Ako používať Wireshark? Analýza premávky

Niekedy pri používaní internetu existujú situácie, v ktorých dochádza k úniku dopravy alebo k neočakávanému výdaju systémových prostriedkov. Ak chcete rýchlo analyzovať a identifikovať zdroj problému, použite špeciálne sieťové nástroje. Asi jeden z nich, WireShark, bude diskutovaný v článku.

Všeobecné informácie

Pred použitím WireShark sa musíte oboznámiť s oblasťou použitia, funkciami a funkciami. Stručne: Program umožňuje zachytiť pakety v reálnom čase v káblovej a bezdrôtovej sieti. Platí pre protokoly Ethernet, IEEE 80211 PPP a podobné protokoly. Môžete použiť a zachytiť hovory VoIP.


Program je licencovaný pod GNU GPL, čo znamená: - voľný a open source. Môžete ho spustiť na mnohých distribuciách Linuxu, MacOS a je tu aj verzia operačného systému Windows.

Ako používať WireShark?

Po prvé, je najprv nutné ho nainštalovať do systému. Keďže jednou z najčastejšie používaných distribúcií Linuxu je Ubuntu, potom sa v ňom zobrazia všetky príklady. Ak chcete nainštalovať, stačí na zadanie príkazovej konzoly: sudo apt-get install wireshark Potom sa program zobrazí v hlavnom menu. Môžete ju spustiť odtiaľto. Ale je lepšie to robiť z terminálu, pretože potrebuje superuser privilegia. Môže to byť takto: sudo wireshark

Vzhľad

Program má vhodné grafické rozhranie. Užívateľské okno sa zobrazí pred používateľom, rozdelené na 3 časti.Bezprostredne s nadšením pripojeným ako prvý, druhý odkazuje na otvorenie súborov a vzoriek a tretí - pomoc a podpora.


Blok Capture obsahuje zoznam dostupných zachytení sieťového rozhrania. Pri výbere napríklad et0 a stlačením tlačidla Štart začne proces odpočúvania. Okno s odchytenými údajmi je tiež logicky rozdelené na niekoľko častí. Hore je ovládací panel s rôznymi prvkami. Nasleduje zoznam balíkov. Je prezentovaná ako tabuľka. Tu uvidíte sériové číslo balíka, čas jeho odpočúvania, adresu odosielania a prijímania. Môžete tiež vymazať údaje o protokoloch, dĺžkach a ďalších užitočných informáciách. Nižšie je zoznam s obsahom technických údajov vybraného balíka. A nižšie je mapovanie v šestnástkovej sústave. Každý príspevok môže byť nasadený vo veľkom okne pre pohodlnejšie čítanie údajov.

Použitie filtrov

Počas prevádzky programu bude používateľ vždy používať desiatky alebo dokonca stovky balíčkov. Ručné triedenie je ťažké a dlhé. Preto oficiálny manuál WireShark odporúča použitie filtrov. Majú špeciálne pole v okne programu - Filter. Ak chcete filter presnejšie, je tu tlačidlo Výraz. Ale vo väčšine prípadov existuje aj štandardná sada filtrov:
  • ip.dst - cieľový balíček ip-destination;
  • ip.src - adresa odosielateľa;
  • ip.addr - len akýkoľvek ip;
  • ip.proto - protokol.
  • Používanie filtrov v WireShark - Pokyny

    Skúste akospustením programu s filtremi, musíte zadat 'zadaný príkaz do poľa Filter. Napríklad, taký súbor - ip.dst == 17221723.131 - zobrazí všetky lietajúce balíčky na stránky Google. Ak chcete zobraziť celú návštevnosť - prichádzajúcu aj odchádzajúcu - môžete kombinovať dve vzorce - ip.dst == 17221723.131 || ip.src == 17221723.131. Preto bolo možné používať dve podmienky v jednom riadku naraz.
    možno používať aj iné termíny, ako ip.ttl 5000.

    Ďalšie funkcie

    Pre väčšie pohodlie v Wireshark je rýchly spôsob, ako vybrať, ako balíček možnosti skúšobného poľa. Napríklad v poli technických údajov môžete kliknúť pravým tlačidlom na požadovaný objekt a vybrať možnosť Použiť ako stĺpec. Čo znamená preložiť do poľa ako stĺpce.
    Podobne môžete vybrať akýkoľvek parameter a ako filter. Ak to chcete urobiť, v kontextovej ponuke sa nachádza položka Apply as Filter.

    Samostatná relácia

    WireShark môžete používať ako monitor medzi dvoma sieťovými uzlami, napríklad používateľom a serverom. Ak to chcete urobiť, vyberte balík, vyvolajte kontextové menu a kliknite na tlačidlo Sledovať TCP-Stream. Nové okno zobrazí celú výmenu denníkov medzi dvomi uzlami.

    Diagnostika

    WireShark má samostatný nástroj na analýzu sieťových problémov. Nazýva sa to Expert Tools. Nájdete ju v ľavom dolnom rohu v podobe kruhovej ikony. Po kliknutí sa otvorí nové okno s niekoľkými záložkami - Chyby, Upozornenia a ďalšie. S ich pomocou môžete analyzovať, ktoré uzly zlyhajú, nedosiahli pakety a identifikovať ďalšie problémy so sieťou.

    Hlasová komunikácia

    Ako už bolo spomenuté, WireShark dokáže zachytiť ahlasovú prevádzku Za týmto účelom je priradená celá ponuka telefónu. To môže byť použité na nájdenie problémov vo VoIP a rýchlo ich vyriešiť. VoIP VoIP Point hovory v menu Telephony vám umožnia zobraziť a počúvať hovory, ktoré robíte.

    Exportné objekty

    Toto je pravdepodobne najzaujímavejšia funkčnosť programu. Umožňuje používať WireShark ako zachycovač súborov, ktoré sa prenášajú cez sieť. Ak chcete to urobiť, musíte zastaviť proces odpočúvania a exportovať objekty HTTP z ponuky Súbor. V okne sa zobrazí zoznam všetkých súborov odoslaných v relácii, ktoré je možné uložiť na vhodnom mieste.

    Na záver

    Bohužiaľ, aktuálna verzia WireShark v ruštine bude ťažké nájsť v sieti. Najpoužívanejším a najčastejšie používaným jazykom je angličtina. Tam sú tiež prípady s podrobnými pokynmi na WireShark v ruštine. Oficiálny vývojár je prezentovaný v angličtine. Existuje veľa malých a krátkych tipov WireShark pre začiatočníkov v sieti.
    Tí, ktorí už dlho pracujú v oblasti informačných technológií, ktorí sa zaoberajú programom, však nepredstavujú osobitné ťažkosti. Veľká príležitosť a bohatá funkčnosť rozžiari všetky ťažkosti pri štúdiu. Stojí za zmienku, že v niektorých krajinách môže byť použitie sniperu, ktorým je WireShark, nezákonné.

    Súvisiace publikácie