A Wireshark használata a csomagok rögzítésére, szűrésére és ellenőrzésére
A Wireshark, a korábban Ethereal néven ismert hálózati elemző eszköz valós időben rögzíti a csomagokat, és emberi olvasható formában jeleníti meg őket. A Wireshark szűrőket, színkódokat és egyéb funkciókat tartalmaz, amelyek lehetővé teszik a mélyebb hálózati forgalmat és az egyes csomagok ellenőrzését.
Ez a bemutató felgyorsítja a csomagok rögzítésének, szűrésének és ellenőrzésének alapjait. A Wireshark segítségével ellenőrizheti a gyanús program hálózati forgalmát, elemezheti a hálózat forgalmát, vagy elháríthatja a hálózati problémákat.
Wireshark megszerzése
A Wireshark for Windows vagy macOS fájlokat letöltheti hivatalos honlapjáról. Ha Linuxot vagy más UNIX-szerű rendszert használ, akkor valószínűleg megtalálja a Wiresharkot a csomagtárakban. Például, ha Ubuntu-t használ, a Wiresharkot az Ubuntu Szoftverközpontban találja.
Csak egy gyors figyelmeztetés: Sok szervezet nem engedélyezi a Wiresharkot és hasonló eszközöket a hálózataikban. Ne használja ezt az eszközt munkahelyen, hacsak nincs engedélye.
Csomagok rögzítése
A Wireshark letöltése és telepítése után elindíthatja azt, és kattintson duplán a Capture alatt a hálózati csatoló nevére, hogy elkezdhesse a csomagok rögzítését az adott felületen. Ha például a vezeték nélküli hálózatban forgalmat szeretne rögzíteni, kattintson a vezeték nélküli felületre. A speciális funkciókat a Capture> Options lehetőségre kattintva konfigurálhatja, de ez most nem szükséges.
Amint rákattint a kezelőfelület nevére, látni fogja, hogy a csomagok a valós időben megjelennek. A Wireshark rögzíti a rendszerre küldött vagy küldött csomagokat.
Ha engedélyezett módja van - alapértelmezés szerint engedélyezve van - a hálózatban lévő összes többi csomagot csak a hálózati adapterhez címzett csomagok helyett fogja látni. Ha meg szeretné ellenőrizni, hogy engedélyezett-e a véletlenszerű mód, kattintson a Capture (Beállítás)> Options (Beállítások) gombra, és ellenőrizze, hogy az ablak alján be van-e kapcsolva az „Enable discuous mode on interfaces” jelölőnégyzet.
Ha meg szeretné állítani a forgalom leállítását, kattintson az ablak bal felső sarkában lévő piros "Stop" gombra.
Színkódolás
Valószínűleg különböző színekben kiemelt csomagokat fog látni. A Wireshark színeket használ, amelyek segítségével könnyedén azonosíthatja a forgalom típusait. Alapértelmezés szerint a világos lila a TCP-forgalom, a világoskék az UDP-forgalom, a fekete pedig a hibás csomagokat, például a rendelés nélkül..
Ha pontosan meg szeretné tekinteni a színkódok jelentését, kattintson a Nézet> Színezési szabályok elemre. Itt is testre szabhatja és módosíthatja a színezési szabályokat.
Mintafelvétel
Ha semmi érdekes a saját hálózatán, hogy ellenőrizze, Wireshark wikit lefedte. A wiki tartalmaz egy olyan oldalt, amelyen beolvasható és ellenőrizhető a mintavételi fájlok. Kattintson a Fájl> Megnyitás a Wiresharkban elemre, és keresse meg a letöltött fájlt.
A Wiresharkban elmentheti saját rögzítéseit, és később megnyithatja azokat. A rögzített csomagok mentéséhez kattintson a Fájl> Mentés gombra.
Szűrési csomagok
Ha valami konkrét, például otthoni forgalomban lévő forgalmat próbál megvizsgálni, akkor minden egyéb alkalmazást bezárhat a hálózat használatával, így szűkítheti a forgalmat. Mégis, valószínűleg nagy mennyiségű csomag lesz a szitáláshoz. Itt jönnek be a Wireshark szűrői.
A szűrő alkalmazásának legalapvetőbb módja az, hogy beírja azt az ablak tetején található szűrőmezőbe, majd kattintson az Alkalmaz gombra (vagy nyomja meg az Entert). Írja be például a „dns” parancsot, és csak DNS-csomagokat lát. Amikor elkezdi a gépelést, a Wireshark segít a szűrő automatikus kitöltésében.
A Wiresharkban található alapértelmezett szűrők közül a szűrő kiválasztásához kattintson az Analízis> Megjelenítő szűrők elemre. Innen hozzáadhat saját egyéni szűrőket, és mentheti őket, hogy könnyedén elérhesse őket a jövőben.
A Wireshark kijelzőszűrési nyelvével kapcsolatos további információkért olvassa el a Wireshark hivatalos dokumentációjának építési megjelenítő szűrő kifejezéseit..
Egy másik érdekes dolog, amit tehetünk, a jobb egérgombbal kattintsunk egy csomagra, és válasszuk a Követés> TCP adatfolyam lehetőséget.
Látni fogja a teljes TCP-beszélgetést az ügyfél és a kiszolgáló között. A Második menüben más protokollokra kattintva megtekintheti az egyéb protokollok teljes beszélgetését, ha van ilyen.
Zárja be az ablakot, és egy szűrő automatikusan megjelenik. A Wireshark megmutatja a beszélgetést alkotó csomagokat.
Ellenőrző csomagok
Kattintson egy csomagra, hogy kiválaszthassa, és a részleteket megtekintheti.
Szűrőket is létrehozhat innen - csak jobb egérgombbal kattintson az egyik részletre, és használja a Szűrő alkalmazása almenüt, hogy hozzon létre egy szűrőt..
A Wireshark egy rendkívül hatékony eszköz, és ez a bemutató csak a karcolásoktól függ. A szakemberek a hálózati protokollok implementációinak hibakereséséhez használják, megvizsgálják a biztonsági problémákat és megvizsgálják a hálózati protokoll belső részeit.
Részletesebb információkat a Wireshark hivatalos használati útmutatójában és a Wireshark weboldalán található egyéb dokumentációs oldalon talál.