Wireshark je bezplatná aplikace, která umožňuje zaznamenávat a prohlížet data, která se pohybují v rámci vaší sítě a poskytují tak možnost prohledávat a číst obsah každého paketu - filtrovaný tak, aby vyhovoval vašim specifickým potřebám. To se běžně používá k řešení problémů se sítí, stejně jako k vývoji a testování softwaru. Tento analyzátor protokolů s otevřeným zdrojovým kódem je obecně uznáván jako průmyslový standard a v průběhu let získal svůj spravedlivý podíl na ocenění.
Původně známý jako Ethereal, Wireshark nabízí uživatelsky přívětivé rozhraní, které umožňuje zobrazit data ze stovek různých protokolů na všech hlavních typech sítí. Tyto datové pakety lze prohlížet v reálném čase nebo analyzovat offline, s podporou desítek formátů souborů zachycení / trasování včetně CAP a ERF . Integrované dešifrovací nástroje umožňují prohlížet šifrované pakety pro několik populárních protokolů, jako WEP a WPA / WPA2 .
01 z 07
Stažení a instalace Wireshark
Wireshark lze bezplatně stáhnout z webové stránky Wireshark Foundation pro operační systémy Mac OS a Windows. Pokud nejste pokročilý uživatel, doporučujeme stahovat pouze nejnovější stabilní verzi. Během procesu instalace (pouze systém Windows) byste měli zvolit i instalaci programu WinPcap, pokud se zobrazí výzva, protože obsahuje knihovnu potřebnou pro živé sběr dat.
Aplikace je k dispozici také pro Linux a většinu dalších platform UNIX, včetně Red Hat , Solaris a FreeBSD. Binární soubory potřebné pro tyto operační systémy naleznete v dolní části stránky pro stahování v části Balíčky třetích stran.
Můžete také stáhnout zdrojový kód Wireshark z této stránky.
02 z 07
Jak zachytit datové pakety
Při prvním spuštění aplikace Wireshark by měla být viditelná uvítací obrazovka podobná té, která je uvedena výše a obsahuje seznam dostupných síťových připojení na vašem aktuálním zařízení. V tomto příkladu zjistíte, že jsou zobrazeny následující typy připojení: Síťové připojení Bluetooth , Ethernet , Síť hostitelské sítě VirtualBox , Wi-Fi . Zobrazená napravo od každého je lineární graf ve stylu EKG, který představuje živou komunikaci v příslušné síti.
Chcete-li zahájit zachycování paketů, nejprve vyberte jednu nebo více těchto sítí kliknutím na volbu (y) a pomocí kláves Shift nebo Ctrl, chcete-li současně zaznamenávat data z více sítí. Jakmile je pro účely zachycení zvolen typ připojení, pozadí bude stínováno buď modře nebo šedě. Klikněte na tlačítko Zachytit z hlavní nabídky umístěné směrem k horní části rozhraní Wireshark. Když se zobrazí rozevírací nabídka, vyberte možnost Zahájit .
Můžete také iniciovat zachycování paketů pomocí jedné z následujících zkratek.
- Klávesnice: Stiskněte klávesy Ctrl + E
- Myš: Chcete-li začít zachycovat pakety z jedné konkrétní sítě, jednoduše poklepejte na její název
- Panel nástrojů: Klikněte na tlačítko modrého žraloka, které se nachází na úplné levé straně panelu nástrojů Wireshark
Bude zahájen proces živého zachycení, přičemž v okně Wireshark budou v okamžiku zaznamenávání zobrazeny podrobnosti o paketu. Pro zastavení zachycení proveďte jednu z níže uvedených akcí.
- Klávesnice: Stiskněte klávesy Ctrl + E
- Panel nástrojů: Klikněte na červené tlačítko zastavení, které se nachází vedle žraločích ploutví na panelu nástrojů Wireshark
03 ze dne 07
Zobrazení a analýza obsahu paketu
Nyní, když jste zaznamenali některé síťové údaje, je čas podívat se na zachycené pakety. Jak je vidět na snímku nahoře, zachycené datové rozhraní obsahuje tři hlavní části: Podokno seznamu paketů, podokno podrobností paketů a podokno paketů paketů.
Seznam paketů
Podokno seznamu paketů umístěné v horní části okna zobrazuje všechny pakety nalezené v aktivním souboru pro zachycení. Každý paket má společně s každým z těchto datových bodů svůj vlastní řádek a odpovídající číslo.
- Čas: Časové razítko, kdy byl paket zachycen, je zobrazen v tomto sloupci, přičemž výchozí formát je počet sekund (nebo částečných sekund) od doby, kdy byl tento soubor vytvořen nejprve. Chcete-li změnit tento formát na něco, co může být trochu užitečnější, jako je skutečný denní čas, vyberte volbu Formát zobrazení času z nabídky Zobrazení Wireshark - umístěného v horní části hlavního rozhraní.
- Zdroj: Tento sloupec obsahuje adresu (IP nebo jiné), odkud vznikl paket.
- Cíl: Tento sloupec obsahuje adresu, na kterou je paket odesílán.
- Protokol: Název protokolu paketu (tj. Protokol TCP) naleznete v tomto sloupci.
- Délka: V tomto sloupci se zobrazí délka paketu v bajtech.
- Info: Další informace o balíčku naleznete zde. Obsah tohoto sloupce se může značně lišit v závislosti na obsahu paketu.
Když je v horním podokně vybrán paket, může se v prvním sloupci objevit jeden nebo více symbolů. Otevřené a / nebo uzavřené závorky, stejně jako přímá vodorovná čára, mohou znamenat, zda je paket nebo skupina paketů součástí nebo není součástí téže konverzace v síti. Zlomená horizontální čára znamená, že paket není částí konverzace.
Podrobnosti o paketu
Tabulka podrobností, která se nachází uprostřed, obsahuje protokoly a protokolová pole vybraného paketu ve skládaném formátu. Kromě rozšíření jednotlivých výběrů můžete také použít jednotlivé filtry Wireshark založené na konkrétních podrobnostech, stejně jako sledovat toky dat založené na typu protokolu prostřednictvím kontextové nabídky podrobností - přístupné kliknutím pravým tlačítkem myši na požadovanou položku v tomto podokně.
Pakety bajtů
V dolní části je podokno paketů paketů, které zobrazuje surové data vybraného paketu v hexadecimálním zobrazení. Tento hexadecimální výpis obsahuje 16 hexadecimálních bajtů a 16 bitů ASCII vedle posunu dat.
Výběr určité části těchto dat automaticky zvýrazní příslušnou sekci v podokně podrobností o paketu a naopak. Jakékoli bity, které nelze vytisknout, jsou místo toho reprezentovány periodou.
Můžete se rozhodnout, že tato data budou zobrazena ve formátu bitů na rozdíl od hexadecimálních po kliknutí pravým tlačítkem na libovolné místo v podokně a výběrem příslušné volby z místní nabídky.
04 z 07
Použití filtrů Wireshark
Jedním z nejdůležitějších sad funkcí v síti Wireshark je jeho schopnost filtrování, zvláště pokud se jedná o soubory s významnou velikostí. Filtry pro zachycení lze nastavit předtím, než uvědomíte, že Wireshark zaznamená pouze ty pakety, které splňují zadaná kritéria.
Filtry lze také použít na soubor pro zachycení, který již byl vytvořen, takže jsou zobrazeny pouze určité pakety. Tyto filtry jsou označovány jako filtry zobrazení.
Wireshark ve výchozím nastavení poskytuje velké množství předdefinovaných filtrů, což vám umožní zúžit počet viditelných paketů pomocí několika stisknutí kláves nebo kliknutí myší. Chcete-li použít jeden z těchto existujících filtrů, umístěte jeho jméno do pole pro zadání filtru Aplikovat (umístěné přímo pod lištem nástrojů Wireshark) nebo do pole Zadat pořizovací filtr (umístěné uprostřed uvítací obrazovky).
Existuje několik způsobů, jak to dosáhnout. Pokud znáte název filtru, jednoduše jej zadejte do příslušného pole. Například pokud chcete zobrazit pouze pakety TCP, zadejte tcp . Funkce automatického dokončování Wiresharku vám ukáže navrhovaná jména, jakmile začnete psát, což usnadňuje nalezení správného pojmenování pro požadovaný filtr.
Dalším způsobem, jak zvolit filtr, je kliknout na záložku podobnou ikonu umístěnou na levé straně vstupního pole. Zobrazí se nabídka obsahující nejčastěji používané filtry a možnost Správa filtrů pro zachycení nebo Správa filtrů zobrazení . Pokud se rozhodnete spravovat jeden z typů, zobrazí se rozhraní umožňující přidat, odstranit nebo upravit filtry.
Můžete také přistupovat k dříve používaným filtrám výběrem šipky dolů umístěné na pravé straně vstupního pole, které zobrazuje rozbalovací seznam historie.
Po nastavení, budou filmy zachyceny, jakmile začnete zaznamenávat síťový provoz. Chcete-li však použít filtr zobrazení, budete muset kliknout na tlačítko se šipkou vpravo na pravé straně vstupního pole.
05 z 07
Pravidla pro barvení
Zatímco filtry Wireshark pro zachycení a zobrazení umožňují omezit, které pakety jsou zaznamenávány nebo zobrazovány na obrazovce, její funkce pro zbarvení přebírají věci o krok dále tím, že usnadňují rozlišení mezi různými typy paketů na základě jejich individuálního odstínu. Tato praktická funkce umožňuje rychle vyhledat určité pakety v uložené sadě podle barevného schématu řádku v podokně seznamu paketů.
Wireshark je vybaven asi 20 standardními barvicími pravidly; každý, který lze upravit, zakázat nebo smazat, pokud si přejete. Můžete také přidat nové filtry založené na odstínech pomocí rozhraní barevných pravidel, která je dostupná z nabídky Zobrazit . Kromě definování kritéria názvů a filtrů pro každé pravidlo se také žádáte, abyste přidali barvu pozadí i barvu textu.
Obarvení paketů lze vypnout a zapnout prostřednictvím možnosti Colorize Packet List , která se také nachází v nabídce Zobrazit .
06 z 07
Statistika
Kromě detailních informací o datách sítě, která jsou zobrazena v hlavním okně služby Wireshark, je v rozbalovací nabídce Statistika k horní části obrazovky k dispozici několik dalších užitečných metrik. Mezi ně patří informace o velikosti a časování samotného souboru pro zachycení, spolu s desítkami grafů a grafů v tématu od členění rozhovorů paketů až po rozložení požadavků HTTP.
Displeje filtrů lze použít pro mnoho z těchto statistik prostřednictvím jejich jednotlivých rozhraní a výsledky lze exportovat do několika běžných formátů souborů včetně CSV , XML a TXT.
07 z 07
Pokročilé funkce
Ačkoli jsme v tomto článku pokryli většinu hlavních funkcí Wireshark, je v tomto výkonném nástroji k dispozici i další funkce, které jsou zpravidla vyhrazeny pro pokročilé uživatele. To zahrnuje schopnost psát vlastní protokolové disektory v programovacím jazyce Lua.
Další informace o těchto pokročilých funkcích naleznete v oficiální uživatelské příručce Wireshark.