Домашняя » как » Как использовать Wireshark для захвата, фильтрации и проверки пакетов

    Как использовать Wireshark для захвата, фильтрации и проверки пакетов

    Wireshark, инструмент сетевого анализа, ранее известный как Ethereal, захватывает пакеты в режиме реального времени и отображает их в удобочитаемом формате. Wireshark включает в себя фильтры, цветовое кодирование и другие функции, которые позволяют вам углубляться в сетевой трафик и проверять отдельные пакеты..

    Этот учебник научит вас основам захвата пакетов, их фильтрации и проверки. Вы можете использовать Wireshark для проверки сетевого трафика подозрительной программы, анализа потока трафика в вашей сети или устранения неполадок в сети..

    Получение Wireshark

    Вы можете скачать Wireshark для Windows или macOS с официального сайта. Если вы используете Linux или другую UNIX-подобную систему, вы, вероятно, найдете Wireshark в его репозиториях пакетов. Например, если вы используете Ubuntu, вы найдете Wireshark в программном центре Ubuntu.

    Просто быстрое предупреждение: многие организации не допускают использование Wireshark и подобных инструментов в своих сетях. Не используйте этот инструмент на работе, если у вас нет разрешения.

    Захват пакетов

    После загрузки и установки Wireshark вы можете запустить его и дважды щелкнуть имя сетевого интерфейса в разделе «Захват», чтобы начать захват пакетов на этом интерфейсе. Например, если вы хотите захватывать трафик в вашей беспроводной сети, выберите ваш беспроводной интерфейс. Вы можете настроить дополнительные функции, нажав Capture> Параметры, но пока это не обязательно.

    Как только вы нажмете имя интерфейса, вы увидите, что пакеты начинают появляться в режиме реального времени. Wireshark захватывает каждый пакет, отправленный в или из вашей системы.

    Если у вас включен случайный режим (он включен по умолчанию), вы также увидите все другие пакеты в сети, а не только пакеты, адресованные вашему сетевому адаптеру. Чтобы проверить, включен ли неразборчивый режим, нажмите «Захват»> «Параметры» и убедитесь, что в нижней части этого окна установлен флажок «Включить разнородный режим на всех интерфейсах»..

    Нажмите красную кнопку «Стоп» в левом верхнем углу окна, когда вы хотите прекратить захват трафика.

    Цветовая кодировка

    Вы, вероятно, увидите пакеты, выделенные разными цветами. Wireshark использует цвета, чтобы помочь вам определить типы трафика с первого взгляда. По умолчанию светло-фиолетовый - это трафик TCP, светло-синий - это трафик UDP, а черный - пакеты с ошибками, например, они могли быть доставлены не в порядке..

    Чтобы точно узнать, что означают цветовые коды, нажмите «Вид»> «Правила окраски». Вы также можете настроить и изменить правила раскраски здесь, если вам нравится.

    Образцы Захваты

    Если в вашей собственной сети нет ничего интересного для проверки, на wiki Wireshark вы можете найти ответы. В вики есть страница с примерами файлов захвата, которые вы можете загрузить и проверить. Нажмите Файл> Открыть в Wireshark и найдите загруженный файл, чтобы открыть его..

    Вы также можете сохранить свои собственные снимки в Wireshark и открыть их позже. Нажмите Файл> Сохранить, чтобы сохранить захваченные пакеты..

    Фильтрация пакетов

    Если вы пытаетесь проверить что-то конкретное, например, трафик, который программа отправляет при звонке домой, это помогает закрыть все другие приложения, использующие сеть, чтобы вы могли сузить трафик. Тем не менее, вам, вероятно, придется просеивать большое количество пакетов. Вот где вступают фильтры Wireshark.

    Самый простой способ применить фильтр - ввести его в поле фильтра в верхней части окна и нажать «Применить» (или нажать «Ввод»). Например, введите «dns», и вы увидите только пакеты DNS. Когда вы начнете печатать, Wireshark поможет вам автоматически заполнить фильтр.

    Вы также можете нажать «Анализ»> «Показать фильтры», чтобы выбрать фильтр из фильтров по умолчанию, включенных в Wireshark. Отсюда вы можете добавлять свои собственные фильтры и сохранять их для быстрого доступа к ним в будущем..

    Для получения дополнительной информации о языке фильтрации отображения Wireshark см. Страницу «Построение выражений фильтра отображения» в официальной документации Wireshark..

    Еще одна интересная вещь, которую вы можете сделать, это щелкнуть правой кнопкой мыши по пакету и выбрать Follow> TCP Stream.

    Вы увидите полный разговор по TCP между клиентом и сервером. Вы также можете щелкнуть другие протоколы в меню Follow, чтобы увидеть полные разговоры по другим протоколам, если это применимо.

    Закройте окно, и вы увидите, что фильтр был применен автоматически. Wireshark показывает вам пакеты, которые составляют разговор.

    Проверка пакетов

    Нажмите на пакет, чтобы выбрать его, и вы можете копать вниз, чтобы просмотреть его детали.

    Вы также можете создавать фильтры здесь - просто щелкните правой кнопкой мыши одну из деталей и используйте подменю «Применить как фильтр», чтобы создать фильтр на его основе..


    Wireshark - чрезвычайно мощный инструмент, и в этом уроке вы только расскажете о том, что с ним можно сделать. Профессионалы используют его для отладки реализаций сетевых протоколов, изучения проблем безопасности и проверки внутренних компонентов сетевых протоколов..

    Вы можете найти более подробную информацию в официальном Руководстве пользователя Wireshark и на других страницах документации на сайте Wireshark..