Wireshark este cel mai important analizor de protocol de rețea folosit de profesioniștii din domeniul securității din întreaga lume. Vă permite să detectați anomalii în rețelele de calculatoare și să găsiți cauzele care stau la baza acestora. Vom demonstra cum să utilizați Wireshark în următoarele secțiuni.
Deci, cum funcționează? Și cum folosiți de fapt Wireshark pentru a captura pachete de date?
Cum funcționează Wireshark?
Setul robust de caracteristici Wireshark l-a făcut unul dintre cele mai bune instrumente pentru depanarea problemelor de rețea. Multe persoane folosesc Wireshark, inclusiv administratori de rețea, auditori de securitate, analiști malware și chiar atacatori.
Aveți o problemă de rețea? Sau vrei doar să afli mai multe despre rețeaua ta de acasă? Aceste șapte instrumente vă pot ajuta să analizați și să depanați rețeaua.
Vă permite să efectuați inspecții profunde ale pachetelor de rețea live sau stocate. Pe măsură ce începeți să utilizați Wireshark, veți fi fascinat de cantitatea de informații pe care o poate oferi. Cu toate acestea, prea multe informații fac adesea greu să rămâi pe drumul cel bun.
Din fericire, putem reduce acest lucru prin intermediul capacităților avansate de filtrare Wireshark. Le vom discuta în detaliu mai târziu. Fluxul de lucru constă în captarea pachetelor de rețea și filtrarea informațiilor solicitate.
Cum se folosește Wireshark pentru capturarea pachetelor
Odată ce porniți Wireshark, acesta va afișa interfețele de rețea conectate la sistemul dvs. Ar trebui să observați curbe reprezentând comunicarea în rețea lângă fiecare interfață.
Acum, trebuie să alegeți o interfață specifică înainte de a începe să capturați pachete. Pentru aceasta, selectați numele interfeței și faceți clic pe albastru aripi de rechin pictogramă. Puteți face acest lucru și făcând dublu clic pe numele interfeței.
Wireshark va începe să captureze pachetele de intrare și de ieșire pentru interfața selectată. Faceți clic pe roșu pauză pictogramă pentru a opri captura. Ar trebui să vedeți o listă a pachetelor de rețea luate în timpul acestui proces.
Wireshark va afișa sursa și destinația pentru fiecare pachet alături de protocol. Cu toate acestea, de cele mai multe ori, veți fi interesat de conținutul câmpului de informații.
Puteți inspecta pachete individuale făcând clic pe ele. În acest fel, puteți vizualiza întregul pachet de date.
Cum se salvează pachetele capturate în Wireshark
Deoarece Wireshark captează o mulțime de trafic, uneori poate doriți să le salvați pentru o inspecție ulterioară. Din fericire, salvarea pachetelor capturate cu Wireshark este fără efort.
Pentru a salva pachete, opriți sesiunea activă. Apoi faceți clic pe fişier pictogramă situată în meniul de sus. Puteți utiliza, de asemenea Ctrl + S pentru a face acest lucru.
Wireshark poate salva pachete în mai multe formate, inclusiv pcapng, pcap și dmp. De asemenea, puteți salva pachetele capturate într-un format altul instrumente de analiză a rețelei poate folosi ulterior.
Cum se analizează pachetele capturate
Puteți analiza pachetele capturate anterior deschizând fișierul de captură. Odată ajuns în fereastra principală, faceți clic pe Fișier> Deschidere și apoi selectați fișierul salvat relevant.
Puteți utiliza, de asemenea Ctrl + O pentru a face acest lucru rapid. După ce ați analizat pachetele, părăsiți fereastra de inspecție mergând la Fișier> Închidere.
Cum se utilizează filtrele Wireshark
Wireshark oferă o mulțime de capacități de filtrare robuste. Filtrele sunt de două tipuri - filtre de afișare și filtre de captură.
Utilizarea filtrelor de afișare Wireshark
Filtrele de afișare sunt utilizate pentru vizualizarea anumitor pachete din toate pachetele capturate. De exemplu, putem folosi filtrul de afișare icmp pentru a vizualiza toate pachetele de date ICMP.
Puteți alege dintr-un număr mare de filtre. Mai mult, puteți defini și reguli de filtrare personalizate pentru sarcini banale. Pentru a adăuga filtre personalizate, accesați Analizați> Afișați filtrele. Faceți clic pe + pictogramă pentru a adăuga un filtru nou.
Utilizarea filtrelor de captare Wireshark
Filtrele de captură sunt utilizate pentru a specifica ce pachete să capturați în timpul unei sesiuni Wireshark. Produce semnificativ mai puține pachete decât capturile standard. Le puteți utiliza în situații în care aveți nevoie de informații specifice despre anumite pachete.
Introduceți filtrul de captură în câmpul de deasupra listei de interfețe din fereastra principală. Selectați numele interfeței din listă și introduceți numele filtrului în câmpul de mai sus.
Faceți clic pe albastru aripi de rechin pictogramă pentru a începe capturarea pachetelor. Următorul exemplu utilizează arp filtru pentru a captura doar tranzacțiile ARP.
Utilizarea regulilor de colorare Wireshark
Wireshark oferă mai multe reguli de colorare, care anterior erau denumite filtre de culoare. Este o caracteristică excelentă pe care o aveți atunci când analizați traficul de rețea extins. De asemenea, le puteți personaliza în funcție de preferințe.
Pentru a afișa regulile actuale de colorare, accesați Vizualizare> Reguli de colorat. Aici puteți găsi regulile implicite de colorare pentru instalarea dvs.
Le puteți modifica oricum doriți. În plus, puteți utiliza și regulile de colorare ale altor persoane, importând fișierul de configurare.
Descărcați fișierul care conține regulile personalizate și apoi importați-l selectând Vizualizare> Reguli de colorat> Import. Puteți exporta reguli în mod similar.
Wireshark în acțiune
Până acum, am discutat câteva dintre caracteristicile principale ale Wireshark. Să efectuăm câteva operații practice pentru a demonstra modul în care acestea se integrează.
Am creat un server Go de bază pentru această demonstrație. Returnează un mesaj text simplu pentru fiecare cerere. Odată ce serverul rulează, vom face câteva solicitări HTTP și vom captura traficul live. Rețineți că rulăm serverul pe localhost.
Mai întâi, inițiem captura de pachete făcând dublu clic pe interfața Loopback (localhost). Următorul pas este să pornim serverul nostru local și să trimitem o solicitare GET. Folosim curl pentru a face acest lucru.
Wireshark va captura toate pachetele de intrare și de ieșire în timpul acestei conversații. Vrem să vedem datele trimise de serverul nostru, așa că vom folosi http.response afișează filtru pentru vizualizarea pachetelor de răspuns.
Acum, Wireshark va ascunde toate celelalte pachete capturate și va afișa numai pachetele de răspuns. Dacă priviți cu atenție detaliile pachetului, ar trebui să observați datele în text simplu trimise de serverul nostru.
Comenzi utile Wireshark
De asemenea, puteți utiliza diverse comenzi Wireshark pentru a controla software-ul de la terminalul dvs. Linux. Iată câteva comenzi de bază Wireshark:
- wireshark pornește Wireshark în modul grafic.
- wireshark -h afișează opțiunile disponibile din linia de comandă.
- wireshark -i INTERFATA selectează INTERFACE ca interfață de captare.
Tshark este alternativa din linia de comandă pentru Wireshark. Suportă toate caracteristicile esențiale și este extrem de eficient.
Analizați securitatea rețelei cu Wireshark
Setul bogat de caracteristici Wireshark și regulile avansate de filtrare fac ca analiza de pachete să fie productivă și simplă. Îl puteți folosi pentru a găsi tot felul de informații despre rețeaua dvs. Încercați funcționalitățile sale de bază pentru a afla cum să utilizați Wireshark pentru analiza pachetelor.
Wireshark este disponibil pentru descărcare pe dispozitive care rulează Windows, MacOS și Linux.
Doriți să vă monitorizați rețeaua sau dispozitivele la distanță? Iată cum puteți transforma Raspberry Pi într-un instrument de monitorizare a rețelei folosind Nagios.
- Linux
- Mac
- Windows
- Securitate
- Securitate online
Rubaiat este un absolvent de CS cu o pasiune puternică pentru open-source. În afară de faptul că este un veteran Unix, el se ocupă și de securitatea rețelelor, criptografie și programare funcțională. Este un colecționar avid de cărți second-hand și are o admirație nesfârșită pentru rockul clasic.
Aboneaza-te la newsletter-ul nostru
Alăturați-vă newsletterului pentru sfaturi tehnice, recenzii, cărți electronice gratuite și oferte exclusive!
Încă un pas…!
Vă rugăm să confirmați adresa de e-mail în e-mailul pe care tocmai vi l-am trimis.
