Wireshark on ilmainen sovellus, jonka avulla voit kaapata ja tarkastella verkossa matkustavia tietoja, mikä mahdollistaa kunkin paketin sisällön poraamisen ja lukemisen - suodatetaan vastaamaan erityistarpeitasi. Sitä käytetään yleisesti verkon ongelmien vianmääritykseen sekä ohjelmistojen kehittämiseen ja testaamiseen. Tämä avoimen lähdekoodin analysaattori on yleisesti hyväksytty alan standardiksi ja voitti oikeudenmukaisen osuutensa palkinnoista vuosien varrella.
Alunperin tunnettu Ethereal, Wireshark ominaisuuksia käyttäjäystävällinen käyttöliittymä, joka voi näyttää tietoja satoja eri protokollia kaikissa tärkeimmissä verkkotyypeissä. Näitä datapaketteja voidaan tarkastella reaaliaikaisesti tai analysoida offline-tilassa, ja tuhansia kaappaus- / jäljitystiedostomuotoja, kuten CAP ja ERF, tuetaan. Integroitu salauksen purku työkalujen avulla voit tarkastella salattuja paketteja useille suosittuja protokollia, kuten WEP ja WPA / WPA2 .
01/07
Wiresharkin lataaminen ja asentaminen
Wireshark on ladattavissa ilmaiseksi Wireshark-säätiön verkkosivuilla sekä macOS- että Windows-käyttöjärjestelmissä. Jos et ole edistyksellinen käyttäjä, suosittelemme lataamaan vain uusimman vakaata julkaisua. Asennusprosessin aikana (vain Windows) kannattaa valita myös WinPcap-ohjelma, jos sitä kehotetaan, koska se sisältää kirjaston, jota tarvitaan suorana lähetyksenä.
Sovellus on saatavana myös Linuxille ja useimmille muille UNIX-kaltaisille alustoille, kuten Red Hat , Solaris ja FreeBSD. Näiden käyttöjärjestelmien tarvittavat binäärit löytyvät kolmannen osapuolen pakettien osion lataussivun alareunasta.
Voit myös ladata Wiresharkin lähdekoodin tästä sivusta.
02/07
Kuinka kaapata datapaketit
Kun käynnistät Wiresharkin ensimmäisen kerran, näkyviin tulee näkyvä kuvaruutu, joka on samanlainen kuin yllä oleva, joka sisältää luettelon käytettävissä olevista verkkoyhteyksistä nykyisellä laitteellasi. Tässä esimerkissä näet, että seuraavat yhteystyypit näkyvät: Bluetooth-verkkoyhteys , Ethernet , VirtualBox Host-Only Network , Wi-Fi . Kunkin näytön oikealla puolella on EKG-tyyppinen viivakaavio, joka edustaa suorana liikennettä kyseisellä verkolla.
Aloita pakettien kaappaus valitsemalla ensin yksi tai useampi näistä verkostoista valitsemalla haluamasi valinnat ja käyttämällä Vaihto- tai Ctrl- näppäimiä, jos haluat tallentaa tietoja useista verkostoista samanaikaisesti. Kun yhteystyyppi on valittu kuvaustarkoituksiin, sen tausta varjostuu joko sinisenä tai harmaana. Napsauta Capture päävalikosta, joka sijaitsee Wireshark-käyttöliittymän yläosassa. Kun pudotusvalikko tulee näkyviin, valitse Käynnistä- vaihtoehto.
Voit myös käynnistää paketin kaappaamisen jonkin seuraavista oikote- noista.
- Näppäimistö: Paina Ctrl + E
- Hiiri: Jos haluat aloittaa pakettien kaappaamisen tietystä verkosta, kaksoisnapsauta sen nimeä
- Työkalupalkki: Napsauta Wireshark-työkalurivin vasemmalla puolella sijaitsevaa sinisen haiden finpainiketta
Elävä kaappausprosessi alkaa nyt, ja paketin yksityiskohdat näkyvät Wireshark-ikkunassa, kun ne tallennetaan. Suorita jokin alla olevista toimista lopettaaksesi kuvaamisen.
- Näppäimistö: Paina Ctrl + E
- Työkalupalkki: Napsauta punaisen pysäytyspainikkeen, joka sijaitsee Wireshark-työkalupalkin hainelan vieressä
03/07
Paketin sisällön tarkastelu ja analysointi
Nyt kun olet tallentanut joitain verkkotietoja, on aika tarkastella vangittuja paketteja. Kuten yllä olevassa kuvakaappauksessa esitetään, kaapattu dataliitäntä sisältää kolme pääosaa: pakettiluetteloruudusta, pakettien yksityiskohtia ja paketin tavuista.
Pakettiluettelo
Paketinluettelo-ikkuna, joka sijaitsee ikkunan yläosassa, näyttää kaikki paketit, jotka löytyvät aktiivisesta kaappaustiedostosta. Jokaisella paketilla on oma rivi ja siihen vastaava numero sekä jokainen näistä datapisteistä.
- Aika: Tässä sarakkeessa näkyy aikaleima, kun paketti on otettu. Oletusmuoto on sekunteina (tai osittaisia sekunteja), koska tämä erityinen kaappaustiedosto luotiin ensimmäisen kerran. Jos haluat muokata tätä muotoa jotain, joka voi olla hieman hyödyllisempi, kuten esimerkiksi kellonajan, valitse Wiresharkin Näytä- valikosta Time Display Format -valinta - joka sijaitsee päärajapinnan yläosassa.
- Lähde: Tässä sarakkeessa on osoite (IP tai muu), josta paketti on peräisin.
- Kohde: Tässä sarakkeessa on osoite, johon paketti lähetetään.
- Protokolla: Paketin protokollan nimi (TCP) löytyy tässä sarakkeessa.
- Pituus: Tässä sarakkeessa näkyy paketin pituus tavuina.
- Info: Paketin lisätiedot löytyvät täältä. Tämän sarakkeen sisältö voi vaihdella suuresti paketin sisällön mukaan.
Kun yläreunassa on valittu paketti, saatat huomata, että ensimmäisessä sarakkeessa näkyy yksi tai useampi symboli. Avoimet ja / tai suljetut suluet sekä suorat vaakasuorat viivat voivat ilmaista, ovatko paketti tai pakettiryhmä kaikki osa samassa verkossa olevaa edestakaista keskustelua. Rikki vaakasuora viiva merkitsee sitä, että paketti ei ole osa mainittua keskustelua.
Paketin tiedot
Keskellä oleva yksityiskohdat-ikkuna esittelee valitun paketin protokollat ja protokollan kentät kokoonpidetyssä muodossa. Jokaisen valinnan laajentamisen lisäksi voit myös käyttää yksittäisiä Wireshark-suodattimia tietyn yksityiskohtien perusteella ja seurata protokollatyyppien mukaisia tietovirtoja yksityiskohdat -valikon kautta. Voit käyttää hiiren kakkospainikkeella haluamaasi kohtaan tämän ruudun sisällä.
Packet Bytes
Alareunassa on paketti tavut-paneeli, joka näyttää valitun paketin raakatiedot heksadesimaalikuvauksessa. Tämä hex-kaatopaikka sisältää 16 heksadesimaalilatausta ja 16 ASCII-tavua tiedonsiirron rinnalla.
Tiettyjen tietojen valitseminen automaattisesti korostaa sen vastaavan osan paketin yksityiskohtiin ja päinvastoin. Kaikki tavut, joita ei voi tulostaa, on sen sijaan aikakausi.
Voit halutessasi näyttää nämä tiedot bittimuotoisena heksadesimaalisesti napsauttamalla hiiren kakkospainikkeella mitä tahansa ruutuun ja valitsemalla sopivan vaihtoehdon pikavalikosta.
04/07
Käyttämällä Wireshark-suodattimia
Yksi Wiresharkin tärkeimmistä ominaisuuksista on sen suodatinominaisuus, varsinkin kun kyseessä on huomattavia kokoisia tiedostoja. Kaappaussuodattimet voidaan asettaa ennen tosiasiaa, kehottaen Wiresharkia tallentamaan vain ne paketit, jotka täyttävät määritetyt kriteerit.
Suodattimia voidaan myös soveltaa kaappaustiedostoon, joka on jo luotu siten, että vain tiettyjä paketteja näytetään. Näitä kutsutaan näyttösuodattimeksi.
Wireshark tarjoaa useita ennalta määritettyjä suodattimia oletuksena, jolloin voit pienentää näkyvien pakettien määrää vain muutamalla näppäimellä tai hiiren klikkauksella. Jos haluat käyttää jotain näistä nykyisistä suodattimista, kirjoita sen nimi Apply a Display Filter -ilmoituksen kenttään (joka sijaitsee suoraan Wireshark-työkalurivin alapuolella) tai Enter a capture -suodattimen kenttään (joka sijaitsee tervetulonäytön keskellä).
On monia tapoja tämän saavuttamiseksi. Jos tunnet jo suodattimen nimen, kirjoita se sopivaan kenttään. Jos esimerkiksi haluat vain näyttää TCP-paketit, kirjoita tcp . Wiresharkin automaattisen täydennyksen ominaisuus näyttää ehdotettuja nimiä aloittaessasi kirjoittamisen, mikä helpottaa etsittävän suodattimen oikean monikerran löytämistä.
Toinen tapa valita suodatin on klikata kirjanmerkkimaista kuvaketta, joka on sijoitettu kentän vasemmalle puolelle. Tämä sisältää valikon, joka sisältää joitain yleisimmin käytettyjä suodattimia sekä vaihtoehtoa hallita kaappaussensuodattimia tai hallita näyttösuodattimia . Jos valitset jonkin tyypin hallinnan, näyttöön tulee käyttöliittymä, jonka avulla voit lisätä, poistaa tai muokata suodattimia.
Voit myös käyttää aiemmin käytettyjä suodattimia valitsemalla alasnuolen, joka sijaitsee kentän oikealla puolella, joka näyttää historian avattavasta luettelosta.
Kun asetettu, kaappaussuodattimet tulevat voimaan heti, kun aloitat verkon liikenteen rekisteröinnin. Voit kuitenkin käyttää näyttösuodatinta napsauttamalla oikeanpuoleista nuolipainiketta, joka löytyy kentän oikeassa yläkulmassa.
05/07
Värjäyssäännöt
Wiresharkin kaappaus- ja näyttösuodattimien avulla voit rajoittaa, mitkä paketit on tallennettu tai näytetty näytöllä. Sen väritysominaisuudet tekevät askelta eteenpäin helpottamalla eri pakettityyppien erottamista niiden yksilöllisen värisävyn perusteella. Tämän kätevän ominaisuuden avulla voit nopeasti etsiä tietyt paketit tallennetusta joukosta rivin väriteemalla pakettiluetteloruudusta.
Wiresharkin mukana tulee noin 20 värikoodausta; joka voidaan muokata, poistaa tai poistaa, jos haluat. Voit myös lisätä uusia sävytyssuodattimia värityssääntöliittymän kautta, joka näkyy Näytä- valikossa. Sen lisäksi, että määrität kunkin säännön nimen ja suodattimen kriteerit, sinua pyydetään yhdistämään sekä taustaväri että tekstin väri.
Packet väritys voidaan kytkeä pois ja päälle Colorize Packet List vaihtoehto, joka löytyy myös View- valikosta.
06/07
tilasto
Wiresharkin pääikkunassa näkyvien verkkotietojesi yksityiskohtaisten tietojen lisäksi useita muita hyödyllisiä tietoja löytyy näytön yläreunassa olevan Tilastot- pudotusvalikon kautta. Näihin kuuluvat itse tallennustiedoston koon ja ajoitustiedot sekä kymmeniä kaavioita ja kaavioita, jotka vaihtelevat aiheen mukaan pakettikeskustelujen hajotuksista HTTP-pyyntöjen jakeluun.
Näyttösuodattimia voidaan soveltaa moniin näihin tilastoihin yksittäisten rajapintojen kautta ja tulokset voidaan viedä useisiin tavallisiin tiedostomuotoihin, kuten CSV , XML ja TXT.
07/07
Lisäominaisuudet
Vaikka olemme käsitelleet suurimman osan Wiresharkin tärkeimmistä toiminnallisuuksista tässä artikkelissa, tässä tehokkaassa työkalussa on myös joukko lisäominaisuuksia, jotka on tyypillisesti varattu edistyneille käyttäjille. Tämä sisältää kyvyn kirjoittaa omat protokollasektorit Lua-ohjelmointikielellä.
Lisätietoja näistä lisäominaisuuksista on Wiresharkin virallisessa käyttöoppaassa.