Sådan bruges Wireshark: En komplet vejledning

Indholdsfortegnelse:

Sådan bruges Wireshark: En komplet vejledning
Sådan bruges Wireshark: En komplet vejledning
Anonim

Hvad du skal vide

  • Wireshark er en open source-applikation, der fanger og viser data, der rejser frem og tilbage på et netværk.
  • Fordi den kan bore ned og læse indholdet af hver pakke, bruges den til at fejlfinde netværksproblemer og teste software.

Instruktionerne i denne artikel gælder for Wireshark 3.0.3 til Windows og Mac.

Bundlinje

Oprindeligt kendt som Ethereal, viser Wireshark data fra hundredvis af forskellige protokoller på alle større netværkstyper. Datapakker kan ses i re altid eller analyseres offline. Wireshark understøtter snesevis af capture/trace-filformater, inklusive CAP og ERF. Integrerede dekrypteringsværktøjer viser de krypterede pakker for flere almindelige protokoller, herunder WEP og WPA/WPA2.

Sådan downloader og installerer du Wireshark

Wireshark kan downloades gratis fra Wireshark Foundation-webstedet til både macOS og Windows. Du vil se den seneste stabile udgivelse og den aktuelle udviklingsudgivelse. Medmindre du er en avanceret bruger, skal du downloade den stabile version.

Image
Image

Vælg under Windows-opsætningsprocessen at installere WinPcap eller Npcap, hvis du bliver bedt om det, da disse inkluderer biblioteker, der kræves til live datafangst.

Image
Image

Du skal være logget ind på enheden som administrator for at bruge Wireshark. I Windows 10 skal du søge efter Wireshark og vælge Kør som administrator I macOS skal du højreklikke på appikonet og vælge Få infoI indstillingerne Sharing & Permissions skal du give administratoren Read & Write privilegier.

Image
Image

Applikationen er også tilgængelig til Linux og andre UNIX-lignende platforme, inklusive Red Hat, Solaris og FreeBSD. De binære filer, der kræves til disse operativsystemer, kan findes nederst på Wireshark-downloadsiden under afsnittet Tredjepartspakker. Du kan også downloade Wiresharks kildekode fra denne side.

Sådan opfanges datapakker med Wireshark

Når du starter Wireshark, viser en velkomstskærm de tilgængelige netværksforbindelser på din nuværende enhed. Til højre for hver vises en EKG-lignende linjegraf, der repræsenterer live trafik på det netværk.

For at begynde at fange pakker med Wireshark:

  1. Vælg et eller flere netværk, gå til menulinjen, og vælg derefter Capture.

    For at vælge flere netværk skal du holde Shift nede, mens du foretager dit valg.

    Image
    Image

  2. I vinduet Wireshark Capture Interfaces skal du vælge Start.

    Der er andre måder at starte pakkefangst på. Vælg shark fin i venstre side af Wireshark-værktøjslinjen, tryk på Ctrl+E, eller dobbeltklik på netværket.

    Image
    Image

  3. Vælg Fil > Gem som, eller vælg en Eksporter for at optage optagelsen.

    Image
    Image

  4. For at stoppe optagelsen skal du trykke på Ctrl+E. Eller gå til Wireshark-værktøjslinjen og vælg den røde Stop knap, der er placeret ved siden af hajfinnen.

    Image
    Image

Sådan får du vist og analyserer pakkeindhold

Den registrerede datagrænseflade indeholder tre hovedsektioner:

  • Pakkelisteruden (øverste sektion)
  • Ruden med pakkedetaljer (den midterste sektion)
  • Pakkebytes-ruden (den nederste sektion)
Image
Image

Pakkeliste

Pakkelisteruden, placeret øverst i vinduet, viser alle pakker, der findes i den aktive opsamlingsfil. Hver pakke har sin egen række og tilhørende nummer tildelt den sammen med hvert af disse datapunkter:

  • No: Dette felt angiver, hvilke pakker der er en del af den samme samtale. Den forbliver tom, indtil du vælger en pakke.
  • Tid: Tidsstemplet for, hvornår pakken blev fanget, vises i denne kolonne. Standardformatet er antallet af sekunder eller delvise sekunder, siden denne specifikke optagelsesfil blev oprettet første gang.
  • Kilde: Denne kolonne indeholder adressen (IP eller andet), hvor pakken stammer fra.
  • Destination: Denne kolonne indeholder adressen, som pakken sendes til.
  • Protokol: Pakkens protokolnavn, såsom TCP, kan findes i denne kolonne.
  • Længde: Pakkelængden, i bytes, vises i denne kolonne.
  • Info: Yderligere detaljer om pakken er præsenteret her. Indholdet af denne kolonne kan variere meget afhængigt af pakkens indhold.

For at ændre tidsformatet til noget mere nyttigt (såsom det faktiske tidspunkt på dagen), skal du vælge View > Time Display Format.

Image
Image

Når en pakke er valgt i den øverste rude, kan du bemærke, at et eller flere symboler vises i kolonnen No.. Åbne eller lukkede parenteser og en lige vandret linje angiver, om en pakke eller gruppe af pakker er en del af den samme frem og tilbage-samtale på netværket. En brudt vandret linje betyder, at en pakke ikke er en del af samtalen.

Image
Image

Pakkedetaljer

Detaljeruden, der findes i midten, præsenterer protokollerne og protokolfelterne for den valgte pakke i et sammenklappeligt format. Ud over at udvide hvert valg kan du anvende individuelle Wireshark-filtre baseret på specifikke detaljer og følge datastrømme baseret på protokoltype ved at højreklikke på det ønskede element.

Image
Image

Packet Bytes

Nederst er pakkebytes-ruden, som viser rådataene for den valgte pakke i en hexadecimal visning. Denne hex-dump indeholder 16 hexadecimale bytes og 16 ASCII-bytes sammen med dataforskydningen.

Valg af en specifik del af disse data fremhæver automatisk dens tilsvarende sektion i pakkedetaljerruden og omvendt. Alle bytes, der ikke kan udskrives, er repræsenteret med et punktum.

Image
Image

Hvis du vil vise disse data i bitformat i modsætning til hexadecim alt, skal du højreklikke hvor som helst i ruden og vælge as bits.

Image
Image

Sådan bruges Wireshark-filtre

Capture-filtre instruerer Wireshark til kun at optage pakker, der opfylder specificerede kriterier. Filtre kan også anvendes på en opsamlingsfil, der er blevet oprettet, så kun visse pakker vises. Disse kaldes displayfiltre.

Wireshark leverer som standard et stort antal foruddefinerede filtre. For at bruge et af disse eksisterende filtre skal du indtaste dets navn i indtastningsfeltet Anvend et visningsfilter placeret under Wireshark-værktøjslinjen eller i Enter a capture-filterfelt placeret i midten af velkomstskærmen.

For eksempel, hvis du vil vise TCP-pakker, skal du skrive tcp. Wireshark autofuldførelsesfunktionen viser foreslåede navne, mens du begynder at skrive, hvilket gør det nemmere at finde den korrekte betegnelse for det filter, du leder efter.

Image
Image

En anden måde at vælge et filter på er at vælge bogmærket i venstre side af indtastningsfeltet. Vælg Administrer filterudtryk eller Administrer displayfiltre for at tilføje, fjerne eller redigere filtre.

Image
Image

Du kan også få adgang til tidligere brugte filtre ved at vælge pil ned i højre side af indtastningsfeltet for at få vist en historik-rulleliste.

Image
Image

Capture-filtre anvendes, så snart du begynder at optage netværkstrafik. For at anvende et visningsfilter skal du vælge højre pil i højre side af indtastningsfeltet.

Wireshark Color Rules

Mens Wiresharks optagelses- og visningsfiltre begrænser, hvilke pakker der optages eller vises på skærmen, tager dens farvelægningsfunktion tingene et skridt videre: Den kan skelne mellem forskellige pakketyper baseret på deres individuelle nuance. Dette lokaliserer hurtigt bestemte pakker i et gemt sæt efter deres rækkefarve i pakkelisteruden.

Image
Image

Wireshark kommer med omkring 20 standardfarveregler, som hver kan redigeres, deaktiveres eller slettes. Vælg View > Coloring Rules for at få et overblik over, hvad hver farve betyder. Du kan også tilføje dine egne farvebaserede filtre.

Image
Image

Vælg Vis > Colorize Packet List for at slå pakkefarvning til og fra.

Statistics in Wireshark

Andre nyttige metrics er tilgængelige via rullemenuen Statistics. Disse omfatter oplysninger om størrelse og timing om optagelsesfilen sammen med snesevis af diagrammer og grafer, der spænder i emne fra pakkeopdelinger til indlæsningsdistribution af

Image
Image

Displayfiltre kan anvendes på mange af disse statistikker via deres grænseflader, og resultaterne kan eksporteres til almindelige filformater, herunder CSV, XML og TXT.

Wireshark avancerede funktioner

Wireshark understøtter også avancerede funktioner, herunder evnen til at skrive protokoldissektorer i Lua-programmeringssproget.

Anbefalede:

Vejledning til iPadOS-versioner

Vejledning til iPadOS-versioner

Lær om de forskellige iPadOS-versioner, som Apple har udgivet. iPadOS 15.5 er den seneste version; iPadOS 13 var den første pause fra iOS til iPad

Sådan videresender du en komplet tråd af e-mails i Gmail

Sådan videresender du en komplet tråd af e-mails i Gmail

Når en hel samtale er værd at videresende, kan du gøre det hele med kun én e-mail i Gmail

Sådan opretter du en virtuel maskine: Windows 7-vejledning

Sådan opretter du en virtuel maskine: Windows 7-vejledning

En virtuel Windows-maskine er en virtuel installation af operativsystemet, der kan være ideel til test og fejlfinding af en række forskellige software og applikationer. Sådan opretter du en Windows 7 vm

Wi-Fi-vejledning: Sådan opretter du forbindelse til et trådløst netværk

Wi-Fi-vejledning: Sådan opretter du forbindelse til et trådløst netværk

Lær, hvordan du tilslutter dig et trådløst netværk for internetadgang eller deler filer fra din computer i fem nemme trin

IPad-vejledning: Sådan konfigureres uden at bruge en computer

IPad-vejledning: Sådan konfigureres uden at bruge en computer

Ønsker du at konfigurere din nye iPad uden at skulle oprette forbindelse til en computer? Her er nedenstående om, hvordan du gør det