Как использовать Wireshark: полное руководство

Wireshark — это приложение с открытым исходным кодом, которое позволяет вам захватывать и просматривать данные, перемещающиеся по вашей сети. Wireshark обычно используется для устранения неполадок в сети и тестирования программного обеспечения, поскольку он предоставляет возможность развернуть и прочитать содержимое каждого пакета.

Инструкции в этой статье относятся к Wireshark 3.0.3 для Windows и Mac.

Что такое Wireshark?

Изначально известный как Ethereal, Wireshark имеет удобный интерфейс, который может отображать данные из сотен различных протоколов по всем основным типам сетей. Пакеты данных можно просматривать в режиме реального времени или анализировать в автономном режиме. Wireshark поддерживает десятки поддерживаемых форматов файлов захвата / трассировки, включая CAP и ERF. Интегрированные инструменты дешифрования позволяют просматривать зашифрованные пакеты для нескольких популярных протоколов, включая WEP и WPA / WPA2.

Как скачать и установить Wireshark

Wireshark можно бесплатно загрузить с веб-сайта Wireshark Foundation для операционных систем macOS и Windows. Вы увидите последний стабильный выпуск и текущий выпуск для разработчиков; если вы не являетесь опытным пользователем, рекомендуется загружать только последнюю стабильную версию.

Wireshark можно бесплатно загрузить с веб-сайта Wireshark Foundation для операционных систем macOS и Windows.

В процессе установки Windows выберите установку WinPcap или же Npcap если предложено, так как они включают библиотеки, необходимые для сбора данных в реальном времени.

В процессе установки Windows выберите установку WinPcap или Npcap, если будет предложено, поскольку они включают библиотеки, необходимые для сбора данных в реальном времени.

Приложение также доступно для Linux и других UNIX-подобных платформ, включая Red Hat, Solaris и FreeBSD. Двоичные файлы, необходимые для этих операционных систем, можно найти в нижней части страницы загрузки Wireshark под Сторонние пакеты раздел. Вы также можете скачать исходный код Wireshark с этой страницы.

Вы должны войти в систему как администратор вашего устройства, чтобы использовать Wireshark. В Windows 10 найдите Wireshark и выберите Запустить от имени администратора.

В Windows 10 найдите Wireshark и выберите «Запуск от имени администратора».

Как захватить пакеты данных с Wireshark

При первом запуске Wireshark появляется экран приветствия, содержащий список доступных сетевых подключений на вашем текущем устройстве. Справа от каждого отображается линейный график в стиле ЭКГ, который представляет живой трафик в соответствующей сети.

Чтобы начать захват пакетов с помощью Wireshark:


  1. Выберите одну или несколько сетей, нажав на них, затем выберите Захватить в верхней части интерфейса Wireshark.

    Чтобы выбрать несколько сетей одновременно, удерживайте сдвиг ключ, как вы делаете свой выбор.

    Выберите одну или несколько сетей, щелкнув по ним, затем выберите «Захват» в верхней части интерфейса Wireshark.


  2. Выбрать Начало.

    Выберите Пуск.


  3. Выбрать файл > Сохранить как или выберите один из экспорт варианты записи захвата.

    Вы также можете начать захват пакета, выбрав плавник акулы в левой части панели инструментов Wireshark в верхней части.

    Чтобы остановить захват, нажмите Ctrl + Е, или выберите красный Стоп кнопка рядом с акулий плавник на панели инструментов Wireshark.

    Чтобы остановить захват, нажмите Ctrl + E или выберите красную кнопку «Стоп» рядом с плавником акулы на панели инструментов Wireshark.

    Как просмотреть и проанализировать содержимое пакета

    Интерфейс захваченных данных содержит три основных раздела:

    • панель списка пакетов (верхняя часть)
    • панель сведений о пакете (средняя часть)
    • панель байтов пакета (нижняя часть)

    Интерфейс захваченных данных содержит три основных раздела: панель списка пакетов (верхняя часть); панель сведений о пакете (средняя часть); и панель байтов пакета (нижняя часть).

    Список пакетов

    Панель списка пакетов, расположенная в верхней части окна, показывает все пакеты, найденные в активном файле захвата. Каждый пакет имеет свою собственную строку и соответствующий ему номер вместе с каждой из этих точек данных.

    • нет: Это поле указывает, какие пакеты являются частью одного и того же диалога. Он остается пустым, пока вы не выберите пакет.
    • Время: Отметка времени, когда пакет был захвачен, отображается в этом столбце. Формат по умолчанию — это количество секунд или неполных секунд с момента первого создания этого конкретного файла захвата.
    • Источник: Этот столбец содержит адрес (IP или другой), где был создан пакет.
    • Пункт назначения: Этот столбец содержит адрес, на который отправляется пакет.
    • Протокол: Имя протокола пакета, например TCP, можно найти в этом столбце.
    • Длина: Длина пакета в байтах отображается в этом столбце.
    • Информация: Дополнительные подробности о пакете представлены здесь. Содержимое этого столбца может сильно различаться в зависимости от содержимого пакета.

    Чтобы изменить формат времени на более полезный (например, фактическое время дня), выберите Посмотреть > Формат отображения времени в верхней части основного интерфейса.

    Открытые или закрытые квадратные скобки и прямая горизонтальная линия в столбце № указывают, являются ли пакет или группа пакетов частью одного и того же разговора в сети.

    Детали пакета

    Панель сведений, расположенная посередине, представляет протоколы и поля протоколов выбранного пакета в разборном формате. В дополнение к расширению каждого выбора, вы можете применять отдельные фильтры Wireshark на основе конкретных деталей и отслеживать потоки данных в зависимости от типа протокола, щелкая правой кнопкой мыши нужный элемент.

    Вы можете применять отдельные фильтры Wireshark на основе конкретных деталей и отслеживать потоки данных в зависимости от типа протокола, щелкнув правой кнопкой мыши нужный элемент.

    Пакетные байты

    Внизу находится панель байтов пакетов, которая отображает необработанные данные выбранного пакета в шестнадцатеричном представлении. Этот шестнадцатеричный дамп содержит 16 шестнадцатеричных байтов и 16 ASCII-байтов вместе со смещением данных.

    Выбор определенной части этих данных автоматически выделяет соответствующий раздел на панели сведений о пакете и наоборот. Любые байты, которые не могут быть напечатаны, вместо этого представлены точкой.

    Выбор определенной части этих данных автоматически выделяет соответствующий раздел на панели сведений о пакете и наоборот.

    Чтобы отобразить эти данные в битовом формате, а не в шестнадцатеричном формате, щелкните правой кнопкой мыши в любом месте панели и выберите соответствующий параметр.

    Чтобы отобразить эти данные в битовом формате, а не в шестнадцатеричном формате, щелкните правой кнопкой мыши в любом месте панели и выберите соответствующий параметр.

    Как использовать Wireshark Filters

    Фильтры захвата инструктируют Wireshark записывать только пакеты, соответствующие указанным критериям. Фильтры также могут быть применены к файлу захвата, который уже был создан, так что отображаются только определенные пакеты. Они называются фильтрами отображения.

    Wireshark предоставляет большое количество стандартных фильтров по умолчанию. Чтобы использовать один из этих существующих фильтров, введите его имя в поле Применить фильтр отображения поле ввода, расположенное непосредственно под панелью инструментов Wireshark или в Введите фильтр захвата поле ввода расположено в центре экрана приветствия.

    Чтобы использовать один из существующих фильтров, введите его имя в поле «Применить фильтр отображения», расположенное непосредственно под панелью инструментов Wireshark.

    Например, если вы хотите отображать только TCP-пакеты, введите ТСР. Функция автозаполнения Wireshark показывает предлагаемые имена, когда вы начинаете печатать, что упрощает поиск правильного названия для фильтра, который вы ищете.

    Другой способ выбрать фильтр — это выбрать закладка на левой стороне поля ввода. выберите Управление выражениями фильтра или же Управление фильтрами отображения добавлять, удалять или редактировать фильтры.

    Другой способ выбрать фильтр - выбрать закладку в левой части поля ввода.

    Вы также можете получить доступ к ранее использованным фильтрам, нажав стрелку вниз в правой части поля ввода, чтобы отобразить раскрывающийся список истории.

    Вы также можете получить доступ к ранее использованным фильтрам, нажав стрелку вниз в правой части поля ввода, чтобы отобразить раскрывающийся список истории.

    Фильтры захвата применяются, как только вы начинаете запись сетевого трафика. Чтобы применить фильтр отображения, выберите правая стрелка в дальнем правом углу поля ввода.

    Чтобы применить фильтр отображения, выберите стрелку вправо в крайней правой части поля ввода.

    Цветовые правила Wireshark

    В то время как фильтры захвата и отображения Wireshark позволяют вам ограничивать, какие пакеты записываются или отображаются на экране, его функция окраски делает шаг вперед, позволяя легко различать различные типы пакетов на основе их индивидуального оттенка. Эта удобная функция позволяет быстро находить определенные пакеты в сохраненном наборе по цвету строки на панели списка пакетов.

    Диалог правил раскраски Wireshark открылся перед главным окном Wireshark

    В Wireshark встроено около 20 правил раскраски по умолчанию, каждое из которых можно изменить, отключить или удалить, если хотите. Выбрать Посмотреть > Правила раскраски для обзора того, что означает каждый цвет. Вы также можете добавить свои собственные фильтры на основе цвета.

    Несколько других полезных показателей доступны через Статистика раскрывающееся меню в верхней части экрана. Они включают в себя информацию о размере и времени самого файла захвата, а также десятки диаграмм и графиков, варьирующихся по темам, начиная с разбивки пакетов и заканчивая распределением запросов HTTP.

    Несколько других полезных показателей доступны через раскрывающееся меню Статистика в верхней части экрана.

    Фильтры отображения можно применять ко многим из этих статистических данных через их интерфейсы, а результаты можно экспортировать в несколько распространенных форматов файлов, включая CSV, XML и TXT.

    Расширенные возможности Wireshark

    Wireshark также поддерживает расширенные функции, в том числе возможность написания собственных протоколов анализаторов на языке программирования Lua.

Ссылка на основную публикацию