Wireshark, un instrument de analiză a rețelei anterior cunoscut sub numele de Ethereal, captează pachetele în timp real și le afișează în format citit de oameni. Wireshark include filtre, codare de culori și alte caracteristici care vă permit să săturați adânc în trafic în rețea și să inspectați pachetele individuale.
Acest tutorial vă va ajuta să vă grăbiți cu elementele de bază ale capturilor de pachete, filtrarea lor și inspectarea acestora. Puteți utiliza Wireshark pentru a inspecta traficul de rețea al unui program suspect, pentru a analiza fluxul de trafic din rețea sau pentru a depana problemele de rețea.
Puteți descărca Wireshark pentru Windows sau MacOS de pe site-ul său oficial. Dacă utilizați Linux sau un alt sistem asemănător UNIX, veți găsi probabil Wireshark în depozitele sale de pachete. De exemplu, dacă utilizați Ubuntu, veți găsi Wireshark în Centrul de software Ubuntu.
Doar un avertisment rapid: Multe organizații nu permit Wireshark și alte instrumente similare în rețelele lor. Nu utilizați acest instrument la lucru dacă nu aveți permisiunea.
După ce descărcați și instalați Wireshark, îl puteți lansa și faceți dublu clic pe numele unei interfețe de rețea sub Captură pentru a începe să captați pachete pe interfața respectivă. De exemplu, dacă doriți să capturați traficul în rețeaua dvs. wireless, faceți clic pe interfața dvs. wireless. Puteți configura funcții avansate făcând clic pe Captură> Opțiuni, dar acest lucru nu este necesar pentru moment.
De îndată ce faceți clic pe numele interfeței, veți vedea că pachetele încep să apară în timp real. Wireshark captează fiecare pachet trimis către sau din sistemul dvs.
Dacă aveți activat modul promiscuos - acesta este activat în mod prestabilit - veți vedea, de asemenea, toate celelalte pachete din rețea, în loc de numai pachetele adresate adaptorului dvs. de rețea. Pentru a verifica dacă modul promiscuos este activat, faceți clic pe Captură> Opțiuni și confirmați că caseta de selectare "Activați modul promiscuos pe toate interfețele" este activată în partea de jos a acestei ferestre.
Faceți clic pe butonul roșu "Stop" din colțul din stânga sus al ferestrei atunci când doriți să opriți capturarea traficului.
Probabil veți vedea pachete evidențiate într-o varietate de culori diferite. Wireshark utilizează culori pentru a vă ajuta să identificați tipurile de trafic dintr-o privire. În mod implicit, purpuriu deschis este traficul TCP, albastru deschis este traficul UDP, iar negrul identifică pachetele cu erori - de exemplu, acestea ar fi putut fi livrate necorespunzător.
Pentru a vedea exact ce înseamnă codurile de culoare, faceți clic pe Vizualizare> Reguli de colorare. De asemenea, puteți personaliza și modifica regulile de colorare de aici, dacă doriți.
Dacă nu există nimic interesant în privința inspectării rețelei dvs., wiki-ul Wireshark vă acoperă. Wiki conține o pagină de fișiere de captură de probă pe care le puteți încărca și inspecta. Faceți clic pe File> Open in Wireshark și răsfoiți fișierul descărcat pentru a deschide unul.
De asemenea, puteți salva propriile capturi în Wireshark și le puteți deschide mai târziu. Faceți clic pe File (Fișier)> Save (Salvare) pentru a salva pachetele capturate.
Dacă încercați să inspectați ceva specific, cum ar fi traficul pe care îl trimite un program atunci când sună acasă, vă ajută să închideți toate celelalte aplicații utilizând rețeaua, astfel încât să puteți restrânge traficul. Cu toate acestea, probabil că veți avea o cantitate mare de pachete pentru a trece prin. Aici intră filtrele Wireshark.
Cea mai simplă metodă de a aplica un filtru este tastarea lui în caseta de filtrare din partea de sus a ferestrei și apăsarea pe Aplicați (sau apăsând pe Enter). De exemplu, tastați "DNS" și veți vedea numai pachete DNS. Când începeți să tastați, Wireshark vă va ajuta să vă autocompletați filtrul.
De asemenea, puteți face clic pe Analizați> Filtre afișate pentru a alege un filtru dintre filtrele implicite incluse în Wireshark. De aici, puteți să adăugați propriile filtre personalizate și să le salvați pentru a le accesa cu ușurință în viitor.
Pentru mai multe informații despre limbajul de filtrare a afișării Wireshark, citiți pagina Expresii filtru afișare clădire din documentația oficială Wireshark.
Un alt lucru interesant pe care îl puteți face este să faceți clic dreapta pe un pachet și să selectați Urmează> Stream TCP.
Veți vedea întreaga conversație TCP între client și server. De asemenea, puteți să faceți clic pe alte protocoale din meniul Urmărire pentru a vedea conversațiile complete pentru alte protocoale, dacă este cazul.
Închideți fereastra și veți găsi că filtrul a fost aplicat automat. Wireshark vă arată pachetele care alcătuiesc conversația.
Faceți clic pe un pachet pentru al selecta și puteți să vă descărcați pentru a vedea detaliile acestuia.
De asemenea, puteți crea filtre de aici - faceți clic dreapta pe una dintre detalii și folosiți submeniul Aplicați ca filtru pentru a crea un filtru pe baza acestuia.
Wireshark este un instrument extrem de puternic, iar acest tutorial este doar zgârierea suprafeței a ceea ce puteți face cu ea. Profesioniștii o utilizează pentru depanarea implementărilor protocolului de rețea, examinarea problemelor de securitate și inspectarea internelor protocolului de rețea.
Puteți găsi informații mai detaliate în ghidul utilizatorului Wireshark și în celelalte pagini de documentare de pe site-ul Wireshark.
