Hoe om Wireshark te gebruik [Tutoriaal]

Wireshark


Wat doen Wireshark?

Oor die afgelope paar jaar het Wireshark ‘n reputasie ontwikkel as een van die betroubaarste netwerkanaliseerders wat op die mark beskikbaar is. Gebruikers regoor die wêreld gebruik hierdie open source-program as ‘n volledige netwerkanalise-instrument. Deur middel van Wireshark kan gebruikers netwerkprobleme oplos, sekuriteitskwessies ondersoek, protokolle ontfout en netwerkprosesse leer.

In hierdie handleiding gaan u uitvind hoe Wireshark werk. Ons sal u deur die stappe neem om die Wireshark-program op te spoor en op u rekenaar te installeer. U sal uitvind hoe u ‘n pakketopname kan begin en watter inligting u kan verwag om daaruit te haal. Die Wireshark-tutoriaal wys u ook hoe u die beste kan benut uit die funksies van data-manipulasie binne die koppelvlak. U sal ook leer hoe u beter data-ontledingsfunksies kan kry as dié wat eie is aan Wireshark.

Hoe om Wireshark te gebruik

Soos hierbo genoem, is Wireshark ‘n netwerkanalise-instrument. In sy kern was Wireshark ontwerp om pakkies data wat oor verskillende netwerke oorgedra is, af te breek. Die gebruiker kan na spesifieke pakkies data soek en filter en analiseer hoe dit oor hul netwerk oorgedra word. Hierdie pakkies kan op ‘n intydse of aflynbasis vir ontleding gebruik word.

Die gebruiker kan hierdie inligting gebruik om statistieke en grafieke te genereer. Wireshark was oorspronklik bekend as Ethereal, maar het hom sedertdien gevestig as een van die belangrikste netwerkanalise-instrumente op die mark. Dit is die gebruiklike instrument vir gebruikers wat data wil sien wat deur verskillende netwerke en protokolle gegenereer word.

Wireshark is geskik vir sowel beginners as kundiges. Die gebruikerskoppelvlak is ongelooflik maklik om te gebruik sodra u die eerste stappe leer om pakkies vas te lê. Meer gevorderde gebruikers kan die dekripsie-instrumente van die platform gebruik om geïnkripteer pakkies op te deel.

Wireshark-kernkenmerke

Hieronder is ‘n uiteensetting van Wireshark se kernkenmerke:

  •  Voer regstreekse pakkiedata op
  •  Voer pakkies uit tekslêers in
  •  Kyk na pakkiedata en protokolinligting
  •  Stoor vasgelegde pakkiedata
  •  Vertoon pakkies
  •  Filter pakkies
  •  Soek pakkies
  •  Kleur pakkies in
  •  Genereer statistieke

Die meeste gebruikers gebruik Wireshark om netwerkprobleme op te spoor en hul sagteware te toets. As ‘n open source-projek word Wireshark gehandhaaf deur ‘n unieke span wat diensstandaarde hoog hou. In hierdie gids, bespreek ons ​​hoe om Wireshark te gebruik. Verdere inligting kan gevind word in die amptelike gebruikershandleiding van Wireshark.

Hoe om Wireshark af te laai en te installeer

Voordat u Wireshark gebruik, is die eerste ding wat u moet doen, aflaai en installeer. U kan Wireshark gratis aflaai van die maatskappy se webwerf. Om die soepelste ervaring te hê, word dit aanbeveel dat u die nuutste weergawe op u platform aflaai vanaf die afdeling ‘stabiele vrystelling’.

Installeer op Windows

Sodra u die program afgelaai het, kan u die opstelproses begin. Tydens die installasie kan u gevra word om WinPcap te installeer. Dit is belangrik om WinPcap te installeer, want daarsonder kan u nie regstreekse netwerkverkeer opspoor nie. Sonder WinPcap sal u slegs gestoorde vanglêers kan oopmaak. Om te installeer, gaan die Installeer WinPcap boks.

Installeer op Mac

Om Wireshark op Mac te installeer, moet u eers ‘n installeerder aflaai. Om dit te kan doen, laai ‘n installeerder soos exquartz af. Sodra u dit gedoen het, open die Terminal en voer die volgende opdrag in:

<% /Applications/Wireshark.app/Contents/Mac0S/Wireshark>

Wag dan vir Wireshark om te begin.

Installeer op Unix

Om Wireshark op Unix te laat loop, moet u eers ‘n paar ander instrumente op u stelsel installeer. Hierdie is:

  • GTK+, Die GIMP Tool Kit en Glib, albei van dieselfde bron.
  • U sal dit ook nodig hê glad. U kan vertroud wees met albei hul instrumente op https://www.gtk.org/
  • libpcap, wat u kry van http://www.tcpdump.org/.

Na die installering van bogenoemde ondersteunende sagteware en die aflaai van die sagteware vir Wireshark, moet u dit uit die teerlêer onttrek.

gzip -d wireshark-1.2-tar.gz
teer xvf wireshark-1.2-teer

Verander na die Wireshark-gids en reik dan die volgende opdragte uit:

./ instel
make
maak installeer

U kan nou die Wireshark-program op u Unix-rekenaar uitvoer.

Hoe om datapakkette vas te lê

Een van die kernfunksies van Wireshark as ‘n netwerkanalise-instrument is om pakkies data vas te lê. Om te leer hoe om Wireshark op te stel om pakkies vas te lê, is noodsaaklik om gedetailleerde netwerkanalise uit te voer. Dit is egter belangrik om daarop te let dat dit moeilik kan wees om pakkies te vang as u nuut is in Wireshark. Voordat u pakkies begin vasvang, is daar drie dinge wat u moet doen:

  1. Maak seker dat u die administratiewe voorregte het om ‘n regstreekse opname op u toestel te begin
  2. Kies die korrekte netwerk koppelvlak om pakkedata van te vang
  3. vang pakkie data vanaf die regte plek in u netwerk

Nadat u hierdie drie dinge gedoen het, is u gereed om die vasvangproses te begin. As u Wireshark gebruik om pakkies vas te lê, word dit in ‘n leesbare formaat vertoon sodat dit leesbaar is vir die gebruiker. Jy kan ook breek pakkies af met filters en kleurkodering as u meer spesifieke inligting wil sien.

As u Wireshark vir die eerste keer oopmaak, sal die volgende bekendstellingsskerm u ontmoet:

Wireshark netwerkanaliseerder

Die eerste ding wat u moet doen, is om na die beskikbare koppelvlakke te kyk. Kies dit om dit te doen vang > opsies. Die dialoogvenster “Capture Interfaces” sal dan oopmaak soos hieronder getoon:

vang koppelvlak

Merk die kassie van die koppelvlak wat u wil vaslê, en druk die begin knoppie om te begin. U kan verskeie koppelvlakke kies as u gelyktydig data uit verskeie bronne wil opneem.

Op Unix of Linux word die dialoogvenster in ‘n soortgelyke styl soos hierdie getoon:

unix / linux vang koppelvlak

U kan ook Wireshark begin deur die volgende opdragreël te gebruik:

<¢ wireshark -i eth0 —k>

U kan ook die haai vin knoppie op die werkbalk as ‘n kortpad om pakketopneem te inisieer. Sodra u op hierdie knoppie geklik het, sal Wireshark die regstreekse vangproses begin.

Klik op die rooi as u wil ophou vang stop knoppie langs die haaivin.

Promiskue modus

As u ‘n oorhoofse beeld van u netwerkpakkieoordragte wil ontwikkel, moet u ‘promiskue modus’ aktiveer. Promiskous modus is ‘n koppelvlakmodus waar Wireshark elke pakket wat hy sien, bevat. As hierdie modus gedeaktiveer is, verloor u deursigtigheid oor u netwerk en ontwikkel u slegs ‘n beperkte momentopname van u netwerk (dit maak dit moeiliker om enige ontleding uit te voer).

Klik op die om die promiskue modus te aktiveer Vangopsies dialoogkassie en klik promiskue modus. In teorie behoort dit al die verkeer op u netwerk te wys. Die promiskue modus-boks word hieronder getoon:

promiskue modus

Dit is egter dikwels nie die geval nie. Baie netwerk-koppelvlakke is bestand teen promiskue modus, dus u moet op die Wireshark-webwerf kyk vir inligting oor u spesifieke hardeware.

Op Windows is dit nuttig om oop te maak Toestelbestuurder en kyk of u instellings opgestel is om die onheilspellende modus af te wys. Byvoorbeeld:

toestelbestuurder

(Klik net op netwerk en maak dan seker dat u promiskue modus instelling op Laat alles toe).

As u instellings op die promiskue modus afwys, sal u die aantal pakkies wat Wireshark vasvang, beperk. Dus, selfs as u ‘n promiskue-modus op Wireshark geaktiveer het, moet u apparaatbestuurder seker maak dat u koppelvlak geen data blokkeer om deur te kom nie. As u tyd neem om deur u netwerkinfrastruktuur te kyk, sal dit verseker dat Wireshark al die nodige pakkies data ontvang.

Hoe om vasgestelde pakkies te ontleed

Sodra u u netwerkdata vasgelê het, wil u na u vasgestelde pakkette kyk. Op die onderstaande skermkiekie sien u drie vensters, die pakkie lys ruit, die pakkie grepe ruit, en die pakkie besonderhede paneel.

As u meer inligting wil hê, kan u op enige van die velde in elke pakket klik om meer te sien. As u op ‘n pakkie klik, kan u die interne grepe in die byte-aansig-afdeling sien.
vasgelê pakkies

Pakkielys

Die pakkie-lyspaneel word bo-aan die skermkiekie gewys. Elke stuk word opgesplitst na ‘n nommer met tyd, bron, bestemming, protokol en ondersteuningsinligting.

Pakkie-besonderhede

Pakketbesonderhede kan in die middel gevind word, met die protokolle van die gekose pakkie. U kan elke afdeling uitbrei deur op die pyltjie langs u keuse te klik. U kan ook addisionele filters toepas deur met die regter-kliek op die gekose item te klik.

Pakkie Bytes

Die pakkie-byte-paneel word onderaan die bladsy gewys. Hierdie paneel toon die interne data van u gekose pakket. As u ‘n deel van die gegewens in hierdie afdeling beklemtoon, word die ooreenstemmende inligting daarvan ook in die pakkie-detailspaneel uitgelig. Standaard word alle data in heksadesimale formaat getoon. As u dit in bitformaat wil verander, klik u met die rechtermuisknop op die paneel en kies hierdie opsie in die konteksmenu.

Hoe om Wireshark te gebruik om netwerkprestasie te analiseer

As u Wireshark wil gebruik om u netwerk te inspekteer en alle aktiewe verkeer te ontleed, moet u alle aktiewe toepassings op u netwerk sluit. Dit sal die verkeer tot ‘n minimum beperk, sodat u beter kan sien wat op u netwerk aangaan. Selfs as u al u aansoeke afskakel, sal u steeds ‘n massa pakkies stuur en ontvang.

Die gebruik van Wireshark om hierdie pakkies te filter, is die beste manier om u netwerkdata op te stel. As u verbinding aktief is, word duisende pakkies elke sekonde deur u netwerk oorgedra. Dit beteken dat dit noodsaaklik is dat u die inligting wat u nie nodig het nie, filter om ‘n duidelike beeld te kry van wat aangaan.

Vang filters en vertoon filters

Vang filters in en Vertoon filters is twee soorte verskillende filters wat op Wireshark gebruik kan word. Opvangfilters word gebruik om die grootte van inkomende pakkie-opname te verminder, en in wese word ander pakkies uitgefiltreer tydens die opneem van pakkies. As gevolg hiervan word vasvangfilters ingestel voordat u met die regstreekse vangproses begin.

Opnamefilters kan nie verander word sodra ‘n opname begin is nie. Aan die ander kant, Vertoon filters kan gebruik word om data wat reeds opgeneem is, te filter. Opneemfilters bepaal watter data u vanaf live-netwerkmonitering opneem, en vertoonfilters bepaal die data wat u sien as u deur voorheen vasgelegde pakkette kyk.

As u wil begin om u data te filter, is een van die maklikste maniere om dit te gebruik deur die filterkassie onder die werkbalk te gebruik. Byvoorbeeld, as u HTTP in die filtervak ​​invoer, sal u ‘n lys kry van al die HTTP-pakkette wat vasgelê is. As u begin tik, sal u ‘n outo-voltooide veld ontmoet. Die filterkas word hieronder getoon:

Wireshark-filter

U kan honderde verskillende filters gebruik om u pakketinligting te verdeel, van 104apci tot zvt. ‘N Uitgebreide lys kan op die Wireshark-webwerf hier gevind word. U kan ook ‘n filter kies deur op die boekmerk-ikoon links van die inskrywingsveld te klik. Dit sal ‘n spyskaart van gewilde filters skep.

As u kies om ‘n opnamefilter in te stel, tree u veranderinge in werking sodra u regstreekse verkeer begin opneem. Klik op die pyltjie aan die regterkant van die inskrywingsveld om ‘n vertoonfilter te aktiveer. Alternatiewelik kan u klik analiseer > Vertoon filters en kies ‘n filter uit die lys standaardinstellings.

Nadat u ‘n filter gekies het, kan u die TCP-gesprek agter ‘n pakkie besigtig. Klik hierop met die regterklik op die pakkie en klik op Volg > TCP-stroom. Dit wys u die TCP-uitruiling tussen die kliënt en die bediener.

As u meer inligting oor Wireshark-filter wil hê, is die handleiding van Wireshark om filters te vertoon ‘n goeie verwysingspunt.

Gebruik kleurkodering

Benewens die filter van watter pakkies vertoon of opgeneem word, maak Wireshark se kleurkoderingsfasiliteit dit makliker vir die gebruiker om verskillende pakkiesoorte volgens hul kleur te identifiseer. Byvoorbeeld, TCP-verkeer word aangedui deur ligpers en UDP-verkeer word aangedui deur ligblou. Dit is belangrik om daarop te let dat swart gebruik word om pakkies met foute uit te lig.

Op Wireshark se standaardinstellings is daar ongeveer 20 kleure waaruit u kan kies. U kan dit wysig, deaktiveer of uitvee. As u inkleur wil uitsit, klik dan op die Beskou kies en klik Kleur pakkielys in veld om dit af te skakel. As u meer inligting oor die kleurkodering op Wireshark wil sien, klik dan Beskou >Kleurreëls.

Besigtig netwerkstatistieke

Om meer inligting oor u netwerk te sien, kan die statistiek-keuselys is ongelooflik nuttig. Die statistiekmenu is aan die bokant van die skerm te sien en gee u ‘n aantal statistieke van inligting oor grootte en tydsberekening tot diagramme en grafieke. U kan ook vertoonfilters op hierdie statistieke toepas om belangrike inligting te verklein.

Die statistiekmenu van Wireshark word hieronder getoon:

draadharkstatistiek

In hierdie menu is daar ‘n verskeidenheid opsies om u netwerkinligting te verdeel.

Statistieke kieslys

Hier is ‘n paar kernafdelings:

  • Protokolhiërargie – Die Protocol Hierarchy-opsie maak ‘n venster op met ‘n volledige tabel met alle vasgelegde protokolle. Aktiewe vertoonfilters word ook onderaan vertoon.
  • gesprekke – Onthul die netwerksgesprek tussen twee eindpunte (byvoorbeeld die uitruil van verkeer van een IP-adres na ‘n ander).
  • eindpunte – Toon ‘n lys eindpunte (‘n netwerk eindpunt is waar protokolverkeer van ‘n spesifieke protokollaag eindig).
  • IO-grafieke – Toon gebruikersspesifieke grafieke en visualiseer die aantal pakkies gedurende die data-uitruiling.
  • RTP_statistics – Laat die gebruiker toe om die inhoud van ‘n RTP-klankstroom direk in ‘n Au-lêer te stoor.
  • Diensreaksietyd – Toon die responstyd tussen ‘n versoek en die antwoord van die netwerk.
  • TcpPduTime – Toon die tyd wat dit neem om data vanaf ‘n protokol-data-eenheid oor te dra. Kan gebruik word om TCP-heruitsendings te vind.
  • VoIP_Calls – Toon VoIP-oproepe verkry vanaf regstreekse opnames.
  • Multicast-stroom – Spoor multicast-strome op en meet die grootte van die bars en die uitsetbuffers met sekere snelhede.

Netwerkpakkies visualiseer met IO-grafieke

As u ‘n visuele voorstelling van u datapakkette wil skep, moet u IO-grafieke oopmaak. Klik op die statistieke kies en kies IO-grafieke. U sal dan deur ‘n grafiekvenster ontmoet word:

Wireshark IO-grafieke

Jy kan stel IO-grafieke op met u eie instellings volgens die data wat u wil vertoon. Slegs grafiek 1 is ingeskakel, dus as u 2-5 wil aktiveer, moet u daarop klik. Net so, as u ‘n skermfilter wil toepas op ‘n grafiek, klik dan op die filterikoon langs die grafiek waarmee u wil kommunikeer. Met die stylkolom kan u verander hoe u grafiek gestruktureer is. U kan kies tussen lyn, FBar, dot, of impuls.

U kan ook interaksie met die X- en Y-asberekening op u grafiek hê. Op die X-as laat u die regsintervalafdelings bepaal van hoe lank die interval is, van minute tot sekondes. U kan ook die sien as tyd van die dag merk om die tyd van die X-as te verander.

Onder die Y-as-gedeelte kan u die meeteenheid verander van een van die volgende opsies: Pakkies / Tick, Grepe / Tick, Stukkies / Tick, of Advanced. Met die skaal kan u die metingsskaal vir die Y-as van die grafiek kies.

Sodra u op Save druk, word die grafiek in ‘n lêerformaat van u keuse gestoor

Hoe om voorbeeldopnames te gebruik

As u wil oefen met die gebruik van Wireshark, maar u eie netwerk om watter rede ook al nie beskikbaar is nie, is die gebruik van ‘sample captures’ ‘n uitstekende alternatief. Voorbeeldopnames voorsien u van ‘n ander netwerk se pakkadata. U kan ‘n voorbeeldopname aflaai deur op die Wireshark-wiki-webwerf te gaan.

Die Wireshark wiki-webwerf bevat ‘n verskeidenheid voorbeeldlêers wat regoor die webwerf afgelaai kan word. Sodra u ‘n voorbeeldopname afgelaai het, kan u dit gebruik deur op File te klik > Maak oop en klik dan op u lêer.

Vangs lêers kan ook gevind word uit die volgende bronne:

  • ICIR
  • OpenPacket
  • PacketLife

Wireshark se vermoëns word uitgebrei

Alhoewel Wireshark ‘n wonderlike pakketsnyer is, is dit nie die belangrikste en eindelikste netwerk-analise-instrumente nie. U kan Wireshark uitbrei en dit ondersteun met aanvullende gereedskap. ‘N Wye gemeenskap ondersteunende plugins en platforms kan die vaardighede van Wireshark verbeter.

Probeer hierdie Wireshark-aanvullings om u analitiese vermoëns te verbeter:

  • SolarWinds-reaksietyd-kyker vir Wireshark stel gebruikers in staat om hul toepassings- en netwerk-responstyd te bereken. Dit kan langs Wireshark gebruik word om data en transaksievolume te vertoon. Dit help om die netwerkprestasie te beoordeel en moontlike verbeterings te identifiseer.
  • Cloudshark is ‘n analitiese hulpmiddel wat spesifiek geskryf is om die vang van haaihark te bewerk. Dit kan egter ook data van ander pakketsnyers invoer. ‘N Cloudshark-inprop vir Wireshark vergemaklik die oordrag van data na die analitiese instrument.
  • NetworkMiner is ‘n ander analitiese hulpmiddel wat op voere van Wireshark werk. Hierdie instrument is beskikbaar in ‘n gratis en betaalde weergawe.
  • Wys verkeer vertoon lewendige verkeersdata, en identifiseer pakkies volgens protokol.

SolarWinds-reaksietyd-kyker vir WiresharkDownload 100% GRATIS hulpmiddel

‘N Volledige netwerkanalise-instrument, soos die SolarWinds-monitor hieronder, kan ook ‘n goeie toevoeging tot u IT-administratietoerusting wees.

SolarWinds Network Performance Monitor: 360-graden netwerkbestuur – (GRATIS TOETS)

netwerk prestasie monitor

As een van die toonaangewende netwerkbestuuroplossings op die mark, bied SolarWinds Network Performance Monitor die gebruiker uitgebreide netwerkmoniteringsfunksies om hul netwerk veilig te hou. Van die monitering van bandbreedte tot latensie oor ‘n netwerk, kan die gebruiker alle regstreekse veranderinge dophou deur die dashboard vir prestasie-analise.

Die dashboard vir lewendige prestasie-analise bied ‘n oorsig van die gebruiker se intydse netwerkinfrastruktuur. ‘N Visuele skerm vertoon alle aktiewe netwerkverbindings en -toestelle. Dit maak dit makliker vir die gebruiker om ongemagtigde toestelle op te spoor.

Die gebruikersvriendelike koppelvlak stel gebruikers in staat om hul eie waarskuwings te definieer sodat hulle in kennis gestel kan word wanneer ongewone veranderinge op hul netwerk plaasvind. As ‘n nuwe toestel poog om aan te sluit, kan dit deur die stelsel gemerk word. Die lewendige data wat op die analise-dashboard gegenereer word, kan ook omgeskakel word in verslae om verdere insigte te genereer.

  • Monitering van multi-verskaffernetwerke – Identifiseer en los die uitvoeringskwessies van meerverkopers op.
  • Draadlose netwerk monitering – Kyk na prestasiemetings van toegangspunte, draadlose toestelle en kliënte.
  • Identifiseer Netwerk-dooie sones – Kyk na die hittekaart van die draadlose netwerk en identifiseer gebiede met ‘n swak sein.
  • Prestasie-analise-instrumentpaneel – Kyk na u volledige netwerkprestasie op een tydlyn. Sleep en verlaag prestasie-data om ‘n regstreekse datavisualisering te skep.
  • Intelligente waarskuwings – Gebruikers definieer hoe waarskuwings gegenereer word. Kies watter snelleromstandighede ‘n waarskuwing op die dashboard sal genereer.

SolarWinds Network Performance Monitor Laai GRATIS 30-dae-proeftydperk af op SolarWinds.com

Wireshark: eenvoudig en veelsydig

Dit sluit die uiteensetting van ons uiteensetting van hoe om Wireshark te gebruik. Of u nou ‘n nuwe gebruiker of ‘n veteraan van Wireshark is, hierdie platform is ‘n uiters veelsydige hulpmiddel vir netwerkanalise. As u op soek is na die beste voordeel uit Wireshark te kry, word dit sterk aanbeveel dat u aanvullende navorsing doen op die Wireshark-webwerf.

Dit is nog belangriker as u meer gevorderde funksies wil gebruik en u eie proteksiedissekteurs kan skep. Die amptelike gebruikershandleiding van Wireshark bied die omvattendste leiding oor die onderwerp.

Moenie vergeet om eksterne plugins en ondersteunende programme van SolarWinds te gebruik nie, aangesien dit die diepte van u toekomstige ontledingspogings dramaties kan verhoog. As u meer inligting oor die optimalisering van u netwerk wil hê, gaan ons in die diepte handleiding oor netwerkanaliseerders na.

Ander tutoriale:

  • Wireshark cheat sheet
  • Hoe om SSL met Wireshark te dekodeer
  • Gebruik Wireshark om die IP-adres van ‘n onbekende gasheer te kry
  • Met ‘n afstandopname met Wireshark en tcpdump
  • Wireshark ‘geen koppelvlakke gevind nie’ -fout word verduidelik
  • Identifiseer hardeware met OUI-soek in Wireshark
  • Beste Wireshark-alternatiewe
Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map