Ce să știți
- Wireshark este o aplicație open-source care captează și afișează date care călătoresc înainte și înapoi pe o rețea.
- Deoarece poate detalia și citi conținutul fiecărui pachet, este folosit pentru depanarea problemelor de rețea și testarea software-ului.
Instrucțiunile din acest articol se aplică Wireshark 3.0.3 pentru Windows și Mac.
Ce este Wireshark?
Cunoscut inițial sub numele de Ethereal, Wireshark afișează date de la sute de protocoale diferite pe toate tipurile majore de rețea. Pachetele de date pot fi vizualizate în timp real sau analizate offline. Wireshark acceptă zeci de formate de fișiere de captură / urmărire, inclusiv CAP și ERF. Instrumentele integrate de decriptare afișează pachetele criptate pentru mai multe protocoale comune, inclusiv WEP și WPA / WPA2.
Cum să descărcați și să instalați Wireshark
Wireshark poate fi descărcat gratuit de pe site-ul web Wireshark Foundation atât pentru macOS, cât și pentru Windows. Veți vedea cea mai recentă versiune stabilă și actuala versiune de dezvoltare. Dacă nu sunteți un utilizator avansat, descărcați versiunea stabilă.
:max_bytes(150000):strip_icc()/001_wireshark-tutorial-4143298-52d1294a66f64810b14dbfc6fdbe00de.jpg)
În timpul procesului de configurare Windows, alegeți să instalați WinPcap or Npcap dacă vi se solicită, deoarece acestea includ biblioteci necesare pentru captarea datelor live.
:max_bytes(150000):strip_icc()/001-wireshark-tutorial-4143298-8944764352c445c89af8571085055965.jpg)
Trebuie să fiți conectat la dispozitiv ca administrator pentru a utiliza Wireshark. În Windows 10, căutați Wireshark și selectați Executare ca administrator. În macOS, faceți clic dreapta pe pictograma aplicației și selectați Obtine informatii. În Partajare și permisiuni setări, dați administratorului Citeste, scrie privilegii.
:max_bytes(150000):strip_icc()/002-wireshark-tutorial-4143298-09827053b9cd4445ac165d68a0039808.jpg)
Aplicația este, de asemenea, disponibilă pentru Linux și alte platforme similare UNIX, inclusiv Red Hat, Solaris și FreeBSD. Binarele necesare pentru aceste sisteme de operare pot fi găsite în partea de jos a paginii de descărcare Wireshark sub Pachete terțe secțiune. De asemenea, puteți descărca codul sursă al Wireshark din această pagină.
Cum se captează pachete de date cu Wireshark
Când lansați Wireshark, un ecran de întâmpinare listează conexiunile de rețea disponibile pe dispozitivul dvs. curent. Afișat în dreapta fiecăruia este un grafic liniar în stil EKG care reprezintă traficul live din acea rețea.
Pentru a începe capturarea pachetelor cu Wireshark:
-
Selectați una sau mai multe rețele, accesați bara de meniu, apoi selectați Captura.
Pentru a selecta mai multe rețele, țineți apăsat butonul Schimba tasta în timp ce faceți selecția.
:max_bytes(150000):strip_icc()/003-wireshark-tutorial-4143298-024370e017284dc0a251f91a3566cf06.jpg)
-
În Interfețe de captură Wireshark fereastră, selectați acasă.
Există și alte modalități de a iniția capturarea pachetelor. Selectează aripi de rechin în partea stângă a barei de instrumente Wireshark, apăsațiCtrl + Esau faceți dublu clic pe rețea.
:max_bytes(150000):strip_icc()/004-wireshark-tutorial-4143298-3db6aeba8777467c8fc3e42ac304f3f6.jpg)
-
Selectați Fișier > Salvare ca sau alegeți un Export opțiunea de a înregistra captura.
:max_bytes(150000):strip_icc()/005-wireshark-tutorial-4143298-c60e3bb4537a4615b8326d5ff8550407.jpg)
-
Pentru a opri captura, apăsați Ctrl + E. Sau accesați bara de instrumente Wireshark și selectați roșu Stop buton care se află lângă aripa de rechin.
:max_bytes(150000):strip_icc()/006-wireshark-tutorial-4143298-016d2b41501149d994d0d9e78239d964.jpg)
Cum să vizualizați și să analizați conținutul pachetelor
Interfața de date capturată conține trei secțiuni principale:
- Panoul listei de pachete (secțiunea de sus)
- Panoul de detalii al pachetului (secțiunea din mijloc)
- Panoul de octeți de pachete (secțiunea de jos)
:max_bytes(150000):strip_icc()/008_wireshark-tutorial-4143298-7fc1de4be4e746278f59f2179a453528.jpg)
Lista de pachete
Panoul listei de pachete, situat în partea de sus a ferestrei, arată toate pachetele găsite în fișierul de captură activă. Fiecare pachet are propriul rând și numărul corespunzător atribuit acestuia, împreună cu fiecare dintre aceste puncte de date:
- Nu: Acest câmp indică ce pachete fac parte din aceeași conversație. Rămâne necompletat până când selectați un pachet.
- Timp: Marcajul de timp al momentului în care a fost capturat pachetul este afișat în această coloană. Formatul implicit este numărul de secunde sau secunde parțiale de la crearea acestui fișier de captură specific.
- Sursa: Această coloană conține adresa (IP sau alta) de unde a provenit pachetul.
- Destinaţie: Această coloană conține adresa către care este trimis pachetul.
- Protocol: Numele protocolului pachetului, cum ar fi TCP, poate fi găsit în această coloană.
- Lungime: Lungimea pachetului, în octeți, este afișată în această coloană.
- Info: Detalii suplimentare despre pachet sunt prezentate aici. Conținutul acestei coloane poate varia foarte mult în funcție de conținutul pachetului.
Pentru a schimba formatul orei la ceva mai util (cum ar fi ora efectivă a zilei), selectați Vizualizare > Format de afișare a orei.
:max_bytes(150000):strip_icc()/007-wireshark-tutorial-4143298-ac0e56f1a0984c1b93a91b1641c7fe88.jpg)
Când este selectat un pachet în panoul superior, este posibil să observați că unul sau mai multe simboluri apar în Nu. coloană. Parantezele deschise sau închise și o linie dreaptă orizontală indică dacă un pachet sau un grup de pachete fac parte din aceeași conversație înainte și înapoi în rețea. O linie orizontală întreruptă înseamnă că un pachet nu face parte din conversație.
:max_bytes(150000):strip_icc()/008-wireshark-tutorial-4143298-13534b80059945e88759286cb3338360.jpg)
Detalii pachet
Panoul de detalii, găsit în mijloc, prezintă protocoalele și câmpurile de protocol ale pachetului selectat într-un format pliabil. În plus față de extinderea fiecărei selecții, puteți aplica filtre Wireshark individuale pe baza detaliilor specifice și puteți urmări fluxurile de date pe baza tipului de protocol făcând clic dreapta pe elementul dorit.
:max_bytes(150000):strip_icc()/009-wireshark-tutorial-4143298-490a6676280b43cd900557647ff9e92d.jpg)
Pachete de octeți
În partea de jos este panoul de octeți de pachete, care afișează datele brute ale pachetului selectat într-o vizualizare hexazecimală. Această descărcare hexagonală conține 16 octeți hexazecimali și 16 octeți ASCII alături de compensarea datelor.
Selectarea unei anumite porțiuni din aceste date evidențiază automat secțiunea corespunzătoare din panoul de detalii al pachetului și invers. Orice octeți care nu pot fi imprimați sunt reprezentați de un punct.
:max_bytes(150000):strip_icc()/010-wireshark-tutorial-4143298-9b5ba526d6e54f8bb3ac49eaea6d08fa.jpg)
Pentru a afișa aceste date în format de biți spre deosebire de hexazecimal, faceți clic dreapta oriunde în panou și selectați ca biți.
:max_bytes(150000):strip_icc()/011-wireshark-tutorial-4143298-0b7390128b5a47c38aca851eeed120b5.jpg)
Cum se utilizează filtrele Wireshark
Filtrele de captură instruiesc Wireshark să înregistreze numai pachetele care îndeplinesc criteriile specificate. Filtrele pot fi aplicate și unui fișier de captură care a fost creat astfel încât să fie afișate doar anumite pachete. Acestea sunt denumite filtre de afișare.
Wireshark oferă în mod implicit un număr mare de filtre predefinite. Pentru a utiliza unul dintre aceste filtre existente, introduceți numele acestuia în Aplicați un filtru de afișare câmp de intrare situat sub bara de instrumente Wireshark sau în Introduceți un filtru de captură câmp situat în centrul ecranului de întâmpinare.
De exemplu, dacă doriți să afișați pachete TCP, tastați tcp. Funcția de completare automată Wireshark afișează numele sugerate pe măsură ce începeți să tastați, facilitând găsirea apelativului corect pentru filtrul pe care îl căutați.
:max_bytes(150000):strip_icc()/012-wireshark-tutorial-4143298-5e45505c0f434a9ba2d3a8f70a850617.jpg)
Un alt mod de a alege un filtru este să selectați semn de carte în partea stângă a câmpului de intrare. Alege Gestionați expresiile de filtrare or Gestionați filtrele de afișare pentru a adăuga, elimina sau edita filtre.
:max_bytes(150000):strip_icc()/013-wireshark-tutorial-4143298-f169e33e47ba4aafb336b9d47029867d.jpg)
De asemenea, puteți accesa filtrele utilizate anterior selectând săgeata în jos din partea dreaptă a câmpului de intrare pentru a afișa o listă verticală istorică.
:max_bytes(150000):strip_icc()/014-wireshark-tutorial-4143298-f09d24778ff94ff29a2bbd3ee883fc4c.jpg)
Filtrele de captură sunt aplicate imediat ce începeți înregistrarea traficului de rețea. Pentru a aplica un filtru de afișare, selectați săgeata dreapta din partea dreaptă a câmpului de intrare.
Regulile de culoare Wireshark
În timp ce filtrele de captare și afișare Wireshark limitează pachetele care sunt înregistrate sau afișate pe ecran, funcția sa de colorare duce lucrurile cu un pas mai departe: Poate distinge între diferite tipuri de pachete pe baza nuanței lor individuale. Aceasta localizează rapid anumite pachete într-un set salvat de culoarea rândurilor lor în panoul listei de pachete.
:max_bytes(150000):strip_icc()/wireshark-colors-59512e8f3df78cae8137715b.png)
Wireshark vine cu aproximativ 20 de reguli implicite de colorare, fiecare poate fi editat, dezactivat sau șters. Selectați Vizualizare > Reguli de colorat pentru o imagine de ansamblu a ceea ce înseamnă fiecare culoare. De asemenea, puteți adăuga propriile filtre bazate pe culori.
:max_bytes(150000):strip_icc()/015-wireshark-tutorial-4143298-91567e80185c4f16bfc46f6793c0301a.jpg)
Selectați Vizualizare > Colorizați lista de pachete pentru a activa sau dezactiva colorarea pachetelor.
Statistici în Wireshark
Alte valori utile sunt disponibile prin Statistici meniul derulant. Acestea includ informații despre dimensiune și sincronizare despre fișierul de captură, împreună cu zeci de diagrame și grafice care variază în subiect, de la defalcări de conversații de pachete până la distribuirea de solicitări HTTP.
:max_bytes(150000):strip_icc()/020__wireshark-tutorial-4143298-24bfe8984431438b9ba2ec43f701607d.jpg)
Filtrele de afișare pot fi aplicate la multe dintre aceste statistici prin interfețele lor, iar rezultatele pot fi exportate în formate de fișiere obișnuite, inclusiv CSV, XML și TXT.
Caracteristici avansate Wireshark
Wireshark acceptă, de asemenea, funcții avansate, inclusiv posibilitatea de a scrie disectoare de protocol în limbajul de programare Lua.