Το Wireshark είναι μια δωρεάν εφαρμογή που σας επιτρέπει να καταγράφετε και να βλέπετε τα δεδομένα που μετακινούνται προς τα εμπρός και πίσω στο δίκτυό σας, παρέχοντας τη δυνατότητα ανίχνευσης και ανάγνωσης του περιεχομένου κάθε πακέτου - φιλτραρισμένα για να καλύψουν τις συγκεκριμένες ανάγκες σας. Χρησιμοποιείται συνήθως για την αντιμετώπιση προβλημάτων δικτύου καθώς και για την ανάπτυξη και δοκιμή λογισμικού. Αυτός ο αναλυτής πρωτοκόλλου ανοιχτού κώδικα είναι ευρέως αποδεκτός ως βιομηχανικό πρότυπο, κερδίζοντας το δίκαιο μερίδιο των βραβείων του με τα χρόνια.
Αρχικά γνωστό ως Ethereal, το Wireshark διαθέτει ένα φιλικό προς το χρήστη περιβάλλον που μπορεί να εμφανίζει δεδομένα από εκατοντάδες διαφορετικά πρωτόκολλα σε όλους τους μεγάλους τύπους δικτύου. Αυτά τα πακέτα δεδομένων μπορούν να προβληθούν σε πραγματικό χρόνο ή να αναλυθούν εκτός σύνδεσης, με υποστηριζόμενες δεκάδες μορφές αρχείων λήψης / εντοπισμού συμπεριλαμβανομένων των CAP και ERF . Τα ενσωματωμένα εργαλεία αποκρυπτογράφησης σας επιτρέπουν να βλέπετε κρυπτογραφημένα πακέτα για πολλά δημοφιλή πρωτόκολλα όπως WEP και WPA / WPA2 .
01 από 07
Λήψη και εγκατάσταση του Wireshark
Το Wireshark μπορεί να μεταφορτωθεί χωρίς κόστος από την ιστοσελίδα του Ιδρύματος Wireshark τόσο για τα λειτουργικά συστήματα macOS όσο και για τα Windows. Εάν δεν είστε προηγμένος χρήστης, συνιστάται να κάνετε λήψη μόνο της τελευταίας σταθερής έκδοσης. Κατά τη διαδικασία εγκατάστασης (μόνο για Windows), θα πρέπει να επιλέξετε να εγκαταστήσετε το WinPcap, αν σας ζητηθεί, καθώς περιλαμβάνει βιβλιοθήκη που απαιτείται για ζωντανή καταγραφή δεδομένων.
Η εφαρμογή είναι επίσης διαθέσιμη για το Linux και τις περισσότερες άλλες πλατφόρμες όπως το UNIX, συμπεριλαμβανομένων των Red Hat , Solaris και FreeBSD. Τα δυαδικά αρχεία που απαιτούνται για αυτά τα λειτουργικά συστήματα μπορούν να βρεθούν στο κάτω μέρος της σελίδας λήψης στην ενότητα Τρίτων Πακέτων.
Μπορείτε επίσης να κατεβάσετε τον πηγαίο κώδικα της Wireshark από αυτήν τη σελίδα.
02 του 07
Πώς να καταγράψετε πακέτα δεδομένων
Όταν ξεκινάτε για πρώτη φορά το Wireshark, θα πρέπει να είναι ορατή μια οθόνη υποδοχής παρόμοια με αυτή που φαίνεται παραπάνω, η οποία θα περιέχει μια λίστα διαθέσιμων συνδέσεων δικτύου στην τρέχουσα συσκευή σας. Σε αυτό το παράδειγμα, θα παρατηρήσετε ότι εμφανίζονται οι ακόλουθοι τύποι σύνδεσης: Σύνδεση δικτύου Bluetooth , Ethernet , Δίκτυο υποδοχής μόνο VirtualBox , Wi-Fi . Εμφανίζεται στα δεξιά του καθενός είναι ένα γραμμικό γράφημα τύπου EKG που αντιπροσωπεύει ζωντανή κίνηση στο συγκεκριμένο δίκτυο.
Για να αρχίσετε να συλλαμβάνετε πακέτα, πρώτα επιλέξτε ένα ή περισσότερα από αυτά τα δίκτυα κάνοντας κλικ στις επιλογές σας και χρησιμοποιώντας τα πλήκτρα Shift ή Ctrl αν θέλετε να εγγράψετε ταυτόχρονα δεδομένα από πολλά δίκτυα. Μόλις οριστεί ένας τύπος σύνδεσης για σκοπούς λήψης, το φόντο του θα είναι σκιασμένο είτε μπλε είτε γκρι. Κάντε κλικ στο Capture (Αποτύπωση) από το κύριο μενού που βρίσκεται προς το επάνω μέρος της διασύνδεσης Wireshark. Όταν εμφανιστεί το αναπτυσσόμενο μενού, επιλέξτε την επιλογή Έναρξη .
Μπορείτε επίσης να ξεκινήσετε τη λήψη πακέτων μέσω μιας από τις ακόλουθες συντομεύσεις.
- Πληκτρολόγιο: Πατήστε Ctrl + E
- Ποντίκι: Για να αρχίσετε να συλλαμβάνετε πακέτα από ένα συγκεκριμένο δίκτυο, απλά κάντε διπλό κλικ στο όνομά του
- Γραμμή εργαλείων: Κάντε κλικ στο μπλε κουμπί πτερυγίων καρχαρία, που βρίσκεται στην άκρα αριστερή πλευρά της γραμμής εργαλείων Wireshark
Η διαδικασία ζωντανής σύλληψης θα αρχίσει τώρα, με τα στοιχεία πακέτου να εμφανίζονται στο παράθυρο Wireshark κατά την εγγραφή τους. Εκτελέστε μία από τις παρακάτω ενέργειες για να σταματήσετε τη λήψη.
- Πληκτρολόγιο: Πατήστε Ctrl + E
- Γραμμή εργαλείων: Κάντε κλικ στο κόκκινο κουμπί διακοπής που βρίσκεται δίπλα στο πτερύγιο καρχαρία στη γραμμή εργαλείων Wireshark
03 του 07
Προβολή και ανάλυση περιεχομένων πακέτων
Τώρα που έχετε καταγράψει κάποια δεδομένα δικτύου, ήρθε η ώρα να ρίξετε μια ματιά στα παγιδευμένα πακέτα. Όπως φαίνεται στο παραπάνω στιγμιότυπο οθόνης, η διεπαφή λήψης δεδομένων περιέχει τρεις κύριες ενότητες: Το παράθυρο λίστας πακέτων, το παράθυρο λεπτομερειών πακέτου και το παράθυρο bytes πακέτων.
Λίστα πακέτων
Το παράθυρο λίστας πακέτων, που βρίσκεται στο επάνω μέρος του παραθύρου, εμφανίζει όλα τα πακέτα που βρέθηκαν στο ενεργό αρχείο καταγραφής. Κάθε πακέτο έχει τη δική του σειρά και τον αντίστοιχο αριθμό που αντιστοιχεί σε αυτό, μαζί με κάθε ένα από αυτά τα σημεία δεδομένων.
- Ώρα: Στη στήλη αυτή εμφανίζεται το χρονικό σημάδι της λήψης του πακέτου, με την προεπιλεγμένη μορφή να είναι ο αριθμός των δευτερολέπτων (ή μερικά δευτερόλεπτα) από τότε που δημιουργήθηκε αυτό το συγκεκριμένο αρχείο λήψης. Για να τροποποιήσετε αυτή τη μορφή σε κάτι που μπορεί να είναι λίγο πιο χρήσιμο, όπως η πραγματική ώρα της ημέρας, επιλέξτε την επιλογή Time Display Format από το μενού Προβολή του Wireshark - που βρίσκεται στην κορυφή της κύριας διασύνδεσης.
- Πηγή: Αυτή η στήλη περιέχει τη διεύθυνση (IP ή άλλη) από την οποία προέρχεται το πακέτο.
- Προορισμός: Αυτή η στήλη περιέχει τη διεύθυνση στην οποία αποστέλλεται το πακέτο.
- Πρωτόκολλο: Το πρωτόκολλο του πακέτου (δηλ. TCP) μπορεί να βρεθεί σε αυτήν τη στήλη.
- Μήκος: Το μήκος του πακέτου, σε bytes, εμφανίζεται σε αυτήν τη στήλη.
- Πληροφορίες: Περισσότερες λεπτομέρειες για το πακέτο παρουσιάζονται εδώ. Τα περιεχόμενα αυτής της στήλης μπορεί να διαφέρουν σημαντικά ανάλογα με τα περιεχόμενα των πακέτων.
Όταν ένα πακέτο έχει επιλεγεί στο επάνω τμήμα παραθύρου, ενδέχεται να παρατηρήσετε ένα ή περισσότερα σύμβολα στην πρώτη στήλη. Οι ανοιχτές ή / και κλειστές αγκύλες, καθώς και μια ευθεία οριζόντια γραμμή, μπορούν να υποδείξουν εάν ένα πακέτο ή μια ομάδα πακέτων αποτελούν μέρος της ίδιας συζήτησης στο δίκτυο. Μια σπασμένη οριζόντια γραμμή δηλώνει ότι ένα πακέτο δεν είναι μέρος της εν λόγω συνομιλίας.
Στοιχεία πακέτου
Το παράθυρο λεπτομερειών, που βρίσκεται στη μέση, παρουσιάζει τα πρωτόκολλα και τα πεδία πρωτοκόλλου του επιλεγμένου πακέτου σε μια πτυσσόμενη μορφή. Εκτός από την επέκταση κάθε επιλογής, μπορείτε επίσης να εφαρμόσετε μεμονωμένα φίλτρα Wireshark βάσει συγκεκριμένων λεπτομερειών καθώς και να παρακολουθήσετε ροές δεδομένων με βάση τον τύπο πρωτοκόλλου μέσω του μενού περιβάλλοντος λεπτομερειών - προσβάσιμος κάνοντας δεξί κλικ στο ποντίκι στο επιθυμητό στοιχείο μέσα σε αυτό το παράθυρο.
Πακέτα πακέτων
Στο κάτω μέρος εμφανίζεται το παράθυρο bytes πακέτων, το οποίο εμφανίζει τα ακατέργαστα δεδομένα του επιλεγμένου πακέτου σε μια δεκαεξαδική προβολή. Αυτή η hex burst περιέχει 16 δεκαεξαδικά byte και 16 bytes ASCII μαζί με την offset δεδομένων.
Η επιλογή ενός συγκεκριμένου τμήματος αυτών των δεδομένων υπογραμμίζει αυτόματα την αντίστοιχη ενότητα του παραθύρου λεπτομερειών πακέτων και αντιστρόφως. Οποιοδήποτε bytes που δεν μπορεί να εκτυπωθεί, αντιπροσωπεύεται από μια περίοδο.
Μπορείτε να επιλέξετε να εμφανίσετε αυτά τα δεδομένα σε μορφή bit σε αντιδιαστολή με το δεκαεξαδικό, κάνοντας δεξί κλικ οπουδήποτε μέσα στο παράθυρο και επιλέγοντας την κατάλληλη επιλογή από το μενού περιβάλλοντος.
04 του 07
Χρησιμοποιώντας φίλτρα Wireshark
Ένα από τα πιο σημαντικά σύνολα χαρακτηριστικών του Wireshark είναι οι δυνατότητες φίλτρων του, ειδικά όταν ασχολείστε με αρχεία που έχουν σημαντικό μέγεθος. Τα φίλτρα καταγραφής μπορούν να οριστούν πριν από το γεγονός, δίνοντας εντολή στη Wireshark να καταγράφει μόνο τα πακέτα που πληρούν τα καθορισμένα κριτήρια.
Τα φίλτρα μπορούν επίσης να εφαρμοστούν σε ένα αρχείο καταγραφής που έχει ήδη δημιουργηθεί έτσι ώστε να εμφανίζονται μόνο συγκεκριμένα πακέτα. Αυτά αναφέρονται ως φίλτρα εμφάνισης.
Το Wireshark παρέχει από προεπιλογή έναν μεγάλο αριθμό προκαθορισμένων φίλτρων, επιτρέποντάς σας να περιορίσετε τον αριθμό των ορατών πακέτων με μερικές μόνο πλήκτρες ή κλικ του ποντικιού. Για να χρησιμοποιήσετε ένα από αυτά τα υπάρχοντα φίλτρα, τοποθετήστε το όνομά του στο πεδίο εισαγωγής φίλτρου εμφάνισης (που βρίσκεται ακριβώς κάτω από τη γραμμή εργαλείων Wireshark) ή στο πεδίο Εισαγωγή φίλτρου λήψης (που βρίσκεται στο κέντρο της οθόνης υποδοχής).
Υπάρχουν πολλοί τρόποι για να επιτευχθεί αυτό. Εάν γνωρίζετε ήδη το όνομα του φίλτρου σας, απλά πληκτρολογήστε το στο κατάλληλο πεδίο. Για παράδειγμα, εάν θέλετε να εμφανίσετε μόνο τα πακέτα TCP, θα πληκτρολογείτε tcp . Η λειτουργία αυτόματης συμπλήρωσης του Wireshark θα εμφανίσει τα προτεινόμενα ονόματα κατά την εκκίνηση της πληκτρολόγησης, διευκολύνοντας έτσι την εύρεση του σωστού δείκτη για το φίλτρο που αναζητάτε.
Ένας άλλος τρόπος για να επιλέξετε ένα φίλτρο είναι να κάνετε κλικ στο εικονίδιο με το σελιδοδείκτη που βρίσκεται στην αριστερή πλευρά του πεδίου εισαγωγής. Αυτό θα παρουσιάσει ένα μενού που περιέχει μερικά από τα πιο συχνά χρησιμοποιούμενα φίλτρα καθώς και μια επιλογή για τη διαχείριση φίλτρων καταγραφής ή τη διαχείριση φίλτρων οθόνης . Αν επιλέξετε να διαχειριστείτε είτε τον τύπο, θα εμφανιστεί μια διεπαφή που σας επιτρέπει να προσθέσετε, να αφαιρέσετε ή να επεξεργαστείτε φίλτρα.
Μπορείτε επίσης να αποκτήσετε πρόσβαση στα φίλτρα που έχουν χρησιμοποιηθεί προηγουμένως επιλέγοντας το κάτω βέλος που βρίσκεται στη δεξιά πλευρά του πεδίου εισαγωγής, το οποίο εμφανίζει μια αναπτυσσόμενη λίστα ιστορικού.
Αφού οριστεί, τα φίλτρα λήψης θα εφαρμοστούν μόλις ξεκινήσετε την καταγραφή της κυκλοφορίας δικτύου. Ωστόσο, για να εφαρμόσετε ένα φίλτρο εμφάνισης, θα χρειαστεί να κάνετε κλικ στο δεξί κουμπί βέλους που βρίσκεται στην άκρα δεξιά πλευρά του πεδίου εισαγωγής.
05 του 07
Κανόνες χρωματισμού
Ενώ τα φίλτρα καταγραφής και απεικόνισης Wireshark σάς επιτρέπουν να περιορίσετε ποια πακέτα εγγράφονται ή εμφανίζονται στην οθόνη, η λειτουργία του χρωματισμού παίρνει τα πράγματα ένα βήμα παραπέρα, καθιστώντας εύκολη τη διάκριση μεταξύ διαφορετικών τύπων πακέτων με βάση την ατομική τους απόχρωση. Αυτή η εύχρηστη λειτουργία σας επιτρέπει να εντοπίσετε γρήγορα ορισμένα πακέτα μέσα σε ένα αποθηκευμένο σύνολο από το συνδυασμό χρωμάτων της γραμμής τους στο παράθυρο λίστας πακέτων.
Το Wireshark περιλαμβάνει περίπου 20 προεπιλεγμένους κανόνες χρωματισμού ενσωματωμένους. καθένα από τα οποία μπορεί να επεξεργαστεί, να απενεργοποιηθεί ή να διαγραφεί εάν το επιθυμείτε. Μπορείτε επίσης να προσθέσετε νέα φίλτρα με βάση τη σκιά μέσω του περιβάλλοντος κανόνων χρωμάτων, το οποίο είναι προσβάσιμο από το μενού Προβολή . Εκτός από τον ορισμό κριτηρίων ονόματος και φίλτρου για κάθε κανόνα, σας ζητείται επίσης να συσχετίσετε τόσο το χρώμα φόντου όσο και το χρώμα κειμένου.
Ο χρωματισμός πακέτων μπορεί να απενεργοποιηθεί και να ενεργοποιηθεί μέσω της επιλογής Colorize Packet List , που βρίσκεται επίσης στο μενού Προβολή .
06 του 07
Στατιστική
Εκτός από τις λεπτομερείς πληροφορίες σχετικά με τα δεδομένα του δικτύου που εμφανίζονται στο κύριο παράθυρο του Wireshark, υπάρχουν και άλλες χρήσιμες μετρήσεις μέσω του αναπτυσσόμενου μενού Στατιστικά που βρίσκεται στο επάνω μέρος της οθόνης. Αυτά περιλαμβάνουν πληροφορίες μεγέθους και χρονισμού σχετικά με το ίδιο το αρχείο καταγραφής, μαζί με δεκάδες διαγράμματα και γραφήματα που κυμαίνονται στο θέμα από αναλύσεις πακέτων συνομιλιών για κατανομή φορτίου αιτήσεων HTTP.
Τα φίλτρα εμφάνισης μπορούν να εφαρμοστούν σε πολλά από αυτά τα στατιστικά στοιχεία μέσω των επιμέρους διεπαφών τους και τα αποτελέσματα μπορούν να εξαχθούν σε πολλές κοινές μορφές αρχείων, συμπεριλαμβανομένων των CSV , XML και TXT.
07 του 07
Προηγμένες λειτουργίες
Παρόλο που καλύψαμε το μεγαλύτερο μέρος της κύριας λειτουργικότητας του Wireshark σε αυτό το άρθρο, υπάρχει επίσης μια συλλογή πρόσθετων λειτουργιών διαθέσιμων σε αυτό το ισχυρό εργαλείο που προορίζεται συνήθως για προχωρημένους χρήστες. Αυτό περιλαμβάνει τη δυνατότητα να γράφετε τους δικούς σας διαχωριστές πρωτοκόλλων στη γλώσσα προγραμματισμού Lua.
Για περισσότερες πληροφορίες σχετικά με αυτές τις προηγμένες λειτουργίες, ανατρέξτε στον επίσημο οδηγό χρήσης του Wireshark.