Kako uporabljati Wireshark: Analiza omrežja, slog 2020
Pred več kot 20 leti je Gerald Combs objavil Ethereal 0.2.0, prvo javno različico tega, kar danes poznamo kot Wireshark. Wireshark, razvit za Solaris in Linux, je odprtokodno omrežje in analizator paketov. Projekt je leta 1998 zaživel kot Ethereal, vendar je bilo ime 2006 spremenjeno v Wireshark zaradi težav s pravicami blagovnih znamk.
Danes je Wireshark najpomembnejši mrežni analizator na svetu z več kot 600 avtorji, večkratnimi nagradami in lastno konferenco za razvijalce SharkFest.
Ta vodnik vam bo pomagal, da vstanete in tečete z Wiresharkom. Preučili bomo osnove, kot so na primer prenos in zajem, ogled in filtriranje paketov. Wireshark ima veliko naprednih funkcij, ki jih ni mogoče zajeti v tem članku, vendar pa je na njih veliko vadnic na wireshark.org.
Contents
Prenesite in nastavite Wireshark
Wireshark je na voljo za prenos prek svoje strani za prenos. Če ga želite dobiti za Windows ali macOS, kliknite ustrezne povezave pod razdelkom »stabilna izdaja«. Če potrebujete vir za Linux, se pomaknite na dno strani in poiščite prenos za svojo različico v razdelku »paketi drugih proizvajalcev«.
Ko naložite aplikacijo, lahko začnete postopek namestitve. Če ste uporabnik sistema Windows, boste morali namestiti knjižnico WinPcap, kar vam omogoča zajem omrežnega prometa v živo. Brez tega si boste lahko ogledali le shranjene pakete, ki so bili shranjeni. Najnovejša različica Wiresharka bi morala privzeto namestiti WinPcap.
Prav tako namestite USBPcap, ki omogoča, da Wireshark zajame promet z USB naprav.
Kako zajeti pakete z Wiresharkom
Wireshark je zasnovan na njegovi sposobnosti, da zajame mrežne pakete in jih prikaže v obliki, ki jo lahko razlagajo zgolj smrtniki. Če niste prepričani, kaj so omrežni paketi, jih v našem vodniku IPv4 v primerjavi z IPv6 preberemo.
Po prenosu in namestitvi ste pripravljeni zagnati Wireshark in začeti zajemati pakete.
Za začetek postopka zajema morate izbrati omrežni vmesnik. Po zagonu aplikacije bodo na zaslonu za zagon prikazane razpoložljive omrežne povezave. Napredne funkcije lahko vidite tudi tako, da kliknete »zajem« in nato izberete »možnosti«.
Izberite povezavo za zajem:
- Dvokliknite njegovo ime.
- Uporaba bližnjice na tipkovnici CTRL + E.
- S klikom na plavuti morskega psa v orodni vrstici, ki se nahaja v skrajnem levem kotu.
Po končani povezavi bo povezava, ki jo želite posneti, zasenčena v modro ali sivo in Wireshark bo začel snemati mrežni promet in ga podrobno opisati. Postopek snemanja ustavite tako, da pritisnete rdeči gumb za zaustavitev poleg gumba za plavuti morskega psa. Lahko pa uporabite bližnjico na tipkovnici CTRL + E.
Pri zajemu z Wiresharkom je promiskuitetni način privzeto omogočen. Omogoča zajem vseh paketov v omrežju, ne le tistih, naslovljenih na vaš računalnik ali omrežni adapter. Kljub temu promiskuitetni način ne podpira vsa omrežna strojna oprema in vmesniki. Spremenite jo lahko s klikom na “uredi”, nato pa “nastavitve …”.
Za podrobnosti o promiskuitetnem načinu si oglejte pogosta vprašanja Wireshark.
Oglejte si ujete pakete z Wiresharkom
Zdaj, ko ste posneli podatke, je čas, da si jih ogledate. Ko si ogledujete pakete, boste videli informacije, razporejene na tri podokna: seznam paketov, podrobnosti o paketu in bajti paketov. Podokno seznama paketov je zgornje in prikazuje čas, vir, cilj, protokol in dodatne informacije.
Podokno s podrobnostmi o paketu je na sredini. Kot že ime pove, prikazuje podrobnosti o izbranem paketu. Prikaže vrsto protokola, kot sta IPv4 ali IPv6, in naslove, kot sta IP ali MAC, v obliki zbranega seznama.
Podokno bajtov paketov je na dnu. Vsebuje neobdelane podatke iz paketa in jih prikazuje v šestnajstiški ali bitni obliki.
Filtriranje paketov z žico
Kadar koli analizirate omrežni promet, boste želeli izklopiti aplikacije, ki pošiljajo pakete, ki jih ne želite videti, da bi zožili promet. Tudi takrat boste verjetno morali prebiti veliko preostalih paketov. Tu se začnejo uporabljati filtri Wireshark. Ponuja filtre za zajem in prikazne filtre in oba vplivata na zajemno datoteko drugače.
Filtri za zajem se uporabijo za zajemno datoteko, preden se začne postopek snemanja, kar vam omogoča, da se odločite, katere pakete bo Wireshark zajel. Zaslonski filtri se po drugi strani uporabijo za zajemno datoteko, tako da lahko vidite samo pakete, ki ustrezajo vašim posebnim kriterijem.
Če želite dodati filter za zajem, kliknite vnosno polje nad vmesniki, prikazanimi v zagonnem oknu. Lahko vnesete filter, kot je TDP, ali kliknete ikono zaznamka na levi strani in izberete s spustnega seznama. Za dodatne možnosti po kliku na zeleno ikono zaznamka izberite »upravljanje filtrov za zajem«.
Nad zajemnim poljem boste videli drugo vnosno polje z napisom »uporabi zaslonski filter …«, kjer lahko uporabite prikazne filtre na enak način, kot je opisano za uporabo filtrov za zajem.
Barvno kodiranje z Wireshark
Barvna pravila Wiresharka omogočajo nadaljnje ločevanje in individualizacijo paketov glede na njihovo poudarjeno barvo. Tako lahko na prvi pogled prepoznate določene vrste prometa ali napak. Vgrajena barvna knjižnica Wireshark ponuja približno 20 odtenkov, ki jih je mogoče urejati, onemogočiti ali izbrisati.
Do možnosti barvanja lahko dostopate tako, da v orodni vrstici kliknete »pogled«, ne pa da izberete »pravila barvanja«.
Koloriranje paketov lahko onemogočite s klikom na “pogled” in s preklopom možnosti “barvanje seznama paketov” v spustnem meniju.
Ogled statistike omrežja v Wiresharku
Wireshark ponuja številne podatke in meritve o vašem omrežju, ki so dostopni s spustnega menija “statistika” v orodni vrstici. Meritve vključujejo razrešene naslove, statistiko IPv4, statistiko IPv6 ter druge grafikone in grafikone. Tam lahko uporabite tudi prikazne filtre. Statistične podatke lahko izvažate tudi v različnih oblikah datotek, kot so .txt, .csv in .xml.
Končne misli
Wireshark je preprost, vendar vsestranski analizator omrežij in, kar je najboljše, brezplačen. Medtem ko naj bi ta vodnik pokazal osnove, smo šele začeli praskati po tem, kaj lahko Wireshark naredi. Če želite obvladati Wireshark in kodirati lastne dissektorje protokolov, je uradno vodilo za uporabnike Wireshark.
Wiki Wireshark je še en odličen vir, ki ga lahko uporabljamo poleg programa, saj ima vaje, vzorčne posnetke in orodja ter vtičnike.
Za več programske opreme si oglejte najboljše protivirusne sisteme, najboljše upravljalce gesel in najboljšo računovodsko programsko opremo. V nasprotnem primeru hvala za branje in nam v komentarju ali tvitu sporočite, če imate nasvete ali trike Wiresharka.
