Ինչպես օգտագործել Wireshark. Ամբողջական ձեռնարկ

Բովանդակություն:

Ինչպես օգտագործել Wireshark. Ամբողջական ձեռնարկ
Ինչպես օգտագործել Wireshark. Ամբողջական ձեռնարկ
Anonim

Ինչ իմանալ

  • Wireshark-ը բաց կոդով հավելված է, որը գրավում և ցուցադրում է ցանցում ետ ու առաջ ճանապարհորդող տվյալները:
  • Քանի որ այն կարող է խորացնել և կարդալ յուրաքանչյուր փաթեթի բովանդակությունը, այն օգտագործվում է ցանցի խնդիրները լուծելու և ծրագրակազմը փորձարկելու համար:

Այս հոդվածի հրահանգները վերաբերում են Wireshark 3.0.3-ին Windows-ի և Mac-ի համար:

Վերջին գիծ

Ի սկզբանե հայտնի է որպես Ethereal, Wireshark-ը ցուցադրում է տվյալներ հարյուրավոր տարբեր արձանագրություններից բոլոր հիմնական ցանցերի տեսակների վրա: Տվյալների փաթեթները կարող են դիտվել իրական ժամանակում կամ վերլուծվել անցանց:Wireshark-ն աջակցում է ֆայլերի մի քանի տասնյակ ձևաչափեր, ներառյալ CAP և ERF: Ինտեգրված ապակոդավորման գործիքները ցուցադրում են գաղտնագրված փաթեթները մի քանի ընդհանուր արձանագրությունների համար, ներառյալ WEP և WPA/WPA2:

Ինչպես ներբեռնել և տեղադրել Wireshark

Wireshark-ը կարելի է անվճար ներբեռնել Wireshark Foundation կայքից և՛ macOS-ի, և՛ Windows-ի համար: Դուք կտեսնեք վերջին կայուն թողարկումը և ընթացիկ զարգացման թողարկումը: Եթե դուք առաջադեմ օգտվող չեք, ներբեռնեք կայուն տարբերակը:

Image
Image

Windows-ի տեղադրման գործընթացում ընտրեք տեղադրել WinPcap կամ Npcap, եթե պահանջվում է, քանի որ դրանք ներառում են կենդանի տվյալների հավաքագրման համար անհրաժեշտ գրադարաններ:

Image
Image

Դուք պետք է մուտք գործեք սարք որպես ադմինիստրատոր՝ Wireshark-ն օգտագործելու համար: Windows 10-ում որոնեք Wireshark-ը և ընտրեք Գործարկել որպես ադմինիստրատոր MacOS-ում աջ սեղմեք հավելվածի պատկերակը և ընտրեք Ստանալ տեղեկատվությունՀամօգտագործման և թույլտվություններ կարգավորումներում տվեք ադմինիստրատորին Կարդալ և գրել արտոնություններ:

Image
Image

Հավելվածը հասանելի է նաև Linux-ի և UNIX-ի նման այլ հարթակների համար, ներառյալ Red Hat, Solaris և FreeBSD: Այս օպերացիոն համակարգերի համար պահանջվող երկուականները կարելի է գտնել Wireshark-ի ներբեռնման էջի ներքևում՝ Երրորդ կողմի փաթեթներ բաժնում: Դուք կարող եք նաև ներբեռնել Wireshark-ի սկզբնական կոդը այս էջից:

Ինչպես գրավել տվյալների փաթեթներ Wireshark-ի միջոցով

Երբ գործարկում եք Wireshark-ը, ողջույնի էկրանը ցույց է տալիս ձեր ընթացիկ սարքի հասանելի ցանցային կապերը: Յուրաքանչյուրի աջ կողմում ցուցադրվում է ԷԿԳ ոճի գծային գրաֆիկ, որը ներկայացնում է այդ ցանցի ուղիղ երթևեկությունը:

Wireshark-ի միջոցով փաթեթներ որսալ սկսելու համար՝

  1. Ընտրեք ցանցերից մեկը կամ մի քանիսը, անցեք ընտրացանկի տող, այնուհետև ընտրեք Capture:

    Բազմաթիվ ցանցեր ընտրելու համար ձեր ընտրությունը կատարելիս պահեք Shift կոճակը:

    Image
    Image
  2. Wireshark Capture Interfaces պատուհանում ընտրեք Սկսել:

    Փաթեթների հավաքագրումը սկսելու այլ եղանակներ կան: Wireshark գործիքագոտու ձախ կողմում ընտրեք shark fin, սեղմեք Ctrl+E կամ կրկնակի սեղմեք ցանցը:

    Image
    Image
  3. Ընտրեք Ֆայլ > Պահպանել որպես կամ ընտրեք Export տարբերակը՝ նկարը ձայնագրելու համար:

    Image
    Image
  4. Նկարահանումը դադարեցնելու համար սեղմեք Ctrl+E: Կամ անցեք Wireshark գործիքագոտին և ընտրեք կարմիր Stop կոճակը, որը գտնվում է շնաձկան լողակի կողքին:

    Image
    Image

Ինչպես դիտել և վերլուծել փաթեթի բովանդակությունը

Ձեռքագրված տվյալների միջերեսը պարունակում է երեք հիմնական բաժին.

  • Փաթեթների ցանկի վահանակ (վերևի հատված)
  • Փաթեթի մանրամասների վահանակ (միջին հատված)
  • Փաթեթի բայթերի պատուհան (ներքևի հատված)
Image
Image

Փաթեթացանկ

Փաթեթների ցանկի պատուհանը, որը գտնվում է պատուհանի վերևում, ցույց է տալիս ակտիվ հավաքագրման ֆայլում հայտնաբերված բոլոր փաթեթները: Յուրաքանչյուր փաթեթ ունի իր սեփական տողը և իրեն հատկացված համապատասխան համարը՝ այս տվյալների յուրաքանչյուր կետի հետ միասին՝

  • Ոչ. Այս դաշտը ցույց է տալիս, թե որ փաթեթներն են նույն խոսակցության մաս: Այն դատարկ է մնում, քանի դեռ չեք ընտրել փաթեթը:
  • Time: Փաթեթը գրավելու ժամանակի դրոշմը ցուցադրվում է այս սյունակում: Լռելյայն ձևաչափը վայրկյանների կամ մասնակի վայրկյանների թիվն է այս հատուկ նկարահանման ֆայլի առաջին ստեղծման պահից:
  • Աղբյուր՝ Այս սյունակը պարունակում է հասցեն (IP կամ այլ), որտեղից առաջացել է փաթեթը:
  • Նպատակակետ՝ Այս սյունակը պարունակում է հասցեն, որին ուղարկվում է փաթեթը:
  • Արձանագրություն: Փաթեթի արձանագրության անունը, օրինակ՝ TCP, կարելի է գտնել այս սյունակում:
  • Երկարություն՝ Փաթեթի երկարությունը, բայթերով, ցուցադրվում է այս սյունակում:
  • Info: Փաթեթի մասին լրացուցիչ մանրամասներ ներկայացված են այստեղ: Այս սյունակի բովանդակությունը կարող է շատ տարբեր լինել՝ կախված փաթեթի բովանդակությունից:

Ժամանակի ձևաչափը ավելի օգտակար (օրինակ՝ օրվա իրական ժամը) փոխելու համար ընտրեք Դիտել > Ժամանակի ցուցադրման ձևաչափ.

Image
Image

Երբ վերին վահանակում ընտրվում է փաթեթ, դուք կարող եք նկատել մեկ կամ մի քանի նշաններ No. սյունակում: Բաց կամ փակ փակագծերը և ուղիղ հորիզոնական գիծը ցույց են տալիս, թե արդյոք փաթեթը կամ փաթեթների խումբը ցանցում միևնույն հետադարձ խոսակցության մաս են կազմում:Կոտրված հորիզոնական գիծը նշանակում է, որ փաթեթը խոսակցության մաս չէ:

Image
Image

Փաթեթի մանրամասներ

Մանրամասների վահանակը, որը գտնվում է մեջտեղում, ներկայացնում է ընտրված փաթեթի արձանագրությունները և արձանագրությունների դաշտերը ծալովի ձևաչափով: Ի հավելումն յուրաքանչյուր ընտրության ընդլայնմանը, դուք կարող եք կիրառել առանձին Wireshark զտիչներ՝ հիմնված կոնկրետ մանրամասների վրա և հետևել տվյալների հոսքերին՝ հիմնված արձանագրության տեսակի վրա՝ աջ սեղմելով ցանկալի տարրի վրա:

Image
Image

Փաթեթ բայթ

Ներքևի մասում փաթեթի բայթերի պատուհանն է, որը ցուցադրում է ընտրված փաթեթի չմշակված տվյալները տասնվեցական տեսքով: Այս վեցանկյուն աղբարկղը պարունակում է 16 տասնվեցական բայթ և 16 ASCII բայթ՝ տվյալների շեղման հետ մեկտեղ:

Այս տվյալների որոշակի հատված ընտրելը ավտոմատ կերպով ընդգծում է դրա համապատասխան բաժինը փաթեթի մանրամասների վահանակում և հակառակը: Ցանկացած բայթ, որը չի կարող տպվել, ներկայացված է կետով:

Image
Image

Այս տվյալները բիթային ձևաչափով ցուցադրելու համար, ի տարբերություն վեցանկյունի, աջ սեղմեք պատուհանի ցանկացած կետում և ընտրեք որպես բիթ:

Image
Image

Ինչպես օգտագործել Wireshark զտիչները

Capture ֆիլտրերը Wireshark-ին հրահանգում են ձայնագրել միայն նշված չափանիշներին համապատասխանող փաթեթները: Զտիչները կարող են կիրառվել նաև գրավման ֆայլի վրա, որը ստեղծվել է այնպես, որ ցուցադրվեն միայն որոշակի փաթեթներ: Դրանք կոչվում են ցուցադրման զտիչներ:

Wireshark-ը լռելյայն տրամադրում է մեծ թվով նախապես սահմանված զտիչներ: Այս գոյություն ունեցող զտիչներից մեկը օգտագործելու համար մուտքագրեք դրա անունը Կիրառել ցուցադրման ֆիլտր մուտքագրման դաշտում, որը գտնվում է Wireshark գործիքագոտու տակ կամ Մուտքագրեք գրավման զտիչդաշտ, որը գտնվում է ողջույնի էկրանի կենտրոնում։

Օրինակ, եթե ցանկանում եք ցուցադրել TCP փաթեթները, մուտքագրեք tcp: Wireshark ավտոմատ լրացման գործառույթը ցույց է տալիս առաջարկվող անունները, երբ սկսում եք մուտքագրել, ինչը հեշտացնում է ձեր փնտրած ֆիլտրի ճիշտ անվանումը գտնելը:

Image
Image

Զտիչ ընտրելու մեկ այլ եղանակ է մուտքի դաշտի ձախ կողմում էջանիշ ընտրելը: Ընտրեք Կառավարել ֆիլտրի արտահայտությունները կամ Կառավարել ցուցադրման ֆիլտրերը՝ զտիչներ ավելացնելու, հեռացնելու կամ խմբագրելու համար:

Image
Image

Դուք կարող եք նաև մուտք գործել նախկինում օգտագործված զտիչներ՝ ընտրելով մուտքի դաշտի աջ կողմում գտնվող ներքև սլաքը՝ պատմության բացվող ցուցակը ցուցադրելու համար:

Image
Image

Սկավառման զտիչները կիրառվում են հենց որ սկսեք գրանցել ցանցային երթևեկությունը: Ցուցադրման զտիչ կիրառելու համար մուտքագրման դաշտի աջ կողմում ընտրեք աջ սլաքը:

Wireshark Color Rules

Չնայած Wireshark-ի գրավման և ցուցադրման զտիչները սահմանափակում են, թե որ փաթեթները ձայնագրվում կամ ցուցադրվում են էկրանին, նրա գունավորման գործառույթը մի քայլ առաջ է տանում. այն կարող է տարբերակել փաթեթների տարբեր տեսակները՝ ելնելով դրանց անհատական երանգից:Սա արագորեն տեղավորում է որոշակի փաթեթներ պահպանված հավաքածուի մեջ՝ ըստ իրենց տողի գույնի փաթեթների ցանկի վահանակում:

Image
Image

Wireshark-ը ունի մոտ 20 լռելյայն գունազարդման կանոններ, որոնցից յուրաքանչյուրը կարող է խմբագրվել, անջատվել կամ ջնջվել: Ընտրեք Դիտել > Գունավորման կանոններ՝ յուրաքանչյուր գույնի իմաստի ընդհանուր պատկերացման համար: Կարող եք նաև ավելացնել ձեր սեփական գույնի վրա հիմնված զտիչները:

Image
Image

Ընտրեք Դիտել > Գունավորել փաթեթների ցուցակը՝ փաթեթների գունավորումը միացնելու և անջատելու համար:

վիճակագրություն Wireshark-ում

Այլ օգտակար չափումներ հասանելի են Վիճակագրություն բացվող ընտրացանկի միջոցով: Դրանք ներառում են ֆայլի չափի և ժամանակի մասին տեղեկությունները, ինչպես նաև տասնյակ գծապատկերներ և գծապատկերներ, որոնք տատանվում են թեմայի շուրջ՝ փաթեթային խոսակցությունների խզումներից մինչև HTTP հարցումների բաշխումը բեռնելու համար:

Image
Image

Ցուցադրման զտիչները կարող են կիրառվել այս վիճակագրություններից շատերի վրա իրենց միջերեսների միջոցով, և արդյունքները կարող են արտահանվել սովորական ֆայլերի ձևաչափեր, ներառյալ CSV, XML և TXT:

Wireshark Ընդլայնված հատկություններ

Wireshark-ը նաև աջակցում է առաջադեմ գործառույթներ, ներառյալ՝ Lua ծրագրավորման լեզվով արձանագրության դիսեկտորներ գրելու հնարավորությունը:

Խորհուրդ ենք տալիս: