Skip to content

Wiresharkin käyttö: täydellinen opetusohjelma

17 de kesäkuu de 2021

Mitä tietää

  • Wireshark on avoimen lähdekoodin sovellus, joka sieppaa ja näyttää verkossa edestakaisin liikkuvat tiedot.
  • Koska se voi porata alas ja lukea jokaisen paketin sisällön, sitä käytetään verkko-ongelmien vianmääritykseen ja ohjelmistojen testaamiseen.

Tämän artikkelin ohjeet koskevat Wireshark 3.0.3: aa Windows- ja Mac-tietokoneille.

Mikä on Wireshark?

Alun perin nimellä Ethereal tunnettu Wireshark näyttää tietoja satoista erilaisista protokollista kaikilla tärkeimmillä verkkotyypeillä. Datapaketteja voidaan tarkastella reaaliajassa tai analysoida offline-tilassa. Wireshark tukee kymmeniä sieppaus- / jäljitystiedostomuotoja, mukaan lukien CAP ja ERF. Integroidut salauksenpurkutyökalut näyttävät salatut paketit useille yleisille protokollille, mukaan lukien WEP ja WPA / WPA2.

Wiresharkin lataaminen ja asentaminen

Wireshark voidaan ladata ilmaiseksi Wireshark Foundation -sivustolta sekä macOS: lle että Windowsille. Näet viimeisimmän vakaan ja nykyisen kehitysjulkaisun. Lataa vakaa versio, ellet ole edistynyt käyttäjä.

Valitse Windowsin asennusprosessin aikana asennus WinPcap tai Npcap jos sitä pyydetään, koska nämä sisältävät reaaliaikaisen tiedonsiirron edellyttämiä kirjastoja.

Kuvakaappaus Wireshark-asennusnäytöstä ja "Asenna Npcpap" -vaihtoehto korostettuna

Sinun on oltava kirjautuneena laitteeseen järjestelmänvalvojana, jotta voit käyttää Wiresharkia. Etsi Windows 10: ssä Wireshark ja valitse Suorita järjestelmänvalvojana. Napsauta MacOS-sovelluksessa hiiren kakkospainikkeella sovelluskuvaketta ja valitse Saada tietoa. vuonna Jakaminen ja käyttöoikeudet anna järjestelmänvalvojalle Lukea kirjoittaa etuoikeuksia.

Kuvakaappaus Wiresharkin Windows 10 -tietoruudusta "Suorita järjestelmänvalvojana" vaihtoehto korostettu

Sovellus on saatavana myös Linuxille ja muille UNIX-tyyppisille alustoille, kuten Red Hat, Solaris ja FreeBSD. Näille käyttöjärjestelmille tarvittavat binäärit löytyvät Wireshark-lataussivun alareunasta Kolmannen osapuolen paketit -osiossa. Voit myös ladata Wiresharkin lähdekoodin tältä sivulta.

Kuinka siepata datapaketteja Wiresharkilla

Kun käynnistät Wiresharkin, aloitusnäytössä näkyvät nykyisen laitteesi käytettävissä olevat verkkoyhteydet. Jokaisen oikealla puolella on EKG-tyylinen viivakaavio, joka edustaa reaaliaikaista liikennettä kyseisessä verkossa. Aloita pakettien kaappaaminen Wiresharkilla:

  1. Valitse yksi tai useampi verkko, siirry valikkopalkkiin ja valitse sitten Kaapata. Voit valita useita verkkoja pitämällä -näppäintä alhaalla Siirtää näppäintä tehdessäsi valintaa.

    Kuvakaappaus Wiresharkista ja sieppaa-valikko korostettuna

  2. vuonna Wireshark Capture -liitännät -ikkunassa alkaa. On muitakin tapoja aloittaa pakettien sieppaus. Valitse hain evä paina Wireshark-työkalurivin vasemmalla puolellaCtrl + Etai kaksoisnapsauta verkkoa.

    Kuvakaappaus Wireshark-kaappauskäyttöliittymäikkunasta, jossa Käynnistä-painike on korostettu

  3. Valitse Tiedosto > Tallenna nimellä tai valitse Viedä mahdollisuus tallentaa sieppaus.

    Kuvakaappaus Wiresharkista, jossa Tallenna nimellä -komento ja vienti on korostettu

  4. Lopeta kaappaus painamalla Ctrl + E. Tai siirry Wireshark-työkaluriville ja valitse punainen Lopettaa hain evän vieressä oleva painike.

    Kuvakaappaus Wiresharkin kaappauskäyttöliittymästä korostettuna Stop-painikkeella

Pakettien sisällön tarkasteleminen ja analysointi

Siepattu dataliitäntä sisältää kolme pääosaa:

  • Pakettiluetteloruutu (yläosa)
  • Paketin tiedot -ruutu (keskiosa)
  • Pakettitavuruutu (alaosa)

Siepattu dataliitäntä sisältää kolme pääosaa: pakettiluetteloruutu (yläosa);  paketin tiedot -ruutu (keskiosa);  ja pakettitavuruutu (alaosa).

Pakettiluettelo

Ikkunan yläosassa oleva pakettiluetteloruutu näyttää kaikki aktiivisessa sieppaustiedostossa olevat paketit. Jokaisella paketilla on oma rivi ja vastaava numero, joka on annettu näiden tietojen kanssa:

  • Ei: Tämä kenttä osoittaa, mitkä paketit ovat osa samaa keskustelua. Se on tyhjä, kunnes valitset paketin.
  • Aika: Aikaleima, jolloin paketti siepattiin, näkyy tässä sarakkeessa. Oletusmuoto on sekuntien tai osittaisten sekuntien määrä tämän erityisen kaappaustiedoston luomisesta.
  • Lähde: Tässä sarakkeessa on osoite (IP tai muu), josta paketti on alkanut.
  • Kohde: Tämä sarake sisältää osoitteen, johon paketti lähetetään.
  • Protokolla: Paketin protokollan nimi, kuten TCP, löytyy tästä sarakkeesta.
  • Pituus: Paketin pituus tavuina näytetään tässä sarakkeessa.
  • Tiedot: Lisätietoja paketista on tässä. Tämän sarakkeen sisältö voi vaihdella suuresti paketin sisällön mukaan.

Jos haluat muuttaa aikamuodon hyödyllisemmäksi (kuten todellinen kellonaika), valitse Näytä > Ajan näyttömuoto.

Kuvakaappaus Wiresharkista, jossa Time Display Format -komento ja vaihtoehdot on korostettu

Kun paketti on valittu yläruudusta, saatat huomata, että yksi tai useampi symboli ilmestyy Ei. sarake. Avoimet tai suljetut suluet ja suora vaakasuora viiva osoittavat, kuuluvatko paketti tai pakettiryhmä samaan edestakaisin keskusteluun verkossa. Rikki vaakasuora viiva tarkoittaa, että paketti ei ole osa keskustelua.

Kuvakaappaus Wiresharkista paketit-paneeli korostettuna

Paketin tiedot

Keskellä oleva tietoruutu näyttää valitun paketin protokollat ​​ja protokollakentät kokoontaitettavassa muodossa. Kunkin valinnan laajentamisen lisäksi voit käyttää yksittäisiä Wireshark-suodattimia tiettyjen yksityiskohtien perusteella ja seurata tietovirtoja protokollatyypin perusteella napsauttamalla hiiren kakkospainikkeella haluamaasi kohdetta.

Kuvakaappaus Wiresharkista, jossa Packet Details -ruutu on korostettu

Pakettitavu

Alareunassa on pakettatavut -ruutu, joka näyttää valitun paketin raakatiedot heksadesimaalinäkymässä. Tämä hex-dump sisältää 16 heksadesimaalitavua ja 16 ASCII-tavua tietojen siirtymän rinnalla. Tietyn osan valitseminen näistä tiedoista tuo automaattisesti esiin sen vastaavan osan pakettitietoruudussa ja päinvastoin. Kaikki tavut, joita ei voida tulostaa, ovat pisteitä.

Kuvakaappaus Wiresharkista korostettuna Packet Bytes -paneelilla

Jos haluat näyttää nämä tiedot bittimuodossa heksadesimaalin sijaan, napsauta hiiren kakkospainikkeella kohtaa ruudun sisällä ja valitse bitteinä.

Kuvakaappaus Wiresharkin Packet Bytes -ikkunasta "Bitteinä" vaihtoehto korostettu

Wireshark-suodattimien käyttö

Sieppaussuodattimet ohjaavat Wiresharkia tallentamaan vain paketit, jotka täyttävät määritetyt ehdot. Suodattimia voidaan käyttää myös luotuun sieppaustiedostoon siten, että vain tietyt paketit näkyvät. Näitä kutsutaan näyttösuodattimiksi. Wireshark tarjoaa oletusarvoisesti suuren määrän ennalta määritettyjä suodattimia. Jos haluat käyttää jotakin näistä olemassa olevista suodattimista, kirjoita sen nimi Käytä näyttösuodatinta syöttökenttä, joka sijaitsee Wireshark-työkalurivin alla tai Anna sieppaussuodatin kenttä, joka sijaitsee aloitusnäytön keskellä. Jos esimerkiksi haluat näyttää TCP-paketteja, kirjoita tcp. Wiresharkin automaattinen täydennysominaisuus näyttää ehdotetut nimet, kun aloitat kirjoittamisen, mikä helpottaa oikean monikerin löytämistä etsimääsi suodatinta varten.

Kuvakaappaus Wiresharkista korostettuna suodatinpalkilla

Toinen tapa valita suodatin on valita kirjanmerkki syöttökentän vasemmalla puolella. Valita Hallitse suodatinlausekkeita tai Hallitse näytön suodattimia lisätä, poistaa tai muokata suodattimia.

Kuvakaappaus Wiresharkista, jossa on Manage Display Filters ja Manage Filter Expressions -komennot highlgihted

Voit myös käyttää aiemmin käytettyjä suodattimia valitsemalla avattavan historian luettelon valitsemalla syöttökentän oikealla puolella olevan alanuolen.

Kuvakaappaus Wiresharkista ja historian nuoli korostettuna

Sieppaussuodattimia käytetään heti, kun aloitat verkkoliikenteen tallennuksen. Jos haluat käyttää näyttösuodatinta, valitse oikea nuoli syöttökentän oikealta puolelta.

Wireshark-värisäännöt

Vaikka Wiresharkin sieppaus- ja näyttösuodattimet rajoittavat sitä, mitkä paketit tallennetaan tai näytetään näytöllä, sen väritystoiminto vie asiat pidemmälle: Se voi erottaa eri pakettityypit niiden yksilöllisen sävyn perusteella. Tämä etsii tietyt paketit nopeasti pakettiluetteloruudun rivin värin perusteella tallennetusta joukosta.

Wireshark-värisääntöjen valintaikkuna avautui Wireshark-pääikkunan edessä

Wiresharkissa on noin 20 oletusvärisääntöä, joita kaikkia voidaan muokata, poistaa käytöstä tai poistaa. Valitse Näytä > Värityssäännöt saadaksesi yleiskuvan siitä, mitä kukin väri tarkoittaa. Voit myös lisätä omia väripohjaisia ​​suodattimia.

Kuvakaappaus Wiresharkin Näytä-valikosta korostettuna Värityssäännöt-komennolla

Valitse Näytä > Väritä pakettiluettelo kytkeäksesi pakettivärien päälle ja pois päältä.

Tilastot Wiresharkissa

Muita hyödyllisiä mittareita on saatavana Tilastot pudotusvalikosta. Näitä ovat sieppaustiedoston koko- ja ajoitustiedot sekä kymmeniä kaavioita ja kaavioita, jotka vaihtelevat aiheessa pakettikeskustelujen erittelyistä HTTP-pyyntöjen jakamiseen.

Useita muita hyödyllisiä mittareita on saatavana avattavasta Tilastot-valikosta, joka löytyy näytön yläreunasta.

Näyttösuodattimia voidaan käyttää moniin näistä tilastoista niiden rajapintojen kautta, ja tulokset voidaan viedä yleisiin tiedostomuotoihin, mukaan lukien CSV, XML ja TXT.

Wiresharkin lisäominaisuudet

Wireshark tukee myös lisäominaisuuksia, kuten kykyä kirjoittaa protokollan leikkureita Lua-ohjelmointikielellä.