Paano Gamitin ang Wireshark: Isang Kumpletong Tutorial

Talaan ng mga Nilalaman:

Paano Gamitin ang Wireshark: Isang Kumpletong Tutorial
Paano Gamitin ang Wireshark: Isang Kumpletong Tutorial
Anonim

Ano ang Dapat Malaman

  • Ang Wireshark ay isang open-source na application na kumukuha at nagpapakita ng data na naglalakbay pabalik-balik sa isang network.
  • Dahil maaari itong mag-drill down at basahin ang mga nilalaman ng bawat packet, ginagamit ito upang i-troubleshoot ang mga problema sa network at subukan ang software.

Nalalapat ang mga tagubilin sa artikulong ito sa Wireshark 3.0.3 para sa Windows at Mac.

Bottom Line

Orihinal na kilala bilang Ethereal, ang Wireshark ay nagpapakita ng data mula sa daan-daang iba't ibang protocol sa lahat ng pangunahing uri ng network. Maaaring tingnan ang mga data packet sa real-time o pag-aralan offline. Sinusuportahan ng Wireshark ang dose-dosenang mga format ng capture/trace file, kabilang ang CAP at ERF. Ipinapakita ng pinagsamang mga tool sa pag-decryption ang mga naka-encrypt na packet para sa ilang karaniwang protocol, kabilang ang WEP at WPA/WPA2.

Paano Mag-download at Mag-install ng Wireshark

Maaaring ma-download ang Wireshark nang walang bayad mula sa website ng Wireshark Foundation para sa parehong macOS at Windows. Makikita mo ang pinakabagong stable na release at ang kasalukuyang developmental na release. Maliban kung isa kang advanced na user, i-download ang stable na bersyon.

Image
Image

Sa panahon ng proseso ng pag-setup ng Windows, piliing i-install ang WinPcap o Npcap kung ipo-prompt dahil kasama rito ang mga library na kinakailangan para sa pagkuha ng live na data.

Image
Image

Dapat ay naka-log in ka sa device bilang administrator para magamit ang Wireshark. Sa Windows 10, hanapin ang Wireshark at piliin ang Run as administrator Sa macOS, i-right click ang icon ng app at piliin ang Get InfoSa mga setting ng Pagbabahagi at Mga Pahintulot, bigyan ang admin ng Magbasa at Sumulat mga pribilehiyo.

Image
Image

Available din ang application para sa Linux at iba pang mga platform na tulad ng UNIX kabilang ang Red Hat, Solaris, at FreeBSD. Ang mga binary na kinakailangan para sa mga operating system na ito ay makikita sa ibaba ng pahina ng pag-download ng Wireshark sa ilalim ng seksyong Third-Party Packages. Maaari mo ring i-download ang source code ng Wireshark mula sa page na ito.

Paano Kumuha ng Mga Data Packet Gamit ang Wireshark

Kapag inilunsad mo ang Wireshark, inililista ng isang welcome screen ang mga available na koneksyon sa network sa iyong kasalukuyang device. Ipinapakita sa kanan ng bawat isa ay isang EKG-style na line graph na kumakatawan sa live na trapiko sa network na iyon.

Para simulan ang pagkuha ng mga packet gamit ang Wireshark:

  1. Pumili ng isa o higit pa sa mga network, pumunta sa menu bar, pagkatapos ay piliin ang Capture.

    Para pumili ng maraming network, pindutin nang matagal ang Shift key habang pinipili mo.

    Image
    Image

  2. Sa Wireshark Capture Interfaces window, piliin ang Start.

    May iba pang mga paraan upang simulan ang pagkuha ng packet. Piliin ang shark fin sa kaliwang bahagi ng Wireshark toolbar, pindutin ang Ctrl+E, o i-double click ang network.

    Image
    Image

  3. Piliin ang File > Save As o pumili ng Export na opsyon para i-record ang pagkuha.

    Image
    Image

  4. Para ihinto ang pagkuha, pindutin ang Ctrl+E. O kaya, pumunta sa Wireshark toolbar at piliin ang pulang Stop na button na matatagpuan sa tabi ng shark fin.

    Image
    Image

Paano Tingnan at Suriin ang Mga Nilalaman ng Packet

Ang nakuhang data interface ay naglalaman ng tatlong pangunahing seksyon:

  • Ang pane ng packet list (sa tuktok na seksyon)
  • Ang pane ng mga detalye ng packet (ang gitnang seksyon)
  • Ang pane ng packet bytes (sa ibabang seksyon)
Image
Image

Listahan ng Pakete

Ang pane ng packet list, na matatagpuan sa itaas ng window, ay nagpapakita ng lahat ng packet na makikita sa aktibong capture file. Ang bawat packet ay may sariling row at katumbas na numero na nakatalaga dito, kasama ang bawat isa sa mga data point na ito:

  • Hindi: Isinasaad ng field na ito kung aling mga packet ang bahagi ng parehong pag-uusap. Ito ay nananatiling blangko hanggang sa pumili ka ng isang packet.
  • Oras: Ang timestamp kung kailan nakuha ang packet ay ipinapakita sa column na ito. Ang default na format ay ang bilang ng mga segundo o bahagyang segundo mula noong unang ginawa ang partikular na capture file na ito.
  • Source: Ang column na ito ay naglalaman ng address (IP o iba pa) kung saan nagmula ang packet.
  • Patutunguhan: Ang column na ito ay naglalaman ng address kung saan ipinapadala ang packet.
  • Protocol: Ang pangalan ng protocol ng packet, gaya ng TCP, ay makikita sa column na ito.
  • Length: Ang haba ng packet, sa bytes, ay ipinapakita sa column na ito.
  • Impormasyon: Ang mga karagdagang detalye tungkol sa packet ay ipinakita dito. Ang mga nilalaman ng column na ito ay maaaring mag-iba nang malaki depende sa mga nilalaman ng packet.

Para baguhin ang format ng oras sa mas kapaki-pakinabang (gaya ng aktwal na oras ng araw), piliin ang View > Time Display Format.

Image
Image

Kapag napili ang isang packet sa tuktok na pane, maaari mong mapansin ang isa o higit pang mga simbolo na lalabas sa column na No.. Ang mga bukas o saradong bracket at isang tuwid na pahalang na linya ay nagpapahiwatig kung ang isang packet o grupo ng mga packet ay bahagi ng parehong pabalik-balik na pag-uusap sa network. Ang putol na pahalang na linya ay nangangahulugan na ang isang packet ay hindi bahagi ng pag-uusap.

Image
Image

Mga Detalye ng Packet

Ang pane ng mga detalye, na makikita sa gitna, ay nagpapakita ng mga protocol at protocol field ng napiling packet sa isang collapsible na format. Bilang karagdagan sa pagpapalawak ng bawat pagpili, maaari kang maglapat ng mga indibidwal na filter ng Wireshark batay sa mga partikular na detalye at sundan ang mga stream ng data batay sa uri ng protocol sa pamamagitan ng pag-right click sa gustong item.

Image
Image

Packet Bytes

Sa ibaba ay ang packet bytes pane, na nagpapakita ng raw data ng napiling packet sa isang hexadecimal view. Ang hex dump na ito ay naglalaman ng 16 hexadecimal byte at 16 ASCII byte kasama ng data offset.

Ang pagpili ng partikular na bahagi ng data na ito ay awtomatikong nagha-highlight sa kaukulang seksyon nito sa pane ng mga detalye ng packet at vice versa. Ang anumang byte na hindi maaaring i-print ay kinakatawan ng isang tuldok.

Image
Image

Upang ipakita ang data na ito sa bit na format kumpara sa hexadecimal, i-right click kahit saan sa loob ng pane at piliin ang bilang bits.

Image
Image

Paano Gumamit ng Mga Filter ng Wireshark

Ang mga filter ng Capture ay nagtuturo sa Wireshark na mag-record lamang ng mga packet na nakakatugon sa mga tinukoy na pamantayan. Ang mga filter ay maaari ding ilapat sa isang capture file na nalikha upang ang ilang mga packet lamang ang ipinapakita. Ang mga ito ay tinutukoy bilang mga display filter.

Ang

Wireshark ay nagbibigay ng malaking bilang ng mga paunang natukoy na filter bilang default. Para magamit ang isa sa mga kasalukuyang filter na ito, ilagay ang pangalan nito sa Maglagay ng display filter entry field na matatagpuan sa ibaba ng Wireshark toolbar o sa Maglagay ng capture filterfield na matatagpuan sa gitna ng welcome screen.

Halimbawa, kung gusto mong magpakita ng mga TCP packet, i-type ang tcp. Ang tampok na Wireshark autocomplete ay nagpapakita ng mga iminungkahing pangalan habang nagsisimula kang mag-type, na ginagawang mas madaling mahanap ang tamang moniker para sa filter na iyong hinahanap.

Image
Image

Ang isa pang paraan upang pumili ng filter ay ang piliin ang bookmark sa kaliwang bahagi ng field ng entry. Piliin ang Pamahalaan ang Mga Ekspresyon ng Filter o Pamahalaan ang Mga Filter ng Display upang magdagdag, mag-alis, o mag-edit ng mga filter.

Image
Image

Maaari mo ring i-access ang mga dating ginamit na filter sa pamamagitan ng pagpili sa pababang arrow sa kanang bahagi ng entry field upang magpakita ng history ng drop-down na listahan.

Image
Image

Ang mga filter ng pag-capture ay inilalapat sa sandaling simulan mong mag-record ng trapiko sa network. Para maglapat ng display filter, piliin ang kanang arrow sa kanang bahagi ng entry field.

Mga Panuntunan sa Kulay ng Wireshark

Habang nililimitahan ng pag-capture at pagpapakita ng mga filter ng Wireshark kung aling mga packet ang naitala o ipinapakita sa screen, ang pag-andar ng colorization nito ay nagpapatuloy sa mga bagay: Maaari itong makilala sa pagitan ng iba't ibang uri ng packet batay sa kanilang indibidwal na kulay. Mabilis nitong nahahanap ang ilang partikular na packet sa loob ng isang naka-save na set ayon sa kulay ng kanilang row sa pane ng packet list.

Image
Image

Ang

Wireshark ay may mga 20 default na panuntunan sa pagkukulay, bawat isa ay maaaring i-edit, i-disable, o i-delete. Piliin ang View > Coloring Rules para sa isang pangkalahatang-ideya kung ano ang ibig sabihin ng bawat kulay. Maaari ka ring magdagdag ng sarili mong mga filter na nakabatay sa kulay.

Image
Image

Piliin ang View > Colorize Packet List para i-on at i-off ang colorization ng packet.

Mga Istatistika sa Wireshark

Iba pang kapaki-pakinabang na sukatan ay available sa pamamagitan ng Statistics drop-down na menu. Kabilang dito ang laki at impormasyon sa timing tungkol sa pagkuha ng file, kasama ang dose-dosenang mga chart at graph na sumasaklaw sa paksa mula sa mga breakdown ng pag-uusap sa packet hanggang sa pag-load ng pamamahagi ng mga kahilingan sa

Image
Image

Maaaring ilapat ang mga filter ng display sa marami sa mga istatistikang ito sa pamamagitan ng kanilang mga interface, at maaaring i-export ang mga resulta sa mga karaniwang format ng file, kabilang ang CSV, XML, at TXT.

Wireshark Advanced Features

Sinusuportahan din ng Wireshark ang mga advanced na feature, kabilang ang kakayahang magsulat ng mga protocol dissector sa Lua programming language.

Inirerekumendang:

Patakbuhin ang Mga Utos sa Windows 8 (Isang Kumpletong Listahan)

Patakbuhin ang Mga Utos sa Windows 8 (Isang Kumpletong Listahan)

Isang kumpletong listahan ng Windows 8 run commands. Ang run command ay ang pangalan ng executable file na ginagamit upang simulan ang program

Isang Kumpletong Listahan ng Mga Linya ng Katayuan ng HTTP

Isang Kumpletong Listahan ng Mga Linya ng Katayuan ng HTTP

Isang kumpletong listahan ng mga linya ng status ng HTTP, ang status code ng HTTP at ang pariralang dahilan ng HTTP, sa format ng talahanayan

Paano Tingnan ang Kumpletong Pinagmulan ng Mensahe sa Email sa Outlook

Paano Tingnan ang Kumpletong Pinagmulan ng Mensahe sa Email sa Outlook

Alamin kung paano panatilihin ang pinagmulan ng mensahe sa mga email na kinukuha ng Outlook mula sa internet at kung paano tingnan ang mga header ng mensahe. Na-update upang isama ang Outlook 2019

Isang Kumpletong Gabay sa Microsoft Office

Isang Kumpletong Gabay sa Microsoft Office

Microsoft Office ay isang koleksyon ng mga application na nauugnay sa opisina na ginagamit upang lumikha ng mga dokumento, presentasyon, spreadsheet, database, at marami pang iba

Isang Kumpletong Gabay sa Mga Headphone

Isang Kumpletong Gabay sa Mga Headphone

Namimili ng isang pares ng headphone? Alamin ang tungkol sa iba't ibang uri na available dito para mahanap ang pares na pinakamainam para sa iyong mga pangangailangan