Wireshark je bezplatná aplikace, kterou používáte k zachycení a zobrazení dat, která se pohybují v síti. Poskytuje možnost vrtat a číst obsah každého paketu a je filtrován tak, aby vyhovoval vašim specifickým potřebám. Obvykle se používá k odstraňování problémů se sítí a k vývoji a testování softwaru. Tento analyzátor protokolů s otevřeným zdrojovým kódem je obecně uznáván jako průmyslový standard a v průběhu let získal svůj spravedlivý podíl na ocenění.
Původně známý jako Ethereal, Wireshark má uživatelsky přívětivé rozhraní, které umožňuje zobrazit data ze stovek různých protokolů na všech hlavních typech sítí. Datové pakety lze prohlížet v reálném čase nebo analyzovat offline. Wireshark podporuje desítky podporovaných formátů souborů zachycení / trasování včetně CAP a ERF. Integrované dešifrovací nástroje umožňují zobrazit šifrované pakety pro několik populárních protokolů včetně WEP a WPA / WPA2.
01 z 07Stažení a instalace Wireshark
Wireshark lze bezplatně stáhnout z webové stránky Wireshark Foundation pro operační systémy Mac OS a Windows. Pokud nejste pokročilý uživatel, doporučujeme stahovat pouze nejnovější stabilní verzi. Během procesu instalace systému Windows byste se měli na požádání rozhodnout nainstalovat program WinPcap, protože obsahuje knihovnu potřebnou pro živé sběr dat.
Aplikace je k dispozici také pro Linux a většinu dalších platform UNIX, včetně Red Hat, Solaris a FreeBSD. Binární soubory potřebné pro tyto operační systémy naleznete v dolní části stránky pro stahování v části Balíčky třetích stran. Můžete také stáhnout zdrojový kód Wireshark z této stránky.
Jak zachytit datové pakety
Při prvním spuštění aplikace Wireshark se zobrazí uvítací obrazovka obsahující seznam dostupných síťových připojení na vašem aktuálním zařízení. V tomto příkladu zjistíte, že jsou zobrazeny následující typy připojení: Síťové připojení Bluetooth, Ethernet, Síť hostitele pouze virtuální sítě a Wi-Fi. Zobrazená napravo od každého je lineární graf ve stylu EKG, který představuje živou komunikaci v příslušné síti.
Chcete-li zahájit zachycování paketů, vyberte jednu nebo více sítí kliknutím na požadovanou volbu a pomocí tlačítka Posun nebo Ctrl , chcete-li současně nahrávat data z více sítí. Po výběru typu připojení pro účely zachycení je jeho pozadí stínováno buď modře nebo šedě. Klikněte na Zachyťte v hlavní nabídce umístěné směrem k horní části rozhraní Wireshark. Když se zobrazí rozevírací nabídka, vyberte možnost Start volba.
Můžete také iniciovat zachycování paketů pomocí jedné z následujících zkratek.
- Klávesnice: StiskněteCtrl + E.
- Myš: Chcete-li začít zachycovat pakety z jedné konkrétní sítě, poklepejte na její název.
- Panel nástrojů: Klikněte na modré tlačítko žraločích ploutví umístěné v levé krajní části panelu nástrojů Wireshark.
Zahájí proces živého zachycení a Wireshark zobrazuje podrobnosti o paketu při jejich zaznamenávání. Přerušení snímání:
- Klávesnice: lis Ctrl + E
- Panel nástrojů: Klikněte na červenou Stop umístěné vedle žraločích ploutví na panelu nástrojů Wireshark.
Zobrazení a analýza obsahu paketu
Po nahrání některých síťových dat je čas podívat se na zachycené pakety. Zaznamenávané datové rozhraní obsahuje tři hlavní části: podokno seznamu paketů, podokno podrobností paketu a podokno paketů paketů.
Seznam paketů
Podokno seznamu paketů umístěné v horní části okna zobrazuje všechny pakety nalezené v aktivním souboru pro zachycení. Každý paket má společně s každým z těchto datových bodů svůj vlastní řádek a odpovídající číslo.
- Čas: Časová značka, kdy byl paket zachycen, je zobrazen v tomto sloupci. Výchozí formát je počet sekund nebo částečných sekund od vytvoření tohoto konkrétního souboru pro zachycení. Chcete-li změnit tento formát na něco, co může být trochu užitečnější, například skutečný denní čas, vyberte položku Formát zobrazení času z Wireshark Pohled menu umístěné v horní části hlavního rozhraní.
- Zdroj: Tento sloupec obsahuje adresu (IP nebo jinou), odkud vznikl paket.
- Destinace: Tento sloupec obsahuje adresu, na kterou je paket odesílán.
- Protokol: Název protokolu paketu, například protokol TCP, naleznete v tomto sloupci.
- Délka: V tomto sloupci se zobrazí délka paketu v bajtech.
- Informace: Další informace o balíčku jsou uvedeny zde. Obsah tohoto sloupce se může značně lišit v závislosti na obsahu paketu.
Když je v horním podokně vybrán paket, může se v prvním sloupci objevit jeden nebo více symbolů. Otevřené nebo uzavřené závorky a přímá vodorovná čára označují, zda je paket nebo skupina paketů součástí téže konverzace v síti. Zlomená horizontální čára znamená, že paket není částí konverzace.
Podrobnosti o paketu
Tabulka podrobností, která se nachází uprostřed, obsahuje protokoly a protokolová pole vybraného paketu ve skládaném formátu. Kromě rozšíření jednotlivých výběrů můžete použít jednotlivé filtry Wireshark na základě konkrétních podrobností a sledovat toky dat založené na typu protokolů prostřednictvím kontextové nabídky podrobností, která je přístupná klepnutím pravým tlačítkem myši na požadovanou položku v tomto panelu.
Pakety bajtů
V dolní části je podokno paketů paketů, které zobrazuje surové data vybraného paketu v hexadecimálním zobrazení.Tento hexadecimální výpis obsahuje 16 hexadecimálních bajtů a 16 bitů ASCII vedle posunu dat.
Výběr určité části těchto dat automaticky zvýrazní příslušnou sekci v podokně podrobností o paketu a naopak. Jakékoli bity, které nelze vytisknout, jsou místo toho reprezentovány periodou.
Můžete se rozhodnout, že tato data budou zobrazena ve formátu bitů na rozdíl od hexadecimálních po kliknutí pravým tlačítkem na libovolné místo v podokně a výběrem příslušné volby z místní nabídky.
04 z 07Použití filtrů Wireshark
Jedním z nejdůležitějších funkcí v síti Wireshark je jeho schopnost filtrování, zvláště pokud máte zájem o soubory, které mají značnou velikost. Filtry pro zachycení lze nastavit předtím, než uvědomíte, že Wireshark zaznamená pouze ty pakety, které splňují zadaná kritéria.
Filtry lze také použít na soubor pro zachycení, který již byl vytvořen, takže jsou zobrazeny pouze určité pakety. Tyto filtry jsou označovány jako filtry zobrazení.
Wireshark ve výchozím nastavení poskytuje velké množství předdefinovaných filtrů, což vám umožní zúžit počet viditelných paketů pomocí několika stisknutí kláves nebo kliknutí myší. Chcete-li použít jeden z těchto existujících filtrů, umístěte jej do pole Použijte filtr zobrazení vstupní pole umístěné přímo pod panelem nástrojů Wireshark nebo v panelu nástrojů Wireshark Zadejte filtr zachycení vstupní pole umístěné uprostřed uvítací obrazovky.
Existuje několik způsobů, jak to dosáhnout. Pokud už znáte název filtru, zadejte jej do příslušného pole. Pokud například chcete zobrazit pouze pakety TCP, zadejte tcp. Funkce automatického doplňování Wireshark zobrazuje navrhovaná jména při spuštění psaní, což usnadňuje nalezení správného pojmenování pro požadovaný filtr.
Dalším způsobem, jak zvolit filtr, je kliknout na ikonu podobnou záložce umístěnou na levé straně vstupního pole. Zobrazí se nabídka obsahující nejčastěji používané filtry a také možnost Správa filtrů pro zachycení nebo Správa filtrů zobrazení. Pokud se rozhodnete spravovat jeden typ, zobrazí se rozhraní, které umožňuje přidávat, odstraňovat nebo upravovat filtry.
Můžete také přistupovat k dříve použitým filtrám tak, že vyberete šipku dolů na pravé straně vstupního pole a zobrazí se rozbalovací seznam historie.
Jakmile je nastavení nastaveno, použijí se filtry pro zachycení, jakmile začnete zaznamenávat síťový provoz. Chcete-li použít filtr zobrazení, klikněte na tlačítko se šipkou vpravo, která se nachází na pravé straně vstupního pole.
05 z 07Barevné pravidla
Zatímco filtry Wireshark pro zachycení a zobrazení umožňují omezit, které pakety jsou zaznamenávány nebo zobrazovány na obrazovce, její funkce pro zbarvení přebírají věci o krok dále tím, že usnadňují rozlišení mezi různými typy paketů na základě jejich individuálního odstínu. Tato užitečná funkce umožňuje rychle vyhledat určité pakety v uložené sadě podle jejich barvy řádků v podokně seznamu paketů.
Wireshark je vybaven asi 20 vestavěnými barvicími pravidly, z nichž každý může být upraven, zakázán nebo smazán, pokud si přejete. Nové filtry založené na odstínech můžete také přidat pomocí rozhraní barevných pravidel přístupných z Pohled Jídelní lístek. Kromě definování kritéria názvů a filtrů pro každé pravidlo se také žádáte, abyste přidali barvu pozadí i barvu textu.
Obarvení paketů lze vypnout a zapnout přes Zbarvení seznamu paketů možnost, která se také objevila v Pohled Jídelní lístek.
06 z 07Statistika
Kromě podrobných informací o datách sítě zobrazovaných v hlavním okně sítě Wireshark jsou k dispozici další užitečné metriky Statistika rozbalovací nabídka, která se nachází v horní části obrazovky. Mezi ně patří informace o velikosti a časování samotného souboru pro zachycení, spolu s desítkami grafů a grafů v tématu od členění rozhovorů paketů až po rozložení požadavků HTTP.
Filtry zobrazení lze použít pro mnoho z těchto statistik prostřednictvím jejich rozhraní a výsledky lze exportovat do několika běžných formátů souborů včetně CSV, XML a TXT.
07 z 07Pokročilé funkce
Vedle hlavních funkcí Wireshark je také k dispozici sbírka dalších funkcí, které jsou k dispozici v tomto výkonném nástroji, který je zpravidla vyhrazen pro pokročilé uživatele. To zahrnuje schopnost psát vlastní protokolové disektory v programovacím jazyce Lua.
