A Wireshark használata: Hálózati elemzés, 2020 stílus

Több mint 20 évvel ezelőtt a Gerald Combs bejelentette az Ethereal 0.2.0-t, az első nyilvános verziót, amit most Wireshark-ként ismerünk. A Solaris és Linux számára kifejlesztett Wireshark nyílt forrású hálózat és csomagelemző. A projekt 1998-ban kezdte az Ethereal életét, de a nevét 2006-ban Wireshark-ra változtatta védjegyjogi kérdések miatt.

Ma a Wireshark a világ legfontosabb hálózati elemzője, több mint 600 közreműködő szerzővel, több díjjal és saját fejlesztői konferenciájával, a SharkFest-rel..

Ez az útmutató segít felépíteni és futni a Wireshark programmal. Megvizsgáljuk az alapokat, például a letöltést, a csomagok rögzítését, megtekintését és szűrését. A Wireshark számos olyan fejlett funkcióval rendelkezik, amelyekre ez a cikk nem terjed ki, de rengeteg oktatóanyag található ezekről a wirehark.org webhelyen..

Töltse le és állítsa be a Wireshark alkalmazást

A Wireshark letölthető a letöltési oldalán. A Windows vagy a MacOS operációs rendszerhez való letöltéséhez kattintson a hozzájuk tartozó hivatkozásokra a „stabil kiadás” szakasz alatt. Ha Linux forrásra van szüksége, görgessen az oldal aljára és keresse meg verziójának letöltését a „harmadik fél csomagjai” alatt.

Wireshark Letöltés

Miután letöltötte az alkalmazást, megkezdheti a telepítési folyamatot. Ha Windows felhasználó, telepítenie kell a WinPcap könyvtárat, amely lehetővé teszi az élő hálózati forgalom rögzítését. E nélkül csak az elmentett csomagokat tekintheti meg. A Wireshark legújabb verziójának alapértelmezés szerint telepítenie kell a WinPcap szoftvert.

Hasonlóképpen, feltétlenül telepítse az USBPcap-t, amely lehetővé teszi a Wireshark számára az USB-eszközök forgalmának rögzítését.

Hogyan lehet elfogni a csomagokat a Wireshark segítségével?

A Wireshark azon képességén alapszik, hogy elfogja a hálózati csomagokat, és olyan formátumban jelenítse meg őket, amelyet pusztán a halandók tudnak értelmezni. Ha nem biztos benne, hogy milyen hálózati csomagok vannak, akkor áttekinti azokat az IPv4 vs. IPv6 útmutatóban.

A letöltés és a telepítés után készen áll a Wireshark elindítására és a csomagok elfogására.

Wireshark-dob

A rögzítési folyamat elindításához ki kell választania a hálózati felületet. Az alkalmazás indításakor a rendelkezésre álló hálózati kapcsolatok láthatók az indító képernyőn. A speciális funkciók megtekintéséhez kattintson a „rögzítés” elemre, majd az „opciók” elemre..

Capture-opciók

Válassza ki a kapcsolatot a rögzítéshez:

  • Kattintson duplán a nevére.
  • A CTRL + E billentyűparancs segítségével.
  • Kattintson a bal oldali sarokban található eszköztár cápauszonyára.

Ha kész, a rögzítendő kapcsolatot kék vagy szürke árnyékolja, és a Wireshark elkezdi rögzíteni a hálózati forgalmat és részletezi azt. A felvételi folyamat leállításához nyomja meg a cápauszony melletti piros stop gombot. Alternatív megoldásként használhatja a CTRL + E billentyűparancsot.

A Wireshark-nal történő rögzítéskor a gyengéd mód alapértelmezés szerint engedélyezve van. Ez lehetővé teszi a hálózat összes csomagjának rögzítését, nem csupán a számítógépére vagy a hálózati adapterre címzett csomagok rögzítését. Ugyanakkor az optimális módot nem minden hálózati hardver és interfész támogatja. Megváltoztathatja a „Szerkesztés”, majd a „Beállítások…” kattintással..

Wireshark-preferenciák

Ellenőrizze a Wireshark GYIK-ot, hogy részletesebben tájékozódjon az átmeneti módról.

Tekintse meg a rögzített csomagokat a Wireshark segítségével

Most, hogy adatokat rögzített, ideje megnézni azokat. A csomagok megtekintésekor az információ három panelen oszlik meg: a csomaglista, a csomag részletei és a csomag bájtjai. A csomaglista a legfelső, és megjeleníti az időt, a forrást, a rendeltetési helyet, a protokollt és a kiegészítő információkat.  

Wireshark-packet_pane1
 

A csomag részleteinek ablaka a közepén helyezkedik el. Ahogy a neve is sugallja, részleteket jelenít meg a kiválasztott csomagról. Összecsukható lista formátumban mutatja a protokoll típusát, például IPv4 vagy IPv6, és a címeket, mint például az IP vagy a MAC.

Wireshark-packet-panE2

A csomag bájtok ablaka az alján található. A csomag nyers adatait tartalmazza, és hexadecimális vagy bit formátumban jeleníti meg.

Wireshark-packet-pane3

Csomagok szűrése a Wireshark segítségével

A hálózati forgalom elemzésének ideje alatt a forgalom szűkítése érdekében le kell állítania az olyan alkalmazásokat, amelyek küldését nem akarja látni. Még akkor is valószínűleg sok maradékcsomag marad meg, amelyeket átszitálhat. A Wireshark szűrői itt jönnek játékba. Kínál rögzítési szűrőket és megjelenítő szűrőket, és mindkettő eltérően befolyásolja a rögzítési fájlt.

A rögzítési szűrőket a rögzítési fájlra alkalmazzák a rögzítési folyamat megkezdése előtt, így eldöntheti, hogy mely csomagokat fogja felvenni a Wireshark. A megjelenítő szűrőket viszont a rögzítési fájlra alkalmazzák a tény után, lehetővé téve, hogy csak azokat a csomagokat láthassa, amelyek megfelelnek az Ön meghatározott kritériumainak.

Rögzítő szűrő hozzáadásához kattintson a beviteli mezőbe az indítási ablakban látható interfészek fölött. Beírhat egy szűrőt, például a TDP-t, vagy kattintson a bal oldali könyvjelző ikonra, és kiválaszthatja a legördülő listából. További lehetőségek eléréséhez a zöld könyvjelző ikonra kattintás után válassza a „Rögzítési szűrők kezelése” lehetőséget.

Wireshark-capture-szűrő

A rögzítési mező fölött egy másik beviteli mező jelenik meg, amelyen fel van tüntetve „a képernyőszűrő alkalmazása…”, ahol a megjelenítési szűrőket a rögzítési szűrők alkalmazására leírt módon lehet alkalmazni..

Wireshark-display-szűrő

Színkódolás a Wireshark segítségével

A Wireshark színszabályai lehetővé teszik a csomagok további különválasztását és individualizálását a kiemelt színük alapján. Ilyen módon egy pillanat alatt azonosíthat bizonyos típusú forgalmat vagy hibákat. A Wireshark beépített színes könyvtára mintegy 20 árnyalatot kínál, amelyek mindegyike szerkeszthető, letiltható vagy törölhető.

A színezési lehetőségekhez az eszköztár „Nézet” elemére kattintva férhet hozzá, majd a „Színezési szabályok” lehetőségre kattint.

Wireshark-színek

A csomagok színezését letilthatja, ha rákattint a „nézet” elemre, és a legördülő menüben átváltja a „csomagos csomag színezése” opcióra..

Wireshark-colors2

Hálózati statisztikák megtekintése a Wireshark-ban

A Wireshark különféle adatokat és mutatókat kínál a hálózatával kapcsolatban, amelyek az eszköztár „statisztikák” legördülő menüjével érhetők el. A mutatók tartalmazzák a feloldott címeket, az IPv4 statisztikákat, az IPv6 statisztikákat és más táblázatokat és grafikonokat. Itt is használhat képernyőszűrőket. A statisztikák különféle formátumokba exportálhatók, például .txt, .csv és .xml.

Wireshark-statisztika

Végső gondolatok

A Wireshark egy egyszerű, de sokoldalú hálózati elemző, és ami a legjobb, ingyenes. Noha ezen útmutató célja az alapok bemutatása, a kezünkbe csak annak kezdték megkarcolni, hogy mit tehet a Wireshark. Ha azt akarja, hogy elsajátítsa a Wireshark programot, és kódolja saját protokoll-boncolóit, a hivatalos Wireshark felhasználói útmutató a hivatalos referencia.

A Wireshark wiki egy másik nagyszerű forrás, amelyet a programmal együtt lehet használni, mert oktatóanyagokat, mintafogókat, eszközöket és pluginokat tartalmaz.

További szoftverhez keresse meg a legjobb antivírusokat, a legjobb jelszókezelőket és a legjobb könyvelő szoftvereket. Ellenkező esetben köszönjük az olvasást, és tudassa velünk egy megjegyzésben vagy tweetben, ha van Wireshark-tippeid vagy trükköid.

Kim Martin
Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me