Hem › Wi-fi-inställning › Vad är WireShark? Vad är detta program till för? Hur använder man Wireshark? Trafikanalys Wireshark trafikanalys

Vad är WireShark? Vad är detta program till för? Hur använder man Wireshark? Trafikanalys Wireshark trafikanalys

Innan vi börjar lära oss hur man hackar andra nätverk måste vi kunna kontrollera vårt nätverk och förstå vad detta är nätverkstrafik och hur man filtrerar det. Wireshark är idealisk för detta eftersom inget kraftfullare än det ännu har uppfunnits, och som du kanske kan gissa kommer vi att prata om det. Wireshark är det perfekta vapnet för att analysera och fånga nätverkspaket i realtid. Men huvudsaken är att den visar dem i ett mycket bekvämt format för läsning.

Wireshark kommer med en mängd olika filter, färgkodning och många andra funktioner som låter dig dyka in i nätverkstrafik och inspektera enskilda paket.

Använd din fantasi!

Jag ger ett exempel:

Låt oss säga att du anslutit till någon annans nätverk och du behöver ta reda på vad de använder, vad och hur går igenom nätverket? Wireshark är den perfekta lösningen. Efter att ha studerat paketen kan du enkelt ta reda på all nödvändig information. Men detta var bara ett exempel, alla är fria att använda det efter sina behov!

Applikationer >>Internet >>Wireshark

Som ni ser har han en fin meny och allt verkar klart. Men i verkligheten är detta en mycket komplex egenskap. Låt oss först gå igenom de grundläggande funktionerna.

Välj det anslutna nätverket och klicka på Start. Som du kan se har paket börjat fångas och all trafik från ditt nätverk visas.

För att stoppa trafikfångst, klicka på knappen " Stoppa den pågående liveinspelningen «

Som du redan har märkt är trafikfärgerna olika och det är väldigt intressant vad de betyder. Wireshark använder olika färger för att hjälpa oss att känna igen olika typer av trafik.

Vi kan ange den trafik vi behöver för filtrering i " Filtrera:" och Wireshark själv kommer att ge oss tips eller så kan vi välja genom att klicka på " Uttryck «

Vi kan också skapa ett eget filter genom att klicka på Analysera >>Visa filter

Om du ser paketet du behöver kan du se innehållet.

Du kan också se allt innehåll i paketet, såväl som all information om det.

Som du redan förstår är detta en mycket kraftfull sak för att se trafik. Det används mycket flitigt av många proffs för att lösa nätverksproblem och nätverksutveckling.

Detta är bara början, håll utkik efter fler artiklar eftersom vi kommer att förklara och bryta ner detta attribut bit för bit.

I den här artikeln kommer jag att berätta hur du avlyssnar paket som överförs till Internet via lokalt nätverk. Du kommer att känna till "ip" "Mac"-adressen där paketet gick, liksom hash-mängden för paketet och mycket mer användbar information. Jag kommer inte att beskriva vad och varför, jag ska bara ge dig de första färdigheterna så att säga. Hur man fångar paket och filtrerar de paket vi behöver från listan. Ladda ner programmet Wireshark med bitstorleken för ditt system. Det är inget svårt med installationen, så jag kommer inte att beskriva det. Det enda är att inte missa kryssrutan "WinPcap"; den måste installeras, med hjälp av den kan du ta reda på mycket från mac-adressen och vidare. Installerade och startade programmet för första gången:
Det första fönstret är där du måste välja ditt nätverkskort från vilket paketen ska hämtas. 1.) Under numret, välj adaptern och lite högre, under siffran 2.) klicka på "Start"
Alla paket som passerar genom den valda adaptern kommer att fångas upp och visas. Du kan ställa in ett filter som visar de paket du behöver från den "IP" eller "Mac" du behöver. Välj önskat paket, högerklicka, välj "Använd som filter" i snabbmenyn och sedan "Vald" i nästa snabbmeny. Exempelbild nedan. Ett fönster med infångade paket och ett blåmarkerat paket som filtret kommer att fungera på.
När du har konfigurerat filtret. Du kommer bara att se de paket som intresserar dig. Genom att välja det paket du behöver kommer all information att vara tillgänglig för dig nedan. Var, vem och varför, låt oss uttrycka det så här, kortfattat.
Jag har gjort en beskrivning av topppanelen nedan. Bild nedan beskrivning.
1.) Du kan välja en annan adapter.
2.) Så att säga allt i ett. Du kan byta adapter, ställa in ett filter, spara till en fil, spara till en befintlig fil (lägg till), öppna en fil.
3.) Starta paketinsamling.
4.) Stoppa paketfångst.
5.) Starta om infångningen.
6.) Öppna en fil med befintliga paket.
7.)Spara infångade paket till en fil.
8.)Stäng paketinsamlingsfönstret, fråga om du vill spara eller avsluta utan att spara.
9.) Starta om öppna fil med paket.
10.) Hitta paketet du behöver.
11.) Tillbaka till det fångade paketet, gå till fönstret med paket.
12.) Samma som 10.) alternativ endast framåt. Precis som i en webbläsare, sida framåt, sida bakåt.
13.) Gå till det angivna paketet efter paketets sekvensnummer.
14.) Gå högst upp i fältet med paket, till det allra första.
15.) Gå till det senaste paketet, längst ner.
16.) Markera paket med färg enligt inställningarna för varje paket.
17.) För fram linjerna med påsarna när de fylls. När nya paket blir tillgängliga, visa nya paket.
18.) Öka raderna med paket.
19.) Förminska rader, "Zooma".
20.) Få raderna att öka 100%.
21.) Om du flyttade sömpelarna isär, vilket gjorde dem bredare eller smalare. Detta alternativ återställer allt till standard.
22.) När du arbetar med filter kan du välja ett redan erbjudet filter eller skriva ditt eget. Lägg till din.
23.) Nästan samma som 21.) paragraf.
24.)Här kan du välja färg för varje förpackning separat, i raderna blir det lättare för dig att hitta den du behöver.
25.) Ställa in själva programmet.
26.) Hjälp om programmet.
Som du kan se är programmet inte komplicerat. I vissa länder är det förbjudet, använd det tills det är förbjudet här i Ryssland. Om du tänker noga kan fördelarna med detta program betonas mycket.

För att studera beteendet hos nätverksapplikationer och noder, samt för att identifiera problem i nätverket, används ofta nätverkspaketanalysatorer. Nyckelfunktioner av sådan programvara är, för det första, kapaciteten för mångsidig analys, och för det andra, multifunktionell paketfiltrering, som låter dig fånga korn av intressant information i en gränslös ström nätverkstrafik. Det är den senare aspekten som denna artikel ägnas åt.

Introduktion

Av alla metoder för att studera datornätverk är trafikanalys kanske den mest mödosamma och tidskrävande. Intensiva flöden av moderna nätverk genererar mycket "rå" material, där det är långt ifrån lätt att hitta korn av användbar information. Under sin existens har TCP/IP-stacken fått många applikationer och tillägg, som uppgår till hundratals och tusentals. Dessa är applikations- och tjänsteprotokoll, autentisering, tunnling, nätverksåtkomstprotokoll och så vidare. Förutom att känna till grunderna för nätverksinteraktioner måste en trafikforskare (det vill säga du) vara flytande i all denna protokollmångfald och kunna arbeta med specifika mjukvaruverktyg - sniffers, eller, vetenskapligt sett, trafik(protokoll)analysatorer .

Funktionaliteten hos sniffern är inte bara möjligheten att använda nätverkskortets "promiscuos" -läge för avlyssning. Sådan programvara måste effektivt kunna filtrera trafik både vid insamlingsstadiet och under studiet av individuella överföringsenheter (ramar, paket, segment, datagram, meddelanden). Dessutom, ju fler protokoll sniffern "känner till", desto bättre.

Moderna protokollanalysatorer kan göra många saker: beräkna trafikstatistik, rita grafer över utvecklingen av nätverksinteraktioner, extrahera data från applikationsprotokoll, exportera resultaten av arbetet till olika format... Därför valet av verktyg för att analysera nätverkstrafik är ett ämne för en separat diskussion. Om du inte vet vad du ska välja, eller inte vill spendera pengar på betald programvara, använd då enkla råd: Installera Wireshark.

Lär känna filter

Wireshark stöder två typer av filter:

trafikavlyssning (fångningsfilter);
visa filter.

Det första delsystemet ärvdes av Wireshark från Pcap-biblioteket, som tillhandahåller ett lågnivå-API för att arbeta med nätverksgränssnitt. Genom att ta prov på trafik i farten under avlyssning kan du spara pengar Bagge och hårddiskutrymme. Ett filter är ett uttryck som består av en grupp primitiver, eventuellt kombinerade med logiska funktioner (och, eller, inte). Detta uttryck registreras i fältet "Fångstfilter" i dialogrutan "Fångstalternativ". De mest använda filtren kan sparas i en profil för återanvändning (Fig. 1).

Ris. 1. Avlyssningsfilterprofil

Språket för avlyssningsfilter är standard i Open Source-världen och används av många Pcap-baserade produkter (till exempel verktyget tcpdump eller Snort intrusion detection/prevention system). Därför är det ingen speciell mening med att beskriva syntaxen här, eftersom den med största sannolikhet är bekant för dig. Och detaljer kan hittas i dokumentationen, till exempel i Linux på pcap-filter(7) direkthjälpen.

Visningsfilter fungerar på redan fångad trafik och är inbyggda i Wireshark. Skillnader från Pcap - i inspelningsformatet (särskilt en punkt används som en fältseparator); Engelsk notation för jämförelseoperationer och stöd för delsträngar har också lagts till.

Du kan ange ett visningsfilter direkt i motsvarande fält (obs, listtipset fungerar) i huvudprogramfönstret efter knappen "Filter" (förresten, en profil för ofta använda uttryck är dold under denna knapp ). Och om du klickar på den närliggande knappen "Uttryck..." öppnas en multifunktionell uttryckskonstruktor (Fig. 2).

Till vänster (fältnamn) finns ett alfabetiskt ordnat träd med protokollmeddelandefält som är kända för Wireshark. För det här fältet kan du ange en logisk operator (Relation), ange ett värde (Värde), ange ett intervall (Omfång) eller välja ett värde från listan (Fördefinierat värde). I allmänhet ett komplett onlineuppslagsverk i ett fönster.

Här är de logiska operatorerna som används i visningsfilter:

och och";
eller (||) - "ELLER";
xor (^^) - exklusivt "ELLER";
inte (!) - negation;
[...] - val av delsträng. # Genom att filtrera efter MAC-adressen för din nätverksadapter utesluter vi all lokal trafik inte (eth.addr eq aa:bb:cc:22:33:44) # Vi avvisar allt "servicebrus" för att koncentrera oss på trafiken som intresserar oss!(arp eller icmp eller dns)

När det gäller att välja en delsträng är detta inte exakt en logisk operation, men det är ett mycket användbart alternativ. Det låter dig få en specifik del av sekvensen. Det är till exempel så här du kan använda de första i ett uttryck (den första siffran i hakparentes- offset) tre byte (talet efter kolon är längden på undersekvensen) av källans MAC-adressfält:

Eth.src == 00:19:5b

I urval med kolon kan en av parametrarna utelämnas. Om du hoppar över förskjutningen kommer sampelräkningen att börja från byte noll. Om längden, då får vi alla byte från offset till slutet av fältet.

Förresten, sampling av delsträngar är bekvämt att använda för att identifiera skadlig programvara om sekvensen av byte som kommer efter rubriken är känd (till exempel "0x90, 0x90, 0x90, 0x04" i ett UDP-paket):

Udp == 90:90:90:04

Jämförelseoperationer som används i booleska uttryck:

ekv (==) - lika;
ne (!=) - inte lika;
gt (>) - mer;
lt(<) - меньше;
ge (>=) - större än eller lika med;
le (<=) - меньше или равно.tcp.dstport ne 8080 && tcp.len gt 0 && data eq A0

Egentligen räcker teorin till en början. Använd sedan sunt förnuft och parentes vid behov eller utan det. Glöm inte heller att ett filter i grunden är ett booleskt uttryck: om det är sant kommer paketet att visas på skärmen, om det är falskt kommer det inte att visas.

Pcap-filter för att upptäcka Netbios-portskanning

dst port 135 eller dst port 445 eller dst port 1433 och tcp & (tcp-syn) != 0 och tcp & (tcp-ack) = 0 och src net 192.168.56.0/24

Letar efter en IP-kapare

I ett lokalt nätverkssegment finns det (av en eller annan anledning) samma IP-adresser för två eller flera noder. Tekniken att "fånga" (bestämma MAC-adresser) för motstridiga system är välkänd: vi startar en sniffer på en tredje dator, rensar ARP-cachen och stimulerar en begäran om att lösa MAC för den önskade IP-adressen, till exempel genom att pinga den :

# arp -d 192.168.56.5 # ping -n -c 1 192.168.56.5

Och sedan tittar vi i den avlyssnade trafiken från vilka MAC:er svaren kom. Om Wireshark har fångat för många paket skapar vi ett visningsfilter med hjälp av konstruktorn. I den första delen av uttrycket väljer vi ARP-svar, i den andra - de meddelanden där källans IP-adress är lika med den sökta. Vi kombinerar primitiver med &&-operatorn, eftersom det är nödvändigt att båda villkoren är uppfyllda samtidigt:

(arp.opcode == svar) && (arp.src.proto_ipv4 == 192.168.56.5)

Förresten, när det här scenariot kördes påverkades inget datornätverk, eftersom två virtuella Oracle VirtualBox-maskiner och en nätverksanslutning av typen "Virtual Host Adapter" användes.

Inspektera nätverk och transportlager

Fram till nu är ICMP-protokollet ett ganska effektivt sätt att diagnostisera nätverksstacken. Detta protokolls meddelanden kan ge värdefull information om nätverksproblem.

Som du kanske har gissat är ICMP-filtrering i Wireshark väldigt enkel. Det räcker att skriva i filtreringsraden i huvudprogramfönstret: icmp. Förutom icmp fungerar många andra nyckelord som är protokollnamn, som arp, ip, tcp, udp, snmp, smb, http, ftp, ssh och andra.

Om det finns mycket ICMP-trafik kan kartläggningen vara detaljerad, exklusive till exempel ekoförfrågningar (typ 0) och ekosvar (typ 8):

Icmp och ((icmp.type ne 0) och (icmp.type ne 8))

I fig. Figur 4 visar ett exempel på ett litet urval av ICMP-meddelanden som genereras av en test Linux-router. Meddelandet "Port Unreachable" är vanligtvis standard. Det genereras också av nätverksstacken när ett UDP-datagram tas emot på en oanvänd port. För att den Debian-baserade virtuella routern skulle börja skicka meddelanden "Otillgänglig värd" och "administrativt filtrerad kommunikation" var jag tvungen att mixtra med den. Cisco informerar vanligtvis om administrativ filtrering som standard. Meddelandet "Time-to-live överskriden" indikerar närvaron av en loop i någon del av nätverket (och sådana paket kan också visas när en rutt spåras).

Förresten, om brandväggar. Du kan skapa regler för populära brandväggar direkt i Wireshark med hjälp av "Brandvägg ACL-regler" i menyn "Verktyg". Du måste först välja från listan det paket vars information kommer att användas. Cisco standard och utökade ACL, UNIX-liknande regler från IP Filter, IPFirewall (ipfw), Netfilter (iptables), Packet Filter (pf) och Windows Firewall (netsh) är tillgängliga.

Och nu kort om grunderna för filtrering på nätverksnivå, som är baserad på IP-paketets rubrikfält - källadressen (ip.src) och mottagaradressen (ip.dst):

(ip.src == 192.168.56.6) || (ip.dst == 192.168.56.6)

På så sätt kommer vi att se alla paket som denna IP-adress har tagit emot eller skickat. Du kan filtrera hela undernät med CIDR-masknotation. Låt oss till exempel identifiera en infekterad värd som skickar skräppost (här är 192.168.56.251 IP-adressen till vår SMTP-server):

Ip.src == 192.168.56.0/24 och tcp.dstport == 25 och !(ip.dst == 192.168.56.251)

Förresten, för att välja efter MAC-adresser bör du använda primitiva eth.src, eth.dst och eth.addr. Ibland är problem med nätverkslager mycket närmare relaterade till Ethernet-lagret än vad teorin antyder. I synnerhet när du ställer in routing kan det vara mycket användbart att se vilken MAC-adress för routern den envisa noden skickar paket till. Men för en så enkel uppgift räcker verktyget tcpdump, nästan standard för UNIX-liknande system.

Wireshark har heller inga problem med portfiltrering. För TCP står nyckelorden tcp.srcport, tcp.dstport och tcp.port till din tjänst, för UDP - udp.srcport, udp.dstport och udp.port. Det är sant att det inbyggda Wireshark-filterspråket inte hade en analog till portprimitiven i Pcap, vilket betecknar både en UDP- och TCP-port. Men detta kan enkelt fixas med ett booleskt uttryck, till exempel:

Tcp.port == 53 || udp.port == 53

Improvisera med HTTP-trafik

Applikationsprotokoll, särskilt HTTP, är ett "evigt" ämne i samband med sniffning. För att vara rättvis måste det sägas att många specialiserade mjukvaruverktyg har skapats för att studera webbtrafik. Men ett sådant universellt verktyg som Wireshark, med sitt flexibla filtreringssystem, är inte alls överflödigt på detta område.

Låt oss först samla in lite webbtrafik genom att gå till den första webbplatsen du tänker på. Låt oss nu leta efter omnämnanden av vår favorit internetresurs i meddelanden i TCP-protokollet, som fungerar som en transport för HTTP:

Tcp innehåller "webbplats"

Den innehåller operatören kontrollerar förekomsten av en delsträng i ett givet fält. Det finns också en matchningsoperator, som kan använda Perl-kompatibla reguljära uttryck.

Fönstret "Filteruttryck" är naturligtvis en bra hjälp, men ibland är det väldigt tråkigt att bläddra igenom en lång lista på jakt efter det önskade fältet. Det finns ett enklare sätt att skapa/ändra visningsfilter: använda snabbmenyn när du visar paket. För att göra detta behöver du bara högerklicka på intressefältet och välja en av underposterna för objektet "Använd som filter" eller objektet "Förbered ett filter". I det första fallet kommer ändringarna att träda i kraft omedelbart, och i det andra kommer det att vara möjligt att korrigera uttrycket. "Selected" betyder att fältvärdet blir ett nytt filter, "Not Selected" betyder samma sak, bara med en negation. Klausuler som börjar med "..." lägger till fältvärdet till ett befintligt uttryck, med förbehåll för booleska operatorer.

Genom att kombinera olika Wireshark grafiska gränssnittsverktyg och kunskap om HTTP-protokollet kan du enkelt borra ner till önskad nivå av trafikvisning i huvudprogramfönstret.

För att till exempel se vilka bilder webbläsaren begärde från webbservern när sidan genererades, kommer ett filter som analyserar innehållet i den URI som skickas till servern att göra:

(http.host eq "www..request.uri innehåller ".jpg#26759185") eller (http.request.uri innehåller ".png#26759185"))

Samma sak, men med hjälp av matchningar:

(http.host eq "www..request.uri matches ".jpg|.png#26759185")

Givetvis kan meddelandefält från protokoll på olika nivåer säkert blandas i ett uttryck. Till exempel, för att ta reda på vilka bilder denna server skickade till klienten använder vi källadressen från IP-paketet och fältet "Content-Type" för HTTP-svaret:

(ip.src eq 178.248.232.27) och (http.content_type innehåller "bild")

Och med hjälp av HTTP-begäran "Referer"-fältet kan du ta reda på vilka andra servrar webbläsaren hämtar innehåll från när du skapar en sida för din favoritwebbplats:

(http.referer eq "http://www..dst eq 178.248.232.27))

Låt oss titta på några fler användbara filter. För att ta ett exempel på HTTP-förfrågningar gjorda med GET-metoden från trafik kan du använda följande uttryck:

Http.request.method == GET

Det är på applikationsnivå som displayfilter manifesterar sig i all sin skönhet och enkelhet. Som jämförelse: för att till exempel lösa det här problemet med Pcap, måste du använda den här trevåningsstrukturen:

Port 80 och tcp[((tcp & 0xf0) >> 2):4] = 0x47455420

För att ta reda på vilka www-anslutningar som gjordes av en användare av värden 192.168.56.8 vid ett visst tidsintervall (säg under lunchrasten), använder vi frame.time-primitiven:

Tcp.dstport == 80 && frame.time >= "Jan 9, 2013 13:00:00" && frame.time< "Yan 9, 2013 14:00:00" && ip.src == 192.168.56.8

Tja, visar URI-förfrågningar som innehåller orden "inloggning" och "användare", plus en "påminnelse" om lösenord:

Http.request.uri matchar "login.*=user" (http innehåller "lösenord") || (pop innehåller "PASS")

Avlyssning av SSL-innehåll

Det verkliga eländet med en nätverkstrafikforskare är kryptering. Men om du har en värdefull fil med ett certifikat (förresten, du måste ta hand om den som din ögonsten), då kan du enkelt ta reda på vad användarna av denna resurs gömmer i SSL-sessioner. För att göra detta måste du ange serverparametrarna och certifikatfilen i SSL-protokollinställningarna (alternativet "Inställningar" i menyn "Redigera", välj SSL i listan över protokoll till vänster). PKCS12- och PEM-formaten stöds. I det senare fallet måste du ta bort lösenordet från filen med hjälp av kommandona:

Openssl pkcs12 -export -in server.pem -out aa.pfx openssl pkcs12 -in aa.pfx -out serverNoPass.pem -noder

INFO

Att extrahera trafik för övervakning och felsökning från nätverkstrafik görs av ett paketfilter. Paketfiltret är en del av operativsystemets kärna och tar emot nätverkspaket från nätverkskortets drivrutin.

Exempel på paketfilter för UNIX-liknande operativsystem är BPF (Berkeley Packet Filter) och LSF (Linux Socket Filter). I BPF implementeras filtrering baserat på skiftlägeskänsligt primitivt maskinspråk, där BPF är en tolk.

Analysera trafik från fjärrvärdar

Windows-användare kan inte bara arbeta med gränssnitten på den dator som Wireshark körs på, utan också fånga trafik från fjärrdatorer. Det finns en speciell tjänst för detta (Remote Packet Capture Protocol) som ingår i WinPcap-biblioteket. Den måste först aktiveras i snapin-modulen för servicehantering (services.msc). Nu, efter att ha startat Wireshark på en fjärrdator, kan du ansluta till noden där fjärrtrafikavlyssningstjänsten körs (med port 2002 som standard), och data kommer att flöda till dig via RPCAP-protokollet.

Jag kommer också att ge alternativ för att ansluta till ditt hem *nix-router "från utsidan" för fjärrtrafikanalys:

$ssh [e-postskyddad]"tshark -f "port !22" -i any -w -" | wireshark -k -i - $ssh [e-postskyddad] tcpdump -U -s0 -w - "inte port 22" | wireshark -k -i -

Ett måste ha verktyg

Wireshark är ett välkänt verktyg för att avlyssna och interaktivt analysera nätverkstrafik, och är en de facto standard för industri och utbildning. Distribueras under GNU GPLv2-licensen. Wireshark fungerar med de flesta kända protokoll, har ett GTK+-baserat grafiskt användargränssnitt, ett kraftfullt trafikfiltersystem och en inbyggd Lua-tolk för att skapa avkodare och händelsehanterare.

Hämta nyttolast

I vissa kretsar är specialiserade verktyg allmänt kända som låter dig "dra ut" slutliga informationsobjekt från trafik: filer, bilder, video- och ljudinnehåll, etc. Tack vare dess kraftfulla analytiska undersystem täcker Wireshark mer än denna funktionalitet, så leta efter knappen "Spara nyttolast..." i motsvarande analysfönster.

Slutsats

Mot bakgrund av den allmänna fascinationen av datorn under jorden med säkerheten i nätverkstillämpningar, bleknar de monumentala problemen med lägre nivåer gradvis in i bakgrunden. Det är tydligt att nät- och transportskikten har studerats och forskat vida omkring. Men problemet är att specialister som växte upp med SQL-injektioner, cross-site scripting och inneslutningar inte är medvetna om det enorma lagret som är gömt under toppen av isberget och ofta ger efter för till synes elementära problem.

En sniffer, som en debugger och en disassembler, visar detaljerna om hur systemet fungerar i detalj. Med Wireshark installerad och lite skicklighet kan du se nätverksinteraktioner som de är - i en oskyldig, ren, naken form. Och filter hjälper dig!

Vilket är det mest kraftfulla verktyget för att fånga och analysera internettrafik idag? Svaret är enkelt - Wireshark. Det kan inte bara fånga upp utgående TCP-paket utan även inkommande. Detta verktyg används av många proffs. Och hackare är inte över att använda det. Programmets möjligheter är oändliga. Med dess hjälp kan du extrahera vilken fil som helst från paketet, visa den och kontrollera den. Huvudfrågan är hur man gör detta. Vi ska försöka reda ut detta.

Vad är Wireshark

Det här verktyget är utformat för att styra internettrafik. Den fångar upp TCP-paket som togs emot av eller skickades från datorn. Funktionaliteten i programmet är så rik att den inte är begränsad till enkel avlyssning. Du kan se innehållet i paket, leta efter fel och så vidare. Dessutom kan du med hjälp av WS extrahera nästan vilken fil som helst från paket och visa den. För att bättre förstå vad det här programmet är måste du lyfta fram dess främsta fördelar. Så, proffsen:

plattformsoberoende (det finns versioner för Linux, Mac, Unix);
Verktyget är helt gratis;
har bred funktionalitet;
flexibilitet för anpassning;
förmågan att filtrera trafik;
skapa dina egna filter;
paketavlyssning i realtid.

Detta verktyg har verkligen många fördelar. Men det finns inga brister som sådana alls. Inte konstigt att Wireshark anses vara den bästa i sitt slag för att fånga och analysera TCP-paket. Nu måste du förstå lite om själva programmet.

Installation och konfiguration

Du kan ladda ner Wireshark från utvecklarens officiella webbplats. Programmet är helt gratis. Det är värt att uppmärksamma det faktum att den senaste versionen (2.0.5) inte fungerar med Wi-Fi-adaptrar. Om du behöver analysera trådlös trafik bör du därför ladda ner en äldre version.

Installation av verktyget är standard och kommer inte att orsaka några problem även för nybörjare. Allt i installationsprogrammet är tydligt, även om det är på engelska. Förresten, Wireshark finns inte på ryska till sin natur, så för att framgångsrikt klara av denna programvara måste du anstränga ditt minne och komma ihåg engelska. I princip behövs inget speciellt för att helt enkelt fånga och visa TCP-paket. Engelska på skolnivå räcker.

Så det första vi ser efter att ha startat det installerade programmet är huvudfönstret. För en otränad användare kan det verka obegripligt och skrämmande.

Det är inget fel med det. Du kommer att se detta nu. För att komma igång måste du först välja källan från vilken TCP-paket ska hämtas. Avlyssning kan utföras både från en Ethernet-anslutning och från en WLAN-adapter. Som ett exempel, överväg alternativet med WLAN. För att konfigurera, måste du gå till "Capture"-objektet, underobjektet "Options". I fönstret som öppnas väljer du din trådlösa adapter och markerar den. För att börja fånga trafik, klicka bara på "Start"-knappen.

Efter att ha klickat på "Start" börjar paketanalys och insamling. Många konstiga bokstäver och siffror kommer att dyka upp i fönstret. Vissa av paketen har en egen färgkodning. För att förstå något måste du bestämma vilken färg som refererar till vad. Grön - TCP-trafik, mörkblå - DNS, ljusblå - UDP och svart - TCP-paket med fel. Nu är det lättare att förstå detta berg av data.

För att stoppa avlyssningsprocessen, klicka bara på "Stopp"-knappen, som är markerad med en röd rektangel. Nu kan du välja det paket du är intresserad av och se det. För att göra detta, högerklicka på paketet och välj "Visa paket i nytt fönster" i menyn som visas. En massa konstiga bokstäver och siffror dyker genast upp.

Men med en fördjupad studie av den information som presenteras kan du förstå var paketet kom ifrån och vart det tog vägen och vad det bestod av. För att kunna se data om TCP-paket senare måste du använda funktionen för att spara infångad information. Den finns i menyalternativet "Arkiv", underposten "Spara som". Sedan kan du ladda ner informationen från filen och se den i lugn och ro.

Använda filter

För att bara visa den information som intresserar dig kan du tvinga Wireshark att använda filter och stänga av onödig trafik. Instruktioner för finjustering av filter finns på Internet, men för närvarande kommer vi bara att överväga ett exempel. Låt oss säga att du bara är intresserad av TCP-paket. För att programmet endast ska visa dem, bör du gå till menyalternativet "Fånga", underobjektet "Fånga filter", välj alternativet "Endast TCP" och klicka på knappen "OK".

På så sätt kan du tvinga verktyget att endast visa den trafik som intresserar dig. Mer information om hur man använder filter finns på Internet. Du kan till och med skapa din egen filtermall. Men det är en helt annan historia.

Slutsats

Bland program för att fånga och analysera trafik har Wireshark etablerat sig som det mest värdiga verktyget för att lösa sådana problem. Många proffs använder det framgångsrikt. Naturligtvis, för att arbeta i det på en professionell nivå, måste du förbättra dina kunskaper i engelska och lära dig några principer för dataöverföring. Men det är värt det. Nu kommer inte ett enda program på din dator att kunna skicka massor av onödig information till Gud vet var utan din vetskap. Wireshark är oöverträffad som interceptor och analysator.

Video

Wireshark är en mycket populär nätverksprotokollanalysator genom vilken en nätverksadministratör kan granska flödet av datatrafik till/från ett datorsystem i ett nätverk.

Det här verktyget har funnits ganska länge och har många användbara funktioner.

En av dessa funktioner är displayfiltret, genom vilket du kan filtrera den infångade datatrafiken baserat på olika faktorer som protokoll, nätverksportar, IP-adresser, etc.

I den här artikeln kommer vi att diskutera grunderna i Wireshark och de 5 viktiga Wireshark-skärmfiltren som varje nybörjare bör känna till.

Om du är helt ny på Wireshark, ladda ner den först och installera den på ditt system.

Efter installationen, starta Wireshark GUI.

Här är ett exempel på Wireshark-startskärmen:

Det första steget är att välja gränssnittet (på vilket data ska registreras) och sedan klicka på "start"-knappen.

När du trycker på "start"-knappen visas information om alla inkommande och utgående datapaket (på det valda gränssnittet) på utgången.

Du kan klicka på valfri paketpost i fönstret som visas ovan och se mer information om det paketet som visas i avsnittet precis under samma fönster.

Låt oss nu gå tillbaka till vårt ämne. visningsfilter kan anges via textfältet "Filter", som är placerat precis ovanför trafikutmatningsdelen.

Wireshark Screen Filter Exempel

I det här avsnittet kommer vi att diskutera 5 användbara utdatafiltersyntaxer

1. Filtrera resultat efter protokoll

Du kan enkelt filtrera resultat baserat på ett specifikt protokoll. Till exempel, för att bara visa de paket som innehåller TCP-protokollet, skriv helt enkelt protokollnamnet i filtertextrutan.

Här är ett exempel:

Så du kan se att alla paket som innehåller TCP-protokoll har visats i utdata.

2. Filtrera resultaten efter port

Du kan också filtrera resultat baserat på nätverksportar. Till exempel, för att bara visa de paket som innehåller TCP-protokollet och har en käll- eller destinationsport på 80, skriv helt enkelt tcp.port eq 80 i filterfönstret.

Här är ett exempel på en skärmdump:

3. Filtrera resultat baserat på flera villkor

Om det finns ett scenario där du vill visa resultat baserat på förhållanden som inte är relaterade till varandra, använd ett filter eller. Till exempel, för att visa alla paket som innehåller TCP- eller DNS-protokoll, skriv helt enkelt t cp eller dns i filterfönstret.

Här är ett exempel på en skärmdump:

Så du kan se att utdata kommer att visa paket som innehåller TCP- eller DNS-protokoll.

På liknande sätt kan du använda ett filter och. Detta filter används där du vill visa resultat baserat på förhållanden som inte är relaterade till varandra. Till exempel, för att visa alla paket som innehåller TCP såväl som HTTP-protokoll, skriv helt enkelt tcp och http i filterfältet.

Här är ett exempel på en skärmdump:

Du kan se att utdata kommer att visa paket som innehåller TCP och HTTP-protokoll.

4. Filtrera resultat efter IP-adresser

Använd filter för att filtrera resultat baserat på IP-adresser src eller dst.

Till exempel, för att bara visa de paket som innehåller den utgående IP-adressen 192.168.0.103, skriv helt enkelt ip.src == 192.168.0.103 i filterfönstret.

Här är ett exempel: