľovacieho panela vyberte položku Pravidlá farbenia.
Uvidíte možnosť prispôsobiť sfarbenie podľa vašich predstáv. Ak však chcete zmeniť pravidlá farbenia iba dočasne, postupujte takto:
- Kliknite pravým tlačidlom myši na paket na table so zoznamom paketov.
- Zo zoznamu možností vyberte Colorize With Filter.
- Vyberte si farbu, ktorou ho chcete označiť.
číslo
Panel so zoznamom paketov vám zobrazí presný počet zachytených dátových bitov. Keďže pakety sú usporiadané do niekoľkých stĺpcov, je pomerne jednoduché ich interpretovať. Predvolené kategórie sú:
- Č. (Číslo): Ako už bolo spomenuté, v tomto stĺpci nájdete presný počet zachytených paketov. Číslice zostanú rovnaké aj po filtrovaní údajov.
- Čas: Ako ste možno uhádli, časová pečiatka paketu je zobrazená tu.
- Zdroj: Ukazuje, odkiaľ paket pochádza.
- Cieľ: Zobrazuje miesto, kde bude paket uložený.
- Protokol: Zobrazuje názov protokolu, zvyčajne v skratke.
- Dĺžka: Zobrazuje počet bajtov obsiahnutých v zachytenom pakete.
- Info: Stĺpec obsahuje akékoľvek dodatočné informácie o konkrétnom pakete.
čas
Keď Wireshark analyzuje sieťovú prevádzku, každý zachytený balík je označený časovou pečiatkou. Časové pečiatky sú potom zahrnuté v table so zoznamom paketov a sú k dispozícii na neskoršiu kontrolu.
Wireshark nevytvára časové pečiatky samotné. Namiesto toho ich nástroj analyzátora získa z knižnice Npcap. Zdrojom časovej pečiatky je však v skutočnosti jadro. Preto sa presnosť časovej pečiatky môže líšiť od súboru k súboru.
Môžete si vybrať formát, v ktorom sa budú časové pečiatky zobrazovať v zozname paketov. Okrem toho môžete nastaviť preferovanú presnosť alebo počet zobrazených desatinných miest. Okrem predvoleného nastavenia presnosti sú k dispozícii aj:
- sekúnd
- Desatiny sekundy
- Stovky sekundy
- milisekúnd
- mikrosekúnd
- Nanosekundy
Zdroj
Ako už názov napovedá, zdrojom paketu je miesto pôvodu. Ak chcete získať zdrojový kód úložiska Wireshark, môžete si ho stiahnuť pomocou klienta Git. Táto metóda však vyžaduje, aby ste mali účet GitLab. Dá sa to aj bez neho, ale pre každý prípad je lepšie sa prihlásiť.
Po zaregistrovaní účtu postupujte podľa týchto krokov:
- Uistite sa, že Git je funkčný pomocou tohto príkazu: |_+_|
- Ešte raz skontrolujte, či máte nakonfigurovanú e-mailovú adresu a používateľské meno.
- Ďalej vytvorte klon zdroja Workshark. Použite |_+_| SSH URL na vytvorenie kópie.
- Ak nemáte účet GitLab, skúste URL HTTPS: |_+_|
Všetky zdroje budú následne skopírované do vášho zariadenia. Majte na pamäti, že klonovanie môže chvíľu trvať, najmä ak máte pomalé sieťové pripojenie.
Destinácia
Ak chcete poznať IP adresu konkrétneho cieľa paketu, môžete ho nájsť pomocou filtra zobrazenia. Tu je postup:
- Zadajte |_+_| do filtračnej skrinky Wireshark. Potom kliknite na tlačidlo Enter.
- Panel so zoznamom paketov bude prekonfigurovaný len tak, aby zobrazoval cieľ paketu. Nájdite IP adresu, ktorá vás zaujíma, rolovaním v zozname.
- Po dokončení vyberte položku Vymazať na paneli s nástrojmi, aby ste prekonfigurovali tablu so zoznamom paketov.
Protokol
Protokol je usmernenie, ktoré určuje prenos údajov medzi rôznymi zariadeniami, ktoré sú pripojené k rovnakej sieti. Každý paket Wireshark obsahuje protokol a môžete ho vyvolať pomocou filtra zobrazenia. Tu je postup:
- V hornej časti okna Wireshark kliknite na dialógové okno Filter.
- Zadajte názov protokolu, ktorý chcete preskúmať. Názvy protokolov sa zvyčajne píšu malými písmenami.
- Kliknutím na Enter alebo Použiť aktivujete filter zobrazenia.
Dĺžka
Dĺžka paketu Wireshark je určená počtom bajtov zachytených v tomto konkrétnom sieťovom úryvku. Toto číslo zvyčajne zodpovedá počtu bajtov nespracovaných dát uvedených v spodnej časti okna Wireshark.
Ak chcete preskúmať distribúciu dĺžok, otvorte okno Packet Lengths. Všetky informácie sú rozdelené do nasledujúcich stĺpcov:
- Dĺžky paketov
- počítať
- Priemerná
- Min Val / Max Val
- ohodnotiť
- percent
- Rýchlosť roztrhnutia
- Nárazový štart
Info
Ak sú v konkrétnom zachytenom pakete nejaké anomálie alebo podobné položky, Wireshark to zaznamená. Informácie sa potom zobrazia na table so zoznamom paketov na ďalšie preskúmanie. Týmto spôsobom budete mať jasný obraz o atypickom správaní siete, čo bude mať za následok rýchlejšie reakcie.
Ďalšie často kladené otázky
Ako môžem filtrovať paketové dáta?
Filtrovanie je efektívna funkcia, ktorá vám umožňuje nahliadnuť do špecifík konkrétnej sekvencie údajov. Existujú dva typy filtrov Wireshark: zachytávanie a zobrazovanie. Filtre zachytávania slúžia na obmedzenie zachytávania paketov tak, aby vyhovovali špecifickým požiadavkám. Inými slovami, použitím filtra zachytávania môžete preosiať rôzne typy návštevnosti. Ako už názov napovedá, zobrazovacie filtre vám umožňujú zamerať sa na konkrétny prvok paketu, od dĺžky paketu po protokol.
Použitie filtra je pomerne jednoduchý proces. Názov filtra môžete zadať v dialógovom okne v hornej časti okna Wireshark. Okrem toho softvér zvyčajne automaticky doplní názov filtra.
Prípadne, ak chcete prečesať predvolené filtre Wireshark, postupujte takto:
1. Otvorte kartu Analyze na paneli nástrojov v hornej časti okna Wireshark.
odlievať do ohňa palica z pc
2. Z rozbaľovacieho zoznamu vyberte Display Filter.
3. Prezrite si zoznam a kliknite na ten, ktorý chcete použiť.
Nakoniec tu je niekoľko bežných filtrov Wireshark, ktoré sa môžu hodiť:
• Ak chcete zobraziť iba zdrojovú a cieľovú IP adresu, použite: |_+_|
• Ak chcete zobraziť iba prenos SMTP, zadajte: |_+_|
• Ak chcete zachytiť všetku prevádzku podsiete, použite: |_+_|
• Ak chcete zachytiť všetko okrem prevádzky ARP a DNS, použite: |_+_|
Ako zachytím paketové dáta v programe Wireshark?
Po stiahnutí aplikácie Wireshark do zariadenia môžete začať monitorovať pripojenie k sieti. Ak chcete zachytiť dátové pakety pre komplexnú analýzu, musíte urobiť toto:
1. Spustite Wireshark. Zobrazí sa zoznam dostupných sietí, takže kliknite na tú, ktorú chcete preskúmať. Ak chcete presne určiť typ návštevnosti, môžete použiť aj zachytávací filter.
2. Ak chcete skontrolovať viacero sietí, použite klávesovú skratku Shift + kliknutie ľavým tlačidlom myši.
3. Ďalej kliknite na ikonu žraločej plutvy úplne vľavo na paneli s nástrojmi vyššie.
4. Snímanie môžete spustiť aj kliknutím na kartu Zachytiť a výberom položky Štart z rozbaľovacieho zoznamu.
5. Ďalším spôsobom, ako to urobiť, je použiť kláves Control – E.
Keď softvér získa údaje, uvidíte, že sa objavia na table so zoznamom paketov v reálnom čase.
Shark Byte
Aj keď je Wireshark vysoko pokročilý sieťový analyzátor, jeho interpretácia je prekvapivo jednoduchá. Panel so zoznamom paketov je mimoriadne komplexný a dobre organizovaný. Všetky informácie sú rozdelené do siedmich rôznych farieb a označené jasnými farebnými kódmi.
Okrem toho je softvér s otvoreným zdrojovým kódom dodávaný s množstvom ľahko použiteľných filtrov, ktoré uľahčujú monitorovanie. Povolením filtra zachytávania môžete presne určiť, aký druh prevádzky má Wireshark analyzovať. Akonáhle sú údaje získané, môžete použiť niekoľko filtrov zobrazenia pre konkrétne vyhľadávania. Celkovo vzaté, je to vysoko účinný mechanizmus, ktorý nie je príliš ťažké zvládnuť.
Používate Wireshark na analýzu siete? Čo si myslíte o filtračnej funkcii? Dajte nám vedieť v komentároch nižšie, či existuje užitočná funkcia analýzy paketov, ktorú sme preskočili.
