Wireshark - ведущий анализатор сетевых протоколов, используемый профессионалами в области безопасности во всем мире. Он позволяет обнаруживать аномалии в компьютерных сетях и находить первопричины. Мы продемонстрируем, как использовать Wireshark в следующих разделах.
Итак, как это работает? И как на самом деле использовать Wireshark для захвата пакетов данных?
Как работает Wireshark?
Надежный набор функций Wireshark сделал его одним из лучшие инструменты для устранения проблем с сетью. Многие люди используют Wireshark, включая сетевых администраторов, аудиторов безопасности, аналитиков вредоносных программ и даже злоумышленников.
У вас проблемы с сетью? Или просто хотите узнать больше о своей домашней сети? Эти семь инструментов могут помочь вам проанализировать и устранить неполадки в вашей сети.
Это позволяет выполнять глубокую проверку текущих или сохраненных сетевых пакетов. Когда вы начнете использовать Wireshark, вы будете очарованы объемом информации, который он может предложить. Однако из-за слишком большого количества информации зачастую сложно не сбиться с пути.
К счастью, мы можем смягчить это с помощью расширенных возможностей фильтрации Wireshark. Подробнее о них мы поговорим позже. Рабочий процесс состоит из захвата сетевых пакетов и фильтрации необходимой информации.
Как использовать Wireshark для захвата пакетов
После запуска Wireshark отобразятся сетевые интерфейсы, подключенные к вашей системе. Вы должны заметить кривые, представляющие сетевую связь рядом с каждым интерфейсом.
Теперь вам нужно выбрать конкретный интерфейс, прежде чем вы сможете начать захват пакетов. Для этого выберите название интерфейса и нажмите на синий акулий плавник значок. Вы также можете сделать это, дважды щелкнув имя интерфейса.
Wireshark начнет перехват входящих и исходящих пакетов для выбранного интерфейса. Нажмите на красный Пауза значок, чтобы остановить захват. Вы должны увидеть список сетевых пакетов, принятых во время этого процесса.
Wireshark отобразит источник и место назначения для каждого пакета вместе с протоколом. Однако в большинстве случаев вас будет интересовать содержимое информационного поля.
Вы можете проверить отдельные пакеты, щелкнув по ним. Таким образом, вы можете просмотреть все пакетные данные.
Как сохранить захваченные пакеты в Wireshark
Поскольку Wireshark захватывает много трафика, иногда вам может понадобиться сохранить их для более поздней проверки. К счастью, сохранить перехваченные пакеты с помощью Wireshark не составит труда.
Чтобы сохранить пакеты, остановите активный сеанс. Затем нажмите на файл значок, расположенный в верхнем меню. Вы также можете использовать Ctrl + S сделать это.
Wireshark может сохранять пакеты в нескольких форматах, включая pcapng, pcap и dmp. Вы также можете сохранять захваченные пакеты в формате, отличном от других. инструменты сетевого анализа можно позже использовать.
Как анализировать захваченные пакеты
Вы можете проанализировать ранее захваченные пакеты, открыв файл захвата. В главном окне нажмите Файл> Открыть а затем выберите соответствующий сохраненный файл.
Вы также можете использовать Ctrl + O сделать это быстро. После того, как вы проанализировали пакеты, выйдите из окна проверки, перейдя в Файл> Закрыть.
Как использовать фильтры Wireshark
Wireshark предлагает множество надежных возможностей фильтрации. Фильтры бывают двух типов: фильтры отображения и фильтры захвата.
Использование фильтров отображения Wireshark
Фильтры отображения используются для просмотра определенных пакетов из всех захваченных пакетов. Например, мы можем использовать фильтр отображения icmp для просмотра всех пакетов данных ICMP.
Вы можете выбирать из большого количества фильтров. Более того, вы также можете определить собственные правила фильтрации для тривиальных задач. Чтобы добавить персонализированные фильтры, перейдите в Анализировать> Фильтры отображения. Нажать на + значок, чтобы добавить новый фильтр.
Использование фильтров захвата Wireshark
Фильтры захвата используются для указания, какие пакеты захватывать во время сеанса Wireshark. Он производит значительно меньше пакетов, чем стандартный захват. Вы можете использовать их в ситуациях, когда вам нужна конкретная информация об определенных пакетах.
Введите свой фильтр захвата в поле прямо над списком интерфейсов в главном окне. Выберите имя интерфейса из списка и введите имя фильтра в поле выше.
Нажмите на синий акулий плавник значок, чтобы начать захват пакетов. В следующем примере используется арп фильтр для захвата только транзакций ARP.
Использование правил раскраски Wireshark
Wireshark предоставляет несколько правил окраски, которые ранее назывались цветными фильтрами. Это отличная функция для анализа обширного сетевого трафика. Вы также можете настроить их по своему усмотрению.
Чтобы отобразить текущие правила раскраски, перейдите в Просмотр> Правила раскраски. Здесь вы можете найти правила окраски по умолчанию для вашей установки.
Вы можете изменить их как хотите. Кроме того, вы также можете использовать правила окраски других людей, импортировав файл конфигурации.
Загрузите файл, содержащий пользовательские правила, и затем импортируйте его, выбрав Просмотр> Правила раскраски> Импорт. Аналогичным образом вы можете экспортировать правила.
Wireshark в действии
До сих пор мы обсуждали некоторые из основных функций Wireshark. Давайте выполним несколько практических операций, чтобы продемонстрировать, как они интегрируются.
Для этой демонстрации мы создали базовый сервер Go. Он возвращает простое текстовое сообщение для каждого запроса. Как только сервер будет запущен, мы сделаем несколько HTTP-запросов и захватим живой трафик. Обратите внимание, что мы запускаем сервер на локальном хосте.
Сначала мы инициируем захват пакета, дважды щелкнув интерфейс Loopback (localhost). Следующим шагом будет запуск нашего локального сервера и отправка запроса GET. Для этого мы используем curl.
Wireshark будет захватывать все входящие и исходящие пакеты во время этого разговора. Мы хотим просмотреть данные, отправленные нашим сервером, поэтому мы будем использовать http.response фильтр отображения для просмотра пакетов ответа.
Теперь Wireshark скроет все остальные захваченные пакеты и отобразит только ответные пакеты. Если вы внимательно посмотрите на детали пакета, вы должны заметить данные в виде открытого текста, отправленные нашим сервером.
Полезные команды Wireshark
Вы также можете использовать различные команды Wireshark для управления программным обеспечением с вашего терминала Linux. Вот несколько основных команд Wireshark:
- WireShark запускает Wireshark в графическом режиме.
- wirehark -h отображает доступные параметры командной строки.
- wirehark -i ИНТЕРФЕЙС выбирает ИНТЕРФЕЙС в качестве интерфейса захвата.
Тшарк это альтернатива командной строки для Wireshark. Он поддерживает все основные функции и чрезвычайно эффективен.
Анализируйте сетевую безопасность с помощью Wireshark
Богатый набор функций Wireshark и расширенные правила фильтрации делают анализ пакетов продуктивным и простым. Вы можете использовать его для поиска всевозможной информации о вашей сети. Попробуйте его основные функции, чтобы узнать, как использовать Wireshark для анализа пакетов.
Wireshark доступен для загрузки на устройствах под управлением Windows, macOS и Linux.
Хотите контролировать свою сеть или удаленные устройства? Вот как превратить Raspberry Pi в инструмент сетевого мониторинга с помощью Nagios.
- Linux
- Mac
- Окна
- Безопасность
- Интернет-безопасность
Рубайат - выпускник компьютерных наук с сильной страстью к открытым исходным текстам. Помимо того, что он ветеран Unix, он также занимается сетевой безопасностью, криптографией и функциональным программированием. Он страстный коллекционер подержанных книг и безгранично восхищается классическим роком.
Подписывайтесь на нашу новостную рассылку
Подпишитесь на нашу рассылку, чтобы получать технические советы, обзоры, бесплатные электронные книги и эксклюзивные предложения!
Еще один шаг…!
Пожалуйста, подтвердите свой адрес электронной почты в электронном письме, которое мы вам только что отправили.
