Что нужно знать
- Wireshark — это приложение с открытым исходным кодом, которое собирает и отображает данные, перемещающиеся взад и вперед по сети.
- Поскольку он может детализировать и читать содержимое каждого пакета, он используется для устранения проблем с сетью и тестирования программного обеспечения.
Инструкции в этой статье относятся к Wireshark 3.0.3 для Windows и Mac.
Что такое Wireshark?
Первоначально известный как Ethereal, Wireshark отображает данные из сотен различных протоколов во всех основных типах сетей. Пакеты данных можно просматривать в режиме реального времени или анализировать в автономном режиме. Wireshark поддерживает десятки форматов файлов захвата / трассировки, включая CAP и ERF. Интегрированные инструменты дешифрования отображают зашифрованные пакеты для нескольких распространенных протоколов, включая WEP и WPA / WPA2.
Как скачать и установить Wireshark
Wireshark можно бесплатно загрузить с веб-сайта Wireshark Foundation как для macOS, так и для Windows. Вы увидите последний стабильный выпуск и текущий выпуск для разработки. Если вы не опытный пользователь, загрузите стабильную версию.
В процессе установки Windows выберите установку WinPcap or Npcap при появлении запроса, поскольку они включают библиотеки, необходимые для сбора данных в реальном времени.
Вы должны войти на устройство как администратор, чтобы использовать Wireshark. В Windows 10 найдите Wireshark и выберите Запуск от имени администратора. В macOS щелкните правой кнопкой мыши значок приложения и выберите Получите сведения о. В Обмен и права настройки, дайте админу Читайте и Написать привилегии.
Приложение также доступно для Linux и других UNIX-подобных платформ, включая Red Hat, Solaris и FreeBSD. Двоичные файлы, необходимые для этих операционных систем, можно найти в нижней части страницы загрузки Wireshark под Сторонние пакеты раздел. Вы также можете скачать исходный код Wireshark с этой страницы.
Как захватить пакеты данных с помощью Wireshark
Когда вы запускаете Wireshark, на экране приветствия отображаются доступные сетевые подключения на вашем текущем устройстве. Справа от каждого отображается линейный график в стиле ЭКГ, который представляет текущий трафик в этой сети.
Чтобы начать захват пакетов с помощью Wireshark:
-
Выберите одну или несколько сетей, перейдите в строку меню и выберите захват.
Чтобы выбрать несколько сетей, удерживайте сдвиг при выборе.
-
в Интерфейсы Wireshark Capture окно, выберите Start.
Есть и другие способы начать захват пакетов. Выберите акулий плавник в левой части панели инструментов Wireshark нажмитеCtrl + Eили дважды щелкните сеть.
-
Выбрать Отправьте > Сохранить как или выберите экспорт возможность записи захвата.
-
Чтобы остановить захват, нажмите Ctrl + E. Или перейдите на панель инструментов Wireshark и выберите красный Стоп кнопка, которая находится рядом с плавником акулы.
Как просматривать и анализировать содержимое пакета
Интерфейс захваченных данных состоит из трех основных разделов:
- Панель списка пакетов (верхний раздел)
- Панель сведений о пакете (средний раздел)
- Панель байтов пакета (нижняя часть)
Список пакетов
Панель списка пакетов, расположенная в верхней части окна, показывает все пакеты, найденные в активном файле захвата. Каждый пакет имеет свою собственную строку и соответствующий ему номер, а также каждую из этих точек данных:
- Нет: Это поле указывает, какие пакеты являются частью одного разговора. Он остается пустым, пока вы не выберете пакет.
- Время: В этом столбце отображается метка времени захвата пакета. Формат по умолчанию — это количество секунд или неполных секунд с момента первого создания этого конкретного файла захвата.
- источник: Этот столбец содержит адрес (IP или другой), откуда был отправлен пакет.
- Пункт назначения: Этот столбец содержит адрес, на который отправляется пакет.
- Протокол: В этом столбце можно найти имя протокола пакета, например TCP.
- Длина: В этом столбце отображается длина пакета в байтах.
- Информация о: Дополнительные сведения о пакете представлены здесь. Содержимое этого столбца может сильно различаться в зависимости от содержимого пакета.
Чтобы изменить формат времени на более удобный (например, фактическое время дня), выберите Просмотр > Формат отображения времени.
Когда пакет выбран в верхней панели, вы можете заметить, что один или несколько символов появляются в Нет. столбец. Открытые или закрытые скобки и прямая горизонтальная линия указывают, являются ли пакет или группа пакетов частью одного и того же двустороннего диалога в сети. Прерывистая горизонтальная линия означает, что пакет не является частью разговора.
Сведения о пакете
Панель сведений, расположенная посередине, представляет протоколы и поля протокола выбранного пакета в сворачиваемом формате. В дополнение к расширению каждого выбора вы можете применять отдельные фильтры Wireshark на основе определенных деталей и отслеживать потоки данных на основе типа протокола, щелкая правой кнопкой мыши нужный элемент.
Пакетные байты
Внизу находится панель байтов пакета, которая отображает необработанные данные выбранного пакета в шестнадцатеричном виде. Этот шестнадцатеричный дамп содержит 16 шестнадцатеричных байтов и 16 байтов ASCII вместе со смещением данных.
При выборе определенной части этих данных автоматически выделяется соответствующий раздел на панели сведений о пакете и наоборот. Любые байты, которые нельзя распечатать, обозначаются точкой.
Чтобы отобразить эти данные в битовом формате, а не в шестнадцатеричном, щелкните правой кнопкой мыши в любом месте панели и выберите как биты.
Как использовать фильтры Wireshark
Фильтры захвата предписывают Wireshark записывать только те пакеты, которые соответствуют указанным критериям. Фильтры также могут применяться к файлу захвата, который был создан таким образом, чтобы показывались только определенные пакеты. Они называются фильтрами отображения.
Wireshark по умолчанию предоставляет большое количество предопределенных фильтров. Чтобы использовать один из этих существующих фильтров, введите его имя в поле Применить фильтр отображения поле ввода, расположенное под панелью инструментов Wireshark или в Введите фильтр захвата поле, расположенное в центре экрана приветствия.
Например, если вы хотите отображать TCP-пакеты, введите TCP. Функция автозаполнения Wireshark показывает предлагаемые имена, когда вы начинаете вводить текст, что упрощает поиск правильного имени для фильтра, который вы ищете.
Другой способ выбрать фильтр — выбрать закладка в левой части поля ввода. выберите Управление выражениями фильтров or Управление фильтрами отображения для добавления, удаления или редактирования фильтров.
Вы также можете получить доступ к ранее используемым фильтрам, щелкнув стрелку вниз в правой части поля ввода, чтобы отобразить раскрывающийся список истории.
Фильтры захвата применяются, как только вы начинаете запись сетевого трафика. Чтобы применить фильтр отображения, щелкните стрелку вправо в правой части поля ввода.
Правила цвета Wireshark
В то время как фильтры захвата и отображения Wireshark ограничивают то, какие пакеты записываются или отображаются на экране, его функция раскрашивания идет дальше: он может различать разные типы пакетов на основе их индивидуального оттенка. Это позволяет быстро находить определенные пакеты в сохраненном наборе по цвету их строк в панели списка пакетов.
Wireshark имеет около 20 правил окраски по умолчанию, каждое из которых можно редактировать, отключать или удалять. Выбрать Просмотр > Правила раскраски для обзора значения каждого цвета. Вы также можете добавить свои собственные цветные фильтры.
Выбрать Просмотр > Раскрасить список пакетов для включения и выключения раскрашивания пакетов.
Статистика в Wireshark
Другие полезные показатели доступны через Статистика выпадающее меню. Сюда входит информация о размере и времени для файла захвата, а также десятки диаграмм и графиков, варьирующихся по темам, от сбоев в диалоге пакетов до распределения нагрузки HTTP-запросов.
Фильтры отображения могут применяться ко многим из этих статистических данных через их интерфейсы, а результаты можно экспортировать в общие форматы файлов, включая CSV, XML и TXT.
Расширенные функции Wireshark
Wireshark также поддерживает расширенные функции, в том числе возможность писать анализаторы протоколов на языке программирования Lua.