Ağ geçidini bilerek wireshark nasıl izlenir. Wireshark ile ağ analizi
Wireshark, bilgisayarınızın ağ arayüzünden geçen trafiği analiz etmek için kullanılabilecek güçlü bir ağ analizörüdür. Bu, ağ sorunlarını tespit etmek ve çözmek, web uygulamalarınızda, ağ programlarınızda veya sitelerinizde hata ayıklamak için yararlı olabilir. Wireshark, paketin içeriğini tüm seviyelerde tam olarak görmenizi sağlar, böylece ağın düşük seviyede nasıl çalıştığını daha iyi anlayabilirsiniz.
Tüm paketler gerçek zamanlı olarak yakalanır ve okunması kolay bir biçimde sağlanır. Program, çok güçlü bir filtreleme sistemini, renk vurgulamayı ve ihtiyacınız olan paketleri bulmanıza yardımcı olacak diğer özellikleri destekler. Bu eğitimde, trafiği analiz etmek için Wireshark'ın nasıl kullanılacağına bakacağız. Son zamanlarda geliştiriciler Wireshark 2.0 programının özellikle arayüz için bir çok değişiklik ve iyileştirmenin yapıldığı ikinci dal üzerinde çalışmaya başladılar. Bu yazıda kullanacağımız şey bu.
Wireshark'ın Temel Özellikleri
Trafik analiz yöntemlerinin değerlendirilmesine geçmeden önce, programın hangi özellikleri desteklediğini, hangi protokollerle çalışabileceğini ve neler yapabileceğini daha ayrıntılı olarak düşünmeniz gerekir. İşte programın ana özellikleri:
- Bir dosyadan okumanın yanı sıra kablolu veya diğer herhangi bir ağ arabirimi türünden gerçek zamanlı paketleri yakalayın;
- Aşağıdaki yakalama arabirimleri desteklenir: Ethernet, IEEE 802.11, PPP ve yerel sanal arabirimler;
- Paketler, filtreler kullanılarak çeşitli parametrelerle filtrelenebilir;
- Bilinen tüm protokoller listede TCP, HTTP, FTP, DNS, ICMP vb. gibi farklı renklerde vurgulanır;
- VoIP aramalarının trafiğini yakalama desteği;
- HTTPS trafiğinin şifresinin çözülmesi bir sertifika ile desteklenir;
- Bir anahtar ve el sıkışma varlığında kablosuz ağların WEP, WPA trafiğinin şifresinin çözülmesi;
- Ağ yükü istatistiklerini görüntüleme;
- Tüm ağ katmanları için paketlerin içeriğini görüntüleyin;
- Paket gönderme ve alma zamanını görüntüler.
Programın daha birçok özelliği var ama ilginizi çekebilecek başlıcaları bunlardı.
Wireshark nasıl kullanılır?
Programın zaten kurulu olduğunu varsayıyorum, ancak değilse, resmi depolardan kurabilirsiniz. Bunu yapmak için Ubuntu'ya şu komutu yazın:
$ sudo apt install wireshark
Kurulumdan sonra programı dağıtımın ana menüsünde bulabilirsiniz. Wireshark'ı süper kullanıcı haklarıyla çalıştırmanız gerekir, aksi takdirde program ağ paketlerini analiz edemez. Bu, ana menüden veya KDE komutu kullanılarak terminal aracılığıyla yapılabilir:
$ kdesu tel köpek balığı
Ve Gnome/Unity için:
$ gksu tel köpek balığı
Programın ana penceresi üç bölüme ayrılmıştır, ilk sütun analiz için kullanılabilen ağ arayüzlerinin bir listesini, ikinci - dosyaları açma seçenekleri ve üçüncü - yardım içerir.
Ağ trafiği analizi
Analizi başlatmak için ağ arayüzünü seçin, örneğin eth0 ve düğmesine tıklayın. Başlat.
Bundan sonra, zaten arayüzden geçen bir paket akışı ile bir sonraki pencere açılacaktır. Bu pencere ayrıca birkaç bölüme ayrılmıştır:
- Üst kısım- bunlar çeşitli düğmelere sahip menüler ve panellerdir;
- Paket Listesi- ayrıca analiz edeceğiniz ağ paketlerinin akışı görüntülenir;
- Paket içeriği- Seçilen paketin içeriğinin hemen altında bulunur, taşıma seviyesine göre kategorilere ayrılır;
- Gerçek performans- en altta, paketin içeriği hem gerçek hem de HEX biçiminde görüntülenir.
İçeriğini analiz etmek için herhangi bir pakete tıklayabilirsiniz:
Burada sitenin ip adresini almak için bir DNS istek paketi görüyoruz, istekte etki alanı gönderiliyor ve yanıt paketinde sorumuzun yanı sıra cevabı da alıyoruz.
Daha rahat görüntüleme için, girişe çift tıklayarak paketi yeni bir pencerede açabilirsiniz:
Wireshark Filtreleri
Özellikle aktif bir akışta, doğru paketleri bulmak için paketleri manuel olarak sıralamak çok elverişsizdir. Bu nedenle, böyle bir görev için filtre kullanmak daha iyidir. Menü altında filtre girmek için özel bir satır bulunmaktadır. Filtre oluşturucuyu açmak için İfade'ye basabilirsiniz, ancak birçoğu vardır, bu yüzden en temel olanları ele alacağız:
- ip.dst- hedef ip adresi;
- ip.src- gönderenin ip adresi;
- ip.addr- gönderenin veya alıcının ip adresi;
- ip.proto- protokol;
- tcp.dstport- Hedef noktası;
- tcp.srcport- gönderenin limanı;
- ip.ttl- ttl'ye göre filtrele, ağ mesafesini belirler;
- http.request_uri- istenen site adresi.
Bir filtredeki bir alan ile bir değer arasındaki ilişkiyi belirtmek için aşağıdaki operatörleri kullanabilirsiniz:
- == - eşittir;
- != - eşit değildir;
- < - az;
- > - daha fazla;
- <= - daha az veya eşit;
- >= - daha fazla veya eşit;
- maçlar- Düzenli ifade;
- içerir- içerir.
Birden çok ifadeyi birleştirmek için şunları kullanabilirsiniz:
- && - paket için her iki ifade de doğru olmalıdır;
- || - ifadelerden biri doğru olabilir.
Şimdi çeşitli filtre örneklerine daha yakından bakalım ve tüm ilişki işaretlerini dikkate almaya çalışalım.
Öncelikle 194.67.215.125'e (lost.ru) gönderilen tüm paketleri filtreleyelim. Filtre alanına bir dize yazın ve uygulamak. Kolaylık sağlamak için, wireshark filtreleri düğmesi kullanılarak kaydedilebilir Kayıt etmek:
ip.dst == 194.67.215.125
Ve yalnızca gönderilen paketleri değil, aynı zamanda bu düğümden yanıt olarak alınan paketleri de almak için iki koşul birleştirilebilir:
ip.dst == 194.67.215.125 || ip.src == 194.67.215.125
Aktarılan büyük dosyaları da seçebiliriz:
http.content_length > 5000
Content-Type'ı filtreleyerek, yüklenen tüm görüntüleri seçebilir, wireshark trafiğini, görüntü kelimesini içeren paketleri analiz edebiliriz:
http.content_type resim içeriyor
Filtreyi temizlemek için düğmesine tıklayabilirsiniz. Temizlemek. Filtreleme için gerekli tüm bilgileri her zaman bilmiyorsunuz, ancak sadece ağı incelemek istiyorsunuz. Herhangi bir paket alanını sütun olarak ekleyebilir ve içeriğini her paket için genel pencerede görüntüleyebilirsiniz.
Örneğin, bir paketin ttl'sini (yaşam süresi) bir sütun olarak görüntülemek istiyorum. Bunun için paket bilgilerini açın, IP bölümünde bu alanı bulun. Ardından bağlam menüsünü arayın ve seçeneği seçin Sütun Olarak Uygula:
Ayrıca istediğiniz herhangi bir alan bazında filtre oluşturabilirsiniz. Gerekli alanı seçin ve bağlam menüsünü çağırın, ardından Filtre olarak uygula veya Filtre olarak hazırlaöğesini seçin, ardından Seçildi yalnızca seçili değerleri görüntülemek için veya Seçili değil onları kaldırmak için:
Belirtilen alan ve değeri uygulanır veya ikinci durumda filtre alanında değiştirilir:
Bu şekilde herhangi bir paketin veya sütunun alanını filtreye ekleyebilirsiniz. Bağlam menüsünde de bu seçenek var. Protokolleri filtrelemek için daha basit koşulları da kullanabilirsiniz. Örneğin, HTTP ve DNS protokolleri için Wireshark trafiğini analiz edelim:
Programın bir başka ilginç özelliği de, kullanıcının bilgisayarı ile sunucu arasındaki belirli bir oturumu izlemek için Wireshark'ın kullanılmasıdır. Bunu yapmak için paketin içerik menüsünü açın ve TCP akışını takip edin.
Ardından, sunucu ile istemci arasında aktarılan tüm verileri bulacağınız bir pencere açılacaktır:
Wireshark Sorunlarını Teşhis Etme
Ağ sorunlarını tespit etmek için Wireshark 2'nin nasıl kullanılacağını merak ediyor olabilirsiniz. Bunu yapmak için, pencerenin sol alt köşesinde yuvarlak bir düğme var, tıkladığınızda bir pencere açılıyor. Uzman Araçlar. İçinde Wireshark tüm hata ve ağ hatası mesajlarını toplar:
Pencere, Hatalar, Uyarılar, Bildirimler, Sohbetler gibi sekmelere ayrılmıştır. Program ağ ile ilgili birçok sorunu filtreleyebilir ve bulabilir ve burada bunları çok hızlı bir şekilde görebilirsiniz. Wireshark filtreleri de burada desteklenmektedir.
Wireshark trafik analizi
Bağlantı şifrelenmemişse, kullanıcıların tam olarak neyi indirdiğini ve hangi dosyaları izlediğini çok kolay bir şekilde anlayabilirsiniz. Program, içerik çıkarma konusunda çok iyi bir iş çıkarıyor.
Bunu yapmak için öncelikle paneldeki kırmızı kareyi kullanarak trafik yakalamayı durdurmanız gerekir. Ardından menüyü açın dosya -> Nesneleri Dışa Aktar -> http:
Bu, birçok özelliği olan çok güçlü bir yardımcı programdır. Tüm işlevselliği tek bir makaleye sığdırılamaz, ancak burada verilen temel bilgiler, ihtiyacınız olan her şeyi kendiniz öğrenmeniz için yeterli olacaktır.
- hizmetler veya hata türleri için arabelleği hızlı bir şekilde ayrıştırmanıza olanak tanıyan yerleşik bir uzman sistemin varlığı. Bu, sorun yerelleştirme süresini önemli ölçüde hızlandıracak ve sizin için önceden sıralanmış ve önceden değerlendirilmiş bilgilerle çalışacaktır. Burada VIAVI Solutions'ın Observer veya Netscout'tan ClearSight Analyzer adlı çözümlerine dikkat edebilirsiniz.Bir bütçe ayırmazlarsa, ancak sorunlar varsa, o zaman sabretmek ve kahve içmek kalır. 1 Gbit/s ve üzeri hızlardaki veri iletim ağlarında, trafik yakalama arabelleği anında doldurulur ve çıkışta oldukça büyük bir veri dizisi elde edilir. Ağdaki farklı cihazlar arasındaki etkileşimi anlayan bu veri dizisi, farklı parametrelerle filtrelenebilir. Bunu yapmak için Wireshark'ın birkaç seçeneği vardır:
Hatalı paketlerin renk kodlaması - özelleştirilebilir. Hata içeren paketler arabellekte özel bir renkle vurgulanacaktır.
Filtre dizisi ile filtreleyin. Wireshark ve protokoller konusunda çok deneyiminiz var ve filtreyi kendiniz uygulayabilirsiniz. Çok çeşitli filtreler bulunabilir.
Paketteki herhangi bir alanı seçin, sağ tıklayın ve "Filtre olarak uygula". Yeni başlayanlar için yöntem: çok uygun, çünkü beyninizi zorlamanıza gerek yok.
Trafiği görüntülemek için ana filtreler nelerdir?
protokole göre wireshark filtresi
Filtre satırına protokolün adını girip enter tuşuna basmanız yeterlidir. Ekran, istenen protokolle ilgili paketleri görüntüleyecektir. Böylece filtre şöyle görünür:
Yakalama arabelleğinin birden çok protokol tarafından filtrelenmesi gerekiyorsa, istenen tüm protokoller || ile listelenmeli ve ayrılmalıdır. Örneğin:
arp || http || icmp
IP adresine göre Wireshark filtresi ve MAC'e göre filtre
Trafiğin yönüne bağlı olarak, filtre biraz farklı olacaktır. Örneğin, 50.116.24.50 gönderen IP adresine göre filtrelemek istiyoruz:
ip.src==10.0.10.163
Alıcı için filtre ip.dst == x.x.x.x gibi görünecek ve paketleri trafik yönünden bağımsız olarak görmek istiyorsak, şunu girin:
ip.addr==50.116.24.50
Bir adresi seçim alanından çıkarmamız gerekirse, o zaman!= eklememiz gerekir. Örnek:
ip.src!=80.68.246.17
Yerel ağ içindeki trafiği analiz edersek ve kullanıcının MAC adresini biliyorsak, MAC adresini Wireshark filtresi olarak belirtebiliriz, örneğin:
eth.addr == AA:BB:CC:DD:EE:FF
port numarasına göre wireshark filtresi
Trafiği analiz ederken, bir veya başka bir protokolün trafiği ilettiği port numarasına göre bir filtre kurabiliriz. Kayıtlı tüm portların numaralarını öğrenebilirsiniz.Örnek:
Tıpkı IP ve MAC adreslerinde olduğu gibi, portları alarak veya göndererek ayrı ayrı filtreleyebiliriz. tcp. srcport ve tcp. dstport. Bağlantı noktası numaralarını belirlemeye ek olarak, Wireshark, TCP protokolünde arabelleği bayraklarla filtrelemek için mükemmel bir fırsat sunar. Örneğin, SYN flag'lı (cihazlar arasında bağlantı kuran) TCP paketlerini görmek istiyorsak, arama çubuğuna şunu giriyoruz:
Popüler filtreler
Aşağıdaki tablo, yakalama arabelleğinin içeriğini görüntülemek için en popüler filtreleri listeler:
Görüntülenecek filtre |
Açıklama |
Yazı örneği |
gönderenin veya alıcının MAC adresi |
eth.addr == 00:1a:6b:ce:fc:bb |
|
gönderen MAC adresi |
eth.src == 00:1a:6b:ce:fc:bb |
|
Hedef MAC adresi |
eth.dst == 00:1a:6b:ce:fc:bb |
|
ARP Protokolü - Hedef MAC Adresi |
arp.dst.hw_mac == 00:1a:6b:ce:fc:bb |
|
arp.dst.proto_ipv4 |
ARP protokolü - alıcının IP adresi sürüm 4 |
arp.dst.proto_ipv4 == 10.10.10.10 |
ARP Protokolü - Kaynak MAC Adresi |
arp.src.hw_mac == 00:1a:6b:ce:fc:bb |
|
arp.src.proto_ipv4 |
ARP protokolü - gönderenin IP adresi sürüm 4 |
arp.src.proto_ipv4 == 10.10.10.10 |
VLAN kimliği |
||
Sürüm 4 Alıcının veya gönderenin IP adresi |
ip.addr == 10.10.10.10 |
|
Hedef sürüm 4 IP adresi |
ip.addr == 10.10.10.10 |
|
Gönderenin IP adresi sürüm 4 |
ip.src == 10.10.10.10 |
|
IP protokolü (ondalık) |
||
Alıcının veya gönderenin IP adresi sürüm 6 |
ipv6.addr == 2001::5 |
|
Gönderenin IP adresi sürüm 6 |
ipv6.addr == 2001::5 |
|
Hedef sürüm 6 IP adresi |
ipv6.dst == 2001::5 |
|
Hedef veya göndericinin TCP bağlantı noktası |
||
hedef TCP bağlantı noktası |
tcp.dstport == 80 |
|
TCP gönderen bağlantı noktası |
tcp.srcport == 60234 |
|
UDP hedef veya gönderici bağlantı noktası |
||
hedef UDP bağlantı noktası |
udp.dstport == 513 |
|
UDP gönderen bağlantı noktası |
udp.srcport==40000 |
|
vtp.vlan_info.vlan_name |
vtp.vlan_info.vlan_name == TEST |
|
bgp.originator_id |
BGP Kimliği (IPv4 Adresi) |
bgp.originator_id == 192.168.10.15 |
BGP Sonraki Atlama (IPv4 Adresi) |
bgp.next_hop == 192.168.10.15 |
|
RIP IPv4 adresi |
rip.ip == 200.0.2.0 |
|
OSPF Yönlendirici Kimliği |
ospf.advrouter == 192.168.170.8 |
|
EIGRP Otonom Sistem Numarası |
||
HSRP protokolü aracılığıyla sanal IP adresi |
hsrp.virt_ip == 192.168.23.250 |
|
VRRP protokolü aracılığıyla sanal IP adresi |
vrrp.ip_addr == 192.168.23.250 |
|
Wi-Fi kaynağı veya hedef MAC adresi |
wlan.addr == 00:1a:6b:ce:fc:bb |
|
Wi-Fi gönderen MAC adresi |
wlan.sa == 00:1a:6b:ce:fc:bb |
|
Wi-Fi hedef MAC adresi |
wlan.da == 00:1a:6b:ce:fc:bb |
İşinizde en çok hangi filtreleri kullanıyorsunuz?
Belirli bir problemde hata ayıklarken, bazen makinenize gelen ve giden protokol trafiğini analiz etmeniz gerekebilir. Wireshark, bu amaç için kullanılan en iyi araçlardan biridir. Bu yazıda Wireshark ağ protokolü analizörü görüntü filtresinin nasıl kullanılacağını öğreneceğiz.
1. Wireshark'ı indirin ve yükleyin
Yürütülebilir dosyayı indirdikten sonra, Wireshark'ı kurmak için üzerine tıklamanız yeterlidir.
2. Bir Arayüz seçin ve Yakalamayı Başlatın
Wireshark'ı açtıktan sonra, önce makinenizin belirli bir ağ arayüzünü seçmelisiniz. Çoğu durumda, makine yalnızca bir ağ arabirimine bağlıdır, ancak birden fazla olması durumunda, trafiği izlemek istediğiniz arabirimi seçin.
Menüden, aşağıdaki ekranı gösterecek olan 'Yakala -> Arayüzler'e tıklayın:
3. Kaynak IP Filtresi
Wireshark'taki paket görünümünü yalnızca filtrede belirtildiği gibi kaynak IP'ye sahip paketlerle sınırlamak için bir kaynak filtresi uygulanabilir. Aşağıdaki örnekte uygulanan filtre:
ip.src == 192.168.1.1
4. Hedef IP Filtresi
Wireshark'taki paket görünümünü yalnızca filtrede belirtildiği gibi hedef IP'si olan paketlerle sınırlamak için bir hedef filtresi uygulanabilir. Örneğin:
ip.dst == 192.168.1.1
5. Protokole Göre Filtreleme
Belirli bir protokol için filtre uygulamak çok kolaydır. Filtre sekmesine o protokolün adını yazmanız ve enter tuşuna basmanız yeterlidir. Aşağıdaki örnekte, bu filtreyi kullanarak sonuçları http protokolü için filtrelemeye çalıştık:
6. Filtrede VEYA Koşulunun Kullanılması
Bu filtre, bir veya diğer koşulla eşleşen paketlerin filtrelenmesine yardımcı olur.
Diyelim ki, 'http' veya 'arp' protokolüne sahip paketleri görme gereksinimi ortaya çıkabilir. Bu durumda ayrı filtreler uygulanamaz. Dolayısıyla, koşulların herhangi biriyle veya her ikisiyle eşleşen paketleri görüntülemek için VEYA'ların iki koşulu olan '||' filtre ifadesi vardır. Aşağıdaki örnekte, bu filtreyi kullanarak http veya arp paketlerini filtrelemeye çalıştık:
Http||arp
7. Filtrede VE Koşulunun Uygulanması
Bu filtre, birden çok koşulla tam olarak eşleşen paketin filtrelenmesine yardımcı olur.
Yalnızca HTTP paketleri olan ve '192.168.1.4' olarak kaynak ip'ye sahip olan paketleri filtrelemek için bir gereklilik olduğunu varsayalım. Bu filtreyi kullanın:
http&&ip.src==192.168.1.4
8. Bağlantı Noktası Numarasına Göre Filtrele
Bu, 'tcp.port eq' filtresi kullanılarak yapılabilir. Örneğin:
Tcp.port eq 80
9. Belirli Bir Dizi İçeren Eşleşme Paketleri
Burada kullanılan filtre sözdizimi: "içerir".
Tcp şunları içerir: 01:01:04
10. Paketleri Kaynağa veya Hedefe Göre Reddet
Buradaki filtre 'ip.src !=' veya 'ip.dst !=' şeklindedir.
ip.dst != 192.168.1.1
Bu makaleyi beğendiyseniz, siz de beğenebilirsiniz..
Wireshark, bilgisayarınızın ağ arayüzünden geçen trafiği analiz etmek için kullanılabilecek güçlü bir ağ analizörüdür. Ağ sorunlarını tespit etmek ve çözmek, web uygulamalarınızda, ağ programlarınızda veya sitelerinizde hata ayıklamak için buna ihtiyacınız olabilir. Wireshark, paketin içeriğini tüm seviyelerde tam olarak görmenizi sağlar: böylece ağın düşük seviyede nasıl çalıştığını daha iyi anlayabilirsiniz.
Tüm paketler gerçek zamanlı olarak yakalanır ve okunması kolay bir biçimde sağlanır. Program, çok güçlü bir filtreleme sistemini, renk vurgulamayı ve ihtiyacınız olan paketleri bulmanıza yardımcı olacak diğer özellikleri destekler. Bu eğitimde, trafiği analiz etmek için Wireshark'ın nasıl kullanılacağına bakacağız. Son zamanlarda geliştiriciler Wireshark 2.0 programının ikinci dalı üzerinde çalışmaya başladılar, özellikle arayüz için birçok değişiklik ve iyileştirme yapıldı. Bu yazıda kullanacağımız şey bu.
Trafiği analiz etmenin yollarını düşünmeye devam etmeden önce, programın hangi özellikleri desteklediğini, hangi protokollerle çalışabileceğini ve ne yapacağını düşünmelisiniz. İşte programın ana özellikleri:
- Bir dosyadan okumanın yanı sıra kablolu veya diğer herhangi bir ağ arabirimi türünden gerçek zamanlı paketleri yakalayın;
- Aşağıdaki yakalama arabirimleri desteklenir: Ethernet, IEEE 802.11, PPP ve yerel sanal arabirimler;
- Paketler, filtreler kullanılarak çeşitli parametrelerle filtrelenebilir;
- Bilinen tüm protokoller listede TCP, HTTP, FTP, DNS, ICMP vb. gibi farklı renklerde vurgulanır;
- VoIP aramalarının trafiğini yakalama desteği;
- HTTPS trafiğinin şifresinin çözülmesi, bir sertifikanın varlığında desteklenir;
- Bir anahtar ve el sıkışma varlığında kablosuz ağların WEP-, WPA trafiğinin şifresinin çözülmesi;
- Ağ yükü istatistiklerini görüntüleme;
- Tüm ağ katmanları için paketlerin içeriğini görüntüleyin;
- Paket gönderme ve alma zamanını görüntüler.
Programın daha birçok özelliği var ama ilginizi çekebilecek başlıcaları bunlardı.
Wireshark nasıl kullanılır?
Programın zaten kurulu olduğunu varsayıyorum, ancak değilse, resmi depolardan kurabilirsiniz. Bunu yapmak için Ubuntu'ya şu komutu yazın:
sudo apt wireshark'ı kurun
Kurulumdan sonra programı dağıtımın ana menüsünde bulabilirsiniz. Wireshark'ı süper kullanıcı haklarıyla çalıştırmanız gerekir, aksi takdirde ağ paketlerini analiz edemez. Bu, ana menüden veya KDE komutu kullanılarak terminal aracılığıyla yapılabilir:
Ve Gnome/Unity için:
Programın ana penceresi üç bölüme ayrılmıştır: ilk sütun, analiz için kullanılabilen ağ arayüzlerinin bir listesini, ikinci - dosyaları açma seçenekleri ve üçüncü - yardım içerir.
Ağ trafiği analizi
Analizi başlatmak için ağ arayüzünü seçin, örneğin eth0 ve düğmesine tıklayın. Başlat.
Bundan sonra, zaten arayüzden geçen bir paket akışı ile bir sonraki pencere açılacaktır. Bu pencere ayrıca birkaç bölüme ayrılmıştır:
- Üst kısım- bunlar çeşitli düğmelere sahip menüler ve panellerdir;
- Paket Listesi- ayrıca analiz edeceğiniz ağ paketlerinin akışı görüntülenir;
- Paket içeriği- Seçilen paketin içeriğinin hemen altında bulunur, taşıma seviyesine göre kategorilere ayrılır;
- Gerçek performans- en altta, paketin içeriği hem gerçek hem de HEX biçiminde görüntülenir.
İçeriğini analiz etmek için herhangi bir pakete tıklayabilirsiniz:
Burada sitenin IP adresini almak için bir DNS sorgu paketi görüyoruz, sorguda etki alanı gönderiliyor ve yanıt paketinde cevabın yanı sıra sorumuzu da alıyoruz.
Daha rahat görüntüleme için, girişe çift tıklayarak paketi yeni bir pencerede açabilirsiniz:
Wireshark Filtreleri
Özellikle aktif bir akışta ihtiyacınız olanları bulmak için paketleri manuel olarak sıralamak çok zahmetlidir. Bu nedenle, böyle bir görev için filtre kullanmak daha iyidir. Menü altında filtre girmek için özel bir satır bulunmaktadır. tıklayabilirsiniz ifade filtre oluşturucuyu açmak için, ancak birçoğu var, bu yüzden en temel olanları ele alacağız:
- ip.dst- hedef IP adresi;
- ip.src- gönderenin IP adresi;
- ip.addr- gönderenin veya alıcının IP adresi;
- ip.proto- protokol;
- tcp.dstport- Hedef noktası;
- tcp.srcport- gönderenin limanı;
- ip.ttl- ttl'ye göre filtrele, ağ mesafesini belirler;
- http.request_uri- istenen site adresi.
Bir filtredeki bir alan ile bir değer arasındaki ilişkiyi belirtmek için aşağıdaki operatörleri kullanabilirsiniz:
- == - eşittir;
- != - eşit değildir;
- < - az;
- > - daha fazla;
- <= - daha az veya eşit;
- >= - daha fazla veya eşit;
- maçlar- Düzenli ifade;
- içerir- içerir.
Birden çok ifadeyi birleştirmek için şunları kullanabilirsiniz:
- && - paket için her iki ifade de doğru olmalıdır;
- || - ifadelerden biri doğru olabilir.
Şimdi çeşitli filtre örneklerine daha yakından bakalım ve ilişkilerin tüm işaretlerini anlamaya çalışalım.
İlk önce 194.67.215'e gönderilen tüm paketleri filtreleyelim. Filtre alanına bir dize yazın ve tıklayın. uygulamak. Kolaylık sağlamak için Wireshark filtreleri düğme kullanılarak kaydedilebilir Kayıt etmek:
ip.dst == 194.67.215.125
Ve yalnızca gönderilen paketleri değil, aynı zamanda bu düğümden yanıt olarak alınan paketleri de almak için iki koşulu birleştirebilirsiniz:
ip.dst == 194.67.215.125 || ip.src == 194.67.215.125
Aktarılan büyük dosyaları da seçebiliriz:
http.content_length > 5000
Content-Type'ı filtreleyerek, yüklenen tüm resimleri seçebiliriz; görüntü kelimesini içeren paketler olan Wireshark trafiğini analiz edelim:
http.content_type resim içeriyor
Filtreyi temizlemek için düğmesine tıklayabilirsiniz. Temizlemek. Filtreleme için gerekli tüm bilgileri her zaman bilmiyorsunuz, ancak sadece ağı incelemek istiyorsunuz. Herhangi bir paket alanını sütun olarak ekleyebilir ve içeriğini her paket için genel pencerede görüntüleyebilirsiniz.
Örneğin, bir paketin ttl'sini (yaşam süresi) bir sütun olarak görüntülemek istiyorum. Bunun için paket bilgilerini açın, IP bölümünde bu alanı bulun. Ardından bağlam menüsünü arayın ve seçeneği seçin Sütun Olarak Uygula:
Aynı şekilde istediğiniz herhangi bir alana göre filtre oluşturabilirsiniz. Seçin ve içerik menüsünü çağırın, ardından Filtre olarak uygula veya Filtre olarak hazırla, ardından seçin seçilmiş, yalnızca seçili değerleri görüntülemek için veya Seçili değil onları kaldırmak için:
Belirtilen alan ve değeri uygulanır veya ikinci durumda filtre alanında değiştirilir:
Bu şekilde herhangi bir paketin veya sütunun alanını filtreye ekleyebilirsiniz. Bağlam menüsünde de bu seçenek var. Protokolleri filtrelemek için daha basit koşulları da kullanabilirsiniz. Örneğin, HTTP ve DNS protokolleri için Wireshark trafiğini analiz edelim:
Programın bir başka ilginç özelliği de, kullanıcının bilgisayarı ile sunucu arasındaki belirli bir oturumu izlemek için Wireshark'ın kullanılmasıdır. Bunu yapmak için paketin içerik menüsünü açın ve TCP akışını takip edin.
Ardından, sunucu ile istemci arasında aktarılan tüm verileri bulacağınız bir pencere açılacaktır:
Wireshark Sorunlarını Teşhis Etme
Ağ sorunlarını tespit etmek için Wireshark 2.0'ın nasıl kullanılacağını merak ediyor olabilirsiniz. Bunu yapmak için, pencerenin sol alt köşesinde yuvarlak bir düğme var, tıkladığınızda bir pencere açılıyor. Uzman Araçlar. İçinde Wireshark tüm hata ve ağ hatası mesajlarını toplar:
Pencere, Hatalar, Uyarılar, Bildirimler, Sohbetler gibi sekmelere ayrılmıştır. Program birçok ağ sorununu filtreleyip bulabilir ve burada bunları çok hızlı bir şekilde görebilirsiniz. Wireshark filtreleri de burada desteklenmektedir.
Wireshark trafik analizi
Bağlantı şifrelenmemişse, kullanıcıların tam olarak neyi indirdiğini ve hangi dosyaları izlediğini çok kolay bir şekilde anlayabilirsiniz. Program, içerik çıkarma konusunda çok iyi bir iş çıkarıyor.
Bunu yapmak için öncelikle paneldeki kırmızı kareyi kullanarak trafik yakalamayı durdurmanız gerekir. Ardından menüyü açın dosya -> Nesneleri Dışa Aktar -> http: