Wiresharkin käyttö: verkkoanalyysi, 2020-tyyli

Yli 20 vuotta sitten Gerald Combs julkaisi Ethereal 0.2.0: n, ensimmäisen julkisen version siitä, mitä tunnetaan nyt nimellä Wireshark. Solarikselle ja Linuxille kehitetty Wireshark on avoimen lähdekoodin verkko ja pakettianalysaattori. Projekti aloitti Ethereal-elämän vuonna 1998, mutta sen nimi muutettiin Wiresharkiksi vuonna 2006 tavaramerkkioikeusongelmien vuoksi.


Nykyään Wireshark on maailman tärkein verkkoanalysaattori, jolla on yli 600 kirjoittajaa, useita palkintoja ja oma kehittäjäkonferenssi, SharkFest.

Tämä opas auttaa sinua pääsemään alkuun ja ajamaan Wiresharkin kanssa. Käymme läpi perusasiat, kuten kuinka ladata se ja kaapata, tarkastella ja suodattaa paketteja. Wiresharkissa on monia edistyneitä ominaisuuksia, joita ei voida kattaa tämän artikkelin piirissä, mutta niistä on runsaasti opetusohjelmia osoitteessa wirehark.org.

Lataa ja asenna Wireshark

Wireshark on ladattavissa lataussivun kautta. Saadaksesi se Windowsille tai MacOS: lle, napsauta niiden vastaavia linkkejä “vakaan julkaisun” -osiossa. Jos tarvitset Linux-lähteen, vieritä sivun alaosaan ja etsi versiosi lataus kohdasta ”kolmannen osapuolen paketit”.

Wireshark ladata

Kun olet ladannut sovelluksen, voit aloittaa asennusprosessin. Jos olet Windows-käyttäjä, sinun on asennettava WinPcap-kirjasto, jonka avulla voit kaapata verkkoliikennettä. Ilman sitä voit katsella vain tallennettuja paketteja. Wiresharkin uusimman version pitäisi asentaa WinPcap oletuksena.

Samoin muista asentaa USBPcap, jonka avulla Wireshark voi tallentaa liikennettä USB-laitteista.

Kuinka kaapata paketteja Wiresharkilla

Wireshark perustuu kykyyn kaapata verkkopaketteja ja näyttää ne muodossa, jonka pelkät kuolevaiset voivat tulkita. Jos et ole varma, mitä verkkopaketit ovat, siirrymme niiden yli IPv4 vs. IPv6 -oppaassa.

Lataamisen ja asentamisen jälkeen olet valmis käynnistämään Wiresharkin ja aloittamaan pakettien sieppaamisen.

Wireshark laukaisua

Kaappausprosessin aloittamiseksi sinun on valittava verkkoliitäntä. Käynnistäessäsi sovelluksen näet käytettävissä olevat verkkoyhteydet aloitusnäytössä. Voit nähdä lisäominaisuudet myös napsauttamalla “sieppaus” ja valitsemalla “asetukset”.

Capture-optiot

Valitse yhteys sieppaamiseen:

  • Kaksoisnapsauta sen nimeä.
  • Käytä pikanäppäintä CTRL + E.
  • Napsauta hain evää työkalurivillä, joka sijaitsee vasemmassa reunassa.

Kun valmis, tallennettava yhteys varjostetaan sinisellä tai harmaalla ja Wireshark alkaa tallentaa verkkoliikennettä ja yksityiskohtaisesti sitä. Voit lopettaa tallennusprosessin painamalla punaista pysäytyspainiketta hain fin-painikkeen vieressä. Vaihtoehtoisesti voit käyttää CTRL + E-pikanäppäintä.

Kun kaappataan Wireshark-ohjelmalla, houkutteleva tila on oletuksena käytössä. Se mahdollistaa kaikkien verkon pakettien sieppaamisen, ei vain tietokoneellesi tai verkkosovittimelle osoitettujen pakettien sieppaamisen. Kaikki verkkolaitteet ja rajapinnat eivät tue lupaavaa tilaa. Sitä voidaan muuttaa napsauttamalla ”muokkaa” ja sitten ”asetukset…”.

Wireshark-asetuksia

Katso Wiresharkin UKK: sta lisätietoja houkuttelevasta tilasta.

Näytä siepatut paketit Wiresharkilla

Nyt kun olet tallentanut tietoja, on aika nähdä se. Kun tarkastelet paketteja, näet tiedot jakautuneena kolmeen ruutuun: pakettiluettelo, paketin tiedot ja paketin tavut. Pakettiluetteloruutu on ylin ja siinä näkyy aika, lähde, kohde, protokolla ja lisätiedot.  

Wireshark-packet_pane1
 

Paketin yksityiskohdat -ikkuna on keskellä. Kuten nimestä voi päätellä, se näyttää valitun paketin yksityiskohdat. Se näyttää protokollatyypin, kuten IPv4 tai IPv6, ja osoitteet, kuten IP tai MAC, kokoontaitettavassa luettelomuodossa.

Wireshark-paketti-pane2

Pakettitavujen ruutu on alareunassa. Se sisältää paketin raakatiedot ja näyttää sen heksadesimaalimuodossa tai bittimuodossa.

Wireshark-paketti-pane3

Pakettien suodattaminen Wiresharkilla

Aina kun analysoit verkkoliikennettä, haluat sulkea liikenteen sulkemalla sovellukset, jotka lähettävät paketteja, joita et halua nähdä. Silloinkin sinulla on todennäköisesti paljon jäljellä olevia paketteja, jotka seulotaan. Siellä Wiresharkin suodattimet tulevat peliin. Se tarjoaa sieppaussuodattimia ja näytön suodattimia, ja molemmat vaikuttavat sieppaustiedostoon eri tavalla.

Sieppaussuodattimet otetaan sieppaustiedostoon ennen tallennusprosessin alkamista, jolloin voit päättää, mitkä paketit Wireshark vangitsee. Näyttösuodattimet sitä vastoin otetaan sieppaustiedostoon tosiasian jälkeen, jolloin voit nähdä vain paketit, jotka täyttävät tietyt kriteerit.

Lisää sieppaussuodatin napsauttamalla aloitusikkunassa näkyvien rajapintojen yläpuolella olevaa merkintäkenttää. Voit kirjoittaa suodattimen, kuten TDP, tai napsauttaa vasemmalla olevaa kirjanmerkkikuvaketta ja valita avattavasta luettelosta. Kun haluat lisätietoja, napsauttamalla vihreää kirjanmerkkikuvaketta, valitse ”hallita sieppaussuodattimia”.

Wireshark-talteenotto-suodatin

Kaappauskentän yläpuolella näet toisen sisääntulokentän, jonka sanoma on “käytä näytön suodatinta …”, jossa voit käyttää näytön suodattimia samalla tavalla, joka kuvataan sieppaussuodattimien käytölle..

Wireshark-näyttö-suodatin

Värikoodaus Wiresharkilla

Wiresharkin värisäännöt antavat sinun erottaa paketit edelleen ja erotella niiden korostetun värin perusteella. Tällä tavalla voit tunnistaa tietyt liikennetyypit tai virheet yhdellä silmäyksellä. Wiresharkin sisäänrakennettu värikirjasto tarjoaa noin 20 sävyä, joita kaikkia voidaan muokata, poistaa käytöstä tai poistaa.

Voit käyttää väritysvaihtoehtoja napsauttamalla työkalurivin ”Näytä” kuin valitsemalla ”värityssäännöt”.

Wireshark-värit

Pakettien väritys voidaan poistaa käytöstä napsauttamalla Näytä ja napsauttamalla avattavan valikon “väritä pakettiluettelo” -vaihtoehto..

Wireshark-colors2

Verkkotilastojen katseleminen Wiresharkissa

Wireshark tarjoaa erilaisia ​​verkostosi tietoja ja mittareita, joihin pääsee työkalurivin avattavan Tilastot-valikon kautta. Mittarit sisältävät ratkaisetut osoitteet, IPv4-tilastot, IPv6-tilastot ja muut kaaviot ja kuvaajat. Siellä voit käyttää myös näytön suodattimia. Tilastoja voidaan viedä eri tiedostomuodoissa, kuten .txt, .csv ja .xml.

Wireshark-tilastot

Lopulliset ajatukset

Wireshark on yksinkertainen mutta monipuolinen verkkoanalysaattori, ja mikä parasta, se on ilmainen. Vaikka tämän oppaan tarkoituksena on näyttää sinulle perusasiat, olemme vasta alkaneet naarmuttaa pintaa siitä, mitä Wireshark voi tehdä. Jos haluat hallita Wiresharkin ja koodata omat protokollasegmenttisi, virallinen Wiresharkin käyttöopas on virallinen viite.

Wireshark-wiki on toinen hieno resurssi, jota voidaan käyttää ohjelman rinnalla, koska siinä on oppaita, näytteenkaappauksia ja työkaluja sekä laajennuksia.

Lisätietoja ohjelmista on parhailla viruksilla, parhailla salasanahallinnoilla ja parhailla kirjanpito-ohjelmistoilla. Muussa tapauksessa kiitos lukemisesta ja kerro meille kommentti tai twiitti, jos sinulla on Wiresharkin vinkkejä tai vinkkejä.

Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map