petak, 8. prosinca 2017.

Kako koristiti Wireshark: kompletan vodič



Wireshark je besplatna aplikacija koja vam omogućava da snimate i pregledate podatke koji putuju napred i nazad na vašoj mreži, pružajući mogućnost snimanja i čitanja sadržaja svakog paketa - filtriranog da odgovara vašim specifičnim potrebama. Obično se koristi za rešavanje problema sa mrežom, kao i za razvoj i testiranje softvera. Ovaj analizator protokola otvorenog koda je široko prihvaćen kao industrijski standard, osvajajući svoj dobar deo nagrada tokom godina.

Prvobitno poznat kao Ethereal, Wireshark ima korisnički interfejs koji može prikazati podatke iz stotina različitih protokola na svim glavnim tipovima mreže. Ovi paketi podataka mogu se gledati u realnom vremenu ili se analizirati van mreže, uz podršku desetina formata datoteka za snimanje / trag, uključujući CAP i ERF . Integrisani alati za dešifrovanje omogućavaju vam da pregledate šifrovane pakete za nekoliko popularnih protokola kao što su WEP i WPA / WPA2 .


01 Preuzimanje i instaliranje Wireshark-a


Wireshark se može besplatno preuzeti sa Wireshark fondacije za MacOS i Windows operativne sisteme. Osim ako ste napredni korisnik, preporučujemo vam da preuzmete najnovije stabilno izdanje. Tokom procesa podešavanja (samo za Windows) bi trebalo da odaberete da također instalirate WinPcap ako to bude zatraženo, jer uključuje biblioteku koja je potrebna za snimanje uživo podataka.

Aplikacija je dostupna i za Linux i većinu drugih platformi poput UNIX-a, uključujući Red Hat , Solaris i FreeBSD. Binarne datoteke potrebne za ove operativne sisteme mogu se naći na dnu stranice za preuzimanje u odeljku " Paketi trećih strana ".

Možete preuzeti i Wiresharkov izvorni kod sa ove stranice.


02 Kako snimiti pakete podataka


Kada prvi put pokrenete Wireshark, treba vidljiv pozdravni ekran sličan onom prikazanom gore, koji sadrži listu dostupnih mrežnih veza na vašem trenutnom uređaju. U ovom primjeru primetićete da su prikazani sljedeći tipovi povezivanja: Bluetooth mrežna veza , Ethernet , VirtualBox Host-Only mreža , Wi-Fi . Prikazano sa desne strane je grafički prikaz EKG stila koji predstavlja živi saobraćaj na odgovarajućoj mreži.

Da biste započeli snimanje paketa, prvo izaberite jednu ili više ovih mreža klikom na svoje izbore i pomoću tastera Shift ili Ctrl ako želite istovremeno snimati podatke iz više mreža. Kada je odabrana vrsta veze za snimanje, njegova pozadina će biti senfirana bilo plavom ili sivom. Kliknite na Capture iz glavnog menija, koji se nalazi na vrhu Wireshark interfejsa. Kada se pojavi padajući meni, izaberite opciju Start .

Takođe možete pokrenuti snimanje paketa pomoću jedne od sledećih prečica.

Tastatura: Pritisnite Ctrl + E
Miš: Da započnete snimanje paketa sa jedne određene mreže, jednostavno kliknite dvaput na njegovo ime
Alatna traka : Kliknite na dugme plavog pluta ajkule, koja se nalazi na lijevoj strani lijeve strane alatne trake Wireshark
Proces snimanja uživo će sada početi, sa detaljima paketa koji se prikazuju u Wireshark prozoru dok su snimljeni. Izvedite jednu od narednih aktivnosti da biste zaustavili snimanje.

Tastatura: Pritisnite Ctrl + E
Traka sa alatkama: Kliknite na dugme crveno zaustavljanje, koja se nalazi pored ploče ajkula na traci sa alatkama Wireshark

03 Pregled i analiza sadržaja paketa




Sada kada ste snimili neke mrežne podatke, vreme je da pogledate zarobljene pakete. Kao što je prikazano na gornjoj slici, uhvaćen interfejs podataka sadrži tri glavne odeljke: okno liste paketa, okno sa detaljima paketa i okno paketa bajtova.

Lista paketa

Okno liste paketa, koje se nalazi na vrhu prozora, prikazuje sve pakete koje se nalaze u aktivnoj datoteci snimanja. Svaki paket ima svoj red i odgovarajući broj koji mu je dodeljen, zajedno sa svakom od ovih tačaka podataka.

Vrijeme: vremenski žig od kada je paket uhvaćen prikazan je u ovoj koloni, pri čemu je podrazumevani format bio broj sekundi (ili parcijalnih sekundi) od kada je ova posebna datoteka za snimanje bila prvobitno kreirana. Da biste ovaj format izmenili na nešto što bi moglo biti malo korisnije, kao što je stvarno vrijeme dana, izaberite opciju Format prikaza vremena iz Wireshark-ovog menija Pregled - nalazi se na vrhu glavnog interfejsa.
Izvor: Ova kolona sadrži adresu (IP ili drugu) u kojoj je paket nastao.
Destinacija: Ova kolona sadrži adresu na koju se paket šalje.
Protokol: Ime protokola paketa (tj. TCP) se može naći u ovoj koloni.
Dužina: Dužina paketa, u bajtovima, prikazuje se u ovom stupcu.
Info: Ovde su predstavljeni dodatni detalji o paketu. Sadržaj ove kolone može se značajno razlikovati u zavisnosti od sadržaja paketa.
Kada je u gornjem oknu odabran paket, možete uočiti da se u prvom stupcu pojavljuje jedan ili više simbola. Otvoreni i / ili zatvoreni zaglavi, kao i ravna horizontalna linija, mogu da naznače da li paket ili grupa paketa predstavljaju deo istog razgovora na mreži i nazad. Slomljena horizontalna linija označava da paket nije deo pomenutog razgovora.

Detalji paketa

Okno sa detaljima, pronađeno u sredini, predstavlja protokole i polja protokola izabranog paketa u složenom formatu. Pored proširenja svake selekcije, možete takođe primijeniti pojedinačne Wireshark filtere na osnovu određenih detalja, kao i slijediti tokove podataka zasnovanih na tipu protokola preko kontekstnog izbornika detalja - dostupnim klikom miša na željenu stavku unutar ovog okna.

Packet Bytes

Na dnu je okno paketa bajtova, koji prikazuje sirove podatke izabranog paketa u heksadecimalnom prikazu. Ovaj heksadecimalni dump sadrži 16 heksadecimalnih bajtova i 16 ASCII bajtova pored offset podataka.

Izbor određenog dijela ovih podataka automatski ističe njegov odgovarajući odeljak u oknu sa detaljima paketa i obrnuto. Svaki bajt koji se ne može štampati umjesto toga predstavlja period.

Možete da odaberete da pokažete ove podatke u bitnom formatu za razliku od heksadecimalnog, tako što ćete desnim tasterom miša kliknuti bilo gde unutar okna i izabrati odgovarajuću opciju iz kontekstnog menija.

04 Korišćenje Wireshark filtera



Jedan od najvažnijih postavki u Wireshark-u je njegova mogućnost filtriranja, posebno kada se bavite datotekama koje su značajne po veličini. Filteri za snimanje se mogu postaviti prije činjenice, instrukcijom Wireshark-a da snima samo one pakete koji odgovaraju vašim utvrđenim kriterijumima.

Filteri se takođe mogu primijeniti na datoteku za snimanje koja je već kreirana tako da se prikazuju samo određeni paketi. Ovi se nazivaju filtri prikaza.

Wireshark podrazumevano podrazumeva veliki broj unapred definisanih filtera, omogućavajući vam da smanjite broj vidljivih paketa pomoću samo nekoliko tastera ili klikova sa mišem. Da biste koristili jedan od ovih postojećih filtera, postavite njegovo ime u polje Primeni polje za filtriranje prikaza (nalazi se direktno ispod Wireshark alatne trake) ili u polje Enter filtra za snimanje filtera (nalazi se u centru pozdravnog ekrana).

Postoji više načina da se to postigne. Ako već znate ime vašeg filtera, jednostavno je ukucajte u odgovarajuće polje. Na primjer, ako želite samo da prikažete TCP pakete, upisali biste tcp . Wiresharkova funkcija automatskog dovršavanja će pokazati predložena imena dok počnete da kucate, što olakšava pronalaženje ispravnog monikera za filter koji tražite.

Još jedan način da odaberete filter je da kliknete na ikonu sličicu koja se nalazi na levoj strani polja za unos. Ovo će predstaviti meni koji sadrži neke od najčešće korišćenih filtera, kao i opciju za upravljanje snimanjem filtera ili upravljanje prikaznim filterima . Ako odlučite da upravljate bilo kojim tipom, pojavit će se interfejs koji će vam omogućiti dodavanje, uklanjanje ili uređivanje filtera.

Takođe možete pristupiti prethodno korišćenim filterima tako što ćete izabrati strelicu nadole koja se nalazi na desnoj strani polja za unos koji prikazuje padajuću listu istorije.

Jednom podešeni filteri za snimanje će se primijeniti čim počnete snimati mrežni promet. Međutim, za primenu filtera za prikaz morate kliknuti na dugme sa strelicom desno koje se nalazi na krajnjoj desnoj strani polja za unos.

05 Pravila bojenja


Dok Wiresharkovi filtri za snimanje i prikazivanje omogućavaju vam da ograničite na koji su se paketi snimljeni ili prikazani na ekranu, njegova funkcija za obojenost preduzima stvari korak dalje, što olakšava razliku između različitih tipova paketa na osnovu njihove individualne nijanse. Ova praktična funkcija vam omogućava brzo lociranje određenih paketa unutar sačuvanog skupa pomoću njihove šeme boja u oknu liste paketa.

Wireshark ima oko 20 osnovnih pravila bojenja koje su ugrađene; svaka koja se može uređivati, onemogućiti ili izbrisati ako želite. Takođe možete dodati nove filtre zasnovane na nijansama kroz interfejs za pravila boje, koji se može prikazati u meniju View . Pored definiranja kriterijuma imena i filtera za svako pravilo, od vas se takođe traži da povežete i boju pozadine i boju teksta.

Kolorizacija paketa može biti uključena i uključena preko opcije Colorize Packet List , koja se takođe nalazi u meniju View .

06 Statistika


Pored detaljnih informacija o podacima vaše mreže prikazane u glavnom prozoru Wireshark-a, nekoliko drugih korisnih metrika je dostupno preko padajućeg menija Statistika koji se nalazi u vrhu ekrana. Ovo uključuje informacije o veličini i vremenu za samu datoteku za snimanje, zajedno sa desetinama grafikona i grafikona koji se kreću u temi iz razdvajanja razgovora u paketu kako bi učitali distribuciju HTTP zahteva.

Prikazni filteri mogu se primeniti na mnoge od ovih statistika putem njihovih individualnih interfejsa, a rezultati se mogu izvoziti u nekoliko zajedničkih formata datoteka, uključujući CSV , XML i TXT.

07 Napredne funkcije


Iako smo u ovom članku pokrivali većinu Wiresharkove glavne funkcionalnosti, tu je i skup dodatnih funkcija koje su dostupne u ovom moćnom alatu koji su obično rezervisani za napredne korisnike. Ovo uključuje mogućnost pisanja sopstvenih dissektora protokola na Lua programskom jeziku.

Više informacija o ovim naprednim funkcijama potražite u službenom vodiču Wireshark- a .

Nema komentara:

Objavi komentar