Этот урок поможет вам справиться с основами захвата пакетов, их фильтрации и проверки. Вы можете использовать Wireshark для проверки сетевого трафика подозрительной программы, анализа потока трафика в вашей сети или устранения неполадок сети.
Как получить Wireshark
Вы можете скачать Wireshark для Windows или macOS со своего официального сайта. Если вы используете Linux или другую UNIX-подобную систему, вы, вероятно, найдете Wireshark в своих репозиториях пакетов. Например, если вы используете Ubuntu, вы найдете Wireshark в программном центре Ubuntu.
Просто быстрое предупреждение: многие организации не разрешают Wireshark и подобные инструменты в своих сетях. Не используйте этот инструмент на работе, если у вас нет разрешения.
Захват пакетов
После загрузки и установки Wireshark вы можете запустить его и дважды щелкнуть имя сетевого интерфейса под Capture, чтобы начать захват пакетов на этом интерфейсе. Например, если вы хотите захватить трафик в своей беспроводной сети, щелкните свой беспроводной интерфейс. Вы можете настроить дополнительные функции, нажав «Захват»> «Параметры», но сейчас это не нужно.
Если у вас включен режим promiscuous - он включен по умолчанию, вы также увидите все остальные пакеты в сети, а не только пакеты, адресованные вашему сетевому адаптеру. Чтобы проверить, включен ли беспорядочный режим, нажмите «Захват»> «Параметры» и убедитесь, что в нижней части этого окна активирован флажок «Включить беспорядочный режим на всех интерфейсах».
Цветовое кодирование
Вероятно, вы увидите пакеты, выделенные разными цветами. Wireshark использует цвета, чтобы помочь вам определить типы трафика с первого взгляда. По умолчанию, светло-фиолетовый - это трафик TCP, светло-голубой - трафик UDP, а черный - пакеты с ошибками - например, они могли быть доставлены не в порядке.
Чтобы точно узнать, что означают цветовые коды, нажмите «Просмотр»> «Правила раскраски». Вы также можете настроить и изменить правила окраски отсюда, если хотите.
Захват образцов
Если нет ничего интересного в вашей собственной сети для проверки, вики Wireshark вы покрыли. Вики содержит страницу файлов захвата образцов, которые вы можете загрузить и проверить. Нажмите «Файл»> «Открыть» в Wireshark и найдите загруженный файл, чтобы открыть его.
Вы также можете сохранить свои собственные снимки в Wireshark и открыть их позже. Нажмите «Файл»> «Сохранить», чтобы сохранить захваченные пакеты.
Фильтрация пакетов
Если вы пытаетесь проверить что-то конкретное, например, трафик, который программа отправляет при звонке домой, это помогает закрыть все остальные приложения, используя сеть, чтобы вы могли сузить трафик. Тем не менее, у вас, вероятно, будет большое количество пакетов для просеивания. Вот где попадают фильтры Wireshark.
Самый простой способ применения фильтра - ввести его в поле фильтра в верхней части окна и нажать «Применить» (или нажать «Ввод»). Например, введите «dns», и вы увидите только пакеты DNS. Когда вы начнете печатать, Wireshark поможет вам автозаполнять фильтр.
Для получения дополнительной информации о языке фильтрации экрана Wireshark, прочитайте страницу выражений фильтра отображения здания в официальной документации Wireshark.
Вы увидите полную TCP-связь между клиентом и сервером. Вы также можете щелкнуть другие протоколы в меню «Следуй», чтобы просмотреть полные разговоры для других протоколов, если это применимо.
Проверка пакетов
Нажмите на пакет, чтобы выбрать его, и вы можете выкопать его, чтобы просмотреть его данные.
Wireshark - чрезвычайно мощный инструмент, и этот учебник просто царапает поверхность того, что вы можете с ним сделать. Профессионалы используют его для отладки реализации сетевых протоколов, проверки проблем безопасности и проверки внутренних сетевых протоколов.
Более подробную информацию вы можете найти в официальном руководстве пользователя Wireshark и на других страницах документации на веб-сайте Wireshark.