Более 20 лет назад Gerald Combs анонсировал Ethereal 0.2.0, первую публичную версию того, что мы теперь знаем как Wireshark. Wireshark, разработанный для Solaris и Linux, представляет собой анализатор сетей и пакетов с открытым исходным кодом. Проект начал свою жизнь как Ethereal в 1998 году, но его название было изменено на Wireshark в 2006 году из-за проблем с правами на товарные знаки..


На сегодняшний день Wireshark – это крупнейший в мире сетевой анализатор, в котором более 600 авторов, множество наград и собственная конференция разработчиков SharkFest..

Это руководство поможет вам начать работу с Wireshark. Мы пройдемся по основам, таким как загрузка и сбор, просмотр и фильтрация пакетов. У Wireshark есть много продвинутых функций, которые не могут быть рассмотрены в рамках этой статьи, но на них есть множество учебных пособий на wireshark.org..

Скачать и настроить Wireshark

Wireshark доступен для скачивания через страницу загрузки. Чтобы получить его для Windows или macOS, нажмите на соответствующие ссылки в разделе «стабильный выпуск». Если вам нужен источник для Linux, прокрутите страницу до конца и найдите загрузку для вашей версии в разделе «сторонние пакеты».

Wireshark-скачать

После загрузки приложения вы можете начать процесс установки. Если вы пользователь Windows, вам нужно установить библиотеку WinPcap, которая позволяет вам захватывать сетевой трафик. Без него вы сможете просматривать только захваченные пакеты, которые были сохранены. Последняя версия Wireshark должна устанавливать WinPcap по умолчанию.

Также убедитесь, что вы установили USBPcap, который позволяет Wireshark захватывать трафик с USB-устройств..

Как захватить пакеты с помощью Wireshark

Wireshark построен на его способности захватывать сетевые пакеты и отображать их в формате, который могут интерпретировать простые смертные. Если вы не уверены, что такое сетевые пакеты, мы рассмотрим их в нашем руководстве по IPv4 и IPv6..

После загрузки и установки вы готовы запустить Wireshark и начать захват пакетов.

Wireshark-старт

Чтобы начать процесс захвата, вам нужно выбрать сетевой интерфейс. После запуска приложения вы увидите доступные сетевые подключения на экране запуска. Вы также можете увидеть дополнительные функции, нажав «захват», а затем выбрав «параметры».

Захват-варианты

Выберите соединение для захвата:

  • Двойной щелчок по его имени.
  • Использование сочетания клавиш CTRL + E.
  • Нажав на плавник акулы на панели инструментов, расположенной в дальнем левом углу.

После этого записываемое соединение будет затенено синим или серым цветом, и Wireshark начнет запись сетевого трафика и его детализацию. Чтобы остановить процесс записи, нажмите красную кнопку остановки рядом с кнопкой плавника акулы. Кроме того, вы можете использовать сочетание клавиш CTRL + E.

При захвате с помощью Wireshark по умолчанию включается случайный режим. Он позволяет захватывать все пакеты в сети, а не только те, которые адресованы вашему компьютеру или сетевому адаптеру. Тем не менее, случайный режим не поддерживается всем сетевым оборудованием и интерфейсами. Его можно изменить, нажав «изменить», затем «настройки …».

Wireshark-предпочтения

Проверьте FAQ по Wireshark для более подробной информации о случайном режиме.

Просмотр захваченных пакетов с Wireshark

Теперь, когда вы записали данные, пришло время их просмотреть. При просмотре пакетов вы увидите информацию, распределенную по трем панелям: список пакетов, сведения о пакете и байты пакета. Панель списка пакетов является верхней и отображает время, источник, место назначения, протокол и дополнительную информацию..  

Wireshark-packet_pane1
 

Панель сведений о пакете находится посередине. Как следует из названия, он отображает детали относительно выбранного пакета. Он показывает тип протокола, такой как IPv4 или IPv6, и адреса, такие как IP или MAC, в формате свертываемого списка..

Wireshark-пакеты pane2

Панель байтов пакета находится внизу. Он содержит необработанные данные из пакета и отображает их в шестнадцатеричном или битовом формате.

Wireshark-пакеты pane3

Фильтрация пакетов с помощью Wireshark

Каждый раз, когда вы анализируете сетевой трафик, вы захотите закрыть приложения, отправляющие пакеты, которые вы не хотите видеть, чтобы сузить трафик. Даже тогда у вас, скорее всего, останется много остаточных пакетов, через которые нужно просеять. Именно здесь вступают в игру фильтры Wireshark. Он предлагает фильтры захвата и фильтры отображения, и оба влияют на файл захвата по-разному.

Фильтры захвата применяются к файлу захвата до начала процесса записи, позволяя вам решить, какие пакеты Wireshark будет захватывать. Фильтры отображения, с другой стороны, применяются к файлу захвата после факта, позволяя вам видеть только пакеты, которые соответствуют вашим определенным критериям.

Чтобы добавить фильтр захвата, щелкните в поле ввода над интерфейсами, показанными в окне запуска. Вы можете ввести фильтр, например TDP, или щелкнуть значок закладки слева и выбрать его из раскрывающегося списка. Чтобы получить дополнительные параметры, нажмите зеленый значок закладки и выберите «управлять фильтрами захвата».

Wireshark захвата фильтра

Над полем захвата вы увидите другое поле ввода с надписью «применить фильтр отображения…», где вы можете применить фильтры отображения так же, как описано для применения фильтров захвата..

Wireshark-дисплей-фильтр

Цветовое кодирование с Wireshark

Цветовые правила Wireshark позволяют дополнительно отделять и индивидуализировать пакеты в зависимости от их выделенного цвета. Таким образом, вы можете сразу определить некоторые типы трафика или ошибки. Встроенная библиотека цветов Wireshark предлагает около 20 оттенков, каждый из которых можно редактировать, отключать или удалять..

Вы можете получить доступ к параметрам раскраски, нажав «просмотр» на панели инструментов, затем выбрав «правила раскраски».

Wireshark-цветы

Окрашивание пакетов можно отключить, нажав «Просмотр» и включив опцию «Окрасить список пакетов» в раскрывающемся меню..

Wireshark-colors2

Просмотр статистики сети в Wireshark

Wireshark предлагает различные данные и метрики о вашей сети, которые доступны через раскрывающееся меню «статистика» на панели инструментов. Метрики включают в себя разрешенные адреса, статистику IPv4, статистику IPv6 и другие диаграммы и графики. Вы также можете использовать фильтры отображения там. Статистику можно экспортировать в различные форматы файлов, такие как .txt, .csv и .xml, а также.

Wireshark-статистика

Последние мысли

Wireshark – это простой, но универсальный сетевой анализатор, и, что самое приятное, он бесплатный. Хотя это руководство призвано показать вам основы, мы только начали рассказывать о том, что может сделать Wireshark. Если вы хотите освоить Wireshark и написать свой собственный анализатор протоколов, официальное руководство пользователя Wireshark является авторитетным справочником..

Wireshark wiki – еще один замечательный ресурс, который можно использовать вместе с программой, поскольку в нем есть учебные пособия, примеры снимков, инструменты и плагины..

Чтобы получить больше программного обеспечения, посмотрите наши лучшие антивирусы, лучшие менеджеры паролей и лучшее бухгалтерское программное обеспечение. В противном случае, спасибо за чтение, и дайте нам знать в комментарии или твите, если у вас есть советы или хитрости Wireshark.

Kim Martin
Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me