• hjem
  •  > 
  • Utdanning og vitenskap
  •  > 
  • Hva kan du gjøre med wireshark. Wireshark bekjentskap med hva som er hvor i dette programmet! Nettverkspakkeanalyseverktøy

Hva kan du gjøre med wireshark. Wireshark bekjentskap med hva som er hvor i dette programmet! Nettverkspakkeanalyseverktøy

Wireshark er en veldig populær nettverksprotokollanalysator der en nettverksadministrator kan granske flyten av datatrafikk til/fra et datasystem på et nettverk.

Dette verktøyet har eksistert ganske lenge og har mange nyttige funksjoner.

En av disse funksjonene er skjermfilteret, som du kan filtrere den fangede datatrafikken gjennom basert på ulike faktorer som protokoller, nettverksporter, IP-adresser, etc.

I denne artikkelen vil vi diskutere det grunnleggende om Wireshark og de 5 essensielle Wireshark-skjermfiltrene som enhver nybegynner bør kjenne til.

Hvis du er helt ny på Wireshark, last den først ned og installer den på systemet ditt.

Etter installasjonen starter du Wireshark GUI.

Her er et eksempel på Wireshark-hjemmeskjermen:

Det første trinnet er å velge grensesnittet (som dataene skal registreres på) og deretter klikke på "start"-knappen.

Når du trykker på "start"-knappen, vises informasjon om alle innkommende og utgående datapakker (på det valgte grensesnittet) på utgangen.

Du kan klikke på en hvilken som helst pakkeoppføring i vinduet vist ovenfor og se flere detaljer knyttet til den pakken vist i delen rett under det samme vinduet.

La oss nå gå tilbake til emnet vårt. visningsfiltre kan legges inn gjennom tekstfeltet "Filter", som er plassert rett over trafikkutdataseksjonen.

Eksempler på Wireshark Screen Filter

I denne delen vil vi diskutere 5 nyttige utgangsfiltersyntakser

1. Filtrer resultatene etter protokoll

Du kan enkelt filtrere resultater basert på en bestemt protokoll. For for eksempel å vise bare de pakkene som inneholder TCP-protokollen, skriv ganske enkelt protokollnavnet i filtertekstboksen.

Her er et eksempel:

Så du kan se at alle pakker som inneholder TCP-protokoller har blitt vist i utdataene.


2. Filtrer resultatene etter port

Du kan også filtrere resultater basert på nettverksporter. For eksempel, for å vise bare de pakkene som inneholder TCP-protokollen og har en kilde- eller målport på 80, bare skriv tcp.port eq 80 i filtervinduet.

Her er et eksempel på et skjermbilde:

3. Filtrer resultater basert på flere forhold

Hvis det er et scenario der du ønsker å vise resultater basert på forhold som ikke er relatert til hverandre, bruk et filter eller. For eksempel, for å vise alle pakker som inneholder TCP- eller DNS-protokoll, bare skriv t cp eller dns i filtervinduet.

Her er et eksempel på et skjermbilde:

Så du kan se at utdataene vil vise pakker som inneholder TCP- eller DNS-protokoll.

På lignende måte kan du bruke et filter og. Dette filteret brukes der du ønsker å vise resultater basert på forhold som ikke er relatert til hverandre. For eksempel, for å vise alle pakker som inneholder TCP så vel som HTTP-protokoll, bare skriv tcp og http i filterfeltet.

Her er et eksempel på et skjermbilde:

Du kan se at utdataene vil vise pakker som inneholder TCP og HTTP-protokoll.

4. Filtrer resultater etter IP-adresser

Bruk filtre for å filtrere resultater basert på IP-adresser src eller dst.

For eksempel, for å vise bare de pakkene som inneholder den utgående IP-adressen 192.168.0.103, skriv ganske enkelt ip.src == 192.168.0.103 i filtervinduet.

Her er et eksempel:

På samme måte kan du bruke et filter dst (ip.dst) for å filtrere pakker basert på destinasjons-IP-adresser.

5. Filtrer resultater basert på bytesekvens

Noen ganger må du sjekke pakker basert på en bestemt sekvens av byte.

For å gjøre dette, bruk ganske enkelt et inneholder-filter med protokollnavnet og bytesekvensen.

Utgangen vil vise TCP-pakker som inneholder bytesekvensen 00:01:02.

Wireshark er en kraftig nettverksanalysator som kan brukes til å analysere trafikken som går gjennom datamaskinens nettverksgrensesnitt. Dette kan være nødvendig for å oppdage og løse nettverksproblemer, feilsøke webapplikasjoner, nettverksprogrammer eller nettsteder. Wireshark lar deg se innholdet i en pakke fullt ut på alle nivåer, slik at du bedre kan forstå hvordan nettverket fungerer på et lavt nivå.

Alle pakker fanges opp i sanntid og leveres i et lettlest format. Programmet støtter et veldig kraftig filtreringssystem, fargeutheving og andre funksjoner som hjelper deg med å finne de riktige pakkene. I denne opplæringen vil vi se på hvordan du bruker Wireshark til å analysere trafikk. Nylig begynte utviklerne å jobbe med den andre grenen av Wireshark 2.0, som introduserte mange endringer og forbedringer, spesielt til grensesnittet. Dette er hva vi skal bruke i denne artikkelen.

Nøkkelfunksjoner til Wireshark

Før du går videre til å vurdere måter å analysere trafikk på, må du vurdere hvilke funksjoner programmet støtter mer detaljert, hvilke protokoller det kan fungere med og hva du skal gjøre. Her er hovedfunksjonene i programmet:

  • Ta opp pakker i sanntid fra kablede eller andre typer nettverksgrensesnitt, samt les fra en fil;
  • Følgende registreringsgrensesnitt støttes: Ethernet, IEEE 802.11, PPP og lokale virtuelle grensesnitt;
  • Pakker kan filtreres ut basert på mange parametere ved hjelp av filtre;
  • Alle kjente protokoller er uthevet i listen i forskjellige farger, for eksempel TCP, HTTP, FTP, DNS, ICMP og så videre;
  • Støtte for å fange VoIP-anropstrafikk;
  • Dekryptering av HTTPS-trafikk støttes hvis et sertifikat er tilgjengelig;
  • Dekryptering av WEP, WPA-trafikk av trådløse nettverk med nøkkel og håndtrykk;
  • Vise nettverksbelastningsstatistikk;
  • Se pakkeinnhold for alle nettverkslag;
  • Viser tidspunktet for sending og mottak av pakker.

Programmet har mange andre funksjoner, men disse var de viktigste som kan interessere deg.

Slik bruker du Wireshark

Jeg antar at du allerede har programmet installert, men hvis ikke, kan du installere det fra de offisielle depotene. For å gjøre dette, skriv inn kommandoen i Ubuntu:

$ sudo apt installer wireshark

Etter installasjonen finner du programmet i hovedmenyen til distribusjonen. Du må kjøre Wireshark med superbrukerrettigheter, for ellers vil ikke programmet kunne analysere nettverkspakker. Dette kan gjøres fra hovedmenyen eller gjennom terminalen ved å bruke kommandoen for KDE:

$ kdesu wireshark

Og for Gnome/Unity:

$gksu wireshark

Hovedvinduet til programmet er delt inn i tre deler, den første kolonnen inneholder en liste over nettverksgrensesnitt tilgjengelig for analyse, den andre kolonnen inneholder alternativer for å åpne filer, og den tredje kolonnen inneholder hjelp.

Nettverkstrafikkanalyse

For å starte analysen, velg et nettverksgrensesnitt, for eksempel eth0 og klikk på knappen Start.

Etter dette vil følgende vindu åpnes, allerede med en strøm av pakker som passerer gjennom grensesnittet. Dette vinduet er også delt inn i flere deler:

  • Øverste del- dette er menyer og paneler med forskjellige knapper;
  • Liste over pakker- da vises flyten av nettverkspakker som du vil analysere;
  • Pakkeinnhold- rett under er innholdet i den valgte pakken, den er delt inn i kategorier avhengig av transportnivå;
  • Virkelig ytelse- helt nederst vises innholdet i pakken i ekte form, samt i HEX-form.

Du kan klikke på hvilken som helst pakke for å analysere innholdet:

Her ser vi en DNS-forespørselspakke for å få nettstedets IP-adresse, domenet sendes i selve forespørselen, og i svarpakken mottar vi spørsmålet vårt, samt svaret.

For mer praktisk visning kan du åpne pakken i et nytt vindu ved å dobbeltklikke på oppføringen:

Wireshark-filtre

Det er veldig upraktisk å manuelt sortere gjennom pakker for å finne de du trenger, spesielt med en aktiv tråd. Derfor er det bedre å bruke filtre for denne oppgaven. Det er en egen linje under menyen for å legge inn filtre. Du kan klikke på Uttrykk for å åpne filterdesigneren, men det er mange av dem, så vi skal se på de mest grunnleggende:

  • ip.dst- mål IP-adresse;
  • ip.src- avsenderens IP-adresse;
  • ip.addr- ip av avsender eller mottaker;
  • ip.proto- protokoll;
  • tcp.dstport- ankomsthavn;
  • tcp.srcport- senderport;
  • ip.ttl- TTL-filter, bestemmer nettverksavstanden;
  • http.request_uri- den forespurte nettstedets adresse.

For å spesifisere forholdet mellom et felt og en verdi i et filter, kan du bruke følgende operatorer:

  • == - er lik;
  • != - ikke lik;
  • < - mindre;
  • > - mer;
  • <= - mindre eller lik;
  • >= - mer eller lik;
  • fyrstikker- vanlig uttrykk;
  • inneholder- inneholder.

For å kombinere flere uttrykk kan du bruke:

  • && - begge uttrykkene må være sanne for pakken;
  • || – et av uttrykkene kan være sant.

La oss nå se nærmere på flere filtre ved å bruke eksempler og prøve å vurdere alle forholdstegnene.

Først, la oss filtrere alle pakker sendt til 194.67.215.125 (losst.ru). Skriv inn en streng i filterfeltet og klikk Søke om. For enkelhets skyld kan wireshark-filtre lagres ved å bruke knappen Lagre:

ip.dst == 194.67.215.125

Og for å motta ikke bare sendte pakker, men også de som er mottatt som svar fra denne noden, kan du kombinere to forhold:

ip.dst == 194.67.215.125 || ip.src == 194.67.215.125

Vi kan også velge overførte store filer:

http.content_length > 5000

Etter å ha filtrert innholdstypen, kan vi velge alle bildene som ble lastet ned, vi vil analysere wireshark-trafikken, pakker som inneholder ordbildet:

http.content_type inneholder bilde

For å tømme filteret kan du trykke på knappen Klar. Det hender at du ikke alltid vet all informasjonen som er nødvendig for filtrering, men bare vil utforske nettverket. Du kan legge til et hvilket som helst felt i en pakke som en kolonne og se innholdet i det generelle vinduet for hver pakke.

For eksempel vil jeg vise TTL (time to live) for en pakke som en kolonne. For å gjøre dette, åpne pakkeinformasjonen, finn dette feltet i IP-delen. Ring deretter opp kontekstmenyen og velg alternativet Bruk som kolonne:

Du kan også lage et filter selv basert på et hvilket som helst ønsket felt. Velg ønsket felt og kall opp kontekstmenyen, og klikk deretter Påfør som filter eller Forbered som filter, og velg deretter Valgt for å vise bare de valgte verdiene eller Ikke valgt for å fjerne dem:

Det angitte feltet og dets verdi vil bli brukt eller, i det andre tilfellet, satt inn i filterfeltet:

På denne måten kan du legge til et felt i en hvilken som helst pakke eller kolonne i filteret. Det er også dette alternativet i kontekstmenyen. For å filtrere protokoller kan du bruke enklere forhold. La oss for eksempel analysere Wireshark-trafikk for HTTP- og DNS-protokollene:

En annen interessant funksjon ved programmet er bruken av Wireshark for å spore en spesifikk økt mellom brukerens datamaskin og serveren. For å gjøre dette, åpne kontekstmenyen for pakken og velg Følg TCP-strømmen.

Da åpnes et vindu der du finner alle dataene som er overført mellom serveren og klienten:

Diagnostisere Wireshark-problemer

Du lurer kanskje på hvordan du bruker Wireshark 2 for å oppdage nettverksproblemer. For å gjøre dette er det en rund knapp i nedre venstre hjørne av vinduet; når du klikker på den, åpnes et vindu Expet-verktøy. I den samler Wireshark alle feilmeldinger og problemer på nettverket:

Vinduet er delt inn i faner som feil, advarsler, merknader, chatter. Programmet kan filtrere og finne mange nettverksproblemer og her kan du se dem veldig raskt. Wireshark-filtre støttes også her.

Wireshark trafikkanalyse

Du kan veldig enkelt forstå nøyaktig hva brukerne lastet ned og hvilke filer de så hvis tilkoblingen ikke var kryptert. Programmet gjør en veldig god jobb med å trekke ut innhold.

For å gjøre dette må du først stoppe trafikkregistrering ved å bruke den røde firkanten på panelet. Åpne deretter menyen Fil -> Eksporter objekter -> HTTP:

Dette er et veldig kraftig verktøy som har mange funksjoner. Det er umulig å sette all funksjonaliteten i én artikkel, men den grunnleggende informasjonen som er gitt her vil være nok til at du mestrer alt du trenger selv.

Programvare Wireshark er et ganske kjent og avansert verktøy for å overvåke nettverkstrafikk.

Programmet fungerer like riktig i mange operativsystemer, inkludert Windows, UNIX, Linux, Mac OS, Free BSD, Solaris, Open BSD, Net BSD, etc. Applikasjoner av denne typen i seg selv kalles noen ganger sniffere.

Dette programmet gjør det ganske enkelt å spore trafikk ved hjelp av en rekke nettverksprotokoller som DNS, FDDI, FTP, HTTP, ICQ, IPV6, IPX, IRC, MAPI, MOUNT, NETBIOS, NFS, NNTP, POP, PPP, TCP, TELNET , X25 osv. P.

For å bruke programmet mest mulig, tror jeg mange brukere ikke trenger å ha noen spesiell kunnskap. Men først ting først.

La oss starte med det faktum at de fleste lokale hjemme- eller kontornettverk er bygget på bruk av enheter som kalles huber eller konsentratorer.

Samtidig innebærer noen nettverk bruk av switcher eller rutere. Denne programvaren er designet spesielt for det første tilfellet, siden du i det andre tilfellet rett og slett ikke vil oppnå effektivitet.

Slik bruker du Wireshark

Så for å kjøre programmet trenger du tilgangsrettigheter av typen ROOT, fordi bare med slike rettigheter kan du få full tilgang til alle nettverksgrensesnitt. Selve programmet kan startes enten i normal modus eller fra kommandolinjen.

Etter dette kan du starte hovedapplikasjonen.

Etter å ha startet programmet, vil et vindu dukke opp der du må skrive inn brukernavn og passord med bekreftelse på tilgang.

Prosessen med å jobbe med programmet er ganske enkel.

For å begynne å fange nettverkspakker, trenger du bare å gå til hovedmenyen, nemlig Meny/Oppfangingsalternativer, og deretter velge ønsket grensesnitt i grensesnittfeltet og klikke på Start-knappen.

Det er alt.

Naturligvis kan du også bruke tilleggsinnstillingene som presenteres i dette vinduet.

For eksempel kan du bruke forsinkelsesalternativer, begrense pakker som har en viss størrelse som ikke kan overskrides under analyse. Men hvis du ikke er sikker på behovet for å bruke visse innstillinger, er det bedre å la alt være som det er.

Dette vil fungere best for mange brukere, siden standardinnstillingene presenteres på en slik måte at de gir den mest passende driftsmodusen for hvert nettverksgrensesnitt.

For å fullføre prosessen med å spore mottak og overføring av nettverkspakker, klikker du bare på Stopp-knappen, hvoretter skjermen vil vise fullstendig informasjon om prosessen, og visningen gjøres ved hjelp av en grafisk modus, noe som er ganske praktisk.

Stort sett kan rapportfilen på slutten av hele prosessen lagres for senere analyse eller behandling.

Det unike med dette programvareproduktet ligger også i det faktum at selv om det har sin egen protokoll, kan det imidlertid overvåke data ved å bruke andre protokoller enn den viktigste. Dette gjelder ikke bare utveksling av pakker innenfor selve det lokale nettverket, men brukes også til å kontrollere Internett-trafikk. Naturligvis er det et ganske fleksibelt system for å sortere de mottatte dataene og søke etter det nødvendige elementet. Det er nok bare å bruke disse funksjonene i rapportresultatene.

Egentlig er det ikke noe komplisert med det. Til slutt bemerker vi at opprettelsen av det grafiske grensesnittet bruker det universelle GTK+-biblioteket, som lar deg raskt og enkelt behandle inndata i mange formater.

Introduksjon

Det oppstår noen ganger problemer i driften av et datanettverk og nettverksstabelen med noder, hvis årsaker er vanskelige å oppdage av velkjente verktøy for innsamling av statistikk (som netstat) og standardapplikasjoner basert på ICMP-protokollen (ping, traceroute/ tracert, etc.). I slike tilfeller, for å diagnostisere problemer, er det ofte nødvendig å bruke mer spesifikke verktøy som lar deg vise (lytte til) nettverkstrafikk og analysere den på nivået av overføringsenheter for individuelle protokoller ( "snuser", snuser).

Nettverksprotokollanalysatorer eller "sniffer" er ekstremt nyttige verktøy for å studere oppførselen til nettverksnoder og identifisere nettverksproblemer. Selvfølgelig, som ethvert verktøy, for eksempel en skarp kniv, kan en sniffer være både en velsignelse i hendene på en systemadministrator eller informasjonssikkerhetsingeniør, og et kriminalitetsvåpen i hendene på en dataangriper.

Slik spesialisert programvare bruker vanligvis "promiskuøs" (promiscuos) driftsmodus for nettverksadapteren overvåke datamaskin (spesielt for å fange opp trafikk fra et nettverkssegment, bytteport eller ruter). Som du vet, er essensen av denne modusen å behandle alle rammer som kommer til grensesnittet, og ikke bare de som er bestemt for MAC-adressen til nettverkskortet og kringkastingen, som skjer i normal modus.

Produktet omtalt i denne artikkelen Wireshark er et velkjent verktøy for å fange opp og interaktivt analysere nettverkstrafikk, faktisk en standard innen industri og utdanning. TIL Viktige funksjoner i Wireshark kan inkludere: multi-plattform (Windows, Linux, Mac OS, FreeBSD, Solaris, etc.); evne til å analysere hundrevis av forskjellige protokoller; støtte for både grafisk driftsmodus og kommandolinjegrensesnitt (tshark-verktøy); kraftig trafikkfiltersystem; eksportere arbeidsresultater til XML, PostScript, CSV-formater, etc.

Et annet viktig faktum er at Wireshark er programvare med åpen kildekode. distribuert under GNU GPLv2-lisensen, dvs. du står fritt til å bruke dette produktet som du ønsker.

Installerer Wireshark

Den nyeste versjonen av Wireshark for Windows og OS X operativsystemer, samt kildekoden, er tilgjengelig last ned fra prosjektets nettside. For Linux-distribusjoner og BSD-systemer er dette produktet vanligvis tilgjengelig i standard eller ekstra repositories. Skjermbildene publisert i denne artikkelen er hentet fra versjon 1.6.2 av Wireshark for Windows. Tidligere versjoner av programmet, som finnes i repositoriene til Unix-lignende operativsystemer, kan også brukes med hell, siden Wireshark lenge har vært et stabilt og funksjonelt produkt.

Wireshark er basert på Pcap (Packet Capture)-biblioteket, som gir et applifor implementering av funksjoner på lavt nivå for interaksjon med nettverksgrensesnitt (spesielt avskjæring og generering av vilkårlige overføringsenheter av nettverksprotokoller og lokale nettverksprotokoller). Pcap-biblioteket er også grunnlaget for så velkjente nettverksverktøy som tcpdump, snort, nmap, kismet, etc. For Unix-lignende systemer er Pcap vanligvis til stede i standard programvarelagre. For Windows-familien av operativsystemer finnes det en versjon av Pcap kalt Winpcap. Du kan last ned fra prosjektets nettside. Dette er imidlertid vanligvis ikke nødvendig, siden Winpcap-biblioteket er inkludert i installasjonspakken for Wireshark for Windows.

Prosessen med å installere programmet er ikke vanskelig for noe operativsystem, selvfølgelig justert for spesifikasjonene til plattformen du bruker. For eksempel er Wireshark på Debian/Ubuntu installert slik at uprivilegerte brukere som standard ikke har rett til å avskjære pakker, så programmet må startes ved å bruke sudo-bruker-ID-mekanismen (eller utføre de nødvendige manipulasjonene i henhold til dokumentasjonen til standarden DEB-pakken).

Grunnleggende om å jobbe med Wireshark

Wiresharks brukergrensesnitt er bygget på toppen av GTK+-biblioteket(GIMP Toolkit). Hovedprogramvinduet inneholder følgende elementer: meny, verktøylinjer og visningsfiltre, en liste over pakker, en detaljert beskrivelse av den valgte pakken, visning av pakkebyte (i heksadesimal og tekst) og en statuslinje:

Det skal bemerkes at brukergrensesnittet til programmet er godt designet, ganske ergonomisk og ganske intuitivt, noe som lar brukeren konsentrere seg om å studere nettverksprosesser uten å bli distrahert av bagateller. I tillegg er alle funksjonene og detaljene ved bruk av Wireshark beskrevet i detalj i brukermanual. Derfor fokuserer denne artikkelen på funksjonaliteten til det aktuelle produktet, dets funksjoner sammenlignet med andre sniffere, for eksempel med det velkjente konsollverktøyet tcpdump.

Så Wiresharks ergonomi gjenspeiler en flerlags tilnærming til å tilby nettverksinteraksjoner. Alt gjøres på en slik måte at brukeren ved å velge en nettverkspakke fra listen har mulighet til å se alle overskriftene (lagene), samt feltverdiene til hvert lag i nettverkspakken, fra kl. innpakningen - Ethernet-rammen, selve IP-headeren, transportlag-headeren og applikasjonsdataprotokollen som finnes i pakken.

Rådataene for prosessering kan hentes av Wireshark i sanntid eller importeres fra en nettverkstrafikkdumpfil, og flere dumper for analyseoppgaver kan kombineres til én på farten.

Problemet med å finne de nødvendige pakkene i store mengder avlyttet trafikk er løst to typer filtre: trafikkinnsamling (fangstfiltre) og ham vise filtre. Wireshark-samlingsfiltre er basert på Pcap-bibliotekets filterspråk, dvs. Syntaksen i dette tilfellet ligner syntaksen til tcpdump-verktøyet. Et filter er en serie primitiver kombinert, om nødvendig, med logiske funksjoner (og, eller, ikke). Ofte brukte filtre kan lagres i profil for gjenbruk.

Figuren viser profilen til Wireshark samlingsfiltre:

Wireshark nettverkspakkeanalysator har også sin egen enkle, men funksjonsrik vis filterspråk. Verdien av hvert felt i pakkehodet kan brukes som filtreringskriterier(for eksempel er ip.src kildens IP-adresse i nettverkspakken, frame.len er lengden på Ethernet-rammen osv.). Ved å bruke sammenligningsoperasjoner kan feltverdier sammenlignes med spesifiserte verdier(for eksempel frame.len og kombiner flere uttrykk med logiske operatorer (for eksempel: ip.src==10.0.0.5 og tcp.flags.fin). En god hjelper i prosessen med å konstruere uttrykk er vindu for å sette opp visningsregler (filteruttrykk):

Nettverkspakkeanalyseverktøy

Mens tilkoblingsfrie protokoller kan studeres ved ganske enkelt å se på individuelle pakker og beregne statistikk, er det å studere driften av tilkoblingsorienterte protokoller sterkt forenklet ved tilgjengeligheten av tilleggsmuligheter for å analysere fremdriften til nettverksinteraksjoner.

En av de nyttige funksjonene til Wireshark er "Følg TCP Stream"(bokstavelig talt "Følg TCP-strøm") analyseundermeny "Analyser", som lar deg trekke ut applikasjonsprotokolldata fra TCP-segmentene til strømmen som den valgte pakken tilhører:

Et annet interessant element i analyseundermenyen er "Ekspertinformasjon sammensatt", som åpner et vindu i det innebygde Wireshark-ekspertsystemet, som vil prøve å oppdage feil og kommentarer i pakker, automatisk velge individuelle tilkoblinger fra dumpen og karakterisere dem. Denne modulen er under utvikling og blir forbedret fra versjon til versjon av programmet.

I statistikk-undermenyen "Statistikk" Det er samlet inn alternativer som lar deg beregne alle slags statistiske egenskaper for trafikken som studeres, bygge grafer over intensiteten til nettverksstrømmer, analysere responstiden til tjenester, etc. Ja, poeng "Protokollhierarki" viser statistikk i form av en hierarkisk liste over protokoller som indikerer prosentandelen av total trafikk, antall pakker og byte som sendes av en gitt protokoll.

Funksjon "Endepunkt" gir statistikk på flere nivåer over innkommende/utgående trafikk for hver node. Avsnitt "Samtaler"(bokstavelig talt "samtaler") lar deg bestemme trafikkvolumene til forskjellige protokoller (lenke-, nettverks- og transportlag i den åpne systemsammenkoblingsmodellen) som overføres mellom noder som samhandler med hverandre. Funksjon "Pakkelengder" viser distribusjonen av pakker etter deres lengde.

Avsnitt "Flytdiagram..." representerer pakkestrømmer grafisk. I dette tilfellet, når du velger et element på diagrammet, blir den tilsvarende pakken i listen i hovedprogramvinduet aktiv:

En egen undermeny i de nyeste versjonene av Wireshark er dedikert til IP-telefoni. I undermenyen "Verktøy" er det et element "Brannmur ACL-regler", vil prøve å lage en brannmurregel for den valgte pakken (versjon 1.6.x støtter Cisco IOS, IP Filter, IPFirewall, Netfilter, Packet Filter og Windows Firewall-formater).

Programmet har også en innebygd lettvektstolk Lua programmeringsspråk. Ved å bruke Lua kan du lage dine egne protokolldekodere og hendelsesbehandlere i Wireshark.

I stedet for en konklusjon

Wireshark-nettverkspakkeanalysatoren er et eksempel på et Opensource-produkt som er vellykket både innenfor Unix/Linux-plattformen og populært blant brukere av Windows og Mac OS X. I tillegg til Wireshark finnes det selvfølgelig tunge, omfattende intelligente løsninger på feltet av nettverkstrafikkforskning, hvis funksjonalitet er mye bredere. Men for det første koster de mye penger, og for det andre er de vanskelige å lære og drive; for det tredje må du forstå at ikke alt kan automatiseres og ingen ekspertsystem kan erstatte en god spesialist. Så hvis du står overfor oppgaver som krever analyse av nettverkstrafikk, er Wireshark verktøyet for deg. Og fans av kommandolinjen kan bruke verktøyet tshark - konsollversjon av Wireshark.

Noen ganger når du bruker Internett, oppstår det situasjoner der trafikklekkasjer eller uventet forbruk av systemressurser oppstår. For raskt å analysere og oppdage kilden til problemet, brukes spesielle nettverksverktøy. En av dem, WireShark, vil bli diskutert i artikkelen.

generell informasjon

Før du bruker WireShark, må du gjøre deg kjent med omfanget, funksjonaliteten og mulighetene. Kort sagt: programmet lar deg fange opp pakker i sanntid i kablede og trådløse nettverkstilkoblinger. Brukes i Ethernet, IEEE 802.11, PPP og lignende protokoller. Du kan også bruke VoIP-trafikkavlytting.

Programmet distribueres under GNU GPL-lisensen, som betyr at det er gratis og åpen kildekode. Du kan kjøre den på mange Linux-distribusjoner, MacOS, og det er også en versjon for Windows-operativsystemet.

Hvordan bruker jeg WireShark?

For det første bør du først installere det på systemet. Siden en av de mest brukte Linux-distribusjonene er Ubuntu, vil alle eksempler vises i den.

For å installere, skriv bare inn kommandoen i konsollen:

sudo apt-get install wireshark

Etter dette vil programmet vises i hovedmenyen. Du kan starte den derfra. Men det er bedre å gjøre dette fra terminalen, siden hun trenger superbrukerrettigheter. Dette kan gjøres slik:

Utseende

Programmet har et praktisk grafisk grensesnitt. Brukeren vil se et vennlig vindu delt inn i 3 deler. Den første er direkte relatert til fangst, den andre er relatert til å åpne filer og prøver, og den tredje er hjelp og støtte.

Capture-blokken inneholder en liste over nettverksgrensesnitt som er tilgjengelige for fangst. Når du velger for eksempel eth0 og klikker på Start-knappen, starter avlyttingsprosessen.

Vinduet med avlyttede data er også logisk delt inn i flere deler. På toppen er det et kontrollpanel med ulike elementer. Følgende er en liste over pakker. Den presenteres i form av en tabell. Her kan du se sekvensnummeret til pakken, tidspunktet den ble snappet opp, avsender- og mottaksadressen. Du kan også fjerne data om protokollene som brukes, lengde og annen nyttig informasjon.

Under listen er et vindu med innholdet i de tekniske dataene til den valgte pakken. Og enda lavere er det en skjerm i heksadesimal form.

Hver visning kan utvides til et større vindu for enklere lesing av dataene.

Bruk av filtre

Mens programmet kjører, vil dusinvis eller til og med hundrevis av pakker alltid passere foran brukeren. Å luke dem ut manuelt er ganske vanskelig og tidkrevende. Derfor anbefaler de offisielle WireShark-instruksjonene å bruke filtre.

Det er et spesialfelt for dem i programvinduet - Filter. For å konfigurere filteret mer nøyaktig, er det en Expression-knapp.

Men i de fleste tilfeller vil et standard sett med filtre være tilstrekkelig:

  • ip.dst — pakkedestinasjons-ip-adresse;
  • ip.src — avsenderadresse;
  • ip.addr - bare hvilken som helst ip;
  • ip.proto - protokoll.

Bruk av filtre i WireShark - instruksjoner

For å prøve hvordan programmet fungerer med filtre, må du angi en bestemt kommando. For eksempel vil et slikt sett - ip.dst == 172.217.23.131 - vise alle flygende pakker til Google-nettstedet. For å se all trafikk - både innkommende og utgående - kan du kombinere to formler - ip.dst == 172.217.23.131 || ip.src == 172.217.23.131. Dermed viste det seg å bruke to forhold på en linje på en gang.

Du kan bruke andre betingelser, for eksempel ip.ttl< 10. Данная команда выведет все пакеты с длительностью жизни меньше 10. Чтобы выбрать данные по их размеру, можно применить такой подход — http.content_length > 5000.

Tilleggsfunksjoner

For enkelhets skyld har WireShark en måte å raskt velge pakkeparametere som feltet som skal analyseres. I et felt med tekniske data kan du for eksempel høyreklikke på ønsket objekt og velge Bruk som kolonne. Hva betyr det å overføre det til feltområdet som en kolonne.

På samme måte kan du velge hvilken som helst parameter som et filter. For å gjøre dette, er det et Bruk som filter-element i kontekstmenyen.

Egen økt

Du kan bruke WireShark som en monitor mellom to nettverksnoder, for eksempel en bruker og en server. For å gjøre dette, velg pakken du er interessert i, åpne kontekstmenyen og klikk Følg TCP-strøm. Et nytt vindu vil vise hele loggen for utvekslingen mellom de to nodene.

Diagnostikk

WireShark har et eget verktøy for å analysere nettverksproblemer. Det kalles Expert Tools. Du finner den i nedre venstre hjørne, i form av et rundt ikon. Ved å klikke på det åpnes et nytt vindu med flere faner - Feil, Advarsler og andre. Med deres hjelp kan du analysere hvilke noder feil oppstår, pakker ikke kommer, og oppdage andre problemer med nettverket.

Stemmetrafikk

Som allerede nevnt, kan WireShark også avskjære taletrafikk. En hel Telefoni-meny er dedikert til dette. Dette kan brukes til å finne problemer i VoIP og fikse dem raskt.

VoIP-anrop-elementet i Telefoni-menyen lar deg se fullførte anrop og lytte til dem.

Eksporterer objekter

Dette er sannsynligvis den mest interessante funksjonaliteten til programmet. Den lar deg bruke WireShark som en interceptor av filer som overføres over nettverket. For å gjøre dette, må du stoppe avlyttingsprosessen og eksportere HTTP-objekter til Fil-menyen. Vinduet som åpnes vil vise en liste over alle filer som er overført under økten, som kan lagres på et passende sted.

Endelig

Dessverre vil det være vanskelig å finne den nåværende versjonen av WireShark på russisk på Internett. Den mest tilgjengelige og mest brukte er på engelsk.

Det samme gjelder med detaljerte instruksjoner for WireShark på russisk. Den offisielle fra utvikleren presenteres på engelsk. Det er mange korte, korte WireShark-veiledninger på nettet for nybegynnere.

Men for de som har jobbet i IT-feltet lenge, vil det ikke by på noen spesielle vanskeligheter å forstå programmet. Og store muligheter og rik funksjonalitet vil lyse opp alle vanskelighetene med å lære.

Det er verdt å merke seg at i noen land kan det være ulovlig å bruke en sniffer som WireShark.