Захват и просмотр данных, путешествующих по вашей сети
Wireshark – это бесплатное приложение, которое вы используете для сбора и просмотра данных, перемещающихся по вашей сети. Он предоставляет возможность детализировать и читать содержимое каждого пакета и фильтруется для удовлетворения ваших конкретных потребностей. Он обычно используется для устранения неполадок в сети, а также для разработки и тестирования программного обеспечения. Этот анализатор протоколов с открытым исходным кодом широко признан в качестве отраслевого стандарта и за многие годы завоевал немало наград.
Изначально известный как Ethereal, Wireshark имеет удобный интерфейс, который может отображать данные из сотен различных протоколов по всем основным типам сетей. Пакеты данных можно просматривать в режиме реального времени или анализировать в автономном режиме. Wireshark поддерживает десятки поддерживаемых форматов файлов захвата/трассировки, включая CAP и ERF. Интегрированные инструменты дешифрования позволяют просматривать зашифрованные пакеты для нескольких популярных протоколов, включая WEP и WPA/WPA2.
Загрузка и установка Wireshark
Wireshark можно бесплатно загрузить с веб-сайта Wireshark Foundation для операционных систем macOS и Windows. Если вы не являетесь опытным пользователем, рекомендуется загружать только последний стабильный выпуск. В процессе установки Windows вы должны выбрать установку WinPcap при появлении соответствующего запроса, поскольку она включает в себя библиотеку, необходимую для сбора данных в реальном времени.
Приложение также доступно для Linux и большинства других UNIX-подобных платформ, включая Red Hat, Solaris и FreeBSD. Двоичные файлы, необходимые для этих операционных систем, можно найти в нижней части страницы загрузки в разделе «Сторонние пакеты». Вы также можете скачать исходный код Wireshark с этой страницы.
Как захватить пакеты данных
При первом запуске Wireshark появляется экран приветствия, содержащий список доступных сетевых подключений на вашем текущем устройстве. В этом примере вы заметите, что отображаются следующие типы подключений: сетевое соединение Bluetooth, Ethernet, VirtualBox Host-Only Network и Wi-Fi. Справа от каждого отображается линейный график в стиле ЭКГ, который представляет живой трафик в соответствующей сети.
Чтобы начать захват пакетов, выберите одну или несколько сетей, щелкнув по своему выбору и используя клавиши Shift или Ctrl , если вы хотите записывать данные из нескольких сетей одновременно. После того, как тип соединения выбран для захвата, его фон закрашивается синим или серым цветом. Нажмите Захват в главном меню, расположенном в верхней части интерфейса Wireshark. Когда появится раскрывающееся меню, выберите параметр Пуск .
Вы также можете начать захват пакета с помощью одного из следующих ярлыков.
- Клавиатура . Нажмите Ctrl + E.
- Мышь . Чтобы начать захват пакетов из одной конкретной сети, дважды щелкните ее имя.
- Панель инструментов . Нажмите синюю кнопку плавника акулы, расположенную в дальнем левом углу панели инструментов Wireshark.
Начинается процесс захвата в реальном времени, и Wireshark отображает детали пакета по мере их записи. Чтобы остановить захват:
- Клавиатура . Нажмите Ctrl + E .
- Панель инструментов . Нажмите красную кнопку Стоп , расположенную рядом с плавником акулы на панели инструментов Wireshark.
Просмотр и анализ содержимого пакета
После того, как вы записали некоторые сетевые данные, пришло время взглянуть на захваченные пакеты. Интерфейс захваченных данных содержит три основных раздела: панель списка пакетов, панель сведений о пакете и панель байтов пакета.
Список пакетов
Панель списка пакетов, расположенная в верхней части окна, показывает все пакеты, найденные в активном файле захвата. Каждый пакет имеет свою собственную строку и соответствующий ему номер вместе с каждой из этих точек данных.
-
Время . В этом столбце отображается отметка времени, когда пакет был захвачен. Формат по умолчанию – это количество секунд или неполных секунд с момента первого создания этого конкретного файла захвата. Чтобы изменить этот формат на что-то более полезное, например, на фактическое время суток, выберите параметр Формат отображения времени в представлении Wireshark Вид
- Источник: . В этом столбце содержится адрес (IP-адрес или другой), из которого был получен пакет.
- Пункт назначения . В этом столбце содержится адрес, на который отправляется пакет.
- Протокол . В этом столбце можно найти имя протокола пакета, например TCP.
- Длина . В этом столбце отображается длина пакета в байтах.
- Информация . Дополнительные сведения о пакете представлены здесь. Содержимое этого столбца может сильно различаться в зависимости от содержимого пакета.
Когда пакет выбран в верхней панели, вы можете заметить, что один или несколько символов появляются в первом столбце. Открытые или закрытые скобки и прямая горизонтальная линия указывают, являются ли пакет или группа пакетов частью одного и того же диалога в сети. Пунктирная горизонтальная линия означает, что пакет не является частью указанного разговора.
Детали пакета
Панель сведений, расположенная посередине, представляет протоколы и поля протоколов выбранного пакета в разборном формате. В дополнение к расширению каждого выбора, вы можете применять отдельные фильтры Wireshark на основе определенных деталей и отслеживать потоки данных на основе типа протокола через контекстное меню сведений, которое можно открыть, щелкнув правой кнопкой мыши нужный элемент на этой панели.
Пакетные байты
Внизу находится панель байтов пакетов, которая отображает необработанные данные выбранного пакета в шестнадцатеричном представлении. Этот шестнадцатеричный дамп содержит 16 шестнадцатеричных байтов и 16 ASCII-байтов вместе со смещением данных.
Выбор определенной части этих данных автоматически выделяет соответствующий раздел на панели сведений о пакете и наоборот. Любые байты, которые не могут быть напечатаны, вместо этого представлены точкой.
Вы можете выбрать отображение этих данных в битовом формате, а не в шестнадцатеричном, щелкнув правой кнопкой мыши в любом месте панели и выбрав соответствующую опцию в контекстном меню.
Использование фильтров Wireshark
Одним из наиболее важных наборов функций в Wireshark является его возможность фильтрации, особенно когда вы имеете дело с файлами, которые имеют значительный размер. Фильтры захвата могут быть установлены до факта, инструктируя Wireshark записывать только те пакеты, которые соответствуют указанным критериям.
Фильтры также могут быть применены к файлу захвата, который уже был создан, так что отображаются только определенные пакеты. Они называются фильтрами отображения.
По умолчанию Wireshark предоставляет большое количество предопределенных фильтров, позволяя сузить количество видимых пакетов всего несколькими нажатиями клавиш или щелчками мыши. Чтобы использовать один из этих существующих фильтров, поместите его имя в поле ввода Применить фильтр отображения , расположенное непосредственно под панелью инструментов Wireshark, или в поле ввода Введите фильтр захвата , расположенное в центр экрана приветствия.
Есть несколько способов достичь этого. Если вы уже знаете название своего фильтра, введите его в соответствующее поле. Например, если вы хотите отображать только TCP-пакеты, введите tcp . Функция автозаполнения Wireshark показывает предлагаемые имена, когда вы начинаете печатать, что упрощает поиск правильного названия для фильтра, который вы ищете.
Другой способ выбрать фильтр – щелкнуть значок в виде закладки, расположенный в левой части поля ввода. Здесь представлено меню, содержащее некоторые из наиболее часто используемых фильтров, а также параметр Управление фильтрами захвата или Управление фильтрами отображения . Если вы решите управлять любым типом, появится интерфейс, позволяющий добавлять, удалять или редактировать фильтры.
Вы также можете получить доступ к ранее использованным фильтрам, нажав стрелку вниз в правой части поля ввода, чтобы отобразить раскрывающийся список истории.
После установки фильтры захвата применяются, как только вы начинаете запись сетевого трафика. Чтобы применить фильтр отображения, нажмите кнопку со стрелкой вправо, расположенную в правой части поля ввода.
Правила цвета
В то время как фильтры захвата и отображения Wireshark позволяют вам ограничивать, какие пакеты записываются или отображаются на экране, его функция окраски делает шаг вперед, позволяя легко различать различные типы пакетов на основе их индивидуального оттенка. Эта удобная функция позволяет быстро находить определенные пакеты в сохраненном наборе по цвету строки на панели списка пакетов.
В Wireshark встроено около 20 правил раскраски по умолчанию, каждое из которых можно изменить, отключить или удалить, если хотите. Вы также можете добавить новые фильтры на основе оттенков через интерфейс правил раскраски, доступный из меню Вид . Помимо определения имени и критериев фильтрации для каждого правила, вас также попросят связать как цвет фона, так и цвет текста.
Окрашивание пакетов можно включать и выключать с помощью параметра Список цветных пакетов , который также находится в меню Вид .
Статистика
В дополнение к подробной информации о данных вашей сети, отображаемой в главном окне Wireshark, в раскрывающемся меню Статистика в верхней части экрана доступны несколько других полезных показателей. Они включают в себя информацию о размере и времени самого файла захвата, а также десятки диаграмм и графиков, варьирующихся по темам, начиная с разбивки пакетов и заканчивая распределением HTTP-запросов.
Фильтры отображения можно применять ко многим из этих статистических данных через их интерфейсы, а результаты можно экспортировать в несколько распространенных форматов файлов, включая CSV, XML и TXT.
Расширенные возможности
В дополнение к основным функциям Wireshark, в этом мощном инструменте также есть набор дополнительных функций, обычно предназначенных для опытных пользователей. Это включает в себя возможность написания собственных протоколов диссекторов на языке программирования Lua.
