Kuinka käyttää Wiresharkia: täydellinen opetusohjelma

Wireshark on ilmainen sovellus, jonka avulla voit kaapata ja tarkastella verkossa matkustavia tietoja. Se tarjoaa mahdollisuuden poraamaan ja lukemaan kunkin paketin sisältöä ja suodatetaan vastaamaan erityistarpeitasi. Sitä käytetään yleisesti verkon ongelmien vianmääritykseen ja ohjelmistojen kehittämiseen ja testaamiseen. Tämä avoimen lähdekoodin analysaattori on yleisesti hyväksytty alan standardiksi ja voitti oikeudenmukaisen osuutensa palkinnoista vuosien varrella.

Wiresharkilla on alunperin tunnettu Ethereal, jonka käyttäjäystävällinen käyttöliittymä voi näyttää tietoja satoista eri protokollista kaikissa tärkeimmissä verkkotyypeissä. Datapaketteja voi tarkastella reaaliaikaisesti tai analysoida offline-tilassa. Wireshark tukee kymmeniä tuettuja / jäljitystiedostomuotoja, kuten CAP ja ERF. Integroitu salauksen purku työkalujen avulla voit tarkastella salattuja paketteja useille suosittuja protokollia, kuten WEP ja WPA / WPA2.

01/07

Wiresharkin lataaminen ja asentaminen

Wireshark on ladattavissa ilmaiseksi Wireshark-säätiön verkkosivuilla sekä macOS- että Windows-käyttöjärjestelmissä. Jos et ole edistyksellinen käyttäjä, suosittelemme lataamaan vain uusimman vakaata julkaisua. Windows-asennusprosessin aikana sinun on valittava WinPcap-ohjelma, jos sitä kehotetaan, koska siinä on kirjasto, jota tarvitaan tietojen keräämiseen.

Sovellus on saatavana myös Linuxille ja useimmille muille UNIX-kaltaisille alustoille, kuten Red Hat, Solaris ja FreeBSD. Näille käyttöjärjestelmille tarvittavat binäärit löytyvät kolmannen osapuolen pakettien osion lataussivun alareunasta. Voit myös ladata Wiresharkin lähdekoodin tästä sivusta.

02/07

Kuinka kaapata datapaketit

Kun käynnistät Wiresharkin ensimmäisen kerran, ilmestyy tervetullut näyttöruutu, joka sisältää luettelon käytettävissä olevista verkkoyhteyksistä nykyisellä laitteellasi. Tässä esimerkissä huomaat, että seuraavat yhteystyypit näkyvät: Bluetooth-verkkoyhteys, Ethernet, VirtualBox Host-Only Network ja Wi-Fi. Kunkin näytön oikealla puolella on EKG-tyyppinen viivakaavio, joka edustaa suorana liikennettä kyseisellä verkolla.

Aloita pakettien kaappaus valitsemalla yksi tai useampi verkko klikkaamalla valintasi ja käyttämällä Siirtää tai ctrl näppäimiä, jos haluat tallentaa tietoja useista verkkoista samanaikaisesti. Kun yhteystyyppi on valittu tallennustarkoituksiin, sen tausta on varjostettu joko sinisellä tai harmaalla. Klikkaa Kaapata päävalikossa, joka sijaitsee Wireshark-käyttöliittymän yläosassa. Kun pudotusvalikko tulee näkyviin, valitse alkaa vaihtoehto.

Voit myös käynnistää paketin kaappaamisen jonkin seuraavista oikote- noista.

• Näppäimistö: Painactrl + E.
• Hiiri: Jos haluat aloittaa pakettien kaappaamisen tietystä verkosta, kaksoisnapsauta sen nimeä.
• toolbar: Napsauta Wireshark-työkalupalkin vasemmalla puolella sijaitsevaa sinisen haiden finpainiketta.

Elävän kaappausprosessi alkaa ja Wireshark näyttää paketin yksityiskohdat tallennettaessa. Lopettaminen:

• Näppäimistö: Lehdistö ctrl + E
• toolbar: Napsauta punaista Stop painikkeella, joka sijaitsee Wireshark-työkalupalkin hainelan vieressä.

03/07

Paketin sisällön tarkastelu ja analysointi

Kun olet tallentanut joitain verkkotietoja, on aika tarkastella vangittuja paketteja. Kaapattu dataliitäntä sisältää kolme pääosaa: pakettiluetteloruudusta, pakettien yksityiskohtia ja paketin tavuista.

Pakettiluettelo

Paketinluettelo-ikkuna, joka sijaitsee ikkunan yläosassa, näyttää kaikki paketit, jotka löytyvät aktiivisesta kaappaustiedostosta. Jokaisella paketilla on oma rivi ja siihen vastaava numero sekä jokainen näistä datapisteistä.

• Aika: Tässä sarakkeessa näytetään aikaleima, kun paketti otettiin talteen. Oletusmuoto on sekuntien tai osittaisten sekuntimäärä, koska tämä erityinen kaappaustiedosto luotiin ensimmäisen kerran. Jos haluat muokata tätä muotoa jotain, joka voi olla hieman hyödyllisempi, kuten kellonajan, valitse Aika-näyttömuoto vaihtoehto Wiresharkilta näkymä valikon, joka sijaitsee päärajapinnan yläosassa.
• Lähde: Tämä sarake sisältää osoitteen (IP tai muu), josta paketti on peräisin.
• Destination: Tämä sarake sisältää osoitteen, johon paketti lähetetään.
• protokolla: Paketin protokollan nimi, kuten TCP, löytyy tässä sarakkeessa.
• Pituus: Tässä sarakkeessa näytetään paketin pituus tavuina.
• Tiedot: Lisätietoa paketista on esitetty tässä. Tämän sarakkeen sisältö voi vaihdella suuresti paketin sisällön mukaan.

Kun yläreunassa on valittu paketti, saatat huomata, että ensimmäisessä sarakkeessa näkyy yksi tai useampi symboli. Avoimet tai suljetut suluet ja suora vaakasuora viiva ilmaisevat, ovatko paketti tai pakettiryhmä kaikki osa samassa verkossa olevaa edestakaista keskustelua. Rikki vaakasuora viiva merkitsee sitä, että paketti ei ole osa mainittua keskustelua.

Paketin tiedot

Keskellä oleva yksityiskohdat-ikkuna esittelee valitun paketin protokollat ​​ja protokollan kentät kokoonpidetyssä muodossa. Jokaisen valinnan laajentamisen lisäksi voit käyttää yksittäisiä Wireshark-suodattimia tietyn yksityiskohtien perusteella ja seurata protokollatyyppien mukaista tietovirtaa yksityiskohdat -valikon avulla, joka on käytettävissä napsauttamalla hiiren kakkospainikkeella haluamaasi kohtaan tässä ruudussa.

Packet Bytes

Alareunassa on paketti tavut-paneeli, joka näyttää valitun paketin raakatiedot heksadesimaalikuvauksessa.Tämä hex-kaatopaikka sisältää 16 heksadesimaalilatausta ja 16 ASCII-tavua tiedonsiirron rinnalla.

Tiettyjen tietojen valitseminen automaattisesti korostaa sen vastaavan osan paketin yksityiskohtiin ja päinvastoin. Kaikki tavut, joita ei voi tulostaa, on sen sijaan aikakausi.

Voit halutessasi näyttää nämä tiedot bittimuotoisena heksadesimaalisesti napsauttamalla hiiren kakkospainikkeella mitä tahansa ruutuun ja valitsemalla sopivan vaihtoehdon pikavalikosta.

04/07

Käyttämällä Wireshark-suodattimia

Yksi Wiresharkin tärkeimmistä piirteistä on sen suodattimen ominaisuus, varsinkin kun kyseessä on tiedostoja, jotka ovat kooltaan merkittäviä. Kaappaussuodattimet voidaan asettaa ennen tosiasiaa, kehottaen Wiresharkia tallentamaan vain ne paketit, jotka täyttävät määritetyt kriteerit.

Suodattimia voidaan myös soveltaa kaappaustiedostoon, joka on jo luotu siten, että vain tiettyjä paketteja näytetään. Näitä kutsutaan näyttösuodattimeksi.

Wireshark tarjoaa useita ennalta määritettyjä suodattimia oletuksena, jolloin voit pienentää näkyvien pakettien määrää vain muutamalla näppäimellä tai hiiren klikkauksella. Jos haluat käyttää jotain näistä olemassa olevista suodattimista, kirjoita sen nimi Käytä näyttösuodatinta syöttökenttä, joka sijaitsee suoraan Wireshark-työkalupalkin alapuolella tai Syötä kaappaussuodatin syöttökenttä, joka sijaitsee tervetulonäytön keskellä.

On monia tapoja tämän saavuttamiseksi. Jos tiedät jo suodattimen nimen, kirjoita se oikeaan kenttään. Jos esimerkiksi haluat vain näyttää TCP-paketit, kirjoitat tcp. Wiresharkin automaattinen täydennysominaisuus näyttää ehdotettuja nimiä aloittaessasi kirjoittamisen, mikä helpottaa etsittävän suodattimen oikeaa monikertaa.

Toinen tapa valita suodatin on klikata kirjanmerkkimaista kuvaketta, joka sijaitsee kentän vasemmalla puolella. Tämä sisältää valikon, joka sisältää joitain yleisimmin käytettyjä suodattimia sekä vaihtoehtoa Hallitse kaappaussuodattimia tai Hallitse näyttösuodattimia. Jos päätät hallita kumpaakin tyyppiä, näyttöön tulee käyttöliittymä, jonka avulla voit lisätä, poistaa tai muokata suodattimia.

Voit myös käyttää aiemmin käytettyjä suodattimia valitsemalla alanurkakentän oikealla puolella oleva alasnuoli, jolloin näyttöön tulee avattava luettelo historiasta.

Kun asetettu, kaappaussuodattimet tulevat voimaan heti, kun aloitat verkon liikenteen rekisteröinnin. Voit käyttää näyttösuodatinta napsauttamalla oikeanpuoleista nuolipainiketta, joka löytyy syöttökentän oikealta puolelta.

05/07

Värisäännöt

Wiresharkin kaappaus- ja näyttösuodattimien avulla voit rajoittaa, mitkä paketit on tallennettu tai näytetty näytöllä. Sen väritysominaisuudet tekevät askelta eteenpäin helpottamalla eri pakettityyppien erottamista niiden yksilöllisen värisävyn perusteella. Tämän kätevän ominaisuuden avulla voit etsiä nopeasti tiettyjä paketteja tallennetusta joukosta niiden rivin väreinä pakettiluetteloruudusta.

Wiresharkin sisäänrakennettuna on noin 20 värikoodausta, joista jokainen voidaan muokata, poistaa käytöstä tai poistaa, jos haluat. Voit myös lisätä uusia värisävypohjaisia ​​suodattimia väritys-sääntöjen käyttöliittymän kautta näkymä valikko. Sen lisäksi, että määrität kunkin säännön nimen ja suodattimen kriteerit, sinua pyydetään yhdistämään sekä taustaväri että tekstin väri.

Packet väritys voidaan kytkeä pois ja päälle Colorize Packet List vaihtoehto löytyy myös näkymä valikko.

06/07

tilasto

Wiresharkin pääikkunassa näkyvien verkkotietojesi yksityiskohtaisten tietojen lisäksi useita muita hyödyllisiä tietoja ovat saatavilla tilasto pudotusvalikosta, joka löytyy näytön yläreunasta. Näihin kuuluvat itse tallennustiedoston koon ja ajoitustiedot sekä kymmeniä kaavioita ja kaavioita, jotka vaihtelevat aiheen mukaan pakettikeskustelujen hajotuksista HTTP-pyyntöjen jakeluun.

Näyttösuodattimia voidaan käyttää moniin näihin tilastoihin niiden rajapintojen kautta, ja tulokset voidaan viedä useisiin yhteisiin tiedostomuotoihin, kuten CSV, XML ja TXT.

07/07

Lisäominaisuudet

Wiresharkin tärkeimpien toimintojen lisäksi on käytettävissä myös lisäominaisuuksia tässä tehokkaassa työkalussa, joka yleensä on varattu edistyneille käyttäjille. Tämä sisältää kyvyn kirjoittaa omat protokollasektorit Lua-ohjelmointikielellä.