Wireshark je přední analyzátor síťových protokolů používaný bezpečnostními profesionály po celém světě. Umožňuje vám detekovat anomálie v počítačových sítích a najít základní příčiny. V následujících částech si ukážeme, jak používat Wireshark.
Jak to tedy funguje? A jak vlastně používáte Wireshark k zachycení datových paketů?
Jak funguje Wireshark?
Díky robustní sadě funkcí Wireshark se stal jedním z nejlepší nástroje pro řešení problémů se sítí. Mnoho lidí používá Wireshark, včetně správců sítě, bezpečnostních auditorů, analytiků malwaru a dokonce i útočníků.
Máte problém se sítí? Nebo se chcete dozvědět více o své domácí síti? Těchto sedm nástrojů vám může pomoci analyzovat a řešit problémy se sítí.
Umožňuje provádět hloubkové kontroly živých nebo uložených síťových paketů. Jakmile začnete Wireshark používat, budete fascinováni množstvím informací, které může nabídnout. Příliš mnoho informací však často znesnadňuje zůstat na správné cestě.
Naštěstí to můžeme zmírnit pomocí pokročilých možností filtrování Wireshark. Podrobně je probereme později. Pracovní postup spočívá v zachycení síťových paketů a filtrování požadovaných informací.
Jak používat Wireshark pro zachycování paketů
Jakmile spustíte Wireshark, zobrazí se síťová rozhraní připojená k vašemu systému. Vedle každého rozhraní byste si měli všimnout křivek představujících síťovou komunikaci.
Teď musíte vybrat konkrétní rozhraní, než budete moci začít pořizovat pakety. Chcete-li to provést, vyberte název rozhraní a klikněte na modrou žraločí ploutev ikona. Můžete to udělat také poklepáním na název rozhraní.
Wireshark začne zachycovat příchozí a odchozí pakety pro vybrané rozhraní. Klikněte na červenou pauza ikona pro zastavení zachycení. Měli byste vidět seznam síťových paketů pořízených během tohoto procesu.
Wireshark bude vedle protokolu zobrazovat zdroj a cíl pro každý paket. Většinu času vás však bude zajímat obsah informačního pole.
Kliknutím na ně můžete zkontrolovat jednotlivé balíčky. Tímto způsobem můžete zobrazit celá data paketů.
Jak ukládat zachycené pakety do Wireshark
Vzhledem k tomu, že Wireshark zachycuje hodně provozu, můžete si je někdy uložit pro pozdější kontrolu. Naštěstí je ukládání zachycených paketů pomocí Wiresharku snadné.
Chcete-li uložit pakety, zastavte aktivní relaci. Poté klikněte na ikonu soubor ikona umístěná v horním menu. Můžete také použít Ctrl + S udělat toto.
Wireshark může ukládat pakety v několika formátech, včetně pcapng, pcap a dmp. Zachycené pakety můžete také uložit v jiném formátu nástroje pro síťovou analýzu lze později použít.
Jak analyzovat zachycené pakety
Dříve zachycené pakety můžete analyzovat otevřením souboru pro zachycení. V hlavním okně klikněte na Soubor> Otevřít a poté vyberte příslušný uložený soubor.
Můžete také použít Ctrl + O udělat to rychle. Po analýze paketů ukončete kontrolní okno přechodem na Soubor> Zavřít.
Jak používat filtry Wireshark
Wireshark nabízí nepřeberné množství robustních možností filtrování. Filtry jsou dvou typů - filtry pro zobrazení a filtry pro zachycení.
Používání filtrů displeje Wireshark
Filtry zobrazení se používají k prohlížení konkrétních paketů ze všech zachycených paketů. Můžeme například použít filtr zobrazení icmp zobrazit všechny datové pakety ICMP.
Můžete si vybrat z velkého počtu filtrů. Kromě toho můžete také definovat vlastní pravidla filtrování pro triviální úkoly. Chcete-li přidat přizpůsobené filtry, přejděte na Analyzovat> Zobrazit filtry. Klikněte na + ikona pro přidání nového filtru.
Používání filtrů Wireshark Capture
Filtry zachycení se používají k určení, které pakety se mají zachytit během relace Wireshark. Produkuje podstatně méně paketů než standardní zachycení. Můžete je použít v situacích, kdy potřebujete konkrétní informace o určitých paketech.
Zadejte svůj zachytávací filtr do pole těsně nad seznamem rozhraní v hlavním okně. Vyberte název rozhraní ze seznamu a do výše uvedeného pole zadejte název filtru.
Klikněte na modrou žraločí ploutev ikona pro zahájení snímání paketů. Následující příklad využívá arp filtr k zachycení pouze transakcí ARP.
Používání pravidel barvení Wireshark
Wireshark poskytuje několik pravidel barvení, která byla dříve označována jako barevné filtry. Je to skvělá funkce, kterou můžete mít při analýze rozsáhlého síťového provozu. Můžete je také upravit na základě preferencí.
Chcete-li zobrazit aktuální pravidla barvení, přejděte na Zobrazit> Pravidla barvení. Zde najdete výchozí pravidla barvení pro vaši instalaci.
Můžete je libovolně upravit. Navíc můžete také použít pravidla barvení jiných lidí importem konfiguračního souboru.
Stáhněte soubor obsahující vlastní pravidla a poté jej importujte výběrem Zobrazit> Pravidla barvení> Importovat. Pravidla můžete exportovat podobně.
Wireshark v akci
Dosud jsme diskutovali o některých základních vlastnostech Wireshark. Pojďme provést několik praktických operací, abychom demonstrovali, jak se integrují.
Pro tuto ukázku jsme vytvořili základní server Go. Vrátí jednoduchou textovou zprávu pro každý požadavek. Jakmile je server spuštěn, provedeme několik požadavků HTTP a zachytíme živý provoz. Všimněte si, že provozujeme server na localhost.
Nejprve zahájíme zachycování paketů poklepáním na rozhraní Loopback (localhost). Dalším krokem je spuštění našeho lokálního serveru a odeslání požadavku GET. K tomu používáme zvlnění.
Wireshark během této konverzace zachytí všechny příchozí a odchozí pakety. Chceme zobrazit data odeslaná naším serverem, takže použijeme http.odpověď filtr displeje pro prohlížení paketů odpovědí.
Nyní Wireshark skryje všechny ostatní zachycené pakety a zobrazí pouze pakety odpovědí. Pokud se podrobně podíváte na podrobnosti paketu, měli byste si všimnout holá data odeslaná naším serverem.
Užitečné příkazy Wireshark
K ovládání softwaru z terminálu Linux můžete také použít různé příkazy Wireshark. Tady je několik základních příkazů Wireshark:
- Wireshark spustí Wireshark v grafickém režimu.
- Wireshark -h zobrazí dostupné možnosti příkazového řádku.
- Wireshark -i ROZHRANÍ vybere ROZHRANÍ jako snímací rozhraní.
Tshark je alternativa příkazového řádku pro Wireshark. Podporuje všechny základní funkce a je extrémně efektivní.
Analyzujte zabezpečení sítě pomocí Wireshark
Bohatá sada funkcí Wireshark a pokročilá pravidla filtrování činí analýzu paketů produktivní a přímočarou. Můžete jej použít k vyhledání nejrůznějších informací o vaší síti. Vyzkoušejte jeho nejzákladnější funkce a zjistěte, jak používat Wireshark pro analýzu paketů.
Wireshark je k dispozici ke stažení na zařízeních se systémem Windows, macOS a Linux.
Chcete sledovat svoji síť nebo vzdálená zařízení? Zde je návod, jak pomocí nástroje Nagios proměnit své Raspberry Pi v nástroj pro monitorování sítě.
- Linux
- Mac
- Okna
- Bezpečnostní
- Zabezpečení online
Rubaiat je CS grad se silnou vášní pro open-source. Kromě toho, že je veteránem Unixu, věnuje se také zabezpečení sítě, kryptografii a funkčnímu programování. Je vášnivým sběratelem použitých knih a má nekonečný obdiv ke klasickému rocku.
Přihlaste se k odběru našeho zpravodaje
Připojte se k našemu zpravodaji s technickými tipy, recenzemi, bezplatnými elektronickými knihami a exkluzivními nabídkami!
Ještě jeden krok…!
V e-mailu, který jsme vám právě poslali, potvrďte svou e-mailovou adresu.