Як знаючи шлюз відстежити wireshark. Аналіз мережі за допомогою Wireshark

Wireshark - це потужний мережевий аналізатор, який може використовуватися для аналізу трафіку через мережевий інтерфейс вашого комп'ютера. Це може знадобитися для виявлення та вирішення проблем із мережею, налагодження ваших веб-застосунків, мережевих програм або сайтів. Wireshark дозволяє повністю переглядати вміст пакета на всіх рівнях, так ви зможете краще зрозуміти, як працює мережа на низькому рівні.

Всі пакети перехоплюються в реальному часі та надаються у зручному для читання форматі. Програма підтримує дуже потужну систему фільтрації, підсвічування кольором та інші особливості, які допоможуть знайти потрібні пакети. У цій інструкції ми розглянемо, як користуватися Wireshark для аналізу трафіку. Нещодавно розробники перейшли до роботи над другою гілкою програми Wireshark 2.0, в ній було внесено безліч змін та покращень, особливо для інтерфейсу. Саме її ми будемо використовувати у цій статті.

Основні можливості Wireshark

Перед тим, як переходити до розгляду способів аналізу трафіку, потрібно розглянути які можливості підтримує програма більш докладно, з якими протоколами вона може працювати і що робити. Ось основні можливості програми:

Захоплення пакетів у реальному часі з дротового чи іншого типу мережевих інтерфейсів, і навіть читання з файла;
Підтримуються такі інтерфейси захоплення: Ethernet, IEEE 802.11, PPP та локальні віртуальні інтерфейси;
Пакети можна відсівати за безліччю параметрів за допомогою фільтрів;
Усі відомі протоколи підсвічуються у списку різними кольорами, наприклад TCP, HTTP, FTP, DNS, ICMP тощо;
Підтримка захоплення трафіку VoIP дзвінків;
Підтримується розшифровка трафіку HTTPS за наявності сертифіката;
Розшифровка WEP, WPA трафіку бездротових мереж за наявності ключа та handshake;
відображення статистики навантаження на мережу;
Перегляд вмісту пакетів для всіх рівнів мережі;
Відображення часу надсилання та отримання пакетів.

Програма має безліч інших функцій, але це були основні, які можуть вас зацікавити.

Як користуватися Wireshark

Я припускаю, що програма у вас уже встановлена, але якщо ні, то ви можете встановити її з офіційних репозиторіїв. Для цього наберіть команду в Ubuntu:

$ sudo apt install wireshark

Після встановлення ви зможете знайти програму у головному меню дистрибутива. Запускати Wireshark потрібно з правами суперкористувача, тому що інакше програма не зможе аналізувати мережні пакети. Це можна зробити з головного меню або через термінал за допомогою команди для KDE:

$ kdesu wireshark

А для Gnome/Unity:

$ gksu wireshark

Головне вікно програми поділено на три частини, перша колонка містить список доступних для аналізу мережевих інтерфейсів, друга – опції для відкриття файлів, а третя – допомога.

Аналіз мережевого трафіку

Щоб розпочати аналіз, виберіть мережний інтерфейс, наприклад, eth0 і натисніть кнопку Start.

Після цього відкриється наступне вікно вже з потоком пакетів, які проходять через інтерфейс. Це вікно також поділено на кілька частин:

Верхня частина- це меню та панелі з різними кнопками;
Список пакетів- далі відображається потік мережних пакетів, які ви аналізуватимете;
Вміст пакету- трохи нижче розташований вміст вибраного пакета, він розбитий за категоріями залежно від транспортного рівня;
Реальна вистава- у самому низу відображається вміст пакета у реальному вигляді, а також у вигляді HEX.

Ви можете натиснути на будь-який пакет, щоб проаналізувати його вміст:

Тут ми бачимо пакет запиту до DNS щоб отримати IP адресу сайту, в самому запиті відправляється домен, а в пакеті відповіді ми отримуємо наше запитання, а також відповідь.

Для більш зручного перегляду можна відкрити пакет у новому вікні, виконавши подвійний клік по запису:

Фільтри Wireshark

Перебирати пакети вручну, щоб знайти потрібні дуже незручно, особливо при активному потоці. Тому для такого завдання краще використовувати фільтри. Для введення фільтрів під меню є спеціальний рядок. Ви можете натиснути Expression, щоб відкрити конструктор фільтрів, але там їх дуже багато, тому ми розглянемо основні:

ip.dst- Цільова IP адреса;
ip.src- IP адреса відправника;
ip.addr- ip відправника чи одержувача;
ip.proto- Протокол;
tcp.dstport- порт призначення;
tcp.srcport- порт відправника;
ip.ttl- фільтр по ttl, визначає мережну відстань;
http.request_uri- Запитувана адреса сайту.

Для вказівки відносин між полем і значенням у фільтрі можна використовувати такі оператори:

== - одно;
!= - не дорівнює;
< - менше;
> - Більше;
<= - менше або дорівнює;
>= - більше чи рівно;
matches- регулярне вираження;
contains- Містить.

Для поєднання кількох виразів можна застосовувати:

&& - обидва вирази мають бути вірними для пакета;
|| - може бути вірним один із виразів.

Тепер розглянемо на прикладах кілька фільтрів і спробуємо розглянути всі знаки відносин.

Спочатку відфільтруємо всі пакети, надіслані на 194.67.215.125 (losst.ru). Наберіть рядок у полі фільтра та натисніть Apply. Для зручності фільтри wireshark можна зберігати за допомогою кнопки Save:

ip.dst == 194.67.215.125

А щоб отримати не лише надіслані пакети, а й отримані у відповідь від цього вузла можна об'єднати дві умови:

ip.dst == 194.67.215.125 || ip.src == 194.67.215.125

Також ми можемо відібрати надіслані великі файли:

http.content_length > 5000

Відфільтрувавши Content-Type, ми можемо вибрати всі картинки, які були завантажені, виконаємо аналіз трафіку wireshark, пакети якого містять слово image:

http.content_type contains image

Щоб очистити фільтр, ви можете натиснути кнопку Clear. Буває не завжди ви знаєте всю потрібну для фільтрації інформацію, а просто хочете вивчити мережу. Ви можете додати будь-яке поле пакета як колонку і переглянути його вміст у загальному вікні для кожного пакета.

Наприклад, я хочу вивести у вигляді стовпчика ttl (час життя) пакета. Для цього відкрийте інформацію про пакет, знайдіть це поле у розділі IP. Потім викличте контекстне меню та виберіть опцію Apply As Column:

Також можна створити фільтр на основі будь-якого потрібного поля. Виберіть поле і натисніть контекстне меню, потім натисніть Apply as filterабо Prepare as filter, потім вибрати Selectedщоб вивести лише вибрані значення або Not selected, щоб їх прибрати:

Вказане поле та його значення буде застосовано або у другому випадку підставлено в полі фільтра:

У такий спосіб ви можете додати у фільтр поле будь-якого пакета чи колонку. Там також є ця опція в контекстному меню. Для фільтрації протоколів можна використовувати і простіші умови. Наприклад, виконаємо аналіз трафіку Wireshark для протоколів HTTP та DNS:

Ще одна цікава можливість програми – використання Wireshark для відстеження певного сеансу між комп'ютером користувача та сервером. Для цього відкрийте контекстне меню для пакета та виберіть Follow TCP stream.

Потім відкриється вікно, в якому ви знайдете всі дані, передані між сервером і клієнтом:

Діагностика проблем Wireshark

Можливо, вам цікаво, як користуватися Wireshark 2 для виявлення проблем у мережі. Для цього в лівому нижньому кутку вікна є кругла кнопка, при натисканні на неї відкривається вікно Expet Tools. У ньому Wireshark збирає всі повідомлення про помилки та неполадки в мережі:

Вікно поділено на такі вкладки, як Errors, Warnings, Notices, Chats. Програма вміє фільтрувати та знаходити безліч проблем із мережею і тут ви можете їх дуже швидко побачити. Тут також підтримуються фільтри wireshark.

Аналіз трафіку Wireshark

Ви можете просто зрозуміти що саме завантажували користувачі і які файли вони дивилися, якщо з'єднання не було зашифровано. Програма дуже добре справляється із вилученням контенту.

Для цього потрібно спочатку зупинити захоплення трафіку за допомогою червоного квадрата на панелі. Потім відкрийте меню File -> Export Objects -> HTTP:

Це дуже потужна утиліта, яка має багато функцій. Всю її функціональність неможливо помістити в одній статті, але наведеної базової інформації буде цілком достатньо, щоб ви могли самі освоїти все необхідне.

- Наявність вбудованої експертної системи, яка дозволить швидко розібрати буфер за сервісами або типами помилок. Що дозволить суттєво прискорити час локалізації проблеми та працювати з уже відсортованою та попередньо оціненою для вас інформацією. Тут можна звернути увагу на рішення від VIAVI Solutions під назвою Observer або ClearSight Analyzer від компанії Netscout.

Якщо не виділяють бюджет, а проблеми є, то залишається запастися терпінням і кавою. У мережах передачі даний на швидкостях 1 Гбіт/сек і вище буфер захоплення трафіку заповнюється миттєво і виходить досить великий масив даних. Цей масив даних, розуміючи взаємодію між різними пристроями в мережі, можна відфільтрувати за різними параметрами. Для цього Wireshark має кілька можливостей:

Колірне кодування помилкових пакетів можна налаштувати під себе. Пакети, які несуть помилку, будуть виділені в буфері спеціальним кольором.

Фільтр через рядок фільтрації. Ви маєте великий досвід у роботі з Wireshark та протоколами та можете ввести фільтр самостійно. Великий вибір фільтрів можна знайти.

Виділення будь-якої області в пакеті, правий клік миші та «Застосувати як фільтр». Метод для початківців дуже зручно, тому що не треба ламати голову.

Які основні фільтри є для відображення трафіку?

Wireshark фільтр за протоколом

Достатньо у рядку фільтра ввести назву протоколу та натиснути введення. На екрані залишаться пакети, які стосуються шуканого протоколу. Таким чином, фільтр виглядає:

Якщо буфер захоплення необхідно відфільтрувати за кількома протоколами, необхідно перерахувати всі бажані протоколи і розділити їх знаком ||. Наприклад:

arp || http || icmp

Wireshark фільтр за адресою IP і фільтр за MAC

Залежно від напрямку трафіку фільтр трохи відрізнятиметься. Наприклад, ми хочемо відфільтрувати за адресою IP відправника 50.116.24.50:

ip.src==10.0.10.163

За одержувачем фільтр буде виглядати ip.dst == x.x.x.x, а якщо хочемо побачити пакети незалежно від напрямку трафіку, то достатньо ввести:

ip.addr==50.116.24.50

Якщо нам потрібно виключити якусь адресу з поля відбору, то потрібно додати!= . Приклад:

ip.src! = 80.68.246.17

Якщо ми аналізуємо трафік всередині локальної мережі та знаємо MAC адресу користувача, то можна вказати як фільтр Wireshark його MAC адресу, наприклад:

eth.addr == AA:BB:CC:DD:EE:FF

Wireshark фільтр за номером порту

При аналізі трафіку ми можемо налаштувати фільтр за номером порту, яким здійснює передачу трафіку той чи інший протокол. Номери всіх зареєстрованих портів можна дізнатись Приклад:

Так само як і з адресами IP і MAС ми можемо окремо фільтрувати портами отримання або відправлення tcp. srcportі tcp. dstport. Крім вказівки номерів портів Wireshark дає відмінну можливість відфільтрувати буфер по прапорах у протоколі TCP. Наприклад, якщо ми хочемо побачити TCP пакети з прапором SYN (встановлення з'єднання між пристроями), то вводимо у рядку пошуку:

1. Download and Install Wireshark

Після downloading the executable, клацніть на це, щоб встановити Wireshark.

2. Select an Interface and Start the Capture

Після того, як ви отримаєте wireshark, ви будете першим виділити особливу мережу функцію вашого машини. У більшості випадків машина підключена тільки до однієї мережі, а в випадку є багаторазовий, тоді виберіть interface на якому ви хочете, щоб monitor traffic.

З меню, клацніть на 'Capture –> Interfaces', який буде відтворювати following screen:

3. Source IP Filter

Source filter може бути застосований до обмеження пакета перегляду в wireshark тільки для цих пакетів, які мають IP-адресу mentioned in the filtr. Filter applied in the example below is:

Ip.src == 192.168.1.1

4. Destination IP Filter

Регістровий filtr може бути використаний для обмеження пакета перегляду в мережі, щоб тільки ті пакети, що мають IP-адреси, що були mentioned в filtr. For example:

Ip.dst == 192.168.1.1

5. Filter by Protocol

Це дуже простий для apply filter для конкретного протоколу. Just write the name of that protocol in the filter tab and hit enter. У розділі нижче we tried to filter the results for http protocol using this filter:

6. Using OR Condition in Filter

Цей filter helps filtering packets що матчу є один або інший термін.

Повідомляється, що це може бути потреба в тому, що вона має протокол 'http' або 'arp'. У випадку, якщо один моженеможливо окремі filtry. Якщо exists the '||' filter expression that ORs two conditions to display packets matching any or both the conditions. У розділі нижче, будь ласка, щоб filtr http і arp Packets using this filter:

Http||arp

7. Applying AND Condition in Filter

Цей filtr helps filtering packet що матч exactly with multiple conditions.

Потрібно, що це вимагається до файлу тільки для цих пакетів, які є пакетами HTTP і мають source ip як '192.168.1.4'. Use this filter:

Http&&ip.src==192.168.1.4

8. Filter by Port Number

Це може бути прийняте шляхом використання 'tcp.port eq '. For example:

Tcp.port eq 80

9. Match Packets Containing a Particular Sequence

Filter syntax використано в цьому is: ' contains '.

Tcp contains 01:01:04

10. Reject Packets Based on Source or Destination

Filter here is 'ip.src != ' or 'ip.dst != '.

Ip.dst! = 192.168.1.1

If you enjoyed this article, you might also like..

Wireshark - це потужний мережевий аналізатор, який може використовуватися для аналізу трафіку через мережевий інтерфейс вашого комп'ютера. Він може знадобитися для виявлення та вирішення проблем з мережею, налагодження ваших веб-застосунків, мережевих програм або сайтів. Wireshark дозволяє повністю переглядати вміст пакета на всіх рівнях: так ви зможете краще зрозуміти, як працює мережа на низькому рівні.

Всі пакети перехоплюються в реальному часі та надаються у зручному для читання форматі. Програма підтримує дуже потужну систему фільтрації, підсвічування кольором та інші особливості, які допоможуть знайти потрібні пакети. У цій інструкції ми розглянемо, як користуватись Wireshark для аналізу трафіку. Нещодавно розробники перейшли до роботи над другою гілкою програми Wireshark 2.0, до неї було внесено безліч змін та покращень, особливо для інтерфейсу. Саме її ми будемо використовувати у цій статті.

Перед тим, як переходити до розгляду способів аналізу трафіку, потрібно розглянути, які можливості підтримує програма докладніше, з якими протоколами вона може працювати і що робити. Ось основні можливості програми:

Захоплення пакетів у реальному часі з дротового чи іншого типу мережевих інтерфейсів, і навіть читання з файла;
Підтримуються такі інтерфейси захоплення: Ethernet, IEEE 802.11, PPP та локальні віртуальні інтерфейси;
Пакети можна відсівати за безліччю параметрів за допомогою фільтрів;
Усі відомі протоколи підсвічуються у списку різними кольорами, наприклад TCP, HTTP, FTP, DNS, ICMP тощо;
Підтримка захоплення трафіку VoIP-дзвінків;
Підтримується розшифровка HTTPS-трафіку за наявності сертифіката;
Розшифровка WEP-, WPA-трафіку бездротових мереж за наявності ключа та handshake;
відображення статистики навантаження на мережу;
Перегляд вмісту пакетів для всіх рівнів мережі;
Відображення часу надсилання та отримання пакетів.

Програма має безліч інших функцій, але це були основні, які можуть вас зацікавити.

Як користуватися Wireshark

sudo apt install wireshark

Після встановлення ви зможете знайти програму у головному меню дистрибутива. Запускати Wireshark потрібно з правами суперкористувача, бо інакше вона не зможе аналізувати мережеві пакети. Це можна зробити з головного меню або через термінал за допомогою команди KDE:

А для Gnome/Unity:

Головне вікно програми поділено на три частини: перша колонка містить список доступних для аналізу мережевих інтерфейсів, друга – опції для відкриття файлів, а третя – допомога.