Jak používat Wireshark k zachycení, filtrování a kontrole paketů

Wireshark, nástroj pro síťovou analýzu, dříve známý jako Ethereal, zachycuje pakety v reálném čase a zobrazuje je v čitelném formátu. Wireshark obsahuje filtry, barevné kódování a další funkce, které vám umožní hlouběji proniknout do síťového provozu a zkontrolovat jednotlivé pakety.

Tento kurz vás seznámí se základy zachycování paketů, jejich filtrování a kontroly. Wireshark můžete použít ke kontrole síťového provozu podezřelého programu, analýze toku provozu v síti nebo řešení problémů se sítí.

Získání Wiresharku

Wireshark pro Windows nebo macOS si můžete stáhnout z jeho oficiálních webových stránek. Pokud používáte Linux nebo jiný systém podobný systému UNIX, pravděpodobně najdete Wireshark v jeho úložištích balíků. Například pokud používáte Ubuntu, najdete Wireshark v softwarovém centru Ubuntu.

Jen krátké varování: Mnoho organizací nepovoluje ve svých sítích Wireshark a podobné nástroje. Nepoužívejte tento nástroj v práci, pokud nemáte svolení.

Zachycování paketů

Po stažení a instalaci aplikace Wireshark ji můžete spustit a poklepáním na název síťového rozhraní v části Zachytit zahájíte snímání paketů na tomto rozhraní. Například pokud chcete zachytit provoz ve vaší bezdrátové síti, klikněte na bezdrátové rozhraní. Pokročilé funkce můžete nakonfigurovat kliknutím na Zachytit> Možnosti, ale zatím to není nutné.

Jakmile kliknete na název rozhraní, uvidíte, že se pakety začaly zobrazovat v reálném čase. Wireshark zachycuje každý paket odeslaný do nebo z vašeho systému.

Pokud máte povolený promiskuitní režim - je ve výchozím nastavení povolen - uvidíte také všechny ostatní pakety v síti, nikoli pouze pakety adresované vašemu síťovému adaptéru. Chcete-li zkontrolovat, zda je povolen promiskuitní režim, klikněte na Zachytit> Možnosti a ověřte, zda je ve spodní části tohoto okna aktivováno zaškrtávací políčko „Povolit promiskuitní režim na všech rozhraních“.

Chcete-li zastavit zaznamenávání provozu, klikněte na červené tlačítko „Stop“ v levém horním rohu okna.

Barevné značení

Pravděpodobně uvidíte balíčky zvýrazněné v různých barvách. Wireshark používá barvy, které vám pomohou na první pohled identifikovat typy provozu. Ve výchozím nastavení je světle fialový provoz TCP, světle modrý provoz UDP a černý identifikuje pakety s chybami - například mohly být doručeny mimo pořadí.

Chcete-li zobrazit přesně to, co barevné kódy znamenají, klikněte na Zobrazit> Pravidla barvení. Pokud chcete, můžete odtud také upravit a upravit pravidla barvení.

Ukázkové zachycení

Pokud ve vaší vlastní síti není nic zajímavého ke kontrole, Wiresharkova wiki vás pokryje. Wiki obsahuje stránku ukázkových souborů pro zachycení, které můžete načíst a zkontrolovat. Klikněte na Soubor> Otevřít ve Wiresharku a vyhledáním staženého souboru jej otevřete.

Ve Wiresharku můžete také uložit své vlastní snímky a otevřít je později. Kliknutím na Soubor> Uložit uložte zachycené pakety.

Filtrování paketů

Pokud se pokoušíte zkontrolovat něco konkrétního, například provoz, který program odesílá při telefonování domů, pomůže vám zavřít všechny ostatní aplikace pomocí sítě, abyste mohli provoz zúžit. Přesto budete pravděpodobně mít velké množství paketů, které byste měli projít. To je místo, kde přicházejí filtry Wireshark.

Nejzákladnějším způsobem použití filtru je jeho napsání do pole filtru v horní části okna a kliknutí na Použít (nebo stisknutím klávesy Enter). Zadejte například „dns“ a uvidíte pouze pakety DNS. Když začnete psát, Wireshark vám pomůže automaticky dokončit filtr.

Můžete také kliknout na Analyzovat> Zobrazit filtry a vybrat filtr z výchozích filtrů obsažených ve Wiresharku. Odtud můžete přidat své vlastní vlastní filtry a uložit je, abyste k nim v budoucnu měli snadný přístup.

Další informace o jazyce filtrování displeje Wireshark najdete na stránce Vytvoření výrazů filtru zobrazení displeje v oficiální dokumentaci Wireshark.

Další zajímavou věcí, kterou můžete udělat, je kliknout pravým tlačítkem na paket a vybrat Sledovat> TCP Stream.

Uvidíte úplnou konverzaci TCP mezi klientem a serverem. Můžete také kliknout na jiné protokoly v nabídce Sledovat a zobrazit úplné konverzace pro jiné protokoly, pokud existují.

Zavřete okno a zjistíte, že byl automaticky použit filtr. Wireshark vám ukazuje pakety, které tvoří konverzaci.

Kontrola paketů

Klepnutím na paket jej vyberte a můžete kopat dolů a zobrazit jeho podrobnosti.

Odtud můžete také vytvořit filtry - stačí kliknout pravým tlačítkem na jednu z podrobností a pomocí podnabídky Použít jako filtr vytvořit na jejím základě filtr.

Wireshark je extrémně výkonný nástroj a tento výukový program jen škrábe povrch toho, co s ním můžete dělat. Profesionálové jej používají k ladění implementací síťových protokolů, k prozkoumání problémů se zabezpečením a ke kontrole vnitřních částí síťového protokolu.

Podrobnější informace najdete v oficiální uživatelské příručce Wireshark a na dalších stránkách dokumentace na webu Wireshark.