Wireshark ir bezmaksas programma, kas ļauj uzņemt un apskatīt datus, kas ceļo uz priekšu un atpakaļ jūsu tīklā, nodrošinot iespēju drukāt un lasīt katra iepakojuma saturu, kas filtrēts atbilstoši jūsu īpašajām vajadzībām. Tas parasti tiek izmantots, lai novērstu tīkla problēmas, kā arī izstrādātu un pārbaudītu programmatūru. Šis atvērtā pirmkoda protokola analizators ir plaši atzīts par nozares standartu, kas gadu gaitā ir laimējis godīgu godalgu.
Sākotnēji pazīstams kā Ethereal, Wireshark piedāvā lietotājam draudzīgu saskarni, kas var parādīt datus no simtiem dažādu protokolu visos galvenajos tīkla veidos. Šos datu paketes var aplūkot reāllaikā vai analizēt bezsaistē, izmantojot desmitiem atbalstīto uzņemšanas / izsekošanas failu formātu, tostarp KLP un ERF . Integrētie atšifrēšanas rīki ļauj jums skatīt šifrētus pakotnes vairākiem populāriem protokoliem, piemēram, WEP un WPA / WPA2 .
01 no 07
Wireshark lejupielāde un instalēšana
Wireshark bez maksas var lejupielādēt Wireshark Foundation vietnē gan MacOS, gan Windows operētājsistēmām. Ja vien jūs neesat pieredzējis lietotājs, ieteicams lejupielādēt tikai jaunāko stabilu versiju. Uzstādīšanas procesa laikā (tikai operētājsistēmā Windows) jums vajadzētu izvēlēties arī instalēt WinPcap, ja tas tiek piedāvāts, jo tajā ir iekļauta bibliotēka, kas nepieciešama datu iegūšanai tiešsaistē.
Pieteikums ir pieejams arī Linux un lielākajai daļai citu UNIX līdzīgu platformu, tostarp Red Hat , Solaris un FreeBSD. Šīm operētājsistēmām nepieciešamo bināros failus var atrast lejupielādes lapas apakšdaļā sadaļā Trešo personu pakotnes.
Varat arī lejupielādēt Wireshark pirmkodu no šīs lapas.
02 no 07
Kā uzņemt datu pakas
Kad pirmo reizi palaižat Wireshark, ir jābūt redzamam uzņemšanas ekrānam, kas līdzīgs iepriekš redzamajam, kurā ir pieejamās tīkla savienojumu saraksts jūsu pašreizējā ierīcē. Šajā piemērā jūs pamanīsit, ka tiek parādīti šādi savienojuma veidi: Bluetooth tīkla savienojums , Ethernet , VirtualBox resursdatora tīkls , Wi-Fi . Parādīti katra labajā pusē ir EKG stila līnijas diagramma, kas atspoguļo tiešo datplūsmu attiecīgajā tīklā.
Lai sāktu paketu sagūstīšanu, vispirms izvēlieties vienu vai vairākus no šiem tīkliem, noklikšķinot uz izvēles (-iem) un izmantojot Shift vai Ctrl taustiņus, ja vēlaties vienlaicīgi ierakstīt datus no vairākiem tīkliem. Kad uzņemšanas nolūkā ir atlasīts savienojuma veids, tā fons būs nokrāsots vai nu zilā, vai pelēkā krāsā. Noklikšķiniet uz Capture no galvenās izvēlnes, kas atrodas Wireshark saskarnes augšpusē. Kad parādās nolaižamā izvēlne, atlasiet opciju Sākt .
Varat arī uzsākt pakešu uzņemšanu, izmantojot vienu no šiem īsceļiem.
- Tastatūra: nospiediet Ctrl + E
- Pele: lai sāktu fiksēt paketes no viena konkrēta tīkla, vienkārši veiciet dubultklikšķi uz tās nosaukuma
- Rīkjosla: noklikšķiniet uz zilās haizivju spuras pogas, kas atrodas Wireshark rīkjoslas tālu kreisajā pusē
Tagad sāksies tiešraides uztveršanas process, kad Wireshark logā būs redzamas pakešdetaļas, jo tās ir ierakstītas. Lai pārtrauktu uzņemšanu, veiciet vienu no tālāk norādītajām darbībām.
- Tastatūra: nospiediet Ctrl + E
- Rīkjosla: noklikšķiniet uz sarkanās pieturas pogas, kas atrodas blakus Wireshark rīkjoslā pie haizivju spuras
03 no 07
Paketes satura apskate un analīze
Tagad, kad esat ierakstījis dažus tīkla datus, ir pienācis laiks apskatīt notvertos paketus. Kā redzams iepriekš attēlotā ekrānuzņēmumā, uztverto datu saskarne sastāv no trim galvenajām sadaļām: pakešu saraksta rūts, pakešu datu rūts un pakešu baižu rūts.
Pakešu saraksts
Pakešu saraksta rūts, kas atrodas loga augšdaļā, parāda visus paketes, kas atrodamas aktīvajā uztveršanas failā. Katram iepakojumam ir sava rinda un tam piešķirtais numurs, kā arī katrs no šiem datu punktiem.
- Laiks: šajā slejā tiek parādīts laiks , kad tika uzņemts paketējums, un noklusējuma formāts ir sekundes (vai daĜējas sekundes), jo šis īpašais uztveršanas fails tika izveidots. Lai mainītu šo formātu uz kaut ko, kas varētu būt nedaudz noderīgāks, piemēram, faktisko dienas laiku, izvēlieties opciju Laika displeja formāts no Wireshark izvēlnes Skats, kas atrodas galvenā saskarnes augšdaļā.
- Avots: šajā slejā ir norādīta adrese (IP vai cita), no kuras tika izveidots pakete.
- Galamērķis: šajā slejā ir norādīta adrese, uz kuru tiek nosūtīts paketējums.
- Protokols: šajā slejā var atrast paketes protokola nosaukumu (ti, TCP).
- Garums: šajā slejā tiek parādīts pakešu garums baitos.
- Info: Papildinformācija par paketi tiek parādīta šeit. Šīs slejas saturs var ievērojami atšķirties atkarībā no pakešu satura.
Ja augšējā panelī tiek izvēlēts pakete, pirmajā slejā var parādīties viens vai vairāki simboli. Atvērtas un / vai aizvērtas skavas, kā arī taisna horizontāla līnija, var norādīt, vai pakete vai pakešu grupa ir daļa no vienas un tās pašas atkārtotās sarunas tīklā. Izkliedēta horizontālā līnija norāda, ka pakete nav daļa no sarunas.
Pakešu dati
Sīkāka informācija, kas atrodama vidū, parāda izvēlēto pakešu protokolus un protokola laukus saliekamā formātā. Papildus katras atlases paplašināšanai jūs varat arī pielietot atsevišķus Wireshark filtrus, pamatojoties uz konkrētām detaļām, kā arī sekot datu plūsmām, pamatojoties uz protokola veidu, izmantojot detaļu konteksta izvēlni, kas pieejama ar peles labo pogu noklikšķinot uz vajadzīgās vienuma šajā rūtī.
Packet Bytes
Apakšā ir pakešu baižu rūts, kas parāda neapstrādāto datu par izvēlēto paketi heksadecimālā skatījumā. Šajā heksadumpā ir 16 heksadecimālie baiti un 16 ASCII baiti kopā ar datu nobīdi.
Izvēloties konkrētu šo datu daļu, tiek automātiski parādīta tā atbilstošā sadaļa pakešu datu rūtī un otrādi. Nevienu bitu, kuru nevar izdrukāt, vietā tiek attēlots periods.
Varat izvēlēties rādīt šos datus bitu formātā, nevis heksadecimālo, ar peles labo pogu noklikšķinot jebkurā rūtī un konteksta izvēlnē atlasot attiecīgo opciju.
04 no 07
Wireshark filtru izmantošana
Viens no vissvarīgākajiem Wireshark funkciju komplektiem ir tā filtra iespējas, it īpaši, ja runa ir par failiem, kas ir ievērojami lieli. Uzņemšanas filtri var iestatīt pirms fakta, uzdodot Wireshark ierakstīt tikai tos iepakojumus, kas atbilst jūsu noteiktajiem kritērijiem.
Filtri var tikt pielietoti jau uzkrātajam uzņemšanas failam, lai parādītu tikai noteiktus pakotnes. Tie tiek minēti kā displeja filtri.
Pēc noklusējuma Wireshark nodrošina lielu skaitu iepriekš noteiktu filtru, ļaujot jums sašaurināt redzamo pakešu skaitu ar dažiem taustiņu vai peles klikšķiem. Lai izmantotu vienu no šiem esošajiem filtriem, ievietojiet tā nosaukumu lodziņā Lietot displeja filtra ierakstu (kas atrodas tieši zem Wireshark rīkjoslas) vai ievades ierakstu filtra ievades laukā (atrodas solīšanas ekrāna centrā).
Lai to sasniegtu, ir vairāki veidi. Ja jūs jau zināt sava filtra nosaukumu, vienkārši ierakstiet to attiecīgajā laukā. Piemēram, ja jūs tikai gribētu parādīt TCP paketes, kuru vēlaties ierakstīt tcp . Wireshark automātiskās pabeigšanas funkcija parādīs ieteiktos vārdus, kad sākat rakstīt, tādējādi atviegloot pareizo meklētāja filtru.
Vēl viens veids, kā izvēlēties filtru, ir noklikšķināt uz grāmatzīmju tipa ikonas, kas atrodas ieraksta lauka kreisajā pusē. Tas parādīs izvēlni, kurā ir daži no visbiežāk izmantotiem filtriem, kā arī iespēja pārvaldīt filtru uzņemšanu vai pārvaldīt attēla filtrus . Ja izvēlaties pārvaldīt kādu no veidiem, tiks parādīts interfeiss, kas ļauj filtrus pievienot, noņemt vai rediģēt.
Varat arī piekļūt iepriekš izmantotajiem filtriem, atlasot lejupvērsto bultiņu, kas atrodas ieraksta lauka labajā pusē, kurā tiek parādīts nolaižamais saraksts vēsturē.
Pēc iestatīšanas uzņemšanas filtri tiks piemēroti, tiklīdz sākat ierakstīt tīkla trafiku. Tomēr, lai izmantotu displeja filtru, jums būs jānoklikšķina uz labās bultiņas pogas, kas atrodas ievades lauka labajā pusē.
05 no 07
Krāsošanas noteikumi
Kaut arī Wireshark uztveršanas un rādīšanas filtri ļauj ierobežot, kuras paketes tiek ierakstītas vai parādītas ekrānā, tā krāsošanas funkcionalitāte padara lietas vēl tālāk, padarot viegli atšķirt dažādus pakešu tipus, pamatojoties uz to individuālo nokrāsu. Šī ērta funkcija ļauj ātri atrast noteiktus paketus saglabātajā komplektā to rindu krāsu shēmā pakešu saraksta rūtī.
Wireshark nāk ar aptuveni 20 noklusējuma krāsu noteikumi iebūvēti; katru no kuriem var rediģēt, atspējot vai dzēst, ja vēlaties. Izmantojot krāsu noteikumu interfeisu, varat arī pievienot jaunus ēnojumu filtrus, kas pieejami no izvēlnes Skats . Papildus katra noteikuma nosaukuma un filtra kritēriju noteikšanai jums tiek lūgts saistīt gan fona krāsu, gan teksta krāsu.
Pakešu krāsojumu var pārslēgt un ieslēgt, izmantojot opciju Colorize Packet List , kas atrodama arī izvēlnē View .
06 no 07
Statistika
Papildus detalizētai informācijai par tīkla datiem, kas tiek rādīti Wireshark galvenajā logā, statistikas nolaižamajā izvēlnē, kas atrodas ekrāna augšdaļā, ir pieejamas vairākas citas noderīgas metrikas. Tie ietver izmēru un laika informāciju par pašu uztveršanas failu, kā arī desmitiem diagrammu un grafiku, kas ietilpst tēmā no pakešu sarunu sadalījuma, lai ielādētu HTTP pieprasījumu sadalījumu.
Attēlu filtrus var izmantot daudziem no šiem statistikas datiem, izmantojot atsevišķas saskarnes, un rezultātus var eksportēt uz vairākiem parastajiem failu formātiem, tostarp CSV , XML un TXT.
07 no 07
Papildiespējas
Lai gan šajā rakstā ir ietverta lielākā daļa Wireshark galveno funkcionalitātes, šajā spēcīgajā rīkā ir pieejama arī papildu funkciju kolekcija, kas parasti ir rezervēta pieredzējušiem lietotājiem. Tas ietver spēju rakstīt savus protokola diski Lua programmēšanas valodā.
Plašāku informāciju par šīm uzlabotajām funkcijām skatiet Wireshark oficiālajā lietotāja rokasgrāmatā.