Wireshark is 'n gratis program wat u toelaat om die data wat heen en weer op u netwerk heen en weer beweeg, te vang en te sien. Dit bied u die geleentheid om die inhoud van elke pakkie te boor en te lees - gefiltreer om u spesifieke behoeftes te voorsien. Dit word algemeen gebruik om netwerkprobleme op te los, sowel as om sagteware te ontwikkel en te toets. Hierdie open-source protokol ontleder word algemeen aanvaar as die bedryfstandaard en het sy eerlike deel van toekennings oor die jare gewen.
Oorspronklik bekend as Ethereal, Wireshark beskik oor 'n gebruikersvriendelike koppelvlak wat data van honderde verskillende protokolle op alle groot netwerksoorte kan vertoon. Hierdie data pakkette kan in real-time gesien word of geanaliseer word vanlyn, met dekades van die opname / spoor-formaat wat ondersteun word, insluitende CAP en ERF . Geïntegreerde dekripsie gereedskap laat jou toe om geïnkripteer pakkies te sien vir verskeie gewilde protokolle soos WEP en WPA / WPA2 .
01 van 07
Laai en installeer Wireshark
Wireshark kan gratis afgelaai word vanaf die Wireshark Foundation webwerf vir beide MacOS en Windows bedryfstelsels. Tensy u 'n gevorderde gebruiker is, word aanbeveel dat u slegs die nuutste stabiele weergawe aflaai. Tydens die opstelproses (slegs Windows) moet u ook WinPcap installeer indien u gevra word, aangesien dit 'n biblioteek benodig vir lewendige data-opname.
Die program is ook beskikbaar vir Linux en die meeste ander UNIX-platforms, waaronder Red Hat , Solaris en FreeBSD. Die binaries wat benodig word vir hierdie bedryfstelsels, kan gevind word aan die onderkant van die aflaai bladsy in die Derdeparty-pakkette.
U kan ook Wireshark se bronkode van hierdie bladsy aflaai.
02 van 07
Hoe om datapakkette te vang
Wanneer jy Wireshark begin, moet 'n welkome skerm soortgelyk aan die een wat hierbo getoon word sigbaar wees, met 'n lys van beskikbare netwerkverbindings op jou huidige toestel. In hierdie voorbeeld sien jy dat die volgende verbindings tipes gewys word: Bluetooth Netwerkverbinding , Ethernet , Netwerk Netwerk Netwerk , Netwerk vir Wi-Fi . Aan die regterkant van elkeen is 'n EKG-styl lyngrafiek wat lewende verkeer op die betrokke netwerk verteenwoordig.
Om pakkies te begin vas te stel, kies eers een of meer van hierdie netwerke deur op u keuse (s) te klik en gebruik die Shift- of Ctrl- sleutels as u data van verskeie netwerke gelyktydig wil opneem. Sodra 'n verbindingstipe gekies is vir vaslegging, sal die agtergrond in blou of grys geskakeer word. Klik op Capture van die hoofkieslys, geleë na die top van die Wireshark-koppelvlak. Wanneer die aftrekkieslys verskyn, kies die opsie Begin .
U kan ook pakkieinskrywing installeer via een van die volgende kortpaaie.
- Sleutelbord: Druk Ctrl + E
- Muis: Om te begin om pakkies van 'n spesifieke netwerk vas te lê, kliek dubbel op sy naam
- Toolbar: Klik op die blou haai vin knoppie, geleë aan die linkerkant van die Wireshark toolbar
Die live capture proses sal nou begin, met pakkie besonderhede vertoon in die Wireshark venster soos dit aangeteken word. Voer een van die volgende aksies uit om op te hou om vas te vang.
- Sleutelbord: Druk Ctrl + E
- Toolbar: Klik op die rooi stop knoppie, langs die haai vin op die Wireshark toolbar
03 van 07
Bekyk en ontleed pakketinhoud
Noudat jy 'n paar netwerkdata opgeteken het, is dit tyd om 'n blik op die vasgelegde pakkies te kry. Soos in die skermkiekie hierbo aangetoon, bevat die gevangeerde data-koppelvlak drie hoofafdelings: die pakkelysvenster, die paneelbesonderhede-paneel en die pakkie-byte-paneel.
Pakketlys
Die pakketlyslys, bokant die venster, bevat alle pakkies wat in die aktiewe vang lêer gevind word. Elke pakkie het sy eie ry en ooreenstemmende nommer wat aan hom toegewys is, saam met elk van hierdie data punte.
- Tyd: Die tydstip van wanneer die pakkie gevang is, word in hierdie kolom vertoon. Die standaardformaat is die aantal sekondes (of gedeeltelike sekondes) aangesien hierdie spesifieke lêer vir die eerste keer geskep is. Om hierdie formaat te verander na iets wat dalk 'n bietjie nuttiger kan wees, soos die werklike tyd van die dag, kies die opsie Tydskermformaat uit Wireshark se View- kieslys - bo aan die hoofkoppelvlak.
- Bron: Hierdie kolom bevat die adres (IP of ander) waar die pakket ontstaan het.
- Bestemming: Hierdie kolom bevat die adres waarheen die pakkie gestuur word.
- Protokol: Die protokolnaam van die pakkie (dws TCP) kan in hierdie kolom gevind word.
- Lengte: Die pakketlengte, in grepe, word in hierdie kolom vertoon.
- Info: Addisionele besonderhede oor die pakkie word hier aangebied. Die inhoud van hierdie kolom kan baie wissel, afhangende van die inhoud van die pakkie.
Wanneer 'n pakkie in die boonste paneel gekies word, kan jy dalk een of meer simbole in die eerste kolom verskyn. Oop en / of geslote hakies, sowel as 'n reguit horisontale lyn, kan aandui of 'n pakkie of groep pakkies almal deel is van dieselfde heen en weer gesprek op die netwerk. 'N Gebroke horisontale lyn dui daarop dat 'n pakkie nie deel van die gesprek is nie.
Pakketbesonderhede
Die besonderhede venster, wat in die middel gevind word, bied die protokolle en protokolvelde van die gekose pakkie in 'n inklapbare formaat aan. Benewens die uitbreiding van elke seleksie, kan u ook individuele Wireshark-filters toepas op grond van spesifieke besonderhede, sowel as die stroom van data wat gebaseer is op protokoltipe via die konteksmenu van besonderhede. Toeganklik deur met die rechtermuisknop op die gewenste item in hierdie venster te klik.
Pakkette
Aan die onderkant is die paneelbytepaneel, wat die rou data van die gekose pakkie in 'n heksadesimale aansig vertoon. Hierdie hex dump bevat 16 heksadesimale grepe en 16 ASCII-grepe langs die data-offset.
As u 'n spesifieke gedeelte van hierdie data kies, word die ooreenstemmende gedeelte outomaties in die paneelbesonderhede-venster en omgekeerd. Enige grepe wat nie gedruk kan word nie, word eerder deur 'n tydperk voorgestel.
U kan kies om hierdie data in bietjie formaat te vertoon in teenstelling met heksadesimaal deur regs te klik in die venster en die toepaslike opsie uit die konteks kieslys te kies.
04 van 07
Gebruik Wireshark Filters
Een van die belangrikste funksies in Wireshark is sy filtervermoëns, veral as jy te doen het met lêers wat beduidend van grootte is. Gevangenskapsfilters kan vooraf ingestel word, en beveel Wireshark aan om slegs daardie pakkies op te neem wat aan u gespesifiseerde kriteria voldoen.
Filters kan ook toegepas word op 'n vang lêer wat reeds geskep is, sodat slegs sekere pakkies gewys word. Dit word na verwys as vertoon filters.
Wireshark bied standaard 'n groot aantal vooraf gedefinieerde filters, waardeur jy die aantal sigbare pakkies met net 'n paar toetsaanslagen of muisklikken verlig. Om een van hierdie bestaande filters te gebruik, plaas sy naam in die veld ' Toepassing van 'n vertoningsfilter invoer (direk onder die Wireshark-nutsbalk) of in die veld' Opname- filterinskrywing ' (in die middel van die welkomstskerm).
Daar is verskeie maniere om dit te bereik. As jy reeds die naam van jou filter ken, tik dit eenvoudig in die toepaslike veld. As jy byvoorbeeld net TCP-pakkies wil vertoon, tik jy tcp . Wireshark se outo-volledige funksie sal voorgestelde name wys terwyl jy begin tik, wat dit makliker maak om die korrekte moniker vir die filter te vind wat jy soek.
'N Ander manier om 'n filter te kies, is om op die bladmerk-ikoon wat aan die linkerkant van die inskrywingsveld geplaas word, te klik. Dit sal 'n spyskaart bevat wat sommige van die algemeenste filters bevat, asook 'n opsie om Capture Filters te bestuur of Wys filters te beheer . As jy kies om enige tipe te bestuur, sal 'n koppelvlak verskyn sodat jy filters kan byvoeg, verwyder of wysig.
U kan ook gebruik maak van voorheen gebruikte filters deur die pyltjie af te druk, aan die regterkant van die inskrywingsveld, wat 'n geskiedenislys vertoon.
Sodra dit ingestel is, sal vangfilters toegepas word sodra jy netwerkverkeer begin opneem. Om 'n vertoningsfilter toe te pas, moet jy egter die regterkantste pyltjieknoppie regs van die inskrywingsveld klik.
05 van 07
Kleurreëls
Terwyl Wireshark se opvang- en vertoningsfiltreerders jou toelaat om te beperk watter pakkette op die skerm aangeteken of vertoon word, neem die kleurvertoningsfunksies 'n stap verder deur dit maklik te onderskei tussen verskillende pakkettipes gebaseer op hul individuele kleure. Hierdie handige funksie laat jou toe om sekere pakkies vinnig binne 'n gestoorde stel te vind deur die kleurskema van hul ry in die paklyslys.
Wireshark kom met ongeveer 20 standaard kleurreëls ingebou in; elkeen wat geredigeer, gedeaktiveer of verwyder kan word as jy dit wil. U kan ook nuwe skaduwee-gebaseerde filters byvoeg deur die kleurreëls koppelvlak, toeganklik in die kieslys. Benewens die definisie van 'n naam en filterkriteria vir elke reël, word u ook gevra om 'n agtergrondkleur en 'n tekskleur te assosieer.
Pakketkleurisasie kan afgeskakel word deur middel van die opsie Colorize Packet List , ook in die View- kieslys.
06 van 07
Statistiek
Benewens die gedetailleerde inligting oor die data van jou netwerk wat in Wireshark se hoofvenster getoon word, is verskeie ander nuttige statistieke beskikbaar via die vervolg keuselys Statistieke wat bo-aan die skerm gevind word. Dit sluit in grootte en tydsberekening inligting oor die vang lêer self, tesame met die lyne van grafieke en grafieke wat wissel in die onderwerp van pakketgesprek afbreekpunte om verspreiding van HTTP-versoeke te laai.
Wys filters kan toegepas word op baie van hierdie statistieke via hul individuele koppelvlakke, en die resultate kan uitgevoer word na verskeie algemene lêerformate, insluitend CSV , XML en TXT.
07 van 07
Gevorderde funksies
Alhoewel ons die meeste van Wireshark se hooffunksies in hierdie artikel gedek het, is daar ook 'n versameling addisionele funksies beskikbaar in hierdie kragtige instrument wat gewoonlik vir gevorderde gebruikers gereserveer word. Dit sluit in die vermoë om u eie protokoldissekteurs in die Lua-programmeertaal te skryf.
Vir meer inligting oor hierdie gevorderde funksies, verwys na Wireshark se amptelike gebruikersgids.