Mit kell tudni
- A Wireshark egy nyílt forráskódú alkalmazás, amely rögzíti és megjeleníti a hálózaton oda-vissza utazó adatokat.
- Mivel minden egyes csomag tartalmát mélyrehatóan leolvashatja, a hálózati problémák elhárítására és a szoftverek tesztelésére használják.
Az ebben a cikkben szereplő utasítások a Wireshark 3.0.3 for Windows és Mac rendszerre vonatkoznak.
Mi az a Wireshark?
Az eredetileg Ethereal néven ismert Wireshark több száz különböző protokoll adatait jeleníti meg az összes főbb hálózati típuson. Az adatcsomagok valós időben megtekinthetők vagy offline módon elemezhetők. A Wireshark több tucat rögzítési / nyomkövetési fájlformátumot támogat, beleértve a CAP és az ERF fájlokat is. Az integrált visszafejtő eszközök több közös protokoll, köztük a WEP és a WPA / WPA2 titkosított csomagjait jelenítik meg.
A Wireshark letöltése és telepítése
A Wireshark ingyenesen letölthető a Wireshark Foundation webhelyéről mind macOS, mind Windows rendszerhez. Látni fogja a legújabb stabil kiadást és a jelenlegi fejlesztői kiadást. Hacsak nem haladó felhasználó, töltse le a stabil verziót.
:max_bytes(150000):strip_icc()/001_wireshark-tutorial-4143298-52d1294a66f64810b14dbfc6fdbe00de.jpg)
A Windows telepítési folyamata során válassza a telepítést WinPcap or Npcap ha a rendszer kéri, mivel ezek tartalmazzák az élő adatrögzítéshez szükséges könyvtárakat.
:max_bytes(150000):strip_icc()/001-wireshark-tutorial-4143298-8944764352c445c89af8571085055965.jpg)
A Wireshark használatához rendszergazdaként kell bejelentkeznie az eszközre. A Windows 10 rendszerben keresse meg a Wireshark szót, és válassza a lehetőséget Futtatás rendszergazdaként. A MacOS rendszerben kattintson a jobb gombbal az alkalmazás ikonjára, és válassza a lehetőséget Get Info. Az Megosztás és engedélyek beállításokat, adja meg az adminnak Ír olvas jogosultságokat.
:max_bytes(150000):strip_icc()/002-wireshark-tutorial-4143298-09827053b9cd4445ac165d68a0039808.jpg)
Az alkalmazás Linux és más UNIX-szerű platformokhoz is elérhető, beleértve a Red Hat, a Solaris és a FreeBSD. Az ezekhez az operációs rendszerekhez szükséges bináris fájlok a Wireshark letöltési oldal alján találhatók a Harmadik fél csomagjai szakasz. Erről az oldalról letöltheti a Wireshark forráskódját is.
Hogyan lehet rögzíteni az adatcsomagokat a Wireshark segítségével
A Wireshark indításakor egy üdvözlő képernyő felsorolja a jelenlegi eszközén elérhető hálózati kapcsolatokat. Mindegyik jobb oldalán egy EKG-stílusú vonaldiagram jelenik meg, amely az adott hálózat élő forgalmát ábrázolja.
A Wireshark csomagok rögzítésének megkezdéséhez:
-
Válasszon ki egy vagy több hálózatot, lépjen a menüsorra, majd válassza a lehetőséget Elfog.
Több hálózat kiválasztásához tartsa lenyomva a gombot műszak gombot, amikor kiválasztja.
:max_bytes(150000):strip_icc()/003-wireshark-tutorial-4143298-024370e017284dc0a251f91a3566cf06.jpg)
-
Ban,-ben Wireshark Capture Interfaces ablak, válassza ki Rajt.
A csomagrögzítés kezdeményezésének más módjai is vannak. Válaszd ki a cápauszony a Wireshark eszköztár bal oldalán nyomja meg a gombotCtrl + E, vagy kattintson duplán a hálózatra.
:max_bytes(150000):strip_icc()/004-wireshark-tutorial-4143298-3db6aeba8777467c8fc3e42ac304f3f6.jpg)
-
választ filé > Mentés másként vagy válasszon egy Export lehetőség a rögzítés rögzítésére.
:max_bytes(150000):strip_icc()/005-wireshark-tutorial-4143298-c60e3bb4537a4615b8326d5ff8550407.jpg)
-
A rögzítés leállításához nyomja meg a gombot Ctrl + E. Vagy lépjen a Wireshark eszköztárra, és válassza ki a pirosat megáll gomb, amely a cápauszony mellett található.
:max_bytes(150000):strip_icc()/006-wireshark-tutorial-4143298-016d2b41501149d994d0d9e78239d964.jpg)
A csomagok tartalmának megtekintése és elemzése
A rögzített adatfelület három fő részt tartalmaz:
- A csomaglista ablaktábla (felső rész)
- A csomag részletei ablaktábla (középső rész)
- Csomagbájt ablaktábla (alsó rész)
:max_bytes(150000):strip_icc()/008_wireshark-tutorial-4143298-7fc1de4be4e746278f59f2179a453528.jpg)
Csomaglista
Az ablak tetején található csomaglista ablaktáblán az összes rögzítési csomag megtalálható az aktív rögzítési fájlban. Minden csomagnak saját sora és megfelelő száma van hozzárendelve, az alábbi adatokkal együtt:
- Nem: Ez a mező jelzi, hogy mely csomagok tartoznak ugyanahhoz a beszélgetéshez. Addig üres marad, amíg ki nem választ egy csomagot.
- Idő: A csomag rögzítésének időbélyege ebben az oszlopban jelenik meg. Az alapértelmezett formátum az adott rögzítési fájl első létrehozása óta eltelt másodpercek vagy részleges másodpercek száma.
- Forrás: Ez az oszlop tartalmazza azt a címet (IP vagy egyéb), ahonnan a csomag származik.
- Úti cél: Ez az oszlop tartalmazza azt a címet, amelyre a csomagot küldik.
- Protokoll: A csomag protokollneve, például a TCP, ebben az oszlopban található.
- Hossz: A csomag hossza bájtban jelenik meg ebben az oszlopban.
- Info: A csomaggal kapcsolatos további részletek itt találhatók. Ennek az oszlopnak a tartalma a csomag tartalmától függően nagymértékben változhat.
Az időformátum hasznosabbra (például a tényleges napszakra) történő módosításához válassza a lehetőséget Megnézem > Időkijelző formátum.
:max_bytes(150000):strip_icc()/007-wireshark-tutorial-4143298-ac0e56f1a0984c1b93a91b1641c7fe88.jpg)
Ha egy csomagot választ a felső ablaktáblán, észreveheti, hogy egy vagy több szimbólum jelenik meg a Nem. oszlop. Nyitott vagy zárt zárójelek és egyenes vízszintes vonal jelzik, hogy egy csomag vagy csomagcsoport ugyanazon oda-vissza beszélgetés része-e a hálózaton. A törött vízszintes vonal azt jelzi, hogy egy csomag nem része a beszélgetésnek.
:max_bytes(150000):strip_icc()/008-wireshark-tutorial-4143298-13534b80059945e88759286cb3338360.jpg)
Csomag részletei
A közepén található részletek ablaktáblán mutatják be a kiválasztott csomag protokolljait és protokollmezõit. Az egyes kijelölések kibővítésén túl egyedi részletek alapján alkalmazhat egyedi Wireshark szűrőket, és a kívánt elemre jobb gombbal kattintva követheti az adatfolyamokat a protokoll típusa alapján.
:max_bytes(150000):strip_icc()/009-wireshark-tutorial-4143298-490a6676280b43cd900557647ff9e92d.jpg)
Csomag bájtok
Alul van a csomag bájt ablaktábla, amely hexadecimális nézetben jeleníti meg a kiválasztott csomag nyers adatait. Ez a hexadecimális 16 hexadecimális és 16 ASCII bájtot tartalmaz az adateltolás mellett.
Az adatok egy adott részének kiválasztása automatikusan kiemeli annak megfelelő szakaszát a csomag részletei ablaktáblában és fordítva. A nem nyomtatható bájtokat pont jelöli.
:max_bytes(150000):strip_icc()/010-wireshark-tutorial-4143298-9b5ba526d6e54f8bb3ac49eaea6d08fa.jpg)
Ha ezeket az adatokat bit formátumban szeretné megjeleníteni a hexadecimális adatokkal szemben, kattintson a jobb gombbal az ablaktábla bármely pontjára, és válassza a lehetőséget bitként.
:max_bytes(150000):strip_icc()/011-wireshark-tutorial-4143298-0b7390128b5a47c38aca851eeed120b5.jpg)
A Wireshark szűrők használata
A rögzítési szűrők arra utasítják a Wiresharkot, hogy csak olyan csomagokat rögzítsen, amelyek megfelelnek a megadott feltételeknek. A szűrők egy létrehozott rögzítési fájlra is alkalmazhatók, így csak bizonyos csomagok jelennek meg. Ezeket kijelzőszűrőknek nevezzük.
A Wireshark alapértelmezés szerint nagyszámú előre definiált szűrőt biztosít. A meglévő szűrők egyikének használatához írja be a nevét a Alkalmazzon megjelenítési szűrőt beviteli mező a Wireshark eszköztár alatt vagy a Adjon meg egy rögzítési szűrőt mező az üdvözlő képernyő közepén található.
Például, ha TCP-csomagokat szeretne megjeleníteni, írja be: tcp. A Wireshark automatikus kiegészítés funkció a javasolt neveket jeleníti meg, amikor elkezdi gépelni, megkönnyítve ezzel a kívánt moniker megtalálását a keresett szűrőhöz.
:max_bytes(150000):strip_icc()/012-wireshark-tutorial-4143298-5e45505c0f434a9ba2d3a8f70a850617.jpg)
A szűrő kiválasztásának másik módja a könyvjelző a beviteli mező bal oldalán. Választ Szűrőkifejezések kezelése or Kijelzőszűrők kezelése szűrők hozzáadásához, eltávolításához vagy szerkesztéséhez.
:max_bytes(150000):strip_icc()/013-wireshark-tutorial-4143298-f169e33e47ba4aafb336b9d47029867d.jpg)
A korábban használt szűrőkhöz úgy is hozzáférhet, hogy a beviteli mező jobb oldalán található lefelé mutató nyílra kattintva megjeleníti az előzmények legördülő listát.
:max_bytes(150000):strip_icc()/014-wireshark-tutorial-4143298-f09d24778ff94ff29a2bbd3ee883fc4c.jpg)
A rögzítési szűrőket azonnal alkalmazzák, amint elkezdik rögzíteni a hálózati forgalmat. Megjelenítési szűrő alkalmazásához válassza a jobb nyíl a beviteli mező jobb oldalán.
Wireshark színszabályok
Míg a Wireshark elfogási és megjelenítési szűrői korlátozzák, hogy mely csomagok kerülnek rögzítésre vagy megjelenítésre a képernyőn, színező funkciója egy lépéssel tovább visz: megkülönböztethet különböző csomagtípusokat az egyes színárnyalatok alapján. Ez gyorsan megtalálja bizonyos csomagokat egy mentett halmazon belül a színükkel a csomaglista ablaktáblán.
:max_bytes(150000):strip_icc()/wireshark-colors-59512e8f3df78cae8137715b.png)
A Wireshark körülbelül 20 alapértelmezett színezési szabályt tartalmaz, mindegyiket lehet szerkeszteni, letiltani vagy törölni. Válassza a lehetőséget Megnézem > Színező szabályok az egyes színek jelentésének áttekintése. Hozzáadhat saját színalapú szűrőket is.
:max_bytes(150000):strip_icc()/015-wireshark-tutorial-4143298-91567e80185c4f16bfc46f6793c0301a.jpg)
választ Megnézem > A csomaglista színezése a csomag színezésének be- és kikapcsolásához.
Statisztikák a Wiresharkban
Egyéb hasznos mutatók állnak rendelkezésre a Statisztika legördülő menü. Ezek magukban foglalják a rögzítési fájl méretét és időzítését, valamint tucatnyi diagramot és grafikont, amelyek a témában a csomagbeszélgetések lebontásától a HTTP kérések betöltéséig terjednek.
:max_bytes(150000):strip_icc()/020__wireshark-tutorial-4143298-24bfe8984431438b9ba2ec43f701607d.jpg)
A megjelenítő szűrők ezekre a statisztikákra sokukra alkalmazhatók az interfészeiken keresztül, és az eredmények exportálhatók általános fájlformátumokba, beleértve a CSV, az XML és a TXT fájlokat is.
Wireshark speciális funkciók
A Wireshark emellett támogatja a fejlett funkciókat, többek között a protokoll-boncolók Lua programozási nyelven történő írásának lehetőségét.