Jak czytać pakiety w Wireshark

Dla wielu ekspertów IT Wireshark jest podstawowym narzędziem do analizy pakietów sieciowych. Oprogramowanie typu open source umożliwia dokładne zbadanie zebranych danych i ustalenie źródła problemu z większą dokładnością. Co więcej, Wireshark działa w czasie rzeczywistym i używa kodowania kolorami do wyświetlania przechwyconych pakietów, a także innych sprytnych mechanizmów.

Jak czytać pakiety w Wireshark

W tym samouczku wyjaśnimy, jak przechwytywać, odczytywać i filtrować pakiety za pomocą Wireshark. Poniżej znajdziesz instrukcje krok po kroku oraz zestawienia podstawowych funkcji analizy sieci. Po opanowaniu tych podstawowych kroków będziesz mógł kontrolować przepływ ruchu w swojej sieci i rozwiązywać problemy z większą wydajnością.

Analizowanie pakietów

Po przechwyceniu pakietów Wireshark organizuje je w szczegółowym panelu z listą pakietów, który jest niezwykle łatwy do odczytania. Jeśli chcesz uzyskać dostęp do informacji dotyczących pojedynczego pakietu, wystarczy zlokalizować go na liście i kliknąć. Możesz również dalej rozwinąć drzewo, aby uzyskać dostęp do szczegółów każdego protokołu zawartego w pakiecie.

Aby uzyskać pełniejszy przegląd, każdy przechwycony pakiet można wyświetlić w osobnym oknie. Oto jak:

  1. Wybierz pakiet z listy kursorem, a następnie kliknij prawym przyciskiem myszy.

  2. Otwórz zakładkę „Widok” z paska narzędzi powyżej.

  3. Wybierz "Pokaż pakiet w nowym oknie" z menu rozwijanego.

Uwaga: o wiele łatwiej jest porównać przechwycone pakiety, jeśli wyświetlisz je w osobnych oknach.

Jak wspomniano, Wireshark używa systemu kodowania kolorami do wizualizacji danych. Każdy pakiet jest oznaczony innym kolorem, który reprezentuje różne rodzaje ruchu. Na przykład ruch TCP jest zwykle podświetlany na niebiesko, podczas gdy czarny jest używany do wskazywania pakietów zawierających błędy.

Oczywiście nie musisz zapamiętywać znaczenia każdego koloru. Zamiast tego możesz sprawdzić na miejscu:

  1. Kliknij prawym przyciskiem myszy pakiet, który chcesz zbadać.

  2. Wybierz zakładkę "Widok" z paska narzędzi u góry ekranu.

  3. Wybierz „Zasady kolorowania” z panelu rozwijanego.

Zobaczysz opcję dostosowania koloryzacji do własnych upodobań. Jeśli jednak chcesz tylko tymczasowo zmienić zasady kolorowania, wykonaj następujące kroki:

  1. Kliknij prawym przyciskiem myszy pakiet w panelu listy pakietów.
  2. Z listy opcji wybierz "Koloruj z filtrem".

  3. Wybierz kolor, którym chcesz go oznaczyć.

Numer

Panel listy pakietów pokaże dokładną liczbę przechwyconych bitów danych. Ponieważ pakiety są zorganizowane w kilka kolumn, jest to dość łatwe do zinterpretowania. Domyślne kategorie to:

  • Nie. (Liczba): Jak wspomniano, w tej kolumnie można znaleźć dokładną liczbę przechwyconych pakietów. Cyfry pozostaną takie same nawet po przefiltrowaniu danych.
  • Czas: Jak można się domyślić, tutaj wyświetlany jest znacznik czasu pakietu.
  • Źródło: Pokazuje, skąd pochodzi pakiet.
  • Miejsce docelowe: pokazuje miejsce, w którym pakiet będzie przechowywany.
  • Protokół: Wyświetla nazwę protokołu, zwykle w skrócie.
  • Długość: Pokazuje liczbę bajtów zawartych w przechwyconym pakiecie.
  • Info: Kolumna zawiera wszelkie dodatkowe informacje o konkretnym pakiecie.

Czas

Gdy Wireshark analizuje ruch sieciowy, każdy przechwycony pakiet jest oznaczony znacznikiem czasu. Sygnatury czasowe są następnie umieszczane w okienku listy pakietów i dostępne do późniejszej kontroli.

Wireshark nie tworzy samych znaczników czasu. Zamiast tego narzędzie analizatora pobiera je z biblioteki Npcap. Jednak źródłem sygnatury czasowej jest w rzeczywistości jądro. Dlatego dokładność sygnatury czasowej może się różnić w zależności od pliku.

Możesz wybrać format, w jakim znaczniki czasu będą wyświetlane na liście pakietów. Ponadto można ustawić preferowaną precyzję lub liczbę wyświetlanych miejsc dziesiętnych. Oprócz domyślnego ustawienia precyzji jest też:

  • sekundy
  • Dziesiąte sekundy
  • Setne sekundy
  • Milisekundy
  • Mikrosekundy
  • Nanosekundy

Źródło

Jak sama nazwa wskazuje, źródłem pakietu jest miejsce pochodzenia. Jeśli chcesz uzyskać kod źródłowy repozytorium Wireshark, możesz go pobrać za pomocą klienta Git. Jednak metoda ta wymaga posiadania konta GitLab. Można to zrobić bez niego, ale na wszelki wypadek lepiej się zarejestrować.

Po zarejestrowaniu konta wykonaj następujące kroki:

  1. Upewnij się, że Git działa, używając tego polecenia: „$ git --wersja.

  2. Sprawdź dokładnie, czy Twój adres e-mail i nazwa użytkownika są skonfigurowane.
  3. Następnie utwórz klon źródła Workshark. Użyj "$ git clone -o upstream [chroniony adres e-mail] :wireshark/wireshark.git” SSH URL do wykonania kopii.
  4. Jeśli nie masz konta GitLab, wypróbuj URL HTTPS: „$ git clone -o upstream //gitlab.com/wireshark/wireshark.git.

Wszystkie źródła zostaną następnie skopiowane na Twoje urządzenie. Pamiętaj, że klonowanie może trochę potrwać, zwłaszcza jeśli masz powolne połączenie sieciowe.

Miejsce docelowe

Jeśli chcesz poznać adres IP miejsca docelowego konkretnego pakietu, możesz użyć filtru wyświetlania, aby go zlokalizować. Oto jak:

  1. Wchodzić "adres.ip == 8.8.8.8” w Wireshark „Skrzynka filtracyjna”. Następnie kliknij „Enter”.

  2. Panel listy pakietów zostanie ponownie skonfigurowany, aby pokazać miejsce docelowe pakietu. Znajdź interesujący Cię adres IP, przewijając listę.

  3. Gdy skończysz, wybierz "Wyczyść" z paska narzędzi, aby ponownie skonfigurować panel listy pakietów.

Protokół

Protokół to wytyczna określająca transmisję danych między różnymi urządzeniami podłączonymi do tej samej sieci. Każdy pakiet Wireshark zawiera protokół, który można wywołać za pomocą filtra wyświetlania. Oto jak:

  1. W górnej części okna Wireshark kliknij okno dialogowe „Filtr”.
  2. Wpisz nazwę protokołu, który chcesz sprawdzić. Zazwyczaj tytuły protokołów są pisane małymi literami.
  3. Kliknij „Enter” lub „Zastosuj”, aby włączyć filtr wyświetlania.

Długość

Długość pakietu Wireshark zależy od liczby bajtów przechwyconych w tym konkretnym fragmencie sieciowym. Ta liczba zwykle odpowiada liczbie nieprzetworzonych bajtów danych wymienionych na dole okna Wireshark.

Jeśli chcesz sprawdzić rozkład długości, otwórz okno „Długości pakietów”. Wszystkie informacje są podzielone na następujące kolumny:

  • Długości pakietów
  • Liczyć
  • Przeciętny
  • Min Val/Max Val
  • Wskaźnik
  • Procent
  • Szybkość serii
  • Rozpoczęcie serii

Informacje

Jeśli w przechwyconym pakiecie znajdują się jakieś anomalie lub podobne elementy, Wireshark to zauważy. Informacje zostaną następnie wyświetlone w okienku listy pakietów do dalszego zbadania. W ten sposób uzyskasz jasny obraz nietypowego zachowania sieci, co spowoduje szybsze reakcje.

Dodatkowe często zadawane pytania

Jak mogę filtrować dane pakietowe?

Filtrowanie to wydajna funkcja, która pozwala przyjrzeć się szczegółom określonej sekwencji danych. Istnieją dwa rodzaje filtrów Wireshark: przechwytywanie i wyświetlanie. Filtry przechwytywania służą do ograniczania przechwytywania pakietów do określonych wymagań. Innymi słowy, możesz przesiewać różne rodzaje ruchu, stosując filtr przechwytywania. Jak sama nazwa wskazuje, filtry wyświetlania pozwalają na dopracowanie konkretnego elementu pakietu, od długości pakietu po protokół.

Stosowanie filtra to dość prosty proces. Możesz wpisać tytuł filtra w oknie dialogowym u góry okna Wireshark. Ponadto oprogramowanie zazwyczaj automatycznie uzupełnia nazwę filtra.

Alternatywnie, jeśli chcesz przeczesać domyślne filtry Wireshark, wykonaj następujące czynności:

1. Otwórz zakładkę „Analizuj” na pasku narzędzi u góry okna Wireshark.

2. Z listy rozwijanej wybierz „Filtr wyświetlania”.

3. Przejrzyj listę i kliknij tę, którą chcesz zastosować.

Oto kilka popularnych filtrów Wireshark, które mogą się przydać:

• Aby wyświetlić tylko źródłowy i docelowy adres IP, użyj: „ip.src==adres-IP i ip.dst==adres-IP

• Aby wyświetlić tylko ruch SMTP, wpisz: „tcp.port eq 25

• Aby przechwycić cały ruch w podsieci, zastosuj: „netto 192.168.0.0/24

• Aby przechwycić wszystko oprócz ruchu ARP i DNS, użyj: „port nie 53 i nie arp

Jak przechwycić dane pakietowe w Wireshark?

Po pobraniu Wireshark na swoje urządzenie możesz rozpocząć monitorowanie połączenia sieciowego. Aby przechwycić pakiety danych w celu przeprowadzenia kompleksowej analizy, należy wykonać następujące czynności:

1. Uruchom Wireshark. Zobaczysz listę dostępnych sieci, więc kliknij tę, którą chcesz sprawdzić. Możesz także zastosować filtr przechwytywania, jeśli chcesz określić rodzaj ruchu.

2. Jeśli chcesz sprawdzić wiele sieci, użyj kontrolki „shift + lewy przycisk myszy”.

3. Następnie kliknij skrajnie lewą ikonę płetwy rekina na powyższym pasku narzędzi.

4. Możesz także rozpocząć przechwytywanie, klikając kartę „Przechwytywanie” i wybierając „Rozpocznij” z listy rozwijanej.

5. Innym sposobem na to jest użycie klawisza „Control – E”.

Gdy oprogramowanie przechwyci dane, zobaczysz je w okienku listy pakietów w czasie rzeczywistym.

Bajt rekina

Chociaż Wireshark jest wysoce zaawansowanym analizatorem sieci, jest zaskakująco łatwy w interpretacji. Panel listy pakietów jest niezwykle obszerny i dobrze zorganizowany. Wszystkie informacje są podzielone na siedem różnych kolorów i oznaczone wyraźnymi kodami kolorów.

Co więcej, oprogramowanie typu open source zawiera wiele łatwych do zastosowania filtrów, które ułatwiają monitorowanie. Włączając filtr przechwytywania, możesz określić, jaki rodzaj ruchu ma analizować Wireshark. A po pobraniu danych możesz zastosować kilka filtrów wyświetlania dla określonych wyszukiwań. Podsumowując, jest to bardzo wydajny mechanizm, który nie jest zbyt trudny do opanowania.

Czy używasz Wireshark do analizy sieci? Co sądzisz o funkcji filtrowania? Daj nam znać w komentarzach poniżej, czy istnieje przydatna funkcja analizy pakietów, którą pominęliśmy.