A Wireshark egy ingyenes alkalmazás, amellyel a hálózatában oda-vissza járó adatokat rögzítheti és megtekintheti. Lehetővé teszi az egyes csomagok tartalmának megfigyelését és leolvasztását, valamint az egyes igények kielégítésére szűrt szűrés. Gyakran használják a hálózati problémák megoldásához és a szoftverek fejlesztéséhez és teszteléséhez. Ezt a nyílt forráskódú protokollelemzőt széles körben elfogadják az iparági szabványnak, és az évek során nyerte el díjainak méltányos részét.
Az eredetileg Ethereal néven ismert Wireshark felhasználóbarát kezelőfelülettel rendelkezik, amely több különböző protokollból származó adatokat jelenít meg minden nagyobb hálózati típushoz. Az adatcsomagok valós időben megtekinthetők vagy offline módon elemezhetők. A Wireshark több tucat támogatási / nyomkövetési fájlformátumot támogat, köztük a CAP és az ERF. Az integrált titkosítási eszközök lehetővé teszik a titkosított csomagok megtekintését számos népszerű protokollhoz, beleértve a WEP és a WPA / WPA2 protokollt.
01/07A Wireshark letöltése és telepítése
A Wireshark letölthető a Wireshark Foundation weboldalán, mind MacOS, mind Windows operációs rendszer esetén. Hacsak nem fejlett felhasználó vagy, javasoljuk, hogy csak a legfrissebb stabil kiadást töltse le. A Windows telepítési folyamata során a WinPcap telepítéséhez kérjük, ha a rendszer kéri, mivel tartalmaz egy könyvtárat az élő adatgyűjtéshez.
Az alkalmazás Linux és a legtöbb egyéb UNIX-szerű platform, köztük a Red Hat, a Solaris és a FreeBSD számára is elérhető. Az ilyen operációs rendszerekhez szükséges bináris fájlok megtalálhatók a letöltési oldal alján a Harmadik fél csomagok résznél. Ezen az oldalon letöltheti a Wireshark forráskódját is.
Az adatcsomagok rögzítése
A Wireshark elindításakor egy üdvözlő képernyő jelenik meg, amely az aktuális eszközön elérhető hálózati kapcsolatok listáját tartalmazza. Ebben a példában észrevehető, hogy a következő kapcsolattípusok jelennek meg: Bluetooth hálózati kapcsolat, Ethernet, VirtualBox Host-Only hálózat és Wi-Fi. Mindegyik jobb oldalán egy EKG-stílusú vonaldiagram látható, amely az adott hálózaton élő forgalmat reprezentálja.
A csomagok rögzítésének megkezdéséhez válasszon ki egy vagy több hálózatot a választott gombra kattintással és a Váltás vagy Ctrl billentyűket, ha egyszerre több hálózatot szeretne rögzíteni. Miután a kapcsolat típusa kiválasztásra került, a háttér kék vagy szürke árnyékban van. Kattintson Elfog a főmenüben a Wireshark felület teteje felé. Ha megjelenik a legördülő menü, válassza a Rajt választási lehetőség.
A csomagkapcsolást az alábbi parancsikonok egyikével is kezdeményezheti.
- Billentyűzet: Nyomja meg a gombotCtrl + E.
- Egér: A csomagok egy adott hálózaton való elfogadásának megkezdéséhez kattintson duplán a nevére.
- Eszköztár: Kattintson a Wireshark eszköztár bal szélén található kék cápa fin gombjára.
Megkezdődik az élő befogási folyamat, és a Wireshark megjeleníti a csomagadatokat, amint azok rögzítésre kerülnek. A rögzítés leállítása:
- Billentyűzet: nyomja meg Ctrl + E
- Eszköztár: Kattintson a pirosra Állj meg gomb a cápauszony mellett található a Wireshark eszköztáron.
A csomag tartalmának megtekintése és elemzése
Miután felvett néhány hálózati adatot, itt az ideje megnézni a rögzített csomagokat. A rögzített adatinterfész három fő szakaszból áll: a csomaglista ablaktáblájáról, a csomag részletei ablaktábláról és a csomag bájtok ablaktáblájáról.
Csomaglista
Az ablak tetején található csomaglista-ablaktáblán az aktív rögzítési fájlban található összes csomag jelenik meg. Minden csomaghoz tartozik egy saját sor és a hozzájuk rendelt szám, mindegyik adatponttal együtt.
- Idő: Ebben az oszlopban jelenik meg a csomag fogadásának időbélyegzője. Az alapértelmezett formátum a másodpercek vagy részleges másodpercek száma, mivel ez az egyedi rögzítési fájl először létrejött. Ha módosítani szeretné ezt a formátumot valamire, ami egy kicsit hasznosabb lehet, például a tényleges napszakban, jelölje ki Időkijelző formátum lehetőség a Wireshark's-tól Kilátás menü a fő felület tetején található.
- Forrás: Ez az oszlop tartalmazza a cím (IP vagy más), ahonnan a csomag származik.
- Cél: Ez az oszlop tartalmazza azt a címet, amelyen a csomagot elküldik.
- Protokoll: A csomag protokolljának neve, például a TCP, ebben az oszlopban található.
- Hossz: Ebben a oszlopban megjelenik a csomag hossza bájtban.
- Info: A csomagról további részletek itt találhatók. Az oszlop tartalma nagymértékben változhat a csomag tartalmától függően.
Ha a csomagot a felső ablaktáblában választotta ki, előfordulhat, hogy az első oszlopban egy vagy több szimbólum jelenik meg. Nyitott vagy zárt zárójelek és egyenes vízszintes vonal jelzi, hogy egy csomag vagy csomagkészletek mind ugyanazon a hálózaton belülre esnek-e előre. A törött vízszintes vonal azt jelenti, hogy a csomag nem része a beszélgetésnek.
Csomag részletei
A középen található részletek ablaktáblában a kiválasztott csomag protokolljai és protokollmezetei összecsukható formában jeleníthetők meg. Az egyes kijelölések kiterjesztése mellett egyedi Wireshark szűrőket is alkalmazhat egyedi adatok alapján és protokolltípuson alapuló adatfolyamokat követve a részletek helyi menüjében, amely elérhető azáltal, hogy jobb egérgombbal az egér jobb gombjával kattint az adott elemre.
Csomagbájtok
Az alján található a csomag bájtok ablaktábla, amely a kiválasztott csomag nyers adatait jeleníti meg hexadecimális nézetben.Ez a hex dump 16 hexadecimális bájtot és 16 ASCII bájtot tartalmaz az adateltolás mellett.
Ezen adatok egy meghatározott részének kiválasztása automatikusan jelzi a megfelelő részletet a csomag részleteiben és fordítva. Minden olyan bájt, amelyet nem lehet kinyomtatni, egy időszakon belül jelenik meg.
Úgy dönthet, hogy ezeket az adatokat bit-formátumban mutatja a hexadecimális helyett, ha a jobb egérgombbal kattint bármelyik ablaktáblán, és kiválasztja a megfelelő lehetőséget a helyi menüből.
04, 07Wireshark szűrők használata
A Wireshark egyik legfontosabb jellemzője a szűrőkapacitás, különösen akkor, ha jelentős méretű fájlokkal foglalkozik. A Capture szűrők beállíthatók a tények előtt, utasítva a Wiresharkot, hogy csak azokat a csomagokat rögzítse, amelyek megfelelnek a megadott kritériumoknak.
A szűrők egy már létrehozott rögzítési fájlra is alkalmazhatók, így csak bizonyos csomagok jelennek meg. Ezeket megjelenítő szűrőknek nevezzük.
A Wireshark alapértelmezés szerint számos előre definiált szűrőt biztosít, lehetővé téve, hogy szűkítse le a látható csomagok számát néhány billentyű lenyomásával vagy egérkattintással. A meglévő szűrők egyikének használatához helyezze el a nevét a Alkalmazzon szűrőt bejegyzés mező közvetlenül a Wireshark eszköztár vagy a Adja meg a rögzítési szűrőt beviteli mező az üdvözlő képernyő közepén található.
Ennek több módja van. Ha már ismeri a szűrő nevét, írja be a megfelelő mezőbe. Például, ha csak a TCP csomagokat szeretné megjeleníteni, beírja tcp. A Wireshark autokompletáló funkciója a beírt karakterek megmutatásával jelzi a neveket, megkönnyítve megtalálni a keresett szűrő megfelelő monikáját.
A szűrő kiválasztásának másik módja, ha a bejegyzés mező bal oldalán található könyvjelzőhöz hasonló ikonra kattint. Ez egy menüből áll, amely a leggyakrabban használt szűrőket tartalmazza, valamint egy opciót Capture Filters kezelése vagy Kijelzőszűrők kezelése. Ha úgy dönt, hogy mindkét típust kezeli, megjelenik egy interfész, amely lehetővé teszi szűrők hozzáadását, eltávolítását vagy szerkesztését.
A korábban használt szűrőket a belépési mező jobb oldalán lévő lefelé mutató nyíllal is elérheti egy előzmény legördülő listájának megjelenítéséhez.
A beállítást követően a rögzítési szűrőket a hálózati forgalom rögzítésének megkezdésekor alkalmazzák. A megjelenítési szűrő alkalmazásához kattintson a jobb oldali nyílra, amely a beviteli mező jobb szélén található.
05/07Színszabályok
Bár a Wireshark rögzítési és megjelenítési szűrői lehetővé teszik, hogy korlátozzák a csomagok rögzítését vagy a képernyőn való megjelenítését, színesítési funkciója egy lépéssel továbbfejleszti a dolgokat, megkönnyítve ezzel a különböző csomagtípusok közötti különbséget az egyedi színárnyalat alapján. Ez a praktikus funkció lehetővé teszi, hogy gyorsan megtalálja az egyes csomagokat egy mentett készleten belül a sorok színével a csomaglista ablakban.
A Wireshark körülbelül 20 alapértelmezett színezési szabályt tartalmaz, amelyek mindegyike szerkeszthető, letiltható vagy törölhető, ha akarod. Új színárnyalatú szűrőket is hozzáadhat a színszabályozási felületen keresztül, amely elérhető a Kilátás menü. Az egyes szabályok nevének és szűrési kritériumának meghatározása mellett megkérjük a háttérszín és a szövegszín társítását is.
A csomagszínezõdés lecsökkenthetõ és a Colorize Packet List lehetőség is megtalálható a Kilátás menü.
06, 07Statisztika
A Wireshark főablakában bemutatott hálózatadatok részletes információi mellett számos egyéb hasznos mutató is elérhető a Statisztika legördülő menü a képernyő teteje felé található. Ezek magukban foglalják a befogási fájl méretével és időzítésével kapcsolatos információkat, valamint több tucat táblázatot és gráfot, amelyek a témában a csomagkommunikáció lebontásától kezdve a HTTP-kérelmek terjesztésének terhelésétől függnek.
Kijelzőszűrők számos statisztikára alkalmazhatók az interfészeken keresztül, és az eredmények többféle közös formátumba is exportálhatók, beleértve a CSV, XML és TXT fájlokat.
07, 07Fejlett funkciók
A Wireshark fő funkciói mellett van még egy olyan funkciók gyűjteménye, amelyek a fejlett felhasználók számára fenntartott erőteljes eszközzel rendelkeznek. Ez magában foglalja a saját protokoll disszektorainak a Lua programozási nyelvben történő írását.
