Domovská » jak » Jak používat službu Wireshark k zachycení, filtrování a kontrole paketů

    Jak používat službu Wireshark k zachycení, filtrování a kontrole paketů

    Wireshark, síťový analytický nástroj, dříve známý jako Ethereal, zachycuje pakety v reálném čase a zobrazuje je v čitelném formátu. Wireshark obsahuje filtry, barevné kódování a další funkce, které umožňují hlouběji do síťové komunikace a kontrolu jednotlivých paketů.

    Tento tutoriál vás získá rychlostí se základy zachycování paketů, jejich filtrováním a kontrolou. Pomocí sítě Wireshark můžete zkontrolovat síťový provoz podezřelého programu, analyzovat tok provozu v síti nebo řešit potíže se sítí.

    Získání Wireshark

    Wireshark pro Windows nebo MacOS si můžete stáhnout z oficiálních webových stránek. Pokud používáte systém Linux nebo jiný systém podobný systému UNIX, pravděpodobně najdete Wireshark ve svých úložištích. Například pokud používáte Ubuntu, Wireshark najdete v softwarovém centru Ubuntu.

    Jen rychlé varování: Mnoho organizací nepovoluje Wireshark a podobné nástroje ve svých sítích. Nepoužívejte tento nástroj v práci, pokud nemáte oprávnění.

    Zachycování paketů

    Po stažení a instalaci Wiresharku jej můžete spouštět a poklepat na název síťového rozhraní v sekci Zachytit, abyste spustili zachycování paketů na daném rozhraní. Chcete-li například zaznamenávat provoz v bezdrátové síti, klepněte na bezdrátové rozhraní. Rozšířené funkce můžete konfigurovat kliknutím na možnost Zachytit> Možnosti, ale to nyní není nutné.

    Jakmile kliknete na název rozhraní, uvidíte, že pakety se začnou zobrazovat v reálném čase. Wireshark zachycuje každý paket odeslaný do vašeho systému nebo z něj.

    Pokud máte povolený promiskuitní režim - ve výchozím nastavení je zapnutý, uvidíte také všechny ostatní pakety v síti namísto pouze paketů adresovaných k síťovému adaptéru. Chcete-li zkontrolovat, zda je povolen promiskuitní režim, klepněte na tlačítko Zachytit> Možnosti a zaškrtněte políčko "Povolit promiskuitní režim na všech rozhraních" v dolní části tohoto okna.

    Klepněte na červené tlačítko "Stop" v levém horním rohu okna, chcete-li zastavit zaznamenávání provozu.

    Barevné kódování

    Budete pravděpodobně vidět pakety zvýrazněné v různých barvách. Wireshark používá barvy, které vám pomohou identifikovat druhy provozu na první pohled. Ve výchozím nastavení je světle fialová provoz TCP, světle modrá je provoz UDP a černá identifikuje pakety s chybami - například mohly být dodány mimo pořadí.

    Chcete-li zobrazit přesně to, co znamenají kódy barev, klikněte na příkaz Zobrazit> Pravidla pro barvení. Pokud chcete, můžete také upravit a upravit zde barvicí pravidla.

    Ukázka zachycuje

    Pokud na vaší síti není nic zajímavého kontrolovat, wiki Wireshark je pokryta. Wiki obsahuje stránku vzorových snímacích souborů, které můžete načíst a zkontrolovat. Klikněte na Soubor> Otevřít v aplikaci Wireshark a procházením staženého souboru otevřete jeden.

    Můžete také uložit vlastní snímky v síti Wireshark a později je otevřít. Klepnutím na Soubor> Uložit uložené pakety uložíte.

    Filtrování paketů

    Pokud se pokoušíte zkontrolovat něco konkrétního, například provoz, který pošle program při telefonování domů, pomůže ukončit všechny ostatní aplikace pomocí sítě, abyste mohli omezit provoz. Přesto budete pravděpodobně mít velké množství balíčků, které se budou protahovat. Tam přicházejí filtry společnosti Wireshark.

    Nejjednodušší způsob, jak použít filtr, je zadání do pole filtru v horní části okna a klepnutím na tlačítko Použít (nebo stisknutím klávesy Enter). Zadejte například "dns" a uvidíte pouze pakety DNS. Když začnete psát, služba Wireshark vám pomůže automaticky doplnit váš filtr.

    Můžete také kliknout na položku Analyzovat> Filtry zobrazení, chcete-li vybrat filtr z výchozích filtrů obsažených ve službě Wireshark. Odtud můžete přidat vlastní uživatelské filtry a uložit je, abyste je mohli snadno získat v budoucnu.

    Další informace o jazyku filtrování zobrazení Wireshark si přečtěte v oficiální dokumentaci Wireshark na stránce Výrazy filtrů budovy.

    Další zajímavá věc, kterou můžete udělat, je pravé tlačítko myši na paket a vyberte položku Follow> TCP Stream.

    Zobrazí se celá konverzace TCP mezi klientem a serverem. Můžete také kliknout na jiné protokoly v nabídce Sledovat a zobrazit úplné konverzace pro další protokoly, je-li to možné.

    Zavřete okno a zjistíte, že byl automaticky použit filtr. Wireshark zobrazuje pakety, které tvoří rozhovor.

    Kontrola paketů

    Klepnutím na paket jej vyberte a můžete si jej prohlédnout a zobrazit jeho detaily.

    Také můžete vytvářet filtry - stačí kliknout pravým tlačítkem myši na některou z podrobností a pomocí podnabídky Apply as Filter vytvořit na něm filtr.


    Wireshark je mimořádně výkonný nástroj a tento tutoriál je jenom poškrábání povrchu toho, co s ním můžete dělat. Profesionálové ji používají k ladění implementací síťových protokolů, prozkoumání problémů s bezpečností a prohlédnutí interných protokolů sítě.

    Podrobnější informace naleznete v oficiální uživatelské příručce Wireshark a dalších stránkách dokumentace na webových stránkách společnosti Wireshark.