Wireshark ir vadošais tīkla protokola analizators, ko izmanto drošības profesionāļi visā pasaulē. Tas ļauj atklāt anomālijas datortīklos un atrast cēloņus. Turpmākajās sadaļās parādīsim, kā izmantot Wireshark.

Tātad, kā tas darbojas? Un kā jūs faktiski izmantojat Wireshark, lai tvertu datu paketes?

Kā darbojas Wireshark?

Wireshark spēcīgais funkciju komplekts ir padarījis to par vienu no labākie rīki tīkla problēmu novēršanai. Daudzi cilvēki izmanto Wireshark, tostarp tīkla administratori, drošības auditori, ļaunprātīgas programmatūras analītiķi un pat uzbrucēji.

7 labākie rīki tīkla problēmu novēršanai

Vai jums ir tīkla problēma? Vai vienkārši vēlaties uzzināt vairāk par savu mājas tīklu? Šie septiņi rīki var palīdzēt analizēt un novērst tīkla problēmas.

Tas ļauj jums veikt dziļu tiešraides vai uzglabātu tīkla pakešu pārbaudi. Sākot lietot Wireshark, jūs aizrauj informācijas daudzums, ko tā var piedāvāt. Tomēr pārāk daudz informācijas bieži apgrūtina ceļa saglabāšanu.

Par laimi, mēs to varam mazināt, izmantojot Wireshark uzlabotās filtrēšanas iespējas. Mēs tos sīkāk apspriedīsim vēlāk. Darbplūsma sastāv no tīkla pakešu tveršanas un nepieciešamās informācijas filtrēšanas.

instagram viewer

Kā izmantot Wireshark pakešu tveršanai

Kad palaidīsit Wireshark, tas parādīs tīkla saskarnes, kas savienotas ar jūsu sistēmu. Blakus katram interfeisam vajadzētu pamanīt līknes, kas attēlo tīkla komunikāciju.

Tagad, pirms sākat tvert pakešu, jums jāizvēlas īpašs interfeiss. Lai to izdarītu, atlasiet interfeisa nosaukumu un noklikšķiniet uz zilās krāsas haizivs spura ikona. To var izdarīt arī, veicot dubultklikšķi uz interfeisa nosaukuma.

Wireshark sāks uztvert ienākošās un izejošās paketes izvēlētajam interfeisam. Noklikšķiniet uz sarkanās krāsas pauze ikona, lai apturētu uzņemšanu. Jums vajadzētu redzēt šī procesa laikā paņemto tīkla pakešu sarakstu.

Wireshark blakus protokolam parādīs katras paketes avotu un galamērķi. Tomēr lielākoties jūs interesēs informācijas lauka saturs.

Jūs varat pārbaudīt atsevišķas paketes, noklikšķinot uz tām. Tādā veidā jūs varat apskatīt visu pakešdatu.

Kā saglabāt sagūstītās paketes Wireshark

Tā kā Wireshark uztver lielu datplūsmu, dažreiz ieteicams tos saglabāt vēlākai pārbaudei. Par laimi, sagūstīto pakešu saglabāšana, izmantojot Wireshark, ir bez piepūles.

Lai saglabātu paketes, pārtrauciet aktīvo sesiju. Pēc tam noklikšķiniet uz failu ikona, kas atrodas augšējā izvēlnē. Jūs varat arī izmantot Ctrl + S lai to izdarītu.

Wireshark var saglabāt paketes vairākos formātos, ieskaitot pcapng, pcap un dmp. Uzņemtās paketes var arī saglabāt citā formātā tīkla analīzes rīki var vēlāk izmantot.

Kā analizēt sagūstītās paketes

Varat analizēt iepriekš uzņemtās paketes, atverot uztveršanas failu. Kad esat nonācis galvenajā logā, noklikšķiniet uz Fails> Atvērt un pēc tam atlasiet attiecīgo saglabāto failu.

Jūs varat arī izmantot Ctrl + O lai to izdarītu ātri. Kad esat analizējis paketes, aizveriet pārbaudes logu, dodoties uz Fails> Aizvērt.

Kā lietot Wireshark filtrus

Wireshark piedāvā daudzas spēcīgas filtrēšanas iespējas. Filtri ir divu veidu - displeja filtri un uztveršanas filtri.

Izmantojot Wireshark displeja filtrus

Displeja filtri tiek izmantoti, lai apskatītu noteiktas paketes no visām uzņemtajām paketēm. Piemēram, mēs varam izmantot displeja filtru icmp lai apskatītu visas ICMP datu paketes.

Jūs varat izvēlēties no liela skaita filtru. Turklāt jūs varat arī definēt pielāgotus filtrēšanas noteikumus triviāliem uzdevumiem. Lai pievienotu personalizētus filtrus, dodieties uz Analizēt> Displeja filtri. Noklikšķiniet uz + ikona, lai pievienotu jaunu filtru.

Izmantojot Wireshark uztveršanas filtrus

Uzņemšanas filtri tiek izmantoti, lai norādītu, kuras paketes sagūstīt Wireshark sesijas laikā. Tas rada ievērojami mazāk pakešu nekā standarta tveršana. Tos var izmantot situācijās, kad nepieciešama konkrēta informācija par noteiktām paketēm.

Ievadiet uztveršanas filtru laukā tieši virs saskarņu saraksta galvenajā logā. Sarakstā atlasiet interfeisa nosaukumu un iepriekš norādītajā laukā ierakstiet filtra nosaukumu.

Noklikšķiniet uz zilās krāsas haizivs spura ikona, lai sāktu tvert paketes. Šis piemērs izmanto arp filtrs, lai tvertu tikai ARP darījumus.

Izmantojot Wireshark krāsošanas noteikumus

Wireshark nodrošina vairākus krāsošanas noteikumus, kas iepriekš tika saukti par krāsu filtriem. Tā ir lieliska iespēja, analizējot plašu tīkla trafiku. Varat arī tos pielāgot, pamatojoties uz vēlmēm.

Lai parādītu pašreizējos krāsošanas noteikumus, dodieties uz Skats> Krāsošanas noteikumi. Šeit jūs varat atrast instalēšanas noklusējuma krāsošanas noteikumus.

Jūs varat tos modificēt, kā vēlaties. Turklāt jūs varat izmantot arī citu cilvēku krāsas noteikumus, importējot konfigurācijas failu.

Lejupielādējiet failu ar pielāgotajiem noteikumiem un pēc tam importējiet to, atlasot Skats> Krāsošanas noteikumi> Importēt. Jūs varat eksportēt kārtulas līdzīgi.

Wireshark darbībā

Līdz šim mēs esam apsprieduši dažas Wireshark galvenās iezīmes. Veiksim dažas praktiskas darbības, lai parādītu, kā tās integrējas.

Šai demonstrācijai mēs esam izveidojuši pamata Go serveri. Katram pieprasījumam tā atgriež vienkāršu īsziņu. Kad serveris darbojas, mēs veiksim dažus HTTP pieprasījumus un uztversim tiešo datplūsmu. Ņemiet vērā, ka serveri palaižam localhost.

Pirmkārt, mēs sākam pakešu uztveršanu, veicot dubultklikšķi uz Loopback (localhost) saskarnes. Nākamais solis ir sākt vietējo serveri un nosūtīt GET pieprasījumu. Lai to izdarītu, mēs izmantojam čokurošanos.

Wireshark šīs sarunas laikā uztvers visas ienākošās un izejošās paketes. Mēs vēlamies apskatīt mūsu servera sūtītos datus, tāpēc izmantosim http.atbilde displeja filtrs atbildes pakešu skatīšanai.

Tagad Wireshark paslēps visas pārējās tvertnes un parādīs tikai atbildes paketes. Ja rūpīgi aplūkojat detalizētu informāciju par paketēm, jums vajadzētu pamanīt mūsu servera sūtītos vienkāršā teksta datus.

Noderīgas Wireshark komandas

Varat arī izmantot dažādas Wireshark komandas, lai kontrolētu programmatūru no sava Linux termināla. Šeit ir dažas pamata Wireshark komandas:

  • vadu haizivs startē Wireshark grafiskajā režīmā.
  • vadu haizivs -h parāda pieejamās komandrindas opcijas.
  • wireshark -i INTERFACE kā uztveršanas interfeisu izvēlas INTERFACE.

Tshark ir komandrindas alternatīva Wireshark. Tas atbalsta visas būtiskās funkcijas un ir ārkārtīgi efektīvs.

Analizējiet tīkla drošību, izmantojot Wireshark

Wireshark bagātīgo funkciju kopa un uzlabotie filtrēšanas noteikumi padara pakešu analīzi produktīvu un vienkāršu. To var izmantot, lai atrastu visa veida informāciju par savu tīklu. Izmēģiniet tās pamata funkcijas, lai uzzinātu, kā Wireshark izmantot pakešu analīzei.

Wireshark ir pieejams lejupielādei ierīcēs, kurās darbojas sistēma Windows, macOS un Linux.

E-pasts
Kā pārvērst savu Raspberry Pi tīkla uzraudzības rīkā

Vai vēlaties pārraudzīt savu tīklu vai attālās ierīces? Lūk, kā padarīt Raspberry Pi par tīkla uzraudzības rīku, izmantojot Nagios.

Saistītās tēmas
  • Linux
  • Mac
  • Windows
  • Drošība
  • Tiešsaistes drošība
Par autoru
Rubaiat Hossain (Publicēti 6 raksti)

Rubaiat ir CS grāds ar lielu aizraušanos ar atvērtā koda. Papildus tam, ka viņš ir Unix veterāns, viņš nodarbojas arī ar tīkla drošību, kriptogrāfiju un funkcionālu programmēšanu. Viņš ir dedzīgs lietotu grāmatu kolekcionārs un nebeidzami apbrīno klasisko roku.

Vairāk no Rubaiat Hossain

Abonējiet mūsu biļetenu

Pievienojieties mūsu informatīvajam izdevumam par tehniskiem padomiem, atsauksmēm, bezmaksas e-grāmatām un ekskluzīviem piedāvājumiem!

Vēl viens solis !!!

Lūdzu, apstipriniet savu e-pasta adresi e-pastā, kuru tikko nosūtījām.

.