A Wireshark egy ingyenes alkalmazás, amely lehetővé teszi, hogy rögzítse és megtekintse a hálózaton oda-vissza járó adatokat, biztosítva az egyes csomagok tartalmának szűkítését és leolvasztását - az Ön igényeinek megfelelően kiszűrve. Általánosan használják a hálózati problémák megoldására, valamint a szoftverek fejlesztésére és tesztelésére. Ezt a nyílt forráskódú protokollelemzőt széles körben elfogadják az iparági szabványnak, és az évek során nyerte el díjainak méltányos részét.
Az eredetileg Ethereal néven ismert Wireshark olyan felhasználóbarát felületet tartalmaz, amely több különböző protokollból származó adatokat jelenít meg minden nagyobb hálózati típushoz. Ezek az adatcsomagok valós időben megtekinthetők vagy offline módon elemezhetők, több tucat befogási / nyomkövetési fájlformátumot támogat, beleértve a CAP és az ERF . Az integrált titkosítási eszközök lehetővé teszik a titkosított csomagok megtekintését számos népszerű protokollhoz, mint például a WEP és a WPA / WPA2 .
01/07
A Wireshark letöltése és telepítése
A Wireshark letölthető a Wireshark Foundation weboldalán, mind MacOS, mind Windows operációs rendszer esetén. Hacsak nem fejlett felhasználó vagy, javasoljuk, hogy csak a legfrissebb stabil kiadást töltse le. A beállítási folyamat során (csak Windows esetén) a WinPcap telepítését akkor is meg kell adni, ha azt kéri, mivel tartalmaz egy könyvtárat az élő adatgyűjtéshez.
Az alkalmazás Linux és a legtöbb egyéb UNIX-szerű platform, köztük a Red Hat , a Solaris és a FreeBSD számára is elérhető. Az ilyen operációs rendszerekhez szükséges bináris fájlok megtalálhatók a letöltési oldal alján a Harmadik fél csomagok résznél.
Ezen a lapon letöltheti a Wireshark forráskódját is.
02, 07
Az adatcsomagok rögzítése
A Wireshark elindításakor láthatóvá válik a fentihez hasonló üdvözlő képernyő, amely tartalmazza az aktuális eszközön elérhető hálózati kapcsolatok listáját. Ebben a példában észrevehető, hogy a következő kapcsolattípusok jelennek meg: Bluetooth hálózati kapcsolat , Ethernet , csak virtuális verziók , Wi-Fi . Mindegyik jobb oldalán egy EKG-stílusú vonaldiagram látható, amely az adott hálózaton élő forgalmat reprezentálja.
A csomagok elfogadásának megkezdéséhez először válasszon ki egy vagy több hálózatot a választása (k) ra kattintással, és a Shift vagy a Ctrl billentyűk használatával, ha egyszerre több hálózaton szeretne adatokat rögzíteni. Ha a kapcsolat típusát kiválasztási célokra választották ki, a háttér kék vagy szürke árnyalatú lesz. Kattintson a Capture (Felvétel) gombra a főmenüből, amely a Wireshark felület teteje felé mutat. Ha megjelenik a legördülő menü, válassza a Start opciót.
A csomagkapcsolást az alábbi parancsikonok egyikével is kezdeményezheti.
- Billentyűzet: Nyomja meg a Ctrl + E billentyűkombinációt
- Egér: Ha el szeretné kezdeni a csomagok elfogadását egy adott hálózatból, egyszerűen kattintson duplán a nevére
- Eszköztár: Kattintson a kék cápauszony gombra, amely a Wireshark eszköztár bal szélén található
Az élő felvételi folyamat mostantól kezdődik, a csomag részletei a Wireshark ablakban jelennek meg, ahogy rögzítésre kerülnek. Végezze el az alábbi műveletek egyikét az elfogás leállításához.
- Billentyűzet: Nyomja meg a Ctrl + E billentyűkombinációt
- Eszköztár: Kattintson a piros stop gombra a cápauszony mellett a Wireshark eszköztáron
03. 07. sz
A csomag tartalmának megtekintése és elemzése
Most, hogy rögzített néhány hálózati adatot, itt az ideje, hogy megnézzük a rögzített csomagokat. Amint a fenti képernyőképen látható, a rögzített adatinterfész három fő szakaszból áll: A csomaglista ablaktábla, a csomag részletei ablaktábla és a csomagbájtok ablaktáblája.
Csomaglista
Az ablak tetején található csomaglista-ablaktáblán az aktív rögzítési fájlban található összes csomag jelenik meg. Minden csomaghoz tartozik egy saját sor és a hozzájuk rendelt szám, mindegyik adatponttal együtt.
- Idő: Ebben az oszlopban jelenik meg a csomag elfogadásának időbélyege, az alapértelmezett formátum a másodpercek száma (vagy részleges másodpercek), mivel ez a fajta rögzítési fájl először megtörtént. Ha módosítani szeretné ezt a formátumot valami hasznosnak, például a tényleges időnek, akkor válassza a Wireshark View menüjének Time Display Format opcióját - amely a fő felület tetején található.
- Forrás: Ez az oszlop tartalmazza azt a címet (IP vagy más), ahonnan a csomag származik.
- Cél: Ez az oszlop tartalmazza azt a címet, ahová a csomagot küldik.
- Protokoll: A csomag protokolljának neve (pl. TCP) megtalálható ebben az oszlopban.
- Hossz: A csomag hossza bájtban jelenik meg ebben az oszlopban.
- Info: A csomagról további részletek itt találhatók. Az oszlop tartalma nagymértékben változhat a csomag tartalmától függően.
Ha a csomagot a felső ablaktáblában választotta ki, előfordulhat, hogy az első oszlopban egy vagy több szimbólum jelenik meg. A nyitott és / vagy zárt zárójelek, valamint egy egyenes vízszintes vonal jelezheti, hogy egy csomag vagy csomagkészlet egyben ugyanazon a hálózaton belülre esik-e előre. A törött vízszintes vonal azt jelenti, hogy a csomag nem része a beszélgetésnek.
Csomag részletei
A középen található részletek ablaktáblában a kiválasztott csomag protokolljai és protokollmezetei összecsukható formában jeleníthetők meg. Az egyes kijelölések kibővítésén túl konkrét részletek alapján egyedi Wireshark szűrőket is alkalmazhat, valamint protokolltípuson alapuló adatfolyamokat követhet a részletek helyi menüjében - amely az egér jobb gombjával kattintva érheti el a kívánt elemet ezen az ablaktáblán.
Csomagbájtok
Az alján található a csomag bájtok ablaktábla, amely a kiválasztott csomag nyers adatait jeleníti meg hexadecimális nézetben. Ez a hex dump 16 hexadecimális bájtot és 16 ASCII bájtot tartalmaz az adateltolás mellett.
Ezen adatok egy meghatározott részének kiválasztása automatikusan jelzi a megfelelő részletet a csomag részleteiben és fordítva. Minden olyan bájt, amelyet nem lehet kinyomtatni, egy időszakon belül jelenik meg.
Úgy dönthet, hogy ezeket az adatokat bit-formátumban mutatja a hexadecimális helyett, ha a jobb egérgombbal kattint bármelyik ablaktáblán, és kiválasztja a megfelelő lehetőséget a helyi menüből.
04, 07
Wireshark szűrők használata
A Wireshark egyik legfontosabb jellemzője a szűrési képesség, különösen akkor, ha jelentős méretű fájlokkal foglalkozik. A Capture szűrők beállíthatók a tények előtt, utasítva a Wiresharkot, hogy csak azokat a csomagokat rögzítse, amelyek megfelelnek a megadott kritériumoknak.
A szűrők egy már létrehozott rögzítési fájlra is alkalmazhatók, így csak bizonyos csomagok jelennek meg. Ezeket megjelenítő szűrőknek nevezzük.
A Wireshark alapértelmezés szerint számos előre definiált szűrőt biztosít, lehetővé téve, hogy szűkítse le a látható csomagok számát néhány billentyű lenyomásával vagy egérkattintással. A meglévő szűrők valamelyikének használatához tegye a nevét a Megjelenítési szűrő beviteli mezőbe (közvetlenül a Wireshark eszköztár alatti mezőbe) vagy a Bevitel szűrő beviteli mezőbe (az üdvözlő képernyő közepén található).
Ennek több módja van. Ha már ismeri a szűrő nevét, egyszerűen írja be a megfelelő mezőbe. Például, ha csak TCP csomagokat szeretne megjeleníteni, írja be a TCP-t . A Wireshark automatikus kiegészítése funkciója megmutatja a megnevezéseket a gépelés közben, megkönnyítve megtalálni a keresett szűrő megfelelő monikerét.
A szűrő kiválasztásának másik módja az, ha rákattint a bejegyzés mező bal oldalán elhelyezkedő könyvjelzőhöz hasonló ikonra. Ez egy olyan menüt jelenít meg, amely tartalmazza a leggyakrabban használt szűrőket, valamint a Capture Filters kezelése vagy a Display szűrők kezelése opciót. Ha úgy dönt, hogy kezel egy típust, megjelenik egy felület, amely lehetővé teszi szűrők hozzáadását, eltávolítását vagy szerkesztését.
A korábban használt szűrőket is elérheti a belépési mező jobb oldalán található lefelé mutató nyíllal, amely egy előzmény legördülő listát jelenít meg.
A beállítást követően a rögzítési szűrőket a hálózati forgalom rögzítésének megkezdésekor alkalmazzák. Ha azonban megjelenítési szűrőt szeretne alkalmazni, akkor a jobb oldali jobb oldali nyílgombra kell kattintania.
05/07
Színező szabályok
Bár a Wireshark rögzítési és megjelenítési szűrői lehetővé teszik, hogy korlátozzák a csomagok rögzítését vagy a képernyőn való megjelenítését, színesítési funkciója egy lépéssel továbbfejleszti a dolgokat, megkönnyítve ezzel a különböző csomagtípusok közötti különbséget az egyedi színárnyalat alapján. Ez a praktikus funkció lehetővé teszi, hogy gyorsan megtalálja az egyes csomagokat egy mentett készleten belül a sor színsémáján a csomaglista ablakban.
A Wireshark kb. 20 alapértelmezett színezési szabályt tartalmaz; melyek mindegyike szerkeszthető, letiltható vagy törölhető, ha kívánja. Új színárnyalatú szűrőket is hozzáadhat a színszabályozási felületen, amely a Nézet menüből elérhető. Az egyes szabályok nevének és szűrési kritériumának meghatározása mellett megkérjük a háttérszín és a szövegszín társítását is.
A csomagok színezése a Colorize Packet List opción keresztül kapcsolható ki, és a View menüben is megtalálható.
06, 07
Statisztika
A Wireshark főablakában bemutatott hálózatadatok részletes információi mellett számos egyéb hasznos mutató is elérhető a Statisztikák legördülő menüből, amely a képernyő teteje felé található. Ezek magukban foglalják a befogási fájl méretével és időzítésével kapcsolatos információkat, valamint több tucat táblázatot és gráfot, amelyek a témában a csomagkommunikáció lebontásától kezdve a HTTP-kérelmek terjesztésének terhelésétől függnek.
A megjelenítési szűrők számos ilyen statisztikára alkalmazhatók az egyes felületeken keresztül, és az eredmények több közös fájlformátumba is exportálhatók, például a CSV , az XML és a TXT.
07, 07
Fejlett funkciók
Bár a Wireshark legtöbb funkcióját lefedtük ebben a cikkben, a gyűjtemény további funkciókat is tartalmaz ebben a hatékony eszközben, amelyek jellemzően a fejlett felhasználók számára vannak fenntartva. Ez magában foglalja a saját protokoll disszektorainak a Lua programozási nyelvben történő írását.
A fejlett funkciókról további információt a Wireshark hivatalos felhasználói útmutatójában talál.