Hvad du skal vide
- Wireshark er en open source-applikation, der fanger og viser data, der rejser frem og tilbage på et netværk.
- Fordi den kan bore ned og læse indholdet af hver pakke, bruges den til at fejlfinde netværksproblemer og teste software.
Instruktionerne i denne artikel gælder for Wireshark 3.0.3 til Windows og Mac.
Bundlinje
Oprindeligt kendt som Ethereal, viser Wireshark data fra hundredvis af forskellige protokoller på alle større netværkstyper. Datapakker kan ses i re altid eller analyseres offline. Wireshark understøtter snesevis af capture/trace-filformater, inklusive CAP og ERF. Integrerede dekrypteringsværktøjer viser de krypterede pakker for flere almindelige protokoller, herunder WEP og WPA/WPA2.
Sådan downloader og installerer du Wireshark
Wireshark kan downloades gratis fra Wireshark Foundation-webstedet til både macOS og Windows. Du vil se den seneste stabile udgivelse og den aktuelle udviklingsudgivelse. Medmindre du er en avanceret bruger, skal du downloade den stabile version.
Vælg under Windows-opsætningsprocessen at installere WinPcap eller Npcap, hvis du bliver bedt om det, da disse inkluderer biblioteker, der kræves til live datafangst.
Du skal være logget ind på enheden som administrator for at bruge Wireshark. I Windows 10 skal du søge efter Wireshark og vælge Kør som administrator I macOS skal du højreklikke på appikonet og vælge Få infoI indstillingerne Sharing & Permissions skal du give administratoren Read & Write privilegier.
Applikationen er også tilgængelig til Linux og andre UNIX-lignende platforme, inklusive Red Hat, Solaris og FreeBSD. De binære filer, der kræves til disse operativsystemer, kan findes nederst på Wireshark-downloadsiden under afsnittet Tredjepartspakker. Du kan også downloade Wiresharks kildekode fra denne side.
Sådan opfanges datapakker med Wireshark
Når du starter Wireshark, viser en velkomstskærm de tilgængelige netværksforbindelser på din nuværende enhed. Til højre for hver vises en EKG-lignende linjegraf, der repræsenterer live trafik på det netværk.
For at begynde at fange pakker med Wireshark:
-
Vælg et eller flere netværk, gå til menulinjen, og vælg derefter Capture.
For at vælge flere netværk skal du holde Shift nede, mens du foretager dit valg.
-
I vinduet Wireshark Capture Interfaces skal du vælge Start.
Der er andre måder at starte pakkefangst på. Vælg shark fin i venstre side af Wireshark-værktøjslinjen, tryk på Ctrl+E, eller dobbeltklik på netværket.
-
Vælg Fil > Gem som, eller vælg en Eksporter for at optage optagelsen.
-
For at stoppe optagelsen skal du trykke på Ctrl+E. Eller gå til Wireshark-værktøjslinjen og vælg den røde Stop knap, der er placeret ved siden af hajfinnen.
Sådan får du vist og analyserer pakkeindhold
Den registrerede datagrænseflade indeholder tre hovedsektioner:
- Pakkelisteruden (øverste sektion)
- Ruden med pakkedetaljer (den midterste sektion)
- Pakkebytes-ruden (den nederste sektion)
Pakkeliste
Pakkelisteruden, placeret øverst i vinduet, viser alle pakker, der findes i den aktive opsamlingsfil. Hver pakke har sin egen række og tilhørende nummer tildelt den sammen med hvert af disse datapunkter:
- No: Dette felt angiver, hvilke pakker der er en del af den samme samtale. Den forbliver tom, indtil du vælger en pakke.
- Tid: Tidsstemplet for, hvornår pakken blev fanget, vises i denne kolonne. Standardformatet er antallet af sekunder eller delvise sekunder, siden denne specifikke optagelsesfil blev oprettet første gang.
- Kilde: Denne kolonne indeholder adressen (IP eller andet), hvor pakken stammer fra.
- Destination: Denne kolonne indeholder adressen, som pakken sendes til.
- Protokol: Pakkens protokolnavn, såsom TCP, kan findes i denne kolonne.
- Længde: Pakkelængden, i bytes, vises i denne kolonne.
- Info: Yderligere detaljer om pakken er præsenteret her. Indholdet af denne kolonne kan variere meget afhængigt af pakkens indhold.
For at ændre tidsformatet til noget mere nyttigt (såsom det faktiske tidspunkt på dagen), skal du vælge View > Time Display Format.
Når en pakke er valgt i den øverste rude, kan du bemærke, at et eller flere symboler vises i kolonnen No.. Åbne eller lukkede parenteser og en lige vandret linje angiver, om en pakke eller gruppe af pakker er en del af den samme frem og tilbage-samtale på netværket. En brudt vandret linje betyder, at en pakke ikke er en del af samtalen.
Pakkedetaljer
Detaljeruden, der findes i midten, præsenterer protokollerne og protokolfelterne for den valgte pakke i et sammenklappeligt format. Ud over at udvide hvert valg kan du anvende individuelle Wireshark-filtre baseret på specifikke detaljer og følge datastrømme baseret på protokoltype ved at højreklikke på det ønskede element.
Packet Bytes
Nederst er pakkebytes-ruden, som viser rådataene for den valgte pakke i en hexadecimal visning. Denne hex-dump indeholder 16 hexadecimale bytes og 16 ASCII-bytes sammen med dataforskydningen.
Valg af en specifik del af disse data fremhæver automatisk dens tilsvarende sektion i pakkedetaljerruden og omvendt. Alle bytes, der ikke kan udskrives, er repræsenteret med et punktum.
Hvis du vil vise disse data i bitformat i modsætning til hexadecim alt, skal du højreklikke hvor som helst i ruden og vælge as bits.
Sådan bruges Wireshark-filtre
Capture-filtre instruerer Wireshark til kun at optage pakker, der opfylder specificerede kriterier. Filtre kan også anvendes på en opsamlingsfil, der er blevet oprettet, så kun visse pakker vises. Disse kaldes displayfiltre.
Wireshark leverer som standard et stort antal foruddefinerede filtre. For at bruge et af disse eksisterende filtre skal du indtaste dets navn i indtastningsfeltet Anvend et visningsfilter placeret under Wireshark-værktøjslinjen eller i Enter a capture-filterfelt placeret i midten af velkomstskærmen.
For eksempel, hvis du vil vise TCP-pakker, skal du skrive tcp. Wireshark autofuldførelsesfunktionen viser foreslåede navne, mens du begynder at skrive, hvilket gør det nemmere at finde den korrekte betegnelse for det filter, du leder efter.
En anden måde at vælge et filter på er at vælge bogmærket i venstre side af indtastningsfeltet. Vælg Administrer filterudtryk eller Administrer displayfiltre for at tilføje, fjerne eller redigere filtre.
Du kan også få adgang til tidligere brugte filtre ved at vælge pil ned i højre side af indtastningsfeltet for at få vist en historik-rulleliste.
Capture-filtre anvendes, så snart du begynder at optage netværkstrafik. For at anvende et visningsfilter skal du vælge højre pil i højre side af indtastningsfeltet.
Wireshark Color Rules
Mens Wiresharks optagelses- og visningsfiltre begrænser, hvilke pakker der optages eller vises på skærmen, tager dens farvelægningsfunktion tingene et skridt videre: Den kan skelne mellem forskellige pakketyper baseret på deres individuelle nuance. Dette lokaliserer hurtigt bestemte pakker i et gemt sæt efter deres rækkefarve i pakkelisteruden.
Wireshark kommer med omkring 20 standardfarveregler, som hver kan redigeres, deaktiveres eller slettes. Vælg View > Coloring Rules for at få et overblik over, hvad hver farve betyder. Du kan også tilføje dine egne farvebaserede filtre.
Vælg Vis > Colorize Packet List for at slå pakkefarvning til og fra.
Statistics in Wireshark
Andre nyttige metrics er tilgængelige via rullemenuen Statistics. Disse omfatter oplysninger om størrelse og timing om optagelsesfilen sammen med snesevis af diagrammer og grafer, der spænder i emne fra pakkeopdelinger til indlæsningsdistribution af
Displayfiltre kan anvendes på mange af disse statistikker via deres grænseflader, og resultaterne kan eksporteres til almindelige filformater, herunder CSV, XML og TXT.
Wireshark avancerede funktioner
Wireshark understøtter også avancerede funktioner, herunder evnen til at skrive protokoldissektorer i Lua-programmeringssproget.