Sådan bruges Wireshark til at fange, filtrere og inspicere pakker

Wireshark, et netværksanalyseværktøj, tidligere kendt som Ethereal, indfanger pakker i realtid og viser dem i menneskeligt læsbart format. Wireshark inkluderer filtre, farvekodning og andre funktioner, der giver dig mulighed for at grave dybt ned i netværkstrafik og inspicere individuelle pakker.

Denne tutorial giver dig hurtigere oplysninger om det grundlæggende i at fange pakker, filtrere dem og inspicere dem. Du kan bruge Wireshark til at inspicere et mistænkeligt programs netværkstrafik, analysere trafikflowet på dit netværk eller foretage fejlfinding af netværksproblemer.

Få Wireshark

Du kan downloade Wireshark til Windows eller macOS fra dets officielle hjemmeside. Hvis du bruger Linux eller et andet UNIX-lignende system, finder du sandsynligvis Wireshark i dets pakkeopbevaringssteder. For eksempel, hvis du bruger Ubuntu, finder du Wireshark i Ubuntu Software Center.

Bare en hurtig advarsel: Mange organisationer tillader ikke Wireshark og lignende værktøjer på deres netværk. Brug ikke dette værktøj på arbejdspladsen, medmindre du har tilladelse.

Indsamling af pakker

Efter download og installation af Wireshark kan du starte det og dobbeltklikke på navnet på en netværksgrænseflade under Capture for at begynde at indfange pakker på denne interface. Hvis du f.eks. Vil fange trafik på dit trådløse netværk, skal du klikke på din trådløse grænseflade. Du kan konfigurere avancerede funktioner ved at klikke på Capture> Options, men dette er ikke nødvendigt for nu.

Så snart du klikker på navnet på grænsefladen, ser du, at pakkerne vises i realtid. Wireshark registrerer hver pakke, der sendes til eller fra dit system.

Hvis du har aktiveret promiskuøs tilstand - den er aktiveret som standard - vil du også se alle de andre pakker på netværket i stedet for kun pakker adresseret til din netværksadapter. For at kontrollere, om promiskuøs tilstand er aktiveret, skal du klikke på Capture> Options og kontrollere, at afkrydsningsfeltet "Enable promiskuous mode on all interfaces" er aktiveret nederst i dette vindue.

Klik på den røde "Stop" -knap i øverste venstre hjørne af vinduet, når du vil stoppe med at fange trafik.

Farvekodning

Du vil sandsynligvis se pakker fremhævet i en række forskellige farver. Wireshark bruger farver til at hjælpe dig med at identificere de typer trafik på et øjeblik. Lyslilla er som standard TCP-trafik, lyseblå UDP-trafik, og sort identificerer pakker med fejl - for eksempel kunne de være leveret ude af drift.

For at se nøjagtigt hvad farvekoderne betyder, skal du klikke på Vis> Farveregler. Du kan også tilpasse og ændre farvereglerne herfra, hvis du vil.

Prøveoptagelser

Hvis der ikke er noget interessant på dit eget netværk at inspicere, har Wiresharks wiki dig dækket. Wiki'en indeholder en side med eksempelfangstfiler, som du kan indlæse og inspicere. Klik på Filer> Åbn i Wireshark, og søg efter din downloadede fil for at åbne en.

Du kan også gemme dine egne optagelser i Wireshark og åbne dem senere. Klik på Filer> Gem for at gemme dine fangede pakker.

Filtrering af pakker

Hvis du prøver at inspicere noget specifikt, såsom den trafik, et program sender, når du ringer hjem, hjælper det med at lukke alle andre applikationer, der bruger netværket, så du kan indsnævre trafikken. Stadig vil du sandsynligvis have en stor mængde pakker at sigtes igennem. Det er her Wiresharks filtre kommer ind.

Den mest grundlæggende måde at anvende et filter på er at skrive det i filterboksen øverst i vinduet og klikke på Anvend (eller trykke på Enter). Skriv for eksempel “dns”, og du vil kun se DNS-pakker. Når du begynder at skrive, hjælper Wireshark dig med at udfylde dit filter automatisk.

Du kan også klikke på Analyser> Vis filtre for at vælge et filter blandt de standardfiltre, der er inkluderet i Wireshark. Herfra kan du tilføje dine egne tilpassede filtre og gemme dem for nemt at få adgang til dem i fremtiden.

For mere information om Wiresharks displayfiltreringssprog, skal du læse siden med Building display filter-udtryk i den officielle Wireshark-dokumentation.

En anden interessant ting, du kan gøre, er at højreklikke på en pakke og vælge Følg> TCP Stream.

Du får vist den fulde TCP-samtale mellem klienten og serveren. Du kan også klikke på andre protokoller i menuen Følg for at se de fulde samtaler for andre protokoller, hvis det er relevant.

Luk vinduet, og du finder ud af, at et filter er blevet anvendt automatisk. Wireshark viser dig de pakker, der udgør samtalen.

Inspektion af pakker

Klik på en pakke for at vælge den, og du kan grave ned for at se dens detaljer.

Du kan også oprette filtre herfra - bare højreklik på en af ​​detaljerne og brug undermenuen Anvend som filter til at oprette et filter baseret på det.

Wireshark er et ekstremt kraftfuldt værktøj, og denne tutorial skraber bare overfladen af, hvad du kan gøre med det. Professionelle bruger det til at debugge netværksprotokolimplementeringer, undersøge sikkerhedsproblemer og inspicere internt i netværksprotokoller.

Du kan finde mere detaljerede oplysninger i den officielle Wireshark brugerhåndbog og de andre dokumentationssider på Wiresharks websted.