Начална » как да » Как да използваме Wireshark за улавяне, филтриране и проверка на пакети

    Как да използваме Wireshark за улавяне, филтриране и проверка на пакети

    Wireshark, инструмент за мрежов анализ, известен преди като Ethereal, улавя пакети в реално време и ги показва в удобен за четене формат. Wireshark включва филтри, цветово кодиране и други функции, които ви позволяват да копаете дълбоко в мрежовия трафик и да проверявате отделни пакети.

    Този урок ще ви улесни с основите на улавяне на пакети, филтрирането им и инспектирането им. Можете да използвате Wireshark, за да инспектирате мрежовия трафик на подозрителна програма, да анализирате потока на трафик в мрежата или да отстранявате проблеми с мрежата.

    Получаване на Wireshark

    Можете да изтеглите Wireshark за Windows или macOS от официалния му уебсайт. Ако използвате Linux или друга подобна на UNIX система, вероятно ще намерите Wireshark в неговите хранилища. Например, ако използвате Ubuntu, ще намерите Wireshark в Софтуерния център на Ubuntu.

    Само едно бързо предупреждение: Много организации не позволяват Wireshark и подобни инструменти в техните мрежи. Не използвайте този инструмент на работа, освен ако нямате разрешение.

    Заснемане на пакети

    След като изтеглите и инсталирате Wireshark, можете да го стартирате и да щракнете двукратно върху името на мрежовия интерфейс в Capture, за да започнете да улавяте пакети на този интерфейс. Например, ако искате да заснемете трафика в безжичната мрежа, щракнете върху вашия безжичен интерфейс. Можете да конфигурирате разширени функции, като щракнете върху Capture> Options, но това не е необходимо за сега.

    Щом кликнете върху името на интерфейса, ще видите, че пакетите започват да се появяват в реално време. Wireshark улавя всеки пакет, изпратен до или от вашата система.

    Ако имате активиран безразличен режим, той е активиран по подразбиране - ще видите и всички останали пакети в мрежата, вместо само пакетите, адресирани до мрежовия адаптер. За да проверите дали е активиран безразборният режим, щракнете върху Capture> Options и проверете дали в долната част на този прозорец е поставена отметка в квадратчето „Активиране на безразборния режим на всички интерфейси“..

    Кликнете върху червения бутон "Стоп" в горния ляв ъгъл на прозореца, когато искате да спрете заснемането на трафика.

    Цветово кодиране

    Вероятно ще видите пакети, подчертани в различни цветове. Wireshark използва цветове, за да ви помогне да идентифицирате видовете трафик с един поглед. По подразбиране светлочервеният е TCP трафик, светлосиният е UDP трафик, а черният идентифицира пакети с грешки - например, може да са били доставени извън поръчката.

    За да видите точно какво означават цветните кодове, кликнете върху Изглед> Правила за оцветяване. Можете също така да персонализирате и променяте правилата за оцветяване от тук, ако желаете.

    Примерни улавяния

    Ако нямате нищо интересно в собствената си мрежа, за да инспектирате, уикито на Wireshark ви покрива. Уики съдържа страница с примерни файлове за заснемане, които можете да зареждате и инспектирате. Щракнете върху Файл> Отваряне в Wireshark и прегледайте изтегления файл, за да го отворите.

    Можете също така да запазите собствените си снимки в Wireshark и да ги отворите по-късно. Щракнете върху Файл> Запиши, за да запишете заловените пакети.

    Филтриране на пакети

    Ако се опитвате да инспектирате нещо специфично, като например трафика, който програмата изпраща при обаждане вкъщи, помага да затворите всички други приложения, използващи мрежата, за да стесните трафика. Все пак вероятно ще имате голямо количество пакети, които да пресеят. Тук се появяват филтрите на Wireshark.

    Най-основният начин да приложите филтър е да го въведете в полето за филтриране в горната част на прозореца и да щракнете върху Приложи (или натиснете Enter). Например, напишете “dns” и ще видите само DNS пакети. Когато започнете да пишете, Wireshark ще ви помогне да довършите филтъра си.

    Можете също да кликнете върху Analyze> Display Filters, за да изберете филтър от филтрите по подразбиране, включени в Wireshark. Оттук можете да добавите собствени персонализирани филтри и да ги запазите, за да имате лесен достъп до тях в бъдеще.

    За повече информация относно езика за филтриране на дисплея на Wireshark, прочетете страницата за изрази на филтъра на сградата в официалната документация на Wireshark.

    Друго интересно нещо, което можете да направите, е да щракнете с десния бутон върху даден пакет и да изберете Следвай> TCP поток.

    Ще видите пълния TCP разговор между клиента и сървъра. Можете също да щракнете върху други протоколи в менюто Следвайте, за да видите пълните разговори за други протоколи, ако е приложимо.

    Затворете прозореца и ще откриете, че филтърът е приложен автоматично. Wireshark ви показва пакетите, които съставляват разговора.

    Проверка на пакети

    Кликнете върху даден пакет, за да го изберете, и ще можете да прегледате неговите детайли.

    Можете също да създавате филтри оттук - просто щракнете с десния бутон на мишката върху една от детайлите и използвайте подменюто Приложи като филтър, за да създадете филтър, базиран на него.

    Wireshark е изключително мощен инструмент и този урок просто надраска повърхността на това, което можете да направите с него. Професионалистите я използват за отстраняване на грешки при внедряването на мрежовия протокол, за проверка на проблемите със сигурността и за проверка на вътрешните мрежови протоколи.

    Можете да намерите по-подробна информация в официалното Ръководство за потребителя на Wireshark и други страници на документацията на уебсайта на Wireshark.

    Как да използвате WordPress Jetpack офлайн
    Как да използваме Xmonad, мениджър за прозорци за Linux
    Как да използвате разказвача на Windows
    Следваща статия
    Как да използвате WordPress Hooks за действие в персонализирането на темата
    Предишна статия
    Как да използвате WinPatrol за наблюдение на вашия Windows PC за промени