Jak používat Wireshark Network Protocol Analyzer [Výukový program]
Co můžete dělat s Wireshark?
Během několika posledních let si Wireshark vybudoval reputaci jakojeden z nejspolehlivějších analyzátorů síťových protokolů dostupných na trhu. Uživatelé po celém světě používají tuto open-source aplikaci jakokompletní nástroj pro analýzu sítě. Prostřednictvím Wireshark mohou uživatelé odstraňovat problémy se sítí, zkoumat problémy se zabezpečením sítě, ladit protokoly a učit se síťové procesy.
Jak používat Wireshark
Jak bylo uvedeno výše, Wireshark je nástroj pro analýzu síťových protokolů. Wireshark byl ve svém jádru navržen tak, aby rozkládal pakety dat přenášených přes různé sítě. Uživatel může vyhledávat a filtrovat konkrétní datové pakety a analyzovat, jak jsou přenášeny po síti. Tyto pakety lze použít pro analýzu v reálném čase nebo offline.
Uživatel může tyto informace použít ke generování statistik a grafů. Wireshark byl původně známý jako Ethereal, ale od té doby se etabloval jako jeden z klíčových nástrojů síťové analýzy na trhu. Toto je hlavní nástroj pro uživatele, kteří chtějí prohlížet data generovaná různými sítěmi a protokoly.
Wireshark je vhodný pro začínající i zkušené uživatele. Uživatelské rozhraní je neuvěřitelně jednoduché, jakmile se naučíte počáteční kroky k zachycení paketů. Pokročilejší uživatelé mohou také použít dešifrovací nástroje platformy k rozbití šifrovaných paketů.
Základní vlastnosti Wireshark
Níže je uveden rozpis základních funkcí Wireshark:
- Zachyťte živá paketová data
- Importujte pakety z textových souborů
- Zobrazení paketových dat a informací o protokolu
- Uložte zachycená paketová data
- Zobrazit pakety
- Filtrační balíčky
- Hledat pakety
- Vybarvujte balíčky
- Generovat statistiky
Většina uživatelů používá Wireshark k detekci problémů se sítí a testování svého softwaru. Jako open-source projekt je Wireshark udržován jedinečným týmem, který udržuje vysoké standardy služeb. V této příručce rozebereme, jak používat Wireshark. Další informace naleznete na Oficiální uživatelská příručka Wireshark .
Jak stáhnout a nainstalovat Wireshark
Než začnete používat Wireshark, první věc, kterou musíte udělat, je stáhnout a nainstalovat. Můžeš stáhněte si Wireshark zdarma z webových stránek společnosti. Chcete-li mít co nejhladší provoz, doporučujeme vám stáhnout si nejnovější verzi dostupnou na vaší platformě ze sekce „stabilní vydání“.
Nainstalujte na Windows
Jakmile si stáhnete program, můžete zahájit proces nastavení. Během instalace můžete být vyzváni k instalaci WinPcap. Je důležité nainstalovat WinPcap, protože bez něj nebudete moci zachytit živý síťový provoz. Bez WinPcap budete moci otevírat pouze uložené zachycené soubory. Chcete-li nainstalovat, jednoduše zkontrolujteNainstalujte WinPcapbox.
Podívejme se na to podrobněji.
Vyberte instalační program pro vaši architekturu Windows (64bitový nebo 32bitový) kliknutím na odkaz stáhněte balíček.
Jakmile je instalační program na vašem počítači, postupujte takto:
- Kliknutím na stažený soubor jej spustíte. Klikněte Ano v Kontrola uživatelského účtu okno.
- Klikněte další na úvodní obrazovce instalačního programu.
- V Licenční smlouva obrazovce, klepněte na Poznamenáno knoflík.
- Ponechte všechna výchozí nastavení v Vyberte Komponenty obrazovka. Klikněte na další knoflík.
- Ponechte všechna nastavení tak, jak jsou v Další úkoly obrazovce a klikněte na další .
- v Vyberte umístění instalace , stačí kliknout na další .
- V Zachycování paketů na obrazovce, ponechte políčko souhlasu zaškrtnuté a klikněte na další knoflík.
- V USB Capture obrazovce, zkontrolujte Nainstalujte USBPcap box a stiskněte tlačítko Instalovat.
- Nechte instalaci pokračovat. Během procesu se vám zobrazí obrazovka souhlasu pro Npcap. Klikněte na Souhlasím .
- V NPcap Možnosti instalace kontrola obrazovky Omezte přístup ovladače Npcap pouze na správce , Podporujte nezpracovaný provoz 802.11 (a režim sledování) pro bezdrátové adaptéry , a Nainstalujte Npcap v režimu kompatibilním s WinPcap API . Klikněte na Nainstalujte .
- Po dokončení nastavení Npcap. Klikněte na další a pak Dokončit zavřít toto dialogové okno. Instalace Wireshark bude pokračovat.
- V Instalace dokončena obrazovce, klikněte na další a pak Dokončit na další obrazovce.
V nabídce Start vyhledejte ikonu Wireshark. Kliknutím na něj spustíte nástroj.
Nainstalujte na Mac
Chcete-li nainstalovat Wireshark na Mac, musíte si nejprve stáhnout instalační program. Chcete-li to provést, stáhněte si instalační program, např exquartz . Jakmile to uděláte, otevřete Terminál a zadejte následující příkaz:
|_+_|Poté počkejte, až se Wireshark spustí.
Nainstalujte na Unix
Chcete-li spustit Wireshark na Unixu, potřebujete nejprve na vašem systému nainstalovat několik dalších nástrojů. Tyto jsou:
- GTK+ , The GIMP Tool Kit a Glib, oba ze stejného zdroje.
- Budete také potřebovat Glib . S oběma nástroji se můžete seznámit na https://www.gtk.org/
- libpcap, ze kterého získáte http://www.tcpdump.org/ .
Po instalaci výše uvedeného podpůrného softwaru a stažení softwaru pro Wireshark , musíte jej extrahovat ze souboru tar.
|_+_|Přejděte do adresáře Wireshark a poté zadejte následující příkazy:
|_+_|Nyní můžete spustit program Wireshark na vašem unixovém počítači.
Jak zachytit datové pakety
Jednou ze základních funkcí Wiresharku jako nástroje síťové analýzy je zachycení paketů dat. Naučit se, jak nastavit Wireshark pro zachycování paketů, je nezbytné pro provádění podrobné analýzy sítě. Je však důležité poznamenat, že může být obtížné zachytit pakety, když jste ve službě Wireshark noví. Než začnete zachycovat pakety, musíte udělat tři věci:
- Ujistěte se, že máte oprávnění správcepro zahájení živého záznamu na vašem zařízení
- Vyberte správné síťové rozhraník zachycení paketových dat
- Zachyťtepaketová dataze správného místave vaší síti
Jakmile provedete tyto tři věci, jste připraveni zahájit proces zachycení. Když použijete Wireshark k zachycení paketů, zobrazí se ve formátu čitelném pro člověka, aby byly pro uživatele čitelné. Můžete takérozbít pakety pomocí filtrů a barevného kódovánípokud chcete vidět konkrétnější informace.
Když poprvé otevřete Wireshark, objeví se následující spouštěcí obrazovka:
První věc, kterou musíte udělat, je podívat se na dostupná rozhraní k zachycení. Chcete-li to provést, vyberteZachytit > Možnosti. Poté se otevře dialogové okno „Capture Interfaces“ (Rozhraní snímání), jak je znázorněno níže:
Zaškrtněte políčko rozhraní, které chcete zachytit, a stiskněte tlačítkoStarttlačítko pro spuštění. Pokud chcete současně zachytit data z více zdrojů, můžete vybrat více rozhraní.
V systému Unix nebo Linux je dialogové okno zobrazeno podobným stylem, jako je tento:
Wireshark můžete také spustit pomocí následujícího příkazového řádku:
|_+_|Můžete také použíttlačítko se žraločí ploutvína panelu nástrojů jako zkratka pro zahájení zachycování paketů. Jakmile kliknete na toto tlačítko, Wireshark zahájí proces živého snímání.
Pokud chcete ukončit snímání, klikněte na červenoustoptlačítko vedle žraločí ploutve.
Promiskuitní režim
Pokud chcete vytvořit režijní pohled na přenosy síťových paketů, musíte aktivovat „promiskuitní režim“. Promiskuitní režim jerežim rozhraní, kde Wireshark podrobně popisuje každý paket, který vidí. Když je tento režim deaktivován, ztratíte transparentnost ve vaší síti a vytvoříte pouze omezený snímek vaší sítě (provedení jakékoli analýzy je proto obtížnější).
Pro aktivaci promiskuitního režimu klikněte naMožnosti snímánídialogové okno a klepněte na tlačítkopromiskuitní režim. Teoreticky by vám to mělo ukázat veškerý provoz aktivní ve vaší síti. Pole promiskuitního režimu je zobrazeno níže:
To však často neplatí. Mnoho síťových rozhraní je odolných vůči promiskuitnímu režimu, takže informace o vašem konkrétním hardwaru najdete na webu Wireshark.
V systému Windows je užitečné otevřítSprávce zařízenía zkontrolujte, zda máte nastavení nakonfigurováno tak, aby odmítalo promiskuitní režim. Například:
(Jednoduše klikněte na síť a poté se ujistěte, že je nastavení promiskuitního režimu nastaveno naPovolit vše).
Pokud máte nastavení nastaveno na promiskuitní režim „odmítnout“, pak omezíte počet paketů, které Wireshark zachytí. Takže i když máte na Wiresharku povolen promiskuitní režim, zkontrolujte ve Správci zařízení, zda vaše rozhraní neblokuje průchod žádných dat. Pokud si uděláte čas na kontrolu vaší síťové infrastruktury, zajistíte, že Wireshark obdrží všechny potřebné pakety dat.
Jak analyzovat zachycené pakety
Jakmile zachytíte síťová data, budete se chtít podívat na zachycené pakety. Na snímku obrazovky níže uvidíte tři panely,seznam paketůpanel,paketové bajtypodokno apodrobnosti o paketuexistují.
Pokud chcete více informací, můžete kliknout na kterékoli z polí v každém paketu a zobrazit více. Když kliknete na paket, zobrazí se vám rozpis jeho vnitřních bajtů v části zobrazení bajtů.
Seznam paketů
Panel se seznamem paketů je zobrazen v horní části snímku obrazovky. Každý kus je rozdělen na číslo s časem, zdrojem, místem určení, protokolem a informacemi o podpoře.
Podrobnosti o balíčku
Podrobnosti paketu najdete uprostřed, zobrazující protokoly zvoleného paketu. Každou sekci můžete rozbalit kliknutím na šipku vedle vybraného řádku. Můžete také použít další filtry kliknutím pravým tlačítkem myši na vybranou položku.
Paketové bajty
Podokno bajtů paketu je zobrazeno ve spodní části stránky. Tento panel zobrazuje interní data vybraného paketu. Pokud zvýrazníte část dat v této části, odpovídající informace se zvýrazní také v podokně podrobností paketu. Ve výchozím nastavení jsou všechna data zobrazena v hexadecimálním formátu. Pokud jej chcete změnit na bitový formát, klepněte pravým tlačítkem myši na podokno a vyberte tuto možnost z místní nabídky.
Jak používat Wireshark k analýze výkonu sítě
Pokud chcete použít Wireshark ke kontrole vaší sítě a analýze veškerého aktivního provozu, musíte ukončit všechny aktivní aplikace ve vaší síti. To sníží provoz na minimum, takže budete jasněji vidět, co se děje ve vaší síti. I když však vypnete všechny své aplikace, stále budete mít velké množství odesílaných a přijímaných paketů.
Použití Wireshark k filtrování těchto paketů je nejlepší způsob, jak udělat inventuru dat vaší sítě . Když je vaše připojení aktivní, každou sekundu se přes vaši síť přenášejí tisíce paketů. To znamená, že je důležité, abyste odfiltrovali informace, které nepotřebujete, abyste získali jasnou představu o tom, co se děje.
Zachytit filtry a zobrazit filtry
Zachycovací filtryaZobrazit filtryjsou dva typy odlišných filtrů, které lze použít na Wireshark.
Zachycovací filtry a Zobrazit filtry jsou dva typy odlišných filtrů, které lze použít na Wireshark. Zachycovací filtry se používají ke snížení velikosti zachycování příchozích paketů, v podstatě odfiltrují ostatní pakety během zachycování živých paketů. V důsledku toho jsou filtry zachycení nastaveny před zahájením procesu živého zachycení.
Zachycovací filtry se používají ke snížení velikosti zachycování příchozích paketů, v podstatě odfiltrují ostatní pakety během živého zachycování paketů. V důsledku toho jsou filtry zachycení nastaveny před zahájením procesu živého zachycení.
Po zahájení snímání nelze filtry zachytávání upravit. Na druhou stranu,Zobrazit filtrylze použít k filtrování dat, která již byla zaznamenána. Filtry zachycení určují, jaká data zachytíte z živého monitorování sítě, a filtry zobrazení určují data, která uvidíte při prohlížení dříve zachycených paketů.
Pokud chcete začít filtrovat svá data, jedním z nejjednodušších způsobů, jak toho dosáhnout, je použít filtrovací pole pod panelem nástrojů. Pokud například zadáte do pole filtru HTTP, zobrazí se vám seznam všech zachycených paketů HTTP. Když začnete psát, setkáte se s polem automatického doplňování. Filtrační box je zobrazen níže:
K rozdělení informací o paketech můžete použít stovky různých filtrů, od 104apci po zvt. Rozsáhlý seznam lze nalézt na webu Wireshark tady . Filtr můžete zvolit také kliknutím na ikonu záložky vlevo od vstupního pole. Tím se otevře nabídka oblíbených filtrů.
Pokud se rozhodnete nastavit filtr zachytávání, vaše změny se projeví, jakmile začnete zaznamenávat živý provoz sítě. Chcete-li aktivovat filtr zobrazení, jednoduše klikněte na šipku napravo od vstupního pole. Případně můžete kliknout Analyzovat > Zobrazit filtry a vyberte filtr ze seznamu výchozích hodnot.
Po výběru filtru můžete zobrazit konverzaci TCP za paketem. Chcete-li to provést, klikněte pravým tlačítkem na paket a klikněte na Sledovat > TCP stream. To vám ukáže výměnu TCP mezi klientem a serverem.
Pokud chcete více informací o filtrování Wireshark, Wiresharkův průvodce zobrazením filtrů je dobrým orientačním bodem.
Použití barevného kódování
Kromě filtrování, které pakety jsou zobrazeny nebo zaznamenány, usnadňuje funkce barevného kódování Wireshark uživateli identifikovat různé typy paketů podle jejich barvy. Například TCP provoz je označen světle fialovou a UDP provoz je označen světle modrou. Je důležité si uvědomit, že černá se používá ke zvýraznění paketů s chybami.
Ve výchozím nastavení Wireshark je na výběr asi 20 barev. Můžete je upravit, zakázat nebo odstranit. Pokud chcete barvení vypnout, klikněte naPohledmenu a klikněteColorize Packet Listpole pro jeho vypnutí. Pokud chcete zobrazit další informace o barevném kódování na Wireshark, klikněteZobrazit > Pravidla barvení.
Zobrazení statistik sítě
Chcete-li zobrazit další informace o vaší síti, rozbalovací nabídka statistik je neuvěřitelně užitečná . Nabídka statistik může být umístěna v horní části obrazovky a poskytne vám několik metrik od informací o velikosti a načasování až po vykreslené tabulky a grafy. Na tyto statistiky můžete také použít filtry zobrazení a zúžit tak důležité informace.
Nabídka statistik Wireshark je zobrazena níže:
V této nabídce jsou různé možnosti, které vám pomohou rozdělit informace o vaší síti.
Výběr nabídky statistiky
Zde jsou některé ze základních sekcí:
- Hierarchie protokolů– Možnost Hierarchy protokolů vyvolá okno s kompletní tabulkou všech zachycených protokolů. V dolní části jsou také zobrazeny aktivní filtry zobrazení.
- Konverzace– Odhalí síťovou konverzaci mezi dvěma koncovými body (například výměna provozu z jedné IP adresy na druhou).
- Koncové body– Zobrazí seznam koncových bodů (koncový bod sítě je místo, kde končí protokolový provoz určité vrstvy protokolu).
- IO grafy– Zobrazuje grafy specifické pro uživatele, vizualizuje počet paketů během výměny dat.
- RTP_statistics– Umožňuje uživateli uložit obsah RTP audio streamu přímo do Au-souboru.
- Doba odezvy služby– Zobrazuje dobu odezvy mezi požadavkem a odpovědí sítě.
- TcpPduTime– Zobrazuje čas potřebný k přenosu dat z datové jednotky protokolu. Lze jej použít k nalezení opakovaných přenosů TCP.
- VoIP_Calls– Zobrazuje hovory VoIP získané z živých záznamů.
- Multicast Stream– Detekuje toky multicastu a měří velikost shluků a výstupní vyrovnávací paměti určitých rychlostí.
Vizualizace síťových paketů pomocí IO grafů
Pokud chcete vytvořit vizuální reprezentaci vašich datových paketů, musíte otevřít grafy IO. Jednoduše klikněte nastatistikamenu a vyberteIO grafy. Poté se setkáte s oknem grafu:
Můžeškonfigurovat IO grafy s vlastním nastavenímpodle údajů, které chcete zobrazit. Ve výchozím nastavení je povolen pouze graf 1, takže pokud chcete aktivovat 2-5, musíte na ně kliknout. Podobně, pokud chcete na graf použít filtr zobrazení, klikněte na ikonu filtru vedle grafu, se kterým chcete pracovat. Sloupec stylu umožňuje změnit strukturu grafu. Můžete si vybrat meziČára,FBar,TečkaneboImpuls.
Můžete také pracovat s metrikami os X a Y v grafu. Na ose X sekce intervalů ticků umožňují diktovat, jak dlouhý je interval, od minut po sekundy. Můžete také zkontrolovat zobrazit jako denní dobu zaškrtávací políčko pro změnu času osy X.
V části osy Y můžete změnit jednotku měření z kterékoli z následujících možností:Pakety/Tick,Bytes/Tick,Bits/TickneboPokročilý. Měřítko umožňuje zvolit měřítko měření pro osu Y grafu.
Jakmile stisknete tlačítko uložit, graf se uloží ve formátu souboru podle vašeho výběru
Jak používat zachycení vzorků
Pokud si chcete vyzkoušet používání Wireshark, ale vaše vlastní síť je z jakéhokoli důvodu nedostupná, je použití ‚sample capture‘ skvělou alternativou.Ukázkové zachycení vám poskytnou paketová data jiné sítě. Ukázku zachycení si můžete stáhnout na Wiki web Wireshark .
Web Wireshark wiki obsahuje řadu vzorových souborů pro zachycení, které lze stáhnout z celého webu. Jakmile si stáhnete ukázku, můžete ji použít kliknutím na Soubor > Otevřít a poté kliknutím na svůj soubor.
Capture Files lze také nalézt z následujících zdrojů:
Rozšíření schopností Wiresharku
Přestože je Wireshark skvělým nástrojem pro sledování paketů, není to nejlepší a konečný nástroj pro analýzu sítě. Wireshark můžete rozšířit a podpořit doplňkovými nástroji. Široká komunita podpůrných pluginů a platforem může vylepšit možnosti Wireshark.
Vyzkoušejte tyto doplňky Wireshark, abyste zlepšili své analytické schopnosti:
- Elastická sada s Wireshark Použijte Wireshark jako zdroj pro Elasticsearch a jeho související moduly pro správu dat k vytvoření lepšího prostředí pro analýzu, než poskytuje Wireshark sám o sobě. Produkty Elastic Stack jsou k použití zdarma.
- NetworkMiner je další analytický nástroj, který funguje na zdrojích z Wireshark. Tento nástroj je k dispozici v bezplatné i placené verzi.
- Zobrazit provoz zobrazuje živá data o provozu, identifikuje pakety podle protokolu.
Nástroj pro úplnou analýzu sítě, jako je monitor SolarWinds vysvětlený níže, by byl také dobrým doplňkem vaší sady nástrojů pro správu IT.
Monitor výkonu sítě SolarWinds: 360stupňová správa sítě –(ZKUŠEBNÍ VERZE ZDARMA)
Jako jedno z předních řešení správy sítě na trhu poskytuje SolarWinds Network Performance Monitor uživateli rozsáhlé funkce monitorování sítě, aby byla jejich síť bezpečná. Od monitorování šířky pásma po latenci v síti může uživatel sledovat všechny živé změny prostřednictvím řídicího panelu analýzy výkonu.
Panel živé analýzy výkonu poskytuje přehled o síťové infrastruktuře uživatele v reálném čase. Vizuální displej zobrazuje všechna aktivní síťová připojení a zařízení. Uživatel tak snáze odhalí neautorizovaná zařízení.
Uživatelsky přívětivé rozhraní umožňuje uživatelům definovat vlastní výstrahy, aby mohli být upozorněni, když v jejich síti nastanou neobvyklé změny. Pokud se nové zařízení pokusí připojit, může to být systémem označeno. Živá data generovaná na řídicím panelu analýzy lze také převést na zprávy a získat tak další informace.
- Multi-Vendor Networking Monitoring– Identifikujte a vyřešte problémy s výkonem od různých dodavatelů.
- Monitorování bezdrátové sítě– Zobrazení metrik výkonu z přístupových bodů, bezdrátových zařízení a klientů.
- Identifikujte mrtvé zóny sítě –Prohlédněte si teplotní mapu bezdrátové sítě a identifikujte oblasti se slabým signálem.
- Panel analýzy výkonu– Zobrazte si celý výkon sítě na jedné časové ose.Přetažením dat o výkonu sítě vytvořte živou vizualizaci dat.
- Inteligentní upozornění– Uživatelé definují způsob generování výstrah. Vyberte, které spouštěcí podmínky vygenerují upozornění na řídicím panelu.
SolarWinds Network Performance Monitor Stáhněte si ZDARMA 30denní zkušební verzi na SolarWinds.com
Wireshark: Jednoduchý a všestranný
Tím končí naše rozdělení toho, jak používat Wireshark. Ať už jste nový uživatel nebo veterán Wireshark, tato platforma je extrémně univerzální nástroj pro analýzu sítě. Pokud chcete z Wireshark vytěžit maximum, důrazně doporučujeme provést další průzkum na webu Wireshark.
To je ještě důležitější, pokud chcete používat pokročilejší funkce a vytvořit si vlastní disektory protokolů. Oficiální uživatelská příručka Wireshark nabízí nejkomplexnější soubor pokynů na toto téma.
Nezapomeňte používat externí pluginy a podpůrné softwarové programy od SolarWinds, protože mohou dramaticky zvýšit hloubku vašeho budoucího analytického úsilí. Pokud chcete další informace o optimalizaci sítě, prohlédněte si našeho podrobného průvodce síťovými analyzátory.
Jak používat Wireshark FAQ
Může Wireshark vidět veškerý síťový provoz?
Wireshark uvidí veškerý provoz určený pro port, ke kterému je připojen. Neuvidí provoz na vzdálené části sítě, která neprochází monitorovaným přepínačem. Zachytí pouze provoz odeslaný na monitorovaný port. Je však možné přimět přepínač, aby replikoval veškerý provoz na všech svých připojeních a předal jej na jeden port přepínače, kam byste měli připojit zařízení hostující Wireshark.
Ovlivňuje Wireshark výkon sítě?
Ne. Wireshark je posluchač, negeneruje provoz. Pokud však nastavíte přepínač v systému tak, aby duplikoval veškerý procházející provoz pro odesílání do portu monitorovaného Wiresharkem, pak se síťový provoz zvýší a výkon může být snížen.
Je nelegální používat Wireshark na veřejné wifi?
Není nezákonné používat Wireshark kdekoli, nicméně existují některé nezákonné činnosti, které může Wireshark usnadnit. Představte si Wireshark jako dalekohled. Není nezákonné dívat se dalekohledem vzduchem na projíždějící auta, ale je nezákonné jej používat k pohledu přes něčí okno.
Další tutoriály:
- Wireshark cheat sheet
- Jak dešifrovat SSL pomocí Wireshark
- Použití Wireshark k získání IP adresy neznámého hostitele
- Spuštění vzdáleného snímání pomocí Wireshark a tcpdump
- Vysvětlena chyba Wireshark „nenalezena žádná rozhraní“.
- Identifikujte hardware pomocí vyhledávání OUI ve Wiresharku
- Nejlepší alternativy Wireshark