Wireshark, инструмент сетевого анализа, ранее известный как Ethereal, захватывает пакеты в режиме реального времени и отображает их в удобочитаемом формате. Wireshark включает в себя фильтры, цветовое кодирование и другие функции, которые позволяют глубоко копаться в сетевом трафике и проверять отдельные пакеты.
Этот учебник научит вас основам захвата пакетов, их фильтрации и проверки. Вы можете использовать Wireshark для проверки сетевого трафика подозрительной программы, анализа потока трафика в вашей сети или устранения неполадок в сети.
Получение Wireshark
Вы можете скачать Wireshark для Windows или macOS с официального сайта. Если вы используете Linux или другую UNIX-подобную систему, вы, вероятно, найдете Wireshark в его репозиториях пакетов. Например, если вы используете Ubuntu, вы найдете Wireshark в Центре программного обеспечения Ubuntu.
Просто быстрое предупреждение: многие организации не допускают использование Wireshark и подобных инструментов в своих сетях. Не используйте этот инструмент на работе, если у вас нет разрешения.
Захват пакетов
После загрузки и установки Wireshark вы можете запустить его и дважды щелкнуть имя сетевого интерфейса в разделе «Захват», чтобы начать захват пакетов на этом интерфейсе. Например, если вы хотите захватывать трафик в вашей беспроводной сети, выберите ваш беспроводной интерфейс. Вы можете настроить дополнительные функции, нажав Capture> Options, но пока это не обязательно.
Как только вы нажмете на имя интерфейса, вы увидите, что пакеты начинают появляться в режиме реального времени. Wireshark захватывает каждый пакет, отправленный в или из вашей системы.
Если у вас включен неразборчивый режим (он включен по умолчанию), вы также увидите все другие пакеты в сети, а не только пакеты, адресованные вашему сетевому адаптеру. Чтобы проверить, включен ли неразборчивый режим, щелкните Захват> Параметры и убедитесь, что в нижней части этого окна установлен флажок «Включить разнородный режим на всех интерфейсах».
Нажмите красную кнопку «Стоп» в левом верхнем углу окна, когда вы хотите прекратить захват трафика.
Цветовая кодировка
Вы, вероятно, увидите пакеты, выделенные разными цветами. Wireshark использует цвета, чтобы помочь вам быстро определить типы трафика. По умолчанию светло-фиолетовый – это трафик TCP, светло-синий – это трафик UDP, а черный – пакеты с ошибками, например, они могли быть доставлены не по порядку.
Чтобы точно узнать, что означают цветовые коды, щелкните «Вид»> «Правила окраски». Вы также можете настроить и изменить правила раскраски здесь, если хотите.
Образцы Захваты
Если в вашей собственной сети нет ничего интересного для проверки, на вики Wireshark вы можете найти ответы. В вики есть страница с примерами файлов захвата, которые вы можете загрузить и проверить. Нажмите Файл> Открыть в Wireshark и найдите загруженный файл, чтобы открыть его.
Вы также можете сохранить свои собственные снимки в Wireshark и открыть их позже. Нажмите Файл> Сохранить, чтобы сохранить ваши захваченные пакеты.
Фильтрация пакетов
Если вы пытаетесь проверить что-то конкретное, например, трафик, который программа отправляет при звонке домой, это помогает закрыть все другие приложения, использующие сеть, чтобы вы могли сузить трафик. Тем не менее, вам, вероятно, придется просеивать большое количество пакетов. Вот тут и вступают фильтры Wireshark.
Самый простой способ применить фильтр – ввести его в поле фильтра в верхней части окна и нажать «Применить» (или нажать «Ввод»). Например, введите «dns», и вы увидите только пакеты DNS. Когда вы начнете печатать, Wireshark поможет вам автоматически заполнить фильтр.
Вы также можете нажать «Анализ»> «Показать фильтры», чтобы выбрать фильтр из фильтров по умолчанию, включенных в Wireshark. Отсюда вы можете добавлять свои собственные фильтры и сохранять их для быстрого доступа к ним в будущем.
Для получения дополнительной информации о языке фильтрации отображения Wireshark см. Страницу «Построение выражений фильтра отображения» в официальной документации Wireshark.
Еще одна интересная вещь, которую вы можете сделать, это щелкнуть правой кнопкой мыши по пакету и выбрать Follow> TCP Stream.
Вы увидите полный TCP-диалог между клиентом и сервером. Вы также можете щелкнуть другие протоколы в меню «Отслеживать», чтобы просмотреть полные разговоры по другим протоколам, если это применимо.
Закройте окно, и вы увидите, что фильтр был применен автоматически. Wireshark показывает вам пакеты, которые составляют разговор.
Проверка пакетов
Нажмите на пакет, чтобы выбрать его, и вы можете копать вниз, чтобы просмотреть его детали.
Отсюда вы также можете создавать фильтры – просто щелкните правой кнопкой мыши одну из деталей и используйте подменю «Применить как фильтр», чтобы создать фильтр на его основе.
Wireshark – чрезвычайно мощный инструмент, и в этом уроке вы только расскажете о том, что с ним можно сделать. Профессионалы используют его для отладки реализаций сетевых протоколов, изучения проблем безопасности и проверки внутренних компонентов сетевых протоколов.
Более подробную информацию вы можете найти в официальном руководстве пользователя Wireshark и на других страницах документации на веб-сайте Wireshark.
