Hva å vite
- Wireshark er et program med åpen kildekode som fanger opp og viser data som reiser frem og tilbake i et nettverk.
- Fordi den kan bore ned og lese innholdet i hver pakke, brukes den til å feilsøke nettverksproblemer og teste programvare.
Instruksjonene i denne artikkelen gjelder Wireshark 3.0.3 for Windows og Mac.
Hva er Wireshark?
Opprinnelig kjent som Ethereal, viser Wireshark data fra hundrevis av forskjellige protokoller på alle viktige nettverkstyper. Datapakker kan vises i sanntid eller analyseres offline. Wireshark støtter dusinvis av fange / spore filformater, inkludert CAP og ERF. Integrerte dekrypteringsverktøy viser de krypterte pakkene for flere vanlige protokoller, inkludert WEP og WPA / WPA2.
Hvordan laste ned og installere Wireshark
Wireshark kan lastes ned uten kostnad fra Wireshark Foundation-nettstedet for både macOS og Windows. Du ser den siste stabile utgivelsen og den nåværende utviklingsutgivelsen. Med mindre du er en avansert bruker, kan du laste ned den stabile versjonen.
:max_bytes(150000):strip_icc()/001_wireshark-tutorial-4143298-52d1294a66f64810b14dbfc6fdbe00de.jpg)
Under installasjonsprosessen for Windows velger du å installere WinPcap or Npcap hvis du blir bedt om det, inkluderer disse biblioteker som kreves for direkte datafangst.
:max_bytes(150000):strip_icc()/001-wireshark-tutorial-4143298-8944764352c445c89af8571085055965.jpg)
Du må være logget på enheten som administrator for å bruke Wireshark. I Windows 10, søk etter Wireshark og velg Kjør som administrator. Høyreklikk på appikonet i macOS og velg Få info. på Deling og tillatelser innstillinger, gi administratoren Les Skriv privilegier.
:max_bytes(150000):strip_icc()/002-wireshark-tutorial-4143298-09827053b9cd4445ac165d68a0039808.jpg)
Applikasjonen er også tilgjengelig for Linux og andre UNIX-lignende plattformer, inkludert Red Hat, Solaris og FreeBSD. Binærfiler som kreves for disse operativsystemene, finner du nederst på Wireshark-nedlastingssiden under Tredjepartspakker seksjon. Du kan også laste ned Wiresharks kildekode fra denne siden.
Hvordan fange datapakker med Wireshark
Når du starter Wireshark, viser en velkomstskjerm de tilgjengelige nettverkstilkoblingene på din nåværende enhet. Til høyre for hver er et linjediagram i EKG-stil som representerer live trafikk på det nettverket.
For å begynne å fange pakker med Wireshark:
-
Velg ett eller flere nettverk, gå til menylinjen og velg deretter Capture.
For å velge flere nettverk, hold nede Skift når du velger.
:max_bytes(150000):strip_icc()/003-wireshark-tutorial-4143298-024370e017284dc0a251f91a3566cf06.jpg)
-
på Wireshark Capture-grensesnitt vindu, velg Start.
Det er andre måter å starte pakking. Velg haifinne på venstre side av Wireshark-verktøylinjen, trykk påCtrl + Eeller dobbeltklikk på nettverket.
:max_bytes(150000):strip_icc()/004-wireshark-tutorial-4143298-3db6aeba8777467c8fc3e42ac304f3f6.jpg)
-
Plukke ut filet > Lagre som eller velg en Eksport alternativet for å registrere fangsten.
:max_bytes(150000):strip_icc()/005-wireshark-tutorial-4143298-c60e3bb4537a4615b8326d5ff8550407.jpg)
-
Trykk på for å stoppe opptaket Ctrl + E. Eller gå til Wireshark-verktøylinjen og velg den røde Stopp knappen som ligger ved siden av haifinnen.
:max_bytes(150000):strip_icc()/006-wireshark-tutorial-4143298-016d2b41501149d994d0d9e78239d964.jpg)
Hvordan vise og analysere pakkeinnhold
Det fangede datagrensesnittet inneholder tre hoveddeler:
- Pakkeliste-ruten (den øverste delen)
- Pakkeopplysningsruten (midtseksjonen)
- Pakkebyte-ruten (nederste del)
:max_bytes(150000):strip_icc()/008_wireshark-tutorial-4143298-7fc1de4be4e746278f59f2179a453528.jpg)
Pakkeliste
Pakkelisten, øverst i vinduet, viser alle pakkene som er funnet i den aktive fangstfilen. Hver pakke har sin egen rad og tilsvarende nummer tildelt den, sammen med hvert av disse datapunktene:
- Nei: Dette feltet indikerer hvilke pakker som er en del av den samme samtalen. Det forblir tomt til du velger en pakke.
- Tid: Tidsstemplet for når pakken ble fanget vises i denne kolonnen. Standardformatet er antall sekunder eller delvis sekunder siden denne spesifikke opptaksfilen ble opprettet.
- kilde: Denne kolonnen inneholder adressen (IP eller annet) der pakken stammer.
- Mål: Denne kolonnen inneholder adressen pakken sendes til.
- protokoll: Pakkens protokollnavn, for eksempel TCP, finner du i denne kolonnen.
- Lengde: Pakkelengden, i byte, vises i denne kolonnen.
- Info: Ytterligere detaljer om pakken presenteres her. Innholdet i denne kolonnen kan variere sterkt avhengig av pakkeinnholdet.
Hvis du vil endre tidsformatet til noe mer nyttig (for eksempel den faktiske tiden på dagen), velger du Utsikt > Time Display Format.
:max_bytes(150000):strip_icc()/007-wireshark-tutorial-4143298-ac0e56f1a0984c1b93a91b1641c7fe88.jpg)
Når en pakke er valgt i den øverste ruten, kan du merke at ett eller flere symboler vises i Nei. kolonne. Åpne eller lukkede parenteser og en rett vannrett linje angir om en pakke eller gruppe av pakker er en del av den samme frem og tilbake samtalen på nettverket. En ødelagt horisontal linje betyr at en pakke ikke er en del av samtalen.
:max_bytes(150000):strip_icc()/008-wireshark-tutorial-4143298-13534b80059945e88759286cb3338360.jpg)
Pakkedetaljer
Informasjonsruten, som er funnet i midten, presenterer protokollene og protokollfeltene til den valgte pakken i et sammenleggbart format. I tillegg til å utvide hvert utvalg, kan du bruke individuelle Wireshark-filtre basert på spesifikke detaljer og følge datastrømmer basert på protokolltype ved å høyreklikke på ønsket element.
:max_bytes(150000):strip_icc()/009-wireshark-tutorial-4143298-490a6676280b43cd900557647ff9e92d.jpg)
Pakke Bytes
Nederst er pakken byte-ruten, som viser rådataene til den valgte pakken i en heksadesimal visning. Denne hex-dumpen inneholder 16 heksadesimale byte og 16 ASCII-byte ved siden av datakompensasjonen.
Ved å velge en spesifikk del av disse dataene fremheves automatisk den tilsvarende delen i pakkeopplysningsruten og omvendt. Alle byte som ikke kan skrives ut, er representert med en periode.
:max_bytes(150000):strip_icc()/010-wireshark-tutorial-4143298-9b5ba526d6e54f8bb3ac49eaea6d08fa.jpg)
For å vise disse dataene i bitformat i motsetning til heksadesimal, høyreklikker du hvor som helst i ruten og velger som biter.
:max_bytes(150000):strip_icc()/011-wireshark-tutorial-4143298-0b7390128b5a47c38aca851eeed120b5.jpg)
Hvordan bruke Wireshark-filtre
Capture-filtre instruerer Wireshark om bare å ta opp pakker som oppfyller spesifiserte kriterier. Filtre kan også brukes på en fangstfil som er opprettet slik at bare visse pakker vises. Disse blir referert til som skjermfiltre.
Wireshark tilbyr et stort antall forhåndsdefinerte filtre som standard. For å bruke et av disse eksisterende filtrene, skriv inn navnet i Bruk et displayfilter inntastingsfeltet under Wireshark-verktøylinjen eller i Skriv inn et fangstfilter felt midt i velkomstskjermen.
Hvis du for eksempel vil vise TCP-pakker, skriver du inn tcp. Wireshark-autofullføringsfunksjonen viser foreslåtte navn når du begynner å skrive, noe som gjør det lettere å finne riktig moniker for filteret du søker.
:max_bytes(150000):strip_icc()/012-wireshark-tutorial-4143298-5e45505c0f434a9ba2d3a8f70a850617.jpg)
En annen måte å velge et filter på er å velge bokmerke på venstre side av inntastingsfeltet. Velge Administrer filteruttrykk or Administrer skjermfiltre for å legge til, fjerne eller redigere filtre.
:max_bytes(150000):strip_icc()/013-wireshark-tutorial-4143298-f169e33e47ba4aafb336b9d47029867d.jpg)
Du kan også få tilgang til tidligere brukte filtre ved å velge nedpilen på høyre side av inntastingsfeltet for å vise en rullegardinliste for historikk.
:max_bytes(150000):strip_icc()/014-wireshark-tutorial-4143298-f09d24778ff94ff29a2bbd3ee883fc4c.jpg)
Fangefiltre blir brukt så snart du begynner å registrere nettverkstrafikk. For å bruke et displayfilter, velg høyre pil på høyre side av inntastingsfeltet.
Wireshark Color Rules
Mens Wiresharks fangst- og skjermfiltre begrenser hvilke pakker som er registrert eller vises på skjermen, tar fargefunksjonen ting et skritt videre: Den kan skille mellom forskjellige pakketyper basert på deres individuelle fargetone. Dette lokaliserer raskt visse pakker i et lagret sett etter radfargen i pakkelisten.
:max_bytes(150000):strip_icc()/wireshark-colors-59512e8f3df78cae8137715b.png)
Wireshark leveres med omtrent 20 standardfargeregler, hver kan redigeres, deaktiveres eller slettes. Plukke ut Utsikt > Fargeleggingsregler for en oversikt over hva hver farge betyr. Du kan også legge til dine egne fargebaserte filtre.
:max_bytes(150000):strip_icc()/015-wireshark-tutorial-4143298-91567e80185c4f16bfc46f6793c0301a.jpg)
Plukke ut Utsikt > Colorize Packet List for å slå pakkefarging på og av.
Statistikk i Wireshark
Andre nyttige beregninger er tilgjengelige via Statistikk nedtrekksmenyen. Disse inkluderer informasjon om størrelse og timing om fangstfilen, sammen med dusinvis av diagrammer og grafer, alt fra emnefordelinger til pakkesamtaler til fordeling av HTTP-forespørsler.
:max_bytes(150000):strip_icc()/020__wireshark-tutorial-4143298-24bfe8984431438b9ba2ec43f701607d.jpg)
Visningsfiltre kan brukes på mange av denne statistikken via grensesnittene, og resultatene kan eksporteres til vanlige filformater, inkludert CSV, XML og TXT.
Wireshark avanserte funksjoner
Wireshark støtter også avanserte funksjoner, inkludert muligheten til å skrive protokolldissektorer i programmeringsspråket Lua.