Как сделать

Как использовать Wireshark: полное руководство

Wireshark можно бесплатно загрузить с веб-сайта Wireshark Foundation для операционных систем macOS и Windows.

Wireshark — это приложение с открытым исходным кодом, которое собирает и отображает данные, передаваемые по сети туда и обратно. Он обычно используется для устранения неполадок в сети и тестирования программного обеспечения, поскольку он предоставляет возможность развернуть и прочитать содержимое каждого пакета .

Инструкции в этой статье относятся к Wireshark 3.0.3 для Windows и Mac.

Что такое Wireshark?

Изначально известный как Ethereal, Wireshark отображает данные из сотен различных протоколов для всех основных типов сетей. Пакеты данных можно просматривать в режиме реального времени или анализировать в автономном режиме. Wireshark поддерживает десятки форматов файлов захвата / трассировки, включая CAP и ERF . Интегрированные инструменты дешифрования отображают зашифрованные пакеты для нескольких общих протоколов, включая WEP и WPA / WPA2 .

Как скачать и установить Wireshark

Wireshark можно бесплатно загрузить с веб-сайта Wireshark Foundation для MacOS и Windows. Вы увидите последний стабильный выпуск и текущий выпуск для разработчиков. Если вы не являетесь опытным пользователем, загрузите стабильную версию.

Wireshark можно бесплатно загрузить с веб-сайта Wireshark Foundation для операционных систем macOS и Windows.

В процессе установки Windows выберите установку WinPcap или Npcap, если это будет предложено, поскольку они включают библиотеки, необходимые для сбора данных в реальном времени.

В процессе установки Windows выберите установку WinPcap или Npcap, если это будет предложено, поскольку они включают библиотеки, необходимые для сбора данных в реальном времени.

Вы должны войти в систему как администратор, чтобы использовать Wireshark. В Windows 10 найдите Wireshark и выберите « Запуск от имени администратора» . В macOS щелкните правой кнопкой мыши значок приложения и выберите « Информация» . В настройках « Общий доступ и разрешения» дайте администратору права на чтение и запись .

В Windows 10 найдите Wireshark и выберите «Запуск от имени администратора».

Приложение также доступно для Linux и других UNIX-подобных платформ, включая Red Hat, Solaris и FreeBSD. Двоичные файлы, необходимые для этих операционных систем, можно найти в нижней части страницы загрузки Wireshark в разделе « Сторонние пакеты ». Вы также можете скачать исходный код Wireshark с этой страницы.

Как захватить пакеты данных с Wireshark

Когда вы запускаете Wireshark, на экране приветствия перечисляются доступные сетевые подключения на вашем текущем устройстве. Справа от каждого из них представлен линейный график в стиле ЭКГ, представляющий живой трафик в этой сети.

Чтобы начать захват пакетов с помощью Wireshark:

  1. Выберите одну или несколько сетей, перейдите в строку меню, затем выберите « Захват» .

    Чтобы выбрать несколько сетей, удерживайте клавишу Shift во время выбора.

    Выберите одну или несколько сетей, щелкнув по ним, затем выберите «Захват» в верхней части интерфейса Wireshark.
  2. В окне « Интерфейсы захвата Wireshark» выберите « Пуск» .

    Выберите Пуск.

    Существуют и другие способы инициирования захвата пакетов. Выберите акульи плавники на левой стороне панели инструментов Wireshark, нажмите Ctrl + E , или дважды щелкните по сети.

  3. Выберите « Файл» > « Сохранить как» или выберите опцию « Экспорт» для записи записи.

    Выберите «Файл»> «Сохранить как» или выберите один из параметров экспорта, чтобы записать запись.
  4. Чтобы остановить запись, нажмите Ctrl + E . Или перейдите на панель инструментов Wireshark и выберите красную кнопку « Стоп» , расположенную рядом с плавником акулы.

    Чтобы остановить захват, нажмите Ctrl + E или выберите красную кнопку «Стоп» рядом с плавником акулы на панели инструментов Wireshark.

Как просмотреть и проанализировать содержимое пакета

Интерфейс захваченных данных содержит три основных раздела:

  • Панель списка пакетов (верхняя часть)
  • Панель сведений о пакете (средняя часть)
  • Панель байтов пакета (нижняя часть)
Интерфейс захваченных данных содержит три основных раздела: панель списка пакетов (верхняя часть);  панель сведений о пакете (средняя часть);  и панель байтов пакета (нижняя часть).

Список пакетов

Панель списка пакетов, расположенная в верхней части окна, показывает все пакеты, найденные в активном файле захвата. Каждый пакет имеет свою собственную строку и соответствующий ему номер вместе с каждой из этих точек данных:

  • Нет : это поле указывает, какие пакеты являются частью одного и того же диалога. Он остается пустым, пока вы не выберете пакет.
  • Время: в этом столбце отображается отметка времени, когда пакет был захвачен. Формат по умолчанию — это количество секунд или неполных секунд с момента создания этого конкретного файла захвата.
  • Источник: этот столбец содержит адрес (IP или другой), из которого был получен пакет.
  • Назначение: этот столбец содержит адрес, на который отправляется пакет.
  • Протокол. В этом столбце можно найти имя протокола пакета, например TCP.
  • Длина: длина пакета в байтах отображается в этом столбце.
  • Информация: Дополнительные сведения о пакете представлены здесь. Содержимое этого столбца может сильно различаться в зависимости от содержимого пакета.

Чтобы изменить формат времени на более полезный (например, фактическое время дня), выберите « Просмотр» > «Формат отображения времени» .

Чтобы изменить формат времени на более полезный (например, фактическое время дня), выберите «Вид»> «Формат отображения времени» в верхней части основного интерфейса.

Когда пакет выбран в верхней панели, вы можете заметить, что один или несколько символов появляются в столбце . Открытые или закрытые скобки и прямая горизонтальная линия указывают, являются ли пакет или группа пакетов частью одного и того же разговора в сети. Пунктирная горизонтальная линия означает, что пакет не является частью диалога.

Открытые или закрытые скобки и прямая горизонтальная линия в столбце № указывают, являются ли пакет или группа пакетов частью одного и того же разговора в сети.

Детали пакета

Панель сведений, расположенная посередине, представляет протоколы и поля протоколов выбранного пакета в разборном формате. В дополнение к расширению каждого выбора вы можете применять отдельные фильтры Wireshark на основе конкретных сведений и отслеживать потоки данных на основе типа протокола, щелкая правой кнопкой мыши нужный элемент.

Вы можете применять отдельные фильтры Wireshark на основе конкретных данных и отслеживать потоки данных в зависимости от типа протокола, щелкнув правой кнопкой мыши нужный элемент.

Пакетные байты

Выбор определенной части этих данных автоматически выделяет соответствующий раздел в области сведений о пакете и наоборот. Любые байты, которые не могут быть напечатаны, представлены точкой.

Выбор определенной части этих данных автоматически выделяет соответствующий раздел в области сведений о пакете и наоборот.

Чтобы отобразить эти данные в битовом формате, а не в шестнадцатеричном, щелкните правой кнопкой мыши в любом месте панели и выберите в качестве битов .

Чтобы отобразить эти данные в битовом формате, а не в шестнадцатеричном, щелкните правой кнопкой мыши в любом месте панели и выберите соответствующий параметр.

Как использовать Wireshark Filters

Фильтры захвата инструктируют Wireshark записывать только пакеты, соответствующие указанным критериям. Фильтры также можно применять к файлу захвата, который был создан, так что отображаются только определенные пакеты. Они называются фильтрами отображения.

Wireshark предоставляет большое количество предопределенных фильтров по умолчанию. Чтобы использовать один из этих существующих фильтров, введите его имя в поле « Применить фильтр отображения», расположенное под панелью инструментов Wireshark, или в поле « Ввести фильтр захвата», расположенное в центре экрана приветствия.

Например, если вы хотите отобразить TCP-пакеты, введите tcp . Функция автозаполнения Wireshark показывает предлагаемые имена, когда вы начинаете печатать, упрощая поиск правильного названия для фильтра, который вы ищете.

Чтобы использовать один из существующих фильтров, введите его имя в поле «Применить фильтр отображения», расположенное непосредственно под панелью инструментов Wireshark.

Другой способ выбрать фильтр — выбрать закладку в левой части поля ввода. Выберите « Управление выражениями фильтров» или « Управление фильтрами отображения» для добавления, удаления или редактирования фильтров.

Другой способ выбрать фильтр - выбрать закладку в левой части поля ввода.

Вы также можете получить доступ к ранее использованным фильтрам, нажав стрелку вниз в правой части поля ввода, чтобы отобразить раскрывающийся список истории.

Вы также можете получить доступ к ранее использованным фильтрам, нажав стрелку вниз в правой части поля ввода, чтобы отобразить раскрывающийся список истории.

Фильтры захвата применяются, как только вы начинаете запись сетевого трафика. Чтобы применить фильтр отображения, выберите стрелку вправо в правой части поля ввода.

Чтобы применить фильтр отображения, выберите стрелку вправо в крайней правой части поля ввода.

Цветовые правила Wireshark

В то время как фильтры захвата и отображения Wireshark ограничивают, какие пакеты записываются или отображаются на экране, его функция окраски делает шаг вперед: он может различать разные типы пакетов на основе их индивидуального оттенка. Это позволяет быстро найти определенные пакеты в сохраненном наборе по цвету строки на панели списка пакетов.

Диалог правил раскраски Wireshark открылся перед главным окном Wireshark

Wireshark содержит около 20 правил раскраски по умолчанию, каждое из которых можно редактировать, отключать или удалять. Выберите View > Coloring Rules для обзора того, что означает каждый цвет. Вы также можете добавить свои собственные фильтры на основе цвета.

Выберите View> Coloring Rules для обзора того, что означает каждый цвет.

Выберите « Просмотр» > « Colorize Packet List», чтобы включить или выключить раскраску пакетов.

Статистика в Wireshark

Другие полезные показатели доступны через раскрывающееся меню Статистика . Они включают в себя информацию о размере и времени файла захвата, а также десятки диаграмм и графиков, варьирующихся по темам: от разбивки пакетов до распределения нагрузки по HTTP-запросам.

Похожие посты
Как сделать

Как получить возмещение за покупки в iTunes или App Store

Как сделать

Поверхностное перо не работает? Вот как это исправить

Как сделать

Как настроить и использовать Fire TV Recast

Как сделать

Как изменить рингтон по умолчанию на вашем iPhone