Denne opplæringen vil gi deg raskere med det grunnleggende om å fange pakker, filtrere dem og inspisere dem. Du kan bruke Wireshark til å inspisere et mistenkelig programs nettverkstrafikk, analysere trafikkflyten på nettverket ditt, eller feilsøke nettverksproblemer.
Å få Wireshark
Du kan laste ned Wireshark for Windows eller MacOS fra sitt offisielle nettsted. Hvis du bruker Linux eller et annet UNIX-lignende system, vil du sannsynligvis finne Wireshark i sine pakkelager. Hvis du for eksempel bruker Ubuntu, finner du Wireshark i Ubuntu Software Center.
Bare en rask advarsel: Mange organisasjoner tillater ikke Wireshark og lignende verktøy på sine nettverk. Ikke bruk dette verktøyet på jobb med mindre du har tillatelse.
Fange pakker
Etter å ha lastet ned og installert Wireshark, kan du starte det og dobbeltklikke navnet på et nettverksgrensesnitt under Capture for å begynne å fange pakker på det grensesnittet. Hvis du for eksempel vil fange trafikk på det trådløse nettverket, klikker du på det trådløse grensesnittet. Du kan konfigurere avanserte funksjoner ved å klikke på Capture> Options, men dette er ikke nødvendig for nå.
Hvis du har en promiskuøs modus aktivert, er den aktivert som standard - du vil også se alle de andre pakkene på nettverket i stedet for bare pakker adressert til nettverkskortet. For å sjekke om promiskuøs modus er aktivert, klikker du på Capture> Options og bekrefter at avmerkingsboksen Aktiver promiskuøs modus på alle grensesnitt er aktivert nederst i dette vinduet.
Fargekoding
Du ser sannsynligvis pakker uthevet i en rekke forskjellige farger. Wireshark bruker farger for å hjelpe deg med å identifisere trafikktyper med et blikk. Lyspæren er som standard TCP-trafikk, lyseblå er UDP-trafikk, og svart identifiserer pakker med feil, for eksempel kunne de være levert ut av rekkefølge.
For å se nøyaktig hva fargekodene betyr, klikker du på Vis> Fargeregler. Du kan også tilpasse og endre fargereglene herfra, hvis du vil.
Eksempel på fangst
Hvis det ikke er noe interessant på ditt eget nettverk for å inspisere, har Wiresharks wiki dekket deg. Wiki inneholder en side med prøveopptaksfiler som du kan laste inn og inspisere. Klikk Fil> Åpne i Wireshark og bla etter den nedlastede filen for å åpne en.
Du kan også lagre dine egne fangster i Wireshark og åpne dem senere. Klikk på Fil> Lagre for å lagre de innfangne pakkene dine.
Filtrerende pakker
Hvis du prøver å inspisere noe spesifikt, for eksempel trafikken et program sender når du ringer hjem, hjelper det å lukke alle andre applikasjoner ved hjelp av nettverket, slik at du kan begrense trafikken. Likevel vil du sannsynligvis ha en stor mengde pakker for å sile gjennom. Det er der Wiresharks filtre kommer inn.
Den mest grunnleggende måten å bruke et filter på er å skrive det inn i filterboksen øverst i vinduet og klikke på Bruk (eller trykk Enter). Skriv for eksempel "dns", og du vil bare se DNS-pakker. Når du begynner å skrive, vil Wireshark hjelpe deg med å fylle ut filteret ditt automatisk.
For mer informasjon om Wiresharks visningsfiltreringsspråsmål, les byggeprøvefilteruttrykkssiden i den offisielle Wireshark-dokumentasjonen.
Du får se hele TCP-samtalen mellom klienten og serveren. Du kan også klikke på andre protokoller i Follow-menyen for å se de fulle samtalene for andre protokoller, hvis det er aktuelt.
Inspisere pakker
Klikk på en pakke for å velge den, og du kan grave ned for å se detaljene.
Wireshark er et ekstremt kraftig verktøy, og denne opplæringen er bare å skrape overflaten av det du kan gjøre med det. Profesjonelle bruker den til å feilsøke nettverksprotokollimplementeringer, undersøke sikkerhetsproblemer og inspisere nettverksprotokollinternals.
Du finner mer detaljert informasjon i den offisielle Wireshark brukerhåndboken og de andre dokumentasjonssidene på Wiresharks nettsted.