Ano ang Dapat Malaman
- Ang Wireshark ay isang open-source na application na kumukuha at nagpapakita ng data na naglalakbay pabalik-balik sa isang network.
- Dahil maaari itong mag-drill down at basahin ang mga nilalaman ng bawat packet, ginagamit ito upang i-troubleshoot ang mga problema sa network at subukan ang software.
Nalalapat ang mga tagubilin sa artikulong ito sa Wireshark 3.0.3 para sa Windows at Mac.
Bottom Line
Orihinal na kilala bilang Ethereal, ang Wireshark ay nagpapakita ng data mula sa daan-daang iba't ibang protocol sa lahat ng pangunahing uri ng network. Maaaring tingnan ang mga data packet sa real-time o pag-aralan offline. Sinusuportahan ng Wireshark ang dose-dosenang mga format ng capture/trace file, kabilang ang CAP at ERF. Ipinapakita ng pinagsamang mga tool sa pag-decryption ang mga naka-encrypt na packet para sa ilang karaniwang protocol, kabilang ang WEP at WPA/WPA2.
Paano Mag-download at Mag-install ng Wireshark
Maaaring ma-download ang Wireshark nang walang bayad mula sa website ng Wireshark Foundation para sa parehong macOS at Windows. Makikita mo ang pinakabagong stable na release at ang kasalukuyang developmental na release. Maliban kung isa kang advanced na user, i-download ang stable na bersyon.
Sa panahon ng proseso ng pag-setup ng Windows, piliing i-install ang WinPcap o Npcap kung ipo-prompt dahil kasama rito ang mga library na kinakailangan para sa pagkuha ng live na data.
Dapat ay naka-log in ka sa device bilang administrator para magamit ang Wireshark. Sa Windows 10, hanapin ang Wireshark at piliin ang Run as administrator Sa macOS, i-right click ang icon ng app at piliin ang Get InfoSa mga setting ng Pagbabahagi at Mga Pahintulot, bigyan ang admin ng Magbasa at Sumulat mga pribilehiyo.
Available din ang application para sa Linux at iba pang mga platform na tulad ng UNIX kabilang ang Red Hat, Solaris, at FreeBSD. Ang mga binary na kinakailangan para sa mga operating system na ito ay makikita sa ibaba ng pahina ng pag-download ng Wireshark sa ilalim ng seksyong Third-Party Packages. Maaari mo ring i-download ang source code ng Wireshark mula sa page na ito.
Paano Kumuha ng Mga Data Packet Gamit ang Wireshark
Kapag inilunsad mo ang Wireshark, inililista ng isang welcome screen ang mga available na koneksyon sa network sa iyong kasalukuyang device. Ipinapakita sa kanan ng bawat isa ay isang EKG-style na line graph na kumakatawan sa live na trapiko sa network na iyon.
Para simulan ang pagkuha ng mga packet gamit ang Wireshark:
-
Pumili ng isa o higit pa sa mga network, pumunta sa menu bar, pagkatapos ay piliin ang Capture.
Para pumili ng maraming network, pindutin nang matagal ang Shift key habang pinipili mo.
-
Sa Wireshark Capture Interfaces window, piliin ang Start.
May iba pang mga paraan upang simulan ang pagkuha ng packet. Piliin ang shark fin sa kaliwang bahagi ng Wireshark toolbar, pindutin ang Ctrl+E, o i-double click ang network.
-
Piliin ang File > Save As o pumili ng Export na opsyon para i-record ang pagkuha.
-
Para ihinto ang pagkuha, pindutin ang Ctrl+E. O kaya, pumunta sa Wireshark toolbar at piliin ang pulang Stop na button na matatagpuan sa tabi ng shark fin.
Paano Tingnan at Suriin ang Mga Nilalaman ng Packet
Ang nakuhang data interface ay naglalaman ng tatlong pangunahing seksyon:
- Ang pane ng packet list (sa tuktok na seksyon)
- Ang pane ng mga detalye ng packet (ang gitnang seksyon)
- Ang pane ng packet bytes (sa ibabang seksyon)
Listahan ng Pakete
Ang pane ng packet list, na matatagpuan sa itaas ng window, ay nagpapakita ng lahat ng packet na makikita sa aktibong capture file. Ang bawat packet ay may sariling row at katumbas na numero na nakatalaga dito, kasama ang bawat isa sa mga data point na ito:
- Hindi: Isinasaad ng field na ito kung aling mga packet ang bahagi ng parehong pag-uusap. Ito ay nananatiling blangko hanggang sa pumili ka ng isang packet.
- Oras: Ang timestamp kung kailan nakuha ang packet ay ipinapakita sa column na ito. Ang default na format ay ang bilang ng mga segundo o bahagyang segundo mula noong unang ginawa ang partikular na capture file na ito.
- Source: Ang column na ito ay naglalaman ng address (IP o iba pa) kung saan nagmula ang packet.
- Patutunguhan: Ang column na ito ay naglalaman ng address kung saan ipinapadala ang packet.
- Protocol: Ang pangalan ng protocol ng packet, gaya ng TCP, ay makikita sa column na ito.
- Length: Ang haba ng packet, sa bytes, ay ipinapakita sa column na ito.
- Impormasyon: Ang mga karagdagang detalye tungkol sa packet ay ipinakita dito. Ang mga nilalaman ng column na ito ay maaaring mag-iba nang malaki depende sa mga nilalaman ng packet.
Para baguhin ang format ng oras sa mas kapaki-pakinabang (gaya ng aktwal na oras ng araw), piliin ang View > Time Display Format.
Kapag napili ang isang packet sa tuktok na pane, maaari mong mapansin ang isa o higit pang mga simbolo na lalabas sa column na No.. Ang mga bukas o saradong bracket at isang tuwid na pahalang na linya ay nagpapahiwatig kung ang isang packet o grupo ng mga packet ay bahagi ng parehong pabalik-balik na pag-uusap sa network. Ang putol na pahalang na linya ay nangangahulugan na ang isang packet ay hindi bahagi ng pag-uusap.
Mga Detalye ng Packet
Ang pane ng mga detalye, na makikita sa gitna, ay nagpapakita ng mga protocol at protocol field ng napiling packet sa isang collapsible na format. Bilang karagdagan sa pagpapalawak ng bawat pagpili, maaari kang maglapat ng mga indibidwal na filter ng Wireshark batay sa mga partikular na detalye at sundan ang mga stream ng data batay sa uri ng protocol sa pamamagitan ng pag-right click sa gustong item.
Packet Bytes
Sa ibaba ay ang packet bytes pane, na nagpapakita ng raw data ng napiling packet sa isang hexadecimal view. Ang hex dump na ito ay naglalaman ng 16 hexadecimal byte at 16 ASCII byte kasama ng data offset.
Ang pagpili ng partikular na bahagi ng data na ito ay awtomatikong nagha-highlight sa kaukulang seksyon nito sa pane ng mga detalye ng packet at vice versa. Ang anumang byte na hindi maaaring i-print ay kinakatawan ng isang tuldok.
Upang ipakita ang data na ito sa bit na format kumpara sa hexadecimal, i-right click kahit saan sa loob ng pane at piliin ang bilang bits.
Paano Gumamit ng Mga Filter ng Wireshark
Ang mga filter ng Capture ay nagtuturo sa Wireshark na mag-record lamang ng mga packet na nakakatugon sa mga tinukoy na pamantayan. Ang mga filter ay maaari ding ilapat sa isang capture file na nalikha upang ang ilang mga packet lamang ang ipinapakita. Ang mga ito ay tinutukoy bilang mga display filter.
Ang
Wireshark ay nagbibigay ng malaking bilang ng mga paunang natukoy na filter bilang default. Para magamit ang isa sa mga kasalukuyang filter na ito, ilagay ang pangalan nito sa Maglagay ng display filter entry field na matatagpuan sa ibaba ng Wireshark toolbar o sa Maglagay ng capture filterfield na matatagpuan sa gitna ng welcome screen.
Halimbawa, kung gusto mong magpakita ng mga TCP packet, i-type ang tcp. Ang tampok na Wireshark autocomplete ay nagpapakita ng mga iminungkahing pangalan habang nagsisimula kang mag-type, na ginagawang mas madaling mahanap ang tamang moniker para sa filter na iyong hinahanap.
Ang isa pang paraan upang pumili ng filter ay ang piliin ang bookmark sa kaliwang bahagi ng field ng entry. Piliin ang Pamahalaan ang Mga Ekspresyon ng Filter o Pamahalaan ang Mga Filter ng Display upang magdagdag, mag-alis, o mag-edit ng mga filter.
Maaari mo ring i-access ang mga dating ginamit na filter sa pamamagitan ng pagpili sa pababang arrow sa kanang bahagi ng entry field upang magpakita ng history ng drop-down na listahan.
Ang mga filter ng pag-capture ay inilalapat sa sandaling simulan mong mag-record ng trapiko sa network. Para maglapat ng display filter, piliin ang kanang arrow sa kanang bahagi ng entry field.
Mga Panuntunan sa Kulay ng Wireshark
Habang nililimitahan ng pag-capture at pagpapakita ng mga filter ng Wireshark kung aling mga packet ang naitala o ipinapakita sa screen, ang pag-andar ng colorization nito ay nagpapatuloy sa mga bagay: Maaari itong makilala sa pagitan ng iba't ibang uri ng packet batay sa kanilang indibidwal na kulay. Mabilis nitong nahahanap ang ilang partikular na packet sa loob ng isang naka-save na set ayon sa kulay ng kanilang row sa pane ng packet list.
Ang
Wireshark ay may mga 20 default na panuntunan sa pagkukulay, bawat isa ay maaaring i-edit, i-disable, o i-delete. Piliin ang View > Coloring Rules para sa isang pangkalahatang-ideya kung ano ang ibig sabihin ng bawat kulay. Maaari ka ring magdagdag ng sarili mong mga filter na nakabatay sa kulay.
Piliin ang View > Colorize Packet List para i-on at i-off ang colorization ng packet.
Mga Istatistika sa Wireshark
Iba pang kapaki-pakinabang na sukatan ay available sa pamamagitan ng Statistics drop-down na menu. Kabilang dito ang laki at impormasyon sa timing tungkol sa pagkuha ng file, kasama ang dose-dosenang mga chart at graph na sumasaklaw sa paksa mula sa mga breakdown ng pag-uusap sa packet hanggang sa pag-load ng pamamahagi ng mga kahilingan sa
Maaaring ilapat ang mga filter ng display sa marami sa mga istatistikang ito sa pamamagitan ng kanilang mga interface, at maaaring i-export ang mga resulta sa mga karaniwang format ng file, kabilang ang CSV, XML, at TXT.
Wireshark Advanced Features
Sinusuportahan din ng Wireshark ang mga advanced na feature, kabilang ang kakayahang magsulat ng mga protocol dissector sa Lua programming language.