Kuidas lugeda Wiresharkis pakette

Paljude IT-ekspertide jaoks on Wireshark võrgupakettide analüüsimise tööriist. Avatud lähtekoodiga tarkvara võimaldab teil kogutud andmeid hoolikalt uurida ja suurema täpsusega määrata probleemi juur. Lisaks töötab Wireshark reaalajas ja kasutab muude vahvate mehhanismide hulgas jäädvustatud pakettide kuvamiseks värvikoodi.

Kuidas lugeda Wiresharkis pakette

Selles õpetuses selgitame, kuidas Wiresharki abil pakette jäädvustada, lugeda ja filtreerida. Altpoolt leiate võrguanalüüsi põhifunktsioonide samm-sammult juhised ja jaotused. Kui olete need põhitoimingud selgeks õppinud, saate kontrollida oma võrgu liiklusvoogu ja tõhusamalt probleeme lahendada.

Pakettide analüüsimine

Kui paketid on hõivatud, korraldab Wireshark need üksikasjalikule paketiloendi paanile, mida on uskumatult lihtne lugeda. Kui soovite juurdepääsu ühe paketi teabele, peate vaid leidma selle loendist ja klõpsama. Samuti saate puud veelgi laiendada, et pääseda juurde iga paketis sisalduva protokolli üksikasjadele.

Põhjalikuma ülevaate saamiseks saate kuvada iga jäädvustatud paketi eraldi aknas. Tehke järgmist.

  1. Valige kursoriga loendist pakett, seejärel paremklõpsake.

  2. Avage ülaltoodud tööriistaribal vahekaart "Vaade".

  3. Valige rippmenüüst "Näita paketti uues aknas".

Märkus. Jäädvustatud pakette on palju lihtsam võrrelda, kui tuua need üles eraldi akendes.

Nagu mainitud, kasutab Wireshark andmete visualiseerimiseks värvikoodide süsteemi. Iga pakett on tähistatud erineva värviga, mis tähistab erinevat tüüpi liiklust. Näiteks TCP-liiklus on tavaliselt sinisega esile tõstetud, samas kui musta kasutatakse vigu sisaldavate pakettide tähistamiseks.

Muidugi ei pea te iga värvi tähendust meelde jätma. Selle asemel saab kohapeal kontrollida:

  1. Paremklõpsake paketil, mida soovite uurida.

  2. Valige ekraani ülaosas olevalt tööriistaribalt vahekaart "Vaade".

  3. Valige rippmenüüst "Värvireeglid".

Näete võimalust kohandada värvimist vastavalt oma maitsele. Kui soovite aga värvireegleid ajutiselt muuta, toimige järgmiselt.

  1. Paremklõpsake pakettide loendi paanil paketil.
  2. Valige valikute loendist "Värvi filtriga".

  3. Valige värv, millega soovite selle märgistada.

Number

Pakettide loendi paan näitab jäädvustatud andmebittide täpset arvu. Kuna paketid on korraldatud mitmesse veergu, on seda üsna lihtne tõlgendada. Vaikekategooriad on järgmised:

  • Nr (Arv): Nagu mainitud, leiate sellest veerust hõivatud pakettide täpse arvu. Numbrid jäävad samaks ka pärast andmete filtreerimist.
  • Aeg: nagu võis arvata, kuvatakse siin paketi ajatempel.
  • Allikas: see näitab, kust pakett pärineb.
  • Sihtkoht: näitab kohta, kus pakki hoitakse.
  • Protokoll: kuvab protokolli nime, tavaliselt lühendina.
  • Pikkus: see näitab hõivatud paketis sisalduvate baitide arvu.
  • Teave: veerg sisaldab mis tahes lisateavet konkreetse paketi kohta.

Aeg

Kui Wireshark analüüsib võrguliiklust, on iga jäädvustatud pakett ajatembeldatud. Ajatemplid lisatakse seejärel pakettide loendi paani ja on hilisemaks kontrollimiseks saadaval.

Wireshark ei loo ajatempleid ise. Selle asemel hangib analüsaatori tööriist need Npcapi teegist. Ajatempli allikas on aga tegelikult tuum. Seetõttu võib ajatempli täpsus failiti erineda.

Saate valida vormingu, milles ajatemplid pakettide loendis kuvatakse. Lisaks saate määrata eelistatud täpsuse või kuvatavate kümnendkohtade arvu. Lisaks vaikesätetele on olemas ka:

  • Sekundid
  • Sekundi kümnendikud
  • Sajad sekundid
  • Millisekundid
  • Mikrosekundid
  • Nanosekundid

Allikas

Nagu nimigi ütleb, on paketi allikaks päritolukoht. Kui soovite hankida Wiresharki hoidla lähtekoodi, saate selle alla laadida Giti kliendi abil. Meetod nõuab aga GitLabi konto olemasolu. Seda saab teha ka ilma, kuid parem on igaks juhuks registreeruda.

Kui olete konto registreerinud, toimige järgmiselt.

  1. Veenduge, et Git oleks funktsionaalne, kasutades seda käsku: "$ git -- versioon.

  2. Kontrollige veelkord, kas teie e-posti aadress ja kasutajanimi on konfigureeritud.
  3. Järgmisena looge Worksharki allika kloon. Kasuta "$ git kloon -o ülesvoolu [e-postiga kaitstud] :wireshark/wireshark.git” SSH URL koopia tegemiseks.
  4. Kui teil pole GitLabi kontot, proovige HTTPS-i URL-i: "$ git kloon -o ülesvoolu //gitlab.com/wireshark/wireshark.git.

Kõik allikad kopeeritakse hiljem teie seadmesse. Pidage meeles, et kloonimine võib veidi aega võtta, eriti kui teil on aeglane võrguühendus.

Sihtkoht

Kui soovite teada konkreetse paketi sihtkoha IP-aadressi, saate selle asukoha leidmiseks kasutada kuvafiltrit. Tehke järgmist.

  1. Sisenema "ip.addr == 8.8.8.8” Wiresharki filtrikasti. Seejärel klõpsake nuppu "Sisesta".

  2. Pakettide loendi paan konfigureeritakse ümber ainult paketi sihtkoha kuvamiseks. Leidke loendit sirvides teid huvitav IP-aadress.

  3. Kui olete lõpetanud, valige paketiloendi paani uuesti konfigureerimiseks tööriistaribalt "Tühjenda".

Protokoll

Protokoll on juhend, mis määrab andmeedastuse erinevate samasse võrku ühendatud seadmete vahel. Iga Wiresharki pakett sisaldab protokolli ja saate selle kuvafiltri abil kuvada. Tehke järgmist.

  1. Klõpsake Wiresharki akna ülaosas dialoogiboksil Filter.
  2. Sisestage selle protokolli nimi, mida soovite uurida. Tavaliselt kirjutatakse protokollide pealkirjad väiketähtedega.
  3. Kuvafiltri lubamiseks klõpsake "Sisesta" või "Rakenda".

Pikkus

Wiresharki paketi pikkuse määrab selles konkreetses võrgujupis jäädvustatud baitide arv. See arv vastab tavaliselt Wiresharki akna allosas loetletud töötlemata andmebaitide arvule.

Kui soovite uurida pikkuste jaotust, avage aken "Paketti pikkused". Kogu teave on jagatud järgmistesse veergudesse:

  • Pakendi pikkused
  • Count
  • Keskmine
  • Min Val/Max Val
  • Hinda
  • protsenti
  • Sarivõtete sagedus
  • Sarja algus

Info

Kui konkreetses hõivatud paketis on kõrvalekaldeid või sarnaseid üksusi, märgib Wireshark selle. Seejärel kuvatakse teave paketiloendi paanil edasiseks uurimiseks. Nii saate selge pildi ebatüüpilisest võrgukäitumisest, mille tulemuseks on kiiremad reaktsioonid.

Täiendavad KKK-d

Kuidas ma saan pakettandmeid filtreerida?

Filtreerimine on tõhus funktsioon, mis võimaldab teil uurida konkreetse andmejada eripära. Wiresharki filtreid on kahte tüüpi: püüdmine ja kuvamine. Hüüdmisfiltrid on selleks, et piirata pakettide püüdmist vastavalt konkreetsetele nõudmistele. Teisisõnu saate püüdmisfiltri rakendamisega läbi sõeluda erinevat tüüpi liiklust. Nagu nimigi ütleb, võimaldavad kuvafiltrid teil lihvida paketi konkreetset elementi, alates paketi pikkusest kuni protokollini.

Filtri rakendamine on üsna lihtne protsess. Filtri pealkirja saate sisestada Wiresharki akna ülaosas asuvasse dialoogiboksi. Lisaks täidab tarkvara tavaliselt filtri nime automaatselt.

Teise võimalusena, kui soovite Wiresharki vaikefiltreid läbi kammida, tehke järgmist.

1. Avage Wiresharki akna ülaosas oleva tööriistariba vahekaart Analüüsi.

2. Valige ripploendist „Kuvafilter”.

3. Sirvige loendit ja klõpsake sellel, mida soovite rakendada.

Lõpuks on siin mõned tavalised Wiresharki filtrid, mis võivad kasuks tulla:

• Ainult allika ja sihtkoha IP-aadressi vaatamiseks kasutage: “ip.src==IP-aadress ja ip.dst==IP-aadress

• Ainult SMTP-liikluse vaatamiseks tippige: "tcp.port eq 25

• Kogu alamvõrgu liikluse hõivamiseks rakendage: "neto 192.168.0.0/24

• Kõigi peale ARP- ja DNS-liikluse jäädvustamiseks kasutage järgmist.port mitte 53 ja mitte arp

Kuidas pakettandmeid Wiresharkis jäädvustada?

Kui olete Wiresharki oma seadmesse alla laadinud, saate alustada võrguühenduse jälgimist. Andmepakettide kogumiseks põhjalikuks analüüsiks peate tegema järgmist.

1. Käivitage Wireshark. Näete saadaolevate võrkude loendit, nii et klõpsake sellel, mida soovite uurida. Kui soovite liikluse tüüpi täpselt määrata, saate rakendada ka püüdmisfiltrit.

2. Kui soovite kontrollida mitut võrku, kasutage juhtnuppu „tõstuklahv + vasakklõps”.

3. Järgmiseks klõpsake ülaloleval tööriistaribal vasakpoolsel haiuime ikooni.

4. Samuti saate pildistamist alustada, klõpsates vahekaardil "Püüdmine" ja valides ripploendist "Start".

5. Teine võimalus seda teha on kasutada “Control – E” klahvivajutust.

Kui tarkvara haarab andmed, näete neid reaalajas pakettide loendi paanil.

Shark Byte

Kuigi Wireshark on kõrgelt arenenud võrguanalüsaator, on seda üllatavalt lihtne tõlgendada. Pakettide loendi paan on äärmiselt põhjalik ja hästi korraldatud. Kogu teave on jagatud seitsmesse erinevasse värvitoonis ja tähistatud selgete värvikoodidega.

Lisaks on avatud lähtekoodiga tarkvaral hulgaliselt hõlpsasti rakendatavaid filtreid, mis hõlbustavad jälgimist. Hüüdmisfiltri lubamisega saate täpselt kindlaks teha, millist liiklust soovite Wiresharkil analüüsida. Ja kui andmed on haaratud, saate määratud otsingute jaoks rakendada mitut kuvafiltrit. Kokkuvõttes on see ülitõhus mehhanism, mida pole liiga raske omandada.

Kas kasutate võrguanalüüsiks Wiresharki? Mida arvate filtreerimisfunktsioonist? Andke meile allolevates kommentaarides teada, kui mõne kasuliku paketianalüüsi funktsiooni vahele jätsime.