Kaip naudotis "Wireshark": baigta mokymo programa

Anonim

"Wireshark" - tai nemokama programa, kurią naudojate norėdami užfiksuoti ir peržiūrėti duomenis, kurie keliauja pirmyn ir atgal jūsų tinkle. Tai suteikia galimybę sugrupuoti ir skaityti kiekvieno paketo turinį ir filtruoti, kad atitiktų jūsų konkrečius poreikius. Paprastai jis naudojamas siekiant išspręsti tinklo problemas ir kurti bei tikrinti programinę įrangą. Šis atvirojo kodo protokolo analizatorius yra visuotinai pripažinta pramonės standartu, kuris per daugelį metų laimėjo savo sąžiningą apdovanojimų dalį.

"Wireshark", iš pradžių žinomas kaip "Ethereal", turi patogią sąsają, kuri gali rodyti duomenis iš šimtų skirtingų visų pagrindinių tinklo tipų protokolų. Duomenų paketus galima peržiūrėti realiuoju laiku arba analizuoti neprisijungus. "Wireshark" palaiko daugybę parinktų fiksavimo / atsekamųjų failų formatų, įskaitant "CAP" ir "ERF". Integruota iššifravimo priemonė leidžia peržiūrėti šifruotus paketus keliems populiariems protokolams, įskaitant WEP ir WPA / WPA2.

01 iš 07

"Wireshark" atsisiuntimas ir diegimas

"Wireshark" galima nemokamai atsisiųsti iš "Wireshark Foundation" svetainės tiek "MacOS", tiek "Windows" operacinėms sistemoms. Jei esate pažengęs vartotojas, rekomenduojame atsisiųsti tik naujausią stabilų leidimą. "Windows" sąrankos proceso metu turėtumėte pasirinkti įdiegti "WinPcap", jei bus paraginti, nes jame yra biblioteka, reikalinga duomenims užfiksuoti.

Paraiška taip pat gali būti naudojama "Linux" ir daugeliui kitų "UNIX" tipo platformų, įskaitant "Red Hat", "Solaris" ir "FreeBSD". Šiems operacinėms sistemoms reikalingi dvejetainiai failai yra trečiųjų šalių paketų atsisiuntimo puslapio apačioje. Taip pat galite atsisiųsti "Wireshark" šaltinio kodą iš šio puslapio.

02 iš 07

Kaip užfiksuoti duomenų paketus

Kai pirmą kartą paleidžiate "Wireshark", pasirodys sveikinimo ekranas, kuriame yra dabartinio įrenginio galimų tinklo jungčių sąrašas. Šiame pavyzdyje pastebėsite, kad yra rodomi šie ryšio tipai: "Bluetooth" tinklo ryšys, "Ethernet", "VirtualBox" tinklo priegloba ir "Wi-Fi" ryšys. Kiekvieno dešinėje parodytas yra EKG stiliaus linijos diagrama, kuri rodo realų srautą toje atitinkamoje tinkle.

Norėdami pradėti surinkti paketus, pasirinkite vieną ar kelis tinklus, spustelėdami savo pasirinkimą ir naudodami Shift arba Ctrl raktai, jei norite vienu metu įrašyti duomenis iš kelių tinklų. Po to, kai fotografavimo tikslais pasirinktas ryšio tipas, jo fonas yra tamsus mėlynos arba pilkos spalvos. Spustelėkite Užfiksuoti pagrindiniame meniu, esančiame Wireshark sąsajos viršuje. Kai pasirodys išskleidžiamasis meniu, pasirinkite Pradėti pasirinkimas.

Taip pat galite inicijuoti paketų užfiksavimą vienu iš šių nuorodų.

  • Klaviatūra: PaspauskiteCtrl + E.
  • Pelė: Norėdami pradėti surinkti paketus iš vieno konkretaus tinklo, dukart spustelėkite jo pavadinimą.
  • Įrankių juosta: Spustelėkite mėlyną ryklio pelekų mygtuką, esantį kairėje Wireshark įrankių juostos pusėje.

Pradedamas gyvo surinkimo procesas, o "Wireshark" rodo paketų duomenis, kai jie yra įrašyti. Norėdami sustabdyti fotografavimą:

  • Klaviatūra: Paspauskite Ctrl + E
  • Įrankių juosta: Spustelėkite raudoną Sustabdyti mygtukas, esantis šalia ryklių peiliuko Wireshark įrankių juostoje.
03 iš 07

Paketų turinio peržiūra ir analizė

Įrašę kai kuriuos tinklo duomenis, atėjo laikas pažvelgti į užfiksuotus paketus. Užfiksuotų duomenų sąsaja yra trys pagrindiniai skyriai: paketų sąrašo sritis, paketų duomenų skydas ir paketų baitų sritis.

Paketų sąrašas

Paketų sąrašo srityje, esančioje lango viršuje, rodomi visi paketai, esantys aktyviame fiksavimo faile. Kiekvienas paketas turi savo eilutę ir atitinkamą numerį, kartu su kiekvienu iš šių duomenų taškų.

  • Laikas: Šiame stulpelyje rodomas laikas, kada paketas buvo užfiksuotas. Numatytasis formatas yra sekundžių ar dalinių sekundžių skaičius, kai šis konkretus įrašymo failas buvo sukurtas pirmą kartą. Norėdami pakeisti šį formatą į kažką, kuris gali būti šiek tiek naudingesnis, pavyzdžiui, faktinis dienos laikas, pasirinkite Laiko ekrano formatas pasirinkimas iš "Wireshark" Vaizdas meniu esantis pagrindinės sąsajos viršuje.
  • Šaltinis: Šiame stulpelyje yra adresas (IP arba kitas), iš kurio atsirado paketas.
  • Kelionės tikslas: Šiame stulpelyje yra adresas, kuriuo siunčiamas paketas.
  • Protokolas: Šiame stulpelyje galima rasti paketo protokolo pavadinimą, pvz., TCP.
  • Ilgis: Šiame stulpelyje rodomas paketo ilgis baitais.
  • Informacija: Papildoma informacija apie paketą pateikta čia. Šio stulpelio turinys gali labai skirtis priklausomai nuo paketo turinio.

Kai viršutinėje lange pasirodo paketas, galite pastebėti, kad pirmasis stulpelis pasirodo vienas ar daugiau simbolių. Atidaromi arba uždaryti skliausteliuose ir tiesi horizontali linija nurodo, ar paketas ar paketų grupė yra to paties taško ir pokalbio tinklo dalis. Skaldyta horizontali linija reiškia, kad paketas nėra minėto pokalbio dalis.

Paketiniai duomenys

Vidinėje pusėje esanti išsami informacija rodo pasirinkto paketo protokolus ir protokolų laukus sulankstytame formate. Be to, kad išplėsti kiekvieną pasirinkimą, galite naudoti atskirus "Wireshark" filtrus pagal konkrečią informaciją ir sekti duomenų srautus pagal protokolų tipą, naudodami informacijos kontekstinio meniu, kurį galite pasiekti, spustelėję pelę dešiniu pelės klavišu ant norimo elemento šioje srityje.

Paketiniai baitai

Apatiniame kampe yra paketų baitų langas, kuris atvaizduoja pasirinkto paketo neapdorotus duomenis šešioliktainiuoju rodiniu.Šioje šešiabriaunėje yra 16 šešioliktainių baitų ir 16 ASCII baitų šalia duomenų suvedimo.

Pasirinkus tam tikrą šių duomenų dalį, automatiškai paryškinamas jos atitinkamas paketų informacijos srities skyrius ir atvirkščiai. Visi baitai, kurių negalima spausdinti, yra pateikiami laikotarpiu.

Galite pasirinkti rodyti šiuos duomenis bitų formatu, o ne šešioliktainiuoju, dešiniuoju pelės mygtuku spustelėję bet kurioje lango srityje ir pasirinkdami atitinkamą parinktį kontekstinio meniu.

04 iš 07

Naudodamiesi "Wireshark" filtrais

Vienas iš svarbiausių "Wireshark" funkcijų rinkinių yra jo filtro pajėgumas, ypač kai susiduriama su didelių dydžių failais. Fiksavimo filtrai gali būti nustatyti prieš tai, nurodant "Wireshark" tik įrašyti tuos paketus, kurie atitinka jūsų nurodytus kriterijus.

Filtrai taip pat gali būti naudojami jau sukurtai fiksavimo bylai, kad būtų rodomi tik tam tikri paketai. Jie vadinami rodymo filtrais.

Pagal numatytuosius nustatymus "Wireshark" numato daugybę iš anksto nustatytų filtrų, leidžiančių susiaurinti matomų paketų skaičių tik keliais klavišais arba pelės paspaudimais. Norėdami naudoti vieną iš šių esamų filtrų, įdėkite jo pavadinimą į Taikyti ekrano filtrą įrašo laukas, esantis tiesiai po Wireshark įrankių juostos arba Įveskite fiksavimo filtrą įėjimo laukas, esantis sveikinimo ekrano centre.

Tai pasiekti galima keliais būdais. Jei jau žinote savo filtro pavadinimą, įrašykite jį į atitinkamą lauką. Pavyzdžiui, jei norite rodyti tik TCP paketus, įveskite tcp. "Wireshark" automatinio užbaigimo funkcija rodo siūlomus pavadinimus, kai pradėsite rašyti, kad būtų lengviau rasti teisingą filtrą, kurio ieškote.

Kitas filtro pasirinkimo būdas - spustelėti žymeklio tipo piktogramą, esančią kairėje įrašo lauko pusėje. Čia pateikiamas meniu, kuriame yra dažniausiai naudojami filtrai, taip pat galimybė Tvarkykite filtravimo filtrus arba Valdykite vaizdo filtrus. Jei pasirinksite valdyti tipą, pasirodys sąsaja, leidžianti jums pridėti, pašalinti arba redaguoti filtrus.

Taip pat galite pasiekti anksčiau naudotus filtrus, pasirinkdami rodyklę žemyn, esančią dešiniojoje lauko pusėje, kad būtų rodomas išskleidžiamasis sąrašo istorija.

Kai nustatysite, vaizdo įrašymo filtrai bus naudojami iškart, kai pradėsite įrašyti tinklo srautą. Norėdami pritaikyti ekrano filtrą, spustelėkite dešiniojo rodyklės mygtuką, esantį dešiniojoje lauko pusėje.

05 iš 07

Spalvos taisyklės

Nors "Wireshark" fiksavimo ir rodymo filtrai leidžia jums apriboti, kurie paketai yra įrašomi arba rodomi ekrane, jo spalvinimo funkcija daro veiksmus dar labiau, todėl lengvai atskirti skirtingus paketų tipus pagal jų atspalvį. Ši patogi funkcija leidžia greitai surasti tam tikrus paketus per išsaugotą rinkinį pagal jų eilutės spalvą paketų sąrašo srityje.

"Wireshark" sukurta maždaug 20 standartinių spalvinimo taisyklių, kurių kiekvieną galima redaguoti, išjungti arba ištrinti, jei norite. Taip pat galite pridėti naujus šešėlinius filtrai per spalvų taisyklių sąsają, kurią galima pasiekti iš Vaizdas Meniu. Be kiekvienos taisyklės pavadinimo ir filtro kriterijų nustatymo, jūs taip pat prašoma susieti fono spalvą ir teksto spalvą.

Paketų spalvinimą galima perjungti ir įjungti per Išskleisti paketų sąrašą variantas, taip pat rasti Vaizdas Meniu.

06 iš 07

Statistika

Be išsamios informacijos apie jūsų tinklo duomenis, rodomus "Wireshark" pagrindiniame lange, galima naudotis keliais kitais naudingais metrikos duomenimis per Statistika išskleidžiamajame meniu, esančiu ekrano viršuje. Tai apima dydžio ir laiko informaciją apie patį fiksavimo failą, taip pat dešimtys diagramų ir diagramų, priklausančių temai nuo paketų pokalbių suskirstymų, kad būtų galima apkrova pasiskirstyti HTTP užklausas.

Vaizdo filtrai gali būti naudojami daugeliui šios statistikos per sąsajas, o rezultatai gali būti eksportuojami į keletą bendrų failų formatų, įskaitant CSV, XML ir TXT.

07 iš 07

Pažangios funkcijos

Be pagrindinių "Wireshark" funkcijų, šioje galingoje priemonėje, kuri paprastai yra skirta pažengusiems naudotojams, yra papildomų funkcijų rinkinys. Tai apima galimybę parašyti savo protokolo atskyrėjus Lua programavimo kalba.

Redaktoriaus Pasirinkimas