Ağ geçidini bilerek wireshark nasıl izlenir. Wireshark ile ağ analizi

Wireshark, bilgisayarınızın ağ arayüzünden geçen trafiği analiz etmek için kullanılabilecek güçlü bir ağ analizörüdür. Bu, ağ sorunlarını tespit etmek ve çözmek, web uygulamalarınızda, ağ programlarınızda veya sitelerinizde hata ayıklamak için yararlı olabilir. Wireshark, paketin içeriğini tüm seviyelerde tam olarak görmenizi sağlar, böylece ağın düşük seviyede nasıl çalıştığını daha iyi anlayabilirsiniz.

Tüm paketler gerçek zamanlı olarak yakalanır ve okunması kolay bir biçimde sağlanır. Program, çok güçlü bir filtreleme sistemini, renk vurgulamayı ve ihtiyacınız olan paketleri bulmanıza yardımcı olacak diğer özellikleri destekler. Bu eğitimde, trafiği analiz etmek için Wireshark'ın nasıl kullanılacağına bakacağız. Son zamanlarda geliştiriciler Wireshark 2.0 programının özellikle arayüz için bir çok değişiklik ve iyileştirmenin yapıldığı ikinci dal üzerinde çalışmaya başladılar. Bu yazıda kullanacağımız şey bu.

Wireshark'ın Temel Özellikleri

Trafik analiz yöntemlerinin değerlendirilmesine geçmeden önce, programın hangi özellikleri desteklediğini, hangi protokollerle çalışabileceğini ve neler yapabileceğini daha ayrıntılı olarak düşünmeniz gerekir. İşte programın ana özellikleri:

Bir dosyadan okumanın yanı sıra kablolu veya diğer herhangi bir ağ arabirimi türünden gerçek zamanlı paketleri yakalayın;
Aşağıdaki yakalama arabirimleri desteklenir: Ethernet, IEEE 802.11, PPP ve yerel sanal arabirimler;
Paketler, filtreler kullanılarak çeşitli parametrelerle filtrelenebilir;
Bilinen tüm protokoller listede TCP, HTTP, FTP, DNS, ICMP vb. gibi farklı renklerde vurgulanır;
VoIP aramalarının trafiğini yakalama desteği;
HTTPS trafiğinin şifresinin çözülmesi bir sertifika ile desteklenir;
Bir anahtar ve el sıkışma varlığında kablosuz ağların WEP, WPA trafiğinin şifresinin çözülmesi;
Ağ yükü istatistiklerini görüntüleme;
Tüm ağ katmanları için paketlerin içeriğini görüntüleyin;
Paket gönderme ve alma zamanını görüntüler.

Programın daha birçok özelliği var ama ilginizi çekebilecek başlıcaları bunlardı.

Wireshark nasıl kullanılır?

Programın zaten kurulu olduğunu varsayıyorum, ancak değilse, resmi depolardan kurabilirsiniz. Bunu yapmak için Ubuntu'ya şu komutu yazın:

$ sudo apt install wireshark

Kurulumdan sonra programı dağıtımın ana menüsünde bulabilirsiniz. Wireshark'ı süper kullanıcı haklarıyla çalıştırmanız gerekir, aksi takdirde program ağ paketlerini analiz edemez. Bu, ana menüden veya KDE komutu kullanılarak terminal aracılığıyla yapılabilir:

$ kdesu tel köpek balığı

Ve Gnome/Unity için:

$ gksu tel köpek balığı

Programın ana penceresi üç bölüme ayrılmıştır, ilk sütun analiz için kullanılabilen ağ arayüzlerinin bir listesini, ikinci - dosyaları açma seçenekleri ve üçüncü - yardım içerir.

Ağ trafiği analizi

Analizi başlatmak için ağ arayüzünü seçin, örneğin eth0 ve düğmesine tıklayın. Başlat.

Bundan sonra, zaten arayüzden geçen bir paket akışı ile bir sonraki pencere açılacaktır. Bu pencere ayrıca birkaç bölüme ayrılmıştır:

Üst kısım- bunlar çeşitli düğmelere sahip menüler ve panellerdir;
Paket Listesi- ayrıca analiz edeceğiniz ağ paketlerinin akışı görüntülenir;
Paket içeriği- Seçilen paketin içeriğinin hemen altında bulunur, taşıma seviyesine göre kategorilere ayrılır;
Gerçek performans- en altta, paketin içeriği hem gerçek hem de HEX biçiminde görüntülenir.

İçeriğini analiz etmek için herhangi bir pakete tıklayabilirsiniz:

Burada sitenin ip adresini almak için bir DNS istek paketi görüyoruz, istekte etki alanı gönderiliyor ve yanıt paketinde sorumuzun yanı sıra cevabı da alıyoruz.

Daha rahat görüntüleme için, girişe çift tıklayarak paketi yeni bir pencerede açabilirsiniz:

Wireshark Filtreleri

Özellikle aktif bir akışta, doğru paketleri bulmak için paketleri manuel olarak sıralamak çok elverişsizdir. Bu nedenle, böyle bir görev için filtre kullanmak daha iyidir. Menü altında filtre girmek için özel bir satır bulunmaktadır. Filtre oluşturucuyu açmak için İfade'ye basabilirsiniz, ancak birçoğu vardır, bu yüzden en temel olanları ele alacağız:

ip.dst- hedef ip adresi;
ip.src- gönderenin ip adresi;
ip.addr- gönderenin veya alıcının ip adresi;
ip.proto- protokol;
tcp.dstport- Hedef noktası;
tcp.srcport- gönderenin limanı;
ip.ttl- ttl'ye göre filtrele, ağ mesafesini belirler;
http.request_uri- istenen site adresi.

Bir filtredeki bir alan ile bir değer arasındaki ilişkiyi belirtmek için aşağıdaki operatörleri kullanabilirsiniz:

== - eşittir;
!= - eşit değildir;
< - az;
> - daha fazla;
<= - daha az veya eşit;
>= - daha fazla veya eşit;
maçlar- Düzenli ifade;
içerir- içerir.

Birden çok ifadeyi birleştirmek için şunları kullanabilirsiniz:

&& - paket için her iki ifade de doğru olmalıdır;
|| - ifadelerden biri doğru olabilir.

Şimdi çeşitli filtre örneklerine daha yakından bakalım ve tüm ilişki işaretlerini dikkate almaya çalışalım.

Öncelikle 194.67.215.125'e (lost.ru) gönderilen tüm paketleri filtreleyelim. Filtre alanına bir dize yazın ve uygulamak. Kolaylık sağlamak için, wireshark filtreleri düğmesi kullanılarak kaydedilebilir Kayıt etmek:

ip.dst == 194.67.215.125

Ve yalnızca gönderilen paketleri değil, aynı zamanda bu düğümden yanıt olarak alınan paketleri de almak için iki koşul birleştirilebilir:

ip.dst == 194.67.215.125 || ip.src == 194.67.215.125

Aktarılan büyük dosyaları da seçebiliriz:

http.content_length > 5000

Content-Type'ı filtreleyerek, yüklenen tüm görüntüleri seçebilir, wireshark trafiğini, görüntü kelimesini içeren paketleri analiz edebiliriz:

http.content_type resim içeriyor

Filtreyi temizlemek için düğmesine tıklayabilirsiniz. Temizlemek. Filtreleme için gerekli tüm bilgileri her zaman bilmiyorsunuz, ancak sadece ağı incelemek istiyorsunuz. Herhangi bir paket alanını sütun olarak ekleyebilir ve içeriğini her paket için genel pencerede görüntüleyebilirsiniz.

Örneğin, bir paketin ttl'sini (yaşam süresi) bir sütun olarak görüntülemek istiyorum. Bunun için paket bilgilerini açın, IP bölümünde bu alanı bulun. Ardından bağlam menüsünü arayın ve seçeneği seçin Sütun Olarak Uygula:

Ayrıca istediğiniz herhangi bir alan bazında filtre oluşturabilirsiniz. Gerekli alanı seçin ve bağlam menüsünü çağırın, ardından Filtre olarak uygula veya Filtre olarak hazırlaöğesini seçin, ardından Seçildi yalnızca seçili değerleri görüntülemek için veya Seçili değil onları kaldırmak için:

Belirtilen alan ve değeri uygulanır veya ikinci durumda filtre alanında değiştirilir:

Bu şekilde herhangi bir paketin veya sütunun alanını filtreye ekleyebilirsiniz. Bağlam menüsünde de bu seçenek var. Protokolleri filtrelemek için daha basit koşulları da kullanabilirsiniz. Örneğin, HTTP ve DNS protokolleri için Wireshark trafiğini analiz edelim:

Programın bir başka ilginç özelliği de, kullanıcının bilgisayarı ile sunucu arasındaki belirli bir oturumu izlemek için Wireshark'ın kullanılmasıdır. Bunu yapmak için paketin içerik menüsünü açın ve TCP akışını takip edin.

Ardından, sunucu ile istemci arasında aktarılan tüm verileri bulacağınız bir pencere açılacaktır:

Wireshark Sorunlarını Teşhis Etme

Ağ sorunlarını tespit etmek için Wireshark 2'nin nasıl kullanılacağını merak ediyor olabilirsiniz. Bunu yapmak için, pencerenin sol alt köşesinde yuvarlak bir düğme var, tıkladığınızda bir pencere açılıyor. Uzman Araçlar. İçinde Wireshark tüm hata ve ağ hatası mesajlarını toplar:

Pencere, Hatalar, Uyarılar, Bildirimler, Sohbetler gibi sekmelere ayrılmıştır. Program ağ ile ilgili birçok sorunu filtreleyebilir ve bulabilir ve burada bunları çok hızlı bir şekilde görebilirsiniz. Wireshark filtreleri de burada desteklenmektedir.

Wireshark trafik analizi

Bağlantı şifrelenmemişse, kullanıcıların tam olarak neyi indirdiğini ve hangi dosyaları izlediğini çok kolay bir şekilde anlayabilirsiniz. Program, içerik çıkarma konusunda çok iyi bir iş çıkarıyor.

Bunu yapmak için öncelikle paneldeki kırmızı kareyi kullanarak trafik yakalamayı durdurmanız gerekir. Ardından menüyü açın dosya -> Nesneleri Dışa Aktar -> http:

Bu, birçok özelliği olan çok güçlü bir yardımcı programdır. Tüm işlevselliği tek bir makaleye sığdırılamaz, ancak burada verilen temel bilgiler, ihtiyacınız olan her şeyi kendiniz öğrenmeniz için yeterli olacaktır.

- hizmetler veya hata türleri için arabelleği hızlı bir şekilde ayrıştırmanıza olanak tanıyan yerleşik bir uzman sistemin varlığı. Bu, sorun yerelleştirme süresini önemli ölçüde hızlandıracak ve sizin için önceden sıralanmış ve önceden değerlendirilmiş bilgilerle çalışacaktır. Burada VIAVI Solutions'ın Observer veya Netscout'tan ClearSight Analyzer adlı çözümlerine dikkat edebilirsiniz.

Bir bütçe ayırmazlarsa, ancak sorunlar varsa, o zaman sabretmek ve kahve içmek kalır. 1 Gbit/s ve üzeri hızlardaki veri iletim ağlarında, trafik yakalama arabelleği anında doldurulur ve çıkışta oldukça büyük bir veri dizisi elde edilir. Ağdaki farklı cihazlar arasındaki etkileşimi anlayan bu veri dizisi, farklı parametrelerle filtrelenebilir. Bunu yapmak için Wireshark'ın birkaç seçeneği vardır:

Hatalı paketlerin renk kodlaması - özelleştirilebilir. Hata içeren paketler arabellekte özel bir renkle vurgulanacaktır.

Filtre dizisi ile filtreleyin. Wireshark ve protokoller konusunda çok deneyiminiz var ve filtreyi kendiniz uygulayabilirsiniz. Çok çeşitli filtreler bulunabilir.

Paketteki herhangi bir alanı seçin, sağ tıklayın ve "Filtre olarak uygula". Yeni başlayanlar için yöntem: çok uygun, çünkü beyninizi zorlamanıza gerek yok.

Trafiği görüntülemek için ana filtreler nelerdir?

protokole göre wireshark filtresi

Filtre satırına protokolün adını girip enter tuşuna basmanız yeterlidir. Ekran, istenen protokolle ilgili paketleri görüntüleyecektir. Böylece filtre şöyle görünür:

Yakalama arabelleğinin birden çok protokol tarafından filtrelenmesi gerekiyorsa, istenen tüm protokoller || ile listelenmeli ve ayrılmalıdır. Örneğin:

arp || http || icmp

IP adresine göre Wireshark filtresi ve MAC'e göre filtre

Trafiğin yönüne bağlı olarak, filtre biraz farklı olacaktır. Örneğin, 50.116.24.50 gönderen IP adresine göre filtrelemek istiyoruz:

ip.src==10.0.10.163

Alıcı için filtre ip.dst == x.x.x.x gibi görünecek ve paketleri trafik yönünden bağımsız olarak görmek istiyorsak, şunu girin:

ip.addr==50.116.24.50

Bir adresi seçim alanından çıkarmamız gerekirse, o zaman!= eklememiz gerekir. Örnek:

ip.src!=80.68.246.17

Yerel ağ içindeki trafiği analiz edersek ve kullanıcının MAC adresini biliyorsak, MAC adresini Wireshark filtresi olarak belirtebiliriz, örneğin:

eth.addr == AA:BB:CC:DD:EE:FF

port numarasına göre wireshark filtresi

Trafiği analiz ederken, bir veya başka bir protokolün trafiği ilettiği port numarasına göre bir filtre kurabiliriz. Kayıtlı tüm portların numaralarını öğrenebilirsiniz.Örnek:

Tıpkı IP ve MAC adreslerinde olduğu gibi, portları alarak veya göndererek ayrı ayrı filtreleyebiliriz. tcp. srcport ve tcp. dstport. Bağlantı noktası numaralarını belirlemeye ek olarak, Wireshark, TCP protokolünde arabelleği bayraklarla filtrelemek için mükemmel bir fırsat sunar. Örneğin, SYN flag'lı (cihazlar arasında bağlantı kuran) TCP paketlerini görmek istiyorsak, arama çubuğuna şunu giriyoruz:

Popüler filtreler

Aşağıdaki tablo, yakalama arabelleğinin içeriğini görüntülemek için en popüler filtreleri listeler:

Görüntülenecek filtre	Açıklama	Yazı örneği
	gönderenin veya alıcının MAC adresi	eth.addr == 00:1a:6b:ce:fc:bb
	gönderen MAC adresi	eth.src == 00:1a:6b:ce:fc:bb
	Hedef MAC adresi	eth.dst == 00:1a:6b:ce:fc:bb
	ARP Protokolü - Hedef MAC Adresi	arp.dst.hw_mac == 00:1a:6b:ce:fc:bb
arp.dst.proto_ipv4	ARP protokolü - alıcının IP adresi sürüm 4	arp.dst.proto_ipv4 == 10.10.10.10
	ARP Protokolü - Kaynak MAC Adresi	arp.src.hw_mac == 00:1a:6b:ce:fc:bb
arp.src.proto_ipv4	ARP protokolü - gönderenin IP adresi sürüm 4	arp.src.proto_ipv4 == 10.10.10.10
	VLAN kimliği
	Sürüm 4 Alıcının veya gönderenin IP adresi	ip.addr == 10.10.10.10
	Hedef sürüm 4 IP adresi	ip.addr == 10.10.10.10
	Gönderenin IP adresi sürüm 4	ip.src == 10.10.10.10
	IP protokolü (ondalık)
	Alıcının veya gönderenin IP adresi sürüm 6	ipv6.addr == 2001::5
	Gönderenin IP adresi sürüm 6	ipv6.addr == 2001::5
	Hedef sürüm 6 IP adresi	ipv6.dst == 2001::5
	Hedef veya göndericinin TCP bağlantı noktası
	hedef TCP bağlantı noktası	tcp.dstport == 80
	TCP gönderen bağlantı noktası	tcp.srcport == 60234
	UDP hedef veya gönderici bağlantı noktası
	hedef UDP bağlantı noktası	udp.dstport == 513
	UDP gönderen bağlantı noktası	udp.srcport==40000
vtp.vlan_info.vlan_name		vtp.vlan_info.vlan_name == TEST
bgp.originator_id	BGP Kimliği (IPv4 Adresi)	bgp.originator_id == 192.168.10.15
	BGP Sonraki Atlama (IPv4 Adresi)	bgp.next_hop == 192.168.10.15
	RIP IPv4 adresi	rip.ip == 200.0.2.0
	OSPF Yönlendirici Kimliği	ospf.advrouter == 192.168.170.8
	EIGRP Otonom Sistem Numarası
	HSRP protokolü aracılığıyla sanal IP adresi	hsrp.virt_ip == 192.168.23.250
	VRRP protokolü aracılığıyla sanal IP adresi	vrrp.ip_addr == 192.168.23.250
	Wi-Fi kaynağı veya hedef MAC adresi	wlan.addr == 00:1a:6b:ce:fc:bb
	Wi-Fi gönderen MAC adresi	wlan.sa == 00:1a:6b:ce:fc:bb
	Wi-Fi hedef MAC adresi	wlan.da == 00:1a:6b:ce:fc:bb

İşinizde en çok hangi filtreleri kullanıyorsunuz?

Belirli bir problemde hata ayıklarken, bazen makinenize gelen ve giden protokol trafiğini analiz etmeniz gerekebilir. Wireshark, bu amaç için kullanılan en iyi araçlardan biridir. Bu yazıda Wireshark ağ protokolü analizörü görüntü filtresinin nasıl kullanılacağını öğreneceğiz.

1. Wireshark'ı indirin ve yükleyin

Yürütülebilir dosyayı indirdikten sonra, Wireshark'ı kurmak için üzerine tıklamanız yeterlidir.

2. Bir Arayüz seçin ve Yakalamayı Başlatın

Wireshark'ı açtıktan sonra, önce makinenizin belirli bir ağ arayüzünü seçmelisiniz. Çoğu durumda, makine yalnızca bir ağ arabirimine bağlıdır, ancak birden fazla olması durumunda, trafiği izlemek istediğiniz arabirimi seçin.

Menüden, aşağıdaki ekranı gösterecek olan 'Yakala -> Arayüzler'e tıklayın:

3. Kaynak IP Filtresi

Wireshark'taki paket görünümünü yalnızca filtrede belirtildiği gibi kaynak IP'ye sahip paketlerle sınırlamak için bir kaynak filtresi uygulanabilir. Aşağıdaki örnekte uygulanan filtre:

ip.src == 192.168.1.1

4. Hedef IP Filtresi

Wireshark'taki paket görünümünü yalnızca filtrede belirtildiği gibi hedef IP'si olan paketlerle sınırlamak için bir hedef filtresi uygulanabilir. Örneğin:

ip.dst == 192.168.1.1

5. Protokole Göre Filtreleme

Belirli bir protokol için filtre uygulamak çok kolaydır. Filtre sekmesine o protokolün adını yazmanız ve enter tuşuna basmanız yeterlidir. Aşağıdaki örnekte, bu filtreyi kullanarak sonuçları http protokolü için filtrelemeye çalıştık:

6. Filtrede VEYA Koşulunun Kullanılması

Bu filtre, bir veya diğer koşulla eşleşen paketlerin filtrelenmesine yardımcı olur.

Diyelim ki, 'http' veya 'arp' protokolüne sahip paketleri görme gereksinimi ortaya çıkabilir. Bu durumda ayrı filtreler uygulanamaz. Dolayısıyla, koşulların herhangi biriyle veya her ikisiyle eşleşen paketleri görüntülemek için VEYA'ların iki koşulu olan '||' filtre ifadesi vardır. Aşağıdaki örnekte, bu filtreyi kullanarak http veya arp paketlerini filtrelemeye çalıştık:

Http||arp

7. Filtrede VE Koşulunun Uygulanması

Bu filtre, birden çok koşulla tam olarak eşleşen paketin filtrelenmesine yardımcı olur.

Yalnızca HTTP paketleri olan ve '192.168.1.4' olarak kaynak ip'ye sahip olan paketleri filtrelemek için bir gereklilik olduğunu varsayalım. Bu filtreyi kullanın:

http&&ip.src==192.168.1.4

8. Bağlantı Noktası Numarasına Göre Filtrele

Bu, 'tcp.port eq' filtresi kullanılarak yapılabilir. Örneğin:

Tcp.port eq 80

9. Belirli Bir Dizi İçeren Eşleşme Paketleri

Burada kullanılan filtre sözdizimi: "içerir".

Tcp şunları içerir: 01:01:04

10. Paketleri Kaynağa veya Hedefe Göre Reddet

Buradaki filtre 'ip.src !=' veya 'ip.dst !=' şeklindedir.

ip.dst != 192.168.1.1

Bu makaleyi beğendiyseniz, siz de beğenebilirsiniz..

Wireshark, bilgisayarınızın ağ arayüzünden geçen trafiği analiz etmek için kullanılabilecek güçlü bir ağ analizörüdür. Ağ sorunlarını tespit etmek ve çözmek, web uygulamalarınızda, ağ programlarınızda veya sitelerinizde hata ayıklamak için buna ihtiyacınız olabilir. Wireshark, paketin içeriğini tüm seviyelerde tam olarak görmenizi sağlar: böylece ağın düşük seviyede nasıl çalıştığını daha iyi anlayabilirsiniz.

Tüm paketler gerçek zamanlı olarak yakalanır ve okunması kolay bir biçimde sağlanır. Program, çok güçlü bir filtreleme sistemini, renk vurgulamayı ve ihtiyacınız olan paketleri bulmanıza yardımcı olacak diğer özellikleri destekler. Bu eğitimde, trafiği analiz etmek için Wireshark'ın nasıl kullanılacağına bakacağız. Son zamanlarda geliştiriciler Wireshark 2.0 programının ikinci dalı üzerinde çalışmaya başladılar, özellikle arayüz için birçok değişiklik ve iyileştirme yapıldı. Bu yazıda kullanacağımız şey bu.

Trafiği analiz etmenin yollarını düşünmeye devam etmeden önce, programın hangi özellikleri desteklediğini, hangi protokollerle çalışabileceğini ve ne yapacağını düşünmelisiniz. İşte programın ana özellikleri:

Bir dosyadan okumanın yanı sıra kablolu veya diğer herhangi bir ağ arabirimi türünden gerçek zamanlı paketleri yakalayın;
Aşağıdaki yakalama arabirimleri desteklenir: Ethernet, IEEE 802.11, PPP ve yerel sanal arabirimler;
Paketler, filtreler kullanılarak çeşitli parametrelerle filtrelenebilir;
Bilinen tüm protokoller listede TCP, HTTP, FTP, DNS, ICMP vb. gibi farklı renklerde vurgulanır;
VoIP aramalarının trafiğini yakalama desteği;
HTTPS trafiğinin şifresinin çözülmesi, bir sertifikanın varlığında desteklenir;
Bir anahtar ve el sıkışma varlığında kablosuz ağların WEP-, WPA trafiğinin şifresinin çözülmesi;
Ağ yükü istatistiklerini görüntüleme;
Tüm ağ katmanları için paketlerin içeriğini görüntüleyin;
Paket gönderme ve alma zamanını görüntüler.

Programın daha birçok özelliği var ama ilginizi çekebilecek başlıcaları bunlardı.

Wireshark nasıl kullanılır?

Programın zaten kurulu olduğunu varsayıyorum, ancak değilse, resmi depolardan kurabilirsiniz. Bunu yapmak için Ubuntu'ya şu komutu yazın:

sudo apt wireshark'ı kurun

Kurulumdan sonra programı dağıtımın ana menüsünde bulabilirsiniz. Wireshark'ı süper kullanıcı haklarıyla çalıştırmanız gerekir, aksi takdirde ağ paketlerini analiz edemez. Bu, ana menüden veya KDE komutu kullanılarak terminal aracılığıyla yapılabilir:

Ve Gnome/Unity için:

Programın ana penceresi üç bölüme ayrılmıştır: ilk sütun, analiz için kullanılabilen ağ arayüzlerinin bir listesini, ikinci - dosyaları açma seçenekleri ve üçüncü - yardım içerir.

Ağ trafiği analizi

Analizi başlatmak için ağ arayüzünü seçin, örneğin eth0 ve düğmesine tıklayın. Başlat.

Bundan sonra, zaten arayüzden geçen bir paket akışı ile bir sonraki pencere açılacaktır. Bu pencere ayrıca birkaç bölüme ayrılmıştır:

Üst kısım- bunlar çeşitli düğmelere sahip menüler ve panellerdir;
Paket Listesi- ayrıca analiz edeceğiniz ağ paketlerinin akışı görüntülenir;
Paket içeriği- Seçilen paketin içeriğinin hemen altında bulunur, taşıma seviyesine göre kategorilere ayrılır;
Gerçek performans- en altta, paketin içeriği hem gerçek hem de HEX biçiminde görüntülenir.

İçeriğini analiz etmek için herhangi bir pakete tıklayabilirsiniz:

Burada sitenin IP adresini almak için bir DNS sorgu paketi görüyoruz, sorguda etki alanı gönderiliyor ve yanıt paketinde cevabın yanı sıra sorumuzu da alıyoruz.

Daha rahat görüntüleme için, girişe çift tıklayarak paketi yeni bir pencerede açabilirsiniz:

Wireshark Filtreleri

Özellikle aktif bir akışta ihtiyacınız olanları bulmak için paketleri manuel olarak sıralamak çok zahmetlidir. Bu nedenle, böyle bir görev için filtre kullanmak daha iyidir. Menü altında filtre girmek için özel bir satır bulunmaktadır. tıklayabilirsiniz ifade filtre oluşturucuyu açmak için, ancak birçoğu var, bu yüzden en temel olanları ele alacağız:

ip.dst- hedef IP adresi;
ip.src- gönderenin IP adresi;
ip.addr- gönderenin veya alıcının IP adresi;
ip.proto- protokol;
tcp.dstport- Hedef noktası;
tcp.srcport- gönderenin limanı;
ip.ttl- ttl'ye göre filtrele, ağ mesafesini belirler;
http.request_uri- istenen site adresi.

Bir filtredeki bir alan ile bir değer arasındaki ilişkiyi belirtmek için aşağıdaki operatörleri kullanabilirsiniz:

== - eşittir;
!= - eşit değildir;
< - az;
> - daha fazla;
<= - daha az veya eşit;
>= - daha fazla veya eşit;
maçlar- Düzenli ifade;
içerir- içerir.

Birden çok ifadeyi birleştirmek için şunları kullanabilirsiniz:

&& - paket için her iki ifade de doğru olmalıdır;
|| - ifadelerden biri doğru olabilir.

Şimdi çeşitli filtre örneklerine daha yakından bakalım ve ilişkilerin tüm işaretlerini anlamaya çalışalım.

İlk önce 194.67.215'e gönderilen tüm paketleri filtreleyelim. Filtre alanına bir dize yazın ve tıklayın. uygulamak. Kolaylık sağlamak için Wireshark filtreleri düğme kullanılarak kaydedilebilir Kayıt etmek:

ip.dst == 194.67.215.125

Ve yalnızca gönderilen paketleri değil, aynı zamanda bu düğümden yanıt olarak alınan paketleri de almak için iki koşulu birleştirebilirsiniz:

ip.dst == 194.67.215.125 || ip.src == 194.67.215.125

Aktarılan büyük dosyaları da seçebiliriz:

http.content_length > 5000

Content-Type'ı filtreleyerek, yüklenen tüm resimleri seçebiliriz; görüntü kelimesini içeren paketler olan Wireshark trafiğini analiz edelim:

http.content_type resim içeriyor

Aynı şekilde istediğiniz herhangi bir alana göre filtre oluşturabilirsiniz. Seçin ve içerik menüsünü çağırın, ardından Filtre olarak uygula veya Filtre olarak hazırla, ardından seçin seçilmiş, yalnızca seçili değerleri görüntülemek için veya Seçili değil onları kaldırmak için:

Belirtilen alan ve değeri uygulanır veya ikinci durumda filtre alanında değiştirilir:

Ardından, sunucu ile istemci arasında aktarılan tüm verileri bulacağınız bir pencere açılacaktır:

Wireshark Sorunlarını Teşhis Etme

Ağ sorunlarını tespit etmek için Wireshark 2.0'ın nasıl kullanılacağını merak ediyor olabilirsiniz. Bunu yapmak için, pencerenin sol alt köşesinde yuvarlak bir düğme var, tıkladığınızda bir pencere açılıyor. Uzman Araçlar. İçinde Wireshark tüm hata ve ağ hatası mesajlarını toplar:

Pencere, Hatalar, Uyarılar, Bildirimler, Sohbetler gibi sekmelere ayrılmıştır. Program birçok ağ sorununu filtreleyip bulabilir ve burada bunları çok hızlı bir şekilde görebilirsiniz. Wireshark filtreleri de burada desteklenmektedir.

Wireshark trafik analizi

Bunu yapmak için öncelikle paneldeki kırmızı kareyi kullanarak trafik yakalamayı durdurmanız gerekir. Ardından menüyü açın dosya -> Nesneleri Dışa Aktar -> http: