Slik bruker du Wireshark til å fange, filtrere og inspisere pakker

Innholdsfortegnelse:

Slik bruker du Wireshark til å fange, filtrere og inspisere pakker
Slik bruker du Wireshark til å fange, filtrere og inspisere pakker

Video: Slik bruker du Wireshark til å fange, filtrere og inspisere pakker

Video: Slik bruker du Wireshark til å fange, filtrere og inspisere pakker
Video: Server Storage: Fabrics, Arrays, Networks, RDMA, Persistent Memory - YouTube 2024, Mars
Anonim
Wireshark, et nettverksanalyseværktyr som tidligere er kjent som Ethereal, fanger pakker i sanntid og viser dem i menneskelig lesbar format. Wireshark inneholder filtre, fargekoding og andre funksjoner som lar deg grave dypt inn i nettverkstrafikk og inspisere individuelle pakker.
Wireshark, et nettverksanalyseværktyr som tidligere er kjent som Ethereal, fanger pakker i sanntid og viser dem i menneskelig lesbar format. Wireshark inneholder filtre, fargekoding og andre funksjoner som lar deg grave dypt inn i nettverkstrafikk og inspisere individuelle pakker.

Denne opplæringen vil gi deg raskere med det grunnleggende om å fange pakker, filtrere dem og inspisere dem. Du kan bruke Wireshark til å inspisere et mistenkelig programs nettverkstrafikk, analysere trafikkflyten på nettverket ditt, eller feilsøke nettverksproblemer.

Å få Wireshark

Du kan laste ned Wireshark for Windows eller MacOS fra sitt offisielle nettsted. Hvis du bruker Linux eller et annet UNIX-lignende system, vil du sannsynligvis finne Wireshark i sine pakkelager. Hvis du for eksempel bruker Ubuntu, finner du Wireshark i Ubuntu Software Center.

Bare en rask advarsel: Mange organisasjoner tillater ikke Wireshark og lignende verktøy på sine nettverk. Ikke bruk dette verktøyet på jobb med mindre du har tillatelse.

Fange pakker

Etter å ha lastet ned og installert Wireshark, kan du starte det og dobbeltklikke navnet på et nettverksgrensesnitt under Capture for å begynne å fange pakker på det grensesnittet. Hvis du for eksempel vil fange trafikk på det trådløse nettverket, klikker du på det trådløse grensesnittet. Du kan konfigurere avanserte funksjoner ved å klikke på Capture> Options, men dette er ikke nødvendig for nå.

Så snart du klikker på grensesnittets navn, ser du at pakkene begynner å vises i sanntid. Wireshark fanger hver pakke sendt til eller fra systemet.
Så snart du klikker på grensesnittets navn, ser du at pakkene begynner å vises i sanntid. Wireshark fanger hver pakke sendt til eller fra systemet.

Hvis du har en promiskuøs modus aktivert, er den aktivert som standard - du vil også se alle de andre pakkene på nettverket i stedet for bare pakker adressert til nettverkskortet. For å sjekke om promiskuøs modus er aktivert, klikker du på Capture> Options og bekrefter at avmerkingsboksen Aktiver promiskuøs modus på alle grensesnitt er aktivert nederst i dette vinduet.

Klikk på den røde knappen "Stopp" i nærheten av øverste venstre hjørne av vinduet når du vil slutte å fange trafikk.
Klikk på den røde knappen "Stopp" i nærheten av øverste venstre hjørne av vinduet når du vil slutte å fange trafikk.
Image
Image

Fargekoding

Du ser sannsynligvis pakker uthevet i en rekke forskjellige farger. Wireshark bruker farger for å hjelpe deg med å identifisere trafikktyper med et blikk. Lyspæren er som standard TCP-trafikk, lyseblå er UDP-trafikk, og svart identifiserer pakker med feil, for eksempel kunne de være levert ut av rekkefølge.

For å se nøyaktig hva fargekodene betyr, klikker du på Vis> Fargeregler. Du kan også tilpasse og endre fargereglene herfra, hvis du vil.

Image
Image

Eksempel på fangst

Hvis det ikke er noe interessant på ditt eget nettverk for å inspisere, har Wiresharks wiki dekket deg. Wiki inneholder en side med prøveopptaksfiler som du kan laste inn og inspisere. Klikk Fil> Åpne i Wireshark og bla etter den nedlastede filen for å åpne en.

Du kan også lagre dine egne fangster i Wireshark og åpne dem senere. Klikk på Fil> Lagre for å lagre de innfangne pakkene dine.

Image
Image

Filtrerende pakker

Hvis du prøver å inspisere noe spesifikt, for eksempel trafikken et program sender når du ringer hjem, hjelper det å lukke alle andre applikasjoner ved hjelp av nettverket, slik at du kan begrense trafikken. Likevel vil du sannsynligvis ha en stor mengde pakker for å sile gjennom. Det er der Wiresharks filtre kommer inn.

Den mest grunnleggende måten å bruke et filter på er å skrive det inn i filterboksen øverst i vinduet og klikke på Bruk (eller trykk Enter). Skriv for eksempel "dns", og du vil bare se DNS-pakker. Når du begynner å skrive, vil Wireshark hjelpe deg med å fylle ut filteret ditt automatisk.

Du kan også klikke på Analyser> Vis filtre for å velge et filter blant standardfiltrene som er inkludert i Wireshark. Herfra kan du legge til egne tilpassede filtre og lagre dem for å få tilgang til dem i fremtiden.
Du kan også klikke på Analyser> Vis filtre for å velge et filter blant standardfiltrene som er inkludert i Wireshark. Herfra kan du legge til egne tilpassede filtre og lagre dem for å få tilgang til dem i fremtiden.

For mer informasjon om Wiresharks visningsfiltreringsspråsmål, les byggeprøvefilteruttrykkssiden i den offisielle Wireshark-dokumentasjonen.

En annen interessant ting du kan gjøre er å høyreklikke på en pakke og velg Følg> TCP Stream.
En annen interessant ting du kan gjøre er å høyreklikke på en pakke og velg Følg> TCP Stream.

Du får se hele TCP-samtalen mellom klienten og serveren. Du kan også klikke på andre protokoller i Follow-menyen for å se de fulle samtalene for andre protokoller, hvis det er aktuelt.

Lukk vinduet, og du vil finne et filter som er brukt automatisk. Wireshark viser deg pakkene som utgjør samtalen.
Lukk vinduet, og du vil finne et filter som er brukt automatisk. Wireshark viser deg pakkene som utgjør samtalen.
Image
Image

Inspisere pakker

Klikk på en pakke for å velge den, og du kan grave ned for å se detaljene.

Du kan også opprette filtre herfra - bare høyreklikk en av detaljene og bruk undermenyen Bruk som filter for å opprette et filter basert på det.
Du kan også opprette filtre herfra - bare høyreklikk en av detaljene og bruk undermenyen Bruk som filter for å opprette et filter basert på det.
Image
Image

Wireshark er et ekstremt kraftig verktøy, og denne opplæringen er bare å skrape overflaten av det du kan gjøre med det. Profesjonelle bruker den til å feilsøke nettverksprotokollimplementeringer, undersøke sikkerhetsproblemer og inspisere nettverksprotokollinternals.

Du finner mer detaljert informasjon i den offisielle Wireshark brukerhåndboken og de andre dokumentasjonssidene på Wiresharks nettsted.

Anbefalt: