Kaip skaityti paketus „Wireshark“.

Daugeliui IT ekspertų „Wireshark“ yra pagrindinis tinklo paketų analizės įrankis. Atvirojo kodo programinė įranga leidžia atidžiai išnagrinėti surinktus duomenis ir tiksliau nustatyti problemos priežastį. Be to, „Wireshark“ veikia realiuoju laiku ir naudoja spalvų kodavimą, kad būtų rodomi užfiksuoti paketai, be kitų puikių mechanizmų.

Kaip skaityti paketus „Wireshark“.

Šiame vadove paaiškinsime, kaip užfiksuoti, skaityti ir filtruoti paketus naudojant Wireshark. Žemiau rasite nuoseklias instrukcijas ir pagrindinių tinklo analizės funkcijų suskirstymą. Įvaldę šiuos pagrindinius veiksmus, galėsite patikrinti tinklo srautą ir efektyviau šalinti triktis.

Paketų analizė

Kai paketai yra užfiksuoti, „Wireshark“ sutvarko juos į išsamią paketų sąrašo sritį, kurią nepaprastai lengva perskaityti. Jei norite pasiekti informaciją apie vieną paketą, tereikia jį rasti sąraše ir spustelėti. Taip pat galite toliau išplėsti medį, kad pasiektumėte kiekvieno pakete esančio protokolo informaciją.

Norėdami gauti išsamesnę apžvalgą, kiekvieną užfiksuotą paketą galite rodyti atskirame lange. Štai kaip:

  1. Žymekliu pasirinkite paketą iš sąrašo, tada spustelėkite dešinįjį pelės klavišą.

  2. Aukščiau esančioje įrankių juostoje atidarykite skirtuką „Peržiūrėti“.

  3. Išskleidžiamajame meniu pasirinkite „Rodyti paketą naujame lange“.

Pastaba: užfiksuotus paketus palyginti daug lengviau, jei juos pateikiate atskiruose languose.

Kaip minėta, „Wireshark“ duomenų vizualizavimui naudoja spalvų kodavimo sistemą. Kiekvienas paketas yra pažymėtas skirtinga spalva, kuri reiškia skirtingus srauto tipus. Pavyzdžiui, TCP srautas paprastai paryškinamas mėlyna spalva, o juoda spalva nurodo paketus, kuriuose yra klaidų.

Žinoma, jūs neturite įsiminti kiekvienos spalvos prasmės. Vietoj to galite patikrinti vietoje:

  1. Dešiniuoju pelės mygtuku spustelėkite paketą, kurį norite ištirti.

  2. Ekrano viršuje esančioje įrankių juostoje pasirinkite skirtuką „View“.

  3. Išskleidžiamajame skydelyje pasirinkite „Spalvų taisyklės“.

Pamatysite parinktį tinkinti spalvinimą pagal savo skonį. Tačiau, jei norite tik laikinai pakeisti spalvinimo taisykles, atlikite šiuos veiksmus:

  1. Dešiniuoju pelės mygtuku spustelėkite paketą paketų sąrašo srityje.
  2. Parinkčių sąraše pasirinkite „Spalvoti naudojant filtrą“.

  3. Pasirinkite spalvą, kuria norite jį pažymėti.

Skaičius

Paketų sąrašo srityje bus rodomas tikslus užfiksuotų duomenų bitų skaičius. Kadangi paketai suskirstyti į keletą stulpelių, tai gana lengva interpretuoti. Numatytosios kategorijos yra:

  • Nr. (Skaičius): Kaip minėta, šiame stulpelyje galite rasti tikslų užfiksuotų paketų skaičių. Skaičiai išliks tokie patys net ir išfiltravus duomenis.
  • Laikas: kaip jau galėjote atspėti, čia rodoma paketo laiko žyma.
  • Šaltinis: rodo, kur kilo paketas.
  • Paskirtis: rodoma vieta, kur bus laikomas paketas.
  • Protokolas: rodomas protokolo pavadinimas, paprastai santrumpa.
  • Ilgis: rodo baitų skaičių užfiksuotame pakete.
  • Informacija: stulpelyje pateikiama bet kokia papildoma informacija apie konkretų paketą.

Laikas

Kai „Wireshark“ analizuoja tinklo srautą, kiekvienas užfiksuotas paketas yra pažymėtas laiko žyma. Tada laiko žymos įtraukiamos į paketų sąrašo sritį ir pasiekiamos vėlesniam patikrinimui.

„Wireshark“ nekuria laiko žymų. Vietoj to, analizatoriaus įrankis juos gauna iš Npcap bibliotekos. Tačiau laiko žymos šaltinis iš tikrųjų yra branduolys. Štai kodėl laiko žymos tikslumas gali skirtis priklausomai nuo failo.

Galite pasirinkti formatą, kuriuo laiko žymos bus rodomos paketų sąraše. Be to, galite nustatyti pageidaujamą rodomų skaičių po kablelio tikslumą arba skaičių. Be numatytojo tikslumo nustatymo, taip pat yra:

  • sekundės
  • Dešimtosios sekundės
  • Šimtos sekundės
  • Milisekundės
  • Mikrosekundės
  • Nanosekundės

Šaltinis

Kaip rodo pavadinimas, paketo šaltinis yra kilmės vieta. Jei norite gauti „Wireshark“ saugyklos šaltinio kodą, galite jį atsisiųsti naudodami „Git“ klientą. Tačiau metodas reikalauja, kad turėtumėte GitLab paskyrą. Galima tai padaryti ir be jo, bet geriau užsiregistruoti bet kuriuo atveju.

Užregistravę paskyrą, atlikite šiuos veiksmus:

  1. Įsitikinkite, kad Git veikia, naudodami šią komandą:$ git – versija.

  2. Dar kartą patikrinkite, ar sukonfigūruoti jūsų el. pašto adresas ir vartotojo vardas.
  3. Tada sukurkite Workshark šaltinio kloną. Naudoti "$ git clone -o prieš srovę [apsaugotas el. paštu] :wireshark/wireshark.git” SSH URL, kad padarytumėte kopiją.
  4. Jei neturite „GitLab“ paskyros, išbandykite HTTPS URL: „$ git klonas -o prieš srovę //gitlab.com/wireshark/wireshark.git.

Vėliau visi šaltiniai bus nukopijuoti į jūsų įrenginį. Atminkite, kad klonavimas gali užtrukti, ypač jei jūsų tinklo ryšys yra vangus.

Kelionės tikslas

Jei norite sužinoti konkretaus paketo paskirties IP adresą, galite jį rasti naudodami rodymo filtrą. Štai kaip:

  1. Įveskite "ip.addr == 8.8.8.8“ į Wireshark „Filter Box“. Tada spustelėkite „Enter“.

  2. Paketų sąrašo sritis bus sukonfigūruota tik taip, kad būtų rodoma paketo paskirties vieta. Suraskite jus dominantį IP adresą slinkdami per sąrašą.

  3. Baigę įrankių juostoje pasirinkite „Išvalyti“, kad iš naujo sukonfigūruotumėte paketų sąrašo sritį.

protokolas

Protokolas yra gairės, nustatančios duomenų perdavimą tarp skirtingų įrenginių, prijungtų prie to paties tinklo. Kiekviename „Wireshark“ pakete yra protokolas, kurį galite iškviesti naudodami ekrano filtrą. Štai kaip:

  1. „Wireshark“ lango viršuje spustelėkite dialogo langą „Filtras“.
  2. Įveskite protokolo, kurį norite ištirti, pavadinimą. Paprastai protokolų pavadinimai rašomi mažosiomis raidėmis.
  3. Spustelėkite „Įvesti“ arba „Taikyti“, kad įjungtumėte ekrano filtrą.

Ilgis

„Wireshark“ paketo ilgis nustatomas pagal baitų, užfiksuotų tame konkrečiame tinklo fragmente, skaičių. Šis skaičius paprastai atitinka neapdorotų duomenų baitų skaičių, nurodytą Wireshark lango apačioje.

Jei norite ištirti ilgių pasiskirstymą, atidarykite langą „Paketų ilgiai“. Visa informacija suskirstyta į šiuos stulpelius:

  • Paketų ilgiai
  • Suskaičiuoti
  • Vidutinis
  • Min Val/Max Val
  • Įvertink
  • proc
  • Burst rate
  • Plyšio pradžia

Informacija

Jei konkrečiame užfiksuotame pakete yra kokių nors nukrypimų ar panašių elementų, „Wireshark“ tai pastebės. Tada informacija bus rodoma paketų sąrašo srityje tolesniam tyrimui. Tokiu būdu turėsite aiškų vaizdą apie netipišką tinklo elgesį, o tai sukels greitesnes reakcijas.

Papildomi DUK

Kaip galiu filtruoti paketinius duomenis?

Filtravimas yra efektyvi funkcija, leidžianti pažvelgti į konkrečios duomenų sekos specifiką. „Wireshark“ filtrai yra dviejų tipų: fiksavimo ir rodymo. Užfiksavimo filtrai yra skirti apriboti paketų fiksavimą, kad atitiktų konkrečius poreikius. Kitaip tariant, taikydami fiksavimo filtrą galite peržiūrėti įvairių tipų srautą. Kaip rodo pavadinimas, ekrano filtrai leidžia patobulinti konkretų paketo elementą – nuo ​​paketo ilgio iki protokolo.

Filtro pritaikymas yra gana paprastas procesas. Filtro pavadinimą galite įvesti dialogo lange „Wireshark“ lango viršuje. Be to, programinė įranga paprastai automatiškai užpildo filtro pavadinimą.

Arba, jei norite peržiūrėti numatytuosius Wireshark filtrus, atlikite šiuos veiksmus:

1. „Wireshark“ lango viršuje esančioje įrankių juostoje atidarykite skirtuką „Analizuoti“.

2. Išskleidžiamajame sąraše pasirinkite „Ekrano filtras“.

3. Naršykite sąrašą ir spustelėkite tą, kurį norite taikyti.

Galiausiai, čia yra keletas įprastų „Wireshark“ filtrų, kurie gali būti naudingi:

• Norėdami peržiūrėti tik šaltinio ir paskirties IP adresą, naudokite: “ip.src==IP adresas ir ip.dst==IP adresas

• Jei norite peržiūrėti tik SMTP srautą, įveskite: „tcp.port eq 25

• Norėdami užfiksuoti visą potinklio srautą, taikykite: „grynasis 192.168.0.0/24

• Norėdami užfiksuoti viską, išskyrus ARP ir DNS srautą, naudokite: „prievadas ne 53 ir ne arp

Kaip užfiksuoti paketinius duomenis „Wireshark“?

Atsisiuntę Wireshark į savo įrenginį, galite pradėti stebėti tinklo ryšį. Norėdami užfiksuoti duomenų paketus išsamiai analizei, štai ką turite padaryti:

1. Paleiskite Wireshark. Pamatysite galimų tinklų sąrašą, todėl spustelėkite tą, kurį norite ištirti. Taip pat galite taikyti fiksavimo filtrą, jei norite tiksliai nustatyti srauto tipą.

2. Jei norite patikrinti kelis tinklus, naudokite valdiklį „Shift + kairysis paspaudimas“.

3. Tada viršuje esančioje įrankių juostoje spustelėkite kairėje pusėje esančią ryklio peleko piktogramą.

4. Taip pat galite pradėti fiksuoti spustelėdami skirtuką „Užfiksuoti“ ir išskleidžiamajame sąraše pasirinkę „Pradėti“.

5. Kitas būdas tai padaryti yra mygtuko „Control – E“ paspaudimas.

Kai programinė įranga paima duomenis, jie bus rodomi paketų sąrašo srityje realiuoju laiku.

Ryklio baitas

Nors „Wireshark“ yra labai pažangus tinklo analizatorius, jį stebėtinai lengva interpretuoti. Paketų sąrašo sritis yra labai išsami ir gerai organizuota. Visa informacija paskirstyta septyniomis skirtingomis spalvomis ir pažymėta aiškiais spalvų kodais.

Be to, atvirojo kodo programinėje įrangoje yra daugybė lengvai pritaikomų filtrų, kurie palengvina stebėjimą. Įjungę fiksavimo filtrą, galite tiksliai nustatyti, kokio tipo srautą norite, kad „Wireshark“ analizuotų. Kai duomenys paimami, nurodytoms paieškoms galite taikyti kelis rodymo filtrus. Apskritai tai labai efektyvus mechanizmas, kurį nėra labai sunku įvaldyti.

Ar tinklo analizei naudojate „Wireshark“? Ką manote apie filtravimo funkciją? Praneškite mums toliau pateiktuose komentaruose, jei yra naudinga paketų analizės funkcija, kurią praleidome.