Kuinka lukea paketteja Wiresharkissa

Monille IT-asiantuntijoille Wireshark on verkkopakettianalyysin työkalu. Avoimen lähdekoodin ohjelmiston avulla voit tutkia tarkasti kerättyjä tietoja ja määrittää ongelman juuren parannetulla tarkkuudella. Lisäksi Wireshark toimii reaaliajassa ja käyttää värikoodausta kaapattujen pakettien näyttämiseen muiden hienojen mekanismien joukossa.

Kuinka lukea paketteja Wiresharkissa

Tässä opetusohjelmassa selitämme kuinka kaapata, lukea ja suodattaa paketteja Wiresharkin avulla. Alta löydät vaiheittaiset ohjeet ja erittelyt verkkoanalyysin perustoiminnoista. Kun hallitset nämä perusvaiheet, voit tarkastaa verkkosi liikennevirran ja tehdä vianmäärityksiä tehokkaammin.

Analysoi paketteja

Kun paketit on kaapattu, Wireshark järjestää ne yksityiskohtaiseen pakettiluetteloruutuun, jota on uskomattoman helppo lukea. Jos haluat käyttää yksittäistä pakettia koskevia tietoja, sinun tarvitsee vain etsiä se luettelosta ja napsauttaa. Voit myös laajentaa puuta edelleen nähdäksesi kunkin paketin sisältämän protokollan tiedot.

Saat kattavamman yleiskatsauksen näyttämällä jokaisen kaapatun paketin erillisessä ikkunassa. Näin:

  1. Valitse paketti luettelosta osoittimella ja napsauta hiiren kakkospainikkeella.

  2. Avaa "Näytä"-välilehti yllä olevasta työkalupalkista.

  3. Valitse avattavasta valikosta "Näytä paketti uudessa ikkunassa".

Huomautus: Siepattujen pakettien vertailu on paljon helpompaa, jos tuot ne erillisiin ikkunoihin.

Kuten mainittiin, Wireshark käyttää värikoodausjärjestelmää tietojen visualisointiin. Jokainen paketti on merkitty eri värillä, joka edustaa erityyppistä liikennettä. Esimerkiksi TCP-liikenne on yleensä korostettu sinisellä, kun taas mustaa käytetään ilmaisemaan virheitä sisältävät paketit.

Tietenkään sinun ei tarvitse muistaa jokaisen värin merkitystä. Sen sijaan voit tarkistaa paikan päällä:

  1. Napsauta hiiren kakkospainikkeella pakettia, jota haluat tarkastella.

  2. Valitse "Näytä"-välilehti näytön yläreunan työkalupalkista.

  3. Valitse "Värityssäännöt" pudotusvalikosta.

Näet vaihtoehdon muokata väritystä mielesi mukaan. Jos kuitenkin haluat muuttaa värityssääntöjä vain väliaikaisesti, toimi seuraavasti:

  1. Napsauta hiiren kakkospainikkeella pakettia pakettiluetteloruudussa.
  2. Valitse vaihtoehtoluettelosta "Väritä suodattimella".

  3. Valitse väri, jolla haluat merkitä sen.

Määrä

Pakettiluetteloruudussa näkyy kaapattujen databittien tarkka määrä. Koska paketit on järjestetty useisiin sarakkeisiin, se on melko helppo tulkita. Oletusluokat ovat:

  • Nro (Numero): Kuten mainittiin, voit löytää kaapattujen pakettien tarkan määrän tästä sarakkeesta. Numerot pysyvät samoina tietojen suodattamisen jälkeenkin.
  • Aika: Kuten ehkä arvasit, paketin aikaleima näkyy tässä.
  • Lähde: Näyttää, mistä paketti on peräisin.
  • Kohde: Näyttää paikan, jossa pakettia säilytetään.
  • Protokolla: Se näyttää protokollan nimen, tyypillisesti lyhenteenä.
  • Pituus: Näyttää kaapatun paketin sisältämien tavujen määrän.
  • Info: Sarake sisältää kaikki lisätiedot tietystä paketista.

Aika

Kun Wireshark analysoi verkkoliikennettä, jokainen siepattu paketti on aikaleimattu. Aikaleimat sisällytetään sitten pakettiluetteloruutuun ja ovat käytettävissä myöhempää tarkastelua varten.

Wireshark ei luo aikaleimoja itse. Sen sijaan analysaattorityökalu hakee ne Npcap-kirjastosta. Aikaleiman lähde on kuitenkin itse asiassa ydin. Tästä syystä aikaleiman tarkkuus voi vaihdella tiedostoittain.

Voit valita muodon, jossa aikaleimat näytetään pakettiluettelossa. Lisäksi voit määrittää halutun tarkkuuden tai näytettävien desimaalien lukumäärän. Oletustarkkuusasetuksen lisäksi siellä on myös:

  • Sekuntia
  • sekunnin kymmenesosat
  • Sekunnin sadasosat
  • Millisekuntia
  • Mikrosekuntia
  • nanosekuntia

Lähde

Kuten nimestä voi päätellä, paketin lähde on alkuperäpaikka. Jos haluat hankkia Wireshark-arkiston lähdekoodin, voit ladata sen Git-asiakasohjelman avulla. Menetelmä edellyttää kuitenkin, että sinulla on GitLab-tili. On mahdollista tehdä se ilmankin, mutta on parempi rekisteröityä varmuuden vuoksi.

Kun olet rekisteröinyt tilin, toimi seuraavasti:

  1. Varmista, että Git toimii käyttämällä tätä komentoa: "$ git -- versio.

  2. Tarkista, että sähköpostiosoitteesi ja käyttäjänimesi on määritetty.
  3. Tee seuraavaksi klooni Workshark-lähteestä. Käytä "$ git klooni -o ylävirtaan [sähköposti suojattu] :wireshark/wireshark.git” SSH URL kopioinnin tekemiseen.
  4. Jos sinulla ei ole GitLab-tiliä, kokeile HTTPS-URL-osoitetta: "$ git klooni -o ylävirtaan //gitlab.com/wireshark/wireshark.git.

Kaikki lähteet kopioidaan myöhemmin laitteellesi. Muista, että kloonaus saattaa kestää hetken, varsinkin jos verkkoyhteys on hidas.

Kohde

Jos haluat tietää tietyn paketin määränpään IP-osoitteen, voit paikantaa sen näyttösuodattimen avulla. Näin:

  1. Tulla sisään "ip.addr == 8.8.8.8" Wiresharkin "Filter Box" -kohtaan. Napsauta sitten "Enter".

  2. Pakettiluetteloruutu konfiguroidaan uudelleen vain näyttämään paketin kohde. Löydä sinua kiinnostava IP-osoite selaamalla luetteloa.

  3. Kun olet valmis, valitse työkalupalkista "Tyhjennä" määrittääksesi pakettiluetteloruudun uudelleen.

pöytäkirja

Protokolla on ohje, joka määrittää tiedonsiirron eri laitteiden välillä, jotka on kytketty samaan verkkoon. Jokainen Wireshark-paketti sisältää protokollan, ja voit tuoda sen esiin näyttösuodattimen avulla. Näin:

  1. Napsauta Wireshark-ikkunan yläreunassa "Suodatin" -valintaikkunaa.
  2. Anna sen protokollan nimi, jota haluat tutkia. Tyypillisesti protokollien otsikot kirjoitetaan pienillä kirjaimilla.
  3. Napsauta "Enter" tai "Apply" ottaaksesi näyttösuodattimen käyttöön.

Pituus

Wireshark-paketin pituus määräytyy kyseiseen verkkokatkelmaan tallennettujen tavujen lukumäärän mukaan. Tämä numero vastaa yleensä Wireshark-ikkunan alareunassa lueteltujen raakadatatavujen määrää.

Jos haluat tarkastella pituuksien jakautumista, avaa "Pakettien pituudet" -ikkuna. Kaikki tiedot on jaettu seuraaviin sarakkeisiin:

  • Pakettien pituudet
  • Kreivi
  • Keskiverto
  • Min Val/Max Val
  • Rate
  • Prosenttia
  • Pursketaajuus
  • Purskeen aloitus

Tiedot

Jos tietyssä siepatussa paketissa on poikkeavuuksia tai vastaavia kohteita, Wireshark huomaa sen. Tiedot näkyvät sitten pakettiluetteloruudussa lisätutkimuksia varten. Näin saat selkeän kuvan epätyypillisestä verkkokäyttäytymisestä, mikä johtaa nopeampiin reaktioihin.

Muita usein kysyttyjä kysymyksiä

Kuinka voin suodattaa pakettidataa?

Suodatus on tehokas ominaisuus, jonka avulla voit tarkastella tietyn tietosekvenssin erityispiirteitä. Wireshark-suodattimia on kahdenlaisia: sieppaus ja näyttö. Sieppaussuodattimet ovat olemassa rajoittamaan pakettien sieppausta vastaamaan tiettyjä vaatimuksia. Toisin sanoen voit selata erityyppistä liikennettä käyttämällä sieppaussuodatinta. Kuten nimestä voi päätellä, näyttösuodattimien avulla voit hioa tiettyä paketin elementtiä paketin pituudesta protokollaan.

Suodattimen käyttäminen on melko yksinkertainen prosessi. Voit kirjoittaa suodattimen otsikon Wireshark-ikkunan yläosassa olevaan valintaikkunaan. Lisäksi ohjelmisto yleensä täydentää suodattimen nimen automaattisesti.

Vaihtoehtoisesti, jos haluat käydä läpi Wireshark-oletussuodattimet, toimi seuraavasti:

1. Avaa "Analysoi"-välilehti työkalupalkista Wireshark-ikkunan yläosassa.

2. Valitse avattavasta luettelosta "Näyttösuodatin".

3. Selaa luetteloa ja napsauta sitä, jota haluat hakea.

Lopuksi tässä on joitain yleisiä Wireshark-suodattimia, joista voi olla hyötyä:

• Jos haluat nähdä vain lähteen ja kohde-IP-osoitteen, käytä: “ip.src==IP-osoite ja ip.dst==IP-osoite

• Jos haluat tarkastella vain SMTP-liikennettä, kirjoita: “tcp.port eq 25

• Jos haluat kaapata kaiken aliverkon liikenteen, käytä: “netto 192.168.0.0/24

• Voit kaapata kaiken paitsi ARP- ja DNS-liikenteen käyttämällä: "portti ei 53 eikä arp

Kuinka kaapaan pakettidatan Wiresharkissa?

Kun olet ladannut Wiresharkin laitteellesi, voit alkaa valvoa verkkoyhteyttäsi. Jos haluat kaapata datapaketteja kattavaa analyysiä varten, sinun on tehtävä seuraavat:

1. Käynnistä Wireshark. Näet luettelon käytettävissä olevista verkoista, joten napsauta sitä, jota haluat tarkastella. Voit myös käyttää sieppaussuodatinta, jos haluat määrittää liikenteen tyypin.

2. Jos haluat tarkastaa useita verkkoja, käytä "vaihto + vasen painike" -säädintä.

3. Napsauta seuraavaksi äärivasemmalla olevaa haineväkuvaketta yllä olevassa työkalupalkissa.

4. Voit myös aloittaa kaappauksen napsauttamalla "Capture"-välilehteä ja valitsemalla "Aloita" avattavasta luettelosta.

5. Toinen tapa tehdä se on käyttää "Control – E" -näppäintä.

Kun ohjelmisto nappaa tiedot, näet sen näkyvän pakettiluetteloruudussa reaaliajassa.

Shark Byte

Vaikka Wireshark on erittäin edistynyt verkkoanalysaattori, se on yllättävän helppo tulkita. Pakettiluetteloruutu on erittäin kattava ja hyvin järjestetty. Kaikki tiedot on jaettu seitsemään eri väriin ja merkitty selkeillä värikoodeilla.

Lisäksi avoimen lähdekoodin ohjelmistossa on joukko helposti sovellettavia suodattimia, jotka helpottavat valvontaa. Ottamalla talteenottosuodattimen käyttöön voit määrittää, millaista liikennettä haluat Wiresharkin analysoivan. Ja kun tiedot on napattu, voit käyttää useita näyttösuodattimia tietyissä hauissa. Kaiken kaikkiaan se on erittäin tehokas mekanismi, jota ei ole liian vaikea hallita.

Käytätkö Wiresharkia verkkoanalyysiin? Mitä mieltä olet suodatustoiminnosta? Kerro meille alla olevissa kommenteissa, jos ohitimme hyödyllisen pakettianalyysiominaisuuden.