Kako brati pakete v Wiresharku

Za številne IT strokovnjake je Wireshark orodje za analizo omrežnih paketov. Odprtokodna programska oprema vam omogoča, da natančno preučite zbrane podatke in z izboljšano natančnostjo določite koren težave. Poleg tega Wireshark deluje v realnem času in uporablja barvno kodiranje za prikaz zajetih paketov med drugimi izvrstnimi mehanizmi.

Kako brati pakete v Wiresharku

V tej vadnici bomo razložili, kako zajeti, prebrati in filtrirati pakete z uporabo Wiresharka. Spodaj boste našli navodila po korakih in razčlenitve osnovnih funkcij analize omrežja. Ko obvladate te temeljne korake, boste lahko pregledali prometni tok svojega omrežja in učinkoviteje odpravljali težave.

Analiza paketov

Ko so paketi zajeti, jih Wireshark organizira v podoknu s podrobnim seznamom paketov, ki je neverjetno lahko berljivo. Če želite dostopati do informacij o posameznem paketu, ga morate le poiskati na seznamu in klikniti. Drevo lahko tudi dodatno razširite za dostop do podrobnosti vsakega protokola, ki ga vsebuje paket.

Za bolj izčrpen pregled lahko vsak zajeti paket prikažete v ločenem oknu. Takole:

  1. S kazalcem izberite paket s seznama in nato z desno tipko miške kliknite.

  2. Odprite zavihek »Pogled« v zgornji orodni vrstici.

  3. V spustnem meniju izberite »Pokaži paket v novem oknu«.

Opomba: veliko lažje je primerjati zajete pakete, če jih prikažete v ločenih oknih.

Kot že omenjeno, Wireshark uporablja sistem barvnega kodiranja za vizualizacijo podatkov. Vsak paket je označen z drugo barvo, ki predstavlja različne vrste prometa. Na primer, promet TCP je običajno označen z modro, medtem ko se črna uporablja za označevanje paketov, ki vsebujejo napake.

Seveda se vam ni treba zapomniti pomena za vsako barvo. Namesto tega lahko na licu mesta preverite:

  1. Z desno tipko miške kliknite paket, ki ga želite pregledati.

  2. V orodni vrstici na vrhu zaslona izberite zavihek »Pogled«.

  3. Na spustni plošči izberite »Pravila za barvanje«.

Videli boste možnost, da prilagodite obarvanje po svojih željah. Če pa želite samo začasno spremeniti pravila barvanja, sledite tem korakom:

  1. Z desno tipko miške kliknite paket v podoknu s seznamom paketov.
  2. Na seznamu možnosti izberite »Obarvanje s filtrom«.

  3. Izberite barvo, s katero jo želite označiti.

Številka

Podokno s seznamom paketov vam bo pokazalo natančno število zajetih podatkovnih bitov. Ker so paketi organizirani v več stolpcih, jih je dokaj enostavno razlagati. Privzete kategorije so:

  • Št. (Število): Kot že omenjeno, lahko v tem stolpcu najdete natančno število zajetih paketov. Številke bodo ostale enake tudi po filtriranju podatkov.
  • Čas: Kot ste morda uganili, je tukaj prikazan časovni žig paketa.
  • Vir: kaže, od kod izvira paket.
  • Destination: Prikazuje kraj, kjer bo paket shranjen.
  • Protokol: prikaže ime protokola, običajno v kratici.
  • Dolžina: prikazuje število bajtov v zajetem paketu.
  • Informacije: stolpec vključuje vse dodatne informacije o določenem paketu.

Čas

Ko Wireshark analizira omrežni promet, ima vsak zajeti paket časovni žig. Časovni žigi so nato vključeni v podokno s seznamom paketov in na voljo za kasnejši pregled.

Wireshark ne ustvari časovnih žigov samih. Namesto tega jih orodje za analizator dobi iz knjižnice Npcap. Vendar je vir časovnega žiga pravzaprav jedro. Zato se lahko natančnost časovnega žiga razlikuje od datoteke do datoteke.

Izberete lahko obliko, v kateri bodo časovni žigi prikazani na seznamu paketov. Poleg tega lahko nastavite želeno natančnost ali število prikazanih decimalnih mest. Poleg privzete nastavitve natančnosti so na voljo tudi:

  • Sekund
  • Desetine sekunde
  • Stotinke sekunde
  • Milisekunde
  • mikrosekunde
  • nanosekunde

Vir

Kot že ime pove, je vir paketa kraj izvora. Če želite pridobiti izvorno kodo skladišča Wireshark, jo lahko prenesete s pomočjo odjemalca Git. Vendar pa metoda zahteva, da imate račun GitLab. To je mogoče storiti brez njega, vendar se je za vsak slučaj bolje prijaviti.

Ko registrirate račun, sledite tem korakom:

  1. Prepričajte se, da Git deluje s tem ukazom: "$ git --različica.

  2. Dvakrat preverite, ali sta vaš e-poštni naslov in uporabniško ime konfigurirana.
  3. Nato naredite klon vira Workshark. Uporabi "$ git clone -o upstream [email protected] :wireshark/wireshark.git” URL SSH, da naredite kopijo.
  4. Če nimate računa GitLab, poskusite URL HTTPS: "$ git clone -o upstream //gitlab.com/wireshark/wireshark.git.

Vsi viri bodo naknadno kopirani v vašo napravo. Upoštevajte, da lahko kloniranje traja nekaj časa, še posebej, če imate počasno omrežno povezavo.

Destinacija

Če želite izvedeti naslov IP cilja določenega paketa, ga lahko poiščete s filtrom zaslona. Takole:

  1. Vnesite "ip.addr == 8.8.8.8« v »Filter Box« Wireshark. Nato kliknite »Enter«.

  2. Podokno s seznamom paketov bo ponovno konfigurirano samo tako, da bo prikazal cilj paketa. Poiščite IP naslov, ki vas zanima, tako da se pomikate po seznamu.

  3. Ko končate, v orodni vrstici izberite »Počisti«, da ponovno konfigurirate podokno seznama paketov.

Protokol

Protokol je smernica, ki določa prenos podatkov med različnimi napravami, ki so povezane v isto omrežje. Vsak paket Wireshark vsebuje protokol, ki ga lahko prikažete z uporabo zaslonskega filtra. Takole:

  1. Na vrhu okna Wireshark kliknite pogovorno okno »Filter«.
  2. Vnesite ime protokola, ki ga želite pregledati. Običajno so naslovi protokolov napisani z malimi črkami.
  3. Kliknite »Enter« ali »Uporabi«, da omogočite zaslonski filter.

Dolžina

Dolžina paketa Wireshark je določena s številom bajtov, zajetih v določenem omrežnem odrezku. Ta številka običajno ustreza številu bajtov neobdelanih podatkov, navedenih na dnu okna Wireshark.

Če želite preučiti porazdelitev dolžin, odprite okno »Dolžine paketov«. Vse informacije so razdeljene v naslednje stolpce:

  • Dolžine paketov
  • štetje
  • povprečno
  • Min Val/Max Val
  • Oceniti
  • Odstotek
  • Hitrost izbruha
  • Rafalni začetek

Info

Če so v določenem zajetem paketu kakšne anomalije ali podobni predmeti, bo Wireshark to zabeležil. Informacije bodo nato prikazane v podoknu s seznamom paketov za nadaljnji pregled. Tako boste imeli jasno sliko o netipičnem vedenju omrežja, kar bo povzročilo hitrejše reakcije.

Dodatna pogosta vprašanja

Kako lahko filtriram paketne podatke?

Filtriranje je učinkovita funkcija, ki vam omogoča vpogled v posebnosti določenega zaporedja podatkov. Obstajata dve vrsti filtrov Wireshark: zajem in prikaz. Filtri za zajemanje so tu, da omejijo zajemanje paketov, da ustrezajo posebnim zahtevam. Z drugimi besedami, lahko presejete različne vrste prometa z uporabo filtra za zajemanje. Kot že ime pove, vam zaslonski filtri omogočajo, da izpopolnite določen element paketa, od dolžine paketa do protokola.

Uporaba filtra je precej preprost postopek. Naslov filtra lahko vnesete v pogovorno okno na vrhu okna Wireshark. Poleg tega programska oprema običajno samodejno izpolni ime filtra.

Če želite prečesati privzete filtre Wireshark, naredite naslednje:

1. Odprite zavihek »Analiza« v orodni vrstici na vrhu okna Wireshark.

2. Na spustnem seznamu izberite »Prikaži filter«.

3. Brskajte po seznamu in kliknite na tistega, ki ga želite uporabiti.

Končno, tukaj je nekaj običajnih filtrov Wireshark, ki vam lahko pridejo prav:

• Če si želite ogledati samo izvorni in ciljni IP naslov, uporabite: “ip.src==IP-naslov in ip.dst==IP-naslov

• Če si želite ogledati samo promet SMTP, vnesite: “tcp.port eq 25

• Če želite zajeti ves promet podomrežja, uporabite: “neto 192.168.0.0/24

• Če želite zajeti vse razen prometa ARP in DNS, uporabite: “port ne 53 in ne arp

Kako zajamem paketne podatke v Wiresharku?

Ko prenesete Wireshark v svojo napravo, lahko začnete spremljati svojo omrežno povezavo. Če želite zajeti podatkovne pakete za celovito analizo, morate storiti naslednje:

1. Zaženite Wireshark. Videli boste seznam razpoložljivih omrežij, zato kliknite tisto, ki jo želite pregledati. Uporabite lahko tudi filter za zajemanje, če želite natančno določiti vrsto prometa.

2. Če želite pregledati več omrežij, uporabite kontrolnik »Shift + levi klik«.

3. Nato kliknite na skrajno levo ikono plavuti morskega psa v zgornji orodni vrstici.

4. Zajem lahko začnete tudi tako, da kliknete zavihek “Capture” in izberete “Start” na spustnem seznamu.

5. Drug način za to je uporaba tipke “Control – E”.

Ko programska oprema zajame podatke, jih boste videli v podoknu s seznamom paketov v realnem času.

Shark Byte

Čeprav je Wireshark zelo napreden omrežni analizator, ga je presenetljivo enostavno razlagati. Podokno s seznamom paketov je izjemno obsežno in dobro organizirano. Vse informacije so razdeljene v sedem različnih barv in označene z jasnimi barvnimi kodami.

Poleg tega je odprtokodna programska oprema opremljena z vrsto enostavno uporabnih filtrov, ki olajšajo spremljanje. Če omogočite filter za zajemanje, lahko natančno določite, kakšen promet želite, da analizira Wireshark. Ko so podatki zajeti, lahko za določena iskanja uporabite več zaslonskih filtrov. Na splošno je to zelo učinkovit mehanizem, ki ga ni preveč težko obvladati.

Ali uporabljate Wireshark za analizo omrežja? Kaj menite o funkciji filtracije? Sporočite nam v spodnjih komentarjih, če obstaja uporabna funkcija analize paketov, ki smo jo preskočili.