Sådan bruges Wireshark til at fange, filtrere og inspicere pakker
Wireshark, et netværksanalyseværktøj, der tidligere blev kendt som Ethereal, indfanger pakker i realtid og viser dem i læseligt format. Wireshark indeholder filtre, farvekodning og andre funktioner, som giver dig mulighed for at grave dybt ind i netværkstrafik og inspicere individuelle pakker.
Denne vejledning vil sætte dig i gang med det grundlæggende for at opfange pakker, filtrere dem og inspicere dem. Du kan bruge Wireshark til at inspicere et mistænkeligt programs netværkstrafik, analysere trafikstrømmen på dit netværk eller fejlfinding af netværksproblemer.
Kom Wireshark
Du kan downloade Wireshark til Windows eller MacOS fra dets officielle hjemmeside. Hvis du bruger Linux eller et andet UNIX-lignende system, vil du sikkert finde Wireshark i sine pakkeregister. Hvis du for eksempel bruger Ubuntu, finder du Wireshark i Ubuntu Software Center.
Bare en hurtig advarsel: Mange organisationer tillader ikke Wireshark og lignende værktøjer på deres netværk. Brug ikke dette værktøj på arbejde, medmindre du har tilladelse.
Indfangning af pakker
Når du har downloadet og installeret Wireshark, kan du starte det og dobbeltklikke på navnet på en netværksinterface under Capture for at begynde at fange pakker på den grænseflade. Hvis du f.eks. Vil fange trafik på dit trådløse netværk, skal du klikke på din trådløse grænseflade. Du kan konfigurere avancerede funktioner ved at klikke på Capture> Options, men det er ikke nødvendigt for nu.
Så snart du klikker på grænseflades navn, ser du pakkerne begynder at blive vist i realtid. Wireshark fanger hver pakke sendt til eller fra dit system.
Hvis du har en promiskuøs tilstand aktiveret, er den aktiveret som standard - du vil også se alle de andre pakker på netværket i stedet for kun pakker adresseret til netværksadapteren. For at kontrollere, om promiskuøs tilstand er aktiveret, skal du klikke på Capture> Options og bekræfte, at afkrydsningsfeltet Aktiver promiscuous på alle grænseflader er aktiveret nederst i dette vindue.
Klik på den røde "Stop" -knap i øverste venstre hjørne af vinduet, når du vil stoppe med at fange trafik.
Farvekodning
Du vil sikkert se pakker fremhævet i en række forskellige farver. Wireshark bruger farver til at hjælpe dig med at identificere de forskellige typer trafik ved et overblik. Lyspæren er som standard TCP-trafik, lyseblå er UDP-trafik, og sort identificerer pakker med fejl, for eksempel kunne de være blevet leveret i orden.
For at se præcis, hvad farvekoderne betyder, skal du klikke på Vis> Farveregler. Du kan også tilpasse og ændre farvereglerne herfra, hvis du vil.
Sample Captures
Hvis der ikke er noget interessant på dit eget netværk for at inspicere, har Wiresharks wiki dækket dig. Wiki indeholder en side med sample capture-filer, som du kan indlæse og inspicere. Klik på Filer> Åbn i Wireshark, og søg efter din downloadede fil for at åbne en.
Du kan også gemme dine egne billeder i Wireshark og åbne dem senere. Klik på Filer> Gem for at gemme dine optagne pakker.
Filtrerende pakker
Hvis du forsøger at inspicere noget specifikt, f.eks. Den trafik, et program sender, når du ringer hjem, hjælper det med at lukke alle andre applikationer ned ved hjælp af netværket, så du kan indsnævre trafikken. Stadig vil du sandsynligvis have en stor mængde pakker at sive igennem. Det er her, Wiresharks filtre kommer ind.
Den mest grundlæggende måde at anvende et filter på er at indtaste det i filterboksen øverst i vinduet og klikke på Anvend (eller tryk på Enter). Skriv f.eks. "Dns", og du vil kun se DNS-pakker. Når du begynder at skrive, hjælper Wireshark dig med at fuldføre dit filter.
Du kan også klikke på Analyser> Vis filtre for at vælge et filter blandt de standardfiler, der er inkluderet i Wireshark. Herfra kan du tilføje dine egne brugerdefinerede filtre og gemme dem for nemt at få adgang til dem i fremtiden.
For mere information om Wiresharks displayfiltreringssprog, læs siden Building Display Filter Expressions i den officielle Wireshark dokumentation.
En anden interessant ting, du kan gøre, er at højreklikke på en pakke og vælge Følg> TCP Stream.
Du får vist den fulde TCP-samtale mellem klienten og serveren. Du kan også klikke på andre protokoller i menuen Følg for at se de fulde samtaler for andre protokoller, hvis det er relevant.
Luk vinduet, og du finder et filter er blevet anvendt automatisk. Wireshark viser dig de pakker, der udgør samtalen.
Inspektion af pakker
Klik på en pakke for at vælge den, og du kan grave ned for at se dens detaljer.
Du kan også oprette filtre herfra - bare højreklik på en af detaljerne og brug undermenuen Anvend som filter til at oprette et filter baseret på det.
Wireshark er et ekstremt kraftfuldt værktøj, og denne tutorial skraber bare overfladen af hvad du kan gøre med det. Professionelle bruger det til at debugere implementering af netværksprotokoller, undersøge sikkerhedsproblemer og inspicere netværksprotokoller.
Du kan finde mere detaljerede oplysninger i den officielle Wireshark Brugervejledning og de øvrige dokumentationssider på Wiresharks hjemmeside.