Что такое Wireshark?
Быстрые ссылки
- Что такое Wireshark?
- Установка Wireshark
- Windows
- макинтош
- Linux
- Интерфейс
- Варианты захвата
- Захват трафика
- Чтение данных
- Фильтрация пакетов
- Фильтрация во время захвата
- Фильтрация результатов
- Следующие потоки пакетов
- Заключительные мысли
Wireshark - это мощный инструмент сетевого анализа, который позволяет вам контролировать и захватывать сетевой трафик. Он захватывает трафик на уровне пакетов, что означает, что вы можете видеть каждый бит информации, который передается по вашей сети, что он содержит и куда идет.
Этот инструмент позволяет визуализировать и понять поток трафика в сети. Посмотрев, какие данные передаются, вы также можете получить представление о любых потенциальных проблемах безопасности, с которыми вы можете столкнуться, а также о любом потенциально нежелательном трафике, таком как вредоносные программы, программы, использующие пропускную способность, и даже нежелательных гостей в вашем WiFi.
Wireshark также является важным инструментом, поскольку он позволяет вам точно видеть, как данные, покидающие вашу сеть, отправляются в более широкий Интернет. Например, вы можете видеть и читать HTTP-запросы, что позволяет вам видеть, какие данные отправляются в незашифрованном виде. Это может быть очень важно, особенно если эти данные похожи на банковский пароль.
Установка Wireshark
Wireshark является открытым исходным кодом и кроссплатформенным. Он доступен бесплатно и для всех основных операционных систем. Элементы управления в программе одинаковы для всех платформ, поэтому не нужно беспокоиться. Изображения взяты из Linux, но все, что вы увидите, будет работать и на Windows и Mac.
Windows
Перейдите на страницу загрузки Wireshark и загрузите последнюю версию для вашей версии Windows. Запустите полученный .exe. Установщик довольно стандартный. Вы можете просмотреть большинство из них и использовать значения по умолчанию.
Однако есть одна вещь, на которую вы хотите обратить внимание. Появится экран с вопросом, хотите ли вы установить WinPcap. WinPcap - это дополнительная утилита для Wireshark в Windows, которая позволяет ему захватывать весь трафик в сети, а не только трафик вашего компьютера. Установите флажок для установки WinPcap. Он также спросит вас о версии USB. Это не обязательно, но вы можете включить это тоже.
После этого установка будет завершена. Новая установка начнется для WinPcap. Значения по умолчанию там тоже приемлемы.
макинтош
Перейдите на страницу загрузки Wireshark и загрузите последний файл .dmg. Когда загрузка закончится, дважды щелкните файл, чтобы открыть его. Перетащите открытое приложение в папку / Applications, чтобы установить Wireshark.
Linux
Большинство дистрибутивов Linux имеют Wireshark, доступный в их репозиториях. Установите его с вашим менеджером пакетов.
$ sudo apt install wireshark-gtk
В зависимости от вашего дистрибутива вам будет предложено разрешить обычным пользователям перехватывать пакеты. Вы должны сказать «Да». После установки пакета добавьте своего пользователя в группу Wireshark. Выйдите и войдите снова, когда закончите.
$ sudo gpasswd -a пользователь wireshark
Интерфейс
Когда вы впервые откроете Wireshark, вы увидите экран, похожий на приведенный выше. На панели инструментов есть довольно много кнопок, и это может показаться ошеломляющим, но это намного проще, чем вы, возможно, думаете.
Интерфейс захвата по умолчанию довольно неудобен. Вы можете изменить макет, чтобы сделать его более удобным, нажмите «Изменить». Найдите меню «Настройки» и нижнюю часть и откройте ее. Под настройками вы увидите вкладку «Макет» слева. Выберите это. Вы увидите несколько значков, изображающих различные варианты макета. Выберите тот, который выглядит лучше для вас. Первый вариант со сложенным макетом обычно работает хорошо.
Пока не беспокойтесь о панелях инструментов. Первые пять значков являются наиболее важными. По порядку они позволяют выбрать интерфейс для захвата, изменить настройки захвата, запустить захват, остановить захват и возобновить его. Сами значки довольно интуитивно понятны.
Варианты захвата
Прежде чем начать захват трафика, вы должны изучить параметры захвата, чтобы увидеть, что может сделать Wireshark. Нажмите на значок параметров захвата. Это должно выглядеть как шестеренка.
Первое, что вы увидите в верхней части окна, - это таблица всех ваших сетевых интерфейсов. Установите флажок рядом с интерфейсом, который вы хотите захватить. В большинстве случаев вам нужен интерфейс, который вы используете для подключения к сети. Это будет тот, который соответствует вашему Ethernet-порту или WiFi-устройству.
Ниже вы увидите пару флажков. Один спросит, хотите ли вы использовать неразборчивый режим. Случайный режим - это то, что позволяет вам видеть обмены между всеми устройствами в сети, а не только с вашим собственным компьютером. Скорее всего, вы хотите, чтобы это было включено. Будьте осторожны, хотя. Использование случайного режима в сети, которой вы не владеете или не имеете разрешения на тестирование, является незаконным .
В следующем разделе описаны файлы захвата. Wireshark позволяет вам сохранить полученные данные. Первое поле там позволяет вам указать единый пункт назначения для вашего захвата. Ниже вы можете установить флажок, чтобы Wireshark мог разбить журнал захвата. Журналы могут быть очень большими, особенно в больших сетях. Эта функция позволяет автоматически разбивать данные захвата в зависимости от времени или размера файла. В любом случае, это удобная функция, когда вы имеете дело с долгосрочным сканированием или загруженной сетью.
Ниже вы можете контролировать продолжительность вашего захвата. Снова, захваты могут стать большими, так что вы можете установить максимальный размер. Вы также можете установить тайм-аут, что хорошо, поскольку позволяет вам сделать снимок определенного периода времени в вашей сети.
Захват трафика
Как только вы настроите свои настройки по порядку, вы можете начать захват трафика в вашей сети. Если вы никогда раньше этого не делали, будьте готовы удивиться. В сети гораздо больше трафика, чем вы знаете. Чтобы начать захват, либо нажмите кнопку «Пуск» в нижней части окна конфигурации, либо значок плавника акулы. В любом случае работает.
Когда вы начинаете запись, объем трафика, который вы видите, зависит от того, какие устройства находятся в вашей сети. Хотя большинство людей не смогут справиться с нагрузкой, которую они видят, вполне возможно, что вы видите почти ничего. Если это так, откройте веб-браузер и начните перемещаться. Ваш захват быстро начнет заполняться.
После того, как ваш захват запустится столько времени, сколько вы хотите проверить, нажмите кнопку «Стоп» на панели инструментов. То, что у вас есть, должно выглядеть примерно так, как на картинке выше.
Чтение данных
Нажмите на один из пакетов, которые вы захватили. Попробуйте найти HTTP-запрос. Они, как правило, легче читать. Когда вы выбираете пакет, два других раздела экрана заполняются информацией о том, что вы выбрали.
Раздел, на который вам нужно обратить внимание, имеет сложенные складные вкладки. Эти вкладки следуют модели OSI и располагаются от самого низкого уровня к самому высокому с информацией самого низкого уровня в верхней части. Это означает, что наиболее релевантная для вас информация, вероятно, находится на нижних вкладках.
Каждая вкладка содержит различную информацию о пакете. В HTTP-пакетах вы увидите информацию о HTTP-запросе, включая ответ, заголовки и, возможно, даже некоторый HTML. Другие типы пакетов могут содержать информацию о том, какие порты используются, используемое шифрование, протоколы и MAC-адреса.
Фильтрация пакетов
Это может быть боль, копаясь в куче данных захвата, чтобы найти именно то, что вы ищете. Это неэффективно, и это огромная трата времени. Wireshark имеет функцию фильтрации, которая позволяет быстро сортировать пакеты, чтобы точно найти то, что актуально в любой момент времени.
Есть несколько основных способов, которыми Wireshark позволяет фильтровать результаты. Во-первых, он имеет множество встроенных фильтров. Когда вы начнете вводить одно из полей фильтра, Wireshark отобразит их в качестве подсказок для автозаполнения. Если что-то из этого вы ищете, отлично! Фильтрация будет очень простой.
Wireshark также использует так называемые булевы операторы. Булевы операторы используются для оценки, является ли утверждение истинным или нет. Например, если вы хотите, чтобы выполнялись два условия, вы должны использовать оператор «и» между ними, потому что оба условия 1 и 2 должны быть истинными. Оператор «или» аналогичен, только для его выполнения требуется одно из ваших условий. Вы, вероятно, можете догадаться, что оператор «not» ищет, когда условие не существует.
В дополнение к логическим операторам Wireshark поддерживает операторы сравнения. Как следует из названия, операторы сравнения сравнивают два или более условий. Они оценивают эквивалентность условий как большую, меньшую или равную.
Фильтрация во время захвата
Фильтрация ваших результатов во время захвата очень проста. Откройте резервную копию параметров захвата. Найдите кнопку «Параметры захвата» в середине окна. Там также должно быть большое текстовое поле рядом с ним.
Вы можете создать свой фильтр с нуля в этом поле, или вы можете нажать кнопку и использовать встроенные фильтры Wireshark. Попробуйте нажать на кнопку. Откроется новое окно со списком фильтров. Нажатие на эти фильтры заполняет поля ниже. Нижнее поле - это используемый фильтр. Вы можете изменить этот фильтр в качестве основы для своих собственных дополнительных фильтров. Когда вы будете готовы, нажмите «ОК». Затем запустите сканирование, как обычно. Вместо захвата всего, Wireshark будет захватывать только пакеты, которые соответствуют условиям вашего фильтра. Это значительно упрощает сортировку и категоризацию данных пакета. Вам не нужно копаться в большом количестве дополнительной информации, чтобы найти то, что вам нужно.
Фильтрация результатов
Если вы сделали полный захват или более надежный захват, но хотите отфильтровать его по факту, вы можете сделать это тоже. После выполнения захвата под значками управления появится дополнительная панель инструментов. Эта панель инструментов имеет поле «Фильтр». Вы можете ввести в это поле выражения, чтобы отфильтровать, какие результаты отображает Wireshark.
Как и при фильтрации во время захвата, есть простой способ. Нажмите на кнопку «Выражение», чтобы открыть окно, которое поможет вам собрать выражения вашего фильтра. Левый столбец содержит список полей. Эти поля позволяют вам выбрать, на какую информацию вы собираетесь ориентироваться. Следующий столбец содержит список возможных отношений. Большинство из них являются символами меньше, больше, равно и их комбинаций. Последний столбец для значений. Это значения, с которыми вы сравниваете. В зависимости от вашего поля, вы можете выбрать или написать значение, с которым вы хотите сравнить.
Они могут стать более сложными, и вы можете добавить больше выражений вместе. Это относится к булевым операторам. Эти логические значения разные, хотя. В этом поле выражения используются символы для и, или, а не вместо самих слов. || расшифровывается как «или». && - это «и». Простое! не является."
Например, если вы хотите все, кроме UDP, используйте! Udp. Если вы хотите HTTP или TCP, попробуйте http || ТСР. Вы также можете объединить их в более сложные выражения. Чем сложнее становится ваше выражение, тем более изысканным будет ваш фильтр.
Следующие потоки пакетов
Когда у вас есть пакет или пакеты, которые вас интересуют, вы можете использовать потрясающий встроенный инструмент в Wireshark, чтобы проследить весь «разговор» между двумя компьютерами, обменивающимися этими пакетами. Следующие потоки пакетов позволяют Wirshark собрать все вместе и сформировать более крупную результирующую картинку. В случае HTTP-пакетов Wireshark, скорее всего, соберет исходный HTML-код веб-страницы. С некоторыми незашифрованными программами VOIP Wireshark может даже восстановить обмен аудио. Да, он действительно может прослушивать разговоры VOIP.
Щелкните правой кнопкой мыши на пакете, за которым вы хотите подписаться. Выберите «Follow… Stream», с точками, замененными протоколом пакета. Wireshark потребуется несколько секунд, чтобы сшить все это вместе. После его завершения Wireshark представит вам законченный результат. Эта функция значительно упрощает точный просмотр того, что происходит в вашей сети. Это также демонстрирует, насколько важно шифрование сети, так как эта функция будет собирать только полную ерунду с зашифрованными пакетами.
Заключительные мысли
Wireshark - это потрясающий инструмент для анализа сети. Это дает вам возможность видеть все, что происходит в вашей сети. С Wireshark вы можете лучше понять, в чем заключаются проблемы с вашей сетью, как с точки зрения скорости, так и безопасности. Не забывайте всегда осторожно использовать Wireshark и понимать, что это очень навязчиво. Не шпионите за людьми и помните, что использование Wireshark должно быть в рамках закона.
