Wireshark je popredný analyzátor sieťových protokolov používaný bezpečnostnými profesionálmi po celom svete. Umožňuje vám zistiť anomálie v počítačových sieťach a nájsť základné príčiny. V nasledujúcich častiach si ukážeme, ako používať Wireshark.

Ako to teda funguje? A ako vlastne používate Wireshark na zachytávanie dátových paketov?

Ako funguje Wireshark?

Vďaka robustnej súprave funkcií Wireshark sa stal jedným z najlepšie nástroje na riešenie problémov so sieťou. Mnoho ľudí používa Wireshark, vrátane správcov sietí, bezpečnostných audítorov, analytikov škodlivého softvéru a dokonca aj útočníkov.

7 najlepších nástrojov na riešenie problémov so sieťou

Máte problém so sieťou? Alebo sa len chcete dozvedieť viac o domácej sieti? Týchto sedem nástrojov vám môže pomôcť analyzovať a riešiť problémy so sieťou.

Umožňuje vám vykonávať hĺbkové kontroly živých alebo uložených sieťových paketov. Ako začnete používať Wireshark, budete fascinovaní množstvom informácií, ktoré môže ponúknuť. Príliš veľa informácií však často sťažuje udržanie správnej dráhy.

instagram viewer

Našťastie to môžeme zmierniť pomocou pokročilých možností filtrovania od spoločnosti Wireshark. Podrobne si ich ešte rozoberieme. Pracovný tok spočíva v zachytávaní sieťových paketov a filtrovaní požadovaných informácií.

Ako používať Wireshark na zachytávanie paketov

Po spustení programu Wireshark sa zobrazia sieťové rozhrania pripojené k vášmu systému. Vedľa každého rozhrania by ste si mali všimnúť krivky predstavujúce sieťovú komunikáciu.

Teraz musíte zvoliť konkrétne rozhranie, aby ste mohli začať zachytávať pakety. Ak to chcete urobiť, vyberte názov rozhrania a kliknite na modrú farbu žraločia plutva ikona. Môžete to urobiť aj dvojitým kliknutím na názov rozhrania.

Wireshark začne zachytávať prichádzajúce a odchádzajúce pakety pre vybrané rozhranie. Kliknite na červenú farbu pauza ikona zastavenie snímania. Mal by sa zobraziť zoznam sieťových paketov vytvorených počas tohto procesu.

Wireshark zobrazí zdroj a cieľ každého paketu spolu s protokolom. Väčšinou vás však bude zaujímať obsah informačného poľa.

Kliknutím na ne môžete skontrolovať jednotlivé pakety. Týmto spôsobom môžete zobraziť celé paketové dáta.

Ako ukladať zachytené pakety do siete Wireshark

Pretože Wireshark zachytáva veľkú premávku, niekedy si ich možno budete chcieť odložiť na neskoršiu kontrolu. Ukladanie zachytených paketov pomocou Wiresharku je našťastie bez námahy.

Ak chcete uložiť pakety, zastavte aktívnu reláciu. Potom kliknite na ikonu spis ikona umiestnená v hornom menu. Môžete tiež použiť Ctrl + S urobiť toto.

Wireshark môže ukladať pakety v niekoľkých formátoch, vrátane pcapng, pcap a dmp. Zachytené pakety môžete uložiť aj v inom formáte nástroje na sieťovú analýzu môže neskôr použiť.

Ako analyzovať zachytené pakety

Predtým zachytené pakety môžete analyzovať otvorením zachytávacieho súboru. V hlavnom okne kliknite na ikonu Súbor> Otvoriť a potom vyberte príslušný uložený súbor.

Môžete tiež použiť Ctrl + O urobiť to rýchlo. Po analýze paketov ukončite inšpekčné okno prechodom na Súbor> Zavrieť.

Ako používať filtre Wireshark

Wireshark ponúka nepreberné množstvo funkcií filtrovania. Filtre sú dvoch typov - filtre na zobrazenie a filtre na zachytávanie.

Používanie filtrov displeja Wireshark

Filtre displeja sa používajú na prezeranie konkrétnych paketov zo všetkých zachytených paketov. Môžeme napríklad použiť filter displeja icmp zobraziť všetky dátové pakety ICMP.

Môžete si vybrať z veľkého množstva filtrov. Okrem toho môžete tiež definovať vlastné pravidlá filtrovania pre triviálne úlohy. Ak chcete pridať prispôsobené filtre, prejdite na Analyzovať> Zobraziť filtre. Klikni na + ikona na pridanie nového filtra.

Používanie filtrov Wireshark Capture

Filtre zachytenia sa používajú na určenie, ktoré pakety sa majú zachytiť počas relácie Wireshark. Produkuje podstatne menej paketov ako štandardné zachytenia. Môžete ich použiť v situáciách, keď potrebujete konkrétne informácie o určitých balíkoch.

Zadajte svoj zachytávací filter do poľa tesne nad zoznamom rozhraní v hlavnom okne. Vyberte názov rozhrania zo zoznamu a do vyššie uvedeného poľa zadajte názov filtra.

Kliknite na modrú farbu žraločia plutva ikona na začatie zaznamenávania paketov. Nasledujúci príklad využíva arp filter na zachytenie iba transakcií ARP.

Používanie pravidiel farbenia Wireshark

Wireshark poskytuje niekoľko farebných pravidiel, ktoré sa predtým nazývali farebné filtre. Je to skvelá vlastnosť, ktorú môžete mať pri analýze rozsiahleho sieťového prenosu. Môžete ich tiež prispôsobiť podľa preferencií.

Ak chcete zobraziť aktuálne pravidlá vyfarbovania, prejdite na Zobraziť> Pravidlá farbenia. Tu nájdete predvolené pravidlá vyfarbovania pre vašu inštaláciu.

Môžete ich ľubovoľne upravovať. Pravidlá zafarbenia iných ľudí môžete navyše použiť aj importom konfiguračného súboru.

Stiahnite si súbor obsahujúci vlastné pravidlá a potom ho importujte výberom Zobraziť> Pravidlá vyfarbovania> Importovať. Pravidlá môžete exportovať podobne.

Wireshark v akcii

Doteraz sme diskutovali o niektorých základných vlastnostiach Wireshark. Poďme vykonať niekoľko praktických operácií, aby sme demonštrovali, ako sa tieto integrujú.

Pre túto ukážku sme vytvorili základný server Go. Pre každú požiadavku vráti jednoduchú textovú správu. Po spustení servera urobíme niekoľko požiadaviek HTTP a zachytíme aktívny prenos. Upozorňujeme, že server prevádzkujeme na serveri localhost.

Najskôr začneme zachytávanie paketov dvojitým kliknutím na rozhranie Loopback (localhost). Ďalším krokom je spustenie nášho lokálneho servera a odoslanie žiadosti GET. Na to používame zvlnenie.

Wireshark počas tejto konverzácie zachytí všetky prichádzajúce a odchádzajúce pakety. Chceme zobraziť údaje odoslané našim serverom, takže použijeme http.odpoveď filter na prezeranie paketov odpovedí.

Teraz Wireshark skryje všetky ostatné zachytené pakety a zobrazí iba pakety odpovedí. Ak sa pozriete pozorne na podrobnosti paketu, mali by ste si všimnúť holé dáta zaslané našim serverom.

Užitočné príkazy Wireshark

Na ovládanie softvéru z terminálu Linux môžete tiež použiť rôzne príkazy Wireshark. Tu je niekoľko základných príkazov Wireshark:

  • wirehark spustí Wireshark v grafickom režime.
  • wirehark -h zobrazí dostupné možnosti príkazového riadku.
  • Wireshark -i ROZHRANIE vyberie ROZHRANIE ako zachytávacie rozhranie.

Tshark je alternatíva príkazového riadku pre Wireshark. Podporuje všetky základné funkcie a je mimoriadne efektívny.

Analyzujte zabezpečenie siete pomocou nástroja Wireshark

Vďaka bohatej množine funkcií Wireshark a pokročilým pravidlám filtrovania je analýza paketov produktívna a jednoduchá. Môžete ho použiť na vyhľadanie všetkých druhov informácií o vašej sieti. Vyskúšajte jeho najzákladnejšie funkcie a naučte sa, ako používať Wireshark na analýzu paketov.

Wireshark je k dispozícii na stiahnutie na zariadeniach so systémom Windows, macOS a Linux.

Email
Ako zmeniť svoje Raspberry Pi na nástroj na sledovanie siete

Chcete monitorovať svoju sieť alebo vzdialené zariadenia? Tu je príklad, ako zmeniť váš Raspberry Pi na nástroj na sledovanie siete pomocou Nagios.

Súvisiace témy
  • Linux
  • Mac
  • Windows
  • Bezpečnosť
  • Online bezpečnosť
O autorovi
Rubaiat Hossain (Publikovaných 6 článkov)

Rubaiat je CS grad so silnou vášňou pre open-source. Okrem toho, že je veteránom z Unixu, venuje sa aj zabezpečeniu sietí, kryptografii a funkčnému programovaniu. Je vášnivým zberateľom antikvariátov a má nekonečný obdiv ku klasickému rocku.

Viac od Rubaiata Hossaina

Prihlásiť sa ku odberu noviniek

Pripojte sa k nášmu bulletinu s technickými tipmi, recenziami, bezplatnými elektronickými knihami a exkluzívnymi ponukami!

Ešte jeden krok…!

V e-maile, ktorý sme vám práve poslali, potvrďte svoju e-mailovú adresu.

.