Mitä tietää
- Wireshark on avoimen lähdekoodin sovellus, joka tallentaa ja näyttää verkossa edestakaisin liikkuvan tiedon.
- Koska se voi porata ja lukea jokaisen paketin sisällön, sitä käytetään verkko-ongelmien vianmääritykseen ja ohjelmistojen testaamiseen.
Tämän artikkelin ohjeet koskevat Wireshark 3.0.3:a Windowsille ja Macille.
Bottom Line
Alunperin Ethereal-nimellä tunnettu Wireshark näyttää tietoja sadoista eri protokollista kaikissa tärkeimmissä verkkotyypeissä. Datapaketteja voidaan tarkastella reaaliajassa tai analysoida offline-tilassa. Wireshark tukee kymmeniä sieppaus/jäljitystiedostomuotoja, mukaan lukien CAP ja ERF. Integroidut salauksenpurkutyökalut näyttävät salatut paketit useille yleisille protokollille, mukaan lukien WEP ja WPA/WPA2.
Wiresharkin lataaminen ja asentaminen
Wireshark voidaan ladata maksutta Wireshark Foundationin verkkosivustolta sekä macOS:lle että Windowsille. Näet uusimman vakaan julkaisun ja nykyisen kehitysjulkaisun. Ellet ole kokenut käyttäjä, lataa vakaa versio.
Valitse Windowsin asennusprosessin aikana asentaaksesi WinPcap tai Npcap, jos sitä pyydetään, koska ne sisältävät reaaliaikaiseen tiedonkeruuun tarvittavia kirjastoja.
Sinun on oltava kirjautuneena laitteeseen järjestelmänvalvojana, jotta voit käyttää Wiresharkia. Windows 10:ssä etsi Wireshark ja valitse Suorita järjestelmänvalvojana MacOS:ssa napsauta sovelluskuvaketta hiiren kakkospainikkeella ja valitse Get InfoAnna Jakamis- ja käyttöoikeudet-asetuksissa järjestelmänvalvojalle Luku- ja kirjoitusoikeudet.
Sovellus on saatavana myös Linuxille ja muille UNIXin k altaisille alustoille, kuten Red Hat, Solaris ja FreeBSD. Näille käyttöjärjestelmille vaadittavat binaarit löytyvät Wiresharkin lataussivun alaosasta Kolmannen osapuolen paketit-osiosta. Voit myös ladata Wiresharkin lähdekoodin tältä sivulta.
Datapakettien kaappaaminen Wiresharkilla
Kun käynnistät Wiresharkin, tervetulonäytössä luetellaan nykyisen laitteen käytettävissä olevat verkkoyhteydet. Jokaisen oikealla puolella on EKG-tyylinen viivakaavio, joka esittää reaaliaikaista liikennettä kyseisessä verkossa.
Pakettien sieppauksen aloittaminen Wiresharkilla:
-
Valitse yksi tai useampi verkoista, siirry valikkopalkkiin ja valitse sitten Capture.
Valitse useita verkkoja pitämällä Shift-näppäintä painettuna valinnan aikana.
-
Valitse Wireshark Capture Interfaces -ikkunassa Start.
On muita tapoja aloittaa pakettien sieppaus. Valitse shark fin Wireshark-työkalupalkin vasemmalla puolella, paina Ctrl+E tai kaksoisnapsauta verkkoa.
-
Valitse Tiedosto > Tallenna nimellä tai valitse Export tallentaaksesi kaappauksen.
-
Lopeta sieppaus painamalla Ctrl+E. Tai siirry Wireshark-työkalupalkkiin ja valitse punainen Stop-painike, joka sijaitsee hain evän vieressä.
Paketin sisällön tarkasteleminen ja analysointi
Kaapattu dataliitäntä sisältää kolme pääosaa:
- Pakettiluetteloruutu (yläosa)
- Paketin tietoruutu (keskiosa)
- Pakettitavuruutu (alaosa)
Pakettilista
Ikkunan yläosassa sijaitseva pakettiluetteloruutu näyttää kaikki aktiivisesta sieppaustiedostosta löytyneet paketit. Jokaisella paketilla on oma rivinsä ja sille määritetty vastaava numero sekä jokainen näistä datapisteistä:
- Ei: Tämä kenttä osoittaa, mitkä paketit ovat osa samaa keskustelua. Se pysyy tyhjänä, kunnes valitset paketin.
- Time: Tässä sarakkeessa näkyy paketin sieppausajankohdan aikaleima. Oletusmuoto on sekuntien tai sekuntien osien määrä tämän erityisen sieppaustiedoston luomisesta.
- Lähde: Tämä sarake sisältää osoitteen (IP tai muu), josta paketti on peräisin.
- Destination: Tämä sarake sisältää osoitteen, johon paketti lähetetään.
- Protocol: Paketin protokollan nimi, kuten TCP, löytyy tästä sarakkeesta.
- Length: Paketin pituus tavuina näytetään tässä sarakkeessa.
- Info: Paketin lisätiedot on esitetty tässä. Tämän sarakkeen sisältö voi vaihdella suuresti riippuen paketin sisällöstä.
Jos haluat vaihtaa ajan muodon johonkin hyödyllisempään (kuten todelliseen kellonaikaan), valitse View > Ajan näyttömuoto.
Kun paketti valitaan yläruudusta, saatat huomata, että yksi tai useampi symboli ilmestyy No.-sarakkeeseen. Avoimet tai suljetut hakasulkeet ja suora vaakasuora viiva osoittavat, onko paketti tai pakettiryhmä osa samaa edestakaisin keskustelua verkossa. Katkoinen vaakaviiva tarkoittaa, että paketti ei ole osa keskustelua.
Paketin tiedot
Keskellä oleva tietoruutu näyttää valitun paketin protokollat ja protokollakentät tiivistetyssä muodossa. Kunkin valinnan laajentamisen lisäksi voit käyttää yksittäisiä Wireshark-suodattimia tiettyjen yksityiskohtien perusteella ja seurata tietovirtoja protokollatyypin perusteella napsauttamalla hiiren kakkospainikkeella haluttua kohdetta.
Pakettitavut
Alhaalla on pakettitavuruutu, joka näyttää valitun paketin raakatiedot heksadesimaalinäkymässä. Tämä heksadesimaalivedos sisältää 16 heksadesimaalitavua ja 16 ASCII-tavua datasiirron lisäksi.
Tiedon tietyn osan valitseminen korostaa automaattisesti sitä vastaavan osan paketin tietoruudussa ja päinvastoin. Kaikki tavut, joita ei voida tulostaa, esitetään pisteellä.
Jos haluat näyttää nämä tiedot bittimuodossa heksadesimaalimuodon sijaan, napsauta hiiren kakkospainikkeella mitä tahansa ruudussa ja valitse bitteinä.
Wireshark-suodattimien käyttäminen
Capture-suodattimet ohjeistavat Wiresharkia tallentamaan vain tietyt ehdot täyttävät paketit. Suodattimia voidaan käyttää myös sieppaustiedostoon, joka on luotu siten, että vain tietyt paketit näytetään. Näitä kutsutaan näyttösuodattimiksi.
Wireshark tarjoaa oletuksena suuren määrän enn alta määritettyjä suodattimia. Jos haluat käyttää jotakin näistä olemassa olevista suodattimista, kirjoita sen nimi Käytä näyttösuodatinta-syöttökenttään, joka sijaitsee Wireshark-työkalupalkin alla tai Syötä sieppaussuodatinkenttä sijaitsee tervetulonäytön keskellä.
Jos esimerkiksi haluat näyttää TCP-paketteja, kirjoita tcp. Wiresharkin automaattinen täydennysominaisuus näyttää ehdotetut nimet, kun alat kirjoittaa, mikä helpottaa oikean nimimerkin löytämistä etsimällesi suodattimelle.
Toinen tapa valita suodatin on valita kirjanmerkki syöttökentän vasemmasta reunasta. Valitse Hallinnoi suodatinlausekkeita tai Hallitse näytön suodattimia lisätäksesi, poistaaksesi tai muokataksesi suodattimia.
Voit myös käyttää aiemmin käytettyjä suodattimia valitsemalla alanuolta syöttökentän oikealla puolella avataksesi historian avattavan luettelon.
Kaappaussuodattimet otetaan käyttöön heti, kun aloitat verkkoliikenteen tallentamisen. Käytä näyttösuodatinta valitsemalla oikea nuoli syöttökentän oike alta puolelta.
Wiresharkin värisäännöt
Vaikka Wiresharkin sieppaus- ja näyttösuodattimet rajoittavat tallennettavia tai näytöllä näytettävät paketit, sen väritystoiminto vie asiat askeleen pidemmälle: se pystyy erottamaan eri pakettityypit niiden yksilöllisen sävyn perusteella. Tämä paikantaa nopeasti tietyt paketit tallennetusta joukosta niiden rivin värin perusteella pakettiluetteloruudussa.
Wireshark sisältää noin 20 oletusvärjäyssääntöä, joista jokaista voidaan muokata, poistaa käytöstä tai poistaa. Valitse View > Värityssäännöt saadaksesi yleiskatsauksen kunkin värin merkityksestä. Voit myös lisätä omia väripohjaisia suodattimia.
Valitse View > Colorize Packet List kytkeäksesi pakettien värityksen päälle ja pois.
Tilastot Wiresharkissa
Muita hyödyllisiä mittareita on saatavilla avattavasta Tilastot-valikosta. Näitä ovat kaappaustiedoston koko- ja ajoitustiedot sekä kymmeniä kaavioita ja kaavioita, jotka vaihtelevat aiheittain pakettikeskustelujen erittelyistä HTTP-pyyntöjen latausjakaumaan.
Näyttösuodattimia voidaan käyttää moniin näistä tilastoista niiden käyttöliittymien kautta, ja tulokset voidaan viedä yleisiin tiedostomuotoihin, kuten CSV, XML ja TXT.
Wiresharkin lisäominaisuudet
Wireshark tukee myös edistyneitä ominaisuuksia, kuten kykyä kirjoittaa protokollan dissektoreita Lua-ohjelmointikielellä.