Wireshark este o aplicație gratuită care vă permite să capturați și să vizualizați datele care circulă înainte și înapoi în rețeaua dvs., oferind posibilitatea de a citi și citi conținutul fiecărui pachet - filtrat pentru a vă satisface nevoile specifice. Este frecvent utilizat pentru depanarea problemelor de rețea, precum și pentru dezvoltarea și testarea software-ului. Acest analizor de protocol cu sursă deschisă este acceptat pe scară largă ca standard al industriei, câștigând o cotă echitabilă de premii de-a lungul anilor.
Inițial cunoscut sub numele de Ethereal, Wireshark are o interfață prietenoasă care poate afișa date de la sute de protocoale diferite pe toate tipurile de rețele majore. Aceste pachete de date pot fi vizualizate în timp real sau analizate offline, cu zeci de formate de fișiere de captare / urmărire acceptate, inclusiv CAP și ERF . Instrumentele de decriptare integrate vă permit să vizualizați pachete criptate pentru mai multe protocoale populare, cum ar fi WEP și WPA / WPA2 .
01 din 07
Descărcarea și instalarea Wireshark
Wireshark poate fi descărcat gratuit de pe site-ul Web Wireshark Foundation pentru sistemele de operare MacOS și Windows. Cu excepția cazului în care sunteți un utilizator avansat, este recomandat să descărcați numai cea mai recentă versiune stabilă. În timpul procesului de instalare (numai pentru Windows), ar trebui să alegeți să instalați WinPcap, de asemenea, dacă vi se solicită, deoarece include o bibliotecă necesară pentru capturarea datelor live.
Aplicația este disponibilă și pentru Linux și majoritatea celorlalte platforme de tip UNIX, inclusiv Red Hat , Solaris și FreeBSD. Binarele necesare pentru aceste sisteme de operare pot fi găsite în partea de jos a paginii de descărcare din secțiunea Pachete terță parte.
De asemenea, puteți descărca codul sursă Wireshark din această pagină.
02 din 07
Cum se captează pachetele de date
Când lansați pentru prima dată Wireshark, un ecran de întâmpinare similar cu cel prezentat mai sus ar trebui să fie vizibil, conținând o listă de conexiuni de rețea disponibile pe dispozitivul dvs. curent. În acest exemplu, veți observa că sunt afișate următoarele tipuri de conexiuni: Conexiune de rețea Bluetooth , Ethernet , Rețea Host-Only , Wi-Fi . Afișate în partea dreaptă a fiecăruia, este un grafic de linie în stil EKG care reprezintă trafic live în respectiva rețea.
Pentru a începe capturarea pachetelor, selectați mai întâi una sau mai multe dintre aceste rețele făcând clic pe alegerea dvs. și utilizând tastele Shift sau Ctrl dacă doriți să înregistrați simultan date din mai multe rețele. Odată ce un tip de conexiune este selectat pentru scopuri de capturare, fundalul său va fi umbrit fie albastru, fie gri. Faceți clic pe Captură din meniul principal, situat în partea de sus a interfeței Wireshark. Când apare meniul drop-down, selectați opțiunea Start .
De asemenea, puteți iniția capturarea pachetelor prin intermediul uneia dintre următoarele comenzi rapide.
- Tastatură: Apăsați pe Ctrl + E
- Mouse: Pentru a începe să captați pachete dintr-o anumită rețea, faceți dublu-clic pe numele său
- Bara de instrumente: Faceți clic pe butonul albastru de rechin, situat în extrema stângă a barei de instrumente Wireshark
Procesul de captură live va începe acum, cu detalii despre pachete afișate în fereastra Wireshark în timp ce sunt înregistrate. Efectuați una dintre acțiunile de mai jos pentru a opri capturarea.
- Tastatură: Apăsați pe Ctrl + E
- Bara de instrumente: faceți clic pe butonul roșu de oprire, situat lângă aripa de rechin din bara de instrumente Wireshark
03 din 07
Vizualizarea și analizarea conținutului pachetului
Acum că ați înregistrat unele date de rețea, este timpul să aruncați o privire asupra pachetelor capturate. După cum se arată în captura de ecran de mai sus, interfața de date captată conține trei secțiuni principale: panoul listei de pachete, panoul cu detalii despre pachete și panoul octeților de pachete.
Listă de pachete
Panoul listei de pachete, situat în partea de sus a ferestrei, prezintă toate pachetele găsite în fișierul de captare activ. Fiecare pachet are propriul rând și numărul corespunzător alocat acestuia, împreună cu fiecare dintre aceste puncte de date.
- Timp: în această coloană este afișată marcajul de timp când a fost capturat pachetul, formatul implicit fiind numărul de secunde (sau secunde parțiale) de la crearea acestui fișier de captură specific. Pentru a modifica acest format la ceva care ar putea fi un pic mai util, cum ar fi timpul real al zilei, selectați opțiunea Time Display Format din meniul Vizualizare Wireshark - situat în partea de sus a interfeței principale.
- Sursă: Această coloană conține adresa (IP sau altul) de unde a provenit pachetul.
- Destinație: această coloană conține adresa la care este trimis pachetul.
- Protocol: Numele de protocol al pachetului (adică TCP) poate fi găsit în această coloană.
- Lungime: lungimea pachetului, în octeți, este afișată în această coloană.
- Info: Detalii suplimentare despre pachet sunt prezentate aici. Conținutul acestei coloane poate varia foarte mult, în funcție de conținutul pachetului.
Când un pachet este selectat în panoul de sus, este posibil să observați unul sau mai multe simboluri afișate în prima coloană. Parantezele deschise și / sau închise, precum și o linie dreaptă orizontală, pot indica dacă un pachet sau un grup de pachete sunt sau nu parte din aceeași conversație în rețea. O linie orizontală ruptă înseamnă că un pachet nu face parte din conversația respectivă.
Detalii Packet
Panoul de detalii, găsit în mijloc, prezintă protocoalele și câmpurile de protocol ale pachetului selectat într-un format pliabil. În plus față de extinderea fiecărei selecții, puteți aplica și filtre individuale Wireshark pe baza unor detalii specifice, precum și urmărirea fluxurilor de date bazate pe tipul de protocol prin intermediul meniului contextual al detaliilor - accesibil prin clic dreapta pe elementul dorit din acest panou.
Pachete octeți
În partea de jos este panoul octeților de pachete, care afișează datele brute ale pachetului selectat într-o vizualizare hexazecimală. Această memorie hexazecimală conține 16 octeți hexazecimali și 16 octeți ASCII de-a lungul decalajului de date.
Selectarea unei porțiuni specifice a acestor date evidențiază automat secțiunea corespunzătoare din panoul cu detalii despre pachete și invers. Orice octeți care nu pot fi tipăriți sunt în schimb reprezentați de o perioadă.
Puteți alege să afișați aceste date în format biți, spre deosebire de hexazecimale, făcând clic cu butonul din dreapta în orice parte a panoului și selectând opțiunea corespunzătoare din meniul contextual.
04 din 07
Utilizarea filtrelor Wireshark
Unul dintre cele mai importante seturi de caracteristici din Wireshark este capabilitățile sale de filtrare, mai ales atunci când aveți de-a face cu fișiere cu o dimensiune semnificativă. Filtrele de captare pot fi setate înaintea faptului, instrucând Wireshark să înregistreze doar acele pachete care îndeplinesc criteriile specificate.
Filtrele pot fi, de asemenea, aplicate unui fișier de captură care a fost deja creat astfel încât să se afișeze numai anumite pachete. Acestea sunt denumite filtre de afișare.
Wireshark oferă un număr mare de filtre predefinite în mod prestabilit, permițându-vă să restrângeți numărul de pachete vizibile cu doar câteva apăsări de taste sau clicuri de mouse. Pentru a utiliza unul dintre aceste filtre existente, plasați-l în câmpul de introducere a filtrului de afișare (situat direct sub bara de instrumente Wireshark) sau în câmpul Enter a filtrului de captură (situat în centrul ecranului de întâmpinare).
Există mai multe modalități de a realiza acest lucru. Dacă știți deja numele filtrului, pur și simplu tastați-l în câmpul corespunzător. De exemplu, dacă doriți doar să afișați pachete TCP, ați tasta tcp . Funcția de completare automată a funcției Wireshark va afișa nume sugerate pe măsură ce începeți să tastați, făcând mai ușor să găsiți pictograma corectă pentru filtrul pe care îl căutați.
O altă modalitate de a alege un filtru este să faceți clic pe pictograma asemănătoare marcajului poziționată în partea stângă a câmpului de introducere. Acesta va prezenta un meniu care conține unele dintre filtrele utilizate cel mai frecvent, precum și opțiunea de a gestiona filtrele de captare sau de a gestiona filtrele afișate . Dacă alegeți să gestionați fie tastați, va apărea o interfață care vă permite să adăugați, să eliminați sau să editați filtre.
De asemenea, puteți accesa filtrele utilizate anterior, selectând săgeata în jos, aflată în partea dreaptă a câmpului de introducere, care afișează o listă derulantă de istoric.
După setare, filtrele de captare vor fi aplicate de îndată ce începeți să înregistrați traficul de rețea. Cu toate acestea, pentru a aplica un filtru de afișare, va trebui să dați clic pe butonul săgeată din dreapta aflat în extrema dreaptă a câmpului de introducere.
05 din 07
Reguli de colorare
În timp ce filtrele de captare și afișare Wireshark vă permit să limitați care sunt pachetele înregistrate sau afișate pe ecran, funcționalitatea lor de colorare face lucrurile un pas mai departe făcând ușor să se facă distincția între diferitele tipuri de pachete pe baza nuanței lor individuale. Această caracteristică la îndemână vă permite să găsiți rapid anumite pachete dintr-un set salvat prin schema de culori a rândului lor în panoul listei de pachete.
Wireshark vine cu aproximativ 20 de reguli implicite de colorare încorporate; fiecare care poate fi editat, dezactivat sau șters dacă doriți. De asemenea, puteți adăuga filtre noi bazate pe umbre prin interfața de reguli de colorare, accesibilă din meniul Vizualizare . În plus față de definirea unui criteriu de nume și filtru pentru fiecare regulă, vi se solicită să asociați atât culoarea de fundal, cât și culoarea textului.
Colorarea pachetelor poate fi oprită și activată prin opțiunea Colorize Packet List ( Listă de pachete colorate ), de asemenea găsită în meniul View (Vizualizare) .
06 din 07
Statistici
În plus față de informațiile detaliate despre datele rețelei dvs. afișate în fereastra principală Wireshark, mai multe alte valori utile sunt disponibile prin meniul derulant Statistici din partea de sus a ecranului. Acestea includ informații despre mărimea și sincronizarea despre fișierul de captură în sine, împreună cu zeci de diagrame și grafice care se înscriu în subiectul din defalcările conversației prin pachete pentru a încărca distribuția cererilor HTTP.
Filtrele de afișare pot fi aplicate pentru multe dintre aceste statistici prin interfețele lor individuale, iar rezultatele pot fi exportate în mai multe formate comune de fișiere, inclusiv CSV , XML și TXT.
07 din 07
Caracteristici avansate
Deși am acoperit cea mai mare parte a funcționalității principale a Wireshark în acest articol, există și o serie de caracteristici suplimentare disponibile în acest instrument puternic, care sunt în mod obișnuit rezervate utilizatorilor avansați. Aceasta include posibilitatea de a scrie propriile disecatoare de protocol în limba de programare Lua.
Pentru mai multe informații despre aceste funcții avansate, consultați ghidul oficial al utilizatorului Wireshark.